Читаем Windows Vista. Для профессионалов полностью

В каталоге %userprofile%\AppData\Local\Microsoft\Event Viewer находится файл Settings.xml. Он содержит настройки оснастки Просмотр событий, описанные в XML-формате. Одной из таких настроек является тег . Если между скобками установить значение 1, то в разделе Журналы приложений и служб оснастки также будут отображаться журналы, содержащие сведения об отладке и трассировке компонентов операционной системы (напротив этих журналов отображаются значки зеленого и синего цвета). По умолчанию данные журналы не отображаются.

Работа со всеми этими журналами аналогична работе со стандартными журналами операционной системы.

Раздел Подписки

С помощью данного раздела можно подписаться на события (под событием понимается создание записи от определенной службы или компонента операционной системы в системном журнале удаленного компьютера), возникающие на удаленных компьютерах. Когда событие, на которое вы подписались, произойдет, будет создана соответствующая запись в журнале Пересланные события (по умолчанию, но его можно изменить).

Чтобы подписаться на событие, нужно в контекстном меню раздела Подписки выбрать команду Создать подписку. После этого отобразится окно, представленное на рис. 5.14.

В окне расположены следующие элементы. • Название подписки – определяет название подписки. Можете указать любое.

• Описание – указывает описание подписки.

• Журнал на конечном компьютере – этот раскрывающийся список позволяет указать журнал, в который будут помещаться записи о возникающих событиях, указанных в данной подписке. По умолчанию используется стандартный журнал Пересланные события. Однако вы можете выбрать любой другой несистемный журнал.

• Исходные компьютеры – поле содержит список компьютеров, на которых будет отслеживаться возникновение определенных событий. С помощью кнопки Добавить можно добавить в список новый компьютер. С помощью кнопки Удалить можно удалить определенный компьютер из списка. С помощью кнопки Проверить можно послать запрос WinRM, чтобы проверить корректность работы необходимых служб.

• Выбрать события – этот раскрывающийся список позволяет создать новый фильтр либо воспользоваться уже существующим. Если вы выберете элемент Изменить данного списка, то откроется уже знакомое вам окно создания фильтра. Именно на основе данного фильтра будут определяться записи журналов удаленного компьютера, которые будут отображаться в журнале Пересланные события локального компьютера.

• Дополнительно – после нажатия данной кнопки перед вами отобразится окно Дополнительные параметры подписки. С его помощью можно изменить учетную запись, от имени которой будет выполняться подписка на события, а также порт, по которому будет установлено соединение с удаленным компьютером, и один из режимов оптимизации использования пропускной способности сети.

Существует несколько режимов оптимизации: Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная. Друг от друга они отличаются значениями четырех параметров реестра , которые расположены соответственно в подразделах Custom, MinBandwidth, MinLatency и Normal ветви HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\EventCollector\ Conf igurationModes. Вот эти параметры реестра.

• DeliveryMode – имеет строковый тип и может принимать значения push (используется режимами оптимизации Уменьшенная пропускная способность и Уменьшенная задержка) или pull (используется режимами оптимизации Настраиваемая и Обычная). Он определяет способ доставки событий (кто именно инициирует процесс доставки сведений о событии).

• HeartBeatlnterval – параметр имеет тип REG_DWORD и определяет интервал проверки возникновения событий. Значение данного параметра равно 3600000, 21600000, 3600000 и 900000, соответственно, для режимов оптимизации Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная.