Что значит войти в Windows

Обновлено: 03.07.2024

Знаете ли вы, что мы можем узнать, кто входил в нашу систему Windows 10 / 11, когда нас нет? Когда кто-то входит в систему, его зарегистрированная информация будет храниться в системе Windows 10 / 11.

В Windows 11 или Windows 10 существует политика «Аудит событий входа в систему», позволяющая отслеживать как локальные, так и сетевые успешные и неудачные попытки входа в систему, а также информацию о доступе к ресурсам. Попытки пользователя войти в систему можно увидеть с помощью средства просмотра событий.

Прежде чем перейти к проверке истории входа пользователя в систему, давайте узнаем о средстве просмотра событий.

Просмотр событий — это функции аудита, которые позволяют администраторам настраивать системы Windows для записи ежедневных действий, выполняемых в операционной системе, в журнале безопасности. Короче говоря, средство просмотра событий особенно полезно для устранения неполадок Windows и приложений, а также для обеспечения безопасности.

  • Доступ к службе каталогов
  • События входа в аккаунт
  • Управление аккаунтом
  • Привилегированное использование
  • Доступ к объектам
  • События входа
  • Системные события
  • Изменение политики
  • Отслеживание процессов (источник: Википедия)

a) Аудит входа в систему будет работать только на Windows Professional, поэтому, если у вас домашняя версия Windows, вы не сможете ее использовать. Здесь, в этой статье, я использую Windows 10 Professional Editions.

b) Мы не можем сказать вам, «кто» на самом деле вошел в систему, но можем точно сказать, в какое время и дату был выполнен вход.

Итак, не теряя времени, давайте пошагово проверим историю входов пользователей в Windows 10:

1. История входа пользователей в Windows 10/11 с помощью средства просмотра событий

Шаг 1. Откройте средство просмотра событий

Нажмите кнопку «Пуск» и введите «Просмотр событий» в поле поиска, и вы увидите «Просмотр событий» вверху списка. Затем нажмите «Просмотр событий».

Вы получите окна просмотра событий, как показано ниже.

2)Доступ к списку истории регистрации

Затем на левой панели дважды щелкните «Журналы Windows». Там вы найдете 5 списков. Среди них просто нажмите на «Безопасность», которая находится на второй позиции сверху.

3)Поиск фактического идентификатора информации для входа

Затем на средней панели вы получите список событий, связанных с зарегистрированными пользователями и информацией о доступе к ресурсам. Этот список отсортирован по дате/времени. Оттуда начинается поиск события с идентификатором события 4624 , который на самом деле является идентификатором события входа пользователя. Если вы найдете несколько идентификаторов 4624, это означает, что ваша система входила в систему много раз.

4)Поиск сведений о входе в систему

Просто нажмите на эту строку (строки с идентификатором события 4624), и вы найдете информацию для входа в нижнюю часть того же окна.

Отображение основной информации в общем разделе, как показано ниже:

Пользователь, вошедший в систему, может узнать об этом из имени учетной записи и домена учетной записи .

Идентификатор безопасности: это SID учетной записи.

Имя учетной записи: имя для входа в систему.

Домен учетной записи: доменное имя учетной записи. В случае локальных учетных записей это просто имя компьютера.

Идентификатор входа: помогает идентифицировать сеанс входа в систему.

Тип входа: Тип входа показывает, как пользователь входит в систему. Всего существует 9 различных типов входа. Здесь Тип входа равен 5, что означает просто вход в службу , который происходит, когда службы и учетные записи служб входят в систему для запуска службы.

Ограниченный режим администратора: Здесь у нас есть "-". Мы найдем «да» вместо «-» только для типа входа в систему: 10 (удаленный интерактивный вход в систему), это когда выполняются подключения к удаленному рабочему столу. В нашей общей локальной системе у нас есть "-". Ограниченный режим администратора предназначен для защиты от атак с передачей хэша.

Подробная информация представлена ​​ниже:

Использование пользовательского фильтра

  • Чтобы создать фильтр, щелкните правой кнопкой мыши "Пользовательские представления" и выберите в списке параметр "Создать настраиваемое представление".
  • После того как откроется окно создания пользовательского представления, просмотрите раздел «В журнале» и выберите диапазон времени.
  • Затем выберите параметр "По журналу" и используйте нижнее меню "Журналы событий" и выберите "Безопасность" в разделе "Журналы Windows".
  • Затем введите 4624 в поле "Все идентификаторы событий".
  • Нажмите "ОК".

В следующем окне укажите имя своего пользовательского фильтра и нажмите "ОК". Здесь мы дали имя: " ".

  • Затем на следующем экране посмотрите на имя фильтра в разделе "Пользовательские представления". Нажмите на него, и вы получите количество попыток входа (только идентификатор: 4624), которые вы установили на предыдущих шагах.

2. Проверка истории входа пользователя в Windows 10/11 с помощью Powershell

Мы можем искать определенный журнал событий с помощью Powershell. Чтобы это работало, вы должны запустить PowerShell с правами администратора.

  1. Запустите Powershell с правами администратора.
  2. Затем вставьте приведенный ниже код в PowerShell.

3. Проверка истории входа пользователя в Windows 10/11 с помощью сторонних инструментов

Стандартные журналы аудита сложны для понимания и слишком сложны для аудита вручную. Кроме того, использование журнала аудита Windows по умолчанию является лишним, и его необходимо выполнять шаг за шагом, чтобы найти нужную информацию в журнале аудита для конкретных пользователей в определенное время. Таким образом, с помощью перечисленных ниже инструментов вы можете регистрировать информацию о сотнях событий входа в систему и выхода из нее. Так что без промедления попробуйте эти инструменты.

а) TurnedOnTimesView: (Скачать: нажмите здесь)

Это инструмент, который показывает пользователям время входа/выхода из Windows 11/10/8/7 2008/Vista. Он разработан Ниром Софером.

b) LastActivityView: (Скачать: нажмите здесь)
Это простой инструмент для анализа журнала операционной системы и определения диапазона времени, в течение которого компьютер включен. Он разработан Ниром Софером.

c)Проводник журнала событий: (Скачать: нажмите здесь)

В отчете подробно описаны события входа и выхода из системы, в том числе, когда с какого компьютера и когда пользователи входят в систему. Вы также получаете надежные и немедленные отчеты о входе в систему сетевых пользователей.

f) UserLock (посетите здесь)

UserLock отслеживает, записывает и составляет отчеты обо всех событиях подключения пользователей, чтобы обеспечить централизованный аудит всей сетевой системы — намного больше того, что Microsoft включает в аудит Windows Server и Active Directory.

ж) WinLogOnView

WinLogOnView — это программное обеспечение для ведения журнала событий Windows для ОС Windows 7/Vista/8/10, которое анализирует события безопасности ОС и определяет, кто вошел в систему и вышел из нее на основе данных/времени. Такая информация, как идентификатор входа в систему, имя пользователя, компьютер, домен, время входа/выхода из системы, продолжительность и сетевой адрес, регистрируется. Позже эту информацию можно экспортировать в файлы CSV, HTML, XML, файлы с разделителями табуляцией.

Проверить историю входов в Windows, если все журналы очищены

Если кто-то, кто входит в вашу систему, знает о средстве просмотра событий, то он/она очистит весь журнал средства просмотра событий, и вы не сможете найти, кто ранее входил в систему. В этом случае вы можете настроить последние данные для входа при запуске системы.

1 Нажмите комбинацию клавиш Win + R на клавиатуре, введите: regedit и нажмите Enter.

2 Нажмите "Да"

Откроется редактор реестра.

3 Вставьте указанный ниже путь в поле поиска реестра


4 Щелкните правой кнопкой мыши Система > Создать > Значение DWORD (32-разрядное)

5 Переименуйте это новое значение в "DisplayLastLogonInfo"

6 Дважды щелкните «DisplayLastLoginInfo» и установите значение «1».

7 Закройте реестр

Если вы хотите увидеть эффект, просто перезагрузите компьютер, и сразу после успешного входа в систему вы увидите сообщение, как показано ниже.

Вы получите информацию как об успешной, так и о неудачной попытке входа, как показано выше.

Чтобы отключить это, просто удалите значение "DisplayLastLogonInfo" или просто установите для этого значения "DisplayLastLogonInfo" значение "0"

Часто задаваемые вопросы

Мы можем использовать Powershell, чтобы узнать историю последних 5 входов в систему, и следующие команды:

Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-5) -ComputerName $env:computername


рис. история входа за последние 5 дней в Windows 10 и 11

Ответ: Вы можете просмотреть историю последнего входа пользователя в систему, используя команду net user в командной строке, как показано ниже.

Введите net user в командной строке. Это перечислит всех пользователей. В моем случае у меня есть администратор и пользователь poude.

где администратор является пользователем, и вы можете четко видеть дату и время последнего входа в систему. Замените любого пользователя, отображаемого с помощью команды net user, и посмотрите результат.


Если у пользователя нет истории входа в систему, вместо даты и времени входа будет отображаться "Никогда", как показано ниже. инжир. поиск последней истории входа определенного пользователя с помощью командной строки

Ответ: нажмите Windows + R, затем введите: eventvwr.msc


сообщить об этом объявлении

Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.

Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.

Российско-украинская война, которая затрагивает все, от инфляции до доступности чипов, оставила половину корпоративных технических лидеров.

ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .

Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .

Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .

Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.

Университет сотрудничает с Oracle в проведении исследований по наблюдению за цветущими фруктовыми деревьями весной

Оператор мобильной связи добился самого значительного прироста клиентов с потребительскими контрактами с 2012 года и увеличения EBITDA на 10 % с постепенным увеличением.

Внедрение систем EPR в организациях NHS поможет активизировать усилия по цифровой трансформации и является ключом к достижению результатов.

Роберт Кингсли — бывший писатель Lifewire, специализирующийся на технологиях. Он работал инженером ИТ-поддержки, устанавливая, настраивая и обслуживая компьютеры Windows.

В этой статье

Перейти к разделу

При первой установке Windows 10 вы можете выбрать между локальной учетной записью или учетной записью Microsoft. Учетные записи Microsoft — это новая функция, и Microsoft не хочет, чтобы вы использовали локальную учетную запись в Windows 10. Неправильный выбор здесь может привести к тому, что вы упустите замечательные функции, предлагаемые Windows 10.

Что такое локальная учетная запись?

Если вы когда-либо входили в систему на домашнем компьютере под управлением Windows XP или Windows 7, значит, вы использовали локальную учетную запись.

Это имя может отпугнуть начинающих пользователей, но это не более чем учетная запись для доступа к вашему компьютеру в качестве администратора по умолчанию. Локальная учетная запись работает на этом конкретном компьютере и ни на каких других компьютерах.

Преимущества использования локальной учетной записи:

Выберите локальную учетную запись, если хотите, чтобы все было так, как в предыдущих версиях Windows. Вы войдете в систему, измените свои настройки, установите программное обеспечение и сохраните свою пользовательскую область отдельно от других в системе. Однако вы упустите ряд функций, доступных благодаря учетным записям Microsoft.

Что такое учетная запись Microsoft?

Наличие учетной записи Microsoft означает, что у вас будет более легкий доступ ко всем службам Microsoft, но ее использование с Windows 10 дает еще несколько преимуществ.

Доступ к Магазину Windows

Вход в Windows дает вам доступ к Магазину Windows, откуда вы можете загружать приложения на свой компьютер с Windows. Эти приложения аналогичны приложениям, которые можно найти в Google Play Store или iTunes App Store. Разница в том, что приложения Магазина Windows можно использовать на ПК. В Windows 10 приложения из Магазина Windows можно использовать как обычные настольные приложения.

Вы найдете тысячи бесплатных приложений по категориям, включая игры, спорт, социальные сети, развлечения, фото, музыку и новости. Некоторые из них платные, но есть много бесплатных игр и других приложений.

Бесплатное облачное хранилище

Настройка учетной записи Microsoft предоставляет вам 5 ГБ дискового пространства в облаке бесплатно. Эта служба, известная как OneDrive, хранит файлы в Интернете, чтобы вы могли получить к ним доступ с других устройств.

С OneDrive не только проще получить доступ к вашим данным, но и OneDrive также позволяет создавать ссылки для файлов, которыми вы хотите поделиться с другими. Все, что нужно сделать получателю, — это щелкнуть ссылку, чтобы просмотреть файл — нет необходимости отправлять вложение по электронной почте.

OneDrive также предоставляет инструменты для редактирования файлов с помощью Office Online — набора упрощенных программ Microsoft Office для редактирования и создания документов, хранящихся в OneDrive.

Если вы решите не использовать свою учетную запись Microsoft на компьютере, у вас останется 5 ГБ бесплатного хранилища в OneDrive.

Синхронизировать настройки аккаунта

Возможно, самая интересная особенность учетной записи Microsoft заключается в том, что она сохраняет настройки вашей учетной записи Windows 10 в облаке. Когда вы входите в свою учетную запись на одном компьютере с Windows, ваши изменения применяются к настройкам на всех ваших устройствах с Windows.

С учетной записью Windows 10 вы можете синхронизировать свои сетевые профили, пароли и настройки приложений Магазина Windows. Windows 10 также позволяет вам легко обмениваться паролями Wi-Fi в фоновом режиме с друзьями и коллегами.

Минусы входа в систему с учетной записью Microsoft

Некоторые из недостатков использования учетной записи Microsoft для входа на компьютер с Windows включают:

  • Взлом: Microsoft хранит информацию о вашей учетной записи в Интернете, поэтому, если кто-то взломает вашу учетную запись, хакер получит доступ к вашему компьютеру и ко всем службам Microsoft, которыми вы пользуетесь.
  • Требуется подключение к Интернету: для входа на компьютер в автономном режиме требуется дополнительный шаг, чтобы подтвердить, что вы хотите использовать последние сохраненные настройки.
  • Общий пароль. Если вы предоставите кому-либо имя для входа в Microsoft, они получат доступ к вашим службам Microsoft и смогут просматривать любую конфиденциальную информацию, хранящуюся там.
  • Меньше конфиденциальности: Microsoft сохраняет настройки вашего компьютера, использование компьютера, посещаемые вами сайты и приложения, которые вы используете, на своих серверах.
  • Синхронизированные настройки. Настройки автоматически синхронизируются на всех устройствах, использующих вашу учетную запись Microsoft.
  • Блокировка всех учетных записей. Если ваша учетная запись Microsoft заблокирована, это также означает, что вы заблокированы на всех устройствах, которые используете с этой учетной записью. Восстановление пароля Microsoft занимает от 10 до 15 минут.

Какой тип аккаунта выбрать?

Учетная запись Microsoft предлагает множество функций, которых нет в локальной учетной записи, но это не означает, что учетная запись Microsoft предназначена для всех.

Если вас не интересуют приложения Магазина Windows, у вас есть только один компьютер и вам не нужен доступ к вашим данным где-либо, кроме дома, то локальная учетная запись будет работать нормально. Это позволит вам войти в Windows и предоставить вам личное пространство, которое вы можете назвать своим.

Если вы хотите получить доступ ко всем функциям, которые предлагает Windows 10, вам потребуется учетная запись Microsoft, чтобы в полной мере воспользоваться ими.

Журналы – это записи событий, происходящих на вашем компьютере, будь то действия пользователя или работающего процесса. Они помогают отслеживать, что произошло, и устранять неполадки.

Журнал событий Windows содержит журналы операционной системы и приложений, таких как SQL Server или службы IIS. Журналы используют формат структурированных данных, что упрощает их поиск и анализ. Некоторые приложения также записывают файлы журналов в текстовом формате. Например, журналы доступа IIS.

В этой статье рассматриваются интерфейс и функции средства просмотра событий, а также представлены другие основные журналы приложений и служб. Приведены примеры, чтобы дать вам полное представление о том, как мониторинг событий может помочь вам управлять своими системами для обеспечения работоспособности и безопасности.

Журналы событий Windows

Просмотр событий Windows отображает журналы событий Windows. Используйте это приложение для просмотра журналов и навигации по ним, поиска и фильтрации определенных типов журналов, экспорта журналов для анализа и многого другого. Мы покажем вам, как получить доступ к средству просмотра событий Windows и продемонстрируем доступные функции.

Запуск средства просмотра событий Windows

Доступ к средству просмотра событий Windows Server 2019 можно получить несколькими способами:

  • Панель управления Windows
  • Диспетчер серверов
  • Центр администрирования Windows
  • Управление компьютером
  • Службы компонентов
  • Командная строка

Панель управления Windows

Панель управления — это стандартный компонент Windows для просмотра и изменения системных настроек. Его можно найти в выпусках Windows Server и Windows для настольных ПК. Чтобы получить доступ к средству просмотра событий:


Диспетчер серверов

Консоль диспетчера серверов позволяет управлять настройками на локальном и удаленных серверах. Чтобы получить доступ к средству просмотра событий из диспетчера серверов:


Центр администрирования Windows

Windows Admin Center – это браузерное приложение для управления серверами, кластерами, настольными ПК и другими компонентами инфраструктуры. Чтобы получить доступ к средству просмотра событий из центра администрирования Windows:

  1. Откройте Центр администрирования Windows в поддерживаемом браузере.
    1. Нажмите "События".


    Управление компьютером

    Консоль управления компьютером обеспечивает доступ к административным задачам на локальном или удаленном сервере. Чтобы открыть средство просмотра событий из управления компьютером:


    Служба компонентов Windows

    Еще одним встроенным приложением является Диспетчер служб компонентов Windows, который позволяет нам настраивать приложения DCOM, работающие в Windows. Средство просмотра событий Windows также доступно из диспетчера служб компонентов:


    Командная строка

    Наконец, вы можете открыть средство просмотра событий непосредственно из командной строки. Для этого:

    Использование интерфейса средства просмотра событий Windows

    Просмотр событий имеет интуитивно понятный пользовательский интерфейс. Главный экран разделен на три части:

    • Панель навигации
    • Панель сведений
    • Панель действий

    Вы можете создавать сводные и настраиваемые представления. Мы расскажем вам об этих вариантах.

    Панель навигации

    На панели навигации вы выбираете журнал событий для просмотра. По умолчанию существует пять категорий журналов Windows:

    • Приложение — информация, регистрируемая приложениями, размещенными на локальном компьютере.
    • Безопасность. Информация о попытках входа в систему (успешных и неудачных), повышенных привилегиях и других проверенных событиях.
    • Настройка — сообщения, генерируемые при установке и обновлении операционной системы Windows. Если система Windows является контроллером домена, эти сообщения также регистрируются здесь.
    • Система — сообщения, созданные операционной системой Windows.
    • Переадресованные события — события, пересылаемые другими компьютерами, когда локальный компьютер функционирует как центральный подписчик.

    Есть также раздел для журналов приложений и служб, включая категории для аппаратных событий, событий Internet Explorer и Windows PowerShell.

    Панель навигации средства просмотра событий:


    Панель сведений

    При открытии средства просмотра событий на панели сведений отображаются обзор и сводка. Мы обсудим сводные представления позже. Выберите элемент на панели навигации, чтобы просмотреть список событий.

    Записи о событиях по умолчанию перечислены в хронологическом порядке, причем самые последние события находятся вверху. Щелкните заголовок любого столбца, чтобы отсортировать события по этому полю в порядке возрастания или убывания. Второй щелчок в заголовке того же столбца меняет порядок сортировки на противоположный. Например, нажмите «Уровень», чтобы отсортировать по серьезности. Символ вставки ^ или обратная вставка указывает на поле сортировки и направление сортировки.

    Каждое событие имеет уровень серьезности:

    < td width="591">Критические сообщения указывают на возникновение серьезной проблемы.
    Информационные сообщения указывают на успешное действие.
    Предупреждающие сообщения указывают на то, что произошло событие, которое может стать проблемой.
    Сообщения об ошибках указывают на возникновение серьезной проблемы.
    Аудит связан с успехом с событиями безопасности.
    Ошибка аудита связана с событиями безопасности.

    Панель сведений средства просмотра событий с ошибками и предупреждениями:


    Нажмите на событие, чтобы отобразить подробную информацию. В этом примере мы видим источник выделенного события (TerminalServices-Printers), а также дату и время его возникновения. На вкладке «Общие» отображается дополнительная информация: необходимо установить драйвер принтера.

    Панель сведений средства просмотра событий, вкладка "Общие":


    Откройте вкладку "Подробности", чтобы просмотреть необработанные данные о событиях. Вы можете переключаться между дружественным представлением и представлением XML.



    Вы можете щелкнуть событие правой кнопкой мыши и выбрать «Копировать» > «Копировать сведения как текст», а затем вставить результаты в текстовый редактор. Перечислены системные поля, за которыми следует все событие в формате XML.

    Для этой критической ошибки мы видим, что система неожиданно отключилась.


    Панель действий

    Панель «Действия» обеспечивает быстрый доступ к действиям, доступным для текущего выбора. Панель действий разделена на две части:

    • Действия, доступные для выбранного журнала панели навигации
    • Действия, доступные для выбранного события в области сведений.

    В этом примере мы выбрали журнал приложений и событие 9027, диспетчер окон рабочего стола:


    Как видите, существует ряд возможных действий, когда определенный журнал событий активен.Например, нажмите «Фильтровать текущий журнал», чтобы найти определенное событие или группу событий. Всплывающее окно позволяет указать критерии запроса. Когда вы нажмете OK, отфильтрованные результаты отобразятся на панели сведений.


    Очистка больших журналов

    Вы можете выполнить некоторую очистку выбранного журнала с помощью действия «Очистить журнал», если он станет слишком большим. Это удалит все события, сохраненные в журнале. Чтобы проверить размер файлов журналов, выберите «Журналы Windows» или «Журналы приложений и служб» на панели навигации. Количество событий и размер отображаются на панели сведений.


    Экспорт событий

    Вы можете нажать Сохранить все события как или Сохранить все события в пользовательском представлении как (выбранные события) или Сохранить все события как (все события), чтобы экспортировать события из текущего журнала в файл событий. Файл событий имеет расширение EVTX.

    Где бы вы использовали такие функции? Предположим, вы хотите отправить информацию о состоянии вашей системы стороннему поставщику — вы можете предоставить им экспортированный файл событий. Кроме того, вы можете заархивировать свои журналы перед их удалением или отправить сохраненные журналы на централизованный резервный носитель. Удобно сохранять журналы событий в файле событий. Администраторы нажимают «Открыть сохраненный журнал» и переходят к расположению журнала, чтобы открыть сохраненный журнал.

    Пользовательские представления

    Просмотр событий позволяет легко создавать собственные представления. Это обеспечивает быстрый доступ, если вы заинтересованы в определенных типах событий или событий в зависимости от уровня серьезности.

    Создайте собственное представление:

    Теперь доступно ваше пользовательское представление.


    Подобно сохранению журналов в файле событий, вы можете экспортировать пользовательские представления.

    1. Выберите пользовательское представление на панели навигации.
    2. Нажмите «Экспорт пользовательского представления» на панели «Действия».
    3. Введите имя XML-файла, который нужно создать для пользовательского представления.

    Файл XML можно импортировать в средство просмотра событий в другой системе, нажав «Импортировать настраиваемое представление» и перейдя к местоположению файла.

    Сводные просмотры

    Просмотр событий (локальный) — это верхний узел на панели навигации. Если этот флажок установлен, обзор и сводка отображаются на панели сведений.

    • Сводка административных событий отображает итоги для всех типов событий в течение недели.
    • Недавно просмотренные узлы отображают историю просмотренных узлов в хронологическом порядке. Дважды щелкните узел, чтобы открыть его.
    • Сводка журнала отображает основные свойства каждого файла журнала. Дважды щелкните, чтобы открыть события для журнала.


    Глядя на этот пример, за последний час было зафиксировано шесть ошибок, а количество ошибок за последнюю неделю составило 18. Нажмите +, чтобы развернуть список ошибок:


    Дважды щелкните ошибку, чтобы открыть ее на панели сведений.


    Другие журналы приложений

    В Windows есть и другие журналы с собственными механизмами просмотра событий:

    • Диспетчер DNS
    • Диспетчер отказоустойчивого кластера
    • Доступ к IIS
    • История планировщика заданий
    • Служба компонентов Windows

    Диспетчер DNS

    Если Windows Server настроен как сервер службы доменных имен (DNS), устанавливается диспетчер DNS. В небольших сетях это обычно сервер домена Active Directory.

    Диспетчер DNS имеет собственный список событий:


    Диспетчер отказоустойчивого кластера

    Служба Windows Server Failover Clustering позволяет двум или более серверам Windows работать как кластер — отказоустойчивая конфигурация, в которой физический аппаратный сбой одного сервера автоматически обнаруживается и заменяется другим сервером. Служба отказоустойчивой кластеризации Windows Server автоматически перенаправляет весь сетевой трафик на работоспособный экземпляр, создавая высокодоступную среду. В кластере приложения подключаются к общей точке доступа — виртуальному IP-адресу или имени кластера — и Windows направляет весь трафик на правильный узел. При возникновении сбоя приложения продолжают работать в обычном режиме. Отказоустойчивая кластеризация Windows Server используется в качестве основы для современных решений высокой доступности SQL Server, таких как группы доступности AlwaysOn.

    Диспетчер отказоустойчивого кластера — это встроенное приложение Windows с собственным средством просмотра событий.Используя это средство просмотра событий, системные администраторы могут устранять неполадки, когда их кластер выходит из строя или перестает функционировать должным образом. На следующем снимке экрана показан узел просмотра событий Cluster Manager на панели навигации. При выборе этого узла будут отображаться события, связанные с кластером.


    Журналы доступа к IIS

    Журналы доступа к Internet Information Services содержат информацию о запрошенных URI и статусе, указывающем, был ли ответ успешно доставлен. Он записывает эти журналы в виде файлов в расширенном формате журнала W3C. Этот формат представляет собой тип значения, разделенного запятыми (CSV). Местоположение файла журнала указывается в параметрах ведения журнала диспетчера IIS. По умолчанию расположение:

    Например, вот файл журнала на диске C: с W3SVC1 в качестве виртуального хоста и u_ex150428 в качестве имени файла, закодированного датой 2015-04-28:

    Вот выдержка из файла журнала. Определение столбца находится в комментарии. Запрос /manager/html вернул код состояния 404, так как страница не существует.

    Журналы истории планировщика заданий

    Планировщик заданий запускает фоновые задачи и приложения по расписанию, подобно подсистеме cron в Linux. Примером может служить сценарий ночного резервного копирования, который создает резервные копии локальных баз данных SQL Server.

    С каждой задачей связаны события истории, которые вы можете просмотреть на панели сведений планировщика заданий:


    Вкратце

    Windows и связанные приложения записывают различные события в несколько журналов. Перехват и понимание этих событий является ключевой частью роли системного администратора. В этом руководстве рассказывается, как можно использовать различные методы для сбора, централизации и защиты этих журналов.

    Какие инструменты вы используете для мониторинга событий и работоспособности системы? Добавьте комментарий, чтобы сообщить нам!

    Читайте также: