Просмотр событий

Одно из самых часто используемых и наиболее важных средств мониторинга системы — это регистрация различных событий в журналах операционной системы Windows. Регистрацию событий в системе Windows осуществляет служба " Журнал событий " ( Event Log ). В любой системе семейства Windows всегда присутствуют 3 журнала:

• журнал " Система " ( System ) — события, записанные в журнал компонентами операционной системы (например, сбой в запуске службы при перезагрузке); расположение журнала по умолчанию — в папке "%SystemRoot%\system32\config\SysEvent.Evt ";
• журнал " Безопасность " ( Security ) — регистрация событий, относящихся к системе безопасности (например, попытки регистрации пользователей, изменения в политиках безопасности, попытки доступа к различным ресурсам); набор событий, регистрируемых в журнале " Безопасность ", настраивается локальной или групповых политик (об управлении аудитом событий безопасности — в следующем подразделе); расположение по умолчанию — " %SystemRoot%\system 32\сопfig\SecEvent.Evt ";
• журнал " Приложение " ( Application ) — события, порожденные различными приложениями (например, сбой MS SQL при доступе к базе данных); набор событий, регистрируемых в журнале " Приложения ", определяется разработчиками приложений; расположение по умолчанию — "%SystemRoot%\system32\config\AppEvent.Evt ".

При установке в системе каких-либо компонент могут появиться журналы, регистрирующие события, относящиеся к работе данных компонент.

При установке службы DNS появляется журнал " DNS-сервер " ( DNS Server ), регистрирующий события, связанные с работой службы DNS (расположение по умолчанию — " %SystemRoot%\system32\config\DNSEvent.Evt ").

При создании контроллера домена в системе появляются журналы:

• журнал " Служба каталогов " ( Directory Service ) — события, порожденные службой каталогов Active Directory;. расположение по умолчанию — "%SystemRoot%\system32\config\NTDS.Evt ";
• журнал " Служба репликации файлов " ( File Replication Service ) — события, связанные с репликацией файлов (в первую очередь файлы в папке SYSVOL и файлы в сетевых папках, управляемых рапределенной файловой системой DFS); расположение по умолчанию — " %SystemRoot%\system32\config\NtFrs.Evt ".