Системні журнали починають функціонувати автоматично при запуску операційної системи. Розміри журнальних файлів обмежені, і система записує події, видаляючи старі записи відповідно до вибору параметрів журналу. Щоб проглянути або змінити конфігурацію, треба клацнути правою кнопкою на імені журналу в списку Event Viewer і вибрати в меню, що розкривається, пункт Properties.
Міняти конфігурацію слід залежно від ситуації. Якщо ви не вносите істотних змін в конфігурацію журналу або не бачите необхідності в аудиті подій, то робота налаштувань за умовчанням повинна вас влаштувати. Налаштування за умовчанням для максимального розміру файлу журналу складає 512 Кбайт, і коли журнал заповнений, система автоматично замінює старі записи новими через 7 днів. Проте, якщо в систему вносяться істотні зміни або вводиться в дію детальний аудит, журнали, швидше за все, почнуть заповнюватися численними записами. Якщо журнал виявляється заповненим і не містить записів, що зберігаються більше 7 днів, утиліті Event Viewer буде нічого видалити, щоб звільнити місце для нових записів, і система припинить записувати події. У цій ситуації треба збільшити розмір журнального файлу або виконати налаштування журналу на затирання старих записів в міру необхідності (варіант Overwrite events — as needed).
Фільтри
Коли адміністратор досліджує журнал, щоб розв'язати яку-небудь проблему, або перевіряє реакцію комп'ютера на істотну зміну конфігурації, він може прискорити цей процес, позбавившись від тих, що не мають відношення до справи записів в панелі Details. Діалогове вікно Properties кожного журналу має вкладку Filter, за допомогою якої вибираються типи подій, що відображаються. Наприклад, ви не хочете бачити інформаційні записи від певних комп'ютерів або ви хочете бачити тільки події, що сталися протягом тижня після внесення системних змін. Слід просто потрібним чином вибрати фільтри (чи відмінити вибір). Пам'ятайте, що фільтри впливають тільки на те, що відображається у вікні; система продовжує записувати в журнал події тих типів, які були відфільтровані. Наприклад, якщо є підстави вважати, що виникла загроза системі безпеки у вигляді вторгнення ззовні, можна залишити для відображення події тільки тих типів, швидкий погляд на які дозволяє виявити аномалії в реєстрації, такі як події з ID 675 і 681, аутентифікації, що відповідають невдалим спробам, або подія з ID 644, що означає блокування облікового запису внаслідок багатократного некоректного введення пароля.
Сортування журналу
Занурюючись у вирішення якої-небудь проблеми, я вважаю за краще сортувати журнали, щоб мати можливість знаходити потрібні записи безпосередньо за типом події, ідентифікаційному номеру (ID) події або по передбачуваному джерелу повідомлення. Наприклад, я могла б задатися метою знайти подію Userenv, якщо проблема торкається деякого користувача, що має проблеми з доступом в мережі.
Загальна подія Userenv має ID 1000 в журналі додатків і його опис свідчить, що Windows не змогла визначити ім'я користувача або комп'ютера. Це означає, що конфігурація TCP/IP комп'ютера для звернення до DNS -серверу встановлена некоректно. Адміністратори часто-густо використовують неправильні адреси при налаштуванні DNS на клієнтських комп'ютерах; я часто знаходжу IP -адрес шлюзу в полі для адреси DNS. Перевірку журналу компьютера-«обидчика» зі своєї робочої станції зазвичай виконати простіше, ніж йти до клієнтського комп'ютера і перевіряти налаштування TCP/IP.
Щоб зосередитися на подіях конкретних типів, треба вибрати відповідний журнал в консолі, розкрити його вміст, потім клацнути область заголовка стовпця, по якому належить виконати сортування. За умовчанням журнали відсортовані по даті, а потім за часом.
Очищення журналу
Будь-який журнал можна очистити, щоб звільнити додаткове місце для записів. Якщо вибрано налаштування Do not overwrite events (clear log manually) -« Не затирати події (очищення журналу вручну) », необхідно періодично чистити журнал.
Щоб очистити журнал, слід клацнути правою кнопкою на назві журналу в списку консолі Event Viewer і вибрати пункт Clear all Events («Стерти усі події»). Система запитує, чи треба зберегти журнал перед тим, як очистити його. Якщо в журналі є записи, які могли б згодитися в майбутньому (наприклад, при тривалому відстежуванні проблеми), можна виконати архівацію утримуваного журналу.
Архівація журналу
Будь-який журнал можна заархівувати як окремий файл — це корисно, якщо в журналі з'являються незвичайні записи і вимагається постежити деякий час за зміною його вмісту. Іноді в журналах з'являються події, які виглядають загрозливо, але користувач не відчуває жодних проблем. Якщо проблеми виникнуть пізніше, співробітникам служби підтримки Microsoft, можливо, буде корисно вивчити історію цієї події.
Щоб створити архівну копію журналу, треба клацнути правою кнопкою миші по назві журналу в консолі і вибрати в меню Save Log File As («Зберегти файл журналу як.».). За умовчанням Windows зберігає файл в теці Administrative Tools, розташованій в теці C : documentssettingsusernamestart menuprograms. Можна вказати іншу теку або створити окрему теку для зберігання архівних копій журналів. Я зазвичай привласнюю журналам ім'я у форматі ім'я_журнала-дата (наприклад, apps - dec012003). Windows додає розширення .evt.
Архівні копії журналів є окремими файлами на жорсткому диску, але відкривати їх можна тільки через програму перегляду подій Event Viewer. Для цього слід вибрати пункт Open Log File («Відкрити файл журналу») в меню Action (чи клацнути правою кнопкою по будь-якому об'єкту в консолі і вибрати Open Log File). У діалоговому вікні відкриття файлу вимагається вибрати потрібний архів, вказати тип журналу (т. е. Application, Security) в меню зі списком Log Type, потім клацнути Open.
Щоб видалити архів з консолі, слід клацнути правою кнопкою по його назві в списку і вибрати Delete. Ця дія не видаляє файл з жорсткого диска — тільки з консолі. Видалення архівної копії журналу з жорсткого диска виконується так само, як і видалення будь-якого іншого файлу.
Контрольні запитання
Література
Електроний ресурс http://www.osp.ru/win 2000/2004/03/176830/