Услуги

Логи: разбираемся с понятием лог файл. Логирование

Лог-файлы (logs или логи) - это текстовый файл, в котором ведется запись абсолютно всех событий, которые происходили на сервере (на котором расположен Ваш сайт). Запись событий ведется так - каждому событию соответствует определенная строчка, с указанием времени события и прочих сведений. Обычно все логи сортируются по датам - одним суткам соответствует один файл.

Как их посмотреть?

Чаще всего хостинг-провайдеры позволяют скачать эти файлы по FTP. Где именно они находятся зависит только от хостера, поэтому ищите это в FAQ или обращайтесь в поддержку. Также доступ к лог-файлам можно получить из панели управления хостингом.

Зачем нужны логи?

Все лог-файлы можно разделить на три группы:

  1. логи доступа (access_log) записывают информацию о посетителях сайта (IP-адрес, время запроса, страница которую он запросил)
  2. логи ошибок (error_log) сохраняют все ошибки, которые происходили на сайте, и показывают файлы в которых они случились
  3. логи FTP-авторизаций собирают данные о попытках входа по FTP-соединению

Как их использовать?

Все эти файлы в первую очередь помогают найти следы взлома, и понять как именно хакер получил доступ к Вашему сайту. Но будьте внимательны, т.к. хостинг-провайдеры хранят логи определенное время (как правило 1-2 недели) и затем удаляют. Поэтому, если сайт взломан месяц назад, то из логов уже не удастся понять как взломали сайт.

Для того, чтобы собирать лог-файлы автоматически существуют программы-анализаторы, которые устанавливаются на сервер, сохраняют информацию, и потом в удобном виде показывают пользователю. Из бесплатных программ популярными являются

Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.

Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера , для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Win+R и вводите eventvwr.msc

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod , и данные сообщения что тут заносятся помогут вам определить его причину.

Так же есть логи windows для более специфических служб, например DHCP или DNS . Просмотр событий сечет все:).

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Вас попросят указать уровень событий:

  • Критическое
  • Ошибка
  • Предупреждение
  • Сведения
  • Подробности

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

Get-EventLog -Logname "System"

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

Get-EventLog -Logname "Application"

небольшой список абревиатур

  • Код события - EventID
  • Компьютер - MachineName
  • Порядковый номер события - Data, Index
  • Категория задач - Category
  • Код категории - CategoryNumber
  • Уровень - EntryType
  • Сообщение события - Message
  • Источник - Source
  • Дата генерации события - ReplacementString, InstanceID, TimeGenerated
  • Дата записи события - TimeWritten
  • Пользователь - UserName
  • Сайт - Site
  • Подразделение - Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Get-EventLog –Logname ‘System’ –Newest 20

Дополнительные продукты

Так же вы можете автоматизировать сбор событий, через такие инструменты как:

  • Комплекс мониторинга Zabbix
  • Через пересылку событий средствами Windows на сервер коллектор
  • Через комплекс аудита Netwrix
  • Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
  • Любые DLP системы

Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта

Удаленный просмотр логов

  • Первый метод

Не так давно в появившейся операционной системе Windows Server 2019 , появился компонент удаленного администрирования Windows Admin Center . Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).

Далее вы выбираете вкладку "События", выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.

Вот пример фильтрации по событию 19.

Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.

  • Второй метод

Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же "Просмотр событий". Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню "".

Указываем имя другого компьютера, в моем примере это будет SVT2019S01

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий.если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.

Так же хочу отметить, что есть целые системы агрегации логов, такие как Zabbix или SCOM, но это уже другой уровень задач..

Файлы формата LOG открываются специальными программами. Существует 2 типа форматов LOG, каждый из которых открывается разными программами. Чтобы открыть нужный тип формата, изучите описания файлов и скачайте одну из предложенных программ.

Чем открыть файл в формате LOG

Системный журнал, используемый различными операционными системами и программами. Обычно содержит простой текстовый журнал с определенными событиями и их метками времени. Может создаваться операционной системой, чтобы отслеживать события или программу установки для составления списка мест размещения и названия установленных файлов.

Веб-серверы также создают файлы системных журналов для отслеживания посетителей и мониторинга использования пропускной способности. Программы веб-статистики позволяют веб-хранилищам анализировать файлы системных журналов благодаря схемам и графикам, представляющим данные трафика веб-сайта в графическом формате.

Скачать программу для формата LOG

Отчет о сканировании на наличие вирусов, создаваемый в антивирусной программе AntiVir для Windows. Хранится в простом текстовом формате и содержит системный журнал сканирования антивируса или обновления программы. Применяется для хранения истории работы антивируса.

Файлы AntiVir LOG можно просматривать на панели Overview → Reports, которая отображает список отчетов. Откройте на этой панели отчет и нажмите на клавишу Report, чтобы открыть файл.

Как просмотреть логи?

Ответ мастера:

Логи представляют собой сводку данных, которая накапливается в процессе работы программного обеспечения, установленного на вашем компьютере. Они содержат информацию об ошибках и сбоях, а также причинах их возникновения. Также логами называются файлы, в которых храниться переписка, ведущаяся при помощи специальных приложений-чатов.

Просмотрите логи операционной системы Windows. Для этого необходимо нажать правой кнопкой мышки на значок «Мой компьютер» и выбрать пункт «Управление». Стоит отметить, что выполнить это вы сможете только в случае наличия административных прав. Если их у вас нет, то перезайдите в систему под профилем администратора. В появившемся окне слева найдите раздел «Служебные программы» и выберите пункт «Просмотр событий». Дождитесь загрузки данных, в некоторых случаях потребуется достаточно много времени. Выделите интересующий вас пункт и посмотрите в правой части окна логи по работе и ошибкам системной программы.

Найдите логи программы Skype. Для этого вам необходимо открыть каталог диска С и перейти по адресу Users\_имя_пользователя_в_системе_\AppData\Skype\_имя_пользователя_Skype\. Открыть параметры профиля можно также через раздел «Выполнить» меню «Пуск». Введите в строку команд “%APPDATA%\Skype” и нажмите кнопку Ок. В результате откроется нужная папка. Логи программу Skype являются зашифрованными, поэтому для их просмотра вам понадобиться дополнительная утилита SkypeLogView. Она является бесплатной и свободно распространяется в интернете. Запустите ее и укажите путь к папке вашего профиля. Появиться перечень сохраненных переписок. Выделите нужную и прочитайте.

Ознакомьтесь с логом переписки в программе QIP на официальном сайте разработчика по ссылке http://history.qip.ru/. Авторизуйтесь на сайте. Слева будет представлен список контактов, с которым вы переписывались за все время активности данной услуги. Нажмите на любого собеседника и посмотрите лог переписки.

Прочитайте лог переписки в программе ICQ. Данная информация храниться по адресу C:\Users\_имя_пользователя_в_системе_\Application Data\ICQLite\HistoryDB\_номер_ICQ_. ДЛя отображения нужных файлов необходимо нажать на кнопку «Упорядочить» в панели окна папки. Выберите пункт «Параметры папок» и перейдите на вкладку «Вид». В самом низу поставьте галочку возле строки «Показывать скрытые файлы и папки». Сохраните настройки и вернитесь к каталогу логов. Выберите нужный и ознакомьтесь с ним при помощи текстового редактора или обычного блокнота.

Из разговора двух веб-мастеров:

– Вчера был на твоём сайте…

– Так это был ты!..

Кроме общей статистики сайта (количество уникальных посетителей, количество открытых ими веб-страниц и т.д.), большое значение для веб-мастеров имеет и другая информация, например: какие страницы сайта посещаются наиболее часто, какие поисковые запросы приводят посетителей на сайт, какими браузерами и операционными системами пользуются посетители, какое разрешение экрана на посетителей и т.д. и т.п.

Как правило, на каждом сайте устанавливается внешний бесплатный (реже – платный) счётчик. Ресурс, предоставивший счётчик, ведёт расширенную статистику посещения ресурса (включая всю вышеуказанную информацию), с которой можно ознакомиться в любое время. Особенно с такими счётчиками удобно работать тем, кто размещает свои сайты на бесплатном хостинге.

Большинство хостинг-провайдеров (хостеров) платного хостинга предоставляют своим клиентам возможность использовать уже установленные средства анализа. Например, для серверов Apache часто используется программа Webalizer , которая устанавливается в качестве дополнительного модуля веб-сервера.

Те, кто хостится на платном хостинге, могут также обрабатывать всю информацию по посещению сайта самостоятельно: ведь веб-мастер имеет полный доступ к лог-файлам своего сайта.

Что такое лог-файл веб-сайта

Лог-файл веб-сайта (log file , log -файл, лог-файл, лог) – это текстовый файл, в котором регистрируются все запросы к сайту, а также все ошибки, связанные с этими запросами.

Как происходит запись событий в лог-файл сайта

Поэтому одной из основных целей создания сайта должен быть не просто рост количества посещений, а рост релевантных посещений, – то есть не надо обманывать посетителей ложными названиями, обещаниями, ключевыми словами и т.д., – посетитель должен находить то, что ищет, он имеет на это право!..

Примечания

1. По подсчётам исследовательской компании Netcraft , в июне 2009 г. в Интернете насчитывалось 238 027 855 сайтов. При этом доля веб-серверов Apache составила около 47%, Microsoft IIS – 24,80%, qq,com – 12,79%, Google – 4,98%, nginx – 3,69%, Sun – 0,30%.

2. Лог-файлы серверов Apache