Wmi журнал событий windows

Содержание

Что такое WMI Provider Host (WmiPrvSE.exe) на моем ПК?

Wmi журнал событий windows

WMI Provider Host процесс является важной частью Windows и часто работает в фоновом режиме. Это позволяет другим приложениям на Вашем компьютере запрашивать информацию о Вашей системе. Этот процесс обычно не должен использовать много системных ресурсов, но он может использовать много CPU, если другой процесс в Вашей системе ведет себя плохо.

Что такое WMI Provider Host

«WMI» означает «Инструмент управления Windows». Это функция Windows, которая предоставляет стандартизованный способ для программного и административного скриптов запрашивать информацию о состоянии Вашей операционной системы Windows и данных на нем.

«WMI Providers» предоставляют эту информацию по запросу. Например, программное обеспечение или команды могут находить информацию о состоянии шифрования диска BitLocker, просматривать записи из журнала событий или запрашивать данные из установленных приложений, которые включают поставщика WMI.

На веб-сайте Microsoft есть список включенных поставщиков WMI.

Это особенно полезная функция для предприятий, которые централизованно управляют ПК, тем более, что информацию можно запросить с помощью сценариев и стандартным образом показать в административных консолях. Однако даже на домашнем ПК некоторое программное обеспечение, которое вы установили, может запрашивать информацию о системе через интерфейс WMI.

Вы также можете сами использовать WMI, чтобы найти множество полезных фрагментов информации, которые обычно не отображаются в интерфейсе Windows на Вашем ПК. Например, найти номер модели Вашей материнской платы или просто посмотреть состояние здоровья SMART на жестком диске.

Почему он использует так много процессора?

WMI Provider Host обычно не должен использовать много CPU, поскольку он обычно не должен делать ничего. Иногда он может использовать немного процессора, когда другая часть программного обеспечения или скрипта на Вашем ПК запрашивает информацию через WMI, и это нормально. Высокое использование ЦП, скорее всего, является признаком того, что другое приложение запрашивает данные через WMI.

Тем не менее, длительное использование большого количества CPU является признаком того, что что-то не так. Поставщик провайдера WMI не должен постоянно использовать большое количество ресурсов ЦП.

Перезапуск службы WMI может помочь, если он застрял в плохом состоянии. Вы также можете просто перезагрузить компьютер, но есть способ перезапустить службу без перезагрузки компьютера. Для этого откройте меню «Пуск», введите «Services.msc» и нажмите «Enter», чтобы запустить инструмент «Службы».

Найдите в списке «Инструментарий управления Windows», нажмите на него правой кнопкой мыши и выберите «Перезапустить».

Если Вы видите постоянное высокое использование ЦП, вполне вероятно, что другой процесс в Вашей системе ведет себя плохо. Если процесс постоянно запрашивает большой объем информации у поставщиков WMI, это приведет к тому, что процесс WMI Provider Host будет использовать большое количество CPU. Этот другой процесс является проблемой.

Чтобы определить, какой конкретный процесс вызывает проблемы с WMI, используйте средство просмотра событий. В Windows 10 или 8 Вы можете щелкнуть правой кнопкой мыши кнопку «Пуск» и выбрать «Просмотр событий», чтобы открыть его. В Windows 7 откройте меню «Пуск», введите «Eventvwr.msc» и нажмите «Enter», чтобы запустить его.

На левой панели окна «Просмотр событий» перейдите в «Журналы приложений и служб»\Microsoft\Windows\WMI-Activity\Operational.

Прокрутите список и найдите последние события «Ошибка». Нажмите на каждое событие и найдите номер справа от «ClientProcessId» в нижней панели. Это показывает идентификационный номер процесса, вызвавшего ошибку WMI.

Теперь Вы можете закрыть процесс, который может вызвать проблемы. Сначала откройте окно диспетчера задач, нажав Ctrl + Shift + Escape или щелкнув правой кнопкой мыши на панели задач и выбрав «Диспетчер задач».

Перейдите на вкладку «Подробности», щелкните столбец «ID процесса», чтобы отсортировать запущенные процессы по идентификатору процесса и найдите процесс, соответствующий идентификационному номеру, который появился в журналах просмотра событий.

Если процесс был закрыт, Вы не увидите его в списке здесь. Кроме того, когда программа закрывается и снова открывается, у нее будет другой идентификатор процесса. Вот почему Вам нужно искать последние события, так как идентификатор процесса из старых событий в Вашем средстве просмотра событий не поможет Вам ничего найти.

Имея эту информацию, Вы теперь знаете процесс, который может вызвать проблемы. Вы можете найти его имя в Интернете, чтобы узнать, с каким программным обеспечением оно связано.

Вы также можете просто щелкнуть правой кнопкой мыши процесс в списке и нажать «Открыть расположение файла», чтобы открыть его местоположение в Вашей системе, что может показать Вам более крупный программный пакет, частью которого является программа.

Могу ли я отключить WMI Provider Host?

Технически можно отключить «Инструментарий управления Windows» на Вашем компьютере. Тем не менее, это сломает много разных вещей на Вашем ПК. Это важная часть операционной системы Windows, и ее нужно оставить в покое.

Как говорится в официальном описании этой службы: «При отключении данной службы зависимые от нее службы не смогут быть запущены». Поэтому не отключите эту службу! Если у Вас есть проблемы с этим, Вам необходимо определить процесс на Вашем компьютере, который заставляет WMI Provider Host использовать столько CPU и обновить, удалить или отключить этот процесс.

Источник: https://zen.yandex.ru/media/guidepc/chto-takoe-wmi-provider-host-wmiprvseexe-na-moem-pk-5efc5cdee951010a582fc5c0

События Windows Management Instrumentation (WMI)

Wmi журнал событий windows

События WMI (Windows Management Instrumentation) являются, пожалуй самым мощным средством администрирования Windows. В простом варианте, события WMI – это подписка на извещения об любых изменения в состоянии логического или физического ком­понента информационной системы, доступ к которому может быть получен с помощью Windows Management Instrumentation.

Например:

  • Запуск заданного процесса или службы (или все вместе)
  • Появление в журнале событий Windows заданного сообщения
  • Изменения в файловой системе – объем диска, появление нового файла и так далее
  • Изменения заданного ключа реестра

При работе с WMI событиями происходит взаимодействие между провайдерами (event providers), роль которых формировать извещение и зарегистрированными подписчиками на эти изве­щения – потребителями (event consumers).

Все события WMI можно разделить на три категории: внутренние, внешние и события таймера. Каждой категории в репозитории CIM соответствует определен­ный класс-потомок абстрактного класса __Event.

Так, внешние обрабатываются с помощью класса __ExtrinsicEvent, внутренним соответствуют три разных класса – __NamespaceOperationEvent, __ClassOperationEvent и __InstanceOperationEvent, событиям таймера  – класс __TimerEvent.

Также, WMI события можно разделить на временные и постоянные.

Как только возникает событие, WMI автоматически создает экземп­ляр того класса, которому оно соответствует. Давайте рассмотрим каждый тип событий WMI по отдельности.

Внутренние события WMI

Данный тип предоставляет возможность контролировать изменения в состоянии тех управляемых ресурсов, которые обрабатываются отдельным классом WMI и хранятся в CIM, плюс, изменения в структуре самого репозитория CIM. Пользователь может получить извещения о создании, изменении и удалении экземпляров заданного классов, а также самих классов и пространств имен.

Как уже было сказано, внутренним соответствуют три разных класса:

__ InstanceOperationEvent – является базовым для всех внутренних событий WMI, которые относятся к экземпляру. Например:

  • Был создан новый экземпляр заданного класса(подкласс __InstanceCreationEvent)
  • Модификация существующего экземпляра класса(подкласс __InstanceModificationEvent);
  • Удаление экземпляра класса(подкласс __InstanceDeletionEvent).

__NamespaceOperationEvent – является базовым для всех внутренних событий WMI, которые относятся к пространству имен.

  • Создание нового пространства имен (подкласс __NamespaceCreationEvent)
  • Модификация существующего пространства имен(подкласс __NamespaceModificationEvent);
  • Удаление пространства имен(подкласс __NamespaceDeletionEvent).

__ClassOperationEvent – является базовым для всех внутренних событий WMI, которые относятся к классу.

  • Создание нового класса(подкласс __ClassCreationEvent)
  • Модификация существующего класса(подкласс __ClassModificationEvent);
  • Удаление класса(подкласс __ClassDeletionEvent).

Что бы произвести подписку на извещения, нужно выполнить WQL запрос. Что бы выполнить WQL запрос для получения извещения, используется метод ExecNotificationQuery объекта SWbemServices. Давайте рассмотрим три примера, каждый будет обрабатывать экземпляр блокнота (notepad.exe) – класс __ InstanceOperationEvent:

'*********************************************' Имя: notepad_creation.vbs' Ожидание на запуск процесса notepad.exe'*********************************************Option ExplicitDim objService, objEventSource, objEvent, strResultSet objService = GetObject(“WinMgmts:\\.\Root\CIMV2”)Set objEventSource = objService.ExecNotificationQuery (“SELECT * FROM __InstanceCreationEvent ” & _             “WITHIN 2 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name='notepad.exe'”)          'Ждем наступления события WMI и записываем в переменную objEventSet objEvent = objEventSource.NextEventWScript.Echo “Запущен блокнот”

Тут все просто, как только произойдет запуск в системе процесса notepad.exe, нам будет выдано сообщение об этом.

'*********************************************' Имя: notepad_deletion.vbs' Ожидание на закрытие процесса notepad.exe'*********************************************Option ExplicitDim objService, objEventSource, objEvent, strResultSet objService = GetObject(“WinMgmts:\\.\Root\CIMV2”)Set objEventSource = objService.ExecNotificationQuery (“SELECT * FROM __InstanceDeletionEvent ” & _             “WITHIN 2 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name='notepad.exe'”)          'Ждем наступления события WMI и записываем в переменную objEventSet objEvent = objEventSource.NextEventWScript.Echo “Был закрыт блокнот”

В данном примере, как только будет закрыт процесс notepad.exe, мы получим извещание.

'*********************************************' Имя: notepad_modification.vbs' Ожидание на изменения в процессе notepad.exe' Для проверки, просто запустите блокнот и введите в него какой то тект'*********************************************Option ExplicitDim objService, objEventSource, objEvent, strResultSet objService = GetObject(“WinMgmts:\\.\Root\CIMV2”)Set objEventSource = objService.ExecNotificationQuery (“SELECT * FROM __InstanceModificationEvent ” & _             “WITHIN 2 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name='notepad.exe'”)          'Ждем наступления события WMI и записываем в переменную objEventSet objEvent = objEventSource.NextEventWScript.Echo “Были изменеиря в блокноте”

Ну и тут, происходит слежение за изменениями в экземпляре (блокнот). Если вы запустите сценарий, а потом Блокнот, то как только, вы переместите программу, или измените ее размер, или просто введете текст, будет выдано сообщение.

Внешние события WMI

Если нужно проконтролировать изменения объекта, для которого в CIM не предусмотрено отдельного класса, то применяются внешние события. Примером является изменение значения определенного ключа в реестре.

Что бы создать внешнюю подписку, надо, чтобы она поддерживалось соответствующим провайдером WMI.

Как уже упоминалось выше, для обработки внешних событий WMI используется класс __ExtrinsicEvent, сам провайдер должен иметь в своем составе класс, который является потомком  __ExtrinsicEvent, который будет описывать событие.

В случае реестра, в пространстве имен Root\default у класса __ExtrinsicEvent есть дочерний класс RegistryEvent, который содержит дочерний объект RegistryKeyChangeEvent, который и оповещает потребителей событий об из­менениях, которые происходят с ключом реестра.

Тут для выполнение WQL-запроса используется метод Exec­NotificationQueryAsync класса swbemservices.

Так, для того чтобы проследить за изме­нениями ключа Software\\Microsoft\\Windows Script Host\\TrustPolicy, с помо­щью которого задается политика безопасности при работе с Windows Script Host, используется такой WQL-запрос:

“SELECT * FROM RegistryKeyChangeEvent WHERE Hive='HKEY_LOCAL_MACHINE' AND KeyPath='Software\\Microsoft\\Windows Script Host\\TrustPolicy'

События таймера

В отличие от внутренних и внешних, WMI события таймера, кото­рые могут происходить либо один раз в определенное время, либо несколь­ко раз через заданные интервалы времени, настраиваются самим потребите­лем. Извещения о событиях таймера могут быть получены в любом пространстве имен. Более детально данный тип я разберу в отдельной статье.

Временные потребители

Временные события WMI позволяют получить извещение только один раз, примеры выше с работой процесса notepad.exe. Как только событие происходит, скрипт завершает свою работу. Хотя тут есть один нюанс:

'*********************************************' Имя: process_creation.vbs' Ожидание на запуск процесса'*********************************************Option ExplicitDim objService, objEventSource, objEvent, strResultSet objService = GetObject(“WinMgmts:\\.\Root\CIMV2”)Set objEventSource = objService.ExecNotificationQuery (“SELECT * FROM __InstanceCreationEvent ” & _             “WITHIN 2 WHERE TargetInstance ISA 'Win32_Process'”)    'Вечный цикл                           do while TRUE     Set objEvent = objEventSource.NextEvent     WScript.Echo “Запущен ” & objEvent.TargetInstance.NameLoop

В данном случае используется цикл do while…Loop, условие выхода задано так, что в теле цикла будет постоянно происходить подписка на событие WMI. И, если, через диспетчер задач принудительно не завершить процесс wscript.exe, то каждый раз при запуске нового процесса будет выводиться сообщение.

Не забываем, что для внутреннего используется метод ExecNotificationQuery, а для внешних – ExecNotificationQueryAsync. Метод NextEvent объекта swbemEventsource пере­водится в режим ожидания наступления события, в нашем случае бесконечно.

При регистрации внешних событий WMI дополнительно используется объект swbemsink.

Скачать архив с примерами

Постоянные потребители

Постоянные потребители WMI событий регистрируются в самом репозитории CIM. При этом, активности скрипта не требуется, то есть, даже после перезагрузки системы будет происходить слежка за объектом, до тех пор, пока со­бытие не будет удалено из CIM явным образом.

Источник: http://scriptcoding.ru/2013/04/24/sobytiya-wmi/

Журнал событий в Windows 7/10 – где находится и как открыть?

Wmi журнал событий windows

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий.

Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои.

Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее.

Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое».

Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю.

О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить.

Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ.

Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Источник: https://viarum.ru/zhurnal-sobyitiy-v-windows/

Журналы событий Windows

Wmi журнал событий windows

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений.

Когда возникают подобные типы событий, система Windows создает записи в журналах событий.

В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами.Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей – событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий – управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году.

Начиная с этой версии в любой Windows присутствуют 3 основных журнала – журнал Приложения, журнал Система и журнал Безопасность.

В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками.Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

Преимущества Event Log Explorer для руководителей

Что такое служба “Журнал событий Windows”?

Служба (сервис) “Журнал событий Windows” – это специальная служба (сервис) для управления событиями и журналами событий.

Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п.

По умолчанию, после установки системы Windows служба “Журнал событий Windows” включена и запускается автоматически. Не стоит останавливать или выключать эту службу.Остановка службы “Журнал событий Windows” может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows.Служба (сервис) “Журнал событий Windows” позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы.

Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате.

Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой “Журнал событий Windows” и их невозможно непосредственно открыть на живой, работающей системе.

Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру.

По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге “C:\Windows\System32\winevt\Logs\”

Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги: 

Запустите приложение Просмотр событий.

Нажмите “Открыть сохраненный журнал” в панели “Действия”, расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку “Открыть” и его содержимое отобразиться в области просмотра событий в приложении. 

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем “Просмотр событий”.Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой.Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения.

Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуацияхвозникающих при работе SQL-сервера, таких как “недостаточно памяти”, “сбой при резервном копировании базы данных” и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений.

Приложения идентифицируются как разные “источники” в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников.

Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами.Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий.Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows.

Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником.

Журнал событий Система – важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д.

Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен.

Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Подробнее про аудит событий безопасности можно прочесть тут.

Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события.

Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

  • Версия: 4.9.2
  • Выпущена: 2-May-2020
  • ОС: Vista, 7, 8, 10, 2003, 2008, 2012, 2016, 2020

Источник: https://eventlogxp.com/rus/essentials/windowseventlog.html

WMI Tasks: Event Logs – Win32 apps

Wmi журнал событий windows

  • 05/31/2018
  • 5 minutes to read
    • s
    • d
    • D
    • m
    • m

WMI tasks for event logs obtain event data from event log files and perform operations backing up or clearing log files. For other examples, see the TechNet ScriptCenter at https://www.microsoft.com/technet.

The script examples shown in this topic obtain data only from the local computer. For more information about how to use the script to obtain data from remote computers, see Connecting to WMI on a Remote Computer.

The following procedure describes how to run a script.

To run a script

  1. Copy the code and save it in a file with a .vbs extension, such as filename.vbs. Ensure that your text editor does not add a .txt extension to the file.
  2. Open a command prompt window and navigate to the directory where you saved the file.
  3. Type cscript filename.vbs at the command prompt.
  4. If you cannot access an event log, check to see if you are running from an Elevated command prompt. Some Event Log, such as the Security Event Log, may be protected by User Access Controls (UAC).

Note

By default, cscript displays the output of a script in the command prompt window. Because WMI scripts can produce large amounts of output, you might want to redirect the output to a file. Type cscript filename.vbs > outfile.txt at the command prompt to redirect the output of the filename.vbs script to outfile.txt.

The following table lists script examples that can be used to obtain various types of data from the local computer.

…retrieve information about the Security event log?Include the Security privilege when connecting to the Win32_NTEventlogFile class. For more information, see Executing Privileged Operations Using VBScript.

strComputer = “.”Set objWMIService = GetObject(“winmgmts:” _ & “{impersonationLevel=impersonate,(Security)}!\\” & _ strComputer & “\root\cimv2”)Set colLogFiles = objWMIService.ExecQuery _ (“Select * from Win32_NTEventLogFile ” _ & “Where LogFileName='Security'”)For Each objLogFile in colLogFiles Wscript.Echo objLogFile.NumberOfRecords Wscript.Echo “Maximum Size: ” _ & objLogfile.MaxFileSize Next
$strComputer = “.”$colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_.LogFileName -eq 'security'}foreach ($objLogFile in $colLogFiles) { “Record Number: ” + $objLogFile.NumberOfRecords “Maximum Size: ” + $objLogFile.MaxFileSize}
…back up an event log?Use the Win32_NTEventlogFile class and the BackupEventLog method. You may need to include the Backup privilege when connecting to WMI. For more information, see Executing Privileged Operations Using VBScript.

strComputer = “.”Set objWMIService = GetObject(“winmgmts:” & “{impersonationLevel=impersonate,(Backup)}!\\” & strComputer & “\root\cimv2”)Set colLogFiles = objWMIService.ExecQuery (“Select * from Win32_NTEventLogFile ” & “Where LogFileName='Application'”)For Each objLogfile in colLogFiles errBackupLog = objLogFile.BackupEventLog(“c:\scripts\application.evt”) WScript.Echo “File saved as c:\scripts\applications.evt”Next
$strComputer = “.”$colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_.LogFileName -eq 'Application'}foreach ($objLogFile in $colLogFiles){[void]$objLogFile.BackupEventlog(“c:\scripts\applications.evt”)”File saved as c:\scripts\applications.evt”}
…back up an event log more than once?Ensure that the backup file has a unique name before using the Win32_NTEventlogFile and the BackupEventLog method. The operating system does not allow you to overwrite an existing backup file; you must either move the backup file or rename it before you can run the script again. You may need to include the Backup privilege when connecting to WMI. For more information, see Executing Privileged Operations Using VBScript.

dtmThisDay = Day(Date)dtmThisMonth = Month(Date)dtmThisYear = Year(Date)strBackupName = dtmThisYear & “_” & dtmThisMonth & “_” & dtmThisDaystrComputer = “.”Set objWMIService = GetObject(“winmgmts:” & “{impersonationLevel=impersonate,(Backup)}!\\” & strComputer & “\root\cimv2”)Set colLogFiles = objWMIService.ExecQuery (“Select * from Win32_NTEventLogFile ” & “Where LogFileName='Application'”)For Each objLogfile in colLogFiles objLogFile.BackupEventLog(“c:\scripts\” & strBackupName & “_application.evt”) objLogFile.ClearEventLog() WScript.Echo “File saved: ” & strBackupName & “_application.evt”Next
$CurDate = Get-Date$strBackupName = $curDate.Year.ToString() + “_” + $curDate.Month.ToString() + “_” + $CurDate.Day.ToString()$strComputer = “.”$colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_.LogFileName -eq 'Application'}foreach ($objLogFile in $colLogFiles){$BackupFile = $objLogFile.BackupEventlog(“c:\scripts" + $strBackupName + “_application.evt”)”File saved: c:\scripts" + $strBackupName + “_application.evt”}
…determine the number of records in an event log?Use the Win32_NTEventlogFile class and check the value of the NumberOfRecords property.

strComputer = “.”Set objWMIService = GetObject(“winmgmts:” & “{impersonationLevel=impersonate}!\\” & strComputer & “\root\cimv2”)Set colLogFiles = objWMIService.ExecQuery (“Select * from Win32_NTEventLogFile ” & “Where LogFileName='System'”)For Each objLogFile in colLogFiles Wscript.Echo objLogFile.NumberOfRecordsNext
$strComputer = “.”$colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_.LogFileName -eq 'System'}foreach ($objLogFile in $colLogFiles){$objLogFile.NumberOfRecords}
…clear my event logs?Use the Win32_NTEventlogFile class and the ClearEventLog method.

strComputer = “.”Set objWMIService = GetObject(“winmgmts:” & “{impersonationLevel=impersonate,(Backup, Security)}!\\” & strComputer & “\root\cimv2”)Set colLogFiles = objWMIService.ExecQuery (“Select * from Win32_NTEventLogFile ” & “Where LogFileName='Application'”)For Each objLogfile in colLogFiles objLogFile.ClearEventLog() WScript.Echo “Cleared application event log file”Next
$strComputer = “.”$colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_.LogFileName -eq 'System'}foreach ($objLogFile in $colLogFiles){[void]$objLogFile.ClearEventlog()”Cleared application event log file”}
…read events from the event logs?Use the Win32_NTLogEvent class.

strComputer = “.”Set objWMIService = GetObject(“winmgmts:” _ & “{impersonationLevel=impersonate}!\\” _ & strComputer & “\root\cimv2”)Set colLoggedEvents = objWMIService.ExecQuery _ (“Select * from Win32_NTLogEvent ” _ & “Where Logfile = 'System'”)For Each objEvent in colLoggedEvents Wscript.Echo “Category: ” & objEvent.Category & VBNewLine _ & “Computer Name: ” & objEvent.ComputerName & VBNewLine _ & “Event Code: ” & objEvent.EventCode & VBNewLine _ & “Message: ” & objEvent.Message & VBNewLine _ & “Record Number: ” & objEvent.RecordNumber & VBNewLine _ & “Source Name: ” & objEvent.SourceName & VBNewLine _ & “Time Written: ” & objEvent.TimeWritten & VBNewLine _ & “Event Type: ” & objEvent.Type & VBNewLine _ & “User: ” & objEvent.UserNext
$strComputer = “.”$colLogFiles = Get-WmiObject -Class Win32_NTLogEvent -ComputerName $strComputer | Where-Object {$_.LogFile -eq 'System'}foreach ($objEvent in $colLoggedEvents){“Category: ” + $objEvent.Category”Computer Name: ” + $objEvent.ComputerName”Event Code: ” + $objEvent.EventCode”Message: ” + $objEvent.Message”Record Number: ” + $objEvent.RecordNumber”Source Name: ” + $objEvent.SourceName”Time Written: ” + $objEvent.TimeWritten”Event Type: ” + $objEvent.Type”User: ” + $objEvent.Use}

WMI Tasks for Scripts and Applications

WMI C++ Application Examples

TechNet ScriptCenter

Источник: https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-tasks--event-logs

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Wmi журнал событий windows

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены…

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

И так…

*

Работа с журналом событий (для начинающих)

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

  1. нажать сочетание кнопок Win+R — должно появиться окно “Выполнить”;
  2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню “Файл/новая задача” и ввести ту же команду eventvwr);

    eventvwr — команда для вызова журнала событий

  3. после этого у вас должно появиться окно “Просмотр событий” — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

    Просмотр событий

Вариант 2

  1. сначала необходимо открыть панель управления и перейти в раздел “Система и безопасность”;

    Система и безопасность

  2. далее необходимо перейти в раздел “Администрирование”;

    Администрирование

  3. после кликнуть мышкой по ярлыку “Просмотр событий”.

    Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10.

1) Нажать по значку с “лупой” на панели задач, в поисковую строку написать “событий” и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел “Журналы Windows” (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: “Приложение”, “Безопасность”, “Система”. Именно о них пару слов подробнее:

  1. “Приложение” — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
  2. “Система” — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
  3. “Безопасность” — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например “Система”), далее кликнуть в правой колонке по инструменту “Фильтр текущего журнала”.

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

Для отключения журналов событий нужно:

  1. открыть “службы” (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

    Открываем службы – services.msc (универсальный способ)

  2. далее нужно найти службу “Журнал событий Windows” и открыть ее;

    Службы — журналы событий

  3. после перевести тип запуска в режим “отключена” и нажать кнопку “остановить”. Затем сохранить настройки и перезагрузить компьютер.

    Отключена — остановить

*

На этом пока всё, удачи!

RSS  (как читать Rss)

Полезный софт:

  • -Монтаж
  • Отличное ПО для начала создания своих собственных видеороликов (все действия идут по шагам!).

    сделает даже новичок!

  • Ускоритель компьютера
  • Программа для очистки Windows от мусора (ускоряет систему, удаляет мусор, оптимизирует реестр).

Источник: https://ocomp.info/zhurnal-sobyitiy-v-windows.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.