Войти
Идеи для бизнеса. Займы. Дополнительный заработок
  • Программы
  • Инвестирование
  • Книги и фильмы
  • Денежные приметы
  • Монеты и банкноты
  • Идеи бизнеса
  • Исполнительный директор. Обязанности и права. Обязанности исполнительного директора. Образец должностной инструкции Должностная инструкция исполнительного директора образец
  • Порядок применения дисциплинарных взысканий
  • Роль руководителя в инновационном управлении А должен ли директор преподавать
  • Управление стоимостью проекта на основе затрат
  • Использование тематических выставок в группе детского сада для социального развития дошкольников
  • Презентация к уроку "как помочь птицам зимой" Распилить я попросил
    • Идеи для бизнеса. Займы. Дополнительный заработок / Организация бизнеса / Включение и выключение записи событий в журнал. Мониторинг и оповещение о событиях в журналах Windows: триггеры событий

    Включение и выключение записи событий в журнал. Мониторинг и оповещение о событиях в журналах Windows: триггеры событий

    Включение и выключение записи событий в журнал. Мониторинг и оповещение о событиях в журналах Windows: триггеры событий

    Здравствуйте дорогие читатели, сегодня я хотел бы поговорить:

    1. О службах Windows , что это, для чего нужны и какие за что отвечают.

    2. И как же повысить быстродействия компьютера?

    И так что это за службы Windows?

    Службы — приложения, автоматически или вручную запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя различные задачи.

    Открыть список служб можно несколькими способами:

    1. Удерживая кнопку windows нажимаем R, откроется окно , там введите services.msc

    2. Пуск > Панель управления > Администрирование > Службы

    3. Пуск > правой кнопкой мыши по моему компьютеру > Управление > Службы и приложения > Службы

    Как видите в Windows их достаточно много и скачав , Вы можете ознакомиться какие службы существуют и за что каждая из них отвечает .

    Так как службы это приложения, следовательно они работают и используют часть ресурсов компьютера. можно повысить его быстродействие. Посмотрим что можно отключить.

    Какие службы можно отключить в Windows 7, 8

    Я не стал составлять список тех служб которые можно отключить, т.к. многие службы индивидуальны. Я просто постарался описать каждую службу и в каких ситуациях их можно отключить. Если вам нужно что-нибудь отключить бездумно, то просто воспользуйтесь .

    * BranchCache — Служба кэширует сетевое содержимое. Если не пользуетесь домашней сетью, то вообще можете отключить.

    * DHCP-клиент — Если пользуетесь интернетом не трогайте ни в коем случае. Именно эта служба присваивает вам ip адрес.

    * DNS-клиент Так же необходимая служба для использования интернета. Работает с вашими DNS (служит для правильных направлений).

    * KtmRm для координатора распределенных транзакций — системная функция транзакций. Её так же оставляем.

    * Microsoft .NET Framework — Все такие службы оставляем как есть. Они служат для нормальной работы большинства приложений.

    * Parental Controls — Служба для родительского контроля. Если не используете, можно отключить.

    * Plug-and-Play — служит для автоматического распознавания изменений в системе. Например когда вы подключаете флешку, просыпается эта служба… Так что оставляем как есть.

    * Quality Windows Audio Video Experience — передача аудио и видео по сети в режиме реального времени. Не нужна только если нет сети (или интернета) в остальных случаях оставляем.

    * Remote Desktop Configuration — Для удаленного рабочего стола. Если не пользуетесь удаленными подключениями, отключаем.

    * Superfetch — Полезная функция, работает с кэшем. Ускоряет работу Windows, так что оставляем.

    * Windows Audio — Управляет звуком. Если не нужен звук отключаем. В остальных случаях оставляем.

    * Windows CardSpace — ненужная и небезопасная служба. По этому отключаем.

    * Windows Driver Foundation — User-mode Driver Framework — для нормальной работы драйверов, не трогайте. Пусть остается как есть.

    * Windows Search — Индексирование файлов для поиска. Если не пользуетесь и есть время подождать пока найдется файл, то отключаем. На ssd обязательно отключаем!

    * WMI Performance Adapter — нужна для служб требующие wmi, ставим вручную. Если каким-то приложениям понадобятся, те сами запустят)

    * Автонастройка WWAN — служба для использования мобильного интернета. Если пользуетесь usb модемом, сим картой в ноуте, то не отключайте.

    * Автономные файлы — помогает работать, автономно с недоступными файлами, которые загрузились до этого. Ставим вручную.

    * Агент защиты сетевого доступа — Ставим вручную, т.к. при необходимости служба запустится, если какая-то программа запросит необходимую информацию.

    * А гент политики IPsec — Нужна при наличии сети и интернета.

    * Адаптивная регулировка яркости — Оставляем если есть датчик освещения.

    * Архивация Windows — Если не пользуетесь отключайте. Но лучше почитайте про архивацию в windows мало ли, будете пользоваться.

    * Биометрическая служба Windows — нужна лишь при использовании биометрических устройств. В остальных случаях отключаем.

    * Брандмауэр Windows — Я если честно всегда отключаю, т.к. воровать у меня нечего) А если и зашифруют данные, то восстановлю) Но вам посоветую обзавестись например касперским интернет секьюрити, которого есть и антивирус и брандмауэр. А этот отключите нафиг, т.к. он иногда блокирует что не нужно) Вообщем он следит за безопасностью вашего компьютера и закрывает порты, чтобы ворюги не смогли залезть к вам в компьютер)

    * Браузер компьютера Вдомашней сети не нужна. Вручную.

    * Веб-клиент — Нудна если нет интернета. Служит для работы с файлами в интернете. Оставляем.

    * Виртуальный диск — Служба для работы с запоминающими устройствами. Ставим вручную.

    * Вспомогательная служба IP — Работает с протоколом версии 6. Я всегда отключаю его самого, так что и службу можно вообще отключить.

    * Вторичный вход в систему — Ставьте вручную, т.к. некоторые игры или программы включат её по необходимости.

    * Группировка сетевых участников — Нужна для домашней группы. Ставьте вручную, мало ли понадобится…

    * Дефрагментация диска — В принципе она не мешает. Можете оставить или отключить. Если отключите, то рекомендую делать раз в месяц. А для ssd дисков, вообще отключаем!

    * Диспетчер автоматических подключений удаленного доступа — Ставим вручную. Нужна для удаленных подключений.

    * Диспетчер печати — Нужна если есть с чего печатать. В остальных случаях отключаем.

    * Диспетчер подключений удаленного доступа — вручную. Один раз вообще отключил и не смог создать подключение. Так что лучше вручную.

    * Диспетчер сеансов диспетчера окон рабочего стола — Если не используете прозрачность от Aero, то можно отключить, даст большой прирост.

    * Диспетчер удостоверения сетевых участников — Ставим лучше вручную.

    * Диспетчер учетных данных — Лучше вручную. Хранит ваши данные, например логины и пароли.

    * Диспетчер учетных записей безопасности — Лучше оставить как есть. Если отключить данную службу, то все изменения в локально политике безопасности пропадут.

    * Доступ к HID-устройствам — Доступ к быстрым клавишам. Отключите, если какие-то комбинации перестанут работать, то поставьте обратно.

    * Журнал событий Windows — записывает все события. Полезный инструмент для опытного пользователя. Отключить невозможно.

    * Журналы и оповещения производительности — системная служба, оставляем как есть.

    * Защита программного обеспечения — так же системная служба, оставляем как есть.

    * Защитник Windows — Защита от шпионских и вредных программ. Установите нормальный антивирус, а эту службу отключите.

    * Изоляция ключей CNG — Вручную.

    * Инструментарий управления Windows — Системная служба, без неё, некоторые приложения могут работать некорректно, так что лучше оставить.

    * Информация о совместимости приложений — Полезная штука, помогает запустится приложениям, которые отказываются работать на вашей ос. Ставим вручную.

    * Клиент групповой политики — Оставляем. Отвечает за настройками политики безопасности.

    * Клиент отслеживания изменившихся связей — Отслеживание файлов ntfs, не нужно. Отключаем.

    * Координатор распределенных транзакций — Ставим вручную.

    * Кэш шрифтов Windows Presentation Foundation — Ставим вручную. При необходимости её запустят приложения.

    * Ловушка SNMP — Некоторые программы будут собирать о вас информацию. Так что отключайте.

    * Локатор удаленного вызова процедур (RPC) — Вручную, при необходимости приложения её запустят.

    * Маршрутизация и удаленный доступ — Не нужна. Отключаем.

    * Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности — Не нужна, но лучше вручную.

    * Модуль запуска процессов DCOM-сервера — Системная служба, оставляем как есть.

    * Модуль поддержки NetBIOS через TCP/IP — Если нет других компьютеров в сети, то вручную.

    * Немедленные подключения Windows — регистратор настройки — Вручную.

    * Обнаружение SSDP — Оставьте как есть. Необходима для новых устройств.

    * Обнаружение интерактивных служб — Вручную.

    * Общий доступ к подключению к Интернету (ICS) — Не нужна, если вы не расшариваете ваш интернет в сетевых подключениях.

    * Определение оборудования оболочки — необходима для диалогового окна автозапуска диска или флешки. Кому как удобно, большинству это нужно. Я оставил.

    * Основные службы доверенного платформенного модуля — Нужно только для использования чипов ТМР и/или BitLocker.

    * Перенаправитель портов пользовательского режима служб удаленных рабочих столов — Если не используете удаленные соединения, то не нужно. Лучше поставьте вручную.

    * П еречислитель IP-шин PnP-X — Лучше поставить вручную.

    * Питание — Не отключается. Оставляем.

    * Планировщик заданий — Желательно оставить как есть, т.к. сейчас много программ его использует.

    * Планировщик классов мультимедиа — Оставляем, для кого важен звук.

    * Поддержка элемента панели управления «Отчеты о проблемах и их решениях» — Вручную.

    * Политика удаления смарт-карт — для пользователей смарт-карт, лучше вручную.

    * Поставщик домашней группы — Для использования домашних групп. Лучше вручную.

    * Проводная автонастройка — Вручную.

    * Программный поставщик теневого копирования (Microsoft) — Вручную.

    * Прослушиватель домашней группы — Вручную.

    * Протокол PNRP — Тоже оставляем вручную. Некоторые приложения могут использовать службу.

    * Публикация ресурсов обнаружения функции — Нужна если вы хотите показывать свои файлы другим компьютерам по сети. Если не хотите, то вручную или отключить.

    * Рабочая станция — лучше оставить, т.к. некоторые приложения задействуют данную службу.

    * Распространение сертификата — Лучше вручную.

    * Расширяемый протокол проверки подлинности (EAP) — Вручную.

    * Сборщик событий Windows — Вручную.

    * Сведения о приложении — Вручную.

    * Сервер — Если компьютер не используется как сервер или не использует общий доступ к файлам и принтерам, то отключайте.

    * Сервер упорядочения потоков — Отключаем если нет домашней группы.

    * Сетевой вход в систему — Вручную.

    * Сетевые подключения — Оставьте как есть. Если нет сети или интернета, то можете отключить.

    * Система событий COM+ — ставим вручную. Приложения зависящие от это службы сами её запустят при необходимости.

    * Системное приложение COM+ — Так же вручную.

    * Служба SSTP — Оставляем как есть, нужна служба если есть интернет на компьютере.

    * Служба автоматического обнаружения веб-прокси WinHTTP — Если нужен интернет, то оставьте как есть.

    * Служба автонастройки WLAN — служба для беспроводных сетей. Соответственно если их нет, она не нужна.

    * Служба базовой фильтрации — с одной стороны, она не нужна (если не нужна безопасность), но с другой, некоторые программы, могут выдавать ошибки. Так что оставляем.

    * Служба ввода планшетного ПК — если экран не сенсорный, то не нужна.

    * Служба времени Windows — нужна для синхронизации времени с интернетом.

    * Служба загрузки изображений Windows (WIA) — Нужна служба, только если есть сканер. Она отвечает за получение изображений со сканеров и камер.

    * Служба инициатора Майкрософт iSCSI — Ставим вручную, если программам понадобится, они сами её запустят.

    * Служба интерфейса сохранения сети — Нужна для нормальной работы сети.

    * Служба кэша шрифтов Windows — служит для повышения производительности, кэширует шрифты и не тратит время на загрузку.

    * С лужба медиаприставки Media Center — Если не используете никаких приставок, она не нужна.

    * Служба модуля архивации на уровне блоков — Ставим вручную. Если понадобится архивация или восстановление, то служба сама запуститься.

    * Служба общего доступа к портам Net.Tcp — По умолчанию выключена. Нужна если только понадобится протокол Net.Tcp.

    * Служба общих сетевых ресурсов проигрывателя Windows Media — Вручную. Понадобится, включится.

    * Служба перечислителя переносных устройств — Служит для синхронизации музыки, видео и т.д. со съемными носителями. Я бы поставил вручную. Не всегда это нужно.

    * Служба планировщика Windows Media Center — Нужна если только смотрите передачи в Windows Media Player.

    * Служба поддержки Bluetooth — Нужна если есть Bluetooth.

    * Служба политики диагностики — Нужна для диагностики неполадок… Она если честно помогает редко. По этому можете по-экспериментировать, отключив её. Если понадобится — включите.

    * Служба помощника по совместимости программ — служба нужна для запуска программ, несовместимый с вашей ОС. Если нет таковых поставьте вручную.

    * Служба профилей пользователей — Лучше оставить. Она работает с профилями пользователей компьютера.

    * Служба публикации имен компьютеров PNRP — Нужна для домашних групп.

    * Служба регистрации ошибок Windows — Регистрирует ошибки. Лучше поставить вручную.

    * Служба ресивера Windows Media Center — для просмотра телерадио передач в плеере.

    * Служба сведений о подключенных сетях — Лучше оставить как есть, для нормальной работы сети.

    * Служба списка сетей — Так же лучше оставить.

    * Служба уведомления SPP — Для лицензирования. Оставьте вручную.

    * Служба уведомления о системных событиях — Если не собираетесь смотреть сообщения Windows, то она вам не нужна.

    * Служба удаленного управления Windows (WS-Management) — Поставьте вручную.

    * Служба шифрования дисков BitLocker — Шифрует диски. Если не пользуетесь, то лучше отключите.

    * Служба шлюза уровня приложения — Служба нужна только для работы с брандмауэром. Вручную.

    * Службы криптографии — Для установки новых программ, лучше оставьте как есть.

    * Службы удаленных рабочих столов — Если не пользуетесь удаленными рабочими столами, то отключайте.

    * Смарт-карта — Если ими не пользуетесь, то она вам не нужна.

    * Сопоставитель конечных точек RPC — Служба нужна для входящего трафика. С ней ничего нельзя сделать. По этому оставляем.

    * Средство построения конечных точек Windows Audio — Если нужен звук, оставьте.

    * Телефония — Оставьте вручную. Если понадобится, запустится.

    * Темы — Едят много ресурсов памяти. Если не нужны, отключайте.

    * Теневое копирование тома — Создает точки восстановления, архивация в фоновом режиме. Поставьте вручную. Если нужно будет запустится.

    * Тополог канального уровня — Тоже вручную. Если понадобится, запустится.

    * Удаленный вызов процедур (RPC) — Системная служба. Оставьте как есть.

    * Удаленный реестр — Позволяет удаленным пользователям, манипулировать вашим реестром. Отключайте.

    * Удостоверение приложения — Вручную.

    * Узел системы диагностики — Диагностика проблем. Поставьте вручную.

    * Узел службы диагностики — Так же вручную.

    * Узел универсальных PNP-устройств — Ставьте вручную. Не все устройства PnP.

    * Управление приложениями — Ставьте вручную. Служба позволяет настроить политики для приложений.

    * Управление сертификатами и ключом работоспособности — Ставьте вручную, понадобится, запустится сама.

    * Установщик ActiveX — Так же вручную. Понадобится установить такой объект, она сама запустится.

    * Установщик Windows — Установка программ.msi. Вручную.

    * Установщик модулей Windows — Устанавливает и удаляет компоненты и обновления. Вручную.

    * Факс — Нужна если только есть факс.

    * Фоновая интеллектуальная служба передачи (BITS) — Оставляем вручную. Служба полезная.

    * Хост поставщика функции обнаружения — Оставляем вручную. Нужно будет запустится.

    * Цветовая система Windows (WCS) — Вручную. Нужна будет устройствам, запустят.

    * Центр обеспечения безопасности — Следит за безопасностью Windows. Меня она бесит со своими уведомлениями. Так что отключать или нет, выбирать вам.

    * Центр обновления Windows — С одной стороны полезная функция. Заделывает дыры в системе, обновляет драйвера, но с другой стороны, активно использует интернет, ресурсы памяти и если при обновлении выключить компьютер, может рухнуть ОС. Так что так же вам выбирать что важнее, безопасность или быстродействие.

    * Шифрованная файловая система (EFS) — Для безопасности файлов. Лучше оставьте как есть вручную.

    Я постарался представить весь список служб. Отключив некоторые, вы повысите быстродействие компьютера. Можно так же по своему усмотрению решить какие нужны, а какие нет. Например если нет интернета, то тут половину смело рубить можно, если нет принтера, то тоже можно много выключить. Таким образом в зависимости от ваших потребностей, можно существенно взбодрить старый компьютер.

    Операционная система Windows постоянно следит за всеми происходящими в системе событиями, записывая их в лог-файл. Данная информация может помочь в настройке системы, выявлении причин происходящих сбоев. Тем не менее, есть пользователи никогда не заглядывают в логи, поэтому на их компьютерах журнал событий может быть отключен.

    Инструкция

  • Для отключения журнала событий необходимо отключить соответствующую службу. Если вы работаете в операционной системе Windows XP, откройте: «Пуск» – «Панель управления» – «Администрирование» – «Службы». Найдите службу «Журнал событий» (Event log), откройте ее окно, кликнув мышкой по соответствующей строке. Остановка данной службы запрещена, но вы можете изменить тип запуска, выбрав опцию «Отключено». При следующей загрузке компьютера журнал событий не будет запущен.
  • В операционной системе Windows 7 журнал событий отключается точно так же – найдите в Панели управления «Администрирование» – «Службы» и измените тип запуска сервиса на «Отключено». Журнал событий будет работать до первой перезагрузки системы.
  • В большинстве случаев пользователи отключают некоторые службы для улучшения производительности компьютера и улучшения его безопасности. По умолчанию в ОС семейства Windows запущены многие службы, не нужные рядовому пользователю, их следует отключить. Например, если вы не собираетесь пользоваться удаленным помощником, отключите службу «Терминал». Если вы не хотите, чтобы кто-то редактировал системный реестр вашего компьютера, отключите службу «Удаленный реестр».
  • Если вы не синхронизируете системное время компьютера с сервером точного времени, отключите «Службу времени». Не пользуетесь wi-fi – отключите службу «Беспроводная настройка». Самостоятельно заботитесь о поддержании актуальном состоянии антивирусных баз и не нуждаетесь в напоминаниях – отключите «Центр обеспечения безопасности».
  • В том случае, если вы не собираетесь использовать ваш компьютер в качестве сервера и давать другим пользователям доступ к своим папкам и файлам, отключите службу «Сервер». Не собираетесь входить в систему от имени другого пользователя – отключите «Вторичный вход в систему». Отключив все эти службы, вы сможете увеличить скорость работы компьютера и повысите безопасность при работе в сети.

    • Здравствуйте Друзья! В этой статье рассмотрим журнал событий Windows 7 . Операционная система записывает практически всё, что с ней происходит в этот журнал. Просматривать его удобно с помощью приложения Просмотр событий, которое устанавливается вместе с Windows 7 . Сказать что записываемых событий много — ничего не сказать. Их тьма. Но, запутаться в них сложно так как все отсортировано по категориям.

    Благодаря журналу событий специалистам и простым пользователям гораздо легче найти ошибки и исправить ее. Говоря легче я не имел в виду легко. Практически всегда для исправления повторяющейся ошибки придется сильно пользоваться поиском и перечитать кучу материала. Иногда это стоит того, чтобы избавиться от нестандартного поведения операционной системы.

    Чтобы операционная система успешно заполняла журналы событий необходима чтобы работала служба Журнал событий Windows за это отвечающая. Проверим запущена ли эта служба. В поле поиска главного меню Пуск ищем Службы

    Находим службу Журнал событий Windows и проверяем Состояние — Работает и Тип запуска — Автоматически

    Если у вас эта служба не запущена — дважды кликаете на ней левой мышкой и в свойствах в разделе Тип запуска выбираете Автоматически. Затем нажимаете Запустить и ОК

    Служба запущена и журналы событий начнут заполняться.

    Запускаем утилиту Просмотр событий воспользовавшись поиском из меняю Пуск

    Утилита по умолчанию имеет следующий вид

    Многое здесь можно настроить под себя. Например с помощью кнопок под областью меню можно скрыть или отобразить Дерево консоли слева и панель Действия справа

    Область по центру внизу называется Областью просмотра. В ней показываются сведения о выбранном событии. Ее можно убрать сняв соответствующую галочку в меню Вид или нажав на крестик в правом верхнем углу области просмотра

    Главное поле находится по центру вверху и представляет из себя таблицу с событиями журнала который вы выбрали в Дереве консоли. По умолчанию отображаются не все столбцы. Можно добавить и поменять их порядок отображения. Для этого по шапке любого столбца жмем правой мышкой и выбираем Добавить или удалить столбцы…

    В открывшемся окошке в колонку Отображаемые столбцы добавляете необходимые столбики из левого поля

    Для изменения порядка отображения столбцов в правом поле выделяем нужный столбец и с помощью кнопок Вверх и Вниз меняем месторасположение.

    Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов . Приведу скриншот. Для увеличения нажмите на него.

    Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

    На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

    Журналы событий

    Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.

    У журналов так же есть свои Свойства. Чтобы их посмотреть жмем правой кнопкой мышки на журнале и в контекстном меню выбираем Свойства

    В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт

    Так же установлена галочку Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.

    В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, чтобы можно было в случае нештатной ситуации отследить когда началась неисправность.

    Работа с журналами событий Windows 7

    Работа заключается в сортировке, группировке, очистке журналов и создании настраиваемых представлений для удобства нахождения тех или иных событий.

    Выбираем любой журнал. Например Приложение и в таблице по центру кликаем по шапке любого столбца левой кнопкой мышки. Произойдет сортировка событий по этому столбцу

    Если вы еще раз нажмете то получите сортировку в обратном направлении. Принципы сортировки такие же как и для проводника Windows . Ограничения в невозможности выполнить сортировку более чем по одному столбцу.

    Для группировки событий по определенному столбцу кликаем по его шапке правой кнопкой мышки и выбираем Группировать события по этому столбцу. В примере события сгруппированы по столбцу Уровень

    В этом случае удобна работать с определенной группой событий. Например с Ошибками. После группировки событий у вас появится возможность сворачивать и разворачивать группы. Это можно делать и в самой таблице событий дважды щелкнув по названию группы. Например по Уровень: Предупреждение (74).

    Для удаления группировки необходимо снова кликнуть по шапке столбца правой кнопкой мышки и выбрать Удалить группировку событий.

    Очистка журнала

    Если вы исправили ошибки в системе приводившие к записи событий в журнале, то вероятно вы захотите очистить журнал, чтобы старые записи не мешали диагностировать новые состояния компьютера. Для этого нажимаем правой кнопкой на журнале который нужно очистить и выбираем Очистить журнал…

    В открывшемся окошке мы можем просто очистить журнал и можем Сохранить его в файл перед очищением

    Настраиваемые представления

    Настроенные сортировки и группировки пропадают при закрытии окошка Просмотр событий. Если вам приходится часто работать с событиями то можно создать настраиваемые представления. Это определенные фильтры которые сохраняются в соответствующем разделе дерева консоли и никуда не пропадают при закрытии Просмотра событий.

    Для создания настраиваемого представления нажимаем на любом журнале правой кнопкой мышки и выбираем Создать настраиваемое представление…

    В открывшемся окошке в разделе Дата выбираем из выпадающего списка диапазон времени за который нам нужно выбирать события

    В разделе Уровень события ставим галочки для выбора важности событий.

    Мы можем сделать выборку по определенному журналу или журналам или по источнику. Переключаем радиобокс в нужное положение и из выпадающего списка устанавливаем необходимые галочки

    Можно выбрать определенные коды событий чтобы они показывались или не показывалась в созданном вами представлении.

    Когда все параметры представления выбрали жмем ОК

    В появившемся окошке задаем имя и описание настраиваемого представления и жмем ОК

    Для примера создал настраиваемое представление для Ошибок и критических событий из журналов Приложение и Безопасность

    Это представление в последствии можно редактировать и оно никуда не пропадет при закрытии утилиты Просмотр событий. Для редактирования нажимаем на представлении правой кнопкой мышки и выбираем Фильтр текущего настраиваемого представления…

    В открывшемся окошке делаем дополнительные настройки в представлении.

    Можно провести аналогию Настраиваемого представления с сохраненными условиями поиска в проводнике Windows 7.

    Заключение

    В этой статье мы рассмотрели журнал событий Windows 7. Рассказали про практически все основные операции с ним для удобства нахождения событий об ошибках и критических событий. И тут возникает закономерный вопрос — «А как же исправлять эти ошибки в системе». Здесь все сильно сложнее. В сети информации мало и поэтому возможно придется затратить уйму времени на поиск информации . Поэтому, если работа компьютера в целом вас устраивает, то можно этим не заниматься. Если же вы хотите попробовать поправить смотрите видео ниже.

    Так же с помощью журнала событий можно провести диагностику медленной загрузки Windows 7 .

    Буду рад любым комментариям и предложениям.

    Из четырех предыдущих статей, которые посвящены локальным политикам безопасностям, вы уже научились многим методам обеспечения безопасности рабочих мест ваших пользователей. Вы знаете, как можно задать ограничения на пароли учетных записей, управлять политиками аудита, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей, а также научились определять, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Почти всю информацию об ошибках, произошедших на компьютерах пользователей вашей организации можно узнать из журналов событий. С оснасткой «Просмотр событий» вы можете ознакомиться из , посвященных данному средству. В этой статье вы узнаете о централизованном управлении настроек журналами событий компьютеров вашей организации, используя локальные политики безопасности.

    Политики журналов событий

    Задать настройки журналов событий вы можете при помощи четырех политик безопасности, предназначенных для трех основных журналов - журнала безопасности, журнала приложений, а также системного журнала. Ниже вы узнаете обо всех локальных политиках безопасности, используя которые вы можете управлять журналами событий ваших пользователей. Для того чтобы перейти к настройке политик журналов событий, в редакторе управления групповыми политиками откройте узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Журнал событий . Политики журналов событий вы можете увидеть на следующей иллюстрации:

    Рис. 1. Узел «Журнал событий»

    Рассмотрим подробно каждую политику данного узла:

    Запретить доступ для локальной группы гостей к журналу безопасности . Данная политика безопасности может быть применена только к операционным системам, которые предшествуют Windows Vista. Применяется данная политика с целью ограничения локальной группы гостей, использующих анонимный вход в систему для журнала безопасности в операционных системах Windows XP и Windows 2000

    Запретить доступ для локальной группы гостей к журналу приложений . Действия этой политики безопасности аналогичны политике «Запретить доступ для локальной группы гостей к журналу безопасности» . Эта политика отличается от предыдущей только тем, что используя параметры текущей политики, вы можете ограничить гостевых пользователей в доступе к журналу «Приложения» . По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP - включена.

    Запретить доступ для локальной группы гостей к системному журналу . Текущая политика безопасности также как и две предыдущих политики, позволяет пользователям операционных систем Windows XP и Windows 2000 запрещать локальным гостям с анонимным входом в систему иметь доступ к журналу «Система» . По умолчанию, для клиентов, использующих операционную систему Windows 2000, данная политика отключена, а для пользователей Windows XP - включена.

    Максимальный размер журнала безопасности . В одной из статей посвященных управлению журналами событий я рассказывал о том, как вы можете изменить максимальный размер различных журналов при помощи графического интерфейса или командной строки. Если вам нужно указать максимальный размер определенного журнала для целой группы пользователей, то вы можете упростить себе эту задачу и воспользоваться текущей политикой безопасности. Эта политика безопасности позволяет указывать максимальный размер журнала «Безопасность». Максимальный размер журнала может достигать 4 Гб, но обычно указывают максимальный размер не более 500 Мб. Ограничение размера журнала безопасности может привести к затиранию важных событий, так как по достижению порогового объема, у вас будут удаляться самые старые события, и вместо них будут записываться новые. Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение, не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ. Обычно, есть смысл увеличивать размер журнала событий только в том случае, если есть необходимость в тщательной обработке событий безопасности и сохранении журнала на протяжении длительного периода времени. По умолчанию в операционной системе Windows 7 и Windows Vista размер журнала безопасности составляет 20 Мб, в Windows Server 2008 и Windows Server 2008 R2 - 128 Мб, для операционных систем Windows Server 2003 - 16 Мб, а Windows XP - 8 Мб.

    Максимальный размер журнала приложений . Настройки этой политики безопасности идентичны настройкам предыдущей политики за исключением того, что здесь вы можете указать максимальный размер журнала «Приложения» для компьютеров и пользователей на которых будет распространена область действия объекта групповой политики.

    Максимальный размер системного журнала . От предыдущих двух политик безопасности данная политика отличается лишь тем, что она отвечает за максимальный размер журнала «Система» .

    Метод сохранения событий в журнале безопасности . Данная политика безопасности напрямую связана с политиками и в связи с тем, что эта политика отвечает за перезапись журнала безопасности по превышению установленного лимита на размер. Для вас доступно одно из трех значений. При выборе значения «Затирать события по необходимости» , по истечению свободного места в журнале, все старые события будут удаляться, и перезаписываться новыми. Обычно это значение используется в том случае, если у вас нет необходимости в архивировании событий указанного журнала. Значение «Затирать события по дням» целесообразно использовать в том случае, если у вас выполняется архивирование журнала по заданному промежутку времени, которое указывается при помощи политики «Сохранять события в журнале безопасности» . В этом случае будут удаляться все события в данном журнале по истечении указанного срока. Также в этом случае стоит обратить внимание на то, чтобы максимальный размер журнала позволял вам сохранять все события за указанный промежуток времени. Значение обычно используется в том случае, когда есть необходимость в сохранении всех событий непосредственно в журнале. Но стоит учесть, что после того как журнал достигнет максимального размера, все новые события будут просто отклоняться.

    Метод сохранения событий в журнале приложений . Параметры этой политики безопасности идентичны настройкам предыдущей политики за исключением того, что здесь вы можете указать настройки сохранения событий для журнала «Приложения»

    Метод сохранения событий в системном журнале . Эта политика безопасности предназначена для настройки сохранения событий в журнале «Система» .

    Сохранять события в журнале безопасности . Текущая политика безопасности определяет, как долго могут сохраняться события в журнале «Безопасность» в том случае, если для политики указано значение «Затирать события по дням» . Помимо этого вам нужно убедиться в том, что размер вашего журнала позволяет сохранять события за указанный промежуток времени, так как после достижения журналом максимального размера, все новые события будут просто отклоняться.

    Сохранять события в журнале приложений . Эта политика безопасности предназначена для определения количества дней, на протяжении которых в журнале «Приложения» будут сохраняться события.

    Сохранять события в системном журнале . Параметры этой политики безопасности идентичны настройкам предыдущих двух политик за исключением того, что здесь вы можете указать период времени хранения событий для журнала «Система» компьютеров и пользователей, на которых будет распространена область действия объекта групповой политики.

    Примеры использования политик журналов событий

    Разберемся с настройками политик безопасности журналов событий на живом примере. В этом примере мы определим настройки журналов событий «Приложения» , «Безопасность» и «Система» для группы «Бухгалтерия» организации. Предположим, что в вашем отделе бухгалтерии все компьютеры оснащены операционными системами Windows Vista и Windows 7, в связи с чем, параметры политики «Запретить доступ для локальной группы гостей к журналу …» не будут задействованы. Выполните следующие действия:

    1. На контроллере домена создайте группу безопасности «Бухгалтерия» и поместите ее в подразделение «Группы» ;
    2. Откройте консоль , где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
    3. В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите , после чего нажмите кнопку «ОК» ;
    4. Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить» , как показано на следующей иллюстрации:

      Рис. 2. Изменение «Политики журналов событий для отдела бухгалтерии»

    5. В появившемся окне разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности/Журнал событий и выберите политику «Максимальный размер журнала безопасности» ;
    6. В диалоговом окне «Свойства: Максимальный размер журнала безопасности» установите флажок и в соответствующем текстовом поле установите значение в 30 МБ, что равняется 30720 КБ, как показано ниже:

      Рис. 3. Настройка максимального размера журнала безопасности

    7. Предположим, что в отделе безопасности установлены надежные пароли, назначены все необходимые права для пользователей этой группы и у вас нет необходимости в аудите журналов безопасности этого отдела. Откройте свойства политики «Метод сохранения событий в журнале безопасности» . В диалоговом окне свойств политики установите флажок «Определить следующий параметр политики» и выберите значение «Затирать старые события по необходимости» . Теперь, по достижении 30 Мб самые старые события в журналах безопасности отдела бухгалтерии будут перезаписываться новыми;

      Рис. 4. Настройка метода сохранения событий в журнале безопасности

    8. Для журналов приложений группы бухгалтерии регистрируется не очень много событий, поэтому в настройках политики «Максимальный размер журнала приложений» укажем значение 25600 КБ, что равняется 25 МБ;
    9. Вы не хотите, чтобы журнал «Приложения» для отдела бухгалтерии вашей организации перезаписывался, но не ведете его архивацию. Допустим, вы периодически его просматриваете и очищаете вручную. Для этого в политике «Метод сохранения событий в журнале приложений» установите значение «Не затирать события (чистка журнала вручную)» . Но вам необходимо учесть, что если вы не будете самостоятельно чистить данный журнал, то, в конечном счете, новые события не будут фиксироваться в журналах приложений отдела бухгалтерии;
    10. Последний журнал, который вам предстоит настроить - это журнал «Система» . В политике «Максимальный размер системного журнала» установите размер 20 МБ, что является 20480 КБ;
    11. По требованиям безопасности вашей организации вам необходимо создавать архивные копии системных журналов для всех групп безопасности. Поэтому в политике «Метод сохранения событий в системном журнале» выберите значение «Затирать старые события по дням» . По нажатию на кнопку «ОК» перед вами будет отображен диалог «Предлагаемые изменения значений» , в котором указывается, что для политики «Сохранять события в системном журнале» будет установлено значение 7 дней. Это значение как раз соответствует требованиям по архивации системного значения и по нажатию закрытия данного диалога не будет необходимости в редактировании этой политики безопасности;

      Рис. 5. Предлагаемые изменения значений политики «Сохранять события в системном журнале»

    12. По окончанию настроек политик журналов событий, содержимое оснастки «Редактор управления групповыми политиками» будет выглядеть следующим образом:

      Рис. 6. Настроенные политики журналов событий

      Закройте данную оснастку.

    13. После закрытия оснастки «Редактор управления групповыми политиками» вам нужно привязать отредактированный объект групповой политики к группе безопасности «Бухгалтерия» . Для этого в оснастке «Управление групповой политикой» выберите контейнер «Группы» , нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики…» . В диалоговом окне «Выбор объекта групповой политики» выберите объект «Политики журналов событий для отдела бухгалтерии» и нажмите на кнопку «ОК» ;

      Рис. 7. Выбор привязываемого объекта групповой политики

    14. Разверните подразделение «Группы» , выберите объект «Политики журналов событий для отдела бухгалтерии» и на вкладке «Область» , и в области «Фильтры безопасности» удалите фильтр «Прошедшие проверку» . После этого нажмите на кнопку «Добавить» и выберите группу «Бухгалтерия» , которая заранее была создана;
    15. Перейдите на клиентские машины и обновите групповые политики, используя команду Gpupdate ;

    Заключение

    В этой статье я продолжил описание локальных политик безопасности, которые помогут максимально защитить клиентские компьютеры вашей организации средствами групповых политик. Вы узнали о настройках политик журналов событий, при помощи которых вы можете задавать максимальный размер, выбирать метод сохранения событий, а также определять период времени, на протяжении которого события будут сохраняться в трех основных журналах. В предоставленном примере была проиллюстрирована процедура применения данных политик. В следующей статье вы узнаете о назначении параметров безопасности политик групп с ограниченным доступом, системных служб, реестра, а также файловой системы.

    Запись событий в журнал доступна только для операций с файлами на съемных дисках.

    Чтобы включить или выключить запись событий в журнал, выполните следующие действия:

    1. Откройте окно настройки параметров программы .
    2. В левой части окна в разделе Контроль безопасности выберите подраздел Контроль устройств .

      В правой части окна отобразятся параметры компонента Контроль устройств.

    3. В правой части окна выберите закладку Типы устройств .

      На закладке Типы устройств находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

    4. Выберите в таблице устройств Съемные диски .

      В верхней части таблицы станет доступной кнопка Запись событий в журнал .

    5. Нажмите на кнопку Запись событий в журнал .

      Откроется окно .

    6. Выполните одно из следующих действий:
      • Если вы хотите включить запись событий об операциях записи и удаления файлов на съемных дисках, установить флажок .

        Kaspersky Endpoint Security будет сохранять событие в файл журнала и отправлять сообщение на Сервер администрирования Kaspersky Security Center, когда пользователь совершает операции записи или удаления с файлами на съемных дисках.

      • В противном случае снимите флажок Включить запись событий в журнал .
    7. Укажите, информация о каких операциях должна записываться в журнал. Для этого выполните одно из следующих действий:
      • Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал все события, установите флажок Сохранять информацию обо всех файлах .
      • Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал только информацию о файлах определенного формата, в блоке Фильтр по форматам файлов установите флажки напротив нужных форматов файлов.
    8. Укажите, о действиях каких пользователей Kaspersky Endpoint Security будет формировать события журнала. Для этого выполните следующие действия:
      1. В блоке Пользователи нажмите на кнопку Выбрать .

        Откроется стандартное окно Microsoft Windows Выбор пользователей или групп .

      2. Задайте или измените список пользователей и / или групп пользователей.

      Когда пользователи, указанные в блоке Пользователи , будут производить запись в файлы, расположенные на съемных дисках, или удалять файлы со съемных дисков, Kaspersky Endpoint Security будет сохранять информацию о совершенной операции в журнал событий и отправлять сообщение на Сервер администрирования Kaspersky Security Center.

    9. Нажмите на кнопку ОК в окне Параметры записи событий в журнал .
    10. Нажмите на кнопку Сохранить , чтобы сохранить внесенные изменения.

    Вы можете просмотреть события, связанные с файлами на съемных дисках, в Консоли администрирования Kaspersky Security Center в рабочей области для узла Сервер администрирования на закладке События . Чтобы события отображались в локальном журнале событий Kaspersky Endpoint Security, требуется установить флажок Выполнена операция с файлом в параметрах уведомлений для компонента Контроль устройств.

    Материалы по теме:
    Карта сайта