Свойства событий

Источник

Программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «SQL Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II.

Код события

Число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий». Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок.

Уровень

Уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности.

• Сведения. Обозначает изменение в приложении или компоненте, такое как успешное выполнение операции, создание ресурса или запуск службы.
  
  
• Предупреждение. Обозначает неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания.
  
  
• Ошибка. Обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие.
  
  
• Критическая ошибка. Обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически.
  
  

В журнале безопасности события могут иметь следующие уровни важности.

• Аудит успехов. Обозначает успешное применение права пользователя.
  
  
• Аудит отказов Обозначает сбой применения права пользователя.
  
  

В обычном представлении списка оснастки «Просмотр событий» тип события представлен соответствующим значком.

Пользователь

Имя пользователя, от имени которого возникло данное событие. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса.

Рабочий код

Содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие.

Журнал

Имя журнала, в который было записано данное событие.

Категория задачи

Указывает на подкомпонент или действие источника события.

Ключевые слова

Набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден».

Компьютер

Имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.

Дата и время

Дата и время регистрации данного события в журнале.

ИД процесса

Идентификационный номер процесса, создавшего данное событие.

ИД потока

Идентификационный номер потока, создавшего данное событие.

ИД процессора

Идентификационный номер процессора, обработавшего событие.

Код сеанса

Идентификационый номер сеанса на сервере терминалов, в котором произошло событие.

Время работы в режиме ядра

Время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП.

Время работы в пользовательском режиме

Время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП.

Загруженность процессора

Время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.

Код корреляции

Определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями.

ИД относительной корреляции

Определяет относительное действие в процессе, для которого используется событие.