În acest ghid, vom demonstra cum să utilizați Windows Event Viewer pentru a vizualiza jurnalele Windows și a le filtra în funcție de diferite criterii.
Cerințe preliminare:
Pentru a efectua pașii care sunt demonstrați în acest ghid, aveți nevoie de următoarele componente:
- Un sistem Windows 10/11 configurat corespunzător. Pentru testare, verificați cum să configurați o mașină virtuală Windows folosind VirtualBox.
- Acces de administrator
Vizualizator de evenimente pe Windows
În mod implicit, diverse aplicații (și părți ale sistemului de operare) trimit o notificare către sistemul de operare pentru o anumită activitate, cum ar fi ciudateniile driverului, actualizările de securitate, defecțiunile hardware și multe altele. Event Viewer este o aplicație dedicată care reunește aceste notificări și acționează ca hub pentru înregistrare.
Cu privilegii de administrator, Vizualizatorul de evenimente poate afișa fiecare eveniment major care are loc în sistem. Poate fi incredibil de util în scopuri de depanare.
Vizualizatorul de evenimente oferă, de asemenea, capabilități puternice de filtrare care pot afișa activitatea sistemului la un anumit moment, declanșată de un anumit program, severitatea declanșatorului și multe altele.
Lansarea Vizualizatorului de evenimente
Introduceți „Event Viewer” din meniul de pornire.
Alternativ, rulați următorul cuvânt cheie din fereastra „Run”:
$ eventvwr
Fereastra principală vă va prezenta un rezumat al tuturor activităților sistemului.
Interfața de utilizare a Vizualizatorului de evenimente
În panoul din stânga, jurnalele sunt sortate în diferite categorii.
De exemplu, selectați subcategoria „Jurnale Windows” pentru a vedea un rezumat al jurnalelor pentru aplicațiile Windows și Windows.
Pentru a vedea jurnalele care sunt generate de toate produsele Microsoft, accesați „Jurnalele aplicațiilor și serviciilor” >> „Microsoft”.
Vizualizarea jurnalelor
În exemplul următor, ne vom uita la jurnalele care sunt generate de Windows PowerShell. Din panoul din stânga, accesați „Jurnalele de aplicații și servicii” >> „Windows PowerShell”.
Aici, putem vedea toate evenimentele care sunt declanșate de PowerShell. În cazul nostru, Vizualizatorul de evenimente a înregistrat aproximativ 10.000 de evenimente PowerShell. Fiecare jurnal reprezintă un eveniment.
Puteți vedea detaliile jurnalului la selectarea unui jurnal.
Pentru detalii mai aprofundate, accesați fila „Detalii”.
Filtrarea jurnalelor de evenimente
În loc să răsfoim jurnalele fără scop, putem folosi Vizualizatorul de evenimente pentru a aplica anumite filtre pentru a obține o imagine mai precisă. Poate fi incredibil de util ori de câte ori încercați să depanați o problemă, fie că este o problemă hardware, o problemă cu driverul sau o eroare software.
Pentru a crea un filtru nou, selectați „Creați vizualizare personalizată” din panoul din dreapta.
Putem aplica diverse filtre în noua fereastră.
Aici:
- Înregistrat : Event Viewer găzduiește jurnalele de la instalarea sistemului de operare. Căutarea prin toate acestea nu este, în majoritatea situațiilor, optimă. Folosind acest filtru, putem limita domeniul de aplicare al căutării în funcție de timp.
- Nivelul evenimentului : Ori de câte ori un eveniment este înregistrat, i se atribuie un nivel de severitate. Există cinci tipuri de evenimente: Critice, Eroare, Avertisment, Informații și Verbos.
- Prin jurnal : Limitați sfera căutării după arbore.
- După sursă : Limitați sfera căutării după sursa declanșatorului evenimentului. Declanșatoarele de evenimente pot fi diverse aparate ale sistemului de operare sau orice program instalat.
De exemplu, pentru a enumera toate evenimentele care sunt declanșate de PowerShell, formularul de vizualizare personalizată arată astfel:
În mod implicit, Vizualizatorul de evenimente oferă salvarea filtrului nou creat ca vizualizare personalizată.
Rezultatul ar trebui să arate astfel:
Copiere de rezervă a jurnalelor
Vizualizatorul de evenimente poate exporta, de asemenea, jurnalele de evenimente. Poate fi util pentru depanare sau pentru a face copii de rezervă ale jurnalelor importante pentru mai târziu.
În acest exemplu, vom crea o copie de rezervă a jurnalelor „Windows PowerShell”.
Din panoul din stânga, selectați „Windows PowerShell”, faceți clic dreapta pe el și selectați „Salvați toate evenimentele ca”.
Vi se va solicita să alegeți locația în care este stocat fișierul de rezervă.
În cele din urmă, Vizualizatorul de evenimente vă va întreba dacă doriți să stocați informațiile suplimentare de afișare împreună cu fișierul. Este recomandat să le includeți, astfel încât jurnalele să poată fi lucrate pe orice alt computer. Cu toate acestea, numai în scopuri de backup, poate doriți să o evitați pentru a reduce dimensiunea fișierului.
Dacă alegeți să includeți datele suplimentare de afișare, Vizualizatorul de evenimente creează un director suplimentar „LocaleMetaData”.
Importul jurnalelor
Acum am învățat cum să facem copii de rezervă ale jurnalelor de evenimente cu succes. Acum, trebuie să învățăm cum să le importam atunci când este necesar.
Pentru a importa jurnalele dintr-un fișier de rezervă Event Viewer, accesați Acțiune >> Deschideți jurnalul salvat din fereastra principală.
Acum, căutați fișierul de rezervă.
Puteți decide numele depozitului de jurnal și unde va fi stocat. În mod implicit, Vizualizatorul de evenimente le pune sub „Jurnalele salvate”.
Jurnalele importate ar trebui să fie disponibile în „Jurnalele salvate”.
Ștergerea jurnalelor
Event Viewer a colectat jurnalele de la instalarea sistemului de operare. Având suficient timp, se va acumula un număr mare de bușteni. Event Viewer permite, de asemenea, ștergerea tuturor jurnalelor care sunt acum acumulate. Cu toate acestea, această acțiune poate necesita un privilegiu de administrator.
Pentru a șterge jurnalele, selectați o subcategorie din panoul din stânga și selectați „Ștergeți jurnalul”.
Vizualizatorul de evenimente lansează un avertisment înainte de a decide să șterge jurnalele.
Rezultatul ar trebui să arate astfel:
Concluzie
În acest ghid, am demonstrat cum să utilizați Vizualizatorul de evenimente pentru a căuta prin jurnalele de evenimente Windows. De asemenea, am învățat cum să navigăm prin jurnale, să aplicăm filtrele personalizate, să facem backup și să importam jurnalele etc.
Calcul fericit!