التوثيق

قراءة وتصفية سجل أحداث Windows

عدد الأحداث / إعادة تعيين الأحداث، حالة الحدث، رمز الإرجاع

ملف السجل

اختر الموقع الذي سيتم قراءة الأحداث منه: الكل، التطبيق، النظام، الأمان أو محدد من قبل المستخدم.

عند تحديد "محدد من قبل المستخدم"، يظهر حقل نصي إضافي يمكن من خلاله إدخال موقع سجل مخصص. لكي يعمل هذا، يجب إجراء إدخال في سجل Windows، وإلا فلن يمكن الاستعلام عن الأحداث التي تظهر في أحد سجلات الأحداث غير المذكورة أعلاه، لا يدويًا باستخدام WMI ولا عبر مهمة سجل أحداث الوكيل. يوضح ما يلي إدخال مفتاح التسجيل المطلوب لسجل الأحداث Microsoft-Windows-TaskScheduler%4Operational.evtx.

محرر سجل Windows الإصدار 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Microsoft-Windows-TaskScheduler/Operational]

يجب إدخال المفتاح بما في ذلك حرف الشرطة المائلة. يمكن الآن تعريف سجل الأحداث المحدد من قبل المستخدم على النحو التالي:

Microsoft-Windows-TaskScheduler/Operational

لاحظ أنه يجب استبدال السلسلة %4 بحرف مائل ("/").

نوع الحدث

حدد أنواع الأحداث التي تريد أخذها في الاعتبار عند البحث عن الأحداث.

مصدر الحدث

إذا لم يتم تعيين أي قيمة، فسيتم مطابقة كل مصدر حدث. يمكن استخدام العوامل "مساوٍ" و"غير مساوٍ" و"مشابه" و"غير مشابه".

يمكن تحديد مصادر متعددة، مفصولة بفاصلة، على سبيل المثال:

MSExchange Assistants، MSExchange Transport

المستخدم

إذا لم يتم تعيين أي قيمة، فسيتم مطابقة كل مستخدم. يمكن استخدام العوامل Equal (مساوٍ) و Not equal (غير مساوٍ) و Like (مشابه) و Not like (غير مشابه).

يمكن تحديد عدة مستخدمين، مفصولين بفاصلة، على سبيل المثال:

SKOOR\user،NT Authority\system

الفئة

إذا لم يتم تعيين أي قيمة، فسيتم مطابقة كل فئة. يمكن استخدام العوامل Equal (مساوٍ) و Not equal (غير مساوٍ) و Like (مشابه) و Not like (غير مشابه).

يمكن إدخال فئات متعددة، مفصولة بفاصلة. يجب وضع القيم الرقمية بين قوسين، على سبيل المثال:

التثبيت،(16)،الخادم

معرف الحدث

إذا لم يتم تعيين أي قيمة، فسيتم مطابقة كل معرف حدث. يمكن استخدام عوامل التشغيل "مساوٍ" و"غير مساوٍ".

يمكن إدخال عدة معرفات، مفصولة بفاصلة، على سبيل المثال:

998،999،1000

الوصف

إذا تم ترك هذا الحقل فارغًا، فسيتم مطابقة كل الوصف. يمكن تحديد سلاسل وصف متعددة، مفصولة بفاصلة. يمكن أيضًا استخدام أحرف البدل، على سبيل المثال:

Printer*،Drucker*

يمكن تحديد أي نص داخل الوصف. المطابقة غير حساسة لحالة الأحرف.

مدة الحالة

للحفاظ على ظهور الحدث الذي يطابق المعايير، تم إدخال حالة الحدث. يتم تعيين حالة الحدث بواسطة حدث (إذا كان عداد الأحداث > 0). تحدد هذه المعلمة المدة التي يجب أن تظل فيها الحالة نشطة:

• إذا لم يتم تعيينها، فسيتم إعادة تعيين الحدث عند تنفيذ المهمة التالية

• إذا تم تكوين حدث إعادة تعيين، يتم استخدام مدة الحالة كأقصى مدة يمكن أن يظل الحدث نشطًا فيها إذا لم يظهر حدث إعادة تعيين

إعادة تعيين الحدث

هذه إمكانية أخرى لمسح حالة الحدث. إذا حدث كل من الحدث وحدث إعادة التعيين خلال تنفيذ مهمتين، فإن آخر حدث هو الذي يسود. إذا كان حدث إعادة التعيين له نفس الطابع الزمني للحدث، فإن حدث إعادة التعيين هو الذي يسود.

عدد الأحداث

عدد الأحداث منذ آخر قياس. إذا تم تشغيل المهمة لأول مرة، فإنها تحسب الأحداث التي وقعت خلال آخر 5 دقائق.

عدد أحداث إعادة الضبط

عدد أحداث إعادة الضبط منذ آخر قياس. لا تتوفر هذه القيمة إلا إذا تم تمكين قسم إعادة الضبط.

حالة الحدث

يتم تعيين حالة الحدث إذا كان عدد الأحداث > 0 ويتم مسحها

• إذا تم تعيين معلمة مدة الحالة وتم الوصول إلى الوقت المحدد

• إذا تم تكوين حدث إعادة تعيين، وكان عدد أحداث إعادة التعيين > 0 ولم يتم الوصول إلى مدة الحالة بعد

• مع تنفيذ المهمة التالية في حالة عدم تكوين مدة الحالة

رسالة المعلومات

تسرد رسالة المعلومات وصف أحدث حدث تم العثور عليه مطابقًا لمعايير التصفية.

عدد الأحداث

عدد الأحداث منذ آخر قياس. إذا تم تشغيل المهمة لأول مرة، فإنها تحسب الأحداث التي وقعت خلال آخر 5 دقائق.

عدد أحداث إعادة الضبط

عدد أحداث إعادة الضبط منذ آخر قياس. لا يتوفر حد الإنذار هذا إلا إذا تم تمكين قسم إعادة الضبط.

حالة الحدث

تحقق مما إذا تم تعيين حالة الحدث. 

رمز الخطأ

رمز خطأ عام للمهمة (انظر قسم رموز أخطاء المهام)