التوثيق

قراءة سجل أحداث Windows وتصفيته

عدد الأحداث/إعادة تعيين الأحداث، حالة الحدث، رمز الإرجاع

ملف السجل

اختر الموقع الذي سيتم قراءة الأحداث منه: الكل، أو التطبيق، أو النظام، أو الأمان، أو محدد من قبل المستخدم.

عند اختيار معرف المستخدم، يظهر حقل نص إضافي حيث يمكن إدخال موقع سجل مخصص. لكي يعمل هذا الأمر، يجب إجراء إدخال في سجل Windows، وإلا فإن الأحداث، التي تظهر في أحد سجلات الأحداث غير المذكورة أعلاه، لا يمكن الاستعلام عنها، لا يدوياً باستخدام WMI ولا عبر مهمة سجل أحداث الوكيل. يوضح ما يلي إدخال مفتاح "السجل" المطلوب لسجل أحداث Microsoft-Windows-TaskScheduler%4Operational.evtx.

الإصدار 5.00 من محرر سجل Windows
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlControlSet\services\eventlog\Microsoft-Windows-TaskScheduler\Operational]

يجب إدخال المفتاح متضمناً حرف الشرطة المائلة. يمكن الآن تعريف سجل الأحداث المعرف من قبل المستخدم على أنه:

Microsoft-Windows-TaskScheduler/TaskScheduler/Operational

لاحظ أنه يجب استبدال السلسلة %4 بحرف شرطة مائلة ("/").

نوع الحدث

حدد أنواع الأحداث التي يجب أخذها في الاعتبار عند البحث عن الأحداث.

مصدر الحدث

إذا لم يتم تعيين أي قيمة، يتم مطابقة كل مصدر حدث. يمكن استخدام العوامل يساوي، لا يساوي، مثل، لا يشبه.

يمكن إعطاء مصادر متعددة، مفصولة بفاصلة، على سبيل المثال:

مساعدي التبادل MSExchange، نقل MSExchange

مستخدم

إذا لم يتم تعيين أي قيمة، يتطابق كل مستخدم. يمكن استخدام العوامل يساوي، لا يساوي، مثل، لا يشبه.

يمكن إعطاء عدة مستخدمين مفصولين بفاصلة، على سبيل المثال

SKOOR\user,NT Authority\system

الفئة

إذا لم يتم تعيين أي قيمة، تتطابق كل فئة. يمكن استخدام العوامل متساوٍ، غير متساوٍ، مثل، غير متشابه.

يمكن إعطاء فئات متعددة، مفصولة بفاصلة. يجب وضع القيم الرقمية بين قوسين، على سبيل المثال

تركيب،(16)،(16)،خادم

معرف الحدث

إذا لم يتم تعيين أي قيمة، يتطابق كل معرف حدث. يمكن استخدام العاملين متساوي وغير متساوٍ.

يمكن إعطاء معرّفات متعددة، مفصولة بفاصلة، على سبيل المثال

998,999,1000

الوصف

إذا تم ترك هذا الحقل فارغاً، يتم مطابقة كل وصف. يمكن تحديد سلاسل وصف متعددة، مفصولة بفاصلة. يمكن أيضًا استخدام أحرف البدل، على سبيل المثال:

طابعة*، دروكر*

يمكن تحديد أي نص داخل الوصف. المطابقة غير حساسة لحالة الأحرف.

مدة الحالة

لإبقاء الحدث الذي يطابق المعايير مرئيًا، تم تقديم حالة الحدث. يتم تعيين حالة الحدث بواسطة حدث (إذا كان عداد الحدث > 0). تحدد هذه المعلمة المدة التي يجب أن تظل الحالة نشطة:

• إذا لم يتم تعيينها، فسيتم إعادة تعيين الحدث من خلال تنفيذ المهمة التالية

• إذا تم تكوين حدث إعادة التعيين، يتم استخدام مدة الحالة كحد أقصى للوقت الذي يمكن أن يظل الحدث نشطًا إذا لم يظهر حدث إعادة تعيين

إعادة تعيين الحدث

هذه إمكانية أخرى لمسح حالة الحدث. إذا وقع كل من حدث وحدث إعادة تعيين خلال عمليتي تنفيذ للمهمة، يفوز الحدث الأخير. إذا كان حدث إعادة التعيين له نفس الطابع الزمني للحدث، يفوز حدث إعادة التعيين.

عدد الأحداث

عدد الأحداث منذ آخر قياس. إذا تم تشغيل المهمة لأول مرة، فإنها تحسب الأحداث التي وقعت في آخر 5 دقائق.

عدد أحداث إعادة الضبط

عدد أحداث إعادة الضبط منذ آخر قياس. لا تتوفر هذه القيمة إلا إذا تم تمكين قسم إعادة التعيين.

حالة الحدث

يتم تعيين حالة الحدث إذا كان عدد الأحداث > 0 ويتم مسحها

• إذا تم تعيين معلمة مدة الحالة وتم الوصول إلى الوقت المكوّن

• إذا تم تكوين حدث إعادة التعيين، وكان عدد أحداث إعادة التعيين > 0 ولم يتم الوصول إلى مدة الحالة بعد

• مع تنفيذ المهمة التالية في حالة عدم تكوين مدة الحالة في حالة عدم تكوين مدة الحالة

رسالة المعلومات

تسرد رسالة المعلومات وصفاً لأحدث حدث تم العثور عليه يطابق معايير التصفية.

عدد الأحداث

عدد الأحداث منذ آخر قياس. إذا تم تشغيل المهمة لأول مرة، فإنها تحسب الأحداث التي وقعت في آخر 5 دقائق.

عدد أحداث إعادة الضبط

عدد أحداث إعادة الضبط منذ آخر قياس. لا يتوفر حد التنبيه هذا إلا إذا تم تمكين قسم إعادة التعيين.

حالة الحدث

تحقق مما إذا تم تعيين حالة الحدث.

رمز الخطأ

رمز خطأ عام للمهمة (انظر قسم رموز خطأ المهمة)