Номер статті: 308427 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ПІДСУМКИ

У цій статті описано використання вікна перегляду подій для перегляду журналів подій і керування ними в Microsoft Windows XP.

ДОДАТКОВІ ВІДОМОСТІ

Вікно перегляду подій

У Windows XP подією називається будь-яка значна зміна в системі або програмі, про яку слід повідомити користувачів, або запис, занесений до журналу подій. Служба журналу записує події програм, системні події та події, пов'язані з безпекою, у вікні перегляду подій. За допомогою журналів подій у вікні перегляду подій можна отримати інформацію про апаратне та програмне забезпечення комп'ютера та системні компоненти, а також відслідковувати події безпеки на локальному або віддаленому комп'ютері. Журнали подій можна використовувати для пошуку та діагностики поточних неполадок у системі, а також для попередження можливих системних проблем.

Типи журналів подій

На комп'ютерах із Windows XP записування подій відбувається у трьох таких журналах.
  • Журнал додатків

    Цей журнал містить події, записані програмами. Наприклад, програма роботи з базами даних може записати до журналу додатків помилку доступу до файлу. Події для записування до журналу додатків визначаються розробниками програмного забезпечення.
  • Журнал безпеки

    До журналу безпеки записуються такі події, як вдалі та невдалі спроби входу до системи, а також події, пов'язані з використанням ресурсів (наприклад, створення, відкриття та видалення файлів). Наприклад, якщо ввімкнуто відстеження входу до системи, до журналу безпеки буде записано кожну спробу входу користувача на комп'ютер. Щоб мати змогу вмикати та використовувати записування подій до журналу безпеки, а також щоб установлюватии події, які підлягають записуванню, потрібно ввійти до системи з правами адміністратора або члена групи "Адміністратори".
  • Журнал системи

    Цей журнал містить події, записані системними компонентами Windows XP. Наприклад, якщо в ході запуску системи стається збій драйвера, у журналі системи буде зроблено відповідний запис. Події, які записуються системними компонентами, визначаються системою Windows XP.

Перегляд журналів подій

Щоб відкрити вікно перегляду подій, виконайте такі дії.
  1. Натисніть кнопкуПуск і виберіть пункт Панель керування. Виберіть пункт Продуктивність і обслуговування, потім - пункт Адміністрування і двічі клацніть значок Керування комп'ютером. Або відкрийте консоль MMC, яка містить оснащення перегляду подій.
  2. У дереві консолі виберіть елемент Вікно перегляду подій.

    Вікно перегляду подій показує журнал програм, журнал безпеки та журнал системи.

Перегляд відомостей про подію

Щоб переглянути подробиці події, виконайте такі дії.
  1. Натисніть кнопку Пуск і виберіть пункт Панель керування. Виберіть пункт Продуктивність і обслуговування, потім - пункт Адміністрування і двічі клацніть значок Керування комп'ютером. Або відкрийте консоль MMC, яка містить оснащення перегляду подій.
  2. У дереві консолі розгорніть вузол Вікно перегляду подій і виберіть журнал, подію з якого потрібно переглянути.
  3. На панелі відомостей двічі клацніть подію, яку потрібно переглянути.

    Відкриється діалогове вікно Властивості: Подія, яке містить заголовок та опис події.

    Щоб скопіювати відомості про подію, натисніть кнопку Копіювати, відкрийте новий документ у програмі, у яку потрібно вставити відомості (наприклад, Microsoft Word), а потім виберіть команду Вставити у менюПравка.

    Щоб переглянути опис попередньої або наступної події, скористайтеся кнопками СТРІЛКА ВГОРУ або СТРІЛКА ВНИЗ.

Інтерпретація події

Записи в журналі класифікуються за типом, і кожний запис містить заголовок і опис події.

Заголовок події

Заголовок містить такі відомості про подію.
  • Дата

    Дата, коли сталася подія.
  • Час

    Час, коли сталася подія.
  • Користувач

    Ім'я користувача, під час роботи якого сталася подія.
  • Комп'ютер

    Ім'я комп'ютера, на якому сталася подія.
  • Код події

    Номер події, який визначає її тип. Код події може використовуватися співробітниками служби підтримки для розпізнавання помилки в системі.
  • Джерело

    Джерело події. Це може бути ім'я програми, компонента системної або окремого компонента великої програми.
  • Тип

    Тип події. Існує п'ять типів подій: помилка, попередження, відомості, аудит успіхів й аудит відмов.
  • Категорія

    Класифікація подій за джерелом подій. Використовується головним чином у журналі безпеки.

Типи подій

Описи подій у журналі залежать від типу події. Кожна подія в журналі може належати до одного з таких типів.
  • Відомості

    Подія, яка описує успішне виконання завдання (програми, драйвери або служби). Наприклад, у результаті успішного завантаження мережного драйвера буде записано подію "Відомості".
  • Попередження

    Така подія може не бути важливою, але водночас указує на можливість виникнення неполадок у майбутньому. Наприклад, якщо на диску обмаль місця, до журналу буде записано відповідне попередження.
  • Помилка

    Така подія означає серйозну проблему, наприклад, збій важливого завдання. Виникнення подій з типом "Помилка" може супроводжуватися втратою даних або збоями в роботі. Наприклад, подія "Помилка" записується у разі невдачі запуску служби під час завантаження системи.
  • Аудит успіхів (журнал безпеки)

    Подія, яка описує успішне завершення відстежуваної операції безпеки. Наприклад, подію "Аудит успіхів" буде записано в разі успішного входу користувача до системи.
  • Аудит відмов (журнал безпеки)

    Подія, яка означає невдале завершення відстежуваної операції безпеки. Наприклад, подію "Аудит відмов" буде записано, якщо користувач здійснив невдалу спробу отримати доступ до мережного диска.

Пошук подій у журналі

За промовчанням усі події журналу відображаються у вигляді загального списку. Якщо потрібно знайти конкретну подію або переглянути частину подій, можна виконати пошук у журналі або застосувати фільтр до даних у журналі.

Пошук певної події в журналі подій

Щоб знайти певну подію, виконайте такі дії.
  1. Натисніть кнопку Пуск і виберіть пункт Панель керування. Виберіть пункт Продуктивність і обслуговування, потім - пункт Адміністрування і двічі клацніть значок Керування комп'ютером. Або відкрийте консоль MMC, яка містить оснащення перегляду подій.
  2. У дереві консолі розгорніть вузол Вікно перегляду подій і виберіть журнал, подію з якого потрібно переглянути.
  3. У меню Вигляд виберіть команду Знайти.
  4. У діалоговому вікні Пошук задайте параметри події, яку потрібно переглянути, та натисніть кнопку Знайти далі.
Подія, яка відповідає умовам пошуку, відобразиться в області відомостей. Натисніть кнопку Шукати далі, щоб перейти до наступної події, яка відповідає умовам пошуку.

Фільтрування подій у журналі

Щоб фільтрувати події в журналі, виконайте такі дії.
  1. Натисніть кнопку Пуск і виберіть пункт Панель керування. Виберіть пункт Продуктивність і обслуговування, потім - пункт Адміністрування і двічі клацніть значок Керування комп'ютером. Або відкрийте консоль MMC, яка містить оснащення перегляду подій.
  2. У дереві консолі розгорніть вузол Вікно перегляду подій і виберіть журнал, подію з якого потрібно переглянути.
  3. У меню Вигляд виберіть пункт Фільтр.
  4. Перейдіть на вкладку Фільтр (якщо вона ще не відкрита).
  5. Задайте потрібні параметри фільтра і натисніть кнопку ОК.
В області відомостей відобразяться лише події, які відповідають умовам фільтра.

Щоб повернутися до показу всіх записів у журналі, виберіть пункт Фільтр у меню Вигляд і натисніть кнопку Відновити.

Керування вмістом журналу

За промовчанням максимальний початковий розмір журналу становить 512 КБ. У разі досягнення цієї величини нові події записуються поверх старих. У разі необхідності можна змінювати ці параметри або стирати вміст журналу.

Визначення розміру журналу та параметрів перезаписування

Щоб задати розмір журналу та параметри перезаписування, виконайте такі дії.
  1. Натисніть кнопку Пуск і виберіть пункт Панель керування. Виберіть пункт Продуктивність і обслуговування, потім - пункт Адміністрування і двічі клацніть значок Керування комп'ютером. Або відкрийте консоль MMC, яка містить оснащення перегляду подій.
  2. У дереві консолі розгорніть вузол Вікно перегляду подій і клацніть правою кнопкою миші журнал, для якого потрібно вказати розмір і параметри перезаписування.
  3. У групі Розмір журналу в полі Максимальний розмір журналу введіть потрібний розмір.
  4. У групі У разі досягнення максимального розміру журналу виберіть потрібний варіант перезаписування.
  5. Якщо потрібно очистити журнал, натисніть кнопку Очистити журнал.
  6. Натисніть кнопку ОК.

Архівація журналу

Якщо потрібно зберегти дані журналу, можна створити архів в одному з таких форматів.
  • Формат файлу журналу (.evt)
  • Текстовий формат (.txt)
  • Текстовий формат із комою в якості розділювача (.csv)
Щоб створити архів журналу, виконайте такі дії.
  1. Натисніть кнопку Пуск і виберіть пункт Панель керування. Виберіть пункт Продуктивність і обслуговування, потім - пункт Адміністрування і двічі клацніть значок Керування комп'ютером. Або відкрийте консоль MMC, яка містить оснащення перегляду подій.
  2. У дереві консолі розгорніть вузол Вікно перегляду подій, клацніть правою кнопкою миші журнал, який потрібно архівувати, і виберіть команду Зберегти файл журналу як.
  3. Укажіть ім'я та розташування файлу, в якому потрібно зберегти файл. У полі Тип файлу виберіть потрібний формат і натисніть кнопку Зберегти.
Файл журналу буде збережений у вказаному форматі.

ПОСИЛАННЯ

Додаткові відомості про певні події та помилки див. на веб-сайті Майкрософт за адресою
http://www.microsoft.com/technet/support/ee/ee_advanced.aspx
Додаткові відомості про про використання вікна перегляду подій див. у довідковій системі вікна перегляду подій. (В оснастці перегляду подій або у вікні "Керування комп'ютером" у меню Дія виберіть пункт Довідка).

Властивості

Номер статті: 308427 - Востаннє переглянуто: 22 вересня 2006 р. - Редакція: 3.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Ключові слова: 
kbhowtomaster kbhowto kbenv KB308427

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com