Windows Xp: Event Viewer

**Prof. Dr. Sinsi** · 10-25-2012

Windows XP: Event Viewer
Windows XP, NT4 ve Windows 2000 gibi event log tutabilir

Yani sistemde meydana gelen her bir "olayı" raporlayabilir

İsterseniz bunu biraz daha açalım, windows açıldığı andan, kapandığı ana kadar bir çok "olay"-"event" gerçekleşir

Örneğin bir windows servisinin başlaması bir olaydır, bir program ile çalışırken programın geçersiz işlem yütütüp kapanması, yani çakması bir olaydır

Ağ kartının kablonun bağlı olduğunu tespit etmesi bir olaydır

Tam tersi de bir olaydır

Ağ üzerinden bir kullanıcının sizin bilgisayarına bağlanması, bağlantısını kesmesi

bunların hepsi bir olaydır

Biz bunların bir çoğunu görmeyiz, arka planda sessizce olup biter

Ancak bazen bir servisin başlayıp başlamadığını, şifresi doğru olmayan bir kullanıcının sisteme login olmaya çalışıp çalışmadığını, DNS servisinin arka planda sürekli yaptığı bazı rutin işlemlerde başarılı olup olmadığını ve buna benzer aklınıza gelebilecek her türlü bilgiyi kontrol etme ihtiyacı duyabiliriz

Özellikle bir problem varsa, problemin kaynağını tespit etmede bu kayıtlar çok işimize yarar

Windows olayları loglamayı, yani teker teker kayıt işlemini sürekli yapmaktadır

Bu kayıtları incelememizi sağlayan program Event Viewer'dır

Şimdi bu programı inceleyelim

Control - Panel>Administrative Tools

Tam boyut için tıklayınız

Resim 665x339 boyutunda ve 15 KB dır

Event Viewer

Tam boyut için tıklayınız

Resim 744x295 boyutunda ve 14 KB dır

Üç farklı kayıt alanı söz konusu;

System Windows aygıtlarla ilgili her türlü olayı buraya kaydeder
Security Güvenlikle ilgili olaylar
Application Windows dışındaki diğer programlar, kendi işleyişleriyle ilgili kayıtları burada tutarlar

Kayıt tipleri

Information Bilgi amaçlı kayıtlar, rutin işlemler

Warning Uyarı, kontrol edilmesinde fayda var

Error Hata, kesinlikle kontrol edilmeli

Event'lerin incelenmesi

Tam boyut için tıklayınız

Resim 744x295 boyutunda ve 14 KB dır

Event Viewer penceresinde Source sütunu event'in oluştuğu uygulamayı belirtir

İsterseniz bir kaç ilginç event'i inceleyelim:

Source alanında "eventlog" yazıyor, yani bu olaylar, kayıtları tutan servisin kendisine ait

Event'leri kaydedebilmesi için önce bu servisin kendisinin başlaması gerekiyor

Kapanırken de son event her zaman event servisinin durması olayıdır

Eğer bu olay kayıtların arasında yoksa bilgisayar normal yollardan kapanmamış demektir (mavi ekran veya direkt reset)

EventLog yani event'leri kaydeden servisin kendisinin ürettiği 6006 kodlu kayıt

The Event service was stopped Yani event kayıt servisi durdu

bilgisayar kapanmadan önce kaydedilen son olay

Windows XP açılırken ilk kaydedilen olay, 6005 kodlu The Event Log service was started

Event kayıt işlemi başladı

Şimdi de DHCP servisinin verdiği bir uyarı mesajına bakalım

Bilgisayarımda 2 ağ kartım var

Bunlardan biri yerel ağ'a bağlı ve sabit IP'ye sahip

Diğeri ise ADSL modeme bağlı ve Obtain an IP-address automatically olarak ayarlı

Bu uyarı da bu ikince kartın açılışta bir DHCP server bulamadığını ve Automatic IP-address generation ile yani Windows'un kendi kendine IP atama servisi ile 169

254

121

160 IP'sini aldığını söylüyor

ADSL modemim kapalıyken bilgisayarı açtığım için bu gayet normal

Ancak eğer IP'lerin ağ üzerindeki DHCP server'dan alındığı bir ortamda benim ağa bağlı ağ kartım bu mesajı üretmiş olsaydı, ben bir şekilde DHCP sunucuya ulaşamıyorum demek olacaktı

Şimdi de W32Time'ın ürettiği bir hata mesajına bakalım

Time Provider
Windows internet üzerinden sistem saatini ayarlamaya çalışmış ve bağlantı gerçekleşmediği için bu hata meajı oluşmuş

Windows XP'nin bu özelliği ile ilgili ayrıntılı bilgi için "call home" özelliği ile saat ayarı

Kayıtlarla çalışmak

Sağ tık menüsü ile, bu kayıtları "Save log file as

" ile kaydedebilir, sonra da bu dosyayı başka bir bilgisayara disketle taşıyıp "Open log file" ile açabilirsiniz

Clear all Events ile tüm kayıtları silebilirsiniz

Filter ile kayıtları belli bir filtreleme ile süzüp, belki de binlercesi içinden sizin istediklerinizin görünmesini sağlayabiliriniz

Event Source ile sadece belli bir uygulamanın oluşturduğu kayıtları seçebilirsiniz

Eğer Event ID'ye göre süzme yapmak istiyorsanız

Uzun süreli log'lama için

Eğer uzun bir süre için log'lama, yani kayıtların tutulmasını istiyorsanız bazı ayarlamalar yapmanız gerekiyor

Properties

Varsayılan ayarlarda kayıt listesi sınırlıdır ve 7 gün sonra ilk yapılan kayıt silinir

Ve bu şekilde, sadece geçen 7 günün kayıtlarını görebilirsiniz

Maximum log size değerini arttırıp (bir kaç MB), Overwrite events as needed seçeneğine geçerseniz, kayıtların tutulduğu dosya boyutu sizin belirlediğiniz düzeye gelene kadar kayıt tutulur

10-25-2012	#1
Prof. Dr. Sinsi	Windows Xp: Event Viewer Windows XP: Event Viewer Windows XP, NT4 ve Windows 2000 gibi event log tutabilir Yani sistemde meydana gelen her bir "olayı" raporlayabilir İsterseniz bunu biraz daha açalım, windows açıldığı andan, kapandığı ana kadar bir çok "olay"-"event" gerçekleşir Örneğin bir windows servisinin başlaması bir olaydır, bir program ile çalışırken programın geçersiz işlem yütütüp kapanması, yani çakması bir olaydır Ağ kartının kablonun bağlı olduğunu tespit etmesi bir olaydır Tam tersi de bir olaydır Ağ üzerinden bir kullanıcının sizin bilgisayarına bağlanması, bağlantısını kesmesi bunların hepsi bir olaydır Biz bunların bir çoğunu görmeyiz, arka planda sessizce olup biter Ancak bazen bir servisin başlayıp başlamadığını, şifresi doğru olmayan bir kullanıcının sisteme login olmaya çalışıp çalışmadığını, DNS servisinin arka planda sürekli yaptığı bazı rutin işlemlerde başarılı olup olmadığını ve buna benzer aklınıza gelebilecek her türlü bilgiyi kontrol etme ihtiyacı duyabiliriz Özellikle bir problem varsa, problemin kaynağını tespit etmede bu kayıtlar çok işimize yarar Windows olayları loglamayı, yani teker teker kayıt işlemini sürekli yapmaktadır Bu kayıtları incelememizi sağlayan program Event Viewer'dır Şimdi bu programı inceleyelim Control - Panel>Administrative Tools Tam boyut için tıklayınız Resim 665x339 boyutunda ve 15 KB dır Event Viewer Tam boyut için tıklayınız Resim 744x295 boyutunda ve 14 KB dır Üç farklı kayıt alanı söz konusu; System Windows aygıtlarla ilgili her türlü olayı buraya kaydeder Security Güvenlikle ilgili olaylar Application Windows dışındaki diğer programlar, kendi işleyişleriyle ilgili kayıtları burada tutarlar Kayıt tipleri Information Bilgi amaçlı kayıtlar, rutin işlemler Warning Uyarı, kontrol edilmesinde fayda var Error Hata, kesinlikle kontrol edilmeli Event'lerin incelenmesi Tam boyut için tıklayınız Resim 744x295 boyutunda ve 14 KB dır Event Viewer penceresinde Source sütunu event'in oluştuğu uygulamayı belirtir İsterseniz bir kaç ilginç event'i inceleyelim: Source alanında "eventlog" yazıyor, yani bu olaylar, kayıtları tutan servisin kendisine ait Event'leri kaydedebilmesi için önce bu servisin kendisinin başlaması gerekiyor Kapanırken de son event her zaman event servisinin durması olayıdır Eğer bu olay kayıtların arasında yoksa bilgisayar normal yollardan kapanmamış demektir (mavi ekran veya direkt reset) EventLog yani event'leri kaydeden servisin kendisinin ürettiği 6006 kodlu kayıt The Event service was stopped Yani event kayıt servisi durdu bilgisayar kapanmadan önce kaydedilen son olay Windows XP açılırken ilk kaydedilen olay, 6005 kodlu The Event Log service was started Event kayıt işlemi başladı Şimdi de DHCP servisinin verdiği bir uyarı mesajına bakalım Bilgisayarımda 2 ağ kartım var Bunlardan biri yerel ağ'a bağlı ve sabit IP'ye sahip Diğeri ise ADSL modeme bağlı ve Obtain an IP-address automatically olarak ayarlı Bu uyarı da bu ikince kartın açılışta bir DHCP server bulamadığını ve Automatic IP-address generation ile yani Windows'un kendi kendine IP atama servisi ile 169254121160 IP'sini aldığını söylüyor ADSL modemim kapalıyken bilgisayarı açtığım için bu gayet normal Ancak eğer IP'lerin ağ üzerindeki DHCP server'dan alındığı bir ortamda benim ağa bağlı ağ kartım bu mesajı üretmiş olsaydı, ben bir şekilde DHCP sunucuya ulaşamıyorum demek olacaktı Şimdi de W32Time'ın ürettiği bir hata mesajına bakalım Time Provider Windows internet üzerinden sistem saatini ayarlamaya çalışmış ve bağlantı gerçekleşmediği için bu hata meajı oluşmuş Windows XP'nin bu özelliği ile ilgili ayrıntılı bilgi için "call home" özelliği ile saat ayarı Kayıtlarla çalışmak Sağ tık menüsü ile, bu kayıtları "Save log file as" ile kaydedebilir, sonra da bu dosyayı başka bir bilgisayara disketle taşıyıp "Open log file" ile açabilirsiniz Clear all Events ile tüm kayıtları silebilirsiniz Filter ile kayıtları belli bir filtreleme ile süzüp, belki de binlercesi içinden sizin istediklerinizin görünmesini sağlayabiliriniz Event Source ile sadece belli bir uygulamanın oluşturduğu kayıtları seçebilirsiniz Eğer Event ID'ye göre süzme yapmak istiyorsanız Uzun süreli log'lama için Eğer uzun bir süre için log'lama, yani kayıtların tutulmasını istiyorsanız bazı ayarlamalar yapmanız gerekiyor Properties Varsayılan ayarlarda kayıt listesi sınırlıdır ve 7 gün sonra ilk yapılan kayıt silinir Ve bu şekilde, sadece geçen 7 günün kayıtlarını görebilirsiniz Maximum log size değerini arttırıp (bir kaç MB), Overwrite events as needed seçeneğine geçerseniz, kayıtların tutulduğu dosya boyutu sizin belirlediğiniz düzeye gelene kadar kayıt tutulur