2020. március 20., péntek

Az eseménynapló célja feladata

 Angol elnevezése  event viewer.

Az eseménynapló használata

Az eseménynaplók megtekintése, vizsgálata az eseménynapló (Event Viewer) programmal történik. A program a start menü felügyeleti eszközök (Administrative Tools) almenüjéből indítható, de elérhető a vezérlőpultból (Control Panel) és a kiszolgálókezelőből (Server Manager) és a számítógép-kezelőből (Computer Manager) is. Parancssorból az eventvwr.exe programmal indítható.

Az alkalmazás ablakának bal oldalán található konzolfán a megfelelő napló kiválasztásához a Windows naplók (Windows Logs) elem melletti háromszögre kell kattintani, majd a kívánt naplót ki kell választani.

 

A megfelelő naplót kiválasztva a konzol közepén egy táblázat jelenik meg a naplóban található eseménybejegyzésekről. A táblázat oszlopai sorrendben a következők: esemény szintje (Level), dátuma és ideje (Date and time), forrás (Forrás), eseményazonosító (Event ID), feladatkategória (Category). Ezek közül az első három a legfontosabb, amelyek közül az időpont és a forrás nem került eddig még ismertetésre. Az időpont, az esemény időpontja, amikor az időpont történt. A megfelelő hibakereséshez és naplózáshoz elengedhetetlen a számítógép rendszerórájának pontos működése. A forrás annak az alkalmazásnak, szolgáltatásnak vagy egyéb rendszerösszetevőnek a megnevezése, amely az eseménybejegyzést generálta. A rendszernaplóban megtalálható bejegyzések nagy része pl. a szolgáltatásvezérlő szolgáltatástól (Service Control Manager) származik.

Az esemény bejegyzés részleteinek megjelenítéséhez az eseményre duplán kell kattintani. A megjelenő párbeszédablakban az általános lapon megjelennek az eseményhez kapcsoló adatok. További részletek a részletek fülre kattintva érhetőek el. A párbeszéd ablak jobb szélén található nyilakkal lépkedni lehet az események között a táblázatban látható sorrend alapján
      Kritikus hibabejegyzés részletei

Ha a számítógép, az operációs rendszer és/vagy egy program egy-egy eleme nem működik megfelelően, vagy feltételezzük, hogy valaki illetéktelenül, jogosulatlanul fért hozzá bizonyos erőforrásokhoz, hasznunkra lehet, hogy a Windows NT naplót vezet a rendszerben történő fontosabb eseményekről. A Windows eseménynaplói gyakran segítenek a hibák, illetve betörési kísérletek felderítésében. Az eseménynaplók részletes, szöveges (hiba)üzeneteket tartalmaznak. A naplózást a Windows Event Log - Eseménynapló rendszerszolgáltatása végzi; ha egy programnak vagy más rendszerszolgáltatásnak a működését érintő eseményről naplóbejegyzést kell készítenie, ehhez a rendszerszolgáltatáshoz fordulhat. Bár az Event Log - Eseménynapló rendszerszolgáltatás megjelenik a Control Panel - Vezérlőpult program Services - Szolgálatások párbeszéddobozában, sohasem szabad leállítani.

A Windowsban négy eseménynapló van:


Alkalmazás, biztonság, telepítés és rendszer.

  • Rendszernapló (System log): az operációs rendszer szolgáltatásait biztosító meghajtóprogramokkal kapcsolatos események naplója. Ide kerülnek azok a hibaüzenetek is, amelyek a különböző hardverelemek meghajtóprogramjaiban keletkező hibákra utalnak. Ha az operációs rendszer vagy egy-egy hardverelem nem működik megfelelően (például nem látszik a hálózat, a CD-ROM-meghajtó, vagy éppen nem működik az egér), először mindig ezt a naplót kell megnézni.

   • Biztonsági napló (Security Log): a felhasználók által kezdeményezett műveletek felsorolása. Ide kerül(het)nek naplóbejegyzések például arról, hogy bizonyos állományokon egyes felhasználók milyen műveletek végrehajtását kísérelték meg (és ehhez volt-e joguk), illetve arról, hogy ki, mikor jelentkezett be a számítógépen, mikor fért hozzá hálózaton keresztül. A biztonsági naplóba csak olyan eseményekről kerülnek bejegyzések, amelyek naplózását a rendszergazda előírta. Biztonsági naplózást a következő programokkal lehet előírni:

       Alkalmazás Manager - Felhasználókezelő: általános biztonsági naplózás, annak követése, hogy az egyes felhasználók hogyan élnek rendszerszintű felhasználói jogaikkal. A naplózás előírását a Plicies - Házirend menü Audit - Naplózás parancsával, lehet elkezdeni. A következőkben felsorolt programok segítségével beállítható erőforrásszintűbiztonsági naplózás csak akkor működik, ha a User Manager - Felhasználókezelő programban bekapcsoltuk a File and Object Access - Fájl- és objektum-hozzáférés (állományokhoz, illetve egyéb objektumokhoz való hozzáférés) művelet naplózását.

       Telepítés: NTFS-állományrendszerű merevlemez-partíciókon lehetőség van a kijelölt állományokhoz való hozzáférés naplózására. Ehhez ki kell jelölni azokat az állományokat, illetve könyvtárakat, amelyek naplózását elő kell írni, a jobb egérgombbal rájuk kell kattintani, és a megjelenő menüből a Properties - Tulajdonságok parancsot kell választani. A megjelenő tulajdonságlapon a Security - Adatbiztonság, fület kell választani, és ott az Auditing - Naplózás parancsgombra kell kattintani.

Megjegyzés. A Windows NT 4.0-ban - kompatibilitási okokból - megtalálható a Windows NT 3.51 File Manager - Fájlkezelő programja. (Mivel a Programs - Programok menüben nem szerepel, a Start menü Run - Futtatás parancsával vagy a parancssorból lehet elindítani a winfile paranccsal.) Az állományokra vonatkozó naplózást a File Manager - Fájlkezelő programban a Security - Adatbiztonság menü Auditing - Naplózás parancsával lehet bekapcsolni.

• Printers - Nyomtatók rendszermappa: naplózni lehet a nyomtatókhoz való hozzáférést is. Ehhez a Printers - Nyomtatók rendszermappában rá kell kattintani a jobb egérgombbal a megfelelő nyomtatóra, majd a megjelenő menüből a Properties - Tulajdonságok parancsot kell választani. A megjelenő tulajdonságlapon a Security - Adatbiztonság fülre, majd az Auditing - Naplózás parancsgombra kell kattintani. A naplózás beállítása hasonló módon lehetséges, mint az állományok esetében.

• Registry Editor - Rendszerleíróadatbázis-szerkesztő (REGEDT32.EXE): a Registry kulcsaihoz ugyanúgy lehet hozzáférési jogokat rendelni, mint az NTFS-állományrendszerű lemezek állományaihoz. Naplózásuk is ugyanúgy lehetséges: ehhez a Registry Editor - Rendszerleíróadatbázis-szerkesztő programban ki kell jelölni a kívánt kulcsot, majd a Security - Adatbiztonság menüből az Auditing - Naplózás parancsot kell választani. Így a rendszernaplóból nyomon követhető, hogy a Windows NT konfigurációját (pontosabban annak naplózásra kijelölt részét) ki, mikor, hogyan változtatta meg. (A naplózásra vonatkozó és egyéb biztonsági funkciók hiányoznak a Windows NT másik Registry Editor ˇ Rendszerleíróadatbázis-szerkesztő programjából, a REGEDIT.EXE-ből, ezért azt ne használjuk.)


Alkalmazásnapló (application log): a Windows NT alatt futó programok által létrehozott naplóbejegyzések helye. Sok esetben a Windows NT részét képező programok, illetve rendszerszolgáltatások is ide írják naplóbejegyzéseiket. Többek között ide kerülnek:


   • a CHKDSK /F parancs hatására végrehajtott lemezellenőrzés eredményei;

   • a programok bizonyos hibáit kezelő 32-bites dr. Watson program üzenetei;

   • az internet Information Server (a Windows NT Workstationben a Peer Web Services - Microsoft Személyes Web szolgáltatások) WWW-kiszolgáló körébe tartozó rendszerszolgáltatások üzenetei, és általában minden bejegyzés, amelyet a Windows NT fölött kiegészítésként telepített rendszerszolgáltatások (pl. SQL Server) adnak. Ezért, ha bizonyos rendszerszolgáltatások nem vagy nem megfelelően működnek, a hibakeresés második lépéseként ajánlatos megtekinteni az alkalmazásnaplót.

FIGYELEM! A biztonsági naplóhoz csak az Administrators - Rendszergazdák felhasználócsoport tagjai férhetnek hozzá, és biztonsági naplózást is csak ők írhatnak elő. A rendszer- és alkalmazásnapló megtekintéséhez a többi felhasználónak is joga van. A naplók törlése és a naplózás általános paramétereinek megváltoztatása azonban minden eseménynapló esetén az adminisztrátorok előjoga.
A nyomtatás naplózás bekapcsolása az Eseménynaplóban
\Alkalmazás-és szolgáltatásnaplók\Microsoft\Windows\PrintService alatt a Műveleteken jobb klikk ésNapló engedélyezése.

Nincsenek megjegyzések:

Megjegyzés küldése