Το αρχείο καταγραφής συμβάντων των Windows είναι μια ενσωματωμένη δυνατότητα του λειτουργικού συστήματος Microsoft Windows που καταγράφει και αποθηκεύει διάφορα συμβάντα συστήματος, ασφάλειας και εφαρμογής που συμβαίνουν σε έναν υπολογιστή.
Αυτά τα συμβάντα μπορεί να περιλαμβάνουν σφάλματα, προειδοποιήσεις και ενημερωτικά μηνύματα. Χρησιμοποιώντας αυτό το αρχείο καταγραφής συμβάντων, οι διαχειριστές μπορούν να επιλύσουν προβλήματα, να παρακολουθούν την υγεία του συστήματος και να παρακολουθούν τη δραστηριότητα των χρηστών.
Το αρχείο καταγραφής συμβάντων των Windows οργανώνεται σε τρεις κύριες κατηγορίες:
Σύστημα, Εφαρμογή και Ασφάλεια.
Το αρχείο καταγραφής εφαρμογών περιέχει συμβάντα που σχετίζονται με εφαρμογές και υπηρεσίες, ενώ το αρχείο καταγραφής συστήματος περιλαμβάνει συμβάντα που σχετίζονται με στοιχεία συστήματος και προγράμματα οδήγησης. Οι περίοδοι σύνδεσης, οι ανεπιτυχείς προσπάθειες σύνδεσης και άλλα συμβάντα που σχετίζονται με την ασφάλεια τεκμηριώνονται στο αρχείο καταγραφής ασφαλείας.
Αυτές οι καταχωρήσεις αρχείου καταγραφής συμβάντων των Windows περιλαμβάνουν λεπτομερείς πληροφορίες, όπως την ημερομηνία και την ώρα που συνέβη το συμβάν, την πηγή του συμβάντος και τυχόν σχετικούς κωδικούς σφάλματος.
Πίνακας περιεχομένων
Σημασία αρχείου καταγραφής συμβάντων των Windows
Ο ρόλος της παρακολούθησης του αρχείου καταγραφής συμβάντων είναι ζωτικής σημασίας για τους μηχανικούς συστημάτων και δικτύων, επειδή τους δίνει τη δυνατότητα να ενημερώνονται για τυχόν προβλήματα, παράνομη δραστηριότητα, βλάβες δικτύου και άλλα βασικά ζητήματα που μπορεί να προκύψουν μέσα σε έναν υπολογιστή.
Παρέχει πλήρεις λεπτομέρειες για κάθε συμβάν, συμπεριλαμβανομένης της προέλευσης, του ονόματος χρήστη, του επιπέδου ευαισθησίας και άλλων πληροφοριών. Αυτές οι πληροφορίες μπορούν να είναι πολύ χρήσιμες για τον εντοπισμό και την επίλυση δομικών αστοχιών, καθώς και για την πρόβλεψη επερχόμενων προκλήσεων με βάση τα πρότυπα δεδομένων.
Οι διαχειριστές δικτύου μπορούν να ανακαλύψουν και να χειριστούν αποτελεσματικά ζητήματα προτού γίνουν σοβαρά, παρακολουθώντας τα αρχεία καταγραφής συμβάντων. Αυτό ενδέχεται να εξοικονομήσει πολύ χρόνο και προσπάθεια κατά τη διερεύνηση και την επίλυση του προβλήματος. Αυτό μπορεί να βοηθήσει να διασφαλιστεί ότι τα συστήματα θα συνεχίσουν να είναι ασφαλή, αξιόπιστα και να αποδίδουν στο μέγιστο.
Πώς να αποκτήσετε πρόσβαση στο αρχείο καταγραφής συμβάντων των Windows;
#1. Χρήση GUI
Βήμα 1 – Ανοίξτε το μενού Έναρξη και αναζητήστε το “Event Viewer”.
Βήμα 2 – Κάντε κλικ στην εφαρμογή Προβολή συμβάντων για να την ανοίξετε.
Βήμα 3 – Στο πιο αριστερό πλαίσιο, θα δείτε μια λίστα με αρχεία καταγραφής συμβάντων. Επιλέξτε την επιλογή Αρχεία καταγραφής των Windows και, στη συνέχεια, κάντε κλικ στο αρχείο καταγραφής που θέλετε για προβολή.
Βήμα 4 – Στο μεσαίο πλαίσιο, μπορείτε να δείτε μια λίστα συμβάντων για το επιλεγμένο αρχείο καταγραφής. Μπορείτε να χρησιμοποιήσετε τις επιλογές φίλτρου στη δεξιά πλευρά της οθόνης για να περιορίσετε τα συμβάντα που σας ενδιαφέρουν.
Βήμα 5 – Για να προβάλετε τις λεπτομέρειες ενός συμβάντος, κάντε διπλό κλικ σε αυτό. Αυτό θα ανοίξει το παράθυρο διαλόγου Ιδιότητες συμβάντος, το οποίο περιέχει λεπτομερείς πληροφορίες σχετικά με το αναγνωριστικό συμβάντος, την πηγή, το επίπεδο σοβαρότητας, την ημερομηνία και την ώρα, το όνομα χρήστη, το όνομα υπολογιστή και την περιγραφή.
Βήμα 6 – Μπορείτε να χρησιμοποιήσετε τις επιλογές μενού και τη γραμμή εργαλείων στο επάνω μέρος της οθόνης για να εκτελέσετε διάφορες ενέργειες, όπως αποθήκευση και εκκαθάριση αρχείων καταγραφής, δημιουργία προσαρμοσμένων προβολών και φιλτράρισμα συμβάντων.
#2. Χρήση της γραμμής εντολών
Μπορείτε να αποκτήσετε πρόσβαση στο αρχείο καταγραφής συμβάντων των Windows χρησιμοποιώντας τη γραμμή εντολών ή το PowerShell χρησιμοποιώντας την εντολή “wevtutil”. Να μερικά παραδείγματα.
- Για να εμφανιστούν όλα τα συμβάντα στο αρχείο καταγραφής συστήματος
wevtutil qe System
- Για να εμφανίσετε τα συμβάντα στο αρχείο καταγραφής εφαρμογών
wevtutil qe Application
Η έξοδος μπορεί να μοιάζει με αυτό.
- Για εμφάνιση όλων των συμβάντων στο αρχείο καταγραφής ασφαλείας
wevtutil qe Security
- Για να εμφανίσετε συμβάντα από μια συγκεκριμένη πηγή στο αρχείο καταγραφής συστήματος.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Εδώ πρέπει να αντικαταστήσετε το “source_name” με το όνομα της πηγής συμβάντος που θέλετε να προβάλετε.
- Για εξαγωγή συμβάντων από ένα αρχείο καταγραφής σε ένα αρχείο
wevtutil epl System C:LogsSystemLog.evtx
Αντικαταστήστε το “System” με το όνομα του αρχείου καταγραφής που θέλετε να εξαγάγετε και το “C:LogsSystemLog.evtx” με τη διαδρομή και το όνομα αρχείου όπου θέλετε να αποθηκεύσετε το αρχείο καταγραφής που εξάγεται.
#3. Χρησιμοποιώντας το Run
Μπορείτε επίσης να αποκτήσετε πρόσβαση στο αρχείο καταγραφής συμβάντων των Windows χρησιμοποιώντας το πλαίσιο διαλόγου Εκτέλεση στα Windows. Δείτε πώς:
Βήμα 1 – Πατήστε το πλήκτρο “Windows + R” στο πληκτρολόγιό σας για να ανοίξετε το πλαίσιο διαλόγου “Εκτέλεση”.
Βήμα 2 – Πληκτρολογήστε “eventvwr.msc” στο παράθυρο διαλόγου Εκτέλεση και πατήστε Enter.
Βήμα 3 – Το βοηθητικό πρόγραμμα προβολής συμβάντων θα ανοίξει και θα εμφανίσει το παράθυρο της κύριας κονσόλας.
Βήμα 4 – Στο παράθυρο της κονσόλας στην αριστερή πλευρά, μπορείτε να επεκτείνετε το φάκελο “Αρχεία καταγραφής των Windows” για να δείτε τα αρχεία καταγραφής Σύστημα, Εφαρμογή, Ασφάλεια, Ρύθμιση και άλλα αρχεία καταγραφής.
Βήμα 5 – Κάντε κλικ στο αρχείο καταγραφής που θέλετε να δείτε τα περιεχόμενά του στον δεξιό πίνακα. Μπορείτε να φιλτράρετε και να ταξινομήσετε τα συμβάντα, καθώς και να δημιουργήσετε προσαρμοσμένες προβολές και να τις αποθηκεύσετε για μελλοντική χρήση.
Πότε να χρησιμοποιήσετε αυτά τα αρχεία καταγραφής συμβάντων;
Γενικά, μπορείτε να χρησιμοποιήσετε το αρχείο καταγραφής συμβάντων των Windows όποτε χρειάζεται να παρακολουθήσετε, να αντιμετωπίσετε προβλήματα ή να ελέγξετε συμβάντα σε ένα σύστημα Windows. Ακολουθούν ορισμένες συγκεκριμένες περιπτώσεις όπου μπορείτε να το χρησιμοποιήσετε.
Παρακολούθηση της υγείας του συστήματος
Το αρχείο καταγραφής συμβάντων των Windows μπορεί να παρέχει πολύτιμες πληροφορίες σχετικά με σφάλματα συστήματος, προειδοποιήσεις και ζητήματα απόδοσης που σας επιτρέπουν να παρακολουθείτε προληπτικά και να διατηρείτε την υγεία του συστήματός σας.
Αντιμετώπιση προβλημάτων
Όταν αντιμετωπίζετε πρόβλημα σε ένα σύστημα Windows, το αρχείο καταγραφής συμβάντων μπορεί να παρέχει μια ένδειξη της αιτίας και να σας βοηθήσει να διαγνώσετε το πρόβλημα. Αναλύοντας τα αρχεία καταγραφής συμβάντων, μπορείτε εύκολα να εντοπίσετε τη βασική αιτία ενός προβλήματος και να λάβετε μέτρα για την επίλυσή του.
Έλεγχος και παρακολούθηση της δραστηριότητας των χρηστών
Το αρχείο καταγραφής ασφαλείας στο αρχείο καταγραφής συμβάντων μπορεί να χρησιμοποιηθεί για την παρακολούθηση των συνδέσεων χρηστών, της αποσύνδεσης, των αποτυχημένων προσπαθειών σύνδεσης και άλλων συμβάντων που σχετίζονται με την ασφάλεια, τα οποία μπορούν να σας βοηθήσουν να εντοπίσετε πιθανές απειλές ασφαλείας και να προβείτε στις κατάλληλες ενέργειες.
Αναφορά συμμόρφωσης
Πολλά ρυθμιστικά πλαίσια όπως το HIPAA, το PCI-DSS και το GDPR απαιτούν από τους οργανισμούς να διατηρούν αρχεία καταγραφής συμβάντων και να παρέχουν τακτικές αναφορές. Το αρχείο καταγραφής συμβάντων των Windows μπορεί να χρησιμοποιηθεί για την ικανοποίηση αυτών των απαιτήσεων συμμόρφωσης.
Πώς να διαβάσετε αυτά τα αρχεία καταγραφής συμβάντων;
Μπορεί να είναι λίγο δύσκολο να διαβάσετε το αρχείο καταγραφής συμβάντων των Windows στην αρχή, αλλά με αρκετή εξάσκηση και εξοικείωση, γίνεται πιο εύκολο να κατανοήσετε τα δεδομένα που παρέχει. Ακολουθούν ορισμένα γενικά βήματα που πρέπει να ακολουθήσετε κατά την ανάγνωση του αρχείου καταγραφής συμβάντων των Windows.
#1. Ανοίξτε το αρχείο καταγραφής συμβάντων
Το πρώτο βήμα είναι να ανοίξετε το αρχείο καταγραφής συμβάντων. Μπορείτε να αποκτήσετε πρόσβαση σε αυτό χρησιμοποιώντας οποιαδήποτε από τις προαναφερθείσες μεθόδους.
#2. Πλοηγηθείτε στο κατάλληλο αρχείο καταγραφής
Υπάρχουν πολλά αρχεία καταγραφής στο πρόγραμμα προβολής συμβάντων, συμπεριλαμβανομένων των αρχείων καταγραφής εφαρμογής, συστήματος, ασφάλειας και εγκατάστασης. Κάθε αρχείο καταγραφής περιέχει διαφορετικούς τύπους συμβάντων. Επιλέξτε το αρχείο καταγραφής που περιέχει τα συμβάντα που θέλετε να προβάλετε.
#3. Φιλτράρισμα συμβάντος
Μπορείτε να φιλτράρετε συμβάντα κατά επίπεδο σοβαρότητας, πηγή συμβάντος, εύρος ημερομηνιών και άλλα κριτήρια. Αυτό μπορεί να σας βοηθήσει να περιορίσετε τα γεγονότα που σας ενδιαφέρουν.
#4. Προβολή λεπτομερειών εκδήλωσης
Εξετάστε προσεκτικά κάθε συμβάν για να δείτε τις λεπτομέρειες του, συμπεριλαμβανομένων του αναγνωριστικού συμβάντος, της πηγής, του επιπέδου σοβαρότητας, της ημερομηνίας και της ώρας, του ονόματος χρήστη, του ονόματος υπολογιστή και της περιγραφής. Αυτές οι πληροφορίες μπορούν να σας βοηθήσουν να προσδιορίσετε την αιτία του συμβάντος και να προβείτε στις κατάλληλες ενέργειες.
#5. Χρήση ιδιοτήτων συμβάντος
Πολλά συμβάντα έχουν πρόσθετες ιδιότητες που παρέχουν περισσότερες πληροφορίες σχετικά με το συμβάν.
Για παράδειγμα, ένα συμβάν ασφαλείας μπορεί να έχει ιδιότητες όπως τύπο σύνδεσης, διαδικασία σύνδεσης και πακέτο ελέγχου ταυτότητας. Αυτές οι ιδιότητες μπορούν να σας βοηθήσουν να κατανοήσετε το πλαίσιο της εκδήλωσης και τη σημασία της.
#5. Αναλύστε μοτίβα
Προσπαθήστε πάντα να αναζητάτε μοτίβα στα γεγονότα για να εντοπίσετε επαναλαμβανόμενα ζητήματα ή τάσεις. Για παράδειγμα, εάν δείτε μια σειρά σφαλμάτων δίσκου, θα μπορούσε να υποδεικνύει πρόβλημα με το υλικό ή τη διαμόρφωση του δίσκου.
Επίπεδα σοβαρότητας συμβάντων των Windows
Το αρχείο καταγραφής συμβάντων των Windows χρησιμοποιεί επίπεδα σοβαρότητας για να κατηγοριοποιήσει συμβάντα με βάση τη σημασία ή τον αντίκτυπό τους στο σύστημα. Υπάρχουν πέντε επίπεδα σοβαρότητας στο αρχείο καταγραφής συμβάντων των Windows, τα οποία παρατίθενται παρακάτω από την υψηλότερη στη χαμηλότερη σοβαρότητα:
- Κρίσιμο: Αυτό το επίπεδο σοβαρότητας προορίζεται για συμβάντα που υποδεικνύουν μια κρίσιμη αποτυχία συστήματος ή εφαρμογής που απαιτεί άμεση προσοχή. Παραδείγματα περιλαμβάνουν σφάλματα συστήματος, μεγάλες αποτυχίες υλικού και κρίσιμα σφάλματα εφαρμογής.
- Σφάλμα: Χρησιμοποιείται για συμβάντα που υποδεικνύουν ένα σοβαρό πρόβλημα που απαιτεί προσοχή αλλά όχι απαραίτητα άμεση δράση. Μερικά κοινά παραδείγματα είναι σφάλματα εφαρμογής, αποτυχίες σύνδεσης δικτύου και σφάλματα δίσκου.
- Προειδοποίηση: Υποδεικνύει ένα πιθανό ζήτημα που πρέπει να παρακολουθούν οι διαχειριστές του συστήματος, συμπεριλαμβανομένων των προειδοποιήσεων για χαμηλό χώρο στο δίσκο και των παραβιάσεων της πολιτικής ασφαλείας.
- Verbose: Χρησιμοποιείται για συμβάντα που παρέχουν λεπτομερείς πληροφορίες σχετικά με τη δραστηριότητα συστήματος ή εφαρμογής, συνήθως για σκοπούς αντιμετώπισης προβλημάτων ή εντοπισμού σφαλμάτων.
- Πληροφορίες: Δείχνει ότι όλα κύλησαν ομαλά. Σχεδόν όλα τα αρχεία καταγραφής περιλαμβάνουν συμβάντα πληροφοριών.
Αυτά τα επίπεδα σοβαρότητας επιτρέπουν στους διαχειριστές και τους αναλυτές συστημάτων να εντοπίζουν γρήγορα κρίσιμα ζητήματα που απαιτούν προσοχή και να δίνουν προτεραιότητα στην απάντησή τους ανάλογα.
Συμπέρασμα ✍️
Ελπίζω να βρήκατε αυτό το άρθρο χρήσιμο για να μάθετε για το αρχείο καταγραφής συμβάντων των Windows και τη σημασία του. Μπορεί επίσης να σας ενδιαφέρει να μάθετε για τους διάφορους τρόπους ανάκτησης διαγραμμένων δεδομένων στα Windows 11.