Event что за папка

Обновлено: 08.07.2024

Инструмент Event Viewer - излюбленный фон мошенников и шарлатанов, которые используют его, чтобы убедить вас, что ваш компьютер нуждается в ремонте (конечно, за определённую плату), когда с ним все в порядке.

Event Viewer

Каждому пользователю Windows необходимо знать о средстве просмотра событий Event Viewer, хотя бы для защиты от мошенников, которые зарабатывают большие деньги на страхах людей. Мошенники звонят людям по всему миру, пытаясь убедить пользователей Windows позволить этим мошенникам захватить системы жертв через удалённый помощник.

Некоторые из них просто холодные звонки. Любой случайный телефонный звонок в семью имеет очень хорошие шансы найти резонанс, когда речь заходит о проблемах Windows. Если вы случайным образом позвоните десяти людям в вашем городе и скажете, что звоните от имени Microsoft, чтобы помочь с проблемой Windows, и ваш голос будет звучать так, будто вы знаете, о чем говорите, можно поспорить, что хотя бы один или два ваших соседа воспримут ваше предложение.

Жульничество связано с функцией просмотра событий Windows. Это интересный и полезный инструмент, но только в том случае, если вы проявите инициативу и не позволите какому-нибудь быстро говорящему человеку использовать его, чтобы лишить вас пары тысяч.

Использование Event Viewer

Средство просмотра событий в Windows существует уже почти десять лет. Об этом мало кто знает. По сути, Event Viewer просматривает небольшую горстку журналов, которые ведёт Windows на вашем компьютере. Журналы представляют собой простые текстовые файлы, записанные в формате XML . Хотя вы можете думать, что Windows имеет один файл журнала событий, на самом деле их много - административный, рабочий, аналитический и отладочный, а также файлы журнала приложений.

Каждая, запускаемая на вашем ПК, программа отправляет уведомление в журнал событий. И каждая хорошо настроенная программа отправляет уведомление перед своей остановкой. Каждый доступ к системе, изменение безопасности, зависание операционной системы, сбой оборудования и сбой драйвера - все это попадает в тот или иной журнал событий.
Средство просмотра событий сканирует эти текстовые файлы журналов, объединяет их и помещает красивый интерфейс в сгенерированных машиной скучный, объёмный набор данных. Думайте о Event Viewer как о программе создания отчётов для базы данных, где базовая база данных представляет собой всего лишь несколько простых текстовых файлов.

Вот как использовать Event Viewer:

события_регистрируются_Windows

События регистрируются различными частями Windows.

События и что они означают

СобытиеЧто послужило причиной события
Ошибка Серьёзная проблема, возможно, включая потерю данных
Предупреждение Не обязательно значительна, но может указывать на то, что назревает проблема
Информация Просто программа звонит домой, чтобы сказать, что все в порядке

Журнал административных событий - не единственный журнал, который вы можете видеть. Это квинтэссенция других журналов событий с упором на то, что может захотеть увидеть простой человек.

Другие журналы включают следующее:

  • События приложений (Application events): программы сообщают о своих проблемах.
  • События безопасности (Security events): они называются аудитами и показывают результаты действий безопасности. Результаты могут быть успешными или неудачными в зависимости от события, например, когда пользователь пытается войти в систему.
  • События установки (Setup events): это в первую очередь относится к контроллерам домена, о чем вам не нужно беспокоиться.
  • Системные события (System events): большинство ошибок и предупреждений, которые вы видите в журнале административных событий, связаны с системными событиями. Это отчёты из системных файлов Windows о проблемах, с которыми они столкнулись. Практически все они излечиваются сами.
  • Перенаправленные события (Forwarded events): они отправляются на этот компьютер с других компьютеров.

События достойные и недостойные просмотра

Прежде чем вы начнёте беспокоиться о тысячах ошибок на вашем компьютере, внимательно посмотрите на поле даты и времени. В списке могут быть тысячи событий, но они, вероятно, относятся к тому моменту, когда вы впервые установили компьютер. Скорее всего, вы можете видеть несколько элементов каждый день и большинство событий - это просто повторения одной и той же ошибки или предупреждения. Скорее всего, они практически не влияют на то, как вы используете Windows.

Например, просматривая журнал событий, можно увидеть группу, сгенерированных источником с именем DistributedCOM, ошибок с идентификатором 10010, которые говорят, что сервер не зарегистрировался в DCOM в течение требуемого тайм-аута. Ничего страшного.

Если у вас нет проблем, не беспокойтесь о том, что есть в Event Viewer. Даже если у вас возникли проблемы, программа просмотра событий может вам помочь, а может и не помочь.

Вы можете щёлкнуть внизу каждого описания, чтобы просмотреть комментарии, оставленные кем-то, кто решил проблему. Если вы пытаетесь отследить конкретную проблему и видите событие, которое может иметь отношение к проблеме, используйте Google, чтобы узнать, сможете ли вы найти кого-нибудь, у кого была такая же проблема.

Средство просмотра событий также может помочь вам решить проблемы с доступом к сети, поскольку, управляющие сетевым обменом данными, программы Windows, передают в журналы событий большое количество деталей. К сожалению, перевод журналов на понятный язык может оказаться непростой задачей, но, по крайней мере, вы сможете определить, где возникла проблема, даже если вы не знаете, как её решить.

Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.

Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:

  • через меню Пуск – Средства администрирования Windows – >Просмотр событий (Start – Windows Administrative Tools – Event Viewer);
  • в командной строке или в окне Выполнить набрать eventvwr.msc:

Запуск Просмотра событий (Event Viewer) через командную строку

Скриншот №1. Запуск Просмотра событий (Event Viewer) через командную строку

В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):

Запуск Просмотра событий (Event Viewer) через Диспетчер серверов

Скриншот №2. Запуск Просмотра событий (Event Viewer) через Диспетчер серверов

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

  • Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
  • Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
  • Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
  • Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).

Для удобства просмотра и управления системные журналы разбиты по категориям:

  • Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
  • Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
  • Система (System) – здесь регистрируются события операционной системы и системных сервисов;
  • Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.

Сами события также разделяются на типы:

  • Сведения (Information) — информируют о штатной работе приложений.
  • Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
  • Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
  • Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
  • Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
  • Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).

Работа с журналами

Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:

Фильтрация журнала

Скриншот №4. Фильтрация журнала

Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:

Настройки фильтра

Скриншот №5. Настройки фильтра

Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.

Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):

Очистка фильтра

Скриншот №6. Очистка фильтра

Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):

Свойства журналов

Скриншот №7. Свойства журналов

В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:

Характеристики файла журнала

Скриншот №8. Характеристики файла журнала

В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:

В этой статье автор осуществил описание централизованной системы мониторинга событий безопасности для Windows Server 2008.

Андрей А. Бирюков

Однако, если в вашей сети на серверах используется операционная система Windows Server 2008, то вы можете самостоятельно организовать централизованный мониторинг событий безопасности. Для начала поговорим о том, какие нововведения появились в системе журналирования в Windows Server 2008.

Level (уровень) – Это свойство определяет важность события.

Date and Time (дата и время) – Это свойство содержит информацию о дате и времени возникновения события.

Source (источник) – Это свойство указывает источник события: приложение, удаленный доступ, служба и так далее.

Event ID (Код события) – Каждому событию назначен идентификатор события ID, число, сгенерированное источником и уникальное для всех типов событий.

Task Category (Категория задачи) – Это свойство определяет категорию события. Например Security или System. .
Итак, мы разобрались с тем, что представляет из себя событие в журнале Windows Event Log. Теперь нам необходимо сначала настроить аудит событий информационной безопасности. Далее будем предполагать, что у нас используется домен Active Directory и все сервера входят в этот домен.

Audit account logon events

Audit account management

Audit directory service access

Audit logon events

Audit object access

включить, только если необходимо отслеживать доступ к определенным объектам (например, каталогам на диске).

Audit policy change

Audit privilege use

Audit process tracking

Audit system events

Подписки на события

После этого, выполните на нем же следующую команду:

При необходимости, вы можете изменять параметры оптимизации доставки событий. Например, вы можете изменить параметр Minimize Bandwidth (минимизация пропускной способности) для удаленных серверов, с ненадежным каналом связи.

Теперь необходимо собственно создать подписку, указав события, которые должны извлекаться из логов серверов источников. Для этого на собирающем сервере запустите утилиту просмотра событий с учетной записью, обладающей административными привилегиями. Затем щелкните на папке Subscriptions в дереве консоли и выберите команду Create Subscription (Создать подписку). В поле Subscription Name нужно указать имя подписки. При необходимости в поле Description можно привести описание. Затем, в поле Destination Log (журнал назначения) выберите файл журнала, в котором будут храниться собранные события. По умолчанию эти события будут храниться в журнале перенаправленных событий в папке Windows Logs дерева консоли. После этого, щелкните на кнопке Select Computers, чтобы выбрать исходные сервера, которые будут перенаправлять события. Как уже упоминалось ранее, данные сервера должны находиться в домене. Затем выберите события, нажав на кнопке Select Events. Сконфигурируйте журналы и типы событий, предназначенные для сбора. Щелкните ОК чтобы сохранить подписку.

Журналы

Папка Applications and Services Logs (журналы приложений и служб) представляют собой новый способ логической организации, представления и сохранения событий, связанных с конкретным приложением, компонентом или службой Windows вместо использовавшейся ранее, регистрации событий, которые оказывают влияние на всю систему. Эти журналы включают четыре подтипа: Admin (события, предназначенные для конечных пользователей и администраторов), Operational (Рабочий журнал событий, также предназначенный для администраторов), Analytic (журнал позволяет отслеживать цепочку возникновения проблемы и часто содержит большое количество записанных событий), Debug (используется для отладки приложений). По умолчанию журналы Analytic и Debug скрыты и отключены. Для того, чтобы их просмотреть, щелкните правой кнопкой мыши на папке Applications and Services Logs, а затем в контекстном меню выберите пункт View, Show Analytic and Debug Logs.


Рисунок 1.
Настройка Debug

Фильтры

Настраиваемые представления – это специальные фильтры, созданные либо автоматически системой Windows 2008, во время добавления в систему новых ролей сервера или приложений, таких как Directory Certificate Services (Службы сертификатов каталогов), сервер DHCP, либо администраторами вручную. Для администраторов одной из важнейших функций при работе с журналами событий является возможность создавать фильтры, позволяющие просматривать только интересующие события, чтобы можно было быстро диагностировать и устранять проблемы в системе. В качестве примера, рассмотрим папку Custom Views в навигационной панели утилиты просмотра событий. Если в этой папке щелкнуть правой кнопкой мыши по Administrative Events и затем выбрать Properties, то после нажатия Edit Filter, можно увидеть как информация из журнала событий преобразуется в набор отфильтрованных событий. Настраиваемые представления оснастки Administrative Events фиксируют все критические события, а события ошибок и предупреждений фиксируются для всех журналов событий (в отличие от предыдущих версий Windows). Таким образом, с помощью данного фильтра администратор может обращаться к единственному источнику для быстрой проверки потенциальных проблем, присутствующих в системе. Это средство может пригодиться при обработке событий, приходящих с серверов источников событий.

Созданные настраиваемые представления можно экпортировать в XML-файл для последующего распространения на другие машины.

Реагируем на события

Еще одной интересной функцией, о которой хотелось бы упомянуть, является возможность ответной реакции на события. Например, если у вас пользователь указал неверные учетные данные для аккаунта, имеющего административные привилегии, то на появление данного события в журнале необходимо отреагировать, послав уведомление администратору безопасности. Данная функция является долгожданным решением проблем с автоматизацией работы серверов, так как раньше требовалось устанавливать дополнительное программное обеспечение или писать сценарии для того чтобы заставить сервер автоматически реагировать на определенные события.

Для этого необходимо зайти в журнал событий Event Viewer, открыть раздел Windows Logs, затем Security, выбрать нужное событие, нажать правую кнопку мыши, и указать Attach Task To This Event… (прикрепить задачу к этому событию).


Рисунок 2.
Настройка ответной реакции на событие


Рисунок 3.
Свойства задач

Окно свойств задачи аналогично интерфейсу Scheduled Tasks, для заданий, выполняющихся по расписанию. Здесь можно указать учетную запись, под которой выполняется задача, при необходимости ее можно выполнять только когда пользователь работает на машине.

В закладке Triggers, вы можете добавлять или изменять условия выполнения задачи. В Actions вы можете добавлять различные действия. В закладке Conditions прописаны условия, при которых выполняется задача. В Settings можно прописать, какие действия должны быть выполнены при различных условиях. Например, что нужно делать в случае, если такая задача уже выполняется. Наконец, в закладке History вы можете наблюдать все события, которые вызвали выполнение задачи.

Немного о построении отчетов

Иногда возникает необходимость в построении отчетов о событиях информационной безопасности. Например, руководители различного уровня очень любят, когда им предоставляют распечатки отчетов, в которых представлена информация, о том сколько попыток несанкционированного проникновения было осуществлено, к примеру за месяц. Благодаря отчетам многие руководители ИТ-отделов выбивают бюджеты на развитие, так что не стоит пренебрегать отчетами.

Итак, нам нужно осуществить выборку событий из журнала. Делать мы это будем с помощью средств PowerShell.

Для начала построим отчет о неудачных входах в систему. Для этого нам необходимо выбрать все события с кодом 4625.

get-eventLog -LogName Security -Newest 100 | Where-Object < $_.EventID -
eq 4625 >

Еще один пример. Узнаем, сколько пользователей осуществляло вход в систему в нерабочее время. Код события Success Logon – 4624.

В завершении, узнаем, сколько удачных входов систему было осуществлено пользователем administrator.

get-eventLog -LogName Security | Where-Object

Здесь приведены только простейшие сценарии работы с журналом событий в Windows Server 2008. При необходимости на их основе можно построить более сложные запросы для релшения соответствующих задач информационной безопасности.

Заключение

В этой статье мы рассмотрели построение системы мониторинга событий информационной безопасности с помощью штатных средств Windoiws Server 2008. С помощью описанных инструментов можно существенно автоматизировать процесс мониторинга событий безопасности.

Использованная литература

1. Р. Моримото, М. Ноэл, О. Драуби Microsoft Windows Server 2008. Полное руководство.

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Программы, которые поддерживают EVENT расширение файла

Следующий список функций EVENT -совместимых программ. Файлы с расширением EVENT, как и любые другие форматы файлов, можно найти в любой операционной системе. Указанные файлы могут быть переданы на другие устройства, будь то мобильные или стационарные, но не все системы могут быть способны правильно обрабатывать такие файлы.

Программы, обслуживающие файл EVENT

Windows

Windows

Как открыть файл EVENT?

Отсутствие возможности открывать файлы с расширением EVENT может иметь различное происхождение. С другой стороны, наиболее часто встречающиеся проблемы, связанные с файлами Corel Cataloged Folder Format, не являются сложными. В большинстве случаев они могут быть решены быстро и эффективно без помощи специалиста. Приведенный ниже список проведет вас через процесс решения возникшей проблемы.

Шаг 1. Скачайте и установите PaintShop Pro

Install software to open EVENT file

Наиболее распространенной причиной таких проблем является отсутствие соответствующих приложений, поддерживающих файлы EVENT, установленные в системе. Этот легкий. Выберите PaintShop Pro или одну из рекомендованных программ (например, VideoStudio Pro) и загрузите ее из соответствующего источника и установите в своей системе. Выше вы найдете полный список программ, которые поддерживают EVENT файлы, классифицированные в соответствии с системными платформами, для которых они доступны. Самый безопасный способ загрузки PaintShop Pro установлен - для этого зайдите на сайт разработчика () и загрузите программное обеспечение, используя предоставленные ссылки.

Шаг 2. Проверьте версию PaintShop Pro и обновите при необходимости

Update software that support file extension EVENT

Если проблемы с открытием файлов EVENT по-прежнему возникают даже после установки PaintShop Pro, возможно, у вас устаревшая версия программного обеспечения. Проверьте веб-сайт разработчика, доступна ли более новая версия PaintShop Pro. Может также случиться, что создатели программного обеспечения, обновляя свои приложения, добавляют совместимость с другими, более новыми форматами файлов. Если у вас установлена более старая версия PaintShop Pro, она может не поддерживать формат EVENT. Самая последняя версия PaintShop Pro обратно совместима и может работать с форматами файлов, поддерживаемыми более старыми версиями программного обеспечения.

Шаг 3. Свяжите файлы Corel Cataloged Folder Format с PaintShop Pro

Если проблема не была решена на предыдущем шаге, вам следует связать EVENT файлы с последней версией PaintShop Pro, установленной на вашем устройстве. Метод довольно прост и мало меняется в разных операционных системах.

Associate software with EVENT file on Windows

Изменить приложение по умолчанию в Windows

Изменить приложение по умолчанию в Mac OS

Шаг 4. Проверьте EVENT на наличие ошибок

Вы внимательно следили за шагами, перечисленными в пунктах 1-3, но проблема все еще присутствует? Вы должны проверить, является ли файл правильным EVENT файлом. Проблемы с открытием файла могут возникнуть по разным причинам.

Check EVENT file for viruses

1. Проверьте EVENT файл на наличие вирусов или вредоносных программ.

Если случится так, что EVENT инфицирован вирусом, это может быть причиной, которая мешает вам получить к нему доступ. Немедленно просканируйте файл с помощью антивирусного инструмента или просмотрите всю систему, чтобы убедиться, что вся система безопасна. EVENT файл инфицирован вредоносным ПО? Следуйте инструкциям антивирусного программного обеспечения.

2. Проверьте, не поврежден ли файл
3. Убедитесь, что у вас есть соответствующие права доступа

Некоторые файлы требуют повышенных прав доступа для их открытия. Войдите в систему, используя учетную запись администратора, и посмотрите, решит ли это проблему.

4. Убедитесь, что ваше устройство соответствует требованиям для возможности открытия PaintShop Pro

Если в системе недостаточно ресурсов для открытия файлов EVENT, попробуйте закрыть все запущенные в данный момент приложения и повторите попытку.

5. Убедитесь, что у вас установлены последние версии драйверов, системных обновлений и исправлений

Регулярно обновляемая система, драйверы и программы обеспечивают безопасность вашего компьютера. Это также может предотвратить проблемы с файлами Corel Cataloged Folder Format. Возможно, что одно из доступных обновлений системы или драйверов может решить проблемы с файлами EVENT, влияющими на более старые версии данного программного обеспечения.

Вы хотите помочь?

Если у Вас есть дополнительная информация о расширение файла EVENT мы будем признательны, если Вы поделитесь ею с пользователями нашего сайта. Воспользуйтесь формуляром, находящимся здесь и отправьте нам свою информацию о файле EVENT.

Читайте также: