Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
1. Prístup k prehliadaču udalostí:
* Metóda 1 (vyhľadávanie): Do panela Windows (vedľa tlačidla Štart) zadajte „Viewer udalostí“ (vedľa tlačidla Štart) a stlačte kláves Enter.
* Metóda 2 (Ovládací panel): Otvorte ovládací panel (vyhľadajte alebo kliknite pravým tlačidlom myši na tlačidlo Štart), prejdite na „Systém a zabezpečenie“, potom „Administratívne nástroje“ a potom dvakrát kliknite na „Viewer udalostí“.
2. Nájdenie udalostí vypnutia/spustenia:
* Protokoly Windows: V okne prehliadača udalostí v ľavej table rozbaľte „Protokoly Windows“.
* Systém: Kliknite na „Systém“. Tento protokol obsahuje udalosti na úrovni systému vrátane zavádzacích, vypínania a udalostí súvisiacich s hardvérom.
3. Filtrovanie udalostí (dôležité! V protokole systému je veľa udalostí):
* Filter Aktuálny denník ...: Na pravej table kliknite na „Protokol aktuálneho filtra ...“. Tým sa otvorí okno „Protokol aktuálneho filtra“.
* ID udalostí: Použite tieto ID udalostí na filtrovanie konkrétnych udalostí vypnutia a spustenia:
* 6005: Začala sa služba denníka udalostí. Zvyčajne to znamená boot/spustenie (aj keď * môže * znamenať aj iba reštartovanie služby denníka udalostí).
* 6006: Služba denníka udalostí bola zastavená. To zvyčajne označuje správne vypnutie.
* 6008: Došlo k neočakávanému vypnutiu. Je to užitočné na nájdenie havárií alebo výpadkov napájania, ktoré neumožnili čisté vypnutie systému Windows.
* 41: Power jadra. Kritická udalosť, ktorá označuje systém reštartovaný bez čistého vypnutia. Často súvisí so stratou energie alebo havárie. (Pozrite sa na podrobnosti „BugCcheckCode“ na karte Podrobnosti, kde nájdete konkrétnejšie informácie o havárii.)
* 1074: Zaznamenané, keď aplikácia spôsobí, že systém reštartuje alebo vypne (napr. Aktualizácia systému Windows). Zápis denníka zvyčajne obsahuje názov aplikácie, ktorá iniciovala vypnutie alebo reštart.
* Aplikácia filtra:
1. V okne „Filter Current Log“ v poli „ID udalostí“ zadajte ID udalostí, ktoré chcete nájsť (napr. 6005 6006 6008,41,1074`). Oddeľte viac ID s čiarkami.
2. Kliknite na „OK“.
4. Preskúmanie filtrovaných protokolov:
Panel hlavnej podujatia udalostí teraz zobrazí iba udalosti, ktoré zodpovedajú vášmu filtru. Pozrite sa na stĺpec „Dátum a čas“ a zistite, kedy sa udalosti vyskytli.
* Interpretácia výsledkov:
* 6005, za ktorým nasleduje 6006: Táto sekvencia označuje normálny cyklus bootovania a vypnutia. Časové pečiatky vám povedia trvanie.
* 6008 alebo 41: Tieto udalosti naznačujú neobvyklé vypnutie (zlyhanie, zlyhanie napájania). Preskúmajte ďalšie udalosti v rovnakom čase pre stopy. 41 udalostí má často na karte Podrobnosti „BugCcheckCode“, čo naznačuje dôvod zrážky.
* 1074: Skontrolujte kartu Podrobnosti, či nie je žiadosť, ktorá požadovala reštart alebo vypnutie.
5. Nájdenie nečinného času:
Je to zložitejšie a menej spoľahlivejšie pomocou prehliadača udalostí. Čas nečinnosti nie je priamo prihlásený ako konkrétna udalosť. Budete ju musieť odvodiť na základe neprítomnosti iných udalostí a prítomnosti aktivity používateľa (ktorá tiež nie je priamo zaznamenaná vo všetkých prípadoch).
* Zabezpečenie (potenciálne): Protokol „Security` Log * môže * obsahovať prihlasovacie a logoftové udalosti (ID udalostí 4624 pre prihlasovanie, 4634 pre prihlásenie), ak je povolený audit. Ak vidíte zaznamenanie udalosti, po ktorej nasleduje významné obdobie bez iných udalostí, * mohla by * označiť voľnobežný čas, najmä ak je počítač nastavený na uzamknutie po určitom období voľnobežného obdobia. Toto však nie je zaručená metóda.
* systémový protokol (nepriamo): Vyhľadajte obdobia v denníku „System“, kde je * veľmi málo * udalostí súvisiacich s aktivitami používateľov alebo aplikáciami. Toto je vysoko subjektívne a náchylné na chyby. Je ťažké rozlišovať medzi skutočnou nečinnosťou a procesmi na pozadí, ktoré bežia potichu.
Dôležité úvahy o nečinnom čase:
* Audit požiadavky: Možno budete musieť povoliť audit udalostí prihlásenia/logoff v miestnej bezpečnostnej politike, aby bol denník „Security“ užitočný. To môže zvýšiť veľkosť protokolu. (V ponuke Štart vyhľadajte „politiku miestnej bezpečnosti“). Prejdite na „Security Settings -> Local Policies -> Audit Pravidlá“. Povoľte „udalosti prihlasovania auditu“ a „udalosti auditu logoff“ (úspech aj zlyhanie).
* konfigurácia systému: Spoľahlivosť používania prehliadača udalostí na nečinný čas významne závisí od toho, ako je systém nakonfigurovaný. Ak existuje veľa úloh na pozadí alebo plánované procesy, bude ťažšie identifikovať obdobia skutočnej nečinnosti používateľov.
* Nastavenia správy napájania: Nastavenia správy napájania systému Windows (spánok, hibernácia) môžu komplikovať záležitosti. Obdobie nečinnosti by mohlo viesť k tomu, že systém vstupuje do stavu spánku, ktorý by sa mohol prihlásiť, ale nevyhnutne neznamená, že používateľ bol preč.
* Nástroje tretích strán: Pre presnejšie sledovanie nečinného času zvážte použitie nástrojov na monitorovanie tretích strán. Tieto nástroje sú špeciálne navrhnuté na sledovanie aktivity a nečinnosti používateľov a často poskytujú podrobnejšie správy. Uskutočnia sa však kompromis ochrany osobných údajov.
Príklad scenára:
Povedzme, že v denníku „System“ uvidíte nasledujúce udalosti (po filtrovaní pre ID 6005, 6006, 6008, 41, 1074):
* 08:00: ID udalostí 6005 (začala služba protokolu udalostí) - pravdepodobne boot.
* 05:00: ID udalosti 6006 (Service protokolov udalostí sa zastavilo) - Pravdepodobne normálne vypnutie.
To naznačuje, že počítač bol zapnutý a používaný (aspoň občas) medzi 8:00 a 17:00. Ak chcete vedieť, či to bolo počas týchto 9 hodín nečinný, musíte preskúmať udalosti * medzi týmito dvoma udalosťami a pokúsiť sa odvodiť aktivitu z prihlásených udalostí. Ako je uvedené vyššie, je to ťažké a nespoľahlivé.
v súhrne:
* Pomocou prehliadača udalostí ľahko nájdite vypnutie a startupy.
* Buďte * veľmi * opatrní, keď sa spoliehate na prehliadač udalostí, aby ste mohli presné sledovanie času nečinnosti. Nástroje tretích strán sú vo všeobecnosti vhodnejšie na tento účel.