Изучение журналов. Сортировка событий
Для определения порядка сортировки событий в журнале щелкните заголовок того столбца, по которому следует отсортировать события. Для отмены установленного порядка сортировки щелкните данный заголовок еще раз.
Порядок сортировки по времени регистрации события можно установить с помощью меню View(Вид). Возможны два режима сортировки: Oldest First(От старых к новым) или Newest First(От новых к старым - опция по умолчанию).
При архивировании журнала порядок сортировки не сохраняется.
Обновление журналов
Выберите в окне оснастки на панели обзора журнал, который требуется обновить. Затем в меню Action(Действие) укажите пункт Refresh(Обновить).
Следует учитывать, что команда Refreshнедоступна для архивированных журналов, поскольку данные файлы уже не могут быть обновлены.
Примечание
Когда вы открываете журнал, оснастка отображает текущую информацию журнала. Во время просмотра журнала информация не обновляется, если не делать это принудительно, по команде Refresh, Если журнал не отображается в текущем окне, то информация автоматически обновляется.
Поиск событий
Для поиска события в журнале в меню View(Вид) выберите команду Find(Найти). В открывшемся окне (которое аналогично окну фильтра, показанному на рис. 6) можно установить следующие параметры поиска: по типу события (Туре),по источнику события (Source),по категории (Category),коду события (Event ID),пользователю (User),компьютеру (Computer)или описанию (Description).Для начала поиска нажмите кнопку Find Next(Найти далее). Для восстановления критериев поиска по умолчанию нажмите кнопку Restore Defaults(Восстановить умолчания).
Создание нового вида журнала
Вы можете создать дополнительный вид какого-либо журнала, позволяющий просматривать, скажем, события с определенными параметрами.
Для этого:
1. Откройте необходимый журнал и в меню Action (Действие) выберите пункт New Log View (Создать вид журнала).
2. Вызовите для нового журнала контекстное меню и выберите команду Rename (Переименовать).
3. Задайте нужный вид журнала (столбцы, фильтр, способ сортировки).
Примечание
Управление и настройка дополнительных журналов, добавленных в дерево консоли, производятся так же, как и журналов по умолчанию.
Просмотр событий на другом компьютере
Для просмотра событий на другом компьютере достаточно в окне оснастки Event Viewer подключиться к этому компьютеру:
1. В окне оснастки выберите корневой узел и в меню Action выполните команду Connect to another computer.
2. Укажите имя удаленного компьютера или найдите его в каталоге, нажав кнопку Browse (Обзор).
3. Нажмите кнопку ОК.
Фильтрация событий
Для фильтрации событий в некотором журнале выберите в меню View (Вид) пункт Filter (Фильтр). Появится окно, показанное на рис. 7.8. Ниже приведено описание параметров фильтрации в журнале.
Параметр | Описание |
Information(Уведомления) | Значимые события, которые описывают успешные операции, выполненные сервисами. Например, сообщение об успешно запущенном сервисе |
Warning(Предупреждения) | Событие не мешает работе системы, но может привести к появлению проблем в будущем. Запись такого типа может быть зарегистрирована в случае недостатка свободного места на диске |
Error(Ошибки) | Регистрация такого события свидетельствует о появлении серьезных проблем. Например, такое событие может быть зарегистрировано, если не удалось запустить один из сервисов или системных компонентов |
Success Audit(Аудит успехов) | События, связанные с безопасностью системы. Запись этого типа указывает на успешную попытку выполнения действий, связанных с системой безопасности |
Failure Audit (Аудит отказов) | События, связанные с безопасностью системы. Указывают на неудачу при выполнении действий, связанных с системой безопасности |
Event Source (Источник события) | Источник, вызвавший появление события. Источником, может быть приложение или системный компонент |
Category(Категория) | Категория события, которая установлена в источнике события |
Event ID (Код события) | Идентификатор события - один из самых важных параметров |
User (Пользователь) | Учетная запись пользователя, от имени которой проводились действия, вызвавшие регистрацию события в журнале |
Computer (Компьютер) | Имя компьютера, на котором произошло событие |
From (С) | Просмотр событий, которые произошли после указанной даты и времени. По умолчанию дата и время устанавливаются равными дате и времени регистрации первого события в журнале |
То (По) | Просмотр событий, которые произошли после указанной даты и времени включительно. По умолчанию дата и время устанавливаются равными дате и времени регистрации последнего события |
Рисунок 6 - Вкладка Filterв окне свойств журнала, на которой устанавливаются параметры фильтрации сообщений
Примечание
Для возврата к опциям, установленным по умолчанию, нажмите кнопку Restore Defaults(Восстановить умолчания). Для отмены фильтрации в меню Viewвыберите пункт Аll Records(Все записи).