Как мы можем улучшить Windows Event Viewer
При определенных обстоятельствах может потребоваться пересмотреть список всех событий, выполняющихся в фоновом режиме в системе, подряд. Для всего этого и при необходимости мы поговорим об интересной программного обеспечения. это будет очень полезно в этом отношении. Это программа под названием FullEventLogView, решение, которое вы можете .
Таким образом и с этим портативный и бесплатно заявление от Nirsoft У нас будет возможность увидеть всю информацию, связанную с событиями в Windows 10. Он также показывает этот обширный список Windows в гораздо более дружественной среде, чем тот, который представлен системой. Это связано с тем, что предложенный здесь пользовательский интерфейс проще для понимания, а также предоставляет некоторые дополнительные функции.
Программа позволяет нам просматривать события как локальный компьютер и те из удаленного компьютера на сеть или те, которые хранятся в файлах в формате .evtx. Таким образом, у нас будет возможность использовать эту программу для доступа к деталям событий локальных или удаленных ПК без проблем
Также важно знать, что, поскольку это портативное программное обеспечение, оно не требует DLL библиотеки для работы, и мы можем нести его на USB-накопитель
Где и что находится в просмотре событий
Интерфейс данного инструмента администрирования можно условно разделить на три части:
- В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
- По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
- В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.
Не теряйте сон из-за безвредных ошибок
Проведите достаточно времени в средстве просмотра событий, и вы обнаружите, что его списки заполнены сообщениями об ошибках, которые не указывают на реальные проблемы. Иногда «ошибки» являются обычном результатом работы приложения, которое не обеспечивает Windows кодами событий для статуса сообщений. В результате, простое подтверждение, например, проверка лицензирования, может превратиться в ошибку, поскольку не удаётся найти соответствующее событию описание ID. Бывает очень заманчиво рассматривать каждую партию сообщений просмотра событий, как тайну, которую нужно решить, но ради производительности, часто бывает столь же полезно знать, когда эти события игнорировать.
Следующий рисунок показывает ошибку из другого источника, клиента DHCPv6. В этом случае, сведения об ошибке помогают определить проблему, которая была вызвана неправильной настройки DHCP-сервера локальной сети.
Область просмотра, под сводкой событий, показывает сведения для выбранного события. Вкладка «Общие» обычно содержит удобочитаемую сводку события.
В этой области просмотра можно увидеть две вкладки. Вкладка Общие содержит (как правило) понятное описание ошибки или информационное сообщение. Кликните вкладку сведения, чтобы выбрать из двух дополнительных видов нужный — показ деталей в форматированном списке или отображение сведений в формате XML.
Можно дважды щёлкнуть по любому событию и увидеть его в своём собственном окне, с вкладками «Общие» и «Детали». (При просмотре события в окне, используйте стрелки вверх/вниз/вправо для прокрутки между записями. Используйте находящуюся внизу кнопку «Копировать», чтобы сохранить полный комплект свойств событий в буфер обмена Windows.)
Открытие события в своём собственном окне обеспечивает те же представления, как и в области просмотра. Кнопка «Копировать» сохраняет сведения о событии в буфер обмена.
Предисловие
Многие из Вас, наверное, принимали участие в крупных и долгосрочных проектах, где разрабатывалось приличное количество модулей, использовались многочисленные библиотеки, сценарии и т.д. Мне тоже приходилось участвовать в таких проектах. Один из них и натолкнул меня на мысль о создании этой статьи. В том проекте участвовало множество программистов, разработчиков и тестеров. Каждый разработчик писал небольшой модуль протоколирования (логирования, от англ. logging, — снимать, записывать показания с прибора) и трассировки своих модулей и наработок. Кто-то писал свои утилиты, которые потом разбирали эти протоколы, кто-то использовал буферизованный вывод, т.е. какого-то чёткого регламента по этой деятельности не было. Результатом всей этой деятельности стало большое количество разбросанных текстовых и бинарных файлов с понятными и непонятными расширениями, непонятного формата и содержания. Понятно, что при такой организации так и должно было случиться. Хуже того, бывает и так, что при выходе финальной версии не удаётся всё это убрать, и всё это оказывается у пользователя и заказчика.
Для решения этой проблемы операционная система Windows предоставляет такой сервис и программный интерфейс, как Eventlog. Этот инструментарий относится к числу базовых сервисов Windows, т.е. поставляется с самой системой и система сама же его использует. Стоит заметить, что эта возможность есть только у систем семейств WinNT/XP, т.к. приложение для протоколирования событий является сервисом. Также стоит заметить, что в Windows Vista и Windows Longhorn этот сервис существенно переработан, новый вариант в этой статье рассматриваться не будет.
Мы не будем также рассматривать этот замечательный инструмент с точки зрения администраторов, сборщиков журналов и прочих персон, которые призваны управлять системой. Итак, приступим.
Настройка аудита объектов
Для сбора событий 4662 необходимо также настроить аудит объектов для объектов пользователей, групп и компьютеров. Ниже приведен пример того, как включить аудит для всех пользователей, групп и компьютеров в домене Active Directory, но вы можете ограничиться и подразделением.
Примечание
Важно перед включением сбора данных о событиях, чтобы убедиться, что контроллеры доменов настроены правильно для записи необходимых событий. При правильной настройке этот аудит должен иметь минимальное влияние на производительность сервера
При правильной настройке этот аудит должен иметь минимальное влияние на производительность сервера.
-
Откройте консоль Active Directory — пользователи и компьютеры.
-
Выберите домен или подразделение, которые содержат пользователей, группы или компьютеры, подлежащие аудиту.
-
Откройте меню Вид и выберите Дополнительные функции.
-
Щелкните правой кнопкой мыши контейнер (домен или подразделение) и выберите Свойства.
-
Перейдите на вкладку Безопасность и щелкните Дополнительно.
-
В окне Дополнительные параметры безопасностиперейдите на вкладку Аудит и щелкните Добавить.
-
Выберите Выбрать субъект.
-
В поле Введите имена выбираемых объектов введите Все. Затем выберите Проверить имена и щелкните ОК.
-
Затем вы вернетесь в раздел Запись аудита. Выберите указанные ниже параметры.
-
Для параметра Тип выберите значение Успех.
-
Для параметра Область применения выберите значение Дочерние объекты пользователей.
-
В разделе Разрешения прокрутите вниз и нажмите кнопку Очистить все .
-
Затем прокрутите страницу вверх и выберите Полный доступ. Будут выбраны все разрешения. Затем снимите флажкиСодержимое списка, Разрешения на чтение и Чтение всех свойств . Щелкните ОК. При этом для всех параметров Свойства будет задано значение Запись. Теперь при активации все соответствующие изменения в службах каталогов будут отображаться как события 4662.
-
-
Затем повторите описанные выше действия, но для параметра Область применения выберите следующие типы объектов:
- Дочерние объекты группы
- Дочерние объекты-компьютеры
- Дочерние объекты msDS-GroupManagedServiceAccount
- Дочерние объекты msDS-ManagedServiceAccount
Примечание
Назначение разрешений на аудит для «Все объекты-потомки» также будет работать, но нам требуются только типы объектов, как описано выше.
Аудит для конкретных обнаружений
Для некоторых обнаружений требуется аудит определенных объектов Active Directory
Для этого выполните описанные выше действия, но обратите внимание на следующие изменения, касающиеся объектов для аудита и разрешений, которые необходимо включить
Включение аудита для объекта ADFS
-
Перейдите в консоль Пользователи и компьютеры Active Directory и выберите домен, в котором нужно включить журналы.
-
Перейдите в каталог Program Data>Microsoft>ADFS.
-
Щелкните правой кнопкой мыши ADFS и выберите Свойства.
-
Перейдите на вкладку Безопасность и щелкните Дополнительно.
-
В окне Дополнительные параметры безопасностиперейдите на вкладку Аудит и щелкните Добавить.
-
Выберите Выбрать субъект.
-
В поле Введите имена выбираемых объектов введите Все. Затем выберите Проверить имена и щелкните ОК.
-
Затем вы вернетесь в раздел Запись аудита. Выберите указанные ниже параметры.
- Для параметра Тип выберите значение Все.
- Для параметра Область применения выберите Этот объект и все дочерние объекты.
- В разделе Разрешения прокрутите вниз и выберите Очистить все. Прокрутите вверх и выберите Прочитать все свойства и Записать все свойства.
-
Нажмите кнопку ОК.
Включение аудита для объекта Exchange
-
Откройте редактор ADSI. Для этого щелкните Пуск, выберите Выполнить, введите ADSIEdit.msc и нажмите кнопку ОК.
-
В меню Действие выберите Подключиться к.
-
В диалоговом окне Параметры подключения в разделе Выбор известного контекста именования выберите Конфигурация и щелкните ОК.
-
Разверните контейнер Конфигурация. В контейнере Конфигурация вы увидите узел Конфигурация. Его имя будет начинаться так: «CN=Configuration,DC=…» .
-
Щелкните правой кнопкой мыши узел Конфигурация и выберите Свойства.
-
Перейдите на вкладку Безопасность и щелкните Дополнительно.
-
В окне Дополнительные параметры безопасностиперейдите на вкладку Аудит и щелкните Добавить.
-
Выберите Выбрать субъект.
-
В поле Введите имена выбираемых объектов введите Все. Затем выберите Проверить имена и щелкните ОК.
-
Затем вы вернетесь в раздел Запись аудита. Выберите указанные ниже параметры.
- Для параметра Тип выберите значение Все.
- Для параметра Область применения выберите Этот объект и все дочерние объекты.
- В разделе Разрешения прокрутите вниз и выберите Очистить все. Прокрутите страницу вверх и выберите Записать все свойства.
-
Щелкните ОК.
Как отключить журнал событий Windows 10
Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.
- Открываем окно служб выполнив команду services.msc в окне Win+R.
- Среди списка доступных служб находим Журнал событий Windows и в контекстном меню которого выбираем Свойства.
- В открывшемся окне изменяем типу запуска службы EventLog на Отключена и нажмите ОК.
Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу
А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом
Заключение
Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.
В этом руководстве вы узнаете четыре способа посмотреть список всех учетных записей, доступных в Windows 10.
- Как просмотреть все учетные записи с помощью приложения «Параметры»
- Как просмотреть все учетные записи с помощью консоли «Управление компьютером»
- Как просмотреть все учетные записи в Windows 10 с помощью командной строки
- Как просмотреть все учетные записи с помощью PowerShell
Как просмотреть все учетные записи Windows 10 с помощью приложения «Параметры».
Самый простой способ посмотреть учетные записи, доступные на вашем устройстве, — это приложение «Параметры»:
- Откройте приложение нажав клавиши WinI.
- Перейдите в группу настроек «Учетные записи».
- Нажмите раздел слева «Семья и другие пользователи».
На этой странице вы найдете существующие учетные записи пользователей, настроенные на вашем ПК, но эта страница имеет ограничения, поскольку она не содержит встроенных учетных записей пользователей, таких как встроенная учетная запись администратора .
Кроме того, вы заметите, что текущая учетная запись пользователя также не указана, но это потому, что эта информация отображается на странице «Ваши данные».
Как просмотреть все учетные записи с помощью консоли «Управление компьютером».
Если вы используете Windows 10 Pro, вы можете использовать консоль «Управление компьютером» для просмотра всех учетных записей, на вашем устройстве.
- Кликните правой кнопкой мыши на кнопке «Пуск» и выберите в меню «Управление компьютером».
- В консоли перейдите по следующему пути:
Локальные пользователи и группы → Пользователи
Вы увидите список всех учетных записей, созданных в Windows 10.
Как просмотреть все учетные записи Windows 10 с помощью командной строки
В Windows 10, вы можете быстро проверить полную информацию обо всех учетных записях пользователей, используя одну команду.
- Откройте командную строку, введите следующую команду и нажмите клавишу Enter.
wmic useraccount list full
Вы увидите следующие детали:
Самый первый аккаунт встроенная учетная запись администратора, учетная запись по умолчанию отключена — но вы можете включить эту скрытую учетную запись администратора, если у вас есть необходимость.
Второй аккаунт — Учетная запись пользователя управляемая системой, как указано в описании. Если вы используете Windows 10.
Третий аккаунт учетная запись гостя .
Последняя учетная запись пользователя, который используется для доступа к компьютеру. Если у вас есть несколько учетных записей пользователей, вы найдете их ниже одну за другой.
Есть несколько деталей, которые видны на экране командной строки. Вы увидите следующее:
- Тип аккаунта
- Описание
- Полное имя
- Дата установки
- Статус локальной учетной записи
- Lockout status
- Имя
- Пароль Изменяемый
- Пароль Истекает
- Требуется пароль или нет
- SID
- SID Тип
- Статус
AccountType = 512 указывает на то, что все учетные записи являются регулярными. Если ваш компьютер подключен к домену, вы можете увидеть другие значения, такие как 256 (Temp Duplicate Account), 2048 (Trust Account Interdomain), 4096 (Trust Account Workstation) или 8192 (Trust Account Server).
Disabled = FALSE / TRUE, указывает на то, активен или нет этот конкретный аккаунт. Если установлено значение FALSE, это означает, что ваша учетная запись не активна и наоборот.
PasswordChangable = TRUE / FALSE указывает на то, можно ли изменить пароль этой учетной записи или нет. Если установлено значение TRUE, то вы можете его изменить.
PasswordExpired = TRUE / FALSE сообщает срок действия пароля этой учетной записи пользователя после заданного промежутка времени.
Как просмотреть все учетные записи с помощью PowerShell
Кроме того, вы даже можете использовать одну команду в PowerShell для просмотра списка с подробной информацией о каждой учетной записи, доступной в Windows 10.
- Откройте PowerShell от имени администратора.
- Введите следующую команду, чтобы перечислить все существующие учетные записи и нажмите Enter:
Get-LocalUser
- Вы увидите список всех учетных записей, настроенных на вашем устройстве, с их описанием, активностью.
Если вам нужно экспортировать список учетных записей в текстовый файл, вы можете добавить в командуследущее. Например:
Get-LocalUser > c:pathtooutputfolderlist.txt
В случае, если одна из учетных записей была создана с использованием учетной записи Microsoft, имя учетной записи будет содержать только первые пять букв адреса электронной почты.
Это основные вещи, которые нужно знать, чтобы понять детали всех учетных записей пользователей на компьютере Windows 10.
Рейтинг: /5 — голосов —>
Сохранение журнала событий
С помощью фильтров и пользовательских видов, вы можете увидеть ту картину, что средство просмотра событий записало в последнее время. Но каждый журнал событий имеет свой встроенный предельный размер. То есть, более старые события, могут быть удалены. Для долгосрочных оценок, вы можете сохранить реальное содержание конкретного журнала или вида, так, чтобы можно было просмотреть его содержимое позже.
Команды в панели действий «Сохранить все»:
Чтобы сохранить все содержимое текущего журнала выберите «Сохранить все события как…».
Чтобы сохранить все содержимое текущего пользовательского вида, выберите «Сохранить все события пользовательского вида как…».
Чтобы сохранить только выбранные события журнала или пользовательского вида, выберите «Сохранить выбранные события» (из нижней группы в панели действий).
Тип файла по умолчанию, для всех действий файла событий, с расширением .evtx. При сохранении файла в этом формате, вы можете открыть его с помощью Event Viewer, где его содержимое появится под заголовком «Сохранённые журналы». При открытии файла, вам будет предложено дать ему имя. Вы можете изменить это название (и видеть, когда файл был создан), щёлкнув правой кнопкой мыши по записи под заголовком «Сохранённые журналы».
Вы можете сохранить содержимое любого файла журнала или пользовательского вида и открыть этот снимок позже. Щёлкните, в разделе «Сохранённые журналы», правой кнопкой мыши на записи, а затем, чтобы увидеть детали, нажмите кнопку «Свойства».
Контекстное меню для любого пользовательского вида или сохранённого журнала, включает в себя опцию «Удалить», с помощью которой можно удалить запись из панели навигации. В случае пользовательского вида, с помощью этой опции сохранённые настройки удаляются полностью. Для сохранённого журнала, .evtx файл остаётся там, где вы его оставили, так что вы можете открыть его в любое время, когда захотите.
Если вы применили фильтр к журналу или пользовательскому представлению, вы можете очистить его с помощью команды «Очистить фильтр», в панели «Действия».
Когда вы читаете журнал (в отличие от пользовательского вида), на панели действий, вы увидите некоторые дополнительные команды. «Очистить журнал» — удаляет все сохранённые записи из текущего журнала
Используйте эту команду с осторожностью, особенно если просматриваете журналы всей системы. Опция «Отключить журнал» доступна для отдельных журналов приложений и служб(в том числе сторонних дополнений и тех, что под заголовком Microsoft / Windows)
В общем, нет никакой необходимости когда-либо нажимать это.
Журнал событий в Windows: как его открыть и найти информацию об ошибке
Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.
Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены…
В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).