Журналы событий в Windows

Приложение– хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность– хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка– в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система– хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события– если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

События оборудования– если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий»предоставляет простой графический интерфейс для доступа к этим возможностям.