Журнал событий
октября 12 2009 by admin in АдминистрированиеС точки зрения системного администратора журнал событий — это просто список сообщений системы или приложения. Этот список разделен на логические группы —регистрационные файлы (или журналы). Набор таких файлов называется журналом событий (event log). Окном в мир журнала событий для системного администратора служит модульный компонент Event Viewer из состава Microsoft Management Console (ММС), устанавливаемой вместе с Windows 2000. Чтобы открыть Event Viewer, нужно щелкнуть кнопку Start, выбрать пункт Programs, указать на Administrative Tools и выбрать Event Viewer. Запустить Event Viewer можно также, выбрав Computer Management в Administrative Tools. Ниже показан модульный компонент Event Viewer, запущенный в Computer Management.
Узел Event Viewer в ММС содержит несколько регистрационных файлов. Если выбрать один из них, в правой панели будет показан список событий, сохраненных в этом файле. Дважды щелкнув событие, вы получите о нем подробную информацию. Ее мы обсудим позже — изучив назначение регистрационных файлов.
По умолчанию журнал событий системы состоит из трех регистрационных файлов: Application, System и Security. Приложения могут добавлять в него и свои журналы, однако, как правило, нужды в этом нет. Если вы решили вести свой регистрационный файл, вы должны сообщить об этом модульному компоненту Event Viewer, выделив на левой панели узел Event Viewer и выбрав в меню Action пункт Open Log File. В появившемся диалоговом окне Open можно открыть регистрационный файл. Чтобы файл можно было просмотреть в Event Viewer, он должен содержать информацию минимум об одном событии.
Ниже описаны три стандартных регистрационных файла. Так как тема этой книги — создание серверных приложений, наибольший интерес для нас представляет файл Application.
Теперь пора изучить записи о зарегистрированных событиях. Событие представляет собой запись в регистрационном файле, состоящую из нескольких информационных полей, среди которых тип события, дата и время генерации, дата и время записи, источник события, категория события, идентификатор события, пользователь и система . Кроме того, каждое событие может содержать подробное текстовое описание, с событием также можно связать двоичные данные.
Смысл большинства полей ясен из их названия, однако некоторые из них (например, источник события, идентификатор события, категория события и тип события) заслуживают подробного описания.
Источником события является приложение, служба или системный компонент, сообщающие о событии. Обычно между источником события и сообщающим агентом существует отношение «один к одному». Однако код, сообщающий о событии, сам определяет его источник, поэтому одно приложение может считаться разными источниками. Точно так же разные приложения могут считаться одним источником. Windows не вносит никаких ограничений в этот процесс.
Идентификатор события — это определяемое источником значение, обозначающее некоторый тип событий. Источник и идентификатор события позволяют определить любое событие. Так, для службы Browser идентификатор события 8021 соответствует сообщению «The browser was unable to retrieve a list of servers from the browser master
Категория события — необязательная определяемая источником категория, к которой относится событие. Это поле незаменимо для приложений и системных компонентов, сообщающих о большом количестве разнотипных событий, которые с его помощью можно разделить на логические группы.
Вы должны решить, нужна ли вашим программам информация о категории событий. Если источник событий будет игнорировать такие данные, компонент Event Viewer не будет сообщать о категориях событий из этого источника.
Событие может относиться к одному из пяти определенных системой типов . Тип события выбирает ПО, сообщающее о событии.