Открыть системные журналы можно следующими способами:
- открыть консоль " Управление компьютером " и в разделе " Служебные программы " открыть оснастку " Просмотр событий ";
- открыть отдельную консоль " Просмотр событий " в разделе " Администрирование " Главного меню системы Windows (рис. 16.1).
Рис. 16.1.
В левой части консоли будет список имеющихся на данном компьютере журналов, в правой части — список событий для выбранного журнала.
В большинстве журналов события бывают трех видов:
-
Уведомление — информация о событии, связанным с успешным действием (например, успешный запуск или останов службы, успешное завершение операции какой-либо службы);
-
Предупреждение — информация о событиях, которые в будущем могут вызвать проблемы в работе системы;
-
Ошибка — сообщение об ошибке (например, сбой при запуске службы).
В журнале " Безопасность " — 2 типа событий:
-
Аудит успехов — событие, связанное с успешным выполнением действия, связанного с системой безопасности (например, успешный вход в систему или успешный доступ к сетевому ресурсу);
-
Аудит отказов — событие, связанное со сбоем в выполнении действия, связанного с системой безопасности (например, отказ в аутентификации пользователя при входе в систему по причине ввода неверного пароля, блокировка учетной записи после нескольких неудачных попыток входа в систему, отказ в доступе к сетевому ресурсу).
В столбцах журнала, кроме типа события, содержатся следующие данные:
-
Дата и время регистрации события;
-
Источник — приложение, служба или системная компонента, записавшие событие в журнал;
-
Категория — категория события, иногда используемая для его более подробного описания;
-
Событие — код события;
-
Пользователь — учетная запись пользователя, действовавшая в момент события;
-
Компьютер — имя компьютера, на котором произошло событие.
Если открыть какое-либо событие, то можно получить более детальную информацию о нем (рис. 16.2):
-
Описание — текстовое описание события;
-
Данные — любые данные, сгенерированные событием, или связанный с ним код ошибки.
Рис. 16.2.
