Win XP - Problemy z dostępem do logów systemowych.pdf
(
59 KB
)
Pobierz
(Win XP - Problemy z dost\352pem do log\363w systemowych)
Problem z dostħpem do logw systemowych
1
KaŇdy, kto kiedykolwiek miaþ stycznoĻę z Windows NT, sþyszaþ na pewno o aplikacji "Event Log Viewer", czy teŇ "PodglĢd
zdarzeı". O przydatnoĻci owego narzħdzia dyskutowaę nie ma potrzeby. Jest to jedno z najwaŇniejszych narzħdzi kaŇdego
administratora.
IstniejĢ w systemie trzy rodzaje dziennikw:
- Aplikacji
Zapisywany w pliku %SYSTEMROOT%\System32\Config\AppEvent.evt
Umieszczane sĢ tu wpisy aplikacji dziaþajĢcych na danym komputerze,
- Systemu
Zapisywany w pliku %SYSTEMROOT%\System32\Config\SysEvent.evt
Umieszczane sĢ tu wpisy usþug systemowych dziaþajĢcych na danym komputerze,
- Zabezpieczeı
Zapisywany w pliku %SYSTEMROOT%\System32\Config\SecEvent.evt
Umieszczane sĢ tu wpisy dotyczĢce bezpieczeıstwa. Logowane informacje zaleŇĢ wyþĢcznie od konfiguracji systemu.
Czasami jednak zdarzyę siħ moŇe, iŇ Event Log Viewer odmwi posþuszeıstwa (komunikatem o zabronionym dostħpie do logw).
Pierwsza myĻl, jaka przychodzi do gþowy: "problem z prawami dostħpu" niekoniecznie musi byę wþaĻciwa, a przynajmniej w
przypadku logw.
IstniejĢ dwa najczħĻciej wystħpujĢce powody:
- banalny: rzeczywisty brak uprawnieı,
- powaŇny: uszkodzone pliki z logami.
Nie wnikajĢc w przyczyny uszkodzenia plikw z logami, warto poznaę jeden ze sposobw, w jaki problem ten moŇna najczħĻciej
rozwiĢzaę. Nie jest to rozwiĢzanie ani eleganckie, ani dobre z punktu widzenia administratora, jednak ale czasami jest to
rozwiĢzanie jedyne. Utrata dostħpu do logw jest kþopotliwa i niepoŇĢdana, a system niestety nie posiada
sam w sobie Ňadnych mechanizmw naprawczych. Nie pozostaje nic innego, jak tylko usuniħcie uszkodzonych plikw.
Niestety sprawa nie jest taka prosta, jak siħ wydaje.
Dlaczego? OtŇ systemowy proces "Eventlog" (Dziennik zdarzeı) otwiera pliki z logami w trybie wyþĢcznoĻci i ich usuniħcie nie
jest moŇliwe podczas pracy systemu.
JeĻli NT zainstalowano na partycji FAT, sprawa jest dziecinnie prosta:
- naleŇy zamknĢę system
- ponownie uruchomię komputer z uŇyciem dyskietki systemowej DOS/Win9x
- przejĻę do katalogu (np.: C:\Winnt\System32\Config) i skasowaę wszystkie pliki z rozszerzeniem *.evt
- po uruchomieniu systemu logi zostanĢ zaþoŇone od zera.
Voila! Po problemie.
Gorzej jest niestety w przypadku, gdy NT zainstalowano na NTFS - co jest raczej oczywiste w wypadku serwerw, a wþaĻciwie
powinno byę oczywiste oglnie w przypadku NT ;-) Prba z dyskietkĢ systemowĢ DOS/Win9x nie ma szans powodzenia z
powodu
braku obsþugi przez owe systemy formatu NTFS.
A gdyby tak wyþĢczyę usþugħ dziennika zdarzeı i wtedy skasowaę logi? RwnieŇ nic z tego :-(
Usþugi tej wyþĢczyę siħ nie da, a dokþadniej mwiĢc da siħ, ale nie z "menedŇera" usþug.
W sukurs przychodzi edytor rejestru. PoniŇej caþy "przepis":
- uruchomię edytor rejestru (regedt32)
- znaleŅę klucz HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog
- znaleŅę wartoĻę Start (REG_DWORD) i zmienię jej wartoĻę z 0x2 na 0x4
- zamknĢę edytor rejestru, przeþadowaę system
- przejĻę do katalogu (np.: C:\Winnt\System32\Config) i skasowaę wszystkie pliki z rozszerzeniem *.evt
- uruchomię edytor rejestru (regedt32)
- znaleŅę klucz HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog
- znaleŅę wartoĻę Start (REG_DWORD) i zmienię jej wartoĻę z 0x4 na 0x2
- przeþadowaę system.
PowyŇsze rozwiĢzania majĢ jednĢ - raczej kþopotliwĢ wadħ - tracone jest to, co byþo w starych logach.
Bywa jednak, iŇ pliki logw nie sĢ uszkodzone na tyle, aby byþy caþkowicie nieczytelne.
Objawia siħ to czasem komunikatem Dr. Watsonªa o bþħdzie w "services.exe" podczas prby odczytu danego logu. W razie, gdy
logi zawierajĢ bardzo waŇne informacje, moŇna podjĢę prbħ odzyskania choęby czħĻci ich zawartoĻci.
Aplikacja ta, obsþugiwana z konsoli, potrafi przetwarzaę logi zapisane w wewnħtrznym formacie dziennika zdarzeı do pliku
tekstowego, ktry nastħpnie moŇna dowolnie obrabiaę. Jest rwnieŇ moŇliwoĻę odczytania wpisw bezpoĻrednio z plikw.
Dokþadny opis parametrw znajduje siħ w pliku pomocy doþĢczonym do w/w archiwum.
2
Program DumpEvt moŇe pomc w zabezpieczeniu siħ w przyszþoĻci na ewentualnoĻę uszkodzenia logw.
PoniŇej zamieszczono przykþadowy plik wsadowy (dumplog.bat), pozwalajĢcy na okresowe "ĻciĢganie" logw z wybranych
komputerw (po potraktowaniu poleceniem AT). WczeĻniej naleŇy utworzyę katalog, gdzie trzymane bħdĢ logi (w przykþadzie
"c:\logs")
@ECHO OFF
CLS
IF NOT "%1"=="" GOTO DUMP
GOTO NOPARAM
:DUMP
IF "%1"=="" GOTO END
ECHO Zrzucam logi dla komputera: %1
FOR %%A in (app sys sec) DO dumpevt /logfile=%%A /computer=%1 /outfile=c:\logs\%1_%%A.csv >> c:\logs\error.txt
ECHO Gotowe!
ECHO.
SHIFT
GOTO DUMP
:NOPARAM
ECHO Nie podano parametrow!
ECHO Nalezy wywolac skrypt w postaci:
ECHO.
ECHO dumplog nazwa_komputera
ECHO.
ECHO Mozna podac maksymalnie 9 komputerow.
ECHO Nazwy nalezy oddzielic spacjami.
GOTO END
:END
PoniŇej adresy miejsc w sieci, ktre pomogþy w rozwiĢzaniu problemu z dostħpem do logw i wspomogþy przy pisaniu tego
artykuþu:
- http://is-it-true.org/nt/atips/index.shtml
- http://www.heysoft.de/nt/eventlog/faq.htm
Plik z chomika:
lezynski1
Inne pliki z tego folderu:
Poradnik komputerowy dla kazdego - wersja 3(2).7z
(18449 KB)
książki informatyczne(1).rar
(358523 KB)
Problemy z rozruchem windows.pdf
(745 KB)
Optymalizacja Windows.pdf
(3357 KB)
Porty w Windows.pdf
(337 KB)
Inne foldery tego chomika:
Pliki dostępne do 01.06.2025
Pliki dostępne do 19.01.2025
! Lektorat języka czeskiego - notatki (skany)
!!! Tiffany Thompson !!!
• Zbiór książek o INFORMATYCE
Zgłoś jeśli
naruszono regulamin