Šiame vadove parodysime, kaip naudoti „Windows“ įvykių peržiūros priemonę „Windows“ žurnalams peržiūrėti ir juos filtruoti pagal įvairius kriterijus.
Būtinos sąlygos:
Norėdami atlikti šiame vadove nurodytus veiksmus, jums reikia šių komponentų:
- Tinkamai sukonfigūruota „Windows 10/11“ sistema. Norėdami išbandyti, patikrinkite, kaip nustatyti „Windows“ VM naudojant „VirtualBox“.
- Administratoriaus prieiga
„Windows“ įvykių peržiūros programa
Pagal numatytuosius nustatymus įvairios programos (ir OS dalys) siunčia pranešimus OS apie tam tikrą veiklą, pvz., tvarkyklės keistenybes, saugos naujinimus, aparatūros gedimus ir kt. Įvykių peržiūros priemonė yra speciali programa, kuri kaupia šiuos pranešimus ir veikia kaip registravimo centras.
Turėdama administratoriaus teises, įvykių peržiūros programa gali rodyti kiekvieną pagrindinį įvykį, kuris vyksta sistemoje. Tai gali būti neįtikėtinai naudinga derinant.
Įvykių peržiūros priemonė taip pat turi galingas filtravimo galimybes, kurios gali parodyti sistemos veiklą tam tikru metu, suaktyvintą tam tikros programos, paleidimo sunkumą ir kt.
Įvykių peržiūros programos paleidimas
Pradžios meniu įveskite „Event Viewer“.
Arba lange „Vykdyti“ paleiskite šį raktinį žodį:
$ eventvwr
Pagrindiniame lange bus pateikta visų sistemos veiklų suvestinė.
Įvykių peržiūros vartotojo sąsaja
Kairiajame skydelyje žurnalai surūšiuoti į įvairias kategorijas.
Pavyzdžiui, pasirinkite antrinę kategoriją „Windows žurnalai“, kad pamatytumėte „Windows“ ir „Windows“ programų žurnalų suvestinę.
Norėdami peržiūrėti visų „Microsoft“ produktų generuojamus žurnalus, eikite į „Programų ir paslaugų žurnalai“ >> „Microsoft“.
Žurnalų peržiūra
Šiame pavyzdyje apžvelgsime žurnalus, kuriuos generuoja „Windows PowerShell“. Kairiajame skydelyje eikite į „Programų ir paslaugų žurnalai“ >> „Windows PowerShell“.
Čia galime pamatyti visus įvykius, kuriuos suaktyvina „PowerShell“. Mūsų atveju įvykių peržiūros programa užregistravo apie 10 000 „PowerShell“ įvykių. Kiekvienas žurnalas reiškia įvykį.
Žurnalo informaciją galite pamatyti pasirinkę žurnalą.
Norėdami gauti išsamesnės informacijos, eikite į skirtuką „Išsami informacija“.
Įvykių žurnalų filtravimas
Užuot be tikslo naršydami žurnalus, galime naudoti įvykių peržiūros priemonę tam tikriems filtrams pritaikyti, kad gautume tikslesnį vaizdą. Tai gali būti nepaprastai naudinga, kai bandote derinti kokią nors problemą, nesvarbu, ar tai aparatinės įrangos, tvarkyklės ar programinės įrangos klaida.
Norėdami sukurti naują filtrą, dešiniajame skydelyje pasirinkite „Sukurti pasirinktinį vaizdą“.
Naujame lange galime pritaikyti įvairius filtrus.
Čia:
- Prisiregistravo : įvykių peržiūros priemonė priglobia žurnalus nuo operacinės sistemos įdiegimo. Daugeliu atvejų ieškoti visų jų nėra optimalu. Naudodami šį filtrą galime apriboti paieškos apimtį pagal laiką.
- Renginio lygis : kai įvykis registruojamas, jam priskiriamas sunkumo lygis. Yra penkių tipų įvykiai: kritinis, klaida, įspėjimas, informacija ir išsamus.
- Pagal žurnalą : apriboti paieškos apimtį pagal medį.
- Pagal šaltinį : apribokite paieškos apimtį pagal įvykio aktyviklio šaltinį. Įvykių paleidikliai gali būti įvairūs OS aparatai arba bet kuri įdiegta programa.
Pavyzdžiui, norint išvardyti visus įvykius, kuriuos suaktyvina „PowerShell“, tinkinto rodinio forma atrodo taip:
Pagal numatytuosius nustatymus įvykių peržiūros priemonė siūlo išsaugoti naujai sukurtą filtrą kaip pasirinktinį rodinį.
Rezultatas turėtų atrodyti taip:
Žurnalų atsarginių kopijų kūrimas
Įvykių peržiūros priemonė taip pat gali eksportuoti įvykių žurnalus. Tai gali būti naudinga derinant arba kuriant atsargines svarbių žurnalų kopijas vėliau.
Šiame pavyzdyje sukursime „Windows PowerShell“ žurnalų atsarginę kopiją.
Kairiajame skydelyje pasirinkite „Windows PowerShell“, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite „Išsaugoti visus įvykius kaip“.
Būsite paraginti pasirinkti vietą, kurioje bus saugomas atsarginės kopijos failas.
Galiausiai įvykių peržiūros programa paklaus, ar norite išsaugoti papildomą rodymo informaciją kartu su failu. Rekomenduojama juos įtraukti, kad žurnalus būtų galima dirbti bet kuriame kitame kompiuteryje. Tačiau tik atsarginės kopijos kūrimo tikslais galbūt norėsite to vengti, kad sumažintumėte failo dydį.
Jei pasirenkate įtraukti papildomus rodymo duomenis, įvykių peržiūros priemonė sukuria papildomą „LocaleMetaData“ katalogą.
Žurnalų importavimas
Dabar sužinojome, kaip sėkmingai kurti atsargines įvykių žurnalų kopijas. Dabar turime išmokti juos importuoti, kai reikia.
Norėdami importuoti žurnalus iš įvykių peržiūros programos atsarginės kopijos failo, pagrindiniame lange eikite į Veiksmas >> Atidaryti išsaugotą žurnalą.
Dabar ieškokite atsarginės kopijos failo.
Galite nuspręsti, kokį pavadinimą ir kur jis bus saugomas. Pagal numatytuosius nustatymus įvykių peržiūros priemonė juos pateikia „Išsaugotų žurnalų“ skiltyje.
Importuoti žurnalai turėtų būti pasiekiami skiltyje „Išsaugoti žurnalai“.
Žurnalų išvalymas
Įvykių peržiūros programa renka žurnalus nuo pat operacinės sistemos įdiegimo. Suteikus pakankamai laiko, susikaups daugybė rąstų. Įvykių peržiūros priemonė taip pat leidžia išvalyti visus šiuo metu sukauptus žurnalus. Tačiau šiam veiksmui gali prireikti administratoriaus teisių.
Norėdami išvalyti žurnalus, kairiajame skydelyje pasirinkite antrinę kategoriją ir pasirinkite „Išvalyti žurnalą“.
Įvykių peržiūros programa pateikia įspėjimą prieš nuspręsdama išvalyti žurnalus.
Rezultatas turėtų atrodyti taip:
Išvada
Šiame vadove pademonstravome, kaip naudoti įvykių peržiūros programą norint peržiūrėti „Windows“ įvykių žurnalus. Taip pat išmokome naršyti žurnaluose, taikyti pasirinktinius filtrus, kurti atsargines ir importuoti žurnalus ir kt.
Sėkmingo darbo kompiuteriu!