Melihat Aktifitas Komputer dengan Event Viewer
Melihat Aktifitas Komputer dengan Event Viewer
Event Viewer, sebuah komponen dari Microsoft 's Windows NT garis sistem operasi , memungkinkan administrator dan pengguna melihat log peristiwa pada mesin lokal atau remote. Pada Windows Vista , Microsoft dirombak sistem acara. [1]
Microsoft bermaksud Sistem dan sumber aplikasi log untuk digunakan oleh sistem operasi Windows dan aplikasi Windows masing-masing. Hanya Otoritas Keamanan Lokal Subsystem Layanan (lsass.exe) langsung dapat menulis ke log Keamanan .
Event Viewer menggunakan ID acara untuk menentukan peristiwa unik diidentifikasi bahwa komputer Windows dapat menemukan. Sebagai contoh, ketika pengguna otentikasi gagal, sistem dapat menghasilkan Event ID 672.
Windows NT 4.0 menambahkan dukungan untuk mendefinisikan "sumber acara" (yaitu aplikasi yang membuat acara) dan melakukan backup log.
Windows 2000 menambahkan kemampuan untuk aplikasi untuk menciptakan sumber-sumber mereka sendiri log di samping tiga sistem-didefinisikan "Sistem", "Aplikasi", dan "Keamanan" file log. Windows 2000 juga diganti Event Viewer NT4 dengan sebuah Microsoft Management Console (MMC) snap-in .
Windows Server 2003 menambahkan
Versi Windows berbasis kernel Windows NT 6.0 ( Windows Vista dan Windows Server 2008 ) tidak lagi memiliki batas 300-megabyte dengan ukuran total. Sebelum NT 6.0, pada-disk file yang dibuka sebagai memori-file dipetakan dalam ruang kernel memori, yang menggunakan kolam memori yang sama sebagai komponen kernel lainnya.
Pengguna dapat menyaring log event oleh satu atau lebih kriteria atau terbatas 1,0 XPath ekspresi, dan pandangan kustom dapat dibuat untuk satu atau lebih peristiwa. Menggunakan XPath sebagai bahasa query memungkinkan log melihat terkait hanya untuk subsistem tertentu atau masalah dengan hanya komponen tertentu, pengarsipan peristiwa pilih dan mengirim jejak dengan cepat untuk mendukung teknisi.
Source : Wikipedia
Posted by : Febri Irawanto
Event Viewer, sebuah komponen dari Microsoft 's Windows NT garis sistem operasi , memungkinkan administrator dan pengguna melihat log peristiwa pada mesin lokal atau remote. Pada Windows Vista , Microsoft dirombak sistem acara. [1]
Isi |
Ikhtisar
Windows NT telah menampilkan event log sejak rilis pada tahun 1993. Aplikasi dan komponen sistem operasi dapat menggunakan layanan ini log terpusat untuk melaporkan peristiwa yang telah terjadi, seperti kegagalan untuk memulai komponen atau menyelesaikan tindakan. Sistem ini mendefinisikan sumber log tiga: Sistem, Aplikasi dan Keamanan.Microsoft bermaksud Sistem dan sumber aplikasi log untuk digunakan oleh sistem operasi Windows dan aplikasi Windows masing-masing. Hanya Otoritas Keamanan Lokal Subsystem Layanan (lsass.exe) langsung dapat menulis ke log Keamanan .
Event Viewer menggunakan ID acara untuk menentukan peristiwa unik diidentifikasi bahwa komputer Windows dapat menemukan. Sebagai contoh, ketika pengguna otentikasi gagal, sistem dapat menghasilkan Event ID 672.
Windows NT 4.0 menambahkan dukungan untuk mendefinisikan "sumber acara" (yaitu aplikasi yang membuat acara) dan melakukan backup log.
Windows 2000 menambahkan kemampuan untuk aplikasi untuk menciptakan sumber-sumber mereka sendiri log di samping tiga sistem-didefinisikan "Sistem", "Aplikasi", dan "Keamanan" file log. Windows 2000 juga diganti Event Viewer NT4 dengan sebuah Microsoft Management Console (MMC) snap-in .
Windows Server 2003 menambahkan
AuthzInstallSecurityEventSource()
API panggilan sehingga aplikasi bisa mendaftar dengan log keamanan acara, dan menulis entri audit keamanan. [2] Versi Windows berbasis kernel Windows NT 6.0 ( Windows Vista dan Windows Server 2008 ) tidak lagi memiliki batas 300-megabyte dengan ukuran total. Sebelum NT 6.0, pada-disk file yang dibuka sebagai memori-file dipetakan dalam ruang kernel memori, yang menggunakan kolam memori yang sama sebagai komponen kernel lainnya.
Windows XP (commandline)
Windows XP menyediakan satu set tiga alat commandline, berguna untuk otomatisasi tugas:- eventquery.vbs - script Resmi untuk hasil query, filter dan output berdasarkan log peristiwa. Dihentikan setelah XP.
- eventcreate - perintah (lanjutan di Vista dan Tujuh) untuk menempatkan acara adat dalam log.
- eventtriggers - perintah untuk membuat tugas event driven. Dihentikan setelah XP, digantikan oleh fitur "Lampirkan tugas untuk acara ini".
Windows Vista
Event Viewer terdiri dari ditulis ulang acara pelacakan dan penebangan arsitektur pada Windows Vista. [1] Telah ditulis ulang sekitar terstruktur XML format log-log dan jenis yang ditunjuk untuk memungkinkan aplikasi untuk lebih tepat log acara, untuk membantu membuat lebih mudah bagi dukungan teknisi dan pengembang untuk menafsirkan peristiwa. Representasi XML acara dapat dilihat pada tab Rincian dalam sifat suatu acara. Hal ini juga memungkinkan untuk melihat semua kejadian potensial, struktur mereka, penerbit acara terdaftar dan konfigurasi mereka menggunakan utilitas wevtutil, bahkan sebelum peristiwa dipecat. Ada sejumlah besar dari berbagai jenis event log termasuk Administrasi, Operasional, jenis log Analytic, dan Debug. Memilih Application Log node di panel Lingkup mengungkapkan berbagai log baru subcategorized acara, termasuk banyak dicap sebagai log diagnostik. Peristiwa Analitik dan Debug yang frekuensi tinggi secara langsung disimpan ke dalam sebuah file jejak ketika peristiwa Admin dan Operasional jarang terjadi cukup untuk memungkinkan proses tambahan tanpa mempengaruhi kinerja sistem, sehingga mereka dikirim ke layanan Event Log. Acara yang diterbitkan asynchronously untuk mengurangi dampak kinerja pada aplikasi penerbitan acara. Atribut acara juga jauh lebih rinci dan menunjukkan EventID, Level, Tugas, Opcode, dan sifat Kata Kunci.Pengguna dapat menyaring log event oleh satu atau lebih kriteria atau terbatas 1,0 XPath ekspresi, dan pandangan kustom dapat dibuat untuk satu atau lebih peristiwa. Menggunakan XPath sebagai bahasa query memungkinkan log melihat terkait hanya untuk subsistem tertentu atau masalah dengan hanya komponen tertentu, pengarsipan peristiwa pilih dan mengirim jejak dengan cepat untuk mendukung teknisi.
Filtering menggunakan XPath 1.0
- Buka Windows Event Log
- Memperluas keluar Windows Log
- Pilih file log yang menarik bagi Anda (Dalam contoh di bawah ini, kita menggunakan event log Keamanan)
- Klik kanan pada Event Log dan pilih Log Saat Filter ...
- Mengubah tab yang dipilih dari Filter ke XML
- Centang kotak untuk Mengedit permintaan secara manual '
- Paste permintaan Anda ke dalam kotak teks. Anda akan menemukan query contoh di bawah.
- Pilih semua peristiwa di Security Event Log di mana nama akun yang terlibat (TargetUserName) adalah "JUser"
-
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
-
- Pilih semua peristiwa di Security Event Log di mana setiap node data dari bagian EventData adalah string "JUser"
-
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
-
- Pilih semua peristiwa di Security Event Log di mana setiap node data dari bagian EventData adalah "JUser" atau "jdoe"
-
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
-
- Pilih semua peristiwa di Security Event Log di mana setiap node data dari bagian EventData adalah "JUser" dan ID Event adalah "4471"
-
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4771"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
-
- Dunia nyata contoh untuk paket yang disebut tambang emas yang memiliki dua @ Nama
-
<QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>
-
- Ada keterbatasan untuk implementasi Microsoft XPath [3]
- Query menggunakan XPath fungsi string akan menghasilkan error [4]
Acara pelanggan
Pelanggan acara utama meliputi layanan acara Kolektor dan Task Scheduler 2.0. Layanan Collector acara otomatis dapat meneruskan event log ke sistem remote lain, menjalankan Windows Vista , Windows Server 2008 atau Windows Server 2003 R2 pada jadwal dikonfigurasi. Event log juga dapat dilihat dari jarak jauh komputer lain atau event log beberapa dapat terpusat dicatat dan dipantau agentlessly dan dikelola dari satu komputer. Acara juga dapat langsung berhubungan dengan tugas-tugas yang dijalankan dalam didesain ulang Task Scheduler dan tindakan otomatis memicu ketika peristiwa tertentu terjadi.Source : Wikipedia
Posted by : Febri Irawanto
0 Response to "Melihat Aktifitas Komputer dengan Event Viewer"
Post a Comment