В журналы событий записывается хронологическая информация, которая поможет вам выявить проблемы в системе и безопасности. Отслеживанием событий на системах Windows Server 2008 управляет служба Журнал событий Windows (Windows Event Log). Журналы бывают двух основных типов:
• Журналы Windows (Windows logs) Используются операционной системой для записи основных системных событий, связанных с приложениями, безопасностью, настройкой и системными компонентами.
• Журналы приложений и служб (Applications and Services logs) Используются отдельными приложениями и службами для записи событий, специфических для приложения или службы.
К журналам Windows относятся следующие журналы:
• Безопасность (Security Log) В него записываются события, для которых в локальных или глобальных групповых политиках безопасности задан аудит. По умолчанию располагается в файле %System Root%\ System32\Winevt\Logs\Security.evtx.
• Настройка (Setup Log) Сюда записываются события, зарегистрированные ОС и ее компонентами в процессе установки. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\Setiip.evtx.
• Пересланные события (Forwarded Events) Если настроена пересылка событий, в этот’ журнал записываются события, пересланные с других серверов. По умолчанию располагается в файле %SystemRoot%\Systein32\ Config\EordwardedEvents.evtx.
• Приложение (Application) В него записываются события, зарегистрированные приложениями, например, ошибка при осуществлении доступа к базе данных Microsoft SQL Server. По умолчанию он располагается в файле %System Root%\System32\Winevt\Logs\Application.cvtx.
• Система (System Log) Сюда записываются события, зарегистрированные ОС и ее компонентами, например, неудачный запуск службы при загрузке. По умолчанию располагается в файле %SystemRoot%\System32\ Winevt\Logs\Systcm.cvtx.
К журналам приложений и служб относятся следующие журналы:
• Репликация DFS (DFS Replication) В этом журнале протоколируется активность служб репликации DFS. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\Dfs Replication, cvtx.
• Служба каталогов (Directory Service) Сюда записываются события, зарегистрированные доменными службами Active Directory. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\ Directory Service.evtx.
• Служба репликации файлов (File Replication Service) Здесь протоколируется активность службы репликации файлов. По умолчанию располагается в файле %SystemRoot%\Systcm32\Winevt\Logs\File Replication Service.evtx.
• События оборудования (Hardware Events) Если настроена регистрация событий аппаратной подсистемы, в этот журнал Записываются аппаратные события, зарегистрированные ОС. По умолчанию располагается в файле %SystemRoot%\System32\Config\Hardware.evtx.
• DNS-сервер (DNS Server) Сюда записываются DNS-запросы, ответы и прочая активность DNS. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\DNSServer.evtx.
• Microsoft\Windows Журналы событий, относящихся к определенным службам и компонентам Windows. Журналы организуются по типу компоиентов и категории событий. В операционных журналах регистрируются события, вызванные текущими операциями соответствующего компонента. В некоторых случаях вы увидите также дополнительные журналы для анализа, отладки и регистрации административных задач.
• Windows PowerShell В этом журнале записываются события, относящиеся к использованию Windows PowerShell. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\ Windows PowerShell.evtx.