Что такое программа просмотра событий и как ее использовать в Windows 10

Содержание
  1. Введение — что такое средство просмотра событий? Windows 10 предоставляет нам функцию, которая помогает нам просматривать подробный журнал всех наших Приложения. Эта функция известна как «Просмотр событий». Он дает подробный анализ работы всех приложений в Windows 10. Он также предоставляет нам список всех ошибок, которые произошли при запуске любого приложения. Этот список помогает нам определить основную причину всех проблем. Он помогает нам отслеживать те приложения, которые вызывают проблемы во время работы. После просмотра подробного отчета об этих проблемах вы легко сможете их решить. Это не только повышает эффективность вашей компьютерной системы, но и избавляет вас в будущем от некоторых из наиболее часто возникающих проблем. В этой статье мы объясним вам способ использования средства просмотра событий в Windows 10. Использование средства просмотра событий в Windows 10 Чтобы использовать средство просмотра событий в Windows 10, вам необходимо выполнить следующие действия: Введите Просмотр событий в разделе поиска на панели задач и щелкните результат поиска, чтобы открыть окно просмотра событий. Недавно открывшееся окно просмотра событий показано на следующем изображении: Для просмотра различных типов журналов событий вам необходимо развернуть вкладку Windows Logs, как показано на изображении ниже: Три наиболее важных типа журналов событий выделены на изображении, показанном выше. В Журнал приложений записываются те события, которые связаны с интерфейсом и другими важными компонентами, которые необходимы для запуска приложения. Журнал безопасности касается событий, связанных с попытками входа в систему и другими функциями безопасности Windows 10. Системный журнал отслеживает те события, которые связаны с предустановленные программы Windows 10. Мы рассмотрим все эти типы журналов событий один за другим. Щелкните вкладку Приложение для просмотра журналов приложений. Как только вы щелкнете по нему, правая панель окна изменится, как показано на следующем изображении: Есть три уровня всех событий, которые записываются в журнал приложений, т.е. Информация, ошибки и предупреждения. Информационные события — это те события, которые информируют о нормальной активности приложения, то есть приложение работает без каких-либо проблем. События Error информируют о возникновении ошибки во время работы приложения. События предупреждения сообщают о любых возможных проблемах, которые могут возникнуть при работе приложения. Более того, идентификаторы событий помогут вам найти решение любой конкретной ошибки путем поиска ее в Интернете.. Теперь щелкните вкладку Безопасность, чтобы просмотреть журналы безопасности. Как только вы нажмете на нее, правая панель окна изменится, как показано на изображении ниже: Есть два ключевых слова, которые представляют тип событий, записываемых в журнал безопасности, то есть Успешный аудит и Сбой аудита. Ключевое слово Audit Success используется для идентификации успешных попыток входа в систему, тогда как ключевое слово Audit Failure используется для указания неудачных попыток входа в систему. Теперь щелкните вкладку System, чтобы просмотреть системные журналы. Как только вы щелкнете по нему, правая панель окна изменится, как показано на следующем изображении: Точно так же, как события журнала приложений, события системного журнала также имеют те же три уровня, то есть Информация, ошибка и предупреждение. Подробности этих уровней уже обсуждаются в этой статье. Более того, если вы хотите просмотреть количество событий каждого типа и размер, занимаемый этими событиями, в журналах Windows, вы можете просто щелкните Журналы Windows и просмотрите эту информацию на правой панели окна, как показано на изображении, показанном ниже: Заключение Таким образом, вы можете использовать журнал событий, чтобы знать обо всех событиях, которые происходят в вашей компьютерной системе с использованием Windows 10. Журнал событий не только помогает нам отслеживать проблемы и проблемы, возникающие при выполнении определенных действий, но также помогает нам в решении наиболее часто встречающихся проблем с использованием соответствующих идентификаторов событий. В текущем обновлении Win 10 (11 сентября 2020 г.) mmc перестает отвечать после первого действия, такого как просмотр сведений о записи в журнале событий. Не удалось найти ничего от Microsoft, подтверждающего наличие проблемы, с помощью поиска в Google. Здесь нужна помощь из любого источника. Ответ Самые важные идентификаторы журнала событий безопасности Windows 10, которые нужно отслеживать Мониторинг Windows 10 журналов событий — один из лучших способов обнаружения вредоносной активности в вашей сети. Какие идентификаторы событий вы должны смотреть? Это наиболее важные типы событий журнала, которые нужно искать, и то, что они могут вам рассказать. Идентификатор журнала событий безопасности Windows, идентификатор 4688 Событие 4688 документирует каждую программу на компьютере выполняет, его идентификационные данные и процесс, который его запустил. Когда вы входите в систему, в вашей системе происходит несколько событий 4688. Например, подсистема диспетчера сеансов (SMSS.exe) запускается при входе в систему и регистрируется событие 4688. Кроме того, зарегистрированный тип повышения уровня токена показывает, какие права пользователя связаны с программой. Как отмечалось в блоге по безопасности Windows Рэнди Франклина Смита, эти токены демонстрируют права учетной записи. %% 1936 — Тип 1 является полным токеном. без удаленных привилегий или отключенных групп. Полный токен используется только в том случае, если контроль учетных записей пользователей (UAC) отключен или если пользователь является встроенной учетной записью администратора или учетной записью службы. %% 1937 — Введите 2 — это токен с повышенными правами, без удаления каких-либо привилегий или отключенных групп. Маркер с повышенными правами используется, когда включен UAC и пользователь выбирает запуск программы с помощью «Запуск от имени администратора». Маркер с повышенными правами также используется, когда приложение настроено на то, чтобы всегда требовать административные привилегии или всегда требовать максимальные привилегии, а пользователь является членом группы администраторов. %% 1938 — Тип 3 является нормальным значением, когда UAC включен, и пользователь просто запускает программу из меню «Пуск». Это ограниченный токен с удаленными административными привилегиями и отключенными административными группами. Маркер с ограничениями используется, когда приложение не требует прав администратора и пользователь не выбирает запуск программы с помощью «Запуск от имени администратора». Чтобы продолжить чтение этой статьи, зарегистрируйтесь сейчас Получите бесплатный доступ Узнать больше Существующие пользователи Войти
  2. Использование средства просмотра событий в Windows 10
  3. Заключение
  4. Самые важные идентификаторы журнала событий безопасности Windows 10, которые нужно отслеживать
  5. Идентификатор журнала событий безопасности Windows, идентификатор 4688

Введение — что такое средство просмотра событий?

Windows 10 предоставляет нам функцию, которая помогает нам просматривать подробный журнал всех наших Приложения. Эта функция известна как «Просмотр событий». Он дает подробный анализ работы всех приложений в Windows 10. Он также предоставляет нам список всех ошибок, которые произошли при запуске любого приложения. Этот список помогает нам определить основную причину всех проблем.

Он помогает нам отслеживать те приложения, которые вызывают проблемы во время работы. После просмотра подробного отчета об этих проблемах вы легко сможете их решить. Это не только повышает эффективность вашей компьютерной системы, но и избавляет вас в будущем от некоторых из наиболее часто возникающих проблем. В этой статье мы объясним вам способ использования средства просмотра событий в Windows 10.

Использование средства просмотра событий в Windows 10

Чтобы использовать средство просмотра событий в Windows 10, вам необходимо выполнить следующие действия:

Введите Просмотр событий в разделе поиска на панели задач и щелкните результат поиска, чтобы открыть окно просмотра событий. Недавно открывшееся окно просмотра событий показано на следующем изображении:

Для просмотра различных типов журналов событий вам необходимо развернуть вкладку Windows Logs, как показано на изображении ниже:

Три наиболее важных типа журналов событий выделены на изображении, показанном выше. В Журнал приложений записываются те события, которые связаны с интерфейсом и другими важными компонентами, которые необходимы для запуска приложения. Журнал безопасности касается событий, связанных с попытками входа в систему и другими функциями безопасности Windows 10. Системный журнал отслеживает те события, которые связаны с предустановленные программы Windows 10. Мы рассмотрим все эти типы журналов событий один за другим.

Щелкните вкладку Приложение для просмотра журналов приложений.

Как только вы щелкнете по нему, правая панель окна изменится, как показано на следующем изображении:

Есть три уровня всех событий, которые записываются в журнал приложений, т.е. Информация, ошибки и предупреждения . Информационные события — это те события, которые информируют о нормальной активности приложения, то есть приложение работает без каких-либо проблем. События Error информируют о возникновении ошибки во время работы приложения. События предупреждения сообщают о любых возможных проблемах, которые могут возникнуть при работе приложения. Более того, идентификаторы событий помогут вам найти решение любой конкретной ошибки путем поиска ее в Интернете..

Теперь щелкните вкладку Безопасность , чтобы просмотреть журналы безопасности.

Как только вы нажмете на нее, правая панель окна изменится, как показано на изображении ниже:

Есть два ключевых слова, которые представляют тип событий, записываемых в журнал безопасности, то есть Успешный аудит и Сбой аудита . Ключевое слово Audit Success используется для идентификации успешных попыток входа в систему, тогда как ключевое слово Audit Failure используется для указания неудачных попыток входа в систему.

Теперь щелкните вкладку System, чтобы просмотреть системные журналы.

Как только вы щелкнете по нему, правая панель окна изменится, как показано на следующем изображении:

Точно так же, как события журнала приложений, события системного журнала также имеют те же три уровня, то есть Информация, ошибка и предупреждение . Подробности этих уровней уже обсуждаются в этой статье.

Более того, если вы хотите просмотреть количество событий каждого типа и размер, занимаемый этими событиями, в журналах Windows, вы можете просто щелкните Журналы Windows и просмотрите эту информацию на правой панели окна, как показано на изображении, показанном ниже:

Заключение

Таким образом, вы можете использовать журнал событий, чтобы знать обо всех событиях, которые происходят в вашей компьютерной системе с использованием Windows 10. Журнал событий не только помогает нам отслеживать проблемы и проблемы, возникающие при выполнении определенных действий, но также помогает нам в решении наиболее часто встречающихся проблем с использованием соответствующих идентификаторов событий.


В текущем обновлении Win 10 (11 сентября 2020 г.) mmc перестает отвечать после первого действия, такого как просмотр сведений о записи в журнале событий. Не удалось найти ничего от Microsoft, подтверждающего наличие проблемы, с помощью поиска в Google. Здесь нужна помощь из любого источника.

Ответ



Самые важные идентификаторы журнала событий безопасности Windows 10, которые нужно отслеживать

Мониторинг Windows 10 журналов событий — один из лучших способов обнаружения вредоносной активности в вашей сети. Какие идентификаторы событий вы должны смотреть? Это наиболее важные типы событий журнала, которые нужно искать, и то, что они могут вам рассказать.

Идентификатор журнала событий безопасности Windows, идентификатор 4688

Событие 4688 документирует каждую программу на компьютере выполняет, его идентификационные данные и процесс, который его запустил. Когда вы входите в систему, в вашей системе происходит несколько событий 4688. Например, подсистема диспетчера сеансов (SMSS.exe) запускается при входе в систему и регистрируется событие 4688. Кроме того, зарегистрированный тип повышения уровня токена показывает, какие права пользователя связаны с программой. Как отмечалось в блоге по безопасности Windows Рэнди Франклина Смита, эти токены демонстрируют права учетной записи.

  • %% 1936 — Тип 1 является полным токеном. без удаленных привилегий или отключенных групп. Полный токен используется только в том случае, если контроль учетных записей пользователей (UAC) отключен или если пользователь является встроенной учетной записью администратора или учетной записью службы.
  • %% 1937 — Введите 2 — это токен с повышенными правами, без удаления каких-либо привилегий или отключенных групп. Маркер с повышенными правами используется, когда включен UAC и пользователь выбирает запуск программы с помощью «Запуск от имени администратора». Маркер с повышенными правами также используется, когда приложение настроено на то, чтобы всегда требовать административные привилегии или всегда требовать максимальные привилегии, а пользователь является членом группы администраторов.
  • %% 1938 — Тип 3 является нормальным значением, когда UAC включен, и пользователь просто запускает программу из меню «Пуск». Это ограниченный токен с удаленными административными привилегиями и отключенными административными группами. Маркер с ограничениями используется, когда приложение не требует прав администратора и пользователь не выбирает запуск программы с помощью «Запуск от имени администратора».

Чтобы продолжить чтение этой статьи, зарегистрируйтесь сейчас

Получите бесплатный доступ

Узнать больше Существующие пользователи Войти

Оцените статью
logicle.ru
Добавить комментарий