В Windows Vista включены две категории журналов событий: журналы Windows и журналы приложений и служб. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil. При управлении журналами событий с помощью средства командной строки wevtutil в выводимых сообщениях журналы событий могут быть названы каналами. В большинстве случаев журналы событий и каналы эквивалентны. Дополнительные сведения о журналах событий и каналах см. в разделе Журналы событий и каналы в Windows пакета разработки программного обеспечения (SDK) для журналов событий Windows в Интернете.
Журналы Windows
В категорию журналов Windows входят журналы, которые использовались в предыдущих версиях Windows: журналы приложений, безопасности и системы. В нее также входит два новых журнала: журнал установки и журнал пересылаемых событий. Журналы Windows предназначены для регистрации событий, поступающих от приложений прежних версий и событий, которые относятся к операционной системе.
Журнал приложений
В журнале приложений содержатся данные, относящиеся к работе приложений и программ. Например, программа управления базой данных может зарегистрировать событие о файловой ошибке в журнале приложений. События, регистрируемые в журнале приложений, определяются разработчиками соответствующих приложений.
Журнал безопасности
Журнал безопасности содержит такие события, как успешные и неуспешные попытки входа в систему, а также события, относящиеся к использованию ресурсов, такие как создание, открытие и удаление файлов и других объектов. Администраторы могут выбрать события, которые следует заносить в журнал безопасности. Например, если включен аудит входа в систему, сведения обо всех попытках входа в систему заносятся в журнал безопасности.
Журнал установки
В журнале установки содержатся данные, относящиеся к установке приложений.
Журнал системы
Журнал системы содержит события, записываемые системными компонентами Windows. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов в процессе загрузки системы. Типы событий, которые регистрируются компонентами системы, определены на уровне операционной системы.
Журнал пересылаемых событий
Журнал пересылаемых событий используется для хранения событий, собранных с удаленных компьютеров. Для сбора событий с удаленных компьютеров необходимо создать подписку на события. Сведения о создании подписок на события см. в разделе Подписка на события.
Журналы приложений и служб
Журналы приложений и служб представляют собой новую категорию журналов событий. В этих журналах хранятся события из отдельных приложений или компонентов, а не события, способные повлиять на работоспособность всей системы.
Эта категория журналов включает в себя четыре подкатегории: административный журнал, журнал операций, аналитический и отладочный журналы. События в административном журнале представляют интерес для ИТ-специалистов, использующих оснастку «Просмотр событий» для устранения неполадок. Записи о событиях в административном журнале содержат сведения о мерах, которые следует предпринять при возникновении соответствующих событий. События в журнале операций также представляют интерес для ИТ-специалистов, но могут требовать более серьезного изучения.
Административный журнал и журнал операций не предназначены для обычных пользователей. В аналитических журналах регистрируются события, которые сопутствуют какой-либо проблеме, и часто такие события регистрируются в больших количествах. Отладочные журналы используются разработчиками программного обеспечения при отладке приложений. Аналитические и отладочные журналы по умолчанию скрыты и неактивны. Для отображения этих журналов выполните процедуру в разделе Отображение и скрытие аналитического и отладочного журналов. Чтобы активировать указанные журналы, выполните процедуру в разделе Активация аналитического и отладочного журналов.
Административный журнал
События, содержащиеся в этом журнале, предназначены в первую очередь для конечных пользователей, администраторов и персонала технической поддержки. Кроме самого описания проблемы, административный журнал предоставляет администратору всеобъемлющую информацию о способах ее решения. Примером события в административном журнале является сбой подключения приложения к принтеру. Такие события либо подробно описаны в документации, либо с ними связаны сообщения с четкими инструкциями по устранению проблемы.
Журнал операций
Записи в этом журнале служат для анализа и диагностики проблем или событий. Они могут использоваться для запуска средств или задач при возникновении соответствующих проблем или событий. Примером события в журнале операций является добавление или удаление принтера из системы.
Аналитический журнал
В аналитическом журнале регистрируется большое количество событий. Они описывают работу программ и обозначают неполадки, которые не могут быть устранены пользователем.
Отладочный журнал
Отладочный журнал используется разработчиками программного обеспечения для устранения неполадок в программах.
Инфраструктура, основанная на XML
В Windows Vista полностью обновлена инфраструктура, обеспечивающая регистрацию событий. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.