Программа просмотр событий что это такое

Содержание

Просмотр и анализ событий (логов) Windows с помощью PowerShell

date

17.11.2022

user

itpro

directory

PowerShell, Windows 10, Windows Server 2019

comments

комментария 4

Журнал событий Windows (Event Log) — это важный инструмент, который позволяет администратору отслеживать ошибки, предупреждения и другие информационные сообщения, которые регистрируются операционной системой, ее компонентами и различными программами. Для просмотра журнала событий Windows можно использовать графическую MMC оснастку Event Viewer ( eventvwr.msc ). В некоторых случаях для поиска информации в журналах событий и их анализа гораздо удобнее использовать PowerShell. В этой статье мы покажем, как получать информацию из журналов событий Windows с помощью командлета Get-WinEvent.

Как использовать журнал событий в Windows

На данный момент в Windows доступны два командлета для доступа к событиям в Event Log: Get-EventLog и Get-WinEvent. В подавляющем большинстве случаев рекомендуем использовать именно Get-WinEvent, т.к. он более производителен, особенно в сценариях обработки большого количества событий с удаленных компьютеров. Командлет Get-EventLog является устаревшим и использовался для получения логов в более ранних версиях Windows. Кроме того, Get-EventLog не поддерживается в современных версиях PowerShell Core 7.x.

Получение логов Windows с помощью Get-WinEvent

Для использования команды Get-WinEvent нужно запустить PowerShell с правами администратора (при запуске Get-WinEvent от имени пользователя вы не сможете получить доступ к некоторым логам, например, к Security).

Для получения списка событий из определенного журнала, нужно указать его имя. В данном примере мы выведем последние 20 событий из журнала System:

Get-WinEvent -LogName Application -MaxEvents 20

Чаще всего вам нужно будет получать информацию из журналов System, Application, Security или Setup. Но вы можете указать и другие журналы. Полный список журналов событий в Windows можно получить с помощью команды:

Get-WinEvent командлет PowerShell

Например, чтобы вывести события RDP подключений к компьютеру, нужно указать лог Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:

Get-WinEvent -LogName Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Или получить логи SSH подключений к Windows из журнала OpenSSH/Operational:

Get-WinEvent -LogName OpenSSH/Operational

Можно выбрать события сразу из нескольких журналов. Например, чтобы получить информацию о ошибках и предупреждениях из журналов System и Application за последние 24 часа (сутки), можно использовать такой код:

$StartDate = (Get-Date) — (New-TimeSpan -Day 1)
Get-WinEvent Application,System | Where-Object

Get-WinEvent командлет для поиска событий в журнале Windows

Чтобы вывести только определенные поля событий, можно использовать Select-Object или Format-Table:

Get-WinEvent вывести определенные поля событий

Get-WinEvent -LogName System | Format-Table Machinename, TimeCreated, Id, UserID

Можно выполнить дополнительные преобразования с полученными данными. Например, в этом примере мы сразу преобразуем имя пользователя в SID:

Get-WinEvent: быстрый поиск в событиях Event Viewer с помощью FilterHashtable

Рассмотренный выше способ выбора определенных событий из журналов Event Viewer с помощью Select-Object прост для понимая, но выполняется крайне медленно. Это особенно заметно при выборке большого количества событий. В большинстве случаев для выборки событий нужно использовать фильтрацию на стороне службы Event Viewer с помощью параметра FilterHashtable.

Попробуем сформировать список ошибок и предупреждений за 30 дней с помощью Where-Object и FilterHashtable. Сравнима скорость выполнения этих двух команд PowerShell с помощью Measure-Command:

Проверим скорость выполнения команды с Where-Object:

Аналогичная команда с FilterHashtable:

В данном примере видно, что команда выборки событий через FilterHashtable выполняется в 30 раз быстрее, чем если бы обычный Where-Object ( 2.5 сек vs 76 секунд).

Читайте также:
Phone master что это за программа

Get-WinEvent FilterHashtable выполняется намного быстрее

Если вам нужно найти события по EventID, используйте следующую команду с FilterHashtable:

В этом примере мы получили последние события перезагрузки и выключения Windows, который позволяют определить, кто перезагрузил/выключил компьютер с Windows.

В параметре FilterHashtable можно использовать фильтры по следующим атрибутам событий:

  • LogName
  • ProviderName
  • Path
  • Keywords (для поиска успешных событий нужно использовать значение 9007199254740992 или для неуспешных попыток 4503599627370496)
  • ID
  • Level (1=FATAL, 2=ERROR, 3=Warning, 4=Information, 5=DEBUG, 6=TRACE, 0=Info)
  • StartTime
  • EndTime
  • UserID (SID пользователя)
  • Data

Пример поиска события за определенный промежуток времени:

Если нужно найти определенный текст в описании события, можно использовать такую команду:

Get-WinEvent поиск текста в событиях

Расширенный фильтры событий Get-WinEvent с помощью FilterXml

Фильтры Get-WinEvent с параметром FilterHashtable являются несколько ограниченными. Если вам нужно использовать для выборки событий сложные запросы с множеством условий, нужно использовать параметр FilterXml, который позволяет сформировать запрос на выбор событий в Event Viewer с помощью XML запроса. Как и FilterHashtable, фильтры FilterXml выполняется на стороне сервера, поэтому результат вы получите довольно быстро.

Например, аналогичный запрос для получения последних ошибок из журнала System за последние 30 дней может выглядеть так:

Get-WinEvent -FilterXML

Для построения кода сложных XML запросов можно использовать графическую консоль Event Viewer:

  1. Запустите eventvwr.msc ;
  2. Найдите журнал для которого вы хотите создать и выберите Filter Current Log; Фильтр журнала событий Event Viewer
  3. Выберите необходимые параметры запроса в форме. В этом примере я хочу найти события с определенными EventID за последние 7 дней от определенного пользователя; формируем фильтр в Event Viewer
  4. Чтобы получить код XML запроса для параметра FilterXML, перейдите на вкладку XML и скопируйте полученный код (CTRL+A, CTRL+C); XML запрос в Event Viewer
  5. Если нужно, вы можете вручную отредактировать данный запрос.

Для экспорта списка событий в CSV файл нужно использовать командлет Export-CSV:

$Events= Get-WinEvent -FilterXML $xmlQuery
$events| Export-CSV «C:psFilterSYSEvents.csv» -NoTypeInformation -Encoding UTF8

Получить логи Event Viewer с удаленных компьютеров

Для получения события с удаленного компьютер достаточно указать его имя в параметре -ComputerName:

Можно опросить сразу несколько серверов/компьютеров и поискать на них определенные события. Список серверов можно получить из текстового файла:

$servers = Get-Content -Path C:psservers.txt

Или из Active Directory:

Здесь есть другой пример для поиска событий блокировки учетной записи пользователя на всех контроллерах домена:

Еще несколько примеров использования Get-WinEvent для поиска событий:

  • Удаления файла или папки на файловом сервере
  • Истории запуска программы в Windows
  • Поиска событий входа пользователя в Windows
  • Задачки Active Directory: кто создал пользователя, кто сбросил пароль пользователя или добавил его в группу безопасности AD

Источник: winitpro.ru

MyEventViewer — простая замена штатной утилиты просмотра событий Windows

Ч тобы просмотреть события Windows, пользователю нужно зайти в Панель управления и выбрать там Администрирование -> Просмотр событий. Продвинутые юзеры используют команду eventvwr . Но какой бы из этих двух способов вы не предпочли, просматривать события операционной системы можно будет только штатной утилитой, честно сказать, довольно медленной и не очень удобной.

Если со сказанным вы согласны, вам стоит попробовать MyEventViewer — маленькую портативную утилиту от известного разработчика Nir Sofer. Предназначается эта программка для тех же целей, что и штатная утилита eventvwr , но в отличие от последней она намного удобнее. Программа имеет простой двухпанельный интерфейс, множество различных опций и настроек, есть возможность русификации.

MyEventViewer

Помимо удобного просмотра событий, возможности MyEventViewer включают сортировку событий по разным критериям, просмотр их свойств, создание отчётов в HTML-формате , использование расширенной фильтрации, очистку протоколов, автоматический переход к записи при появлении нового события и многое другое. Имеется возможность поиска по ключевым словам с учётом и без учёта регистра.

MyEventViewer

В верхней панели рабочего окна отображаются все текущие события, в нижней — подробное описание конкретной записи. В отдельных колонках указывается тип события и его описание, тип отчёта, время, источник, код, категория, имя пользователя и компьютера. Количество сведений, ширина колонок и прочее — всё это можно задать в настройках.

Читайте также:
Программа cgi что это

Источник: www.white-windows.ru

Как посмотреть журнал событий в Windows 10

Журнал событий — это встроенное в систему средство, с помощью которого можно посмотреть различную информацию о важных действиях, произошедших во время работы ОС. Тут собраны данные о различных ошибках, неполадках и сбоях, которые происходят как в самой системе, так и сторонних приложениях. В этой статье мы подробно расскажем, как запустить журнал событий при помощи нескольких способов в Windows 10.

Варианты запуска приложения Иконка варианты, список

Открыть журнал можно при помощи различных методов. Запускается программа как вручную через программный файл на диске, так и с использованием различных системных инструментов. Рассмотрим более подробно каждый из доступных методов.

Вариант №1: Диалоговое Окно «Выполнить» Иконка Выполнить Windows 10

Самый простой способ запуска журнала — это использование диалогового окна «Выполнить». Чтобы таким образом открыть программу, выполним следующие операции:

  1. Нажимаем клавиатурную комбинацию «WIN+R».
  2. Далее в появившееся окно вписываем команду eventvwr.msc
  3. Кликаем по кнопке «ОК».

eventvwr.msc диалоговое окно Выполнить Windows 10

Запускаем «Журнал событий» из диалогового окна «Выполнить»

После произведенных действий журнал событий сразу запустится на компьютере.

Вариант №2: Используем поиск Windows Иконка поиск, лупа

При помощи системной функции поиска можно запускать различные компоненты Windows, в числе которых находится и журнал событий. Чтобы открыть приложение таким способом, проделаем следующее:

  1. На панели задач кликаем по иконке поиска или используем клавиатурную комбинацию «WIN+S».
  2. Далее в поисковую строку вписываем текст — Просмотр событий.
  3. Из появившихся результатов запускаем найденную программу.

Просмотр событий поиск Windows 10

Открываем «Журнал событий» при помощи поиска

После выполненных операций журнал операционной системы будет сразу же запущен.

Вариант №3: Используем панель управления ОС Иконка Панель управления Windows 10

Как можно догадаться из названия компонента, панель управления — это специальный раздел, в котором собраны различные утилиты для настройки функционала Windows, где можно отыскать и журнал событий. Чтобы при помощи этого системного раздела запустить нужное нам предложение, проделаем следующие шаги:

  1. Открываем диалоговое окно «Выполнить»,нажав клавиатурную комбинацию «WIN+R».
  2. Далее запускаем«Панель управления», вписав туда команду control и кликнув по кнопке «OK».

Команда control диалоговое окно «Выполнить»

Открываем «Панель управления» из диалогового окна «Выполнить»

Раздел Администрирование контрольная панель Windows 10

Переходим в раздел «Администрирование»

Просмотр событий Администрирование Windows 10

Запускаем «Журнал событий» выбрав соответствующую иконку

Окно журнала сразу появится на мониторе.

Вариант №4: Создаем ярлык для быстрого запуска программы Иконка ярлык, стрелка

Если пользователь собирается часто использовать журнал системы, для этого будет целесообразно создать ярлык, чтобы быстро запускать приложение. Осуществить это можно, произведя следующие операции:

  1. Открываем «Панель управления», воспользовавшись диалоговым окном «Выполнить» и вписав туда команду control.
  2. Далее из появившегося списка переходим в раздел «Администрирование».
  3. В новом окне кликаем по пункту «Просмотр событий» правой кнопкой и из контекстного меню выбираем вариант отправки на рабочий стол.

Просмотр событий Отправить Рабочий стол

Создаем ярлык для журнала на рабочем столе

После произведенных действий на десктопе появится ярлык, которым можно будет воспользоваться для быстрого запуска приложения.

Заключение Иконка заключение, итоги

На этом наша инструкция подошла к концу. Как видите, открыть журнал событий в десятой версии Windows можно разными способами. Для одноразового использования программы удобнее всего будет воспользоваться диалоговым окном «Выполнить», а если программу планируется запускать часто, то удобнее создать ярлык журнала на рабочем столе.

Источник: tehnichka.pro

Что такое программа просмотра событий Windows и как ее использовать?

Средство просмотра событий Windows показывает журнал приложений и системных сообщений, включая ошибки, информационные сообщения и предупреждения. Это полезный инструмент для устранения всевозможных проблем Windows.

Обратите внимание, что даже правильно работающая система будет показывать различные предупреждения и ошибки в журналах, которые вы можете просмотреть с помощью средства просмотра событий. Мошенники даже иногда используют этот факт, чтобы заставить людей поверить в то, что их система имеет проблему, которую может решить только мошенник. В одном печально известном мошенничестве человек, утверждающий, что он из Microsoft, звонит кому-то и приказывает открыть Средство просмотра событий. Человек обязательно увидит здесь сообщения об ошибках, и мошенник попросит номер кредитной карты человека, чтобы исправить их.

Читайте также:
Программа количественного смягчения ецб что это

Как правило, предполагая, что ваш компьютер работает правильно, вы можете в значительной степени игнорировать ошибки и предупреждения, которые появляются в средстве просмотра событий. Тем не менее, стоит иметь базовые практические знания об этом инструменте и знать, когда он может быть вам полезен.

Запуск программы просмотра событий

Чтобы запустить «Просмотр событий», просто нажмите «Пуск», введите «Просмотр событий» в поле поиска и щелкните результат.

События помещены в разные категории, каждая из которых связана с журналом, который Windows ведет для событий, относящихся к этой категории. Хотя существует множество категорий, огромное количество действий по устранению неполадок, которые вы, возможно, захотите выполнить, относится к трем из них:

  • Заявка: Журнал приложений регистрирует события, связанные с компонентами системы Windows, такими как драйверы и встроенные элементы интерфейса.
  • Система: В системный журнал записываются события, связанные с программами, установленными в системе.
  • Безопасность: Когда ведение журнала безопасности включено (в Windows оно отключено по умолчанию), в этот журнал записываются события, связанные с безопасностью, такие как попытки входа в систему и доступ к ресурсам.

Не паникуйте!

Вы обязательно увидите некоторые ошибки и предупреждения в средстве просмотра событий, даже если ваш компьютер работает нормально.

Средство просмотра событий создано, чтобы помочь системным администраторам следить за своими компьютерами и устранять проблемы. Если с вашим компьютером все в порядке, ошибки здесь вряд ли могут быть важны. Например, вы часто будете видеть ошибки, которые указывают на то, что программа вылетела из строя в определенное время — что могло быть несколько недель назад — или что служба не запустилась с Windows, но, вероятно, была запущена при следующей попытке.

На изображении ниже, например, вы можете увидеть, что ошибка возникла, когда служба клиента Steam не запустилась своевременно. Однако у нас не было проблем с клиентом Steam на тестовом компьютере, поэтому, скорее всего, это разовая ошибка, которая исправилась при следующем запуске.

Теоретически предполагается, что другие приложения также регистрируют события в этих журналах. Однако многие приложения не предоставляют очень полезную информацию о событиях.

Использование средства просмотра событий

На этом этапе вы, вероятно, задаетесь вопросом, зачем вам нужна программа просмотра событий, но на самом деле она может быть полезна, если вы устраняете конкретную проблему. Например, если ваш компьютер синий экран или случайный перезапуск, программа просмотра событий может предоставить дополнительную информацию о причине. Например, событие ошибки в разделе системного журнала может сообщить вам, какой драйвер оборудования вышел из строя, что может помочь вам определить неисправный драйвер или неисправный компонент оборудования. Просто найдите сообщение об ошибке, связанное с моментом зависания или перезагрузки компьютера — сообщение об ошибке зависания компьютера будет помечено как критическое.

Вы также можете найти в Интернете идентификаторы конкретных событий, которые помогут найти информацию, относящуюся к ошибке, с которой вы столкнулись. Просто дважды щелкните ошибку в средстве просмотра событий, чтобы открыть окно ее свойств, и найдите запись «Идентификатор события».

Есть и другие интересные варианты использования средства просмотра событий. Например, Windows отслеживает время загрузки вашего компьютера и записывает его в событие, чтобы вы могли используйте средство просмотра событий, чтобы узнать точное время загрузки вашего ПК. Если вы используете сервер или другой компьютер, который редко должен выключаться, вы можете включить отслеживание событий выключения . Каждый раз, когда кто-то выключает или перезагружает компьютер, он должен указать причину. Вы можете просмотреть каждое выключение или перезапуск системы и их причину в средстве просмотра событий.

How To Use The Windows Event Viewer

Источник: www.thefastcode.com

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru