Всё тайное становится явным

Все о логах в Windows

Скрыпников Сергей 'aka' Slam
www.xakep.ru

Часто бывает так, что при работе с какой-либо программой, да или при работе самой ОС вроде бы все работает, но что-то не получается сделать, ну или, хуже всего, когда вообще не работает, при этом программа никакой информации тебе об этом не выдает. Некоторым индивидам приходится только догадываться в чем может быть дело, но это не относится к тебе, ведь ты читаешь наш журнал, а наш журнал самый журнальный журнал в мире…

Немного теории

Логи — это не что-то страшное и сильно запутанное, не бойся. Это всего лишь такие файлы, в которые программа обычно записывает результат своих удачных\неудачных действий (да, кстати, иногда вместо слова «лог» употребляют слово «протокол», не путать с «протоколом TCP/IP» и т.п.). Что же в логах такого замечательного? Дело в том, что они предназначены как раз для тех случаев, когда тебе необходимо проанализировать результаты работы какой-либо программы (как вариант — работу самой ОСи) или найти причину неполадок. Программа, ведущая лог, пишет данные в файл при выполнении каких-то действий и/или при наступлении какого-то события, причем, данные эти сохраняются на диске даже в случае, если подопытный кролик безвозвратно повис. Ну а как ты понимаешь, потом можно все это дело обработать (можно головой и руками, а можно специальными программами) и выявить причину того, почему же любимая ОСь глючит именно на том месте, когда ты хочешь открыть заветную папку my_porno :).

Начинаем следить

Как ты уже догадался, начнем с Win2k.

Чтобы посмотреть, где хранит свои логи Win2k нужно проделать следующие действия, — Свойства «Мой компьютер» -- «Управление» -- «Просмотр событий». Увидишь три журнала — «Приложение», «Безопасность», «Система». Состав регистрируемых событий определяется правилами, заданными в политиках аудита («Локальные параметры безопасности» -- «Локальные политики» -- «Политика аудита»).

Если захочешь определить тип (имя/местоположение) файла журнала, то тебе нужно: клик правой кнопкой в журнале и выбор из контекстного меню «Сохранить как» или «Открыть». Сразу становится видно расширение файла — .evt (учи английский, и будешь знать, что это сокращение от event-событие). Ну а затем, простой поиск по системному разделу очень быстро покажет, что 3 стандартных файла:

Sys--\
Sec --> Event.evt
App--/

лежат в папке %windir%\system32\config.

Теперь ты знаешь, где располагаются три основных файла, которые фиксируют самые основные события в системе. Остальные логи могут находится практически в любом месте, но обязательно порыскай тут: %windir%, system32, config, security (логи системы безопасности — инсталляция, настройка, изменения). Протоколы удаленного доступа лежат тут — %windir%/system32/ras.

В WIN2000 есть возможность включить ведение логов по трассировке. Включается в — Управление Компьтером / Оповещение и журналы производительности. После включения ведения журнала логов создаётся папка PerfLogs\ и в ней располагается файл с расширением *.etl, в котором есть нужная тебе информация. У тебя может возникнуть такая проблема, что стандартными средствами ты его не просмотришь, тогда придется скачать что-нибудь из интернета, я, например, извратился и скачал PowerSettings.

Довольно-таки удобно поработать

Так же в Windows 2000 можно контролировать через реестр лог DHCP, чтобы его изменения не привели к возможным сбоям в системе, ключи контроля расположены в HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ DHCPServer\ Parameters

Имя	Тип	Объяснение
DhcpLogFilePath	REG_SZ	Раздел и директория для хранения логов. Убедись, что пишешь правильный путь
DhcpLogMinSpaceOnDisk	REG_DWORD	Если свободного места на диске меньше указанного здесь числа (в мегабайтах) запись логов будет приостановлена.
DhcpLogDiskSpaceCheckInterval	REG_DWORD	Сколько раз будут осуществляться записи в контрольный журнал перед проверкой на свободное дисковое пространство
DhcpLogFileMaxSize	REG_DWORD	Максимальный размер логов (в мегабайтах). По умолчанию - 7 Mb

Просто логи :)

Если у тебя часто возникают проблемы при загрузке Windows(опять же на помощь приходят логи), то делай так при загрузке Win9x выбирай пункт «2. Logged (\BOOTLOG.TXT)». Теперь ОС создаст файл C:\logged.txt, в который запишет лог процесса начальной загрузки. Его можно просмотреть в текстовом редакторе, или лучше всего анализатором лога начальной загрузки (например, скачать здесь: www.vision4.dial.pipex.com) для определения места сбоя. В Windows 2000/XP можно воспользоваться системной утилитой Просмотр событий (Event Viewer) (Пуск -> Выполнить -> eventvwr.msc или Пуск -> Панель управления -> Администрирование -> Просмотр событий).

Чтобы было легче просматривать логи есть такая возможность «ужать-раздвинуть» все ячейки таблички по их содержимому нажатием «CTRL»+«+». Например, зайти в Windows в любой лог, если там все записи в своих ячейках умещаются, то изменить их размер так, чтобы не умещались (ну это для примера, конечно :), а потом нажать «Ctrl»+«Grey+».

Если ты часто пользуешься модемом (не или просто по долгу службы часто просматриваешь лог файлы) :), то тебе пригодится прога ModemLog, вот ее основные возможности:

Гибкая настройка формата log файла. Ты можешь использовать — ModemLog для обработки log файлов от нескольких разных программ.
Печать итоговой информации и списка звонков (соответственно и любого другого лога :)).

Ссылку на скачивание давать не буду, так как нарыл софт у себя на винте, но, думаю, тебе не составит проблем найти ее в интернете.

Вот некоторые файлы в Windows, по которым можно многое узнать о твоей деятельности

C:\Windows\Aplication\Microsoft\Outlook Express\Mail\*.idx — почта (естественно, если ты пользуешься OE).
C:\Windows\Aplication\Microsoft\Outlook Express\News\*.nch — новости.
C:\Windows\Cookies\*.* — cookie.
C:\Windows\Temporary Internet Files\*.* — хранит все места где ты был в Интернет.
C:\Windows\Local Settings\Temporary Internet Files\*.* — хранит все места где ты был в Интернет.
C:\Windows\History\ — открытые страницы.
С:\Windows\Favorites(Избранное)\ — файлы закладок Интернет.
C:\Windows\*.pwl — пароли к Dial-up. (особенно чужие).
С:\Windows\Profiles\твойлогин\ — установки пользователей.
C:\Windows\Applog — папка логов, различных утилит и программ.
C:\Windows\SchedLog.txt — график работ.
С:\Windows\user.dat — параметры пользователя.
С:\Windows\user.da0 — копия.

Вот такие обычные логи…

Windows 98 позволяет вести логи по ошибкам, произошедшим в операционной системе. По умолчанию эта возможность выключена. Чтобы включить ее, надо в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows\ Current Version\ Fault создать строковый параметр LogFile, в значении которого надо прописать полный путь и название лог-файла ошибок.

Есть возможность отключения создания логов в директории APPLOG в Windows 98. Это нyжно для встроенного дефpагментатоpа. Там есть файл OPTLOG.TXT в котором записывается какие пpогpаммы сколько pаз запyскались. Для отключения надо убрать из автозагpyзки (в pеестpе) TASKMON.EXE.

Не желаешь посмотреть, сколько чего раз запускал? :)

Размер данной статьи не позволяет мне в полной мере написать тебе про все логи, которые есть в Windows. Но, ты уже не маленький, и поработаешь немного сам, запускай «Поиск» и вводи для поиска *.log или *log.*, теперь просматривай все файлы, которые найдены в %windir% и, если найдешь что-то стоящее, то пиши мне, вместе покумекаем.