Event log watch что это за служба

Что такое eventlog.exe? Это безопасно или вирус? Как удалить или исправить это

Что такое eventlog.exe?

eventlog.exe это исполняемый файл, который является частью Windows NT Server разработанный Microsoft, Версия программного обеспечения для Windows NT 3.1 NT 3.1: 1.0.0.0 обычно 77188 в байтах, но у вас может отличаться версия.

Является ли eventlog.exe безопасным, или это вирус или вредоносная программа?

Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, в случае с Eventlog.exe его путь будет примерно таким: C: \ Program Files \ Microsoft \ Windows NT Server \ eventlog.exe.

Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.

Самые важные факты о eventlog.exe:

Если у вас возникли какие-либо трудности с этим исполняемым файлом, вы должны определить, заслуживает ли он доверия, перед удалением eventlog.exe. Для этого найдите этот процесс в диспетчере задач.

Найти его местоположение и сравнить размер и т. Д. С приведенными выше фактами

Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус eventlog.exe, необходимо скачайте и установите приложение полной безопасности, как это, Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.

Могу ли я удалить или удалить eventlog.exe?

Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.

Однако, если это не вирус и вам нужно удалить eventlog.exe, вы можете удалить Windows NT Server с вашего компьютера, используя его деинсталлятор. Если вы не можете найти его деинсталлятор, то вам может потребоваться удалить Windows NT Server, чтобы полностью удалить eventlog.exe. Вы можете использовать функцию «Установка и удаление программ» на панели управления Windows.

Распространенные сообщения об ошибках в eventlog.exe

Наиболее распространенные ошибки eventlog.exe, которые могут возникнуть:

Как исправить eventlog.exe

Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.

Чтобы помочь вам проанализировать процесс eventlog.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.

Обновлен декабрь 2021:

Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:

Загрузите или переустановите eventlog.exe

Вход в музей Мадам Тюссо не рекомендуется загружать замещающие exe-файлы с любых сайтов загрузки, так как они могут сами содержать вирусы и т. д. Если вам нужно скачать или переустановить eventlog.exe, мы рекомендуем переустановить основное приложение, связанное с ним. Windows NT Server.

Технические особенности Windows NT

Информация об операционной системе

Ошибки eventlog.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:

Источник

filecheck .ru

Вот так, вы сможете исправить ошибки, связанные с LogWatNT.exe

Информация о файле LogWatNT.exe

Подробный анализ: LogWatNT.exe не является необходимым для Windows. Файл LogWatNT.exe находится в папке C:\Windows. Известны следующие размеры файла для Windows 10/8/7/XP 50,176 байт (97% всех случаев) или 49,152 байт.
Находится в папке Windows, но это не файл ядра Windows. У файла нет информации о создателе этого файла. Приложение не видно пользователям. Это не системный процесс Windows. Поэтому технический рейтинг надежности 71% опасности.

Если LogWatNT.exe находится в подпапках диска C:\, тогда рейтинг надежности 42% опасности. Размер файла 69,632 байт (80% всех случаев) или 53,248 байт. Приложение не видно пользователям. Это не системный процесс Windows.

Если LogWatNT.exe находится в подпапках «C:\Program Files», тогда рейтинг надежности 26% опасности. Размер файла 53,248 байт. Это не системный процесс Windows. Вы можете деинсталлировать эту программу из панели инструментов. Приложение не видно пользователям.

Важно: Некоторые вредоносные программы маскируют себя как LogWatNT.exe. Таким образом, вы должны проверить файл LogWatNT.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Комментарий пользователя

Лучшие практики для исправления проблем с LogWatNT

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

LogWatNT сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Источник

Event Log Класс

Определение

Некоторые сведения относятся к предварительной версии продукта, в которую до выпуска могут быть внесены существенные изменения. Майкрософт не предоставляет никаких гарантий, явных или подразумеваемых, относительно приведенных здесь сведений.

Обеспечивает взаимодействие с журналами событий Windows.

Примеры

начиная с Windows Vista, это приложение необходимо запускать от имени администратора.

Комментарии

EventLogпозволяет получать доступ к журналам событий Windows и настраивать их, а также записывать сведения о важных событиях программного обеспечения или оборудования. С помощью EventLog можно выполнять чтение из существующих журналов, записывать записи в журналы, создавать или удалять источники событий, удалять журналы и отвечать на записи журнала. При создании источника событий можно также создать новые журналы.

Кроме предоставления доступа к отдельным журналам событий и их записям, EventLog класс позволяет получить доступ к коллекции всех журналов событий. Члены класса можно использовать static EventLog для удаления журналов, получения списков журналов, создания или удаления источника, а также для определения того, содержит ли компьютер определенный источник.

Существует три журнала событий по умолчанию: приложение, система и безопасность. Журнал безопасности доступен только для чтения. Другие приложения и службы, которые вы устанавливаете, например Active Directory, могут иметь дополнительные журналы событий.

начиная с Windows Vista, учетные данные пользователя определяются контролем учетных записей (UAC). Члену встроенной группы «Администраторы» присваивается два маркера доступа на время выполнения: маркер доступа обычного пользователя и маркер доступа администратора. По умолчанию назначена роль обычного пользователя. Чтобы выполнить код, обращающийся к журналу безопасности, необходимо сначала повысить свои учетные данные от обычного пользователя до администратора. Это можно сделать при запуске приложения, открыв контекстное меню для приложения (если вы используете мышь, щелкните правой кнопкой мыши значок приложения) и укажите, что требуется запустить от имени администратора.

Можно использовать EventLog для создания пользовательских журналов событий, которые можно просмотреть с помощью Просмотр событий сервера. Используйте RegisterDisplayName метод, чтобы отобразить локализованное имя для журнала событий в Просмотр событий. Используйте ModifyOverflowPolicy метод, чтобы настроить поведение журнала событий при достижении максимального размера журнала.

Для чтения из журнала событий укажите имя журнала ( Log свойство) и имя компьютера сервера ( MachineName свойство для журнала событий. Если не указать имя компьютера сервера, предполагается, что используется локальный компьютер «.». Нет необходимости указывать источник события ( Source свойство), поскольку источник необходим только для записи в журналы. EntriesСвойство автоматически заполняется списком записей журнала событий.

Для записи в журнал событий укажите или создайте источник события ( Source свойство). Для создания нового источника событий необходимо иметь учетные данные администратора на компьютере. Источник событий регистрирует приложение в журнале событий в качестве допустимого источника записей. Можно использовать источник событий для записи только в один журнал за раз. SourceСвойство может быть любой случайной строкой, но имя должно отличаться от других источников на компьютере. Источником события обычно является имя приложения или другая идентифицирующая строка. При попытке создать повторяющееся Source значение возникает исключение. Однако один журнал событий может быть связан с несколькими источниками.

Если источник событий для журнала событий, связанного с EventLog экземпляром, не существует, создается новый источник событий. чтобы создать источник событий в Windows Vista и более поздних версий или Windows Server 2003, необходимо иметь учетные данные администратора.

Это требование связано с тем, что необходимо выполнить поиск всех журналов событий, включая журналы безопасности, чтобы определить, является ли источник события уникальным. начиная с Windows Vista пользователи не имеют разрешения на доступ к журналу безопасности; Поэтому SecurityException создается исключение.

Для создания или удаления источника события требуется синхронизация базового кода с помощью именованного мьютекса. Если приложение с высоким уровнем привилегий блокирует именованный мьютекс, попытка создать или удалить источник события приведет к тому, что приложение перестанет отвечать, пока блокировка не будет снята. Чтобы предотвратить возникновение этой проблемы, никогда не предоставляйте UnmanagedCode разрешение на ненадежный код. Кроме того, UnmanagedCode разрешение, потенциально разрешающее обход других разрешений, может быть предоставлено только высоко доверенному коду.

Нет ничего защищать приложение от записи в качестве зарегистрированного источника. Если приложению предоставлено Write разрешение, оно может записывать события для любого допустимого источника, зарегистрированного на компьютере.

Используйте WriteEvent методы и WriteEntry для записи событий в журнал событий. Для записи событий необходимо указать источник события. перед записью первой записи с источником необходимо создать и настроить источник события.

Создайте новый источник событий во время установки приложения. Это позволяет операционной системе обновлять свой список зарегистрированных источников событий и их конфигурацию. Если операционная система не обновила список источников событий и вы пытаетесь написать событие с новым источником, операция записи завершится ошибкой. Новый источник можно настроить с помощью EventLogInstaller объекта или CreateEventSource метода. Для создания нового источника событий необходимо иметь учетные данные администратора на компьютере.

Каждый источник может записывать только один журнал событий; Однако приложение может использовать несколько источников для записи в несколько журналов событий. Например, приложению может потребоваться несколько источников, настроенных для различных журналов событий или разных файлов ресурсов. Чтобы изменить сведения о конфигурации существующего источника, необходимо удалить источник, а затем создать его с новой конфигурацией. Если другие приложения или компоненты используют существующий источник, создайте новый источник с обновленной конфигурацией вместо удаления существующего источника.

Вы можете зарегистрировать источник событий в локализованных ресурсах для категории событий и строк сообщений. Приложение может записывать записи журнала событий с помощью идентификаторов ресурсов вместо указания фактических строковых значений. EventLogInstaller EventSourceCreationData Дополнительные сведения о настройке источника с помощью файлов ресурсов см. в разделе классы и.

Если приложение записывает строковые значения непосредственно в журнал событий, не нужно задавать свойства файла ресурсов для источника. Источник должен быть настроен либо для записи локализованных записей, либо для записи прямых строк. Если приложение записывает записи, используя как идентификаторы ресурсов, так и строковые значения, необходимо зарегистрировать два отдельных источника. Например, можно настроить один источник с файлами ресурсов, а затем использовать этот источник в WriteEvent методе для записи записей, использующих идентификаторы ресурсов, в журнал событий. Затем создайте другой источник без файлов ресурсов и используйте этот источник в WriteEntry методе для записи строк непосредственно в журнал событий с помощью этого источника.

При записи событий необходимо по крайней мере указать либо строку сообщения, либо идентификатор ресурса для строки сообщения. Другие свойства событий являются необязательными. Примеры необязательных параметров событий включают следующее.

Можно задать, EventLogEntryType чтобы указать значок, отображаемый Просмотр событий для записи.

Можно указать идентификатор категории для события, если приложение использует категории для фильтрации событий.

Если требуется связать дополнительные сведения с заданным событием, можно присоединить двоичные данные к записи события.

Ведение журнала событий потребляет место на диске, процессорное время и другие системные ресурсы. Важно регистрировать только важную информацию. Рекомендуется размещать вызовы журнала событий в пути ошибки, а не в основном коде кода, чтобы они не влияли на производительность.

Список начальных значений свойств для экземпляра EventLog см. в разделе EventLog конструктор.

Конструкторы

Инициализирует новый экземпляр класса EventLog. Не связывает экземпляр с каким-либо журналом.

Инициализирует новый экземпляр класса EventLog. Связывает экземпляр с журналом на локальном компьютере.

Инициализирует новый экземпляр класса EventLog. Связывает экземпляр с журналом на указанном компьютере.

Инициализирует новый экземпляр класса EventLog. Связывает экземпляр с журналом на указанном компьютере и создает или присваивает заданный источник классу EventLog.

Свойства

Возвращает значение, показывающее, может ли компонент вызывать событие.

Возвращает объект IContainer, который содержит коллекцию Component.

Возвращает значение, указывающее, находится ли данный компонент Component в режиме конструктора в настоящее время.

Возвращает или задает значение, определяющее, получает ли класс EventLog уведомления о событии EntryWritten.

Возвращает содержимое журнала событий.

Возвращает список обработчиков событий, которые прикреплены к этому объекту Component.

Возвращает или задает имя журнала, из которого производится чтение или запись.

Возвращает понятное имя журнала событий.

Возвращает или задает имя компьютера, на котором производится чтение или запись событий.

Возвращает или устанавливает максимальный размер журнала событий в килобайтах.

Возвращает количество дней, которое записи хранятся в журнале событий.

Возвращает поведение при переполнении для хранения новых записей, когда файл журнала событий достигает максимального размера.

Получает или задает ISite объекта Component.

Возвращает или задает имя источника, регистрируемого в журнале и используемого при записи в журнал событий.

Возвращает или задает объект, используемый для маршалинга вызовов обработчика событий, возникающих в результате события записи в EventLog.

Методы

Начинает инициализацию класса EventLog, используемого в форме или используемого другим компонентом. Инициализация происходит во время выполнения.

Удаляет все записи из журнала событий.

Закрывает журнал событий и удаляет дескрипторы чтения и записи.

Задает допустимый источник событий для записи локализованных сообщений о событиях, используя указанные свойства конфигурации источника событий и соответствующий журнал событий.

Задает указанное имя источника в качестве допустимого источника событий для внесения записей в журнал на локальном компьютере. Используя этот метод, можно также создать новый пользовательский журнал на локальном компьютере.

Устанавливает заданное имяисточника в качестве допустимого источника событий для внесения записей в журнал на указанном компьютере. Этот метод можно также использовать для создания нового пользовательского журнала на заданном компьютере.

Создает объект, который содержит всю необходимую информацию для создания прокси-сервера, используемого для взаимодействия с удаленным объектом.

Удаляет журнал событий с локального компьютера.

Удаляет журнал событий с указанного компьютера.

Удаляет регистрацию источника событий из журнала событий на локальном компьютере.

Удаляет регистрацию источника событий приложения с указанного компьютера.

Освобождает все ресурсы, занятые модулем Component.

Освобождает неуправляемые ресурсы, используемые журналом EventLog, и при необходимости освобождает также управляемые ресурсы.

Завершает инициализацию класса EventLog, используемого в форме или другим компонентом. Инициализация происходит во время выполнения.

Определяет, равен ли указанный объект текущему объекту.

Определяет наличие журнала на локальном компьютере.

Определяет наличие журнала на заданном компьютере.

Выполняет поиск всех журналов событий на локальном компьютере и создает массив объектов EventLog, содержащих список.

Выполняет поиск всех журналов событий на заданном компьютере и создает массив объектов EventLog, содержащих список.

Служит хэш-функцией по умолчанию.

Извлекает объект обслуживания во время существования, который управляет политикой времени существования данного экземпляра.

Возвращает объект, представляющий службу, предоставляемую классом Component или классом Container.

Возвращает объект Type для текущего экземпляра.

Получает объект службы времени существования для управления политикой времени существования для этого экземпляра.

Возвращает имя журнала, в котором зарегистрирован указанный источник.

Создает неполную копию текущего объекта Object.

Создает неполную копию текущего объекта MarshalByRefObject.

Изменяет поведение при внесении новых записей, когда файл журнала событий достигает максимального размера.

Определяет локализованное имя для журнала событий, которое отображается в «Просмотре событий» сервера.

Определяет, зарегистрирован ли источник событий на локальном компьютере.

Определяет, зарегистрирован ли источник событий на указанном компьютере.

Возвращает объект String, содержащий имя Component, если оно есть. Этот метод не следует переопределять.

Вносит в журнал событий запись сведений с заданным текстом сообщения.

Вносит в журнал событий следующие записи с заданным текстом сообщения: ошибка, предупреждение, сведения, аудит отказов или аудит успехов.

Вносит в журнал событий запись с заданным текстом сообщения и идентификатором события, который определяется приложением.

Вносит в журнал событий запись с заданным текстом сообщения, идентификатором события и категорией, которая определяется приложением.

Вносит в журнал событий запись с заданным текстом сообщения, идентификатором события и категорией (которые определяются приложением), а затем добавляет в сообщение двоичные данные.

Вносит в журнал событий запись сведений с заданным текстом сообщения, используя указанный зарегистрированный источник.

Вносит в журнал событий, используя указанный зарегистрированный источник, следующие записи с заданным текстом сообщения: ошибка, предупреждение, сведения, аудит отказов или аудит успехов.

Вносит в журнал событий запись с заданным текстом сообщения и идентификатором события (который определяется приложением), используя указанный зарегистрированный источник событий.

Вносит в журнал событий запись с заданным текстом сообщения и идентификатором события и категорией (которые определяется приложением), используя указанный зарегистрированный источник событий. С помощью category осуществляется фильтрация событий журнала в компоненте «Просмотр событий».

Вносит в журнал событий запись с заданным текстом сообщения, идентификатором события и категорией (которые определяются приложением), используя указанный зарегистрированный источник событий, а затем добавляет в сообщение двоичные данные.

Заносит записи журнала событий с данными события, строками замещения сообщения и связанными двоичными данными.

Вносит локализованные записи в журнал событий.

Вносит в журнал событий запись с заданными данными сообщения, строками замещения сообщения и связанными двоичными данными, используя указанный зарегистрированный источник событий.

Вносит в журнал событий запись с заданными данными сообщения и строками замещения сообщения, используя указанный зарегистрированный источник событий.

События

Возникает при удалении компонента путем вызова метода Dispose().

Происходит при внесении записи в журнал событий на локальном компьютере.

Источник

Журналы Windows

Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.

Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:

В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

Для удобства просмотра и управления системные журналы разбиты по категориям:

В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.

Сами события также разделяются на типы:

Работа с журналами

Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:

Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:

Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.

Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):

Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):

В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:

В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:

Источник