آموزش بررسی لاگ فایل ویندوز در Event Viewer
شاید برای شما هم پیش آمده باشد که زمان به روزرسانی ویندوز و یا سیستم خود، با مشکلی مانند صفحه آبی روبرو شوید. در چنین مواقعی در صورتی که با بررسی لاگ های سرور و ویندوز آشنایی داشته باشید، می توانید از پس چنین مشکلاتی بر بیایید. از این رو نه تنها دیگر این مشکلات چالشی پیش روی شما خواهند بود بلکه می توانند مانع از هدر رفت انرژی، وقت و هزینه های پروژه های شما شوند. ما در این مطلب قصد داریم تا به صورت کامل در خصوص لاگ فایل ویندوز در Event Viewer صحبت کنیم و شما را هر چه بیشتر با آن آشنا سازیم.
معرفی لاگ فایل ویندوز
لاگ فایل ویندوز در واقع یک گزارش و رکورد کامل و دقیقی از تمامی اعلان های سیستم، اعم از اعلان های امنیتی و اپلیکیشن ها و برنامه های کاربردی ذخیره شده توسط سیستم عامل ویندوز است. امروزه مدیران می توانند به کمک لاگ فایل ویندوز تمامی مشکلاتی که در سیستم عامل ویندوز پیش آمده است را بررسی کرده و حتی از آن برای پیش بینی مشکلات و چالش هایی که در آینده ممکن است اتفاق بیافتند نیز استفاده کنند.
برنامه ها و سیستم عامل (OS) از این لاگ های event برای ضبط تمامی اقدامات مهم سخت افزاری و نرم افزاری استفاده می کنند. از این رو سرپرست تیم ها قادر خواهند بود تا عیب یابی مشکلات سیستم عامل را در کمترین زمان ممکن و به ساده ترین حالت، تشخیص دهند. سیستم عامل ویندوز رویدادهای به خصوصی را در فایل های گزارش خود ردیابی می کند. از جمله این eventها می توان به نصب برنامه ها، مدیریت امنیت، عملیات های راه اندازی سیستم در هنگام راه اندازی اولیه، مشکلات و خطاها اشاره کرد.
عناصر موجود در لاگ فایل ویندوز
در یک لاگ فایل ویندوز در Event Viewer عناصر بسیار مختلفی وجود دارد. هر کدام از آن ها به شما در شناسایی و ردیابی خطاها و مشکلات کمک فراوانی می کنند. از این رو بهتر است پیش از هرگونه اقدام با تمامی این عناصر آشنا شوید. برخی از مهمترین عناصر موجود در Event لاگ فایل ویندوز عبارت اند از:
- تاریخ: تاریخی که رویداد در آن ایجاد شده است.
- زمان: زمانی که رویداد در آن به وقوع پیوسته است.
- کاربر: نام کاربری که در زمان وقوع رویداد به دستگاه ورود پیدا کرده است.
- کامپیوتر: نام کامپیوتر مورد نظر.
- Event ID: هر رویداد دارای یک شماره شناسایی خاص است که نوع رویداد را مشخص می کند.
- منبع: برنامه یا مولفه ای که باعث وقوع رویداد شده است.
- نوع: نوع رویداد که شامل اطلاعات، هشدار، خطا، ممیزی موفقیت امنیت و یا ممیزی شکست امنیت
حال برای اینکه بهتر با این عناصر در یک Event آشنا شوید، اجازه دهید تا مثالی را برای شما بازگو کنیم. رویداد اطلاعات یا information event به شرح زیر ظاهر خواهد شد:
Information 5/16/2018 8:41:15 AM Service Control Manager 7036 None
یک رویداد هشدار یا warning event ممکن است به شکل زیر باشد:
Warning 5/11/2018 10:29:47 AM Kernel-Event Tracing 1 Logging
یک رویداد خطا یا error event می تواند به شکل زیر ظاهر شود:
Error 5/16/2018 8:41:15 AM Service Control Manager 7001 None
یک رویداد خاص یا critical event نیز می تواند شبیه به مورد زیر باشد:
Critical 5/11/2018 8:55:02 AM Kernel-Power 41 (63)
نوع اطلاعات ذخیره شده در لاگ فایل ویندوز
به صورت کلی، سیستم عامل ویندوز، رویدادها را در پنج حوزه مختلف دسته بندی می کند. این پنج حوزه عبارت اند از: برنامه، امنیت، راه اندازی، سیستم و رویدادهای ارسال شده. ویندوز لاگ فایل Event را در آدرس C:\WINDOWS\system32\config\ folder ذخیره خواهد کرد. اجازه دهید تا هر کدام از این رویدادها را برای شما تعریف کنیم:
- رویدادهای برنامه (Application events)
رویدادهای برنامه مرتبط با اتفاقات نرم افزارهای نصب شده روی کامپیوترهای محلی هستند. در صورتی که برنامه ای مانند مایکروسافت از کار بی افتد، لاگ فایل رویداد ویندوز یک ورودی گزارش در خصوص مشکل، نام برنامه و دلیل خرابی آن به کاربر نمایش می دهد.
- رویدادهای امنیتی (Security events)
رویدادهای امنیتی، اطلاعات را بر اساس سیاست های حسابرسی ویندوز، دخیره می کنند. رویدادهای معمولی ذخیره شده، شامل تلاش های مرتبط با ورود به سیستم و دسترسی به منابع خواهد بود. به عنوان مثال، گزارش امنیتی، زمانی که کامپیوتر سعی می کند اعتبار حساب را تایید کند و زمانی که کاربر سعی می کند به دستگاه وارد شود، رکوردی را ثبت می کند.
- رویدادهای راه اندازی (Setup events)
رویدادهای راهاندازی شامل رویدادهای متمرکز سازمانی مرتبط با کنترل دامنهها، مانند مکان گزارشها پس از پیکربندی دیسک است.
- رویدادهای سیستم (System events)
رویدادهای سیستم به اتفاقاتی در سیستمهای خاص ویندوز، مانند وضعیت درایورهای دستگاه مربوط میشود.
زمانی که مدیری بخواهد از کامیپوتری استفاده کند که چندین گزارش را جمعآوری میکند، رویدادهای باز ارسال شده از ماشین های دیگر در همان شبکه به نمایش در میآیند.
استفاده از Event Viewer یا نمایشگر رویداد
مایکروسافت برای مشاهده لاگ فایل ویندوز، Event Viewer را در سیستم عامل ویندوز سرور و کلاینت خود گنجانده است. کاربران با کلیلک بر روی دکمه Start و وارد کردن Event Viewer در قسمت جستجو، قادر به دسترسی یافتن به Event Viewer هستند. در ادامه کاربران این امکان را دارند تا لاگ مورد نظر خود را انتخاب کرده و آن را بررسی کنند. ویندوز هر رویداد را با یک سطح امنیتی دسته بندی می کند. این سطوح عبارت اند از: اطلاعات، هشدار، خطا و نقطه بحرانی.
- رویدادهای مبتنی بر اطلاعات (information-based events)
بیشتر لاگ ها از رویدادهای مبتنی بر اطلاعات تشکیل شده اند. لاگ های دارای این ورودی، معمولا به این معنی هستند که رویداد بدون حادثه یا مشکل رخ داده است. یک مثال از رویداد اطلاعاتی مبتنی بر سیستم، رویداد 42، Kernel-Power است که نشان می دهد سیستم وارد حالت اسلیپ یا خواب شده است.
- رویدادهای سطح هشدار (Warning level events)
رویدادهای سطح هشدار بر اساس رویدادهای خاصی مانند کمبود فضای ذخیره سازی رخ می دهند. پیام های اخطار می توانند توجه را به مسائل احتمالی که ممکن است نیازی به اقدام فوری نداشته باشند، جلب کنند. رویداد 51، Disk نمونهای از اخطار مبتنی بر سیستم مربوط به خطای صفحه بندی در درایو دستگاه است.
- رویدادهای خطا (error level events)
رویدادهای سطح خطا نشان می دهند که ممکن است دستگاهی در بارگیری یا عملکرد مورد انتظار شکست خورده باشد. رویداد 5719، NETLOGON نمونه ای از خطای سیستم است که در آن کامپیوتر نمی تواند یک جلسه امن را با کنترل کننده دامنه پیکربندی کند.
- رویدادهای سطح بحرانی (Critical level events)
رویدادهای سطح بحرانی حاکی از شدیدترین مشکلات هستند. شناسه رویداد 41، Kernel-Power نمونهای از یک رویداد حیاتی سیستم است که هنگام راه اندازی مجدد دستگاه بدون خاموش شدن صحیح انجام میشود.
ابزارهای دیگر برای مشاهده لاگ فایل ویندوز
مایکروسافت همچنین ابزار خط فرمان wevtutil را در پوشه System32 ارائه میکند که لاگ های رویداد را بازیابی کرده، کوئری ها را اجرا میکند و قادر است تا لاگ ها را صادر کند. این خط فرمان همچنین لاگ های بایگانی و گزارش ها را پاک خواهد کرد.
ابزارهای شخص ثالث که با لاگ رویدادهای ویندوز نیز کار می کنند شامل SolarWinds Log & Event Manager هستند. این ابزارها همبستگی و اصلاح رویدادها را در زمان واقعی ارائه می دهند.ManageEngine EventLog Analyzer لاگ های سفارشی را از داده های گزارش می سازد و پیام های متنی و هشدارهای ایمیل را بر اساس رویدادهای خاص ارسال می کند.
استفاده از PowerShell برای پرس و جو از رویدادها
مایکروسافت لاگ فایل ویندوز را در قالب زبان نشانه گذاری توسعهپذیر (XML) با پسوند EVTX می سازد. XML اطلاعات جزئی تر و قالبی سازگار برای داده های ساخت یافته را فراهم می کند. مدیران می توانند پرس و جوهای پیچیده XML را با استفاده از cmdlet Get-WinEvent PowerShell بسازند تا رویدادها را از یک پرس و جو اضافه یا حذف کنند.