В системе Windows Server 2003 для просмотра системных журналов можно использовать оснастку Event Viewer (Просмотр событий) (группа Administr-tive Tools (Администрирование) на панели управления). Эту оснастку можно также запустить из окна оснастки Computer Management (Управление компьютером). На рис. 1 показан пример окна оснастки Event Viewer для контроллера домена.
Рисунок. 1. Окно оснастки Event Viewer.
Оснастку Event Viewer можно также открыть с помощью команды Пуск/Программы/Администрирование/Просмотр событий. С помощью оснастки Event Viewer можно просматривать три типа стандартных (основных) журналов.
Журнал приложений (Application log) — фиксирует события, зарегистрированные приложениями. Например, текстовый редактор может зарегистрировать в данном журнале ошибку при открытии файла.
Журнал системы (System log) — записывает события, которые регистрируются системными компонентами Windows Server 2003. Например, в системный журнал записываются такие события, как сбой в процессе загрузки драйвера или другого системного компонента при запуске системы.
Журнал безопасности (Security log) — содержит записи, связанные с системой безопасности. С помощью этого журнала можно отслеживать изменения в системе безопасности и идентифицировать бреши в защите. В данном журнале можно регистрировать попытки входа в систему. Для просмотра журнала необходимо иметь права администратора. По умолчанию регистрация событий в журнале безопасности отключена.
Помимо стандартных, на компьютере — в первую очередь на контроллере домена — могут быть и другие журналы, создаваемые различными службами (например, Active Directory, DNS, File Replication Service и т. д.). Работа с такими журналами ничем не отличается от процедур просмотра стандартных журналов.
Журнал системы безопасности может просматривать только пользователь с правами системного администратора. По умолчанию регистрация событий в данном журнале отключена. Для запуска регистрации необходимо установить политику аудита.
Типы событий, регистрирующихся в журналах:
Error (Ошибка) — событие регистрируется в случае возникновения серьезного события (такого как потеря данных или функциональных возможностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы.
Warning (Предупреждение) — событие не является серьезным, но может привести к возникновению проблем в будущем. Например, если недостаточно дискового пространства, то будет зарегистрировано предупреждение.
Information (Уведомление) — значимое событие, которое свидетельствует об успешном завершении операции приложением, драйвером или сервисом. Такое событие может, например, зарегистрировать успешно загрузившийся сетевой драйвер.
Success Audit (Аудит успехов) — событие, связанное с безопасностью системы. Примером такого события является успешная попытка регистрации пользователя в системе.
Failure Audit (Аудит отказов) — событие связано с безопасностью системы. Например, такое событие будет зарегистрировано, если попытка доступа пользователя к сетевому диску закончилась неудачей.
Информация о событиях содержит следующие параметры:
Параметр - Описание
Туре (Тип) -Тип события
Date (Дата) - Дата генерации события
Time (Время) - Время регистрации события
Source (Источник) - Источник (имя программы, системного компонента или компонента приложения), который привел к регистрации события
Category (Категория) - Классификация события по источнику, вызвавшему его появление
Event ID (Событие) - Идентификатор события
User (Пользователь) - Учетная запись пользователя, от имени которой производились действия, вызвавшие генерацию события
Computer (Компьютер) - Компьютер, на котором зарегистрировано событие
Рисунок. 2. Дополнительная информация о событии.
Для просмотра дополнительной информации о событии выберите в меню Action (Действие) пункт Properties (Свойства) (либо щелкните дважды кнопкой мыши на строке в списке событий). Появится окно, пример которого показан на рис. 2. На панели Description (Описание) приведена общая информация о событии. На панели Data (Данные) отображаются двоичные данные, которые могут быть представлены как Bytes (Байты) или как Words (Слова). Эти данные могут быть интерпретированы опытным программистом или техническим специалистом службы поддержки, знакомым с исходным кодом приложения.
