Огляд “Перегляду подій” операційної системи Windows 7 (Частина 2)

Введення


У попередній частині статті розповідалося про базові концепціях програми Windows 7 “Перегляд подій”. У цій статті мова піде про настроюються уявленнях, сортуванню, угрупуванню, фільтрації, а також про підписках на події.


У попередніх версіях системних утиліт “Перегляд подій” вже була можливість фільтрації подій безпосередньо в журналі подій, для створення якої було потрібно вказувати певну кількість правил. Вони в свою чергу визначали всього-навсього відображення або приховування правил в журналі подій. Починаючи з операційної системи Windows Vista, фільтрація подій стала однією з переваг у функціоналі даної утиліти, яка дозволяє фільтрувати події для виключення або включення їх в набір результатів. Ви можете створити набір правил, який будуть використовуватися при відборі подій із зазначених джерел, і відображенні тільки тих подій, властивості яких задовольняють зазначеним правилам. У свою чергу, сортування за типом спрощує відділення повідомлень про критичні помилки від попереджень і інших повідомлень, сортування по джерелу – відстеження подій із певних джерел, а сортування за кодом – виявлення повторюваних подій.


Використання фільтрів у більшості випадків суттєво економить час при пошуку несправностей і налагодження системних помилок. Зберігати виконану роботу і створені фільтри дозволяють настроюються подання. Збережений фільтр називається налаштованим поданням, який створений на основі XPath-запитів. XPath – це мова запитів, що дозволяє звертатися до певних частин XML-документів. У перегляді подій XPath-вирази використовуються для пошуку і вибірки елементів журналів подій в відфільтроване подання.


Щоб створити настроюється або відфільтроване подання до перегляді подій, скопіюйте XPath-запит і збережіть його у файлі користувальницького уявлення перегляду подій. Запустивши цей запит знову, можна відтворити відповідне настроюється уявлення або фільтр на будь-якому комп’ютері з новими операційними системами.


За допомогою програми “Перегляд подій” можна використовувати централізовану реєстрацію подій з використанням механізму пересилки подій і копіювання журналів, які ведуться на різних комп’ютерах, в централізоване сховище, де можна аналізувати відразу всі журнали. Даний механізм, який практично не змінився з часів створення операційної системи Windows Vista, дозволяє вам пересилати відомості про події на будь-який комп’ютер, який виконує протоколювання подій. У зв’язку з цим, можна проводити аналіз в реальному часі для виявлення спроб несанкціонованого проникнення на комп’ютери організації, а також свійської локальної мережі.


Якщо говорити коротко, то сама настройка централізованої реєстрації подій виконується в кілька етапів. Спочатку потрібно налаштувати збір і пересилку подій, а потім призначається сервер збору подій та на ньому визначаються підписки, для кожного комп’ютера з вказаними журналами та типами подій. Після створення та активації підписки починається процес отримання подій, які можна переглядати і обробляти точно таким же чином, як і будь-які локальні події. Оскільки протокол пересилки подій використовує стандартні протоколи HTTP і HTTPS, то цілком можлива пересилка подій через будь-які брандмауери при умови, що на них відкриті TCP-порти 80 і 443. А за сам процес передачі і збору інформації відповідають служба віддаленого керування Windows (WinRM) і служба збору подій Windows (Wecsvc).


Всі події, які записуються в журнал подій, містять посилання на веб-сайт корпорації Microsoft або той веб-сайт, який ви вказуєте при створенні свого власного події. Під час перегляду будь-якої події ви можете перейти по посиланню “Веб-довідка журналу” для переходу на веб-сторінку з інформацією про дану подію. Якщо потрібно пов’язати з посиланням “Веб-довідка журналу” URL-адреса веб-сайту, відмінного від сайту Microsoft, то можна або вказати потрібний URL-адресу в системному реєстрі, або вказати URL-адресу в маніфесті інструментарію для видавця.



Настроювані подання


Як говорилося вище, деякі фільтри, які зберігаються під певними іменами, називаються налаштованим уявленнями. Після того як будуть створені і збережені настроюються подання, їх можна використовувати в подальшому без повторного створення відповідного фільтра. Перегляд подій автоматично створює фільтр представлення журналів і поміщає його в вузол “Настроювані подання”. Вибравши той же створений за промовчанням фільтр “Події управління”, У вас є можливість отримати повний список помилок і попереджень, зібраних з усіх журналів. При відкритті налаштовуваного подання для відображення подій використовується фільтр, який застосовувався при створенні зазначеного подання. Настроювані подання можна імпортувати і експортувати, а також дозволити використовувати їх іншим користувачам і на інших комп’ютерах. Далі розглядаються основні операції, які можна виконати з налаштованим уявленнями.


Файл налаштовуваного уявлення містить XPath-запит, який відображається на вкладці “XML”. У членів групи “Читачі журналу подій”, Адміністраторам та іншим користувачам, що володіють відповідними дозволами, є доступ на виконання запитів і перегляд подій на віддаленому комп’ютері.



Створення настроюваного подання


Для того щоб створити настроюється уявлення, виконайте такі дії:



  1. Відкрийте “Перегляд подій”;

  2. Перейдіть в вузол “Настроювані подання” і виберіть команду “Створити настроюється уявлення” з меню дій або з контекстного меню вузла;


  3. У діалоговому вікні “Створення настроюваного подання” за допомогою списку “Дата” задайте період часу, який вас цікавить. Доступні наступні варіанти: “У будь-який час”, “За останню годину”, “За останні 12 годин”, “За останні 24 години”, “За останні 7 днів” і “За останні 30 днів”. За відсутності необхідних параметрів з рискривающегося списку виберіть “Настроюваний діапазон”. У діалоговому вікні “Настроюваний діапазон” вкажіть дату і час початку та закінчення періоду, в якому були зареєстровані шукані події та натисніть кнопку ОК;


  4. За допомогою прапорців “Рівень події” ви можете вказати той рівень події, який вам потрібен для аналізу, а за допомогою параметра “Подробиці” можна отримати додаткову інформацію;

  5. Своє настроюється уявлення можна створювати для вказаного набору журналів або набору джерел подій, а саме:

    • Список “Журнали подій” дозволяє вибрати журнали для включення в уявлення. Щоб вибрати кілька журналів, встановіть відповідні прапорці. Всі невідмічені журнали подій будуть ігноруватися.

    • Список “Джерело подій” дозволяє вказувати безпосередньо джерела. Події з цих джерел будуть включатися в уявлення. Для того щоб вибрати кілька джерел, встановіть відповідні прапорці. Всі невідмічені джерела будуть ігноруватися.

  6. У полі “Коди подій” введіть ті коди подій, які будуть відображатися в поданні. Для того щоб ввести декілька кодів одночасно, використовуйте кому. Щоб включити цілий діапазон кодів, наприклад від 2185 до 2697, введіть 2185-2697. Якщо потрібно, щоб зі списку були виключені події з певними кодами, введіть коди цих подій зі знаком мінус. Наприклад, для відображення подій з кодами від 2185 до 2697 за винятком коду 2392, введіть 2185-2697,-2392;

  7. У списку, що розкривається “Категорія задачі” встановіть прапорці, відповідні категоріям завдань, які необхідно включити в подання;

  8. У списку, що розкривається “Ключові слова” встановіть прапорці, відповідні ключовим словам, які необхідно включити в подання;

  9. Поля “Користувач” і “Комп’ютери” дозволяють вибрати користувачів і комп’ютери, для яких застосовується поточне подання. Якщо ці параметри не задані, то аналізуються ті події, які генеруються всіма користувачами і комп’ютерами;

  10. Натисніть на кнопку “ОК”, Щоб закрити діалогове вікно “Створення настроюваного подання”. З’явиться наступне діалогове вікно – “Збереження фільтра і настроюється уявлення”, В якому потрібно вказати місце для збереження налаштовуваного уявлення. У полі “Опис” ви можете додати опис для свого налаштовуваного уявлення. За замовчуванням настроюються подання поміщаються у вузол “Настроювані подання”. Для створення папки, в якій буде розташовано уявлення, натисніть на кнопку “Створити папку”. У полі “Ім’я” введіть ім’я папки, в якій буде розташовуватися ваше уявлення, а потім натисніть на кнопку “ОК”. Для того щоб відкритий журнал подій став недоступним для інших користувачів комп’ютера, ви можете зняти прапорець “Всі користувачі”. У тому випадку, якщо цей прапорець залишиться активним, відкритий журнал буде доступний всім користувачам, але для його видалення з дерева консолі будуть потрібні права адміністратора;



Відображення настроюються XML-подань


Як говорилося вище, що настроюються подання – це іменовані фільтри, створені на основі XPath-запитів. Відповідно, настроюються подання, як і інші фільтри в журналі подій, засновані на використанні XML. Після створення налаштовуваного представлення в програмі “Перегляд подій” можна переглянути XML-код, що використовується для створення запиту. Для відображення настроюються XML-подань виконайте такі дії:



  1. У дереві консолі виберіть потрібне настроюється уявлення;

  2. Виберіть команду “Властивості” з меню “Дія” або з контекстного меню вибраного подання;

  3. У діалозі “Названіе_представленія – властивості” натисніть на кнопку “Змінити фільтр”;

  4. Перейдіть на вкладку XML, де в представленому текстовому полі відображається XPath-запит, на основі якого створено саме уявлення.



Імпорт настроюються уявлень


За допомогою утиліти “Перегляд подій”, Уявлення у вигляді XML-файлів можна імпортувати в зв’язку з тим, що настроюються подання є XML-файлами із стандартним дозволом XML. За допомогою цієї функції подання можна зробити доступними для інших користувачів та комп’ютерів. Для того щоб імпортувати настроюються подання, виконайте такі дії:



  1. У дереві консолі перейдіть на вузол “Настроювані подання”;

  2. Виберіть команду “Імпорт налаштовуваного представлення” з меню “Дія” або з контекстного меню;

  3. У вікні “Імпорт налаштовуваного представлення”, Пересуваючись по дереву каталогів, відкрийте папку, яка містить потрібний файл. У діалоговому вікні будуть виведені XML-файли. Після того, як потрібний файл журналу буде знайдений, виділіть його, клацнувши на ньому лівою кнопкою миші, що помістить його ім’я в рядок для введення імені файлу і натисніть на кнопку “Відкрити”;

  4. Якщо потрібно забезпечити доступ всіх користувачів, які працюють на комп’ютері, до якого-небудь налаштовує поданням, встановіть прапорець “Всі користувачі” і натисніть на кнопку “ОК”.


Експорт настроюються уявлень


Для подальшого імпорту настроюються уявлень для інших користувачів та комп’ютерів в програмі “Перегляд подій” можна експортувати створені вистави в XML-файли. Для того щоб експортувати настроюються подання, виконайте такі дії:



  1. У дереві консолі перейдіть на вузол “Настроювані подання” і виберіть потрібне для експорту уявлення;

  2. Виберіть команду “Експортувати настроюється уявлення” з меню “Дія” або з контекстного меню подання;

  3. У діалозі “Зберегти як” виберіть папку, в яку повинен бути збережений файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку “Нова папка” на панелі дій. У полі “Ім’я файлу” введіть ім’я та натисніть на кнопку “Зберегти”. Для скасування збереження натисніть на кнопку “Скасування”;


Фільтрування та сортування


Однією з ключових особливостей використання програми “Перегляд подій” є здатність фільтрувати, сортувати, групувати і змінювати порядок слідування подій. Це можна назвати організацією презентацій подій для виключення або включення їх в набір результатів. Сортування подій значно спрощує відділення повідомлень про критичні помилки від інших повідомлень, відстежує події з певних джерел, а також виявляє повторювані події. Фільтрація в основному призначена для аналізу конкретних подій, які можна відбирати за заданими критеріями. За допомогою угруповання можна відображати всі події, які були створені, наприклад, одним і тим же джерелом. Про це функціоналі розповідається в цьому розділі даного керівництва.



Фільтрування подій


Для полегшення перегляду подій у вибраному журналі, програма “Перегляд подій” дозволяє використовувати гнучкий механізм фільтрації. На жаль, фільтри призначені тільки для тимчасового перегляду і при подальшому перегляді журналу, для якого застосовувався фільтр, він буде скинутий. Для того щоб фільтр можна було застосовувати в наступні рази, можна створювати власні уявлення, про які говорилося вище. Для фільтрації відображуваних подій виконайте такі дії:



  1. У дереві консолі перейдіть на журнал, який потрібно відфільтрувати;

  2. Виберіть команду “Фільтр поточного журналу” з меню “Дія” або з контекстного меню журналу;

  3. Далі фільтр настроюється точно так само, як і для настроюються уявлень, що описувалося вище;

  4. Натисніть на кнопку “ОК” для того щоб закрити діалогове вікно “Фільтрувати поточний журнал”.

Для того щоб скасувати дії фільтра, виберіть команду “Очистити фільтр” з меню “Дія” або з контекстного меню журналу.




Сортування подій


Сортування – це алгоритм для впорядкування елементів у списку. У випадку, коли елемент списку має кілька полів, поле, що служить критерієм порядку, називається ключем сортування. У програмі “Перегляд подій” в якості ключа виступають стовпчики, які відображені в головному вікні програми. В залежності від того, які стовпці властивостей подій програми “Перегляд подій” ви вибрали для відображення переглядаються подій, дані можна відсортувати таким чином:



  1. У дереві консолі перейдіть на журнал, збережений журнал або настроюється уявлення, яке потрібно відсортувати;

  2. Для виконання сортування, натисніть лівою кнопкою миші на заголовку будь-якого журналу. Для сортування подій в зворотному порядку, натисніть лівою кнопкою миші повторно на тому ж заголовку.

На жаль, після збереження журналу в файл, порядок сортування збережений не буде.




Угрупування подій


При групуванні елементів управління вони об’єднуються так, щоб з ними можна було працювати як з одним елементом управління. Наприклад, можна змінювати розміри всіх елементів управління в групі або переміщати їх як одне ціле. Незважаючи на всі хороші якості сортування подій, результати сортування можуть містити величезні, що значно ускладнює роботу з подіями. У зв’язку з цим була розроблена така функція, як угруповання подій, яка збирає зазначені події в групи, що значно спрощує пошук потрібних даних. Для того, щоб згрупувати події за певним властивості, зробіть наступне:



  1. У дереві консолі перейдіть на журнал, збережений журнал або настроюється уявлення, яке потрібно згрупувати;

  2. Клацніть правою кнопкою миші для виклику контекстного меню і виберіть команду “Групувати події з цього стовпцю”. Для того щоб скасувати угруповання, натисніть на праву кнопку миші на будь-якому заголовку стовпців і виберіть команду “Видалити угруповання подій”.

На жаль, “Перегляд подій” дозволяє групувати дані тільки по одному стовпцю, тобто підтримує один рівень групування.




Порядок проходження властивостей подій


У першій частині поточного керівництва я розповідав про те, які існують властивості подій і як їх можна вибирати. Тут я поясню, як можна змінювати порядок слідування властивостей подій для їх відображення в програмі. Змінити їх порядок можна таким чином:



  1. У дереві консолі перейдіть на журнал, збережений журнал або настроюється уявлення;

  2. Клацніть правою кнопкою миші для виклику контекстного меню і виберіть команду “Додати або видалити стовпці”;

  3. У діалоговому вікні “Додавання та видалення стовпців” в списку “Доступні стовпці” відображені ті стовпці, які можна додати за допомогою кнопки “Додати ->”, А видаляти непотрібні стовпці можна з поля “Відображувані стовпці” за допомогою кнопки “<- Видалити". Потрібне положення стовпців можна задавати за допомогою кнопок “Вгору” або “Вниз”.

Порядок стовпців збережеться навіть після перезапуску програми.




Підписка на події


Як говорилося вище, програма “Перегляд подій” дозволяє переглядати події всіх комп’ютерів локальної мережі на будь-якому комп’ютері, навіть віддаленому. Система може отримувати копії подій, зареєстрованих на різних віддалених комп’ютерах, і зберігати їх локально. Для реалізації цих дій потрібно створювати пересилки і збір подій, а також створювати підписки.


Для пересилання подій необхідно включити і налаштувати її на комп’ютерах, а потім визначити підписки. Для того щоб налаштувати пересилання та збір пересилаються подій, виконайте такі дії:



  1. Увійдіть в систему всіх комп’ютерів-складальників і комп’ютерів-джерел подій. Для цього бажано використовувати обліковий запис домену з правами адміністратора.

  2. Налаштуйте автоматичний запуск із затримкою для служби “Віддалене управління Windows”, Далі WinRM;

  3. Запустіть службу WinRM;

  4. Створіть прослуховувачі WinRM;

  5. Додайте обліковий запис комп’ютера-складальника даних до локальної групі “Адміністратори” на кожному комп’ютері-джерелі подій;

  6. Дозвольте виключення брандмауера WinRM, якщо в системі включений брандмауер.

Детально про налаштування комп’ютерів для пересилки і збору подій засобами командного рядка буде розказано в третій частині статті.



Створення підписок


Після налаштування пересилання та збору подій на комп’ютерах для того щоб можна було отримувати пересилаються події, створіть одну або декілька підписок на події. Для того щоб створити підписку на події, виконайте такі дії:



  1. На комп’ютері, який буде виконувати збір подій, увійдіть в систему з правами адміністратора і відкрийте оснастку “Перегляд подій”. Потім або натисніть правою кнопкою миші на вузлі “Перегляд подій” для виклику контекстного меню і виберіть команду “Підключитися до іншого комп’ютера”, Або в діалоговому вікні “Вибір комп’ютера” введіть ім’я, IP-адресу або повне доменне ім’я потрібного комп’ютера в полі “Інший комп’ютер” і натисніть на кнопку “ОК”;


  2. Натисніть правою кнопкою миші на вузлі “Підписки” і з контекстного меню виберіть команду “Створити підписку”;



  3. У вікні “Властивості підписки” введіть ім’я підписки в поле “Назва підписки”. При бажанні в полі “Опис” можете ввести опис для створеної підписки;

  4. У діалозі створення підписок за замовчуванням кінцевим журналом є “Пересилає події”. Ім’я журналу можна змінити в тому випадку, якщо це необхідно.

  5. Для вказівки комп’ютера, пересилати події на сервер, натисніть на кнопку “Виберіть комп’ютери” і в діалоговому вікні виберіть “Додати доменний комп’ютер”. У цьому вікні виберіть потрібний комп’ютер, після чого натиснути на кнопку “ОК”;


  6. Натисніть на кнопку “Вибрати події” і виберіть команду “Змінити” для відкриття “Фільтра запиту”.

  7. Виберіть рівень подій за допомогою прапорців “Рівень подій”. Для того щоб відфільтрувати один або кілька журналів, поставте перемикач на опцію “За журналу” і в списку “Журнали подій” виберіть потрібні для вас журнали. У тому випадку, якщо вам буде потрібно фільтрувати журнали по джерелу подій, то ви можете вибрати джерела зі списку “Джерела подій”. Параметр “За джерела” краще залишити включеним.

  8. Спочатку служба збирача подій використовує для читання вихідних журналів обліковий запис комп’ютера-складальника подій. Для того щоб вказати інші облікові дані, натисніть на кнопку “Додатково”. У діалоговому вікні “Додаткові параметри підписки” встановіть перемикач на обліковий запис користувача – “Певний користувач”, А потім натисніть на кнопку “Користувач і пароль”, Де потрібно буде ввести облікові дані. Натисніть на кнопку “ОК”.


  9. Натисніть на кнопку “ОК”. Підписка буде створена і додана в вузол “Підписки” і, якщо операція була успішною, підписка буде мати стан “Активний”.




Управління підписками


Після того як буде створена підписка, копьютера-джерела будуть пересилати події, які розташовуються в заданих журналах. Для перегляду підписок в програмі “Перегляд подій” виберіть вузол “Підписки”. З переліку підписок виберіть потрібну для вас і виберіть команду з меню “Дія” або з контекстного меню підписки. Доступні наступні команди:





Веб-довідка журналу


Як було сказано вище, всі події, які записуються в журнал подій, містять посилання на веб-сайт корпорації Microsoft або то веб-сайт, який вказав користувач при створенні свого власного події. Для того щоб зв’язати “Веб-довідку журналу” з URL веб-сайту, відмінного від веб-сайту корпорації Майкрософт, можна або змінити певні параметри в системному реєстрі, або вказати потрібний URL-адресу в маніфесті інструментарію для видавця. У тому випадку, якщо URL-адреси були змінені і в системному реєстрі, і в маніфестах інструментарію, то URL-адресу, вказану в реєстрі буде перевизначати всі інші адреси.



Вказівка ​​URL-адреси в реєстрі


У системному реєстрі, за URL-адресу, пов’язану з посиланням “Веб-довідка журналу” відповідає розділ HKLMSoftwareMicrosoftWindows NTCurrentVersionEventViewer. У цьому розділі реєстру можна знайти наступні три параметри:




Вказівка ​​URL-адреси в маніфесті інструментарію


URL-адресу для посилання “Веб-довідка журналу” подій можна також вказувати і в маніфесті інструментарію, про докладному створенні якого буде розказано в одній з наступних статей. Для цього необхідно додати в елемент provider атрибут helpLink. У наступному прикладі показаний атрибут helpLink, заданий для елемента provider.

<provider name=”Microsoft-Windows-EventLogSamplePublisher”
guid=”{1db28f2e-8f80-4027-8c5a-a11f7f10f62d}”
symbol=”MICROSOFT_SAMPLE_PUBLISHER”
resourceFileName=”C: empPublisher.exe”
messageFileName=”C: empPublisher.exe”
helpLink=”http://mydomain.com”>


Висновок


У цій частині статті, присвяченій програмі “Перегляд подій” докладно розглянуті операції, які можна виконувати з налаштованим уявленнями, фільтрацією, сортуванням і группровкой, управління підписками і пересилками подій, а також зміна URL-адреси веб-довідки журналу. У наступній, заключній частині я розповім про те, як можна виконувати різні операції, пов’язані з управлінням подіями за допомогою командного рядка і Windows PowerShell.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*