Что такое журнал событий: Всё, что происходит на ПК под управлением Windows (клик мыши, нажатие клавиши, запуск программы…), – это события (events). Наиболее важные (с точки зрения Windows!) события (например, неполадки оборудования, приложений и системы) фиксируются ОС в так называемых журналах событий.
Как просмотреть журналы событий:
Windows XP: Пуск –> Настройка –> Панель управления –> Администрирование –> Просмотр событий (или Пуск –> Выполнить –> в окне Запуск программы в текстовое поле Открыть введите eventvwr.msc /s –> нажмите OK).
Основные виды журналов:
– журнал приложений (содержит данные, относящиеся к работе приложений и программ. Записи этого журнала создаются самими приложениями. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений);
– журнал безопасности (содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например, о создании, открытии и удалении файлов и других объектов. Решение о событиях, сведения о которых заносятся в журнал безопасности, принимает администратор. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности);
– журнал системы (содержит записи о событиях, внесенные компонентами операционной системы Windows. Например, в журнале системы регистрируются сбои при загрузке драйверов или других системных компонентов при запуске системы).
В окне «Просмотр событий» отображаются события следующих типов:
– ошибка (серьезные трудности, например, потеря данных или функциональности. Если происходит сбой загрузки службы при запуске, в журнал заносится сообщение об ошибке. Записи об ошибках отмечаются красным кругом с белым крестиком внутри);
– предупреждение (события, которые в момент записи в журнал не были существенными, но могут привести к сложностям в будущем. Например, если на диске осталось мало свободного места, в журнал заносится предупреждение. Предупреждения отмечаются желтым треугольником с черным восклицательным знаком);
– уведомление (событие, описывающее удачное завершение действия приложением, драйвером или службой. Например, после успешной загрузки драйвера в журнал заносится событие уведомления. Уведомления отмечаются белым кругом с «хвостиком» и синей буквой i внутри);
– аудит успехов (событие, соответствующее успешно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае успешного входа пользователя в систему, в журнал заносится событие с типом «Аудит успехов»);
– аудит отказов (событие, соответствующее неудачно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае неудачной попытки доступа пользователя к сетевому диску в журнал заносится событие типа «Аудит отказов»).