Как открыть логи. Что такое «логи сервера», как посмотреть логи сервера

08.05.2019 Флешки и HDD

В конце концов начинающий вебмастер приходит к тому, что ему необходимо анализировать лог-файлы сервера . Но где находятся логи и как их читать мы сейчас и разберем. Все, что нам будет нужно это html редактор, с которым вы работаете, да еще желателен установленный блокнот notepad++.

Рассмотрим несколько вариантов мест хранения лог файлов, просто для того, что бы вы могли сориентироваться и найти их на своей хостинг площадке даже если у вас другая панель управления. В данном примере мы пользуемся хостингом с панелью Direct Admin.

Заходим в панель управления хостингом и жмем на интересующий нас сайт.

И здесь уже выбираем Полный журнал обращений , если вас не интересует журнал обращений за весь день то можно просмотреть только последние 100 строк или 10

Добираемся к логам с помощью редактора, которым далеам сайты. В данном примере используем adobe dreamweaver. Подключаемся к хостингу, открываем папки domains — ваш сайт и видим папку logs , внутри которой лежит нужное нам содержимое

Теперь то же самое, но для панели ISP manager. Заходим в панель, слева в меню жмем Менеджер файлов и видим папку logs

Тоже, но с помощью редактора: папка с логами находится в корне вашей хостинг площадки.

Теперь мажордомо, как видим, папка с логами лежит тоже в корне площадки.

P.S. если вы желаете посмотреть лог не за сегодняшний день, а за прошедший или более поздний, то наилучшим вариантом будет скачать архивы .log.tgz с ранними логами файловым менеджером на компьютер, распаковать и уже открыть блокнотом.

как открыть лог файл

Самым оптимальным вариантом для чтения логов будет использование программы-редактора dreamweaver и блокнота notepad++. Для начала нам надо настроить редактор, что бы он по умолчанию открывал файлы такого типа блокнотом.

В меню программы выбираем Правка — настройка , слева выбираем Типы файлов и редакторы . Жмем на плюсик в левом окне, в открывшейся строке пишем расширение лог-файла.log (обязательно с точкой впереди). Теперь в левом окне выделяем наше расширение, а в правом тыкаем на плюсик, в открывшемся окне выбираем нашу программу-блокнот (для win7 это C\Program Files 86\Notepad++\notepad++.exe )

P.S. dreamweaver для настройки открываем от имени администратора, иначе программа будет закрываться при выборе блокнота.

P.S. таким же образом можно настроить программу для открытия подобных файлов: .htaccess, .ru_error_log и т.п. 🙂

анализ логов или как читать логи

Ну вот мы и подошли к основным действиям, сейчас разберем какие секреты нам может открыть чтение лог-файла и какую реальную пользу нам может принести анализ логов . Программами анализаторами мы пользоваться не будем, т.к. посещаемость сайта пока не высокая и просмотреть все ручками не составит особого труда, да и к тому же очень полезно для обучения.

Как правило строки в логах довольно длинные, каждую строку мы разделим на несколько частей.

Для примера разберем одну строчку и для наглядности разделим ее разными цветами на несколько основных нужных нам частей.

чтение и анализ лог-файла пример 1

92.100.6.63 — 200 23261 «http://www.www..html » «Opera/9.80 (Windows NT 5.1; U; MRA 5.10 (build 5265); ru) Presto/2.10.229 Version/11.64»

92.100.6.63 — ip адрес с которого был заход на ваш сайт

— тут понятно, дата и время захода (по серверу) вплоть до секунды

«GET /hitrosti/htacccess/4.jpg HTTP/1.0» — первая часть заключенная в кавычки покажет нам каким методом (head, get, post) и к какому файлу было обращение. (При заходе пользователя на ваш сайт в логах остается несколько строк, потому что страница сайта состоит из нескольких файлов включая картинки, стили и т.п) Один файл- одна строчка в логах

200 — ответ полученный посетителем, код 200 означает, что пользователь получил что хотел, т.е все ок. рекомендую ознакомиться с кодами ответов сервера

«http://www.www..html «- вторая часть заключенная в кавычки — реферер, показывает нам откуда запрашивается файл. В нашем случае файл 4.jpg был запрошен при открытии страницы /htaccess.html

«Opera/9.80 (Windows NT 5.1; U; MRA 5.10 (build 5265); ru) Presto/2.10.229 Version/11.64 » — третья часть заключенная в кавычки — юзерагент, в юзерагенте мы можем увидеть версию браузера, версию операционной системы, язык браузера.

чтение и анализ лог-файла пример2

92.38.234.215 — ip адрес бота

«GET / HTTP/1.0» метод обращения get, поскольку файл к которому обращается бот не указан, значит запрос был к морде сайта, ну и время обращения

200 — с сайтом все хорошо

«-» — поле реферер не заполено, такми образом можем предположить что это бот

«mizukov-test» — я точно знаю, что это бот, потому что сам прописал его в поле юзер-агент в системе мониторинга сайтов:))))

исходя из краткого анализа данной строчки лога мы видим, что в ночью заходил бот сервиса мониторинга сайтов и сайт прекрасно работал.

P.S. как правило настоящий посетитель пришедший на ваш сайт оставляет несколько строчек в лог-файле, боты (поисковые и другие роботы, спам-боты, пауки) обычно оставляют за собой след в виде одной строчки.

чтение и анализ лог-файла пример 3

95.108.158.134 — — «GET /robots.txt HTTP/1.0» 200 211 «-» «Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)»

95.108.158.134 — ip адрес с которого пришел…

«GET /robots.txt HTTP/1.0» — он пришел и прочитал файл robots.txt

200 — мы уверены, что он прочитал файл потому что он получил ответ 200

«-» — поле реферера пусто, а в логах строчка только одна. Значит это робот.

«Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)» — поле юзерагент. ОН представляется как браузер мазила/5.0 но мы знаем что это был основной индексирующий робот яндекса.

вобщем то надеюсь вам стало понятно, что структура логов всегда одинакова (основные части)1-ip 2-дата и время 3-метод обращения и запрашиваемый файл 4-реферер 5-юзер-агент

При анализе логов обратите внимание на ботов основных поисковых систем, как часто они вас навещают, какой файл запрашивают и какой ответ сервера получают. Если ответ отличный от 200 или 304 то стоит заняться исправлением ошибок на сайте.

Дабы избежать сильной нагрузки на сервер от ботов не следует пренебрегать директивой Crawl-delay: в файле robots.txt Особенно могут оборзеть боты майла или рамблера, да так что сервак буквально падает.

Ну а ботов беспредельщиков, которые не принимают к сведению директивы robots мы, балгодаря анализу логов, тупо будем банить разными методами. Но об этом уже в другой статье.

Как просмотреть логи?

Ответ мастера:

Логи представляют собой сводку данных, которая накапливается в процессе работы программного обеспечения, установленного на вашем компьютере. Они содержат информацию об ошибках и сбоях, а также причинах их возникновения. Также логами называются файлы, в которых храниться переписка, ведущаяся при помощи специальных приложений-чатов.

Просмотрите логи операционной системы Windows. Для этого необходимо нажать правой кнопкой мышки на значок «Мой компьютер» и выбрать пункт «Управление». Стоит отметить, что выполнить это вы сможете только в случае наличия административных прав. Если их у вас нет, то перезайдите в систему под профилем администратора. В появившемся окне слева найдите раздел «Служебные программы» и выберите пункт «Просмотр событий». Дождитесь загрузки данных, в некоторых случаях потребуется достаточно много времени. Выделите интересующий вас пункт и посмотрите в правой части окна логи по работе и ошибкам системной программы.

Найдите логи программы Skype. Для этого вам необходимо открыть каталог диска С и перейти по адресу Users\_имя_пользователя_в_системе_\AppData\Skype\_имя_пользователя_Skype\. Открыть параметры профиля можно также через раздел «Выполнить» меню «Пуск». Введите в строку команд “%APPDATA%\Skype” и нажмите кнопку Ок. В результате откроется нужная папка. Логи программу Skype являются зашифрованными, поэтому для их просмотра вам понадобиться дополнительная утилита SkypeLogView. Она является бесплатной и свободно распространяется в интернете. Запустите ее и укажите путь к папке вашего профиля. Появиться перечень сохраненных переписок. Выделите нужную и прочитайте.

Ознакомьтесь с логом переписки в программе QIP на официальном сайте разработчика по ссылке http://history.qip.ru/. Авторизуйтесь на сайте. Слева будет представлен список контактов, с которым вы переписывались за все время активности данной услуги. Нажмите на любого собеседника и посмотрите лог переписки.

Прочитайте лог переписки в программе ICQ. Данная информация храниться по адресу C:\Users\_имя_пользователя_в_системе_\Application Data\ICQLite\HistoryDB\_номер_ICQ_. ДЛя отображения нужных файлов необходимо нажать на кнопку «Упорядочить» в панели окна папки. Выберите пункт «Параметры папок» и перейдите на вкладку «Вид». В самом низу поставьте галочку возле строки «Показывать скрытые файлы и папки». Сохраните настройки и вернитесь к каталогу логов. Выберите нужный и ознакомьтесь с ним при помощи текстового редактора или обычного блокнота.

" Панели управления аккаунтом. В этих логах содержится информация о посещениях сайта пользователями сети Интернет.

Пример записи:

domen.ru 127.0.0.1 - - "GET /index.html HTTP/1.1" 200 198 "http://domen.ru/" "Mozilla/5.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1)" 16143 0

Здесь:

  • domen.ru - имя домена, т.е имя сервера, записанное в формате, определенным директивой UseCanonicalName;
  • 127.0.0.1 - удаленный хост, т.е. IP-адрес посетителя;
  • "-" - идентификатор клиента (записывается, если включена директива IndentyCheck и клиент предоставил данные для идентификации);
  • "-" - имя удаленного пользователя, если запрос требовал аутентификации HTTP;
  • - дата и время запроса;
  • GET /index.html HTTP/1.1 - первая строка запроса;
  • 200 - последний статус ответа сервера, если имели место внутренние перенаправления запроса (в данном случае успешное обращение);
  • 198 - размер ответа сервера в байтах, исключая HTTP-заголовки (если ответ сервера равнялся 0 байтов, то вместо 0 записывается прочерк "-");
  • "http://domen.ru/" "Mozilla/5.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1) - значение заголовка с именем header в запросе;
  • 16143 - PID процесса apache, выполняющего запрос.
  • 0 - время работы процесса apache.

Обращаем внимание, что параметры, не имеющие значения, обозначаются в логах в виде "-"

Логи ошибок (error_log)

Включить данные логи можно в разделе "Log файлы " Панели управления аккаунтом.
В данные логи записываются ошибки Apache и всех его модулей, например, ошибки доступа или отсутствия файла на аккаунте, или же ошибки обработки mod_rewrite.

Пример записей:

domen.ru File does not exist: /home/d/domen/public_html/favicon.ico
domen.ru /home/d/domen/public_html/.htaccess: RewriteRule: cannot compile regular expression "^edit_serv/(.*):({2,20}+)/$"

В логах указывается имя домена, к которому было зафиксировано обращение, время обращения, IP-адрес, с которого была произведена попытка доступа и, непосредственно, текст ошибки.

Для того, чтобы в логах ошибок выводились ошибки php, необходимо прописать в файл.htaccess аккаунта следующие директивы:

php_flag display_errors off
php_value error_log "путь_к_файлу_логов"

Путь к файлу логов можно увидеть в разделе "Log файлы" Панели управления аккаунтом. Имеет вид:
/home/d/domen/error_log

FTP логи

FTP логи могут быть предоставлены по запросу в службу технической поддержки. В них отражены действия с аккаунтом, которые производились по FTP. Логи помещаются в корневую папку аккаунта и состоят из двух файлов с именами вида vsftpd.log и xferlog.

  • В файле vsftpd.log содержатся логи FTP-сессий (вход/выход).
  • В файле xferlog содержится информация о действиях, которые производились с файлами.

Пример записи в файле vsftpd.log:

Sun Jan 19 15:17:05 2014 FTP command: Client "100.0.0.2", "USER login"

Здесь указавается три основных параметра:

  • Sun Jan 19 15:17:05 2014 - дата и время входа пользователя;
  • login - логин пользователя;
  • 100.0.0.2 - IP-адрес, с которого осуществлялся доступ.

Обращаем внимание, что запись с IP-адресом 192.168.1.254 означает, что вход осуществлялся через файловый менеджер из Панели управления аккаунтом.

Пример записи в файле xferlog:

Tue Jan 21 15:56:06 2014 1 127.0.0.1 34181 /test.txt b _ o r login ftp 0 * c

Здесь:

  • Tue Jan 21 15:56:06 2014 - дата и время;
  • 34181 - размер файла;
  • test.txt - имя файла;
  • b _ o r - операции, произведенные с файлами;
  • login - логин пользователя, который выполнял действия.

Операции с файлами ("b _ o r") имеют четыре параметра:

  1. Тип передачи: a – текстовый (ascii) b – бинарный. В данном случае b.
  2. Метка особых действий, С – файл был сжат (compressed), U – файл был распакован (uncompressed), T – файл был заархивирован (в tar), "_" особых действий не было. На данном примере: "_" – особых действий не было.
  3. Направление: o – исходящее, i – входящее, d – удаление. На данном примере: o – исходящее, т.е файл загружался с сервера.
  4. Pежим доступа: a – анонимный, r – с регистрацией. На данном примере: r – с регистрацией, был осуществлён вход по логину и паролю.

Логи операций Панели управления

В разделе "Логи операций " Панели управления аккаунтом можно просмотреть действия, которые совершались в ПУ аккаунта, а также с каких IP-адресов производился доступ. Данные логи доступны за весь период существования аккаунта.

Операционная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event) - это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок.

Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий» . В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:

  • Просматривать события определенных журналов;
  • Применять фильтры событий и сохранять их для последующего использования в виде настраиваемых представлений;
  • Создавать подписки на события и управлять ими;
  • Назначать выполнение конкретных действий на возникновение определенного события.

Запуск приложения «Просмотр событий»

Приложение «Просмотр событий» можно открыть следующими способами:

Журналы событий в Windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб . Журналы Windows - используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб - используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil , о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

Приложение - хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность - хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка - в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система - хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события - если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer - в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell - в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования - если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.

Свойства событий

Существует несколько свойств событий оснастки «Просмотр событий» , которые подробно описаны немного ниже:

Источник - это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II.

Код события - это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий». Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок.

Уровень - это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:

  • Уведомление - обозначает изменение в приложении или компоненте, такое как возникновение информационного события, связанного с успешным действием, создание ресурса или запуск службы.
  • Предупреждение - обозначает предупреждение общего характера на неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания;
  • Ошибка - обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие;
  • Критическая ошибка - обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически;
  • Аудит успехов - успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
  • Аудит отказов - неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.

Пользователь - определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса.

Рабочий код - содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие.

Журнал - имя журнала, в который было записано данное событие.

Категория и задачи - определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.

Ключевые слова - это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден».

Компьютер - идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.

Дата и время - определяет дату и время возникновения данного события в журнале.

ИД процесса - представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс — это непосредственное выполнение этих инструкций

ИД потока - представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени. При выполнении некоторых задач такое разделение может достичь более эффективного использования ресурсов вычислительной машины

ИД процессора - представляет идентификационный номер процессора, обработавшего событие.

Код сеанса - это идентификационный номер сеанса на сервере терминалов, в котором произошло событие.

Время работы в режиме ядра - определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром.

Время работы в пользовательском режиме - определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы ввода\вывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода.

Загруженность процессора - это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.

Код корреляции - определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция — статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин.

ИД относительной корреляции - определяет относительное действие в процессе, для которого используется событие

Работа с журналами событий

Просмотр событий

На следующем скриншоте можно увидеть журнал «Приложения» , в котором можно узнать сведения о событиях, недавних представлениях и доступных действиях. Для того чтобы просмотреть события журнала приложений, выполните следующие действия:

  1. В дереве консоли выберите «Журналы Windows» ;
  2. Выберите журнал «Приложения» .

Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будущем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.

Панель «Область просмотра» показывает основные данные о событиях на вкладке «Общие» , а дополнительные специфические данные - на вкладке «Подробности» . Включить и выключить эту панель можно, выбрав меню «Вид» , а затем команду «Область просмотра» .

Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:

  1. В дереве консоли выберите журнал событий, который нужно сохранить;
  2. Выберите команду «Сохранить события как» из меню «Действие» или из контекстного меню журнала выберите команду «Сохранить все события как» ;
  3. В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Тип файла» нужно выбрать желаемый формат файла из доступных: файлы событий - *.evtx, xml-файл - *.xml, текст с разделением табуляции - *.txt, csv с разделением запятыми - *.csv. В поле «Имя файла» «Сохранить» . Для отмены сохранения нажмите на кнопку «Отмена» ;
  4. В том случае, если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне «Отображать сведения» оставьте заданный по умолчанию вариант «Не отображать сведения» , а если журнал предназначается для просмотра на другом компьютере, то в диалоговом окне «Отображать сведения» выберите вариант «Отображать сведения для следующих языков» и нажмите на кнопку «ОК» .

Очистка журнала событий

Иногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:

  1. В дереве консоли выберите журнал событий, который требуется очистить;
  2. Очистите журнал одним из следующих способов:
    • В меню «Действие» выберите команду «Очистить журнал» ;
    • На выбранном журнале нажмите правой кнопкой для открытия контекстного меню. В контекстном меню выберите команду «Очистить журнал» ;
  3. Далее можно либо очистить журнал, либо заархивировать его в том случае, если это не было сделано ранее:
    • Чтобы очистить журнал событий без сохранения нажмите нажать на кнопку «Очистить» ;
    • Чтобы очистить журнал событий после его сохранения нажмите на кнопку «Сохранить и очистить» . В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить» . Для отмены сохранения нужно нажать на кнопку «Отмена» .

Установка максимального размера журнала

Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%\System32\Winevt\Logs\. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:

  1. Выберите команду «Свойства» из меню «Действие»
  2. В поле «Максимальный размер журнала (КБ)» установите требуемое значение при помощи счетчика или установите вручную без использования счетчика. В этом случае значение будет округлено до ближайшего числа, кратного 64 КБ так как размер файла журнала должен быть кратен 64 КБ и не может быть меньше 1024 КБ.

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Переписывать события при необходимости (сначала старые файлы) - в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;

Архивировать журнал при заполнении; не переписывать события - в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется.

Не переписывать события (очистить журнал вручную) - в этом случае журнал очищается вручную, а не автоматически.

Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:

  1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
  2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;
  3. На вкладке «Общие» , в разделе «При достижении максимального размера» выберите требуемый параметр и нажмите на кнопку «ОК» .

Активация аналитического и отладочного журнала

Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:

  1. В дереве консоли найдите и выберите аналитический или отладочный журнал, который необходимо активировать;
  2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного аналитического или отладочного журнала;
  3. На вкладке «Общие» установите флажок на опции «Включить ведение журнала»

Открытие и закрытие сохраненного журнала

При помощи оснастки «Просмотр событий» можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в «Просмотре событий» , может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:

  1. Выберите команду «Открыть сохраненный журнал» в меню «Действие» или из контекстного меню в дереве консоли;
  2. 3. В диалоговом окне «Открыть сохраненный журнал» , передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. По умолчанию в диалоговом окне будут выведены все файлы журналов событий. Также при открытии можно выбрать тип файлов, которые нужно отображать в диалоге открытия. Доступные типы файлов: файлы журнала событий (*.evtx, *.evt, *.etl), а также файлы событий (*.evtx), старые файлы событий (*.evt) или файлы журнала трассировки (*.etl). После того, как нужный файл журнала будет найден, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку «Открыть» .
  3. В диалоге «Открыть сохраненный журнал» , в поле «Имя» введите новое имя, которое будет использоваться для журнала в дереве консоли. Оно используется только для представления журнала в дереве консоли и имя файла журнала при этом не изменяется Можно также использовать существующее имя файла журнала. В поле «Описание» введите описание журнала. Оно будет отображаться в центральной области при выделении родительской папки журнала в дереве консоли;
  4. Для создания папки, в которой будет расположен сохраненный журнал, нажмите на кнопку «Создать папку» . В поле «Имя» введите имя папки, в которой будет находиться открытый журнал, а затем нажмите кнопку «ОК» . Если родительская папка не выбрана, новая папка будет расположена в папке «Сохраненные журналы» .
  5. Для того чтобы открытый журнал событий стал недоступным для других пользователей компьютера, вы можете снять флажок «Все пользователи» . В том случае, если этот флажок останется активным, открытый журнал будет доступен всем пользователям, но для его удаления из дерева консоли потребуются права администратора;
  6. Для открытия журнала, нажмите на кнопку «ОК» .

Для того чтобы удалить открытый журнал из дерева событий, выполните следующие действия:

  1. В дереве консоли выберите журнал, который следует удалить;
  2. Выберите команду «Удалить» из меню «Действие» или из контекстного меню выбранного журнала;
  3. В диалоге «Просмотр событий» нажмите на кнопку «Да» .

Заключение

В этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками.

Инструкция

Выберите раздел логов Windows, который необходимо почистить. Кликните по иконке «Мой компьютер» на рабочем столе и выберите пункт «Управление...» контекстного меню. Либо активируйте ярлык «Управление компьютером», находящийся в папке «Администрирование» (в нее можно перейти из окна «Панель управления», открываемого при помощи соответствующего пункта раздела «Настройка» меню «Пуск»). Запустится консоль MMC.

В дереве «Управление компьютером (локальным)» последовательно разверните элементы «Служебные программы» и «Просмотр событий». Выделяйте вложенные пункты и просматривайте логи. Определите, какие разделы необходимо очистить.

Почистите логи Windows. Выделите один из элементов категории «Просмотр событий», выбранных на первом шаге. Для этого кликните по нему левой кнопкой мыши. Разверните раздел «Действие» главного меню приложения или откройте контекстное меню элемента, кликнув по нему правой кнопкой. Выберите пункт «Стереть все события». Будет выдан запрос на предварительное сохранение удаляемых данных. Если это необходимо, нажмите «Да» и сохраните события во внешний файл журнала. Далее логи будут очищены.

В операционных системах Linux или FreeBSD найдите файлы логов, обслуживаемых сервисом syslogd, которые нужно удалить. Откройте файл /etc/syslog.conf. Просмотрите его. Получите пути к файлам логов нужных подсистем или приложений.

Остановите сервис syslogd. Начните сеанс пользователя root. Для этого переключитесь в текстовую консоль или запустите эмулятор терминала. Войдите с учетными данными root или начните сеанс командой su. Выполните в консоли команду:
service syslogd stop
Дождитесь остановки сервиса.

Почистите логи. С помощью команды перенаправления перезапишите содержимое файлов логов, найденных на третьем шаге, данными . Например, чтобы очистить файл /var/log/syslog/messages, выполните команду:
> /var/log/syslog/messages

Запустите сервис syslogd командой:
service syslogd start
Дождитесь окончания процесса запуска службы.

Логами называют данные, накапливаемые в процессе работы прикладных и системных программ. Как правило, в них заносится служебная информация, касающаяся нештатных ситуаций и сбоев. Поэтому часто для выявления причин сбоев в работе приложений и подсистем нужно посмотреть сохраненные логи.

Вам понадобится

Инструкция

Посмотрите логи, сохраненные в журнале событий Windows. Запустите консоль MMC. Для этого кликните правой кнопкой мыши по значку «Мой компьютер», расположенному на рабочем столе и выберите пункт «Управление...» появившегося контекстного меню. Можно также открыть папку «Панель управления», воспользовавшись соответствующим пунктом раздела «Настройка» меню «Пуск». Далее надо перейти в папку «Администрирование» при помощи одноименного ярлыка, а затем открыть «Управление компьютером».

В левой панели отобразившегося окна последовательно разверните элементы «Служебные программы» и «Просмотр событий». Выделите один из вложенных пунктов. В правой части окна будут выведены логи выбранного раздела. Для получения подробной информации по отдельному элементу, дважды кликните по нему мышью.

Просмотрите логи, сохраненные во внешнем файле журнала Windows. При необходимости откройте окно «Управление компьютером» так, как это было описано в первом шаге. В левой панели разверните элемент «Служебные программы». Разверните и выделите пункт «Просмотр событий». Кликните по нему правой кнопкой мыши или откройте раздел «Действие» главного меню. Кликните по пункту «Открыть файл журнала».

В отобразившемся диалоге перейдите к директории, в которой находится файл журнала событий Windows. Выделите его в листинге. В выпадающем списке «Тип журнала» выберите один из элементов («Безопасность», «Приложение», «Система»). При необходимости измените название в текстовом поле «Выводимое имя». Нажмите кнопку «Открыть». Просмотрите загруженный журнал, выделив добавленный элемент в левой панели окна.

Найдите один из файлов системных журналов, обслуживаемых сервисом syslogd в операционных системах семейства Linux или FreeBSD. Перейдите в каталог /etc и откройте в программе просмотра файл syslog.conf (для этого в большинстве случаев требуется доступ с правами пользователя групп adm или root). Проанализируйте содержимое файла. Узнайте пути к файлам журналов, в которые добавляются сообщения интересующих вас подсистем и сервисов.

Посмотрите сохраненные логи в ОС семейства Linux или FreeBSD. Откройте файлы, пути к которым были определены на предыдущем шаге, в программе просмотра. Для этого, скорее всего, потребуются права доступа группы adm или root. Также можно воспользоваться командой tail для вывода нескольких последних строк логов в консоль. Например:
tail -n 15 /var/log/messages
Данную команду весьма удобно использовать для быстрого просмотра последних событий, добавленных в лог.

Сегодня большинство прикладных и системных приложений осуществляют периодическое сохранение информации о процессе своей работы, ошибках и сбоях в специальные журналы, называемые логами. В большинстве операционных систем общего назначения существуют службы, позволяющие писать логи, используя стандартный программный интерфейс.

Вам понадобится

  • - компилятор языка C;
  • - Windows Platform SDK;
  • - Develop-пакет для glibc.

Инструкция

Добавьте поддержку записи логов в системный журнал из своего приложения, предназначенного для работы под управлением операционных системах семейства Windows.

Используйте API функцию RegisterEventSource для регистрации приложения в качестве источника событий, функцию ReportEvent для добавления записи в журнал и функцию DeregisterEventSource для закрытия дескриптора, возвращенного RegisterEventSource.

Вызов RegisterEventSource имеет смысл производить в процессе инициализации приложения и сохранять возвращенный ей дескриптор все время работы с тем, чтобы из различных мест программы можно было производить размещение записей в логе. Простейший пример записи в лог Windows может выглядеть так:

HANDLE hLog = RegisterEventSource(NULL, "MyApplicationName");

if(hLog != NULL)
{
if(ReportEvent(hLog, EVENTLOG_INFORMATION_TYPE, 0, 0, NULL,
1, 0, "Message text\0", NULL))
{
// событие успешно помещено в лог
}

DeregisterEventSource(hLog);
}

Более подробно о семантике работы функции ReportEvent можно узнать в MSDN по ссылке http://msdn.microsoft.com/en-us/library/windows/desktop/aa363679%28v=vs.85%29.aspx . Кроме того, необходимо поместить некоторые данные об исполняемом модуле приложения в системный реестр, а в сам модуль или стороннюю динамическую библиотеку добавить ресурсы в определенном формате. Подробнее о ключах реестра для сервиса event log можно узнать на странице http://msdn.microsoft.com/en-us/library/windows/desktop/aa363661%28v=vs.85%29.aspx .

Писать логи в Linux-совместимых операционных системах обычно можно при помощи демона syslog. Эта служба имеет интерфейс прикладного уровня в виде набора функций, декларации которых помещены в заголовочный файл syslog.h.

Используйте функцию openlog для создания подключения к сервису syslog из приложения или библиотеки. Вызывайте функции syslog или vsyslog для размещения сообщений в логе. После окончания записи событий или при завершении работы приложения закройте соединение с сервисом, вызвав функцию closelog. Кроме того, можно настроить параметры игнорирования вызовов, добавляющих записи о событиях с определенным приоритетом при помощи функции setlogmask. Пример записи сообщений в лог может выглядеть так:

openlog("MyApplication", LOG_CONS | LOG_PID | LOG_NDELAY, LOG_LOCAL1);
syslog(LOG_NOTICE, "MyApplication is launched with PID %d", getuid ());
syslog(LOG_INFO, "Information message !");
closelog();

Более подробно с информацией о параметрах функций прикладного программного интерфейса syslog можно ознакомиться в info-документации по libc.

Пишите логи в произвольные файлы, используя собственную реализацию подсистемы сохранения событий. Одним из самых простых решений данной задачи является создание нескольких функций в глобальной области видимости, одна из которых открывает файл с определенным именем в режиме добавления информации, вторая - закрывает его, а третья - добавляет в данный файл строку сообщения, переданную ей в качестве параметра. Концептуально данное решение напоминает программный интерфейс syslog в Linux.

Используйте функции fopen и fclose стандартной библиотеки C для открытия и закрытия файла соответственно. Вызывайте fwrite для добавления информации в файл. Также можно применять платформо-специфичекие функции (например, CreateFile под Windows) и методы объектов используемых фреймворков, инкапсулирующих функционал работы с файлами.