Event Viewer ใน Windows คืออะไรและคุณจะใช้งานได้อย่างไร วิธีใช้ Windows Event Viewer เพื่อแก้ไขปัญหาคอมพิวเตอร์ ดูบันทึกจากระยะไกล

ฉันคิดว่าผู้ใช้ทุกคนที่ทำงานกับคอมพิวเตอร์ประสบปัญหาและข้อผิดพลาด ถึงเวลาที่คุณจะต้องเรียนรู้วิธีอ่านบันทึกเหตุการณ์ของ Windows ซึ่งแสดงข้อความจากแอปพลิเคชันและระบบเอง: ข้อผิดพลาด ข้อความที่ให้ข้อมูล คำเตือน ประกอบด้วยข้อมูลเกี่ยวกับเหตุการณ์ที่ระบบพิจารณาว่าจะบันทึกสำหรับผู้ดูแลระบบ เช่นนั้น เผื่อว่าคุณเป็นนักดับเพลิง

ในระบบปฏิบัติการปกติ ผู้ใช้ไม่ทราบวิธีที่นี่ - ไม่จำเป็นเลย อย่างไรก็ตาม เมื่อข้อผิดพลาด (ล่าช้า) ปรากฏใน Windows มีหลายสาเหตุที่ต้องดูที่นี่ โชคดีที่มีบางสิ่งที่ต้องเรียนรู้จากที่นี่

บันทึกเหตุการณ์อยู่ที่ไหน?

วิธีที่เร็วที่สุดในการเข้าถึงคือพิมพ์ลงในแถบค้นหาหลังจากกดปุ่ม ชนะคำว่า "บันทึกเหตุการณ์" และคลิกที่ลิงค์ที่เหมาะสม:

หรือพิมพ์ Start - command eventvwr.msc. โดยค่าเริ่มต้น โปรแกรมดูเหตุการณ์จะเปิดแท็บ รวมถึงสรุปกิจกรรมการดูแลระบบ ซึ่งแสดงรายการข้อมูลตามความสำคัญของผู้ดูแลระบบ ที่สำคัญที่สุดของพวกเขา วิกฤตประเภทเหตุการณ์ เดินชมบริเวณส่วนต่างๆ บันทึกของ Windows, ไดเร็กทอรีที่สำคัญ การใช้งานและ ระบบ.

ทุกสิ่งที่เกิดขึ้นในระบบจะถูกบันทึกไว้ในเอกสารหลายฉบับ และเป็นไปได้มากว่าคุณจะพบข้อผิดพลาดหลายประการที่นั่น นี่ยังไม่มีความหมายอะไร หากระบบมีเสถียรภาพ ข้อผิดพลาดเหล่านี้ก็ไม่สำคัญและจะไม่รบกวนคุณ อย่างไรก็ตามคุณสามารถดูได้อย่างใกล้ชิด - ข้อผิดพลาดจะถูกบันทึกสำหรับโปรแกรมที่ไม่ได้ใช้งานบนคอมพิวเตอร์เป็นเวลานาน

เกมถูกปิดโดยใช้ปุ่ม Alt + F4 - เห็นได้ชัดว่าแม่เข้ามาในห้อง

ตามทฤษฎีแล้ว โปรแกรมอื่นๆ จะถูกบอกให้บันทึกเหตุการณ์ที่สำคัญและไม่สำคัญลงในวารสารด้วย แต่เท่าที่ฉันจำได้ โปรแกรมเหล่านั้นแทบจะไม่ทำเช่นนี้เลย

ผู้อ่านอาจดูเหมือนไม่จำเป็นต้องให้ความสนใจกับวารสารอีกต่อไป

บันทึกจะช่วยให้ผู้ใช้ที่เอาใจใส่และรอบคอบในกรณีที่เกิดความผิดปกติร้ายแรง เช่น เมื่อระบบปรากฏขึ้นหรือรีบูตโดยไม่คาดคิด ดังนั้นจึงสามารถตรวจพบไดรเวอร์ที่ "เสีย" ในบันทึกได้อย่างง่ายดาย คุณเพียงแค่ต้องดูไอคอนสีแดงที่ปรากฏพร้อมกับคำจารึกอย่างระมัดระวัง ระดับวิกฤติและลบไดรเวอร์ที่ระบุออกหรืออาจคิดจะเปลี่ยนอุปกรณ์

ยังไม่มีอะไรเลวร้ายเกิดขึ้น

และที่นี่ทุกอย่างก็จริงจังแล้ว: คอมพิวเตอร์ปิดอยู่

เรากำลังมองหาเหตุการณ์ที่จำเป็น: กระบวนการและบันทึกผลลัพธ์

ตัวอย่างเช่น หลังจากทำงานไประยะหนึ่ง เราสังเกตเห็นว่าเมาส์ค้าง บางโฟลเดอร์หายไป และเส้นทางไม่ทำงาน: สัญญาณแรกที่ปรากฏขึ้นบนดิสก์ ในการทำงานกับพวกเขาคุณจะต้องเรียกใช้ยูทิลิตีตรวจสอบสถานะดิสก์ตามลำดับ chkdsk /fซึ่งจะเริ่มทำงานหลังจากรีบูตเครื่องจากนั้นเราจะตรวจสอบความสมบูรณ์ของระบบไฟล์ของ Windows เอง sfc /scannow.sfc- ดังนั้นคุณสามารถดูผลงานของทั้งยูทิลิตี้เหล่านี้และยูทิลิตี้อื่น ๆ ได้ในนิตยสารเดียวกัน:

เนื่องจากหนึ่งในยูทิลิตี้เหล่านี้ถูกเปิดใช้งานโดยระบบก่อนที่จะบูตเท่านั้น (สำหรับโวลุ่มที่มีระบบนี้) จึงสมเหตุสมผลที่จะค้นหาผลลัพธ์โดยใช้แฟล็ก วินิจ(จาก ชนะดาว์น เริ่มต้นการโทรออก)

วิธีการเรียนรู้การอ่านบันทึกเหตุการณ์ของ Windows

อย่างไรก็ตาม คุณไม่จำเป็นต้องเดา Microsoft มีหน้าสนับสนุนอย่างเป็นทางการสำหรับข้อความระบบ หากสนใจงานใดงานหนึ่งสามารถเข้าไปที่หน้าเว็บ:

อย่างไรก็ตาม ในความคิดของฉัน บริการที่ดีมากที่จะช่วยให้คุณอ่านบันทึกเหตุการณ์ของ Windows ก็คือบริการดังกล่าว

ไม่มีอะนาล็อกในรัสเซีย แต่สำหรับผู้ที่พูดภาษาอังกฤษและอยากรู้อยากเห็นฉันจะแสดงวิธีใช้ให้คุณดู ดังนั้น สำหรับตัวอย่างที่กล่าวข้างต้น ในหน้าบริการ ให้ป้อนรหัสข้อผิดพลาดและบริการที่ทำให้เกิดข้อผิดพลาดในช่อง:

สิ่งที่เหลืออยู่คือการป้อนเงื่อนไขของเราในการค้นหาโดยคลิกที่ปุ่มค้นหาและผลลัพธ์จะปรากฏบนหน้าพร้อมคำอธิบายข้อผิดพลาด อย่างเป็นทางการจะไม่มีรายละเอียดมากไปกว่าคำอธิบายที่ Journal กำหนดไว้อย่างไรก็ตามหากคุณเลื่อนลงไปที่หน้าผลลัพธ์จากนั้นในคำอธิบายเป็นภาษาอังกฤษคุณจะเห็นลิงก์ไปยังฟอรัมประเภทหนึ่งพร้อมวิธีแก้ปัญหาสำเร็จรูป ปัญหาหรือสาเหตุที่ผู้ใช้พบแล้วเมื่อเกิดข้อผิดพลาดชื่อเดียวกัน ทุกอย่างเป็นภาษาอังกฤษ ฉันต้องศึกษา... และพูดตามตรง ผู้รับใช้ที่ต่ำต้อยของคุณไม่ค่อยไปไกลกว่าไซต์นี้: สิ่งที่คล้ายกันเคยเกิดขึ้นที่ไหนสักแห่งแล้ว

เช่นเคย การดูบันทึกเหตุการณ์ไม่ใช่ยาครอบจักรวาล อย่างไรก็ตาม สามารถช่วยให้ผู้ใช้ไม่ต้องคาดเดาอย่างไร้ความหมายโดยประหยัดเวลาในการค้นหาปัญหาได้มาก

บันทึกเหตุการณ์ Windows - จะล้างได้อย่างไร

เราจึงได้จัดการกับปัญหาต่างๆ แล้ว ระบบก็มีเสถียรภาพ จากนั้น กำจัดรายการที่ไม่จำเป็นในวารสารออกไป: หากคุณเยี่ยมชมวารสาร คุณอาจสังเกตเห็นความยุ่งเหยิงในแง่ของจำนวนรายการในนั้น

มีวิธีทำความสะอาดหลายวิธี คุณสามารถทำได้ผ่าน Windows PowerShell:

Wevtutil เอล | Foreach-Object (เขียน - โฮสต์ "การล้าง $_"; wevtutil cl "$_")

คุณสามารถผ่านคอนโซล:

สำหรับ /f %x ใน ("wevtutil el") ให้ทำ wevtutil cl "%x"

ฉันจะเสนอสคริปต์เล็กๆ ให้คุณใส่ในเอกสารข้อความและบันทึกพร้อมกับส่วนขยาย .ค้างคาว- ฉันเรียกบันทึกการทำความสะอาดของฉัน (เรียกใช้ไฟล์สุดท้ายด้วยสิทธิ์ของผู้ดูแลระบบ):

นี่คือสคริปต์:

@echo off FOR /F "tokens=1,2*" %%V IN ("bcdedit") DO SET adminTest=%%V IF (%adminTest%)==(Access) ไปที่ noAdmin สำหรับ /F "tokens=* " %%G ใน ("wevtutil.exe el") DO (call:do_clear "%%G") เสียงก้อง

echo ไปที่ theEnd:do_clear การล้าง echo %1 wevtutil.exe cl %1 ไปที่:eof:noAdmin ออก

รอจนกว่าสคริปต์จะเสร็จสิ้น หน้าต่างคอนโซลจะปิดเอง:

ระบบปฏิบัติการ Windows Vista จะตรวจสอบทุกสิ่งที่เกิดขึ้นกับระบบปฏิบัติการอย่างระมัดระวังและไม่ไม่รู้จักเหน็ดเหนื่อย การกระทำทั้งหมดที่เรียกว่า "เหตุการณ์" จะถูกบันทึกและกระจายออกเป็นหมวดหมู่ต่างๆ อย่างต่อเนื่อง โปรแกรม Event Viewer (ซึ่งในกรณีที่คุณสงสัยว่าเป็นเครื่องมือของ MMC) ถือได้ว่าเป็นบันทึกประจำวันที่หญิงชราผู้พิถีพิถันและพิถีพิถันเก็บไว้บนม้านั่งตรงทางเข้า โดยจะบันทึกว่าใครเข้าและออกจากบ้าน การสนทนาที่เกิดขึ้นระหว่างผู้อยู่อาศัย ใครหย่าร้างกับใคร และทะเลาะวิวาทกัน กล่าวอีกนัยหนึ่งคือมีภาพรวมที่สมบูรณ์ของวิถีชีวิตของบ้าน

ฟังก์ชั่นสอดแนมที่คล้ายกันนั้นดำเนินการโดยโปรแกรม Event Viewer ซึ่งแตกต่างจากความอยากรู้อยากเห็นของหญิงชราซึ่งออกแบบมาเพื่อวินิจฉัยและระบุปัญหาในการทำงานของระบบปฏิบัติการที่ผู้ใช้ไม่รู้

เหตุการณ์ทั้งหมดที่เกิดขึ้นในระบบจะถูกบันทึกไว้ในบันทึกของระบบพิเศษ Event Viewer ช่วยให้คุณสามารถดูเนื้อหาของบันทึกเหล่านี้ เก็บถาวร และลบออกได้ คุณสามารถใช้โปรแกรมนี้ได้อย่างไร? วัตถุประสงค์หลักคือการระบุปัญหาที่เกิดขึ้นและสาเหตุของการเกิดขึ้น หากอุปกรณ์ทำงานผิดปกติฮาร์ดไดรฟ์จะ "อุดตันความจุ" บางโปรแกรม "ค้าง" ตลอดเวลาหรือมีเหตุการณ์ไม่พึงประสงค์เกิดขึ้นข้อมูลเกี่ยวกับสิ่งที่เกิดขึ้นจะถูกบันทึกไว้ในบันทึกของระบบที่เกี่ยวข้อง จากนั้นเพียงเปิดตัว Event Viewer และรับข้อมูลที่ครบถ้วนและชัดเจนจากบันทึกของระบบ

  • คุณสามารถเริ่ม Event Viewer ได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้ เลือกทีมเริ่ม>แผงควบคุม คลิกที่ลิงค์ระบบและการดูแลรักษา จากนั้นไปที่ลิงก์การบริหาร โปรแกรมดูเหตุการณ์.
  • และสุดท้ายก็อยู่ที่ลิงค์ วิธีที่สองสำหรับผู้ที่ใจร้อน: ป้อนคำสั่งในบรรทัดคำสั่ง.

เหตุการณ์vwr จำได้ว่านอกเหนือจากการคลิกปุ่มเริ่ม - โปรดจำไว้ว่าจำเป็นต้องมีการเข้าถึงระดับผู้ดูแลระบบเพื่อใช้ความสามารถทั้งหมดของเครื่องมือ Event Viewer

ไม่ว่าในกรณีใด หน้าต่างที่แสดงด้านล่างจะเปิดขึ้น

  • ดูเหตุการณ์จากบันทึกของระบบหลายรายการ
  • สร้างตัวกรองเหตุการณ์เป็นมุมมองที่กำหนดเอง
  • ความสามารถในการสร้างงานที่ทำงานโดยอัตโนมัติกับเหตุการณ์เฉพาะ

มาดูหน้าต่างที่แสดงด้านบนกันดีกว่า หน้าต่างแบ่งออกเป็นสามบาน บนแผงด้านซ้าย โปรแกรมดูเหตุการณ์มีหลายโฟลเดอร์ที่มีมุมมอง เรื่องราว และการสมัครสมาชิกแบบกำหนดเอง แผงกลางประกอบด้วยเมนูย่อยหลายรายการ เช่น และ โหนดที่ดูล่าสุด- ในที่สุดบนแผงด้านขวา การดำเนินการคุณสามารถเลือกการกระทำที่เฉพาะเจาะจงได้ เช่น การสร้างมุมมองแบบกำหนดเอง หรือการเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่น

แผง ช่วยให้คุณระบุเหตุการณ์สำคัญทั้งหมดที่บันทึกไว้ในชั่วโมง วัน หรือสัปดาห์ที่ผ่านมาได้อย่างรวดเร็ว กิจกรรมแต่ละประเภทสามารถขยายเพื่อแสดงข้อมูลโดยละเอียดเกี่ยวกับกิจกรรมได้ แผงจะให้ภาพทั่วไปของสิ่งที่เกิดขึ้นในระบบ และเพื่อรับข้อมูลเฉพาะ คุณควรไปที่เหตุการณ์เฉพาะ

เนื่องจาก Event Viewer ใช้เพื่อดูบันทึกของระบบ ให้คลิกที่ไอคอนโฟลเดอร์ และ บันทึกแอปพลิเคชันและบริการในแผงด้านซ้ายเพื่อขยายรายชื่อวารสารที่มีอยู่ มาดูรายละเอียดเพิ่มเติมกันดีกว่า ในโฟลเดอร์ มีการนำเสนอนิตยสารดังต่อไปนี้

  • แอปพลิเคชัน- เหตุการณ์ในบันทึกนี้สร้างขึ้นโดยแอปพลิเคชัน รวมถึงโปรแกรมที่ติดตั้งที่มาพร้อมกับ Windows Vista และบริการระบบปฏิบัติการ เหตุการณ์ใดบ้างที่บันทึกไว้ในบันทึกนี้จะขึ้นอยู่กับโปรแกรมเฉพาะ
  • ความปลอดภัย- บันทึกนี้แสดงรายการความพยายามเข้าสู่ระบบของผู้ใช้ (สำเร็จและไม่สำเร็จ) รวมถึงการดำเนินการที่เกี่ยวข้องกับทรัพยากรที่ใช้ร่วมกัน เช่น การดำเนินการเพื่อสร้าง แก้ไข หรือลบไฟล์หรือโฟลเดอร์
  • การตั้งค่า- เหตุการณ์ในบันทึกนี้ถูกสร้างขึ้นเมื่อมีการติดตั้งโปรแกรม
  • ระบบ- เหตุการณ์ของระบบสร้างขึ้นโดย Windows เองและโดยส่วนประกอบที่ติดตั้ง เช่น ไดรเวอร์อุปกรณ์ บันทึกนี้มีประโยชน์ในการระบุไดรเวอร์ที่ไม่สามารถโหลดได้เมื่อ Windows เริ่มทำงาน
  • กิจกรรมที่ส่งต่อ- บันทึกนี้มีเหตุการณ์ที่รวบรวมจากคอมพิวเตอร์เครื่องอื่นบนเครือข่าย

ในโฟลเดอร์ บันทึกแอปพลิเคชันและบริการคุณสามารถค้นหารายการสำหรับแอปพลิเคชันและบริการแต่ละรายการได้ แม้ว่าบันทึกอื่นๆ จะให้ข้อมูลทั่วไป แต่บันทึกนี้จะให้ข้อมูลเกี่ยวกับการทำงานของโปรแกรมเฉพาะ สังเกตเห็นโฟลเดอร์ย่อยของ Microsoft ซึ่งมีโฟลเดอร์ย่อยของ Windows ในโฟลเดอร์นี้ คุณจะพบรายการสำหรับส่วนประกอบต่างๆ ของ Windows Vista ซึ่งแสดงอยู่ในโฟลเดอร์ที่แยกจากกัน

Windows เป็นระบบปฏิบัติการที่ค่อนข้างซับซ้อนและการติดตามกระบวนการทั้งหมดรวมถึงข้อผิดพลาดเป็นเรื่องยากสำหรับผู้ใช้ที่ไม่มีประสบการณ์

เพื่อวัตถุประสงค์เหล่านี้ในระบบปฏิบัติการนั้นเอง มีการบันทึกให้ทุกสิ่งที่เกิดขึ้นและทุกการกระทำในระบบ คุณสามารถแสดงและดูบันทึกนี้โดยใช้ Windows Event Viewer

แสดงตัวแสดงเหตุการณ์ของ Windows

คุณสามารถดูข้อมูลเกี่ยวกับการทำงานของระบบปฏิบัติการได้สองวิธี:

  • ใช้คำสั่ง cmd ( บรรทัดคำสั่ง);
  • โดยการใช้ แผงควบคุม.

หากต้องการโทรไปที่บรรทัด cmd คุณสามารถใช้ แป้นพิมพ์ลัด Win+Rหรือผ่านเครือข่ายที่มีชื่อเสียง: เริ่ม - โปรแกรมทั้งหมด - อุปกรณ์เสริม - บรรทัดคำสั่ง.

ในหน้าต่างที่เปิดขึ้น ให้ป้อนลำดับ eventvwr.msc

หรือผ่านทาง Start - แผงควบคุม - ระบบและการบำรุงรักษา - จากนั้นไปที่ลิงก์.

หน้าต่างหลักของยูทิลิตี้จะแสดงบนเดสก์ท็อป เลือกรายการ ""

อย่าตกใจหากมีข้อผิดพลาดในรายการ แม้ในระบบการทำงานที่สมบูรณ์แบบ ข้อความที่คล้ายกันก็สามารถปรากฏขึ้นได้ ในกรณีส่วนใหญ่ พวกมันจะถูกแยกออกจากกันและเกิดจากความผิดพลาดเล็กน้อยของแอปพลิเคชั่น

เป็นไปได้มากว่าคำอธิบายข้อผิดพลาดจะไม่มีความหมายใดๆ ต่อผู้ใช้ทั่วไป การดูบันทึกสามารถช่วยให้ผู้ดูแลระบบหรือผู้ใช้ "ขั้นสูง" เข้าใจความล้มเหลวของระบบที่เกิดขึ้น

วิธีใช้ดู

ข้อมูลอะไรบ้างที่สามารถเรียนรู้ได้จากนิตยสาร? หากคอมพิวเตอร์ของคุณก่อให้เกิดข้อผิดพลาดอย่างเป็นระบบ รีบูตแบบสุ่ม หรือแสดง "หน้าจอสีน้ำเงินแห่งความตาย" จากนั้นระบบจะบันทึกเหตุการณ์ทั้งหมดที่นำไปสู่การทำงานผิดพลาด เมื่อดูข้อมูล คุณสามารถหาคำตอบได้ในเวลาใดที่บริการ ไดรเวอร์ หรือส่วนประกอบฮาร์ดแวร์ทำให้เกิดข้อผิดพลาดเฉพาะ จากข้อมูลนี้ สามารถใช้มาตรการที่จำเป็นเพื่อกำจัดการละเมิดได้

นอกจากข้อมูลข้อผิดพลาดแล้ว บันทึกยังสามารถใช้เพื่อวัตถุประสงค์อื่นได้ด้วย คุณสามารถเชื่อมโยงเหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบได้ ปฏิบัติงานเฉพาะ- ซึ่งจะช่วยให้ในอนาคตหากเกิดสถานการณ์ที่คล้ายกันเกิดขึ้น สามารถปฏิบัติตามเงื่อนไขที่ตั้งไว้ได้โดยอัตโนมัติ

เมื่อต้องการทำเช่นนี้ องค์ประกอบใด ๆ จากรายการก็เพียงพอแล้ว เมนูบริบทการโทรคลิกขวาและเลือก " เชื่อมโยงงาน».

การล้างบันทึกเหตุการณ์

การลบข้อมูลทั้งหมดออกจากวารสารก็ไม่ใช่เรื่องยากเช่นกัน ในการดำเนินการนี้ในบล็อกด้านซ้ายของหน้าต่างบันทึกให้เลือกองค์ประกอบแผนผังเมนูที่ต้องล้าง คลิกขวาเพื่อเรียกเมนูบริบท - “ ล้างบันทึก»

ระบบปฏิบัติการ Windows 7 จะตรวจสอบเหตุการณ์สำคัญต่างๆ ที่เกิดขึ้นในระบบของคุณอย่างต่อเนื่อง บนไมโครซอฟต์วินโดวส์ เหตุการณ์คือเหตุการณ์ใดๆ ในระบบปฏิบัติการที่ถูกบันทึกไว้หรือต้องมีการแจ้งเตือนไปยังผู้ใช้หรือผู้ดูแลระบบ นี่อาจเป็นบริการที่ไม่ต้องการเริ่มต้น การติดตั้งอุปกรณ์ หรือข้อผิดพลาดของแอปพลิเคชัน เหตุการณ์จะถูกบันทึกและจัดเก็บไว้ในบันทึกเหตุการณ์ของ Windows และให้ข้อมูลประวัติที่สำคัญซึ่งจะช่วยให้คุณตรวจสอบระบบของคุณ รักษาความปลอดภัยของระบบ แก้ไขข้อผิดพลาด และดำเนินการวินิจฉัย ข้อมูลที่อยู่ในบันทึกเหล่านี้ควรได้รับการตรวจสอบเป็นประจำ คุณควรตรวจสอบบันทึกเหตุการณ์เป็นประจำและกำหนดค่าระบบปฏิบัติการของคุณเพื่อบันทึกเหตุการณ์ระบบที่สำคัญ หากคุณเป็นผู้ดูแลระบบเซิร์ฟเวอร์ Windows คุณจะต้องตรวจสอบความปลอดภัยของระบบ การทำงานปกติของแอปพลิเคชันและบริการ ตลอดจนตรวจสอบเซิร์ฟเวอร์เพื่อหาข้อผิดพลาดที่อาจทำให้ประสิทธิภาพลดลง หากคุณเป็นผู้ใช้คอมพิวเตอร์ส่วนบุคคล คุณควรตรวจสอบให้แน่ใจว่าคุณสามารถเข้าถึงบันทึกที่เหมาะสมที่คุณต้องการเพื่อสนับสนุนระบบของคุณและแก้ไขข้อผิดพลาด

โปรแกรม "ผู้ดูเหตุการณ์"เป็นสแน็ปอิน Microsoft Management Console (MMC) สำหรับการดูและจัดการบันทึกเหตุการณ์ นี่เป็นเครื่องมือที่ขาดไม่ได้ในการตรวจสอบประสิทธิภาพของระบบและแก้ไขปัญหา เรียกว่าบริการ Windows ที่จัดการการบันทึกเหตุการณ์ "บันทึกเหตุการณ์"- หากทำงานอยู่ Windows จะเขียนข้อมูลสำคัญลงในบันทึก การใช้โปรแกรม "ผู้ดูเหตุการณ์"คุณสามารถทำสิ่งต่อไปนี้:

  • ดูเหตุการณ์จากบันทึกเฉพาะ
  • ใช้ตัวกรองเหตุการณ์และบันทึกไว้เพื่อใช้ในภายหลังเป็นมุมมองที่กำหนดเอง
  • สร้างและจัดการการสมัครสมาชิกกิจกรรม
  • กำหนดการดำเนินการเฉพาะที่จะดำเนินการเมื่อมีเหตุการณ์เฉพาะเกิดขึ้น

เปิดตัวโปรแกรมดูเหตุการณ์

แอปพลิเคชัน "ผู้ดูเหตุการณ์"สามารถเปิดได้ด้วยวิธีต่อไปนี้:

บันทึกเหตุการณ์ใน Windows 7

ในระบบปฏิบัติการ Windows 7 เช่นเดียวกับใน Window Vista มีบันทึกเหตุการณ์สองประเภท: บันทึกของ Windowsและ บันทึกแอปพลิเคชันและบริการ. บันทึกของ Windows- ใช้โดยระบบปฏิบัติการเพื่อบันทึกเหตุการณ์ทั่วทั้งระบบที่เกี่ยวข้องกับการทำงานของแอปพลิเคชัน ส่วนประกอบของระบบ ความปลอดภัย และการเริ่มต้น ก บันทึกแอปพลิเคชันและบริการ- ใช้โดยแอปพลิเคชันและบริการเพื่อบันทึกเหตุการณ์ที่เกี่ยวข้องกับการดำเนินงาน คุณสามารถใช้สแน็ปอินเพื่อจัดการบันทึกเหตุการณ์ "ผู้ดูเหตุการณ์"หรือโปรแกรมบรรทัดคำสั่ง wevtutilซึ่งจะกล่าวถึงในส่วนที่สองของบทความ ประเภทบันทึกทั้งหมดอธิบายไว้ด้านล่าง:

แอปพลิเคชัน- เก็บเหตุการณ์สำคัญที่เกี่ยวข้องกับแอปพลิเคชันเฉพาะ ตัวอย่างเช่น Exchange Server จะจัดเก็บเหตุการณ์ที่เกี่ยวข้องกับการส่งต่อจดหมาย รวมถึงเหตุการณ์สำหรับการจัดเก็บข้อมูล กล่องจดหมาย และบริการที่ทำงานอยู่ ตามค่าเริ่มต้น จะอยู่ใน %SystemRoot%\System32\Winevt\Logs\Application.Evtx

ความปลอดภัย- จัดเก็บเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย เช่น การเข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ และการเข้าถึงทรัพยากร โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\Security.Evtx

การติดตั้ง- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นระหว่างการติดตั้งและการกำหนดค่าระบบปฏิบัติการและส่วนประกอบต่างๆ โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\Setup.Evtx

ระบบ- เก็บเหตุการณ์ของระบบปฏิบัติการหรือส่วนประกอบ เช่น ความล้มเหลวในการเริ่มบริการหรือการเริ่มต้นไดรเวอร์ ข้อความทั่วทั้งระบบ และข้อความอื่น ๆ ที่เกี่ยวข้องกับระบบโดยรวม โดยค่าเริ่มต้น จะอยู่ใน %SystemRoot%\System32\Winevt\Logs\System.Evtx

กิจกรรมที่ส่งต่อ- หากมีการกำหนดค่าการส่งต่อเหตุการณ์ บันทึกนี้จะรวมเหตุการณ์ที่ส่งต่อจากเซิร์ฟเวอร์อื่นด้วย โดยค่าเริ่มต้นจะถูกวางไว้ใน %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

อินเทอร์เน็ตเอ็กซ์พลอเรอร์- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นเมื่อตั้งค่าและทำงานกับเบราว์เซอร์ Internet Explorer โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

วินโดว์ PowerShell- บันทึกนี้บันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้ PowerShell โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

กิจกรรมอุปกรณ์- หากมีการกำหนดค่าการบันทึกเหตุการณ์ฮาร์ดแวร์ เหตุการณ์ที่สร้างโดยอุปกรณ์จะถูกบันทึกลงในบันทึกนี้ โดยค่าเริ่มต้น จะอยู่ใน %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

ใน Windows 7 โครงสร้างพื้นฐานที่ให้การบันทึกเหตุการณ์จะขึ้นอยู่กับ XML เช่นเดียวกับใน Windows Vista ข้อมูลเหตุการณ์แต่ละรายการสอดคล้องกับสคีมา XML ซึ่งช่วยให้คุณเข้าถึงโค้ด XML ของเหตุการณ์ใดๆ ได้ คุณยังสามารถสร้างการสืบค้นแบบ XML เพื่อดึงข้อมูลจากบันทึกได้ ไม่จำเป็นต้องมีความรู้เกี่ยวกับ XML เพื่อใช้คุณสมบัติใหม่เหล่านี้ อุปกรณ์ "ผู้ดูเหตุการณ์"จัดเตรียมอินเทอร์เฟซแบบกราฟิกอย่างง่ายเพื่อเข้าถึงคุณสมบัติเหล่านี้

คุณสมบัติเหตุการณ์

มีคุณสมบัติเหตุการณ์สแน็ปอินหลายประการ "ผู้ดูเหตุการณ์"ซึ่งมีรายละเอียดอธิบายไว้ด้านล่าง:

แหล่งที่มาเป็นโปรแกรมที่บันทึกเหตุการณ์ ซึ่งอาจเป็นชื่อของโปรแกรม (เช่น "Exchange Server") หรือชื่อของส่วนประกอบของระบบหรือแอปพลิเคชันขนาดใหญ่ (เช่น ชื่อของไดรเวอร์) ตัวอย่างเช่น "Elnkii" หมายถึงไดรเวอร์ EtherLink II

รหัสเหตุการณ์คือตัวเลขที่ระบุประเภทของเหตุการณ์เฉพาะ บรรทัดแรกของคำอธิบายมักจะมีชื่อของประเภทเหตุการณ์ ตัวอย่างเช่น 6005 คือ ID ของเหตุการณ์ที่เกิดขึ้นเมื่อบริการบันทึกเหตุการณ์เริ่มทำงาน ดังนั้น ที่จุดเริ่มต้นของคำอธิบายของเหตุการณ์นี้ จะมีบรรทัด “บริการบันทึกเหตุการณ์เริ่มต้นแล้ว” ทีมสนับสนุนผลิตภัณฑ์ซอฟต์แวร์สามารถใช้รหัสเหตุการณ์และชื่อแหล่งบันทึกเพื่อแก้ไขปัญหาได้

ระดับ- นี่คือระดับความสำคัญของงาน ในบันทึกของระบบและแอปพลิเคชัน เหตุการณ์อาจมีระดับความรุนแรงดังต่อไปนี้:

  • การแจ้งเตือน- หมายถึงการเปลี่ยนแปลงในแอปพลิเคชันหรือส่วนประกอบ เช่น การเกิดขึ้นของเหตุการณ์ข้อมูลที่เกี่ยวข้องกับการดำเนินการที่ประสบความสำเร็จ การสร้างทรัพยากร หรือการเริ่มต้นบริการ
  • คำเตือน- ระบุคำเตือนทั่วไปเกี่ยวกับปัญหาที่อาจส่งผลกระทบต่อการบริการหรือนำไปสู่ปัญหาที่ร้ายแรงยิ่งขึ้นหากปล่อยทิ้งไว้โดยไม่มีใครดูแล
  • ข้อผิดพลาด- บ่งชี้ว่ามีปัญหาเกิดขึ้นซึ่งอาจส่งผลต่อฟังก์ชันภายนอกแอปพลิเคชันหรือส่วนประกอบที่ทำให้เกิดเหตุการณ์
  • ข้อผิดพลาดร้ายแรง- บ่งชี้ว่ามีความล้มเหลวเกิดขึ้นซึ่งแอปพลิเคชันหรือส่วนประกอบที่เริ่มต้นเหตุการณ์ไม่สามารถกู้คืนได้โดยอัตโนมัติ
  • การตรวจสอบความสำเร็จ- การดำเนินการที่คุณติดตามผ่านการตรวจสอบสำเร็จ เช่น การใช้สิทธิ์
  • การตรวจสอบความล้มเหลว- ความล้มเหลวในการดำเนินการที่คุณติดตามผ่านการตรวจสอบ เช่น ข้อผิดพลาดในการเข้าสู่ระบบ

ผู้ใช้- กำหนดบัญชีผู้ใช้ที่มีเหตุการณ์นี้เกิดขึ้นในนามของ ผู้ใช้ประกอบด้วยเอนทิตีพิเศษ เช่น Local Service, Network Service และการเข้าสู่ระบบโดยไม่ระบุชื่อ รวมถึงบัญชีผู้ใช้จริง ชื่อนี้คือตัวระบุไคลเอ็นต์หากเหตุการณ์เกิดขึ้นจริงโดยกระบวนการเซิร์ฟเวอร์ หรือตัวระบุหลักหากไม่มีการดำเนินการเลียนแบบ ในบางกรณี รายการบันทึกความปลอดภัยจะมีรหัสทั้งสอง ฟิลด์นี้อาจมี N/A หากบัญชีไม่เกี่ยวข้องในสถานการณ์นี้ การเลียนแบบเกิดขึ้นในกรณีที่เซิร์ฟเวอร์อนุญาตให้กระบวนการหนึ่งรับคุณลักษณะความปลอดภัยของกระบวนการอื่น

รหัสการทำงาน- มีค่าตัวเลขที่ระบุการดำเนินการหรือจุดภายในการดำเนินการที่เกิดเหตุการณ์นี้ขึ้น ตัวอย่างเช่น การเริ่มต้นหรือการปิด

นิตยสาร- ชื่อของบันทึกที่บันทึกเหตุการณ์นี้

หมวดหมู่และงาน- กำหนดหมวดหมู่เหตุการณ์ ซึ่งบางครั้งใช้เพื่ออธิบายการกระทำที่ถูกต้องในภายหลัง แหล่งที่มาของเหตุการณ์แต่ละแหล่งมีหมวดหมู่ของตัวเอง ตัวอย่างเช่น หมวดหมู่ต่อไปนี้: การเข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ การเปลี่ยนแปลงนโยบาย และการจัดการบัญชี

คำหลักคือชุดหมวดหมู่หรือแท็กที่ใช้กรองหรือค้นหาเหตุการณ์ได้ ตัวอย่างเช่น: "เครือข่าย", "ความปลอดภัย" หรือ "ไม่พบทรัพยากร"

คอมพิวเตอร์- ระบุชื่อของคอมพิวเตอร์ที่เกิดเหตุการณ์ โดยปกติจะเป็นชื่อของคอมพิวเตอร์ในระบบ แต่อาจเป็นชื่อของคอมพิวเตอร์ที่ส่งต่อเหตุการณ์ หรือชื่อของคอมพิวเตอร์ในระบบก่อนที่จะมีการปรับเปลี่ยน

วันที่และเวลา- กำหนดวันที่และเวลาที่เกิดเหตุการณ์นี้ในบันทึก

รหัสกระบวนการ- หมายถึงหมายเลขประจำตัวของกระบวนการที่ทำให้เกิดเหตุการณ์ โปรแกรมคอมพิวเตอร์เป็นเพียงชุดคำสั่งแบบพาสซีฟ ในขณะที่กระบวนการคือการดำเนินการโดยตรงของคำสั่งเหล่านี้

รหัสสตรีม- หมายถึงหมายเลขประจำตัวของเธรดที่สร้างเหตุการณ์ กระบวนการที่เกิดในระบบปฏิบัติการอาจประกอบด้วยหลายเธรดที่ทำงาน "ขนานกัน" นั่นคือโดยไม่ต้องมีคำสั่งตามเวลาที่กำหนด เมื่อปฏิบัติงานบางอย่าง แผนกดังกล่าวสามารถใช้ทรัพยากรคอมพิวเตอร์ได้อย่างมีประสิทธิภาพมากขึ้น

รหัสโปรเซสเซอร์- หมายถึงหมายเลขประจำตัวของโปรเซสเซอร์ที่ประมวลผลเหตุการณ์

รหัสเซสชันคือหมายเลขประจำตัวเซสชันบนเทอร์มินัลเซิร์ฟเวอร์ที่มีเหตุการณ์เกิดขึ้น

เวลาการทำงานของโหมดเคอร์เนล- กำหนดเวลาที่ใช้ในการดำเนินการคำสั่งโหมดเคอร์เนลในหน่วยเวลาของ CPU โหมดเคอร์เนลมีการเข้าถึงหน่วยความจำระบบและอุปกรณ์ภายนอกอย่างไม่จำกัด เคอร์เนลของระบบ NT เรียกว่าเคอร์เนลไฮบริดหรือมาโครเคอร์เนล

เวลาทำงานในโหมดผู้ใช้- กำหนดเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ในหน่วยของเวลา CPU โหมดผู้ใช้ประกอบด้วยระบบย่อยที่ส่งคำขอ I/O ไปยังไดรเวอร์โหมดเคอร์เนลที่เหมาะสมผ่านตัวจัดการ I/O

โหลดซีพียูคือเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ โดยอยู่ในเครื่องหมาย CPU

รหัสความสัมพันธ์- กำหนดการดำเนินการในกระบวนการที่ใช้เหตุการณ์ รหัสนี้ใช้เพื่อระบุความสัมพันธ์แบบง่ายระหว่างเหตุการณ์ สหสัมพันธ์คือความสัมพันธ์ทางสถิติระหว่างตัวแปรสุ่มตั้งแต่สองตัวขึ้นไป (หรือค่าที่ถือได้ว่าเป็นเช่นนั้นด้วยระดับความแม่นยำที่ยอมรับได้) ในกรณีนี้ การเปลี่ยนแปลงในปริมาณหนึ่งหรือหลายปริมาณจะนำไปสู่การเปลี่ยนแปลงอย่างเป็นระบบในปริมาณอื่นหรือปริมาณอื่น

รหัสความสัมพันธ์สัมพัทธ์- กำหนดการดำเนินการที่สัมพันธ์กันในกระบวนการที่ใช้เหตุการณ์

การทำงานกับบันทึกเหตุการณ์

โปรแกรมดูเหตุการณ์

ในภาพหน้าจอถัดไป คุณจะเห็นบันทึก “แอพพลิเคชั่น”ซึ่งคุณสามารถค้นหาข้อมูลเกี่ยวกับกิจกรรม มุมมองล่าสุด และการดำเนินการที่มีอยู่ หากต้องการดูเหตุการณ์บันทึกของแอปพลิเคชัน ให้ทำตามขั้นตอนเหล่านี้:

  1. ในแผนผังคอนโซล ให้เลือก "บันทึกของ Windows";
  2. เลือกนิตยสาร “แอพพลิเคชั่น”.

ขอแนะนำให้ตรวจสอบบันทึกเหตุการณ์บ่อยขึ้น "แอปพลิเคชัน"และ "ระบบ"และตรวจสอบปัญหาและคำเตือนที่มีอยู่ซึ่งอาจเป็นลางบอกเหตุถึงปัญหาในอนาคต เมื่อคุณเลือกบันทึก หน้าต่างกลางจะแสดงเหตุการณ์ที่มีอยู่ รวมถึงวันที่ เวลาและแหล่งที่มาของเหตุการณ์ ระดับเหตุการณ์ และรายละเอียดอื่นๆ

แผง “วิวพอร์ต”แสดงข้อมูลเหตุการณ์พื้นฐานบนแท็บ "ทั่วไป"และข้อมูลเพิ่มเติมเฉพาะเจาะจงอยู่บนแท็บ "รายละเอียด"- คุณสามารถเปิดและปิดแผงนี้ได้โดยเลือกเมนู "ดู"แล้วก็คำสั่ง “วิวพอร์ต”.

สำหรับระบบที่สำคัญ ขอแนะนำให้เก็บบันทึกย้อนหลังหลายเดือน ตามกฎแล้วการกำหนดขนาดให้กับนิตยสารตลอดเวลานั้นไม่สะดวกเพื่อให้ข้อมูลทั้งหมดพอดีกับนิตยสารเหล่านั้น คุณสามารถส่งออกบันทึกไปยังไฟล์ที่อยู่ในโฟลเดอร์ที่ระบุได้ หากต้องการบันทึกบันทึกที่เลือก ให้ทำตามขั้นตอนเหล่านี้:

  1. ในทรีคอนโซล ให้เลือกบันทึกเหตุการณ์ที่คุณต้องการบันทึก
  2. คุณสามารถเริ่ม Event Viewer ได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้ "บันทึกกิจกรรมเป็น"จากเมนู "การกระทำ"หรือจากเมนูบริบทบันทึกให้เลือกคำสั่ง "บันทึกกิจกรรมทั้งหมดเป็น";
  3. ในกล่องโต้ตอบที่ปรากฏขึ้น "บันทึกเป็น"เลือกโฟลเดอร์ที่ควรบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่"บนแถบการทำงาน ในสนาม "ประเภทไฟล์"คุณต้องเลือกรูปแบบไฟล์ที่ต้องการจากที่มีอยู่: ไฟล์เหตุการณ์ - *.evtx, ไฟล์ xml - *.xml, ข้อความที่คั่นด้วยแท็บ - *.txt, csv ที่คั่นด้วยเครื่องหมายจุลภาค - *.csv ในสนาม “ชื่อไฟล์” "บันทึก"- หากต้องการยกเลิกการบันทึก ให้คลิกปุ่ม "ยกเลิก";
  4. ในกรณีที่ไม่ได้ตั้งใจให้ดูบันทึกเหตุการณ์บนคอมพิวเตอร์เครื่องอื่นในกล่องโต้ตอบ “แสดงรายละเอียด”ออกจากตัวเลือกเริ่มต้น “อย่าแสดงข้อมูล”และหากต้องการดูบันทึกบนคอมพิวเตอร์เครื่องอื่น ให้ดำเนินการในกล่องโต้ตอบ “แสดงรายละเอียด”เลือกตัวเลือก "แสดงข้อมูลสำหรับภาษาต่อไปนี้"และคลิกที่ปุ่ม "ตกลง".

การล้างบันทึกเหตุการณ์

บางครั้งจำเป็นต้องล้างบันทึกเหตุการณ์ทั้งหมดเพื่อให้แน่ใจว่าการวิเคราะห์คำเตือนและข้อผิดพลาดที่สำคัญของระบบปฏิบัติการมีประสิทธิผล หากต้องการล้างบันทึกที่เลือก ให้ทำตามขั้นตอนเหล่านี้:

  1. ในทรีคอนโซล ให้เลือกบันทึกเหตุการณ์ที่คุณต้องการล้าง
  2. ล้างบันทึกโดยใช้วิธีใดวิธีหนึ่งต่อไปนี้:
    • ในเมนู "การกระทำ"เลือกทีม "ล้างบันทึก";
    • คลิกขวาที่บันทึกที่เลือกเพื่อเปิดเมนูบริบท ในเมนูบริบทเลือกคำสั่ง "ล้างบันทึก";
  3. จากนั้น คุณสามารถล้างบันทึกหรือเก็บถาวรได้หากยังไม่ได้ดำเนินการก่อนหน้านี้:
    • หากต้องการล้างบันทึกเหตุการณ์โดยไม่บันทึก ให้คลิกปุ่ม "ชัดเจน";
    • หากต้องการล้างบันทึกเหตุการณ์หลังจากบันทึกแล้ว ให้คลิกปุ่ม "บันทึกและล้าง"- ในกล่องโต้ตอบที่ปรากฏขึ้น "บันทึกเป็น"เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูหรือปุ่มบริบท "โฟลเดอร์ใหม่"บนแถบการทำงาน ในสนาม “ชื่อไฟล์”ป้อนชื่อและคลิกที่ปุ่ม "บันทึก"- หากต้องการยกเลิกการบันทึกให้คลิกที่ปุ่ม "ยกเลิก".

การตั้งค่าขนาดบันทึกสูงสุด

ตามที่กล่าวไว้ข้างต้น บันทึกเหตุการณ์จะถูกจัดเก็บเป็นไฟล์ในโฟลเดอร์ %SystemRoot%\System32\Winevt\Logs\ ตามค่าเริ่มต้น ขนาดสูงสุดของไฟล์เหล่านี้จะถูกจำกัด แต่คุณสามารถเปลี่ยนได้ด้วยวิธีต่อไปนี้:

  1. คุณสามารถเริ่ม Event Viewer ได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้ "คุณสมบัติ"จากเมนู "การกระทำ"
  2. ในสนาม "ขนาดบันทึกสูงสุด (KB)"ตั้งค่าที่ต้องการโดยใช้ตัวนับหรือตั้งค่าด้วยตนเองโดยไม่ต้องใช้ตัวนับ ในกรณีนี้ ค่าจะถูกปัดเศษเป็นพหุคูณที่ใกล้ที่สุดของ 64 KB เนื่องจากขนาดไฟล์บันทึกจะต้องเป็นพหุคูณของ 64 KB และต้องไม่น้อยกว่า 1,024 KB

กิจกรรมจะถูกจัดเก็บไว้ในไฟล์บันทึกที่สามารถขยายได้ถึงขนาดสูงสุดที่ระบุเท่านั้น เมื่อไฟล์ถึงขนาดสูงสุดแล้ว การประมวลผลเหตุการณ์ขาเข้าจะถูกกำหนดโดยนโยบายการเก็บรักษาบันทึก มีนโยบายการเก็บรักษาบันทึกต่อไปนี้:

เขียนเหตุการณ์ใหม่หากจำเป็น (ไฟล์ที่เก่าที่สุดก่อน)- ในกรณีนี้ รายการใหม่จะยังคงถูกป้อนลงในวารสารหลังจากกรอกแล้ว แต่ละเหตุการณ์ใหม่จะแทนที่เหตุการณ์ที่เก่าที่สุดในบันทึก

เก็บบันทึกเมื่อกรอกข้อมูลแล้ว อย่าเขียนเหตุการณ์ซ้ำ- ในกรณีนี้ ไฟล์บันทึกจะถูกเก็บถาวรโดยอัตโนมัติหากจำเป็น เหตุการณ์เก่าจะไม่ถูกเขียนทับ

อย่าเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง)- ในกรณีนี้ บันทึกจะถูกล้างด้วยตนเอง ไม่ใช่โดยอัตโนมัติ

เมื่อต้องการเลือกนโยบายการเก็บรักษาบันทึกที่ต้องการ ให้ทำตามขั้นตอนเหล่านี้:

  1. ในทรีคอนโซล ให้เลือกบันทึกเหตุการณ์ที่คุณต้องการปรับขนาด
  2. คุณสามารถเริ่ม Event Viewer ได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้ "คุณสมบัติ"จากเมนู "การกระทำ"หรือจากเมนูบริบทของวารสารที่เลือก
  3. บนแท็บ "ทั่วไป"ในส่วน “เมื่อถึงขนาดสูงสุด”เลือกพารามิเตอร์ที่ต้องการแล้วคลิกปุ่ม "ตกลง".

กำลังเปิดใช้งานบันทึกการวิเคราะห์และการแก้ไขข้อบกพร่อง

บันทึกการวิเคราะห์และการแก้ไขข้อบกพร่องจะไม่ทำงานตามค่าเริ่มต้น เมื่อเปิดใช้งานแล้วจะเต็มไปด้วยกิจกรรมจำนวนมากอย่างรวดเร็ว ด้วยเหตุนี้ จึงแนะนำให้เปิดใช้งานบันทึกเหล่านี้ในระยะเวลาที่จำกัดเพื่อรวบรวมข้อมูลที่จำเป็นสำหรับการแก้ไขปัญหา จากนั้นจึงปิดใช้งานอีกครั้ง คุณสามารถเปิดใช้งานบันทึกได้ดังนี้:

  1. ในทรีคอนโซล ค้นหาและเลือกบันทึกการวิเคราะห์หรือดีบักที่คุณต้องการเปิดใช้งาน
  2. คุณสามารถเริ่ม Event Viewer ได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้ "คุณสมบัติ"จากเมนู "การกระทำ"หรือจากเมนูบริบทของบันทึกการวิเคราะห์หรือดีบักที่เลือก
  3. บนแท็บ "ทั่วไป"ทำเครื่องหมายในช่องตัวเลือก "เปิดใช้งานการบันทึก"

การเปิดและปิดบันทึกประจำวันที่บันทึกไว้

การใช้อุปกรณ์ "ผู้ดูเหตุการณ์"คุณสามารถเปิดและดูบันทึกที่บันทึกไว้ก่อนหน้านี้ได้ คุณสามารถเปิดบันทึกที่บันทึกไว้หลายรายการพร้อมกันและเข้าถึงได้ตลอดเวลาในแผนผังคอนโซล นิตยสารเปิดใน "ผู้ดูเหตุการณ์"สามารถปิดได้โดยไม่ต้องลบข้อมูลที่อยู่ในนั้น หากต้องการเปิดบันทึกที่บันทึกไว้ ให้ทำตามขั้นตอนเหล่านี้:

  1. คุณสามารถเริ่ม Event Viewer ได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้ "เปิดบันทึกประจำวันที่บันทึกไว้"ในเมนู "การกระทำ"หรือจากเมนูบริบทในทรีคอนโซล
  2. 3. ในกล่องโต้ตอบ "เปิดบันทึกประจำวันที่บันทึกไว้"เลื่อนไปตามแผนผังไดเรกทอรี เปิดโฟลเดอร์ที่มีไฟล์ที่ต้องการ ตามค่าเริ่มต้น กล่องโต้ตอบจะแสดงไฟล์บันทึกเหตุการณ์ทั้งหมด นอกจากนี้ เมื่อเปิด คุณสามารถเลือกประเภทไฟล์ที่คุณต้องการแสดงในกล่องโต้ตอบการเปิดได้ ประเภทไฟล์ที่ใช้ได้คือไฟล์บันทึกเหตุการณ์ (*.evtx, *.evt, *.etl) รวมถึงไฟล์เหตุการณ์ (*.evtx) ไฟล์เหตุการณ์ดั้งเดิม (*.evt) หรือไฟล์บันทึกการติดตาม (*.etl) . เมื่อพบไฟล์บันทึกที่ต้องการแล้ว ให้เลือกโดยคลิกซ้ายที่ไฟล์ ซึ่งจะวางชื่อไว้ในบรรทัดชื่อไฟล์แล้วคลิกที่ปุ่ม "เปิด".
  3. ในการสนทนา "เปิดบันทึกประจำวันที่บันทึกไว้"ในสนาม "ชื่อ"ป้อนชื่อใหม่เพื่อใช้สำหรับบันทึกในแผนผังคอนโซล ใช้เพื่อแสดงบันทึกในแผนผังคอนโซลเท่านั้น และไม่ได้เปลี่ยนชื่อไฟล์บันทึก คุณยังสามารถใช้ชื่อไฟล์บันทึกที่มีอยู่ได้ ในสนาม "คำอธิบาย"ป้อนคำอธิบายสำหรับบันทึก มันจะถูกแสดงในพื้นที่ส่วนกลางเมื่อเลือกโฟลเดอร์บันทึกของพาเรนต์ในทรีคอนโซล
  4. หากต้องการสร้างโฟลเดอร์ที่จะเก็บบันทึกที่บันทึกไว้ให้คลิกปุ่ม "สร้างโฟลเดอร์"- ในสนาม "ชื่อ"ป้อนชื่อโฟลเดอร์ที่จะเก็บบันทึกที่เปิดอยู่ จากนั้นคลิก "ตกลง"- หากไม่ได้เลือกโฟลเดอร์หลัก โฟลเดอร์ใหม่จะอยู่ในโฟลเดอร์นั้น "บันทึกที่บันทึกไว้".
  5. หากต้องการทำให้ผู้ใช้คอมพิวเตอร์รายอื่นไม่สามารถเข้าถึงบันทึกเหตุการณ์ที่เปิดอยู่ คุณสามารถยกเลิกการเลือกได้ "ผู้ใช้ทั้งหมด"- หากช่องทำเครื่องหมายนี้ยังคงทำงานอยู่ ผู้ใช้ทุกคนจะสามารถใช้บันทึกที่เปิดอยู่ แต่จะต้องมีสิทธิ์ของผู้ดูแลระบบในการลบออกจากแผนผังคอนโซล
  6. หากต้องการเปิดนิตยสารให้คลิกที่ปุ่ม "ตกลง".

หากต้องการลบบันทึกที่เปิดอยู่ออกจากแผนผังเหตุการณ์ ให้ทำตามขั้นตอนเหล่านี้:

  1. ในทรีคอนโซล ให้เลือกบันทึกที่จะลบ
  2. คุณสามารถเริ่ม Event Viewer ได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้ "ลบ"จากเมนู "การกระทำ"หรือจากเมนูบริบทของวารสารที่เลือก
  3. ในการสนทนา "ผู้ดูเหตุการณ์"คลิกที่ปุ่ม "ใช่".

บทสรุป

บทความนี้ในส่วนนี้ซึ่งอุทิศให้กับสแนปอิน Event Viewer พูดถึงสแนปอินนั้นเองและอธิบายรายละเอียดเกี่ยวกับการดำเนินการที่ง่ายที่สุดที่เกี่ยวข้องกับการตรวจสอบและบำรุงรักษาระบบโดยใช้ Event Viewer ส่วนถัดไปของบทความจะได้รับการออกแบบสำหรับผู้ใช้ Windows ที่มีประสบการณ์ ซึ่งจะครอบคลุมงานที่มีมุมมองที่กำหนดเอง การกรอง การจัดกลุ่ม/การเรียงลำดับเหตุการณ์ และการจัดการการสมัครรับข้อมูล

สวัสดีทุกคน หัวข้อคือวิธีดูบันทึกของ Windows ฉันคิดว่าทุกคนรู้ว่าบันทึกคืออะไร แต่หากคุณเป็นมือใหม่โดยฉับพลัน บันทึกก็คือเหตุการณ์ของระบบที่เกิดขึ้นในระบบปฏิบัติการของทั้ง Windows และ Linux ซึ่งช่วยติดตามว่าอะไร ที่ไหน และเมื่อใดเกิดขึ้น และใครเป็นคนทำ ผู้ดูแลระบบทุกคนจะต้องสามารถอ่านบันทึกของ Windows ได้

ตัวอย่างจากชีวิตจริงคือสถานการณ์ที่ดิสก์ล้มเหลวบนเซิร์ฟเวอร์ IBM ตัวใดตัวหนึ่ง และฉันได้รวบรวมบันทึกของเซิร์ฟเวอร์เพื่อการสนับสนุนด้านเทคนิคเพื่อให้สามารถวินิจฉัยปัญหาได้ บริการ Event Viewer มีหน้าที่รวบรวมและบันทึกบันทึกใน Windows Event Viewer เป็นเครื่องมือที่สะดวกสำหรับการรับบันทึกของระบบ

วิธีการเปิดใน Event Viewer

คุณสามารถเข้าสู่สแนปอิน Event Viewer ได้อย่างง่ายดาย เหมาะสำหรับ Windows ทุกรุ่น กดปุ่มวิเศษ

Win + R และป้อน eventvwr.msc

หน้าต่าง Windows Event Viewer จะเปิดขึ้นโดยคุณต้องขยายรายการ Windows Logs มาดูนิตยสารแต่ละเล่มกัน

Log Application ประกอบด้วยบันทึกที่เกี่ยวข้องกับโปรแกรมบนคอมพิวเตอร์ของคุณ บันทึกจะถูกเขียนเมื่อเปิดตัวโปรแกรม หากเปิดขึ้นโดยมีข้อผิดพลาด สิ่งนี้จะแสดงที่นี่ด้วย

จำเป็นต้องมีบันทึกการตรวจสอบเพื่อทำความเข้าใจว่าใครทำอะไรและเมื่อใด ตัวอย่างเช่น เข้าสู่ระบบหรือออกจากระบบ พยายามเข้าถึง การตรวจสอบความสำเร็จหรือความล้มเหลวทั้งหมดเขียนไว้ที่นี่

รายการการติดตั้งจะบันทึกบันทึก Windows เกี่ยวกับสิ่งที่ติดตั้งและเวลา เช่น โปรแกรมหรือการอัปเดต

นิตยสารที่สำคัญที่สุดคือระบบ สิ่งที่จำเป็นและสำคัญที่สุดทั้งหมดถูกเขียนไว้ที่นี่ ตัวอย่างเช่น คุณมีหน้าจอสีน้ำเงิน และข้อความเหล่านี้ที่บันทึกไว้ที่นี่จะช่วยคุณระบุสาเหตุของปัญหาได้

นอกจากนี้ยังมีบันทึก Windows สำหรับบริการที่เฉพาะเจาะจงมากขึ้น เช่น DHCP หรือ DNS Event Viewer ตัดทุกอย่าง :)

สมมติว่าคุณมีเหตุการณ์มากกว่าล้านเหตุการณ์ในบันทึกความปลอดภัย คุณอาจถามคำถามทันทีว่ามีการกรองหรือไม่ เนื่องจากการดูเหตุการณ์ทั้งหมดถือเป็นการทำโทษตนเองแบบมาโซคิสม์ Event Viewer ได้คำนึงถึงเรื่องนี้แล้ว สามารถกรองบันทึกของ Windows ออกได้อย่างสะดวก เหลือเฉพาะสิ่งที่จำเป็นเท่านั้น ทางด้านขวาในพื้นที่การดำเนินการจะมีปุ่ม กรองบันทึกปัจจุบัน

คุณจะถูกขอให้ระบุระดับเหตุการณ์:

  • วิกฤต
  • ข้อผิดพลาด
  • คำเตือน
  • ปัญญา
  • รายละเอียด

ทุกอย่างขึ้นอยู่กับงานค้นหา หากคุณกำลังมองหาข้อผิดพลาด ข้อความประเภทอื่นก็ไม่มีประโยชน์ ถัดไป เพื่อจำกัดขอบเขตการค้นหาการดูกิจกรรมของคุณให้แคบลง คุณสามารถระบุแหล่งที่มาและโค้ดของเหตุการณ์ที่ต้องการได้

อย่างที่คุณเห็น การแยกวิเคราะห์บันทึก Windows นั้นง่ายมาก เราค้นหา เราพบ เราแก้ไข การล้างบันทึก Windows อย่างรวดเร็วอาจมีประโยชน์เช่นกัน:

ดูบันทึก Windows PowerShell

คงจะแปลกถ้า PowerShell ไม่สามารถทำได้ ในการแสดงไฟล์บันทึก ให้เปิด PowerShell แล้วป้อนคำสั่งต่อไปนี้

รับ-EventLog - ชื่อบันทึก "ระบบ"

ด้วยเหตุนี้ คุณจะได้รับรายการบันทึกของระบบ

เช่นเดียวกับนิตยสารอื่นๆ เช่น แอปพลิเคชัน

รับ-EventLog - ชื่อบันทึก "แอปพลิเคชัน"

รายการคำย่อเล็กๆ น้อยๆ

  • รหัสเหตุการณ์ - EventID
  • คอมพิวเตอร์ - ชื่อเครื่อง
  • หมายเลขลำดับเหตุการณ์ - ข้อมูล, ดัชนี
  • ประเภทของงาน - หมวดหมู่
  • รหัสหมวดหมู่ - CategoryNumber
  • ระดับ - ประเภทรายการ
  • ข้อความกิจกรรม - ข้อความ
  • แหล่งที่มา - แหล่งที่มา
  • วันที่สร้างเหตุการณ์ - ReplacementString, InstanceID, TimeGenerated
  • วันที่บันทึกเหตุการณ์ - TimeWritten
  • ผู้ใช้ - ชื่อผู้ใช้
  • เว็บไซต์
  • กอง-คอนเทนเนอร์

ตัวอย่างเช่น ในการแสดงเหตุการณ์ในเชลล์คำสั่งเฉพาะกับคอลัมน์ "ระดับ", "วันที่บันทึกเหตุการณ์", "แหล่งที่มา", "รหัสเหตุการณ์", "หมวดหมู่" และ "ข้อความเหตุการณ์" สำหรับบันทึก "ระบบ" รันคำสั่ง:

รับ-EventLog –LogName 'ระบบ' | รูปแบบ-ประเภทรายการตาราง, เวลาที่เขียน, แหล่งที่มา, รหัสเหตุการณ์, หมวดหมู่, ข้อความ

หากคุณต้องการแสดงรายละเอียดเพิ่มเติม ให้แทนที่ Format-Table ด้วย Format-List

รับ-EventLog –LogName 'ระบบ' | รูปแบบรายการ EntryType, TimeWritten, แหล่งที่มา, EventID, หมวดหมู่, ข้อความ

อย่างที่คุณเห็นรูปแบบนี้อ่านง่ายขึ้นแล้ว

คุณยังสามารถกรองบันทึกได้ เช่น แสดง 20 ข้อความล่าสุด

รับ-EventLog – ชื่อบันทึก 'ระบบ' - ใหม่ล่าสุด 20

ผลิตภัณฑ์เพิ่มเติม

คุณยังทำให้การรวบรวมเหตุการณ์เป็นแบบอัตโนมัติโดยใช้เครื่องมือต่างๆ เช่น:

  • คอมเพล็กซ์การตรวจสอบ Zabbix
  • ผ่านการส่งเหตุการณ์โดยใช้ Windows ไปยังเซิร์ฟเวอร์ตัวรวบรวม
  • ผ่านชุดการตรวจสอบของ Netwrix
  • หากคุณมี SCOM ก็สามารถรวมบันทึกแพลตฟอร์ม Windows ใดๆ ได้
  • ระบบ DLP ใดๆ

ดังนั้นไม่ว่าคุณจะเลือกใช้โปรแกรมดูเหตุการณ์หรือ PowerShell เพื่อดูกิจกรรมของ Windows ก็ขึ้นอยู่กับคุณ วัสดุของไซต์

การดูบันทึกระยะไกล

  • วิธีแรก

ไม่นานมานี้ระบบปฏิบัติการ Windows Server 2019 ได้เปิดตัวส่วนประกอบการดูแลระบบระยะไกลของ Windows Admin Center ช่วยให้คุณสามารถควบคุมคอมพิวเตอร์หรือเซิร์ฟเวอร์จากระยะไกลได้ ฉันได้พูดถึงรายละเอียดเพิ่มเติมแล้ว ที่นี่ฉันต้องการแสดงให้เห็นว่าโดยการติดตั้งบนเวิร์กสเตชันของคุณ คุณสามารถเชื่อมต่อจากเบราว์เซอร์ไปยังคอมพิวเตอร์เครื่องอื่น และดูบันทึกเหตุการณ์ได้อย่างง่ายดาย จึงเป็นการศึกษาบันทึกของ Windows ในตัวอย่างของฉันจะมีเซิร์ฟเวอร์ SVT2019S01,เราพบมันในรายการที่มีอยู่และเชื่อมต่อ (ฉันขอเตือนคุณว่านี่คือวิธีที่เราตั้งค่าเครือข่ายระยะไกลใน Windows)

ถัดไป คุณเลือกแท็บ "เหตุการณ์" เลือกบันทึกที่ต้องการ ในตัวอย่างของฉัน ฉันต้องการดูบันทึกทั้งหมดสำหรับระบบ จากมุมมองของฉัน การดูทุกสิ่งที่นี่สะดวกกว่าการดูกิจกรรมมาก ข้อดีคือคุณสามารถทำได้จากโทรศัพท์หรือแท็บเล็ตเครื่องใดก็ได้ มีแบบฟอร์มค้นหาที่สะดวกอยู่ที่มุมขวา

หากคุณต้องการกรองบันทึกให้แม่นยำยิ่งขึ้น คุณสามารถใช้ปุ่มตัวกรองได้

ที่นี่ คุณยังสามารถเลือกระดับเหตุการณ์ได้ เช่น เหลือเฉพาะข้อผิดพลาดที่สำคัญและข้อผิดพลาด กำหนดช่วงเวลา รหัสเหตุการณ์ และแหล่งที่มา

นี่คือตัวอย่างการกรองตามเหตุการณ์ 19

สะดวกมากในการส่งออกบันทึกทั้งหมดเป็นรูปแบบ evxt ซึ่งสามารถเปิดได้อย่างง่ายดายผ่านบันทึกเหตุการณ์ ดังนั้น Windows Admin Center จึงเป็นเครื่องมือที่มีประสิทธิภาพสำหรับการดูบันทึก

  • วิธีที่สอง

วิธีที่สองในการดูบันทึก Windows จากระยะไกลคือการใช้สแน็ปอินการจัดการคอมพิวเตอร์หรือ "ตัวแสดงเหตุการณ์" เดียวกัน หากต้องการดูบันทึก Windows บนคอมพิวเตอร์หรือเซิร์ฟเวอร์อื่นในสแน็ปอินให้คลิกขวาที่รายการด้านบนแล้วเลือก "" จากเมนูบริบท

เราระบุชื่อของคอมพิวเตอร์เครื่องอื่นในตัวอย่างของฉันจะเป็น SVT2019S01

หากทุกอย่างเรียบร้อยดีและไม่มีการปิดกั้นจากไฟร์วอลล์หรือโปรแกรมป้องกันไวรัส คุณจะถูกนำไปยังการดูเหตุการณ์ระยะไกล หากเกิดการปิดกั้น คุณจะได้รับข้อความว่าการรับส่งข้อมูล COM+ ไม่ไหลผ่าน

ฉันยังต้องการทราบด้วยว่ามีระบบรวบรวมบันทึกทั้งหมด เช่น Zabbix หรือ SCOM แต่นี่เป็นงานในระดับที่แตกต่างกัน