На ключевых системах, например, контроллерах домена и серверах приложений, необходимо хранить журналы за несколько месяцев. Однако, как правило, неудобно обеспечивать столь длительное хранение путем увеличения максимального размера журнала. Вместо этого укажите Windows периодически архивировать журнал событий или делайте это вручную.
Форматы архива журнала
Журналы могут архивироваться в четырех форматах:
• Формат .evtx для просмотра в консоли Просмотр событий (Event Viewer).
• Текст с символами табуляции в качестве разделителей (.txt) для просмотра в текстовом редакторе или для импорта в электронные таблицы и базы данных.
• Текст с запятыми в качестве разделителей (.csv) для импорта в электронные таблицы и базы данных.
• Формат XML.
При экспорте журнала в файл с разделителями-запятыми разделено каждое поле в записи о событии. Запись выглядит следующим образом:
|
1 2 3 4 |
Сведения,23.05.2011 09:43:24,EventLog,6005, Отсутствует,Запущена служба журнала событий. Предупреждение,23.05.2011 09:40:04, Microsoft-Windows-Time-Service, 134, Отсутствует, Ntp-клиенту не удалось задать настроенный вручную узел как источник времени из-за ошибки разрешения имен DNS... |
Формат записей о событии таков:
Уровень, Дата и время, Источник, Код события, Категория задачи, Описание
Создание архивов журнала
Windows автоматически создает архивы журнала, если вы выбрали режим перезаписи Архивировать заполненный журнал, не переписывая события (Archive The Log When Full, Do Not Overwrite Events). Чтобы создать архив журнала вручную, выполните следующие действия:
1. В диспетчере сервера разверните узлы Диагностика (Diagnostics) и Просмотр событий (Event Viewer).
2. Разверните узел Журналы Windows (Windows Logs) или Журналы приложений и службы (Applications And Services Logs).
3. Щелкните правой кнопкой журнал, для которого хотите создать архив, и выберите в контекстном меню команду Сохранить события как (Save Events As).
4. В диалоговом окне Сохранить как (Save As) выберите панку и введите имя файла журнала.
5. В списке Тип файла (Save As Туре) по умолчанию выбрано значение Файлы событий (*.evtx) (Event Files (*.evtx)). Выберите подходящий формат журнала и щелкните кнопку Сохранить (Save).
Просмотр архивов журнала
Сохранив архивы журнала в текстовом формате, вы можете просмотреть их в любом текстовом редакторе. Архивы в формате журнала событий следует просматривать в консоли Просмотр событий (Event Viewer). Для этого нужно выполнить следующие действия:
1. В окне Диспетчер сервера (Server Manager) щелкните правой кнопкой мыши узел Просмотр событий (Event Viewer). Выберите в контекстном меню команду Открыть сохраненный журнал (Open Saved Log File).
2. В диалоговом окис Открыть (Open) найдите нужную папку и выберите файл журнала. В списке форматов по умолчанию выбран вариант Файлы журнала событий (Event Logs Files). Это означает, что показаны будут файлы с расширениями .evtx, .evt и .etl. Каждый из этих типов можно также выбрать по отдельности.
3. Щелкните Открыть (Open). Windows выведет диалоговое окно Открыть сохраненный журнал (Open Saved Log).
4. Введите имя и описание сохраненного журнала.
5. Укажите, куда сохранить журнал. По умолчанию сохраненные журналы помещаются в узел Сохраненные журналы (Saved Logs). Вы можете создать новый узел, щелкнув Создать папку (New Folder). Введите имя новой папки и щелкните ОК.
6. Щелкните ОК, чтобы закрыть диалоговое окно Открыть сохраненный журнал (Open Saved Log). Теперь вы должны увидеть содержимое сохраненного файла.
