Мониторинг журналов событий в Windows Vista

Опубликовано: 24 Марта, 2023


Получите свою копию Windows Server Hacks!


Одним из ключевых инструментов для устранения неполадок с компьютерами Windows является средство просмотра событий. Используя эту консоль, вы можете просматривать события, записанные в журналах приложений, системы и безопасности, и использовать эту информацию для решения проблем с вашим компьютером. Контроллеры домена имеют дополнительные журналы, такие как службы каталогов, DNS-сервер и служба репликации файлов, которые можно использовать для устранения неполадок, связанных с репликацией Active Directory и разрешением имен DNS. К сожалению, средство просмотра событий на платформах, предшествующих Vista, имеет ряд ограничений, из-за которых его эффективность в качестве средства устранения неполадок снижается. Эти ограничения включают в себя отсутствие поддержки централизованного ведения журналов, невозможность выполнения запросов по нескольким журналам, ограниченные возможности фильтрации событий и общее отсутствие «программного интеллекта», помогающего понять, как различные события соотносятся с возможными проблемами и как их можно устранить. решено.


Усовершенствованная версия Event Viewer для Windows Vista представляет собой значительное улучшение во многих из этих областей, и хотя она все еще не идеальна (особенно в области программной аналитики), это все же хороший шаг вперед по сравнению с предыдущей версией инструмента. Давайте рассмотрим некоторые из этих новых функций, чтобы вы могли узнать, как использовать их возможности для устранения неполадок. Пока я это делаю, я выделю некоторые новые термины, чтобы привлечь к ним ваше внимание. Обратите внимание, что эта статья основана на предварительной версии Vista, поэтому некоторые детали могут измениться в окончательной версии.


Большая картинка


Когда вы открываете Event Viewer, вы можете сразу увидеть некоторые сходства и различия с предыдущей версией инструмента (рис. 1):



Изображение 20781
Рисунок 1. Как выглядит Event Viewer в Vista


Новая панель действий справа просто дает вам альтернативный метод выполнения действий с выбранными элементами. Предыдущие методы щелчка правой кнопкой мыши и выбора кнопки панели инструментов «Действие» по-прежнему работают так же. Лично я по-прежнему предпочитаю щелкать правой кнопкой мыши, так как при этом требуется меньше движений руки после того, как вы выбрали интересующий объект.


На панели области слева отображается более сложное дерево параметров, чем в предыдущей версии инструмента. Давайте углубимся в эту панель, выбрав узел Global Logs (рис. 2):



Изображение 20782
Рис. 2. Изучение области области видимости


Обратите внимание, что теперь существует несколько различных типов журналов событий, которые вы можете отслеживать, включая типы журналов администрирования, операций, аналитики и отладки. Выбор узла «Журналы приложений» на панели области показывает, что существует множество других новых журналов событий, которые вы можете использовать, в том числе многие из них помечены как журналы диагностики (рис. 3):



Изображение 20783
Рисунок 3: Много-много новых журналов событий


На самом деле, большинство элементов, отображаемых в центральной панели выше, на самом деле являются подпапками, содержащими больше журналов! Ясно, что журналы событий в Windows Vista имеют гораздо более высокий уровень детализации, чем в предыдущих версиях Windows, и это должно облегчить детализацию и поиск информации, которая более актуальна для проблемы, которую вы устраняете, чем раньше.


Работа с представлениями


Еще одной новой функцией средства просмотра событий в Windows Vista являются представления, которые по сути представляют собой фильтры на стероидах. Возможности фильтрации предыдущей версии средства просмотра событий были довольно хорошими — вы могли фильтровать события по источнику события, категории, идентификатору события, пользователю, компьютеру, дате начала и окончания, а также типу, например информации, предупреждению, ошибке и т. д. Что-то, что многие администраторы не знают о старом средстве просмотра событий, заключается в том, что вы фактически можете создать более одного фильтра за раз и оставить их доступными для последующего использования. Для этого вам нужно щелкнуть правой кнопкой мыши журнал, на котором вы хотите сосредоточиться, и выбрать «Новое представление журнала», затем выбрать это новое представление (по сути, виртуальную копию журнала) и отфильтровать его, чтобы перейти к элементам, которые вы хотите. смотреть. В Windows Vista все почти так же, только лучше — просто щелкните правой кнопкой мыши узел «Представления» и выберите «Создать представление», после чего откроется лист свойств (фильтр) для настройки вашего представления (рис. 4):



Изображение 20784
Рисунок 4: Создание нового представления


Обратите внимание на добавленную здесь возможность фильтровать события по ключевым словам в событиях, что является долгожданным дополнением к функциональности инструмента. Вы также можете использовать гаджет «Журнал событий» вверху, чтобы выбрать несколько журналов в качестве источника для вашего представления, что означает, что теперь вы можете создать представление, например, которое может отображать все критические события, найденные либо в журнале приложений, либо в системном журнале (рис. 5):



Изображение 20785
Рисунок 5: Создание единого представления, отображающего события из нескольких журналов


Затем вы можете дать созданному вами представлению описательное имя, подобное этому (рис. 6), и, если хотите, ограничить использование этого представления только текущим пользователем или всеми пользователями:



Изображение 20786
Рис. 6. Присвоение имени только что созданному представлению


Вы также можете создавать новые представления приложений, которые в основном являются просто представлениями журналов приложений. Другими словами, вы можете создать собственное представление некоторых конкретных функций, таких как Microsoft Print Spooler, а затем отфильтровать его для отображения определенных типов событий. И вы можете создать столько новых представлений, сколько захотите, плюс при их создании вы также можете создавать новые подпапки для организации ваших представлений. Затем, когда вам нужно что-то проверить, вы просто выбираете нужное представление, и отображаются отфильтрованные события.


XML под капотом


В Vista XML теперь используется почти во всех продуктах Microsoft Windows. Даже сведения о событиях, хранящиеся в журналах событий, представлены в формате XML. Чтобы убедиться в этом, давайте откроем свойства события из журнала приложений (рисунок 7):



Изображение 20787
Рисунок 7: Свойства события


Это очень похоже на информацию о событиях в предыдущих версиях, и обратите внимание на ссылку на интерактивную справку журнала событий. Когда вы нажмете эту ссылку, вам будет предложено подтвердить отправку информации о событии через Интернет в Microsoft, и если вы согласитесь, откроется Internet Explorer, и вы получите страницу с обычным сообщением «К сожалению, нет дополнительной информации о этот вопрос и т. д.» с которым мы все знакомы по более ранним версиям Windows. Я не ожидаю, что эта справочная функция станет намного лучше в Vista, и если я действительно хочу найти помощь в загадочном событии, я иду на EventID.net, сайт сообщества, где администраторы делятся своими советами относительно того, какие условия или проблемы могут возникнуть. вызвали конкретное событие. EventID.net — это платный сайт на основе подписки, но если вы являетесь администратором Windows, то действительно стоит выложить несколько долларов в год, чтобы получить доступ к полной базе данных на этом сайте, я настоятельно рекомендую его. Но вернемся к средству просмотра событий — перейдите на вкладку «Подробности», и вы увидите информацию о событии в формате XML (рис. 8):



Изображение 20788
Рисунок 8: Средство просмотра событий хранит информацию о событиях в формате XML


Обратите внимание, что вы можете отобразить эту информацию в более удобном для чтения формате, выбрав Дружественный вид. Почему Vista хранит информацию о событиях в формате XML? Вероятно, потому, что это упрощает централизацию, консолидацию и сбор данных о событиях для поиска полезной информации при устранении неполадок. Другими словами, схематизируя данные о событиях с помощью XML, вы можете создавать обширную информацию, которую можно легко интегрировать с такими платформами управления, как MOM и SMS, хотя нам придется подождать, чтобы увидеть, как все это будет работать позже.


Вывод


Важной частью функциональности средства просмотра событий, которая будет включена в будущие сборки, будет возможность пересылать события с одного компьютера на другой, централизованный компьютер. Это позволит вам легко отслеживать выбранные типы событий для нескольких компьютеров в сети с одной рабочей станции Vista. Другие усовершенствования могут быть реализованы в Event Viewer до RTM, но я думаю, что мы можем сказать из вышеприведенного обзора, что версия этого инструмента для Vista является большим улучшением по сравнению с предыдущими версиями и сделает мониторинг и устранение неполадок на компьютерах под управлением Windows проще, чем когда-либо. Но не забудьте подписаться на EventID.net, если вы хотите получить доступ к коллективным знаниям (и разочарованиям) глобального сообщества администраторов о тех загадочных, странно сформулированных событиях, которые иногда (или часто) отображаются в средстве просмотра событий!

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023