Windows Vista. Для профессионалов - Роман Клименко

Кроме того, с помощью команды Просмотр событий в настраиваемом представлении или журнале контекстного меню элемента списка данного поля можно быстро перейти в соответствующий журнал или подраздел раздела Настраиваемые представления оснастки.

• Сводка журнала – хранит сведения обо всех журналах, отображаемых в оснастке Просмотр событий. Среди предоставляемых данным полем сведений имеется путь к журналу, его текущий размер, дата последнего изменения, разрешено ли заносить записи в журнал, а также тип очистки журнала (будет ли он перезаписываться при преодолении определенного размера, будет ли выполняться архивная копия).

С помощью команды Просмотр событий в журнале контекстного меню определенного журнала, отображаемого в поле Сводка журнала, можно также быстро перейти в раздел соответствующего журнала.

Раздел Настраиваемые представления

Раздел Настраиваемые представления предназначен для хранения фильтров, на основе которых генерируется список определенных записей. Фильтры хранятся в виде подразделов данного раздела, и с помощью поля Сводка административных событий основного окна оснастки мы уже создавали такие фильтры.

Однако определенный фильтр можно создать и вручную. Для этого в контекстном меню раздела Настраиваемые представления нужно выбрать команду Создать настраиваемое представление. После этого отобразится окно, представленное на рис. 5.12.

Рис. 5.12. Окно создания пользовательского фильтра

Основная работа по настройке фильтра выполняется на вкладке Фильтр данного окна. Она содержит следующие элементы.

• Дата – этот раскрывающийся список позволяет указать определенные дни. Записи, созданные в эти дни, должны быть отображены в результате применения создаваемого фильтра. Список позволяет как указать отображение записей, созданных за последний час, день и т. д., так и более точно настроить дни с помощью элемента списка Настраиваемый диапазон, после выбора которого отобразится окно, где можно указать начальный и конечный день и час.

• Уровень события – содержит набор флажков, определяющих типы записей, которые должны быть отображены после применения фильтра.

• Журналы событий – этот раскрывающийся список позволяет определить журналы, в которых будет выполнен поиск записей. После раскрытия списка перед вами отобразится дерево журналов оснастки Просмотр событий. Напротив каждого журнала этого дерева расположен снятый флажок. Чтобы включить поиск в нужных журналах, необходимо установить флажки напротив них.

• Источники событий – позволяет определить службу, программу или компонент операционной системы, чьи записи должны быть отображены после применения фильтра.

• Включение или исключение кодов событий – это текстовое поле позволяет указать идентификаторы событий, записи которых должны быть отображены после применения фильтра, или, наоборот, не должны быть отображены. Идентификаторы событий пишутся через запятую. Если нужно указать идентификатор события, записи которого не будут отображаться, перед ним надо поставить знак минус (-).

• Категория задачи – в этом текстовом поле можно указать категорию задач, которые должны отображаться после применения фильтра.

• Ключевые слова – позволяет указать ключевые слова, которые должны встречаться в записи, чтобы она осталась после применения фильтра.

• Пользователь – в этом текстовом поле можно указать пользователя, при работе которого были созданы нужные записи.

• Компьютеры – позволяет указать компьютер, на котором были созданы нужные записи.

После того как вы настроите фильтр с помощью вкладки Фильтр, можно перейти на вкладку XML, чтобы подкорректировать его. Она содержит поле, в котором отображается созданный вами запрос к системным журналам. Если вы установите флажок Изменить запрос вручную, то сможете самостоятельно изменить созданный запрос.

После того как фильтр будет окончательно создан, достаточно нажать кнопку О К, что приведет к открытию окна с просьбой ввести название нового фильтра, его описание, а также указать подраздел раздела Настраиваемые представления, в котором будет создан фильтр. После этого в разделе Настраиваемые представления появится новый подраздел с указанным вами именем, и вы автоматически перейдете в него.

Если вы уже создали свой фильтр, но хотели бы подправить некоторые его параметры, не нужно создавать новый фильтр. Достаточно в контекстном меню созданного фильтра выбрать команду Фильтр. После этого отобразится уже знакомое вам окно (представлено на рис. 5.12), в котором можно изменить параметры фильтра.

Кроме того, с помощью контекстного меню созданного фильтра можно выполнить такие действия, как поиск в результатах применения фильтра (команда Найти), экспортирование фильтра в файл (Экспортировать настраиваемое представление), импортирование фильтра из файла (Импортировать настраиваемое представление), а также удаление фильтра (Удалить).

Раздел Журналы Windows Этот раздел содержит список основных стандартных журналов операционной системы. Помимо стандартных для предыдущих версий операционных систем Windows журналов Приложение, Безопасность и Система, данный раздел содержит два новых журнала: Настройка и Пересланные события (они не относятся к стандартным журналам операционной системы, так как значок, отображаемый напротив них, отличается от значков стандартных журналов, отображаемых напротив журналов Приложение, Безопасность и Система). Первый из них определяет записи, созданные операционной системой Windows Vista, ее компонентами или сторонними программами в процессе их установки. Второй же определяет записи о произошедших событиях, на которые вы самостоятельно подписались.

...

Примечание

Как и раньше, просмотреть содержимое записей в стандартных журналах операционной системы можно и с помощью репозитария CIM. Для этого достаточно воспользоваться классом Win32_NTLogEvent, принадлежащим пространству имен \rootcimv2. Например, данный класс поддерживает следующие свойства: CategoryString (определяет категорию записи), ComputerName (определяет название компьютера, на котором была сгенерирована запись), Туре (определяет тип записи, например ошибка, предупреждение, информация, аудит-успех, аудит-отказ), Logfile (ключевое свойство, определяющее стандартный журнал, в котором хранится данная запись), Message (определяет содержимое записи), RecordNumber (ключевое свойство, определяющее номер записи в журнале), SourceName (определяет создателя записи), TimeGenerated (определяет время создания записи).

Если какой-то журнал содержит слишком много записей, то к его содержимому также можно применить фильтр. Для этого в контекстном меню раздела журнала нужно выбрать команду Фильтр. После этого отобразится уже знакомое вам окно настройки фильтра, однако отличием создаваемого фильтра является то, что он применяется непосредственно к записям выбранного журнала, а не создает подраздел в разделе Настраиваемые представления. Поэтому после работы с результатами фильтра нужно будет установить фильтр по умолчанию, чтобы отображались все записи журнала.

Можно также выполнить поиск записи по части слова. Для этого применяется команда Найти контекстного меню раздела журнала. А с помощью команды Очистить журнал контекстного меню можно очистить журнал от хранящихся в нем записей.

Если же вам необходимо изменить настройки ведения определенного системного журнала, то в его контекстном меню нужно выбрать команду Свойства, после чего отобразится окно Свойства журнала. С его помощью можно изменить путь к журналу, его максимальный размер, а также действия при достижении максимального размера (очищать журнал, архивировать его или ничего не делать). Используя окно Свойства журнала, можно также просмотреть дату создания журнала и его текущий размер.

...

Примечание

Настройки стандартных журналов операционной системы можно просмотреть с помощью класса Win32_NTEventlogFile, принадлежащего пространству имен \rootcimv2. Например, данный класс поддерживает следующие свойства: FileName (определяет имя журнала), FileSize (определяет размер журнала), LastModified (определяет дату последнего изменения журнала), MaxFileSize (определяет максимальный размер журнала), Name (ключевое свойство, определяющее путь к файлу журнала и его имя). NumberOfRecords (определяет количество записей в журнале), OverwriteOutDated (определяет интервал хранения записей в журнале), Sources (содержит список источников, которые могут создавать записи в данном журнале). Этот класс также поддерживает следующие методы: BackupEventlog (выполнить архивирование записей, хранящихся в журнале), ClearEventlog (очистить содержимое журнала).

Эти настройки можно изменить и с помощью групповых политик, описанных в файле EventLog.admxn расположенных в подразделах Приложение, Безопасность, Настройка и Система раздела Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Служба журнала событий. Данные политики влияют на параметры подразделов ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft WindowsEventLog.