Код статьи: 308427 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В этой статье описано использование окна просмотра событий для просмотра журналов событий и управления ими в Microsoft Windows XP.

Дополнительная информация

Окно просмотра событий

В Windows XP событием называется любое значительное изменение состояния системы или программы, о котором следует уведомить пользователей, а также событием называется запись в журнале. Служба журнала событий записывает события приложений, системные события и события безопасности в окне просмотра событий. С помощью журналов средства просмотра событий можно получать сведения об аппаратном и программном обеспечении компьютера, о системных компонентах, а также отслеживать события безопасности на локальном или удаленном компьютере. Журналы событий можно использовать при определении источника текущих системных неполадок, а также для предотвращения возможных неполадок.

Типы журналов событий

На компьютере с Windows XP запись событий ведется в следующих трех журналах:
  • Журнал приложений

    В журнале приложений содержатся события, записанные программами. Например, программа работы с базами данных может записать в журнал приложений ошибку доступа к файлу. События для записи в журнал приложений определяются разработчиками программного обеспечения.
  • Журнал безопасности

    В журнал безопасности записываются такие события, как удачные и неудачные попытки входа в систему, а также события, связанные с использованием ресурсов (такие как создание, открытие или удаление файлов). Например, если включен аудит входа в систему, в журнал безопасности будет записываться событие при каждой попытке выполнить вход на этот компьютер. Чтобы включать и использовать запись событий в журнал безопасности, а также чтобы указывать события для записи, необходимо быть администратором компьютера или входить в группу администраторов.
  • Журнал системы

    В журнале системы содержатся события, записанные системными компонентами Windows XP. Например, если происходит сбой загрузки драйвера при запуске системы, соответствующее событие записывается в журнал системы. События, записываемые системными компонентами, предопределены в Windows XP.

Просмотр журналов событий

Чтобы открыть окно просмотра событий, выполните следующие действия:
  1. Нажмите кнопку Пуск и выберите пункт Панель управления. Выберите последовательно пункты Производительность и обслуживание и Администрирование, а затем дважды щелкните значок Управление компьютером. Или откройте консоль MMC, содержащую оснастку просмотра событий.
  2. В дереве консоли выберите элемент Окно просмотра событий.

    В окне просмотра событий отображаются журнал приложений, журнал безопасности и системный журнал.

Просмотр подробных сведений о событии

Чтобы просмотреть подробные сведения о событии, выполните следующие действия:
  1. Нажмите кнопку Пуск и выберите пункт Панель управления. Выберите последовательно пункты Производительность и обслуживание и Администрирование, а затем дважды щелкните значок Управление компьютером. Или откройте консоль MMC, содержащую оснастку просмотра событий.
  2. В дереве консоли разверните узел Окно просмотра событий и выберите журнал, событие из которого требуется просмотреть.
  3. В панели сведений дважды щелкните событие, которое нужно просмотреть.

    Откроется диалоговое окно Свойства: Событие, в котором содержатся сведения о заголовке и описание события.

    Чтобы скопировать сведения о событии, нажмите кнопку Копировать, откройте новый документ, в который требуется вставить сведения о событии (например, документ Microsoft Word), а затем выберите команду Вставить в меню Правка.

    Чтобы просмотреть описание предыдущего или следующего события, используйте клавиши СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ.

Интерпретация события

Записи в журнале классифицируются по типам, каждая запись содержит сведения о заголовке и описание события.

Заголовок события

Заголовок события содержит следующие сведения о событии:
  • Дата

    Дата, когда событие произошло.
  • Время

    Время, когда событие произошло.
  • Пользователь

    Имя пользователя, который работал в системе, когда произошло событие.
  • Компьютер

    Имя компьютера, на котором произошло событие.
  • Код события

    Номер события, определяющий его тип. Код события может быть использован службами технической поддержки для распознавания сбоя системы.
  • Источник

    Источник ошибки. Это может быть имя программы, системного компонента или отдельного компонента большой программы.
  • Тип

    Тип события. Существует пять типов событий: ошибка, предупреждение, сведения, аудит успехов и аудит отказов.
  • Категория

    Классификация событий по источнику событий. Используется главным образом в журнале безопасности.

Типы событий

Описания событий в журнале зависят от типов событий. Каждое событие журнала может принадлежать к одному из следующих типов.
  • Сведения

    Событие, которое обозначает успешное выполнение какой-либо задачи (приложения, драйвера или службы). Например, событие с типом «Сведения» будет записано при успешной загрузке сетевого драйвера.
  • Предупреждение.

    Это событие может не быть важным, но может указывать на возможность возникновения неполадки в дальнейшем. Например, предупреждение будет записано в журнал, когда начнет заканчиваться свободное пространство на диске.
  • Ошибка

    Такое событие обозначает серьезную неполадку, например сбой важной задачи. Возникновение событий с типом «Ошибка» может сопровождаться потерей данных или сбоями в работе. Например, в журнал будет записана ошибка при сбое загрузки службы во время запуска системы.
  • Аудит успехов (журнал безопасности)

    Событие, которое обозначает успешное завершение отслеживаемой операции безопасности. Например, событие аудита успеха записывается в журнал при входе пользователя в систему.
  • Аудит отказов (журнал безопасности)

    Событие, которое обозначает, что отслеживаемая операция безопасности не была завершена успешно. Например, событие с типом «Аудит отказов» может быть записано в журнал, когда пользователю не удалось получить доступ к сетевому диску.

Поиск событий в журнале

По умолчанию отображаются все события журнала в виде списка. Если требуется найти конкретное событие или просмотреть несколько событий, можно выполнить поиск по журналу или применить фильтр к данным журнала.

Поиск конкретного события в журнале событий

Для поиска конкретного события в журнале выполните следующие действия:
  1. Нажмите кнопку Пуск и выберите пункт Панель управления. Выберите последовательно пункты Производительность и обслуживание и Администрирование, а затем дважды щелкните значок Управление компьютером. Или откройте консоль MMC, содержащую оснастку просмотра событий.
  2. В дереве консоли разверните узел Окно просмотра событий и выберите журнал, событие из которого требуется просмотреть.
  3. В меню Вид выберите команду Найти.
  4. В диалоговом окне Поиск укажите параметры события, которое требуется просмотреть, а затем нажмите кнопку Найти далее.
Событие, соответствующее условиям поиска, выделяется в панели сведений. Нажмите кнопку Найти далее, чтобы перейти к следующему событию, соответствующему условиям поиска.

Фильтрация событий в журнале

Чтобы фильтровать события журнала, выполните следующие действия:
  1. Нажмите кнопку Пуск и выберите пункт Панель управления. Выберите последовательно пункты Производительность и обслуживание и Администрирование, а затем дважды щелкните значок Управление компьютером. Или откройте консоль MMC, содержащую оснастку просмотра событий.
  2. В дереве консоли разверните узел Окно просмотра событий и выберите журнал, событие из которого требуется просмотреть.
  3. В меню Вид выберите команду Фильтр.
  4. Откройте вкладку Фильтр (если она еще не открыта).
  5. Задайте нужные параметры фильтра и нажмите кнопку OK.
В панели сведений будут отображены только события, соответствующие условиям фильтра.

Чтобы отобразить все записи журнала, выберите команду Фильтр в меню Вид, а затем нажмите кнопку Восстановить умолчания.

Управление содержимым журнала

По умолчанию начальный максимальный размер журнала составляет 512 КБ, при достижении этого размера новые события записываются поверх старых. При необходимости можно изменять эти параметры или удалять содержимое журнала.

Задание размера журнала и параметров перезаписи

Чтобы задать размер журнала и параметры перезаписи, выполните следующие действия:
  1. Нажмите кнопку Пуск и выберите пункт Панель управления. Выберите последовательно пункты Производительность и обслуживание и Администрирование, а затем дважды щелкните значок Управление компьютером. Или откройте консоль MMC, содержащую оснастку просмотра событий.
  2. В дереве консоли разверните узел Окно просмотра событий и щелкните правой кнопкой мыши журнал, для которого требуется задать размер и параметры перезаписи.
  3. В группе Размер журнала в поле Максимальный размер журнала введите требуемый размер.
  4. В группе По достижении максимального размера журнала выберите нужный вариант перезаписи.
  5. Если требуется удалить содержимое журнала, нажмите кнопку Очистить журнал.
  6. Нажмите кнопку ОК.

Архивация журнала

Если требуется сохранить данные журнала, можно создать архив в одном из следующих форматов:
  • Формат файла журнала (EVT)
  • Текстовый формат (TXT)
  • Текстовый файл с запятой в качестве разделителя (CSV)
Чтобы создать архив журнала, выполните следующие действия:
  1. Нажмите кнопку Пуск и выберите пункт Панель управления. Выберите последовательно пункты Производительность и обслуживание и Администрирование, а затем дважды щелкните значок Управление компьютером. Или откройте консоль MMC, содержащую оснастку просмотра событий.
  2. В дереве консоли разверните узел Окно просмотра событий и щелкните правой кнопкой мыши журнал, для которого требуется создать архив, а затем выберите команду Сохранить файл журнала как.
  3. Укажите имя файла и расположение, в котором требуется сохранить файл. В поле Тип файла выберите требуемый формат и нажмите кнопку Сохранить.
Файл журнала будет сохранен в указанном формате.

Ссылки

Дополнительные сведения о конкретных событиях и ошибках см. на веб-узле Майкрософт по адресу:
http://technet.microsoft.com/ru-ru/library/cc754424(WS.10).aspx
Дополнительные сведения об использовании окна просмотра событий см. в справке. (В оснастке просмотра событий или в окне «Управление компьютером» в меню Действие выберите команду Справка.)
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 308427 - Последний отзыв: 18 марта 2014 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Ключевые слова: 
kbhowtomaster kbhowto kbenv KB308427

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com