Windows server 2003 журнал событий просмотр

Обновлено: 08.07.2024

В этой статье упоминаются системные платы и платы, выпуск которых прекращен. Если приведенная ниже информация не распространяется на вашу плату или систему, вы также можете загрузить для просмотра системного журнала событий (SEL) и другие утилиты конфигурации для другой продукции. Альтернативным инструментом, например, является утилита Intel System Information Retrieval Utility(Sysinfo). Иначе, если у вас есть доступ к веб-консоли Integrated Baseboard Management Controller (Integrated BMC), генерируйте журналы SEL в разделе Server Health->Event Log->Save Event Log.

Что такое системный журнал событий (SEL)?

Sel Viewer — это инструмент, используемый для поиска и устранения неисправностей или просмотра потенциальных проблем с Intel® Server Platform. В зависимости от платформы, которая используется, вы можете считыть/распакуть SEL в Extensible Firmware Interface (EFI*), Windows*, Linux* или DOS.

Как выполнить считывание/извлечение sel?

Для всех серверных плат Intel® S7000FC4UR, X38MLST, S5400SF, S3420GP и S5500/S5520 используйте версию SELVIEWER 2.01 в оболочке UEFI*, Windows или Linux.

Во всех платах серии S5000 и S3200SH используйте SELVIEWER версии 1.54 для DOS или SELVIEWER версии 2.01 для Windows или Linux.

Как запустить sel Viewer в оболочке EFI?

Утилита SEL Viewer работает на целевых серверах оболочки EFI v1.1 или v2.0 в зависимости от платформы:

  1. Загрузите sel Viewer из Центра загрузки.
  2. Извлеките файл, предпочтительно, на USB-устройство.
  3. Подключите устройство (например, usb-перо) с извлеченной утилитой SEL Viewer к серверу, с которого необходимо извлечь SEL.
  4. Включите питание сервера и нажмите клавишуF6, чтобы войти в меню выбора загрузочного устройства.
  5. Выберите вариант оболочки EFI инажмитеEnter.
  6. После загрузки оболочки EFI измените станцию диска на USB-ручку, набрав fs0( (0 обычно является USB-ручкой). Затем нажмитеEnter.
  7. Если эта команда не работает, перенайдите по плану usb pen drive, используя команду map –r. Затем перейдите на станцию дисковода соответственно.
  8. Откройте папку, содержащую viewer SEL, набрав: cd: . Затем нажмитеEnter.
  9. Перейдите в каталог, содержащий sel Viewer, и выполните файл selview.efi.

Command prompt example

SEL Viewer ver. 2.0.1 build 11

Как запустить sel Viewer в Windows?

Утилита SEL Viewer для Windows работает со следующими версиями Windows:

  • Windows* Server 2003 Enterprise (32-разрядная и EM64T)
  • Windows Server 2008 Enterprise (32-разрядная и EM64T)
  • Windows Server 2008 R2 EM64T
  • Windows XP SP3 (32-разрядная версия)
  • Windows 7 (32-разрядная и EM64T)
  • Windows PE 2004 (1.5 — создано из Windows XP Professional с SP2)
  • Windows PE 2005 (1.6 — создано из ОС Windows Server 2003 с SP1)
  • Windows PE 2.0 (построено из 32-разрядной версии Windows Vista)
  • Windows PE 2.1 (создано из 32-разрядной версии Windows Vista SP1 и EM64T или Windows Server 2008 EM64T)

Установите драйвер imb перед запуском просмотра SEL в операционной системе под управлением Windows.

Драйвер можно найти в пакете SEL Viewer:

  1. Загрузите sel Viewer для Windows из Центра загрузки и извлеките его в нужное место.
  2. Скопируйте соответствующую папку в зависимости от версии операционной системы (x86 или x64) из выпущенного утилитой местоположения на корневой каталог жесткого диска (например, c:\x86).
  3. Откройте окно командной строки и перейдите в каталог, содержащий утилиту и связанные файлы (например, cd c:\selviewer).
  4. Перейдите в каталог, где находится драйвер imb.
  5. Установите драйвер imb, выполнив файл install.cmd , указав полный путь папки, в которой были скопированы файлы (например, установите c:\x86\imbdriver\x86).
  6. После успешной установки драйвера imb вам необходимо вернуться в первый каталог и запустить инструмент SEL Viewer, исполнив файл selview.exe в командной строке.

Command prompt example

Как запустить SEL Viewer в Linux?

Утилита SEL Viewer для Linux работает на следующих дистрибутивах Linux:

  • Обновление RHEL5 3 (32-разрядная и EM64T)
  • SLES11 (32-разрядная и EM64T)

Вы можете запустить SEL Viewer для Linux как в приложении на базе графического интерфейса, так и в командной строке. Графический интерфейс предоставляет все функции как CLI, включая очистку sel или сохранение содержимого SEL в файл.

Для открытия графического интерфейса SEL Viewer в Linux необходимо установить Java* Runtime Environment (JRE*) и запустить XServer*:

  1. Загрузите sel Viewer для Linux из Центра загрузки и извлеките его в нужное место.
  2. Убедитесь, что установлена Java Runtime Environment (JRE) (например, откройте терминал и введите команду: yum install java-1.5.0-sun java-1.5.0-sun-devel).
  3. Убедитесь, что XServer работает.
  4. Скопируете все файлы и подсистемы из выпущенного утилитой местоположения в папку на жестком диске (например, /home/selviewer).
  5. Запустите sel Viewer в интерфейсе командной строки:

/Selview [Варианты] [имя файла SEL] или ./cli [Параметры] [имя файла SEL]

Запустите пользовательский интерфейс просмотра SEL:

/Selview

SEL VIEWER для DOS (версия 1.54)

Вы также можете запустить утилиту SEL Viewer в DOS на серверных платах Intel® серии S5000:

  1. Загрузите sel Viewer для DOS из Центра загрузки.
  2. Извлеките пакет на загрузочное устройство, например загрузочное USB-устройство.
  3. Подключите загрузочное устройство с извлеченной утилитой SEL Viewer к серверу, с которого вы хотите извлечь SEL.
  4. Включите питание сервера и нажмите F6, чтобы войти в меню выбора загрузочного устройства.
  5. Выберите загрузочное устройство и нажмите Enter.
  6. После загрузки среды DOS перейдите в каталог, содержащий sel Viewer, и выполните файл selview.

command prompt example

Вы всегда можете сохранить SEL в формате .txt в нужное для анализа местоположение по вашему выбору:

SEL Viewer ver. 1.5.4

Дополнительную информацию можно найти в руководствах по поиску и устранению неисправностей.

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений. Когда возникают подобные типы событий, система Windows создает записи в журналах событий. В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами. Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей - событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий - управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Что такое служба "Журнал событий Windows"?

Служба (сервис) "Журнал событий Windows" - это специальная служба (сервис) для управления событиями и журналами событий. Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п. По умолчанию, после установки системы Windows служба "Журнал событий Windows" включена и запускается автоматически. Не стоит останавливать или выключать эту службу. Остановка службы "Журнал событий Windows" может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) "Журнал событий Windows" позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате. Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой "Журнал событий Windows" и их невозможно непосредственно открыть на живой, работающей системе. Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру. По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге
"C:\Windows\System32\winevt\Logs\"
Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги:

Запустите приложение Просмотр событий.

Нажмите "Открыть сохраненный журнал" в панели "Действия", расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку "Открыть" и его содержимое отобразиться в области просмотра событий в приложении.

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем "Просмотр событий". Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой. Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения. Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях возникающих при работе SQL-сервера, таких как "недостаточно памяти", "сбой при резервном копировании базы данных" и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений. Приложения идентифицируются как разные "источники" в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников. Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами. Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий. Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows. Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником. Журнал событий Система - важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д. Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен. Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Подробнее про аудит событий безопасности можно прочесть тут.
Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события. Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

Оснастка Event Viewer отображает события, регистрируемые системой при выполнении различных операций. Ее можно запустить путем ввода команды eventvwr в строку Run и нажав OK.

По умолчанию события записываются в одном из трех журналов:

System (Система): отображает системные события Windows.
Application (Приложения): отображает события, записанные установленными приложениями.
Security (Безопасность): отображает записи регистрации входа и выхода в систему, а также действия, связанные с доступом к файлам и папкам.

(Прочие программы, в том числе последние версии Microsoft Office и Internet Explorer, Microsoft Active Directory и File Replication Services, создают собственные журналы событий)

В каждом из них при помощи Event Viewer можно просмотреть, какие действия выполнялись в системе. Например, в журнале System записывается информация о запуске и остановке системных служб.

Журналы System и Application регистрируют предупреждения и критические события. Предупреждения (Warning events) — тип событий, которые не сигнализируют о неотложной проблеме, но могут вызвать более серьезные неприятности, если их не решить вовремя. Критические события (Critical events) записываются, когда в работе компонентов системы или приложений возникают ошибки при выполнении заданий. Примером критического события в журнале служб каталогов (Directory Services) может служить ошибка, которая случается, когда контроллеры домена (Domain Controllers) в среде активной директории (Active Directory) не могут копировать друг другу информацию о службе каталогов. Несмотря на то, что вызвавшие ее причины могут быть самыми разными, включая перебои в сети и проблемы с DNS, она классифицируется как критическая, так служит предвестником возможных нарушений в системной среде.

Резервное копирование, очистка и изменение размеров журналов событий

Оснастку Event Viewer можно применять для резервного копирования и очистки журналов событий, например в тех случаях, когда они достигают максимального размера.

Для удаления из журнала всех записей:

1. В левой части окна консоли управления Computer Management Console нажмите правой кнопкой на журнал, который требуется очистить, и выберите пункт меню Clear Log (Очистка журнала).
2. Windows Server 2003 спросит, не желаете ли вы сохранить содержимое файла перед его удалением. Нажмите Yes (Да) и укажите путь к папке для сохранения записей из журнала.
3. Нажмите Save (Сохранить). Таким образом, все записи из журнала удалятся, но будут сохранены в виде архивной копии на жестком диске.

Для изменения предельно допустимого размера журнала:

1. Нажмите правой кнопкой на нужный журнал и выберите пункт Properties (Свойства).
2. В поле Maximum Size (Максимальный размер) введите новое значение (по умолчанию 512 Кб) и нажмите OK.

Автоматическое управление журналами событий

По умолчанию максимально допустимая величина создаваемых журналов составляет 512 Кб. Этого вполне достаточно для удобного управления ими; однако система довольно часто регистрирует в них различные процессы. Журнал Security, например, может пополняться гораздо быстрее, чем хотелось бы, и в результате система со временем станет запрещать вход всем пользователям, не имеющим полномочий администратора. Это не столько типичная проблема серверных систем, сколько пример того, что может случиться при переполненном объеме журнала событий.

Для решения такой проблемы предусмотрены три опции:

• Overwrite events as needed — Перезаписывать события (перезапись начинается с самых старых записей).
• Archive log when full — Архивировать журнал при достижении предельного объема (перезапись событий не происходит).
• Do not overwrite events — Не перезаписывать события (очистка журнала производится в ручную).

При выборе одной из первых двух опций, управление журналов будет осуществляться автоматически в соответствии с разерами свободного пространства жесткого диска.

Примечание: Для проверки функционирования Windows Server 2003 необходимо регулярно просматривать журналы событий. Возможность создания архивных копий записей позволит администратору анализировать содержимое старых событий, не вмешиваясь в работу текущих журналов.

Доброго дня!

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

  1. нажать сочетание кнопок Win+R — должно появиться окно "Выполнить";
  2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню "Файл/новая задача" и ввести ту же команду eventvwr );

eventvwr — команда для вызова журнала событий

eventvwr — команда для вызова журнала событий

Просмотр событий

Система и безопасность

Система и безопасность

Администрирование

Просмотр событий — Администрирование

Просмотр событий — Администрирование

Актуально для пользователей Windows 10/11.

Windows 10 — события

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Win+X — вызов меню

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел "Журналы Windows" (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: "Приложение", "Безопасность", "Система". Именно о них пару слов подробнее:

  1. "Приложение" — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
  2. "Система" — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
  3. "Безопасность" — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например "Система") , далее кликнуть в правой колонке по инструменту "Фильтр текущего журнала" .

Система — фильтр текущего журнала

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Читайте также: