Просмотр событий

eventquery.vbs, eventcreate, eventtriggers
eventquery.vbs, eventcreate, eventtriggers
Тип	Командная строка
Разработчик	Microsoft
Операционная система	Microsoft Windows
Первый выпуск	25 октября 2001
Лицензия	проприетарное, коммерческое
Сайт	docs.microsoft.com/en-us…

Просмотр событий
Просмотр событий
	; Просмотр событий в Windows 10
Тип	Утилиты
Разработчик	Microsoft
Операционная система	Microsoft Windows

Просмотр событий — компонент операционной системы Microsoft Windows NT, который позволяет администраторам и пользователям просматривать журналы событий, обычно с расширениями файлов .evt и .evtx, как на локальной, так и на удалённой машине. Приложения и компоненты самой операционной системы могут использовать этот централизованный сервис для регистрации событий, таких как ошибки запуска компонентов или завершения операций. В Windows Vista система событий была полностью переработана^[1].

Благодаря тому, что Просмотр событий регулярно отображает незначительные ошибки запуска и обработки (которые на самом деле не вредят компьютеру), это программное обеспечение часто используется мошенниками из сферы технической поддержки, чтобы убедить жертву в наличии критических ошибок, требующих срочного обслуживания^[2]. Например, поле «Административные события» в разделе «Пользовательские представления» может содержать более тысячи ошибок или предупреждений за месяц.

Обзор

В Windows NT журналы событий существуют с первого выпуска системы в 1993 году.

Просмотр событий использует идентификаторы событий для определения уникальных ситуаций, которые могут возникнуть на компьютере с Windows. Например, при неудачной аутентификации пользователя система может сгенерировать событие с идентификатором 672.

Windows NT 4.0 добавила поддержку определения «источников событий» (то есть приложений, создавших событие), а также выполнения резервного копирования журналов.

В Windows 2000 появилась возможность для приложений создавать собственные источники журналов, помимо трёх системных журналов «System», «Application» и «Security». Также была произведена замена Просмотра событий NT4 на MMC-надстройку.

В Windows Server 2003 был добавлен API AuthzInstallSecurityEventSource() для регистрации приложений в журналах безопасности и ведения записей аудита^[3].

В версиях Windows, основанных на ядре Windows NT 6.0 (Windows Vista и Windows Server 2008), больше нет ограничения на суммарный размер журналов в 300 мегабайт. До NT 6.0 система открывала файлы журналов на диске как memory-mapped объекты в адресном пространстве ядра, используя те же пул памяти, что и другие компоненты ядра.

Файлы журнала Просмотра событий с расширением .evtx обычно располагаются, например, в каталоге C:\Windows\System32\winevt\Logs\.

Командная строка

В Windows XP был представлен набор из трёх инструментов командной строки, полезных для автоматизации задач:

eventquery.vbs — официальный скрипт для запроса, фильтрации и вывода результатов на основе журналов событий^[4]. Удалён после XP.
eventcreate — команда (поддерживается в Vista и 7) для внесения произвольных событий в журналы^[5].
eventtriggers — команда для создания задач, реагирующих на события^[6]. Удалён после XP, заменён возможностью «Прикрепить задачу к этому событию»: в списке событий кликнуть правой кнопкой мыши по событию и выбрать действие из контекстного меню.

Windows Vista

В Windows Vista Просмотр событий состоит из полностью переработанной архитектуры журналирования и трассировки событий^[1]. Новый формат опирается на структурированный XML-журнал и специальные типы журналов, что позволяет приложениям более точно записывать события, а специалистам по поддержке и разработчикам — проще интерпретировать записи.

XML-представление события можно увидеть во вкладке «Сведения» в свойствах события. Также возможно просматривать все возможные события, их структуры, зарегистрированных «издателей событий» и их конфигурации с помощью утилиты «wevtutil» — даже до возникновения самих событий.

Существует множество различных типов журналов событий, включая административные, операционные, аналитические и отладочные. Раздел «Журналы приложений» в панели области видимости содержит подробнее разнесённые по подкатегориям журналы, многие из которых относятся к диагностике.

Аналитические и отладочные события с высокой частотой записываются напрямую в trace-файлы, в то время как административные и операционные события, встречающиеся реже, могут дополнительно обрабатываться без заметного влияния на производительность системы, поэтому передаются через сервис журнала событий.

События публикуются асинхронно, чтобы снизить нагрузку на приложение, регистрирующее событие. Атрибуты события стали значительно более детализированными и включают свойства EventID, Level, Task, Opcode и Keywords.

Фильтрация с помощью XPath 1.0[править | править код]

Пользователи могут отфильтровывать события по нескольким критериям или с помощью ограниченного выражения XPath 1.0, а также создавать пользовательские представления для одного или нескольких событий. Использование XPath позволяет отображать только журналы, связанные с определённой подсистемой или проблемой конкретного компонента, архивировать выборочные события и на лету пересылать трассы специалистам поддержки.

Ниже приведены примеры простых пользовательских фильтров для Просмотра событий Windows:


Задача	Фильтр
Выбрать все события в журнале Security, где имя аккаунта (TargetUserName) равно «JUser»	`<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>`
Выбрать все события в журнале Security, где любой узел Data из EventData равен строке «JUser»	`<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>`
Выбрать все события в журнале Security, где любой узел Data из EventData равен «JUser» или «JDoe»	`<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>`
Выбрать все события в журнале Security, где любой узел Data из EventData равен «JUser» и идентификатор события равен «4471»	`<QueryList><Query Id="0" Path="Security"><Select Path="Security">[System[EventID="4471"]] and [EventData[Data="JUser"]]</Select></Query></QueryList>`
Практический пример для пакета Goldmine, имеющего два @Name	`<QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>`

Замечания:

Существует ряд ограничений в реализации XPath от Microsoft^[7]
Запросы, использующие строковые функции XPath, вызовут ошибку^[8]

Подписчики событий[править | править код]

К основным подписчикам событий относятся служба сбора событий (Event Collector) и Task Scheduler 2.0. Служба сбора событий может автоматически пересылать журналы событий на другие удалённые системы (работающие под Windows Vista, Windows Server 2008 или Windows Server 2003 R2) по настраиваемому расписанию. Журналы событий могут также просматриваться удалённо с других компьютеров, либо централизованно собираться и контролироваться без установки агента, с управлением с одного компьютера. События могут напрямую связываться с задачами, которые запускаются в обновлённом Планировщике заданий и автоматически выполняются при определённых событиях.

Примечания

↑ ¹ ² Новые средства управления событиями в Windows Vista (англ.). TechNet. Microsoft (ноябрь 2006). Дата обращения: 1 мая 2024. Архивировано 3 января 2007 года.
↑ "Я звоню вам из Windows": мошенник-техподдержки связывается с Ars Technica (англ.), Ars Technica (4 October 2012). Архивировано 23 сентября 2014 года. Дата обращения: 1 мая 2024.
↑ Функция AuthzInstallSecurityEventSource (англ.). MSDN. Microsoft. Дата обращения: 1 мая 2024. Архивировано 24 февраля 2008 года.
↑ Eventquery.vbs (англ.). docs.microsoft.com. Дата обращения: 1 мая 2024. Архивировано 20 ноября 2004 года.
↑ Eventcreate (англ.). docs.microsoft.com. Дата обращения: 1 мая 2024. Архивировано 17 ноября 2004 года.
↑ Eventtriggers (англ.). docs.microsoft.com. Дата обращения: 1 мая 2024. Архивировано 20 ноября 2004 года.
↑ Реализация и ограничения XPath 1.0 в Windows Event Log (англ.). MSDN. Microsoft. Дата обращения: 1 мая 2024. Архивировано 7 марта 2010 года.
↑ Сценарий PowerShell для фильтрации событий с помощью XPath-запроса (англ.). Дата обращения: 1 мая 2024. Архивировано 14 декабря 2009 года.

Ссылки

- Просмотр событий — Inside Show на Microsoft Learn
- События и ошибки (Windows Server 2008) на Microsoft Learn

[Eventlog-1] ¹ ² Новые средства управления событиями в Windows Vista (англ.). TechNet. Microsoft (ноябрь 2006). Дата обращения: 1 мая 2024. Архивировано 3 января 2007 года.

[2] "Я звоню вам из Windows": мошенник-техподдержки связывается с Ars Technica (англ.), Ars Technica (4 October 2012). Архивировано 23 сентября 2014 года. Дата обращения: 1 мая 2024.

[3] Функция AuthzInstallSecurityEventSource (англ.). MSDN. Microsoft. Дата обращения: 1 мая 2024. Архивировано 24 февраля 2008 года.

[4] Eventquery.vbs (англ.). docs.microsoft.com. Дата обращения: 1 мая 2024. Архивировано 20 ноября 2004 года.

[5] Eventcreate (англ.). docs.microsoft.com. Дата обращения: 1 мая 2024. Архивировано 17 ноября 2004 года.

[6] Eventtriggers (англ.). docs.microsoft.com. Дата обращения: 1 мая 2024. Архивировано 20 ноября 2004 года.

[7] Реализация и ограничения XPath 1.0 в Windows Event Log (англ.). MSDN. Microsoft. Дата обращения: 1 мая 2024. Архивировано 7 марта 2010 года.

[8] Сценарий PowerShell для фильтрации событий с помощью XPath-запроса (англ.). Дата обращения: 1 мая 2024. Архивировано 14 декабря 2009 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]