Lucrare de laborator 1 (partea 2-a)

Premisele teoretice Jurnalele de evenimente

Jurnalele de evenimente sunt fiiere speciale care nregistreaz evenimente semnificative din computer,
precum atunci cnd un utilizator face Log on la computer sau atunci cnd un program ntmpin o eroare.
Ori de cte ori apar aceste tipuri de evenimente, Windows nregistreaz evenimentul ntr-un jurnal de
evenimente ce poate fi citit utiliznd Vizualizatorul de evenimente. Este posibil ca utilizatorii avansai s
considere utile detaliile din jurnalele de evenimente atunci cnd depaneaz probleme legate de Windows
i de alte programe.
Vizualizatorul de evenimente nregistreaz informaii n cteva jurnale diferite. Jurnalele Windows includ:
Evenimente de aplicaii (programe). Evenimentele sunt clasificate

ca erori, avertismente sauinformaii, n funcie de gravitatea evenimentului. O eroare este o

problem semnificativ, precum pierderea unor date. Un avertisment este un eveniment care nu este
neaprat semnificativ, dar care ar putea indica o posibil problem viitoare. Un eveniment de
informare descrie funcionarea cu succes a unui program, driver sau serviciu.
Evenimente legate de securitate. Aceste evenimente sunt denumite audituri i sunt descrise ca

reuite sau ca euate n funcie de eveniment, precum cel n care ncercarea unui utilizator de a face
Log on la Windows a avut succes.

Evenimente de configurare. Computerele care sunt configurate precum controlere de domeniu vor
dispune de jurnale suplimentare afiate n acest loc.

Evenimente de sistem. Evenimentele de sistem sunt nregistrate n jurnal de ctre Windows i de

ctre serviciile de sistem Windows i sunt clasificate ca erori, avertismente sau informaii.

Evenimente redirecionate. Aceste evenimente sunt redirecionate ctre acest jurnal de alte
computere.

Jurnalele de aplicaii i servicii variaz. Acestea includ jurnale separate despre programele care se execut
pe computer, precum i jurnale mai detaliate care aparin anumitor servicii Windows.
1.

Deschidei Vizualizator evenimente fcnd clic pe butonul Start

, pe Panou de control ,

pe Sistem i securitate , pe Instrumente de administrare, apoi fcnd dublu clic pe Vizualizator

evenimente. Dac vi se solicit o parol de administrator sau o confirmare, tastai parola sau
furnizai confirmarea.
2.

Facei clic pe un jurnal de evenimente n panoul din stnga.

3.

Facei dublu clic pe un eveniment pentru a vizualiza detalii ale acestuia.

Proprieti de evenimente
Exist mai multe proprieti ale anticipate evenimentului "Event Viewer":
Sursa - un program nregistrat evenimente n jurnalul. Acest lucru poate fi fie numele programului (de
exemplu, "Exchange Server), precum i numele sistemului component sau o cerere mare (cum ar fi
numele driver). De exemplu, "Elnkii driver nseamn EtherLink II.
Eveniment - un numr de identificare a tipului de evenimente special. n primul rnd al descrierii
conine de obicei numele tipul evenimentului. De exemplu, 6005 - este identificatorul unui eveniment
care se ntmpl atunci cnd ncep evenimente de jurnalizare. n consecin, la nceputul descrierii
evenimentului este irul "serviciul jurnal de evenimente este pornit." ID eveniment i intrri numele
sursei poate fi folosit pentru a sprijini reprezentanii unui grup de software pentru depanare.
Level - este nivelul de importan al evenimentului. Jurnalele de sistem i de aplicare a evenimentelor
pot avea urmtoarele niveluri de severitate:

Notificare - indic o schimbare n cerere sau componenta, cum ar fi apariia unui eveniment de
informaii asociate cu o aciune de succes, crearea unei resurse sau serviciu pentru a ncepe.
Avertisment - indic un avertisment cu privire la problema general care pot afecta serviciul sau
duce la probleme mai grave, dac e lsat nesupravegheat;
Eroare - indic faptul c exist o problem care poate afecta funcia, extern la cererea sau
componentei care a declanat evenimentul;
Fatal Error - indic faptul c eecul a avut loc, dup care cererea sau componenta care a
declanat evenimentul nu poate fi restaurat n mod automat;
Audit de succes - implementarea cu succes a aciunilor pe care le urmrii prin audit, cum ar fi
utilizarea unui privilegiu;
Audit de nerespectare- eec al aciunilor pe care le urmrii prin audit, cum ar fi o eroare atunci
cnd v conectai.

Utilizator - specific contul de utilizator n numele cruia a fost acest eveniment. Pentru utilizatorii
includ efecte speciale, cum ar fi serviciul local, serviciul de reea i Anonymous Logon, precum i
conturile de utilizatori reale.
Cod de actiune - conine o valoare numeric care specific funcionarea orice punct al tranzactiei, care a
avut loc n ndeplinirea evenimentului. De exemplu, iniializare sau de nchidere.
Jurnale - denumirea jurnalului, n care a fost nregistrat acest eveniment.
Categoria i obiectivele - definete categoriile de evenimente sunt uneori folosite pentru urmtoarea
descriere a aciunilor admisibile. Fiecare surs eveniment categoria sa. De exemplu, urmtoarele
categorii: de intrare / ieire, de utilizare de privilegii, schimbri de politic i de gestionare a contului.
Cuvinte cheie - un set de categorii sau tag-uri care pot fi folosite pentru a filtra sau pentru a cuta
evenimente. De exemplu, "Network", "securitate" sau "de resurse nu a fost gsit."
Computer - identific numele calculatorului pe care a avut loc evenimentul. De obicei, numele de
computerul local, dar poate fi, de asemenea, numele calculatorului care a transmis evenimentul sau
numele mainii locale nainte de a fi schimbat.

Data i ora - specific data i ora evenimentului n jurnalul.

ID-ul de proces - numrul de ID-ul este procesul care a creat evenimentul. Un program de calculator
este un set de instruciuni numai pasiv, n timp ce procesul - este o implementare direct a acestor
instruciuni.
Steem ID-ul - este numrul de identificare de fire create de eveniment. Procesul generat de sistemul de
operare poate consta din mai multe fluxuri care se execut "n paralel", adic fr ordinea prescris n
timp. Unele sarcini, cum ar diviziune se poate realiza o utilizare mai eficient a resurselor informatice.
Procesor ID - este numrul de identificare a procesorului s se ocupe de eveniment.
Sesiunea de identitate - un numr de identificare de pe sesiunea server terminal n care a avut loc
evenimentul.
Timp de funcionare nucleu - specific timpul necesar pentru a efectua instruciuni kernel-mode, n
uniti de timp CPU. Mod de nucleu are acces nerestricionat la memorie de sistem i dispozitivele
externe. Nucleul sistemului de NT numit kernel hibrid sau maknucleu.
Timp n modul de utilizare - specific timpul petrecut de executare instruciuni de utilizare-mode, n
uniti de timp CPU. Modul de utilizare este format din subsisteme care transfer cererile de intrare \
ieire corespunztoare manager de ofer mod kernel prin intrri-ieiri.
Utilizarea CPU - timpul petrecut de executare instruciuni de utilizare-mode, n CPU cpue.
Cod de corelaie - determin aciunea ntr-un proces care utilizeaz evenimentul. Acest cod este utilizat
pentru a specifica relaiile simplu ntre evenimente.
ID relativ - determin efectul relativ al unui proces care utilizeaz un eveniment.

Lucrul cu jurnalele de evenimente

1. Vizualizarea jurnalului (mai sus)

2. Salvarea jurnalului selectat
a. n arborele de consol, selectai jurnalul de evenimente pe care dorii s salvai;
b. Selectai "Salvare evenimentele ca" din meniul "Action" din meniul contextual sau
jurnalul, selectai "Salvai toate evenimentele ca";
c. n caseta de dialog "Save As", selectai directorul n care ar trebui s fie salvat
fiierul.
3. Curirea jurnalui de evenimente
a. n arborele de consol, selectai evenimentul jurnal pe care dorii s ndeprteze;
b. Se poate cur jurnalul n unul dintre urmtoarele metode::
1.

n "Acion", selectai "Istoria Clear";

2.
La jurnalul selectat, facei clic dreapta pentru a deschide meniul
contextual. n meniul contextual, selectai "Istoria Clear";

4. Setai dimensiunea maxim a jurnalului

a. n arborele de consol, selectai jurnalul de evenimente pentru care dorii s
redimensionai;
b. Selectai "Properties" din meniul "Action" din meniul contextual sau jurnalul
selectat;
c. n "dimensiunea maxim jurnal (KB)" setai valoarea dorit cu ajutorul contorului
sau setat manual fr a utiliza contorul. n acest caz, valoarea va fi rotunjit la
cel mai apropiat multiplu de 64 KB ca dimensiunea fiierului de jurnal ar trebui s
fie un multiplu de 64K i nu poate fi mai mic de 1024 KB.

Evenimentele sunt stocate ntr-un fiier jurnal, a crei mrime poate fi crescut numai la o
valoare maxim predeterminat. Dup atingerea dimensiunea maxim a fiierului, de prelucrare
evenimente primite vor fi determinate de politica de reinere jurnal. Disponibile politicile:
Suprascrie evenimente cum este necesar (cele mai vechi primele) fiiere - n acest caz, noi recorduri
continu s fie conectat dup finalizarea acesteia. Fiecare eveniment nou nlocuiete cele mai vechi din
jurnal;
Arhiva jurnalul atunci cnd sunt pline; Nu suprascrie evenimente - n acest caz, un fiier jurnal este
arhivat automat atunci cnd este necesar. Suprascrie evenimente mai mari nu sunt executate
Nu suprascrie evenimente (log clar manual) - n acest caz, jurnalul este eliminat manual, nu automat.
5. Activarea jurnalului de analiz i de depanare
Odata activat acestea au umplut repede cu o mulime de evenimente. Din acest motiv, este de dorit
pentru a permite aceste jurnale pentru o perioad limitat de timp, n scopul de a aduna datele
necesare depanare i pornii-le off. Activarea jurnalului poate face dup cum urmeaz:
a) n arborele de consol, localizai i selectai analitic sau de depanare jurnal dorii s activai;
b) Selectai comanda "Properties" din meniul "aciune" sau din meniul contextual al analitice
selectate sau log de depanare;
c) n fila "General", bifai opiunea de a "Enable logare"
6. Deschiderea i nchiderea jurnalului de urmrire salvat
a) Facei clic pe "Open salvate Log" n "aciune" sau din meniul contextual n arborele de consol;
b) n caseta de dialog "Deschide jurnalul salvat", se deplaseaz arborele director, deschidei folderul
care conine fiierul. n mod implicit, caseta de dialog va afia toate fiierele jurnal de evenimente.