Windows Vista. Для профессионалов - Роман Клименко

В операционной системе Windows Vista запись сведений в стандартные журналы (а также в журналы раздела Журналы приложений и служб) основана на каналах. Каждый журнал имеет свой собственный канал, название которого отображается в поле Канал окна Свойства журнала. Например, для журнала Пересланные события канал также называется Пересланные события. Сведения о настройках каналов хранятся в ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionWINEVTChannels. Каждый канал имеет свой собственный подраздел в данной ветви реестра , название которого соответствует названию канала. Все каналы операционной системы имеют одни и те же параметры реестра , влияющие на их работу. Вот некоторые из них.

• Enabled – этот параметр REG_DWORD-типа определяет, разрешено ли заносить записи в журнал, который использует данный канал. Значение данного параметра может изменяться с помощью флажка Включить ведение журнала окна Свойства журнала. Однако с помощью данного окна это можно сделать не для всех журналов. Например, для журнала Пересланные события данный флажок изменять нельзя, хотя можно отключить канал Пересланные события непосредственно с помощью параметра Enabled.

• BufferSize – параметр имеет REG_DWORD-тип и определяет размер буфера, используемого каналом.

• File – этот параметр строкового типа определяет путь к файлу, который используется журналом, основанным на данном канале. Значение данного параметра отображается в поле Путь журнала окна Свойства журнала.

• MinBuffers – параметр имеет REG_DWORD-тип и определяет минимальное количество буферов, используемых каналом.

• MaxBuffers – этот параметр REG_DWORD-типа определяет максимальное количество буферов, используемых каналом.

• MaxSize – имеет REG_DWORD-тип и определяет максимальный размер журнала (в байтах), использующего данный канал. Значение этого параметра также можно изменить с помощью поля Макс, размер журнала (КБ) окна Свойства журнала.

• AutoBackupLogFiles – этот параметр REG_DWORD-типа определяет, будет ли автоматически архивироваться журнал, созданный на основе данного канала, перед удалением или перезаписью (когда журнал достиг максимального размера). Значение данного параметра равно 1, если переключатель При достижении максимального размера окна Свойства журнала установлен в положение Архивировать заполненный журнал, не переписывая события.

• ChannelAccess – имеет строковый тип и определяет права доступа к каналу и, соответственно, к журналу, использующему этот канал.

• Retention – этот параметр REG_DWORD-типа определяет интервал времени (в часах), по истечении которого операционная система будет очищать содержимое журнала, основанного на данном канале. Значение данного параметра равно 0, если переключатель При достижении максимального размера окна Свойства журнала установлен в положение Переписывать события при необходимости. В остальных случаях значение данного параметра равно 0xf f f f f f f f.

• Type – параметр имеет REG_DWORD-тип и определяет, будет ли отображаться журнал в оснастке eventvwr.msc. Если значение данного параметра равно 1, то журнал отображается. Если же значение данного параметра равно 2 или 3, то журнал в оснастке eventvwr. msс отображаться не будет, так как он используется для других целей. Например, таким способом скрыты журналы ADSI/ Debug, Alt-Tab/Diagnostic и т. д.

Однако в ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosof tWindows CurrentVersionWINEVTChannels содержатся сведения не обо всех каналах. Сведения о стандартных каналах (и стандартных журналах, которые их используют) хранятся в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet serviceseventlog. В операционной системе Windows Vista к стандартным каналам относятся следующие: Приложение, События оборудования, Internet Explorer, Media Center, Безопасность и Система. Каждый из этих каналов имеет одноименный подраздел в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet s ervi се s event log. Эти подразделы могут хранить те же параметры, что и подразделы ветви реестра HKEY_LOCAL_MACHINESOFTWAREMiегоsoftWindows CurrentVersionWINEVTChannels. Однако подразделы Application, Security и System также могут содержать следующие дополнительные параметры.

• DisplayNameFile – этот параметр строкового типа определяет путь к библиотеке, в которой хранится название журнала. Однако вместо библиотеки в нем можно указать само название журнала.

• DisplayNamelD – параметр имеет REG_DWORD-тип и определяет смещение в библиотеке, по которому хранится название журнала. Если в параметре

DisplayNameFile указано непосредственно название журнала, то этот параметр использовать необязательно.

• PrimaryModule – этот параметр строкового типа определяет название основного модуля операционной системы, который управляет работой данного стандартного журнала.

• RestrictGuestAccess – если значение данного параметра REG_DWORD-типа равно 1, то пользователь Гость не сможет получить доступ к содержимому данного журнала.

Подразделы Application, Security и System включают в себя вложенные подразделы, определяющие службы и программы, которые могут заносить записи в соответствующий журнал. Например, вы можете удалить некоторые из вложенных подразделов, чтобы записи от программ, которые описываются подразделами, не заносились в журнал.

Для примера попробуем создать свой собственный журнал, который будет отображаться в подразделе Журналы приложений и служб оснастки eventvwr.msc. Он будет называться Disk и содержать сведения о проверке жесткого диска, а также о квотах. В листинге 5.1 представлен пример REG-файла, который создает соответствующий журнал. После импортирования приведенного в листинге REG-файла сведения о проверке жесткого диска и изменении квот будут заноситься сразу в два журнала – Disk и Приложение. Если же нужно, чтобы сведения не заносились в журнал Приложение, то подразделы Chkdsk и DiskQuota нужно удалить из ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceseventlog Application.

...

Листинг 5.1. Создаем свой журнал

REGEDIT4

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogDisk]

«DisplayNameFile»=hex(2):44,69,73,6b,00

«File»=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,77,69,6e,65,

76,74,5c,4c,6f,67,73,5c,44,69,73,6b,2e,65,6c,66,00

«MaxSize»=dword:01400000

«PrimaryModule»="Disk"

«Retention»=dword:00000000

«RestrictGuestAccess»=dword:00000001

«AutoBackupLogFiles»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogDiskChkdsk]

«TypesSupported»=dword:00000007

«EventMessageFile»=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,

32,5c,75,6c,69,62,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogDiskDiskQuota]

«EventMessageFile»=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,

5c,64,73,6b,71,75,6f,74,61,2e,64,6c,6c,00

«TypesSupported»="0x00000007"

Еще одним изменением оснастки Просмотр событий является отображение сведений о записи непосредственно в ее окне. Однако те же сведения можно отобразить в отдельном окне, дважды щелкнув кнопкой мыши на нужной записи (рис. 5.13). Отображаемое после этого окно содержит две вкладки: Общие и Подробности. Первая отображает информацию о записи и создавшей ее программе или службе, а также общее описание записи. Вторая же вкладка включает в себя расширенные сведения о записи. При этом она содержит переключатель, который можно установить в одно из следующих положений: Понятное представление и Режим XML. Установив его в первое положение, можно отобразить только сведения о записи, тогда как установка во второе положение отображает также саму структуру XML-файла, который генерирует эти сведения.

Рис. 5.13. Окно сведений о записи

Раздел Журналы приложений и служб

Данный раздел содержит записи из других журналов, которые не являются системными, но создаются стандартными программами и службами операционной системы Windows Vista. Иначе говоря, если раньше вам приходилось каждый день просматривать множество файлов журналов, расположенных в каталоге %systemroot% и его подкаталогах, то теперь содержимое всех этих файлов журналов отображается в оснастке Просмотр событий, что позволяет упростить процесс администрирования операционной системы.

Раздел Журналы приложений и служб включает в себя следующие подразделы.

• Репликация DFS – определяет события, которые произошли при работе службы Репликация DFS.

• События оборудования – указывает события, которые возникли при работе компонентов компьютера.

• Internet Explorer – определяет записи, которые получены от браузера Internet Explorer.

• Media Center – указывает записи, которые получены от оболочки Windows Media Center.

• Microsoft – по умолчанию содержит вложенный раздел Windows, в котором хранятся дочерние подразделы, названные в честь служб и компонентов операционной системы Windows Vista. Эти подразделы хранят журналы работы соответствующих служб и компонентов операционной системы. Например, обратите внимание на подраздел CodeIntegrity, журнал которого содержит сведения о неподписанных драйверах, запускаемых пользователем....

Примечание

В каталоге %userprofile%AppDataLocalMicrosoftEvent Viewer находится файл Settings.xml. Он содержит настройки оснастки Просмотр событий, описанные в XML-формате. Одной из таких настроек является тег <DirectChannelsVisible>. Если между скобками установить значение 1, то в разделе Журналы приложений и служб оснастки также будут отображаться журналы, содержащие сведения об отладке и трассировке компонентов операционной системы (напротив этих журналов отображаются значки зеленого и синего цвета). По умолчанию данные журналы не отображаются.