как сохранить журнал событий windows
Сохранение журнала событий в файле
С помощью следующей процедуры можно вручную сохранить события, зарегистрированные в журнале событий. Кроме того, некоторые политики сохранения могут сохранять события автоматически. При сохранении событий можно добавить сведения, позволяющие просматривать сохраненные события на других компьютерах и на других языках.
Откройте оснастку «Просмотр событий».
В дереве консоли выберите журнал, который требуется сохранить в файле.
В меню Действие выберите команду Сохранить события как.
В поле Имя файла введите имя файла, в котором будет сохранен журнал.
Выберите формат файла из списка Тип файла и нажмите кнопку Сохранить.
(Необязательно) Если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне Отображать сведения примите заданный по умолчанию вариант Не отображать сведения.
(Необязательно) Если журнал событий предназначен для просмотра на другом компьютере, в диалоговом окне Отображать сведения выберите вариант Отображать сведения для следующих языков.
(Необязательно) Если журнал событий предназначен для просмотра на другом языке, установите флажок Показать все доступные языки.
(Необязательно) Установите флажки языков, для которых требуется добавить отображаемые сведения.
Чтобы открыть окно командной строки, нажмите кнопку Пуск, введите cmd в поле Начать поиск и нажмите клавишу ВВОД.
Чтобы экспортировать журнал в файл, введите следующую команду:
Чтобы сохранить журнал с отображением сведений, введите следующую команду:
Чтобы просмотреть полный синтаксис команды wevutil с параметром epl, введите в командной строке:
Чтобы просмотреть полный синтаксис команды wevutil с параметром epl, введите в командной строке:
Дополнительные сведения
Журналы Windows
Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.
Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:
В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):
Описание интерфейса программы
Окно программы состоит из следующих компонентов:
Для удобства просмотра и управления системные журналы разбиты по категориям:
В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.
Сами события также разделяются на типы:
Работа с журналами
Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:
Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:
Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.
Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):
Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):
В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:
В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:
Сохранение журнала событий
Эта версия Orchestrator достигла конца поддержки, мы рекомендуем выполнить обновление до Orchestrator 2019.
Действие сохранить журнал событий используется для сохранения записей из журнала событий, чтобы их можно было использовать позже. Действие сохранить журнал событий сохраняет записи журнала событий в текстовый файл с разделителями в указанном формате. Действие позволяет выбирать, какие поля будут сохранены, и позволяет фильтровать по полям, разрешая сохранение определенных записей журнала событий. Это действие использует вспомогательную лицензию.
Действие сохранить журнал событий можно использовать для создания журнала аудита проблем, возникающих в конкретном приложении, или определенных категорий записей в журнале событий. Эти сохраненные файлы впоследствии можно использовать для наблюдения за производительностью серверов и приложений в сети.
Настройка действия «Сохранение журнала событий»
Перед настройкой действия «сохранить журнал событий» необходимо определить следующее.
Журнал событий, из которого выполняется сохранение
Компьютер, на котором он расположен
Поля, которые необходимо включить
Если требуется сохранять только определенные записи, а не весь журнал событий, необходимо знать, в каких полях будет выполняться фильтрация, а также какие значения фильтровать.
Используйте следующие сведения для настройки действия «сохранить журнал событий».
Вкладка «Подробные сведения»
Вкладка «фильтры»
| Параметры | Инструкции по настройке |
|---|---|
| Идентификатор события | Выберите и введите идентификатор события записи журнала событий, которую необходимо сохранить. |
| Источник | Выберите и введите значение, которое должно совпадать с исходным полем записей журнала событий. |
| Категория | Выберите и введите значение, которое должно совпадать с полем категории в записях журнала событий. |
| Описание | Выберите и введите значение, которое должно совпадать с полем описания в записях журнала событий. |
| Тип | Выберите и укажите значение, которое должно совпадать с полем типа в записях журнала событий. |
| Компьютер | Выберите и укажите значение, которое должно совпадать с полем компьютера в записях журнала событий. |
| Дата с | Выберите и укажите диапазон дат, в которые должны быть добавлены события. |
Вкладка «выходные данные»
| Параметры | Инструкции по настройке |
|---|---|
| Имя файла | Введите имя файла, в котором будут сохраняться записи журнала событий. Этот файл будет сохранен на компьютере, где находится журнал событий. |
| Если файл существует | Выберите действие, которое требуется выполнить, если файл с таким именем уже существует: |
— Создать файл с уникальным именем: выберите, чтобы присоединить значение к имени файла, чтобы создать уникальное имя, которое не конфликтует с существующим именем.
— Добавить: выберите, чтобы добавить записи, сохраняемые в файл.
— Перезаписать: выберите, чтобы перезаписать существующий файл создаваемым файлом.
— Ошибка: выберите, чтобы действие «сохранить журнал событий» завершилось ошибкой, если имя файла уже существует.
Опубликованные данные
В следующей таблице перечислены опубликованные элементы данных.
Архивирование журнала событий
На ключевых системах, например, контроллерах домена и серверах приложений, необходимо хранить журналы за несколько месяцев. Однако, как правило, неудобно обеспечивать столь длительное хранение путем увеличения максимального размера журнала. Вместо этого укажите Windows периодически архивировать журнал событий или делайте это вручную.
Форматы архива журнала
Журналы могут архивироваться в четырех форматах:
• Текст с символами табуляции в качестве разделителей (.txt) для просмотра в текстовом редакторе или для импорта в электронные таблицы и базы данных.
• Текст с запятыми в качестве разделителей (.csv) для импорта в электронные таблицы и базы данных.
При экспорте журнала в файл с разделителями-запятыми разделено каждое поле в записи о событии. Запись выглядит следующим образом:
Формат записей о событии таков:
Уровень, Дата и время, Источник, Код события, Категория задачи, Описание
Создание архивов журнала
Windows автоматически создает архивы журнала, если вы выбрали режим перезаписи Архивировать заполненный журнал, не переписывая события (Archive The Log When Full, Do Not Overwrite Events). Чтобы создать архив журнала вручную, выполните следующие действия:
1. В диспетчере сервера разверните узлы Диагностика (Diagnostics) и Просмотр событий (Event Viewer).
2. Разверните узел Журналы Windows (Windows Logs) или Журналы приложений и службы (Applications And Services Logs).
3. Щелкните правой кнопкой журнал, для которого хотите создать архив, и выберите в контекстном меню команду Сохранить события как (Save Events As).
4. В диалоговом окне Сохранить как (Save As) выберите панку и введите имя файла журнала.
5. В списке Тип файла (Save As Туре) по умолчанию выбрано значение Файлы событий (*.evtx) (Event Files (*.evtx)). Выберите подходящий формат журнала и щелкните кнопку Сохранить (Save).
Просмотр архивов журнала
Сохранив архивы журнала в текстовом формате, вы можете просмотреть их в любом текстовом редакторе. Архивы в формате журнала событий следует просматривать в консоли Просмотр событий (Event Viewer). Для этого нужно выполнить следующие действия:
1. В окне Диспетчер сервера (Server Manager) щелкните правой кнопкой мыши узел Просмотр событий (Event Viewer). Выберите в контекстном меню команду Открыть сохраненный журнал (Open Saved Log File).
3. Щелкните Открыть (Open). Windows выведет диалоговое окно Открыть сохраненный журнал (Open Saved Log).
4. Введите имя и описание сохраненного журнала.
5. Укажите, куда сохранить журнал. По умолчанию сохраненные журналы помещаются в узел Сохраненные журналы (Saved Logs). Вы можете создать новый узел, щелкнув Создать папку (New Folder). Введите имя новой папки и щелкните ОК.
6. Щелкните ОК, чтобы закрыть диалоговое окно Открыть сохраненный журнал (Open Saved Log). Теперь вы должны увидеть содержимое сохраненного файла.
Вертим логи как хотим ― анализ журналов в системах Windows
Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.
В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.
Журналы и командная строка
До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:
Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.
Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:
Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:
Смотрим за ходом обновления Windows.
Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:
Смотрим, кто пытается пролезть на наш дедик.
При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:
Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:
Для получения списка доступных системных журналов можно выполнить следующую команду:
Вывод доступных журналов и информации о них.
Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:
Последние записи в журнале System.
Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.
Для примера получим все события из журнала System с кодом события 1 и 6013.
В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:
Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:
Ошибки и предупреждения журнала System.
Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.
Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:
PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.
Работаем с журналами посредством запросов SQL
Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.
О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.
Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:
Посмотрим на результат:
Смотрим журнал Windows Firewall.
Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.
Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.
Работать будем с журналом TerminalServices-LocalSessionManager\Operational.
Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%\test.evtx.
Данные будем получать таким запросом:
Смотрим, кто и когда подключался к нашему серверу терминалов.
Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.
В качестве примера посмотрим статистику количества писем по дням таким запросом:
Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.
Выполняем запрос и открываем получившуюся картинку…
Любуемся результатом.
Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.
Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.
Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.
Интерфейс Log Parser Studio.
Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.
Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.
В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:
Выборка наиболее активных ящиков.
При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.
Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.
Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.
- как сохранить драйвера перед переустановкой windows 7 на флешку
- как сохранить закладки браузера при переустановке windows