วิธีเข้าถึงบันทึกระบบ Windows 7 บันทึกเหตุการณ์ของ Windows อยู่ที่ไหน
ระบบปฏิบัติการ Windows เวอร์ชัน 7 ได้ใช้ฟังก์ชันสำหรับติดตามเหตุการณ์สำคัญที่เกิดขึ้นในที่ทำงาน ที่ Microsoft แนวคิดของ "เหตุการณ์" หมายถึงเหตุการณ์ใดๆ ในระบบที่บันทึกไว้ในบันทึกพิเศษและส่งสัญญาณไปยังผู้ใช้หรือผู้ดูแลระบบ นี่อาจเป็นโปรแกรมอรรถประโยชน์ที่ไม่ต้องการเรียกใช้ แอปพลิเคชันหยุดทำงาน หรืออุปกรณ์ติดตั้งไม่ถูกต้อง เหตุการณ์ทั้งหมดจะถูกบันทึกและบันทึกโดยบันทึกเหตุการณ์ของ Windows 7 นอกจากนี้ยังจัดเรียงและแสดงการดำเนินการทั้งหมดตามลำดับเวลา ช่วยดำเนินการควบคุมระบบ สร้างความมั่นใจในความปลอดภัยของระบบปฏิบัติการ แก้ไขข้อผิดพลาด และวินิจฉัยทั้งระบบ
คุณควรตรวจสอบบันทึกนี้เป็นระยะเพื่อดูข้อมูลใหม่ และกำหนดค่าระบบให้บันทึกข้อมูลสำคัญ
หน้าต่าง 7 - โปรแกรม
แอปพลิเคชันคอมพิวเตอร์ Event Viewer เป็นส่วนหลักของยูทิลิตี้ยูทิลิตี้ Microsoft ที่ออกแบบมาเพื่อตรวจสอบและดูบันทึกเหตุการณ์ นี่เป็นเครื่องมือที่จำเป็นสำหรับการตรวจสอบประสิทธิภาพของระบบและกำจัดข้อผิดพลาดที่เกิดขึ้น ยูทิลิตี้ Windows ที่จัดการเอกสารประกอบเหตุการณ์เรียกว่าบันทึกเหตุการณ์ หากบริการนี้เริ่มต้นขึ้น บริการจะเริ่มรวบรวมและบันทึกข้อมูลสำคัญทั้งหมดไว้ในที่เก็บข้อมูลถาวร บันทึกเหตุการณ์ Windows 7 ช่วยให้คุณทำสิ่งต่อไปนี้:
การดูข้อมูลที่บันทึกไว้ในไฟล์เก็บถาวร
การใช้ตัวกรองเหตุการณ์ต่างๆ และบันทึกไว้เพื่อใช้ในการตั้งค่าระบบต่อไป
การสร้างและการจัดการการสมัครสมาชิกสำหรับเหตุการณ์เฉพาะ
กำหนดการดำเนินการเฉพาะเมื่อมีเหตุการณ์บางอย่างเกิดขึ้น
จะเปิดบันทึกเหตุการณ์ Windows 7 ได้อย่างไร
โปรแกรมที่รับผิดชอบในการบันทึกเหตุการณ์เปิดตัวดังนี้:
1. เมนูเปิดใช้งานโดยการกดปุ่ม "Start" ที่มุมซ้ายล่างของจอภาพ จากนั้น "Control Panel" จะเปิดขึ้น ในรายการตัวควบคุม เลือก "การดูแลระบบ" และในเมนูย่อยนี้ คลิก "ตัวแสดงเหตุการณ์"
2. มีวิธีอื่นในการดูบันทึกเหตุการณ์ของ Windows 7 โดยไปที่เมนู Start พิมพ์ mmc ในหน้าต่างค้นหาและส่งคำขอเพื่อค้นหาไฟล์ จากนั้นตาราง MMC จะเปิดขึ้นโดยคุณต้องเลือกย่อหน้าที่ระบุการเพิ่มและถอดอุปกรณ์ จากนั้น "Event Viewer" จะถูกเพิ่มลงในหน้าต่างหลัก
แอปพลิเคชันอธิบายอะไรบ้าง?
ในระบบปฏิบัติการ Windows 7 และ Vista มีการติดตั้งสองเหตุการณ์: ไฟล์เก็บถาวรของระบบและบันทึกการบริการแอปพลิเคชัน ตัวเลือกแรกใช้เพื่อบันทึกเหตุการณ์ทั่วทั้งระบบที่เกี่ยวข้องกับประสิทธิภาพของแอปพลิเคชันต่างๆ การเริ่มต้นระบบ และความปลอดภัย ตัวเลือกที่สองมีหน้าที่รับผิดชอบในการบันทึกเหตุการณ์การทำงานของพวกเขา เพื่อควบคุมและจัดการข้อมูลทั้งหมด บริการ Event Log จะใช้แท็บ View ซึ่งแบ่งออกเป็นรายการต่อไปนี้:
แอปพลิเคชัน - กิจกรรมที่เกี่ยวข้องกับโปรแกรมเฉพาะจะถูกเก็บไว้ที่นี่ เช่น ร้านไปรษณีย์ในที่นี้เก็บประวัติการส่งข้อมูล กิจกรรมต่างๆ ในตู้ไปรษณีย์ และอื่นๆ
รายการ "ความปลอดภัย" จัดเก็บข้อมูลทั้งหมดที่เกี่ยวข้องกับการเข้าสู่ระบบและออกจากระบบ โดยใช้ความสามารถในการดูแลระบบและการเข้าถึงทรัพยากร
การติดตั้ง - บันทึกเหตุการณ์ Windows 7 นี้จะบันทึกข้อมูลที่เกิดขึ้นระหว่างการติดตั้งและการกำหนดค่าของระบบและแอปพลิเคชัน
ระบบ - บันทึกเหตุการณ์ระบบปฏิบัติการทั้งหมด เช่น ความล้มเหลวเมื่อเปิดใช้งานแอปพลิเคชันบริการ หรือเมื่อติดตั้งและอัปเดตไดรเวอร์อุปกรณ์ ข้อความต่าง ๆ ที่เกี่ยวข้องกับการทำงานของทั้งระบบ
กิจกรรมที่ส่งต่อ - หากรายการนี้ได้รับการกำหนดค่า ระบบจะจัดเก็บข้อมูลที่มาจากเซิร์ฟเวอร์อื่น
รายการย่อยอื่นๆ ของเมนูหลัก
นอกจากนี้ในเมนู "การดูแลระบบ" ซึ่งมีบันทึกเหตุการณ์ใน Windows 7 มีรายการเพิ่มเติมดังต่อไปนี้:
Internet Explorer - เหตุการณ์ที่เกิดขึ้นระหว่างการทำงานและการกำหนดค่าของเบราว์เซอร์ที่มีชื่อเดียวกันจะถูกบันทึกที่นี่
Windows PowerShell - เหตุการณ์ที่เกี่ยวข้องกับการใช้ PowerShell จะถูกบันทึกไว้ในโฟลเดอร์นี้
เหตุการณ์ของอุปกรณ์ - หากมีการกำหนดค่ารายการนี้ ข้อมูลที่สร้างโดยอุปกรณ์จะถูกบันทึก
โครงสร้างทั้งหมดของ "เจ็ด" ซึ่งรับประกันการบันทึกเหตุการณ์ทั้งหมดจะขึ้นอยู่กับประเภท Vista บน XML แต่หากต้องการใช้โปรแกรมบันทึกเหตุการณ์ใน Window 7 คุณไม่จำเป็นต้องรู้วิธีใช้โค้ดนี้ แอปพลิเคชัน Event Viewer จะทำทุกอย่างด้วยตัวเองโดยจัดเตรียมรายการเมนูที่สะดวกและเรียบง่าย
ลักษณะเหตุการณ์
ผู้ใช้ที่ต้องการทราบวิธีดูบันทึกเหตุการณ์ Windows 7 จะต้องเข้าใจลักษณะของข้อมูลที่ต้องการดูด้วย ท้ายที่สุดแล้ว เหตุการณ์บางอย่างจะมีคุณสมบัติที่แตกต่างกันตามที่อธิบายไว้ใน “ตัวแสดงเหตุการณ์” เราจะดูลักษณะเหล่านี้ด้านล่าง:
แหล่งที่มา - โปรแกรมที่บันทึกเหตุการณ์ในบันทึก ชื่อของแอปพลิเคชันหรือไดรเวอร์ที่มีอิทธิพลต่อเหตุการณ์เฉพาะจะถูกบันทึกไว้ที่นี่
รหัสเหตุการณ์คือชุดตัวเลขที่กำหนดประเภทของเหตุการณ์ รหัสแหล่งที่มาและชื่อของเหตุการณ์นี้ถูกใช้โดยฝ่ายสนับสนุนทางเทคนิคของซอฟต์แวร์ระบบเพื่อแก้ไขปัญหาความล้มเหลวของซอฟต์แวร์
ระดับ - ระดับความสำคัญของเหตุการณ์ บันทึกเหตุการณ์ของระบบมีเหตุการณ์หกระดับ:
1. ข้อความ
2. ข้อควรระวัง
3. ข้อผิดพลาด
4. ความผิดพลาดที่เป็นอันตราย
5. การตรวจสอบการดำเนินการแก้ไขข้อผิดพลาดที่ประสบความสำเร็จ
6. การตรวจสอบการกระทำที่ไม่สำเร็จ
ผู้ใช้ - บันทึกข้อมูลจากบัญชีที่อาจมีชื่อของบริการต่างๆ รวมถึงผู้ใช้จริง
วันที่และเวลา - บันทึกช่วงเวลาของเหตุการณ์ที่เกิดขึ้น
มีเหตุการณ์อื่นๆ อีกมากมายที่เกิดขึ้นในขณะที่ระบบปฏิบัติการกำลังทำงานอยู่ เหตุการณ์ทั้งหมดจะแสดงใน “ตัวแสดงเหตุการณ์” พร้อมคำอธิบายข้อมูลข้อมูลที่เกี่ยวข้องทั้งหมด
จะทำงานกับบันทึกเหตุการณ์ได้อย่างไร?
จุดสำคัญมากในการปกป้องระบบจากการล่มและการค้างคือการตรวจสอบบันทึก "แอปพลิเคชัน" เป็นระยะ ซึ่งจะบันทึกข้อมูลเกี่ยวกับเหตุการณ์ การดำเนินการล่าสุดกับโปรแกรมเฉพาะ และยังมีตัวเลือกการดำเนินการที่มีให้เลือกอีกด้วย
เมื่อไปที่บันทึกเหตุการณ์ Windows 7 ในเมนูย่อย "แอปพลิเคชัน" คุณสามารถดูรายการโปรแกรมทั้งหมดที่ทำให้เกิดเหตุการณ์เชิงลบต่าง ๆ ในระบบ เวลาและวันที่เกิดขึ้น แหล่งที่มาและระดับของปัญหา
การตอบสนองของผู้ใช้ต่อเหตุการณ์
เมื่อเรียนรู้วิธีเปิดบันทึกเหตุการณ์ของ Windows 7 และวิธีใช้งานแล้ว คุณควรเรียนรู้วิธีใช้แอปพลิเคชัน Task Scheduler กับแอปพลิเคชันที่มีประโยชน์นี้ต่อไป ในการดำเนินการนี้ คุณต้องคลิกขวาที่เหตุการณ์ใดๆ และในหน้าต่างที่เปิดขึ้น ให้เลือกเมนูสำหรับเชื่อมโยงงานกับเหตุการณ์ ครั้งถัดไปที่เหตุการณ์ดังกล่าวเกิดขึ้นในระบบ ระบบปฏิบัติการจะเปิดตัวงานที่ติดตั้งโดยอัตโนมัติเพื่อประมวลผลข้อผิดพลาดและแก้ไข
ข้อผิดพลาดในบันทึกไม่ใช่เหตุผลที่ต้องตื่นตระหนก
หากคุณเห็นข้อผิดพลาดของระบบหรือคำเตือนปรากฏขึ้นเป็นระยะๆ ขณะดูบันทึกเหตุการณ์ของระบบ Windows 7 คุณก็ไม่ควรกังวลหรือตื่นตระหนกเกี่ยวกับเรื่องนี้ แม้ว่าคอมพิวเตอร์จะทำงานได้อย่างสมบูรณ์ ข้อผิดพลาดและความล้มเหลวต่างๆ อาจถูกบันทึก ซึ่งส่วนใหญ่ไม่ก่อให้เกิดภัยคุกคามร้ายแรงต่อประสิทธิภาพของพีซี
แอปพลิเคชันที่เรากำลังอธิบายนี้สร้างขึ้นเพื่อให้ผู้ดูแลระบบสามารถควบคุมคอมพิวเตอร์และแก้ไขปัญหาที่เกิดขึ้นใหม่ได้ง่ายขึ้น
บทสรุป
จากที่กล่าวมาทั้งหมด จะเห็นได้ชัดว่าบันทึกเหตุการณ์เป็นวิธีที่อนุญาตให้โปรแกรมและระบบบันทึกและบันทึกเหตุการณ์ทั้งหมดบนคอมพิวเตอร์ได้ในที่เดียว บันทึกนี้จะจัดเก็บข้อผิดพลาดในการดำเนินงาน ข้อความ และคำเตือนทั้งหมดจากแอปพลิเคชันระบบ
บันทึกเหตุการณ์ใน Windows 7 อยู่ที่ไหน, วิธีเปิด, วิธีใช้งาน, วิธีแก้ไขข้อผิดพลาดที่ปรากฏ - เราเรียนรู้ทั้งหมดนี้จากบทความนี้ แต่หลายคนจะถามว่า: "ทำไมเราถึงต้องการสิ่งนี้ เราไม่ใช่ผู้ดูแลระบบ ไม่ใช่โปรแกรมเมอร์ แต่เป็นผู้ใช้ทั่วไปที่ดูเหมือนจะไม่ต้องการความรู้นี้" แต่แนวทางนี้ผิด ท้ายที่สุดเมื่อมีคนป่วยด้วยบางสิ่งก่อนที่จะไปพบแพทย์เขาจะพยายามรักษาตัวเองไม่ทางใดก็ทางหนึ่ง และหลายคนมักจะประสบความสำเร็จ ในทำนองเดียวกันคอมพิวเตอร์ซึ่งเป็นสิ่งมีชีวิตดิจิทัลสามารถ "ป่วย" ได้ และบทความนี้จะแสดงวิธีหนึ่งในการวินิจฉัยสาเหตุของ "โรค" ดังกล่าว โดยอาศัยผลการ "ตรวจร่างกาย" ดังกล่าว การตัดสินใจที่ถูกต้องเกี่ยวกับวิธีการ "รักษา" ในภายหลัง
ดังนั้นข้อมูลเกี่ยวกับวิธีการดูเหตุการณ์จะมีประโยชน์ไม่เพียงเฉพาะกับผู้เชี่ยวชาญระบบเท่านั้น แต่ยังรวมถึงผู้ใช้ทั่วไปด้วย
นี่คือสิ่งที่เกิดขึ้นกับฉัน:
ผู้ใช้ของฉันไม่ได้มาหาฉัน
แต่พวกเขาเดินอย่างวุ่นวาย
ความหลากหลายไม่เหมือนกัน...
บันทึกเหตุการณ์คืออะไร
ทุกสิ่งที่เกิดขึ้นอยู่ภายใต้การควบคุม หน้าต่าง(คลิก, กดปุ่ม, เปิดโปรแกรม...) เป็นเหตุการณ์ ( เหตุการณ์ต่างๆ- ที่สำคัญที่สุด (จากมุมมอง หน้าต่าง!) เหตุการณ์ (เช่น ปัญหาฮาร์ดแวร์ แอปพลิเคชัน และระบบ) จะถูกบันทึกโดยระบบปฏิบัติการในสิ่งที่เรียกว่า บันทึกเหตุการณ์.
วิธีดูบันทึกเหตุการณ์
วินโดว์วิสต้า+: เริ่ม -> แผงควบคุม -> เครื่องมือการดูแลระบบ -> ตัวแสดงเหตุการณ์.
วินโดวส์เอ็กซ์พี: เริ่ม -> การตั้งค่า -> แผงควบคุม -> เครื่องมือการดูแลระบบ -> ตัวแสดงเหตุการณ์(หรือ เริ่ม -> วิ่ง ->ในหน้าต่าง การเริ่มโปรแกรมไปที่ช่องข้อความ เปิดเข้า eventvwr.msc /s –> คลิก ตกลง).
นิตยสารประเภทหลัก:
– บันทึกแอปพลิเคชัน(ประกอบด้วยข้อมูลที่เกี่ยวข้องกับการทำงานของแอปพลิเคชันและโปรแกรม รายการในบันทึกนี้ถูกสร้างขึ้นโดยแอปพลิเคชันเอง เหตุการณ์ที่รวมอยู่ในบันทึกแอปพลิเคชันจะถูกกำหนดโดยนักพัฒนาแอปพลิเคชันที่เกี่ยวข้อง)
– บันทึกความปลอดภัย(ประกอบด้วยบันทึกเหตุการณ์ต่างๆ เช่น ความพยายามเข้าถึงระบบสำเร็จและไม่สำเร็จตลอดจนเหตุการณ์ที่เกี่ยวข้องกับการใช้ทรัพยากร เช่น การสร้าง การเปิดและการลบไฟล์และวัตถุอื่นๆ การตัดสินใจเกี่ยวกับเหตุการณ์ที่ถูกบันทึกไว้ในระบบรักษาความปลอดภัย log ที่ผู้ดูแลระบบยอมรับ ตัวอย่างเช่น หลังจากเปิดใช้งานการตรวจสอบการเข้าสู่ระบบ ข้อมูลเกี่ยวกับความพยายามในการเข้าสู่ระบบทั้งหมดจะถูกบันทึกไว้ในบันทึกความปลอดภัย)
– บันทึกระบบ(มีบันทึกเหตุการณ์ที่สนับสนุนโดยส่วนประกอบของระบบปฏิบัติการ หน้าต่าง- ตัวอย่างเช่น บันทึกระบบจะบันทึกความล้มเหลวระหว่างการบูตหรือส่วนประกอบอื่นๆ ของระบบเมื่อระบบเริ่มทำงาน)
ตัวแสดงเหตุการณ์จะปรากฏขึ้น เหตุการณ์ประเภทต่อไปนี้:
– ข้อผิดพลาด(ปัญหาร้ายแรง เช่น การสูญหายของข้อมูลหรือฟังก์ชันการทำงาน หากบริการไม่สามารถโหลดเมื่อเริ่มต้นระบบ ข้อความแสดงข้อผิดพลาดจะถูกบันทึกไว้ รายการข้อผิดพลาดจะถูกทำเครื่องหมายด้วยวงกลมที่มีเครื่องหมาย X อยู่ข้างใน)
– คำเตือน(เหตุการณ์ที่ไม่สำคัญในขณะที่เขียนบันทึก แต่อาจนำไปสู่ปัญหาในอนาคต เช่น หากมีพื้นที่ว่างเหลือน้อยในดิสก์ คำเตือนจะถูกป้อนลงในบันทึก คำเตือนจะถูกทำเครื่องหมายด้วยเครื่องหมาย สามเหลี่ยมที่มีเครื่องหมายอัศเจรีย์);
– การแจ้งเตือน(เหตุการณ์ที่อธิบายการดำเนินการที่ประสบความสำเร็จโดยแอปพลิเคชันหรือบริการ ตัวอย่างเช่น หลังจากการดาวน์โหลดสำเร็จ เหตุการณ์การแจ้งเตือนจะถูกบันทึกไว้ การแจ้งเตือนจะถูกทำเครื่องหมายด้วยวงกลมที่มี “หาง” และมีตัวอักษร “i” อยู่ข้างใน) ;
– การตรวจสอบความสำเร็จ(เหตุการณ์ที่สอดคล้องกับการดำเนินการที่เสร็จสมบูรณ์ซึ่งเกี่ยวข้องกับการรักษาความปลอดภัยของระบบ ตัวอย่างเช่น หากผู้ใช้เข้าสู่ระบบได้สำเร็จ เหตุการณ์ประเภท "การตรวจสอบความสำเร็จ" จะถูกบันทึกไว้)
– การตรวจสอบความล้มเหลว(เหตุการณ์ที่เกี่ยวข้องกับการดำเนินการที่ไม่สำเร็จที่เกี่ยวข้องกับการสนับสนุนความปลอดภัยของระบบ ตัวอย่างเช่น หากผู้ใช้ไม่สามารถเข้าถึงไดรฟ์เครือข่าย เหตุการณ์ประเภท "การตรวจสอบความล้มเหลว" จะถูกบันทึกไว้)
วิธีใช้บันทึกเหตุการณ์เพื่อแก้ไขปัญหา
การวิเคราะห์บันทึกเหตุการณ์อย่างรอบคอบจะช่วยป้องกันปัญหาของระบบและระบุสาเหตุของการเกิดขึ้น ตัวอย่างเช่น หากมีคำเตือนในบันทึกว่าเซกเตอร์ของดิสก์สามารถอ่านหรือเขียนได้หลังจากพยายามหลายครั้งเท่านั้น เซกเตอร์นี้อาจใช้งานไม่ได้ในไม่ช้า
บันทึกยังสามารถช่วยแก้ไขปัญหาที่เกี่ยวข้องกับแอปพลิเคชันได้อีกด้วย ตัวอย่างเช่น หากโปรแกรมขัดข้อง บันทึกแอปพลิเคชันมักจะประกอบด้วยรายการเกี่ยวกับเหตุการณ์ที่นำไปสู่สิ่งนี้
การอ่านบันทึกเหตุการณ์ถือเป็นหน้าที่อันศักดิ์สิทธิ์ (รายวัน!) ของโปรแกรมเมอร์และผู้ดูแลระบบ บ่อยครั้งที่สำหรับผู้ใช้ทั่วไป การดูบันทึกเหล่านี้สามารถทำให้ชีวิตง่ายขึ้นมาก ทำให้การสื่อสารกับผู้ควบคุมทำได้ หน้าต่างสนุกและมีประสิทธิภาพยิ่งขึ้น!
หมายเหตุ
1. บริการบันทึกเหตุการณ์จะเริ่มทำงานโดยอัตโนมัติเมื่อเริ่มต้นระบบ หน้าต่าง.
ระบบปฏิบัติการ Windows Vista จะตรวจสอบทุกสิ่งที่เกิดขึ้นกับระบบปฏิบัติการอย่างระมัดระวังและไม่ไม่รู้จักเหน็ดเหนื่อย การกระทำทั้งหมดที่เรียกว่า "เหตุการณ์" จะถูกบันทึกและกระจายออกเป็นหมวดหมู่ต่างๆ อย่างต่อเนื่อง โปรแกรม Event Viewer (ซึ่งในกรณีที่คุณสงสัยว่าเป็นเครื่องมือของ MMC) ถือได้ว่าเป็นบันทึกประจำวันที่หญิงชราผู้พิถีพิถันและพิถีพิถันเก็บไว้บนม้านั่งตรงทางเข้า โดยจะบันทึกว่าใครเข้าและออกจากบ้าน การสนทนาที่เกิดขึ้นระหว่างผู้อยู่อาศัย ใครหย่าร้างกับใคร และทะเลาะวิวาทกัน กล่าวอีกนัยหนึ่งคือมีภาพรวมที่สมบูรณ์ของวิถีชีวิตของบ้าน
ฟังก์ชั่นสอดแนมที่คล้ายกันนั้นดำเนินการโดยโปรแกรม Event Viewer ซึ่งแตกต่างจากความอยากรู้อยากเห็นของหญิงชราซึ่งออกแบบมาเพื่อวินิจฉัยและระบุปัญหาในการทำงานของระบบปฏิบัติการที่ผู้ใช้ไม่รู้
เหตุการณ์ทั้งหมดที่เกิดขึ้นในระบบจะถูกบันทึกไว้ในบันทึกของระบบพิเศษ Event Viewer ช่วยให้คุณสามารถดูเนื้อหาของบันทึกเหล่านี้ เก็บถาวร และลบออกได้ คุณสามารถใช้โปรแกรมนี้ได้อย่างไร? วัตถุประสงค์หลักคือการระบุปัญหาที่เกิดขึ้นและสาเหตุของการเกิดขึ้น หากอุปกรณ์ทำงานผิดปกติ ฮาร์ดไดรฟ์เต็ม บางโปรแกรมค้างตลอดเวลา หรือมีเหตุการณ์ไม่พึงประสงค์เกิดขึ้น ข้อมูลเกี่ยวกับสิ่งที่เกิดขึ้นจะถูกบันทึกไว้ในบันทึกของระบบที่เกี่ยวข้อง จากนั้นเพียงเปิดตัว Event Viewer และรับข้อมูลที่ครบถ้วนและชัดเจนจากบันทึกของระบบ
คุณสามารถเริ่ม Event Viewer ได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้
- เลือกทีม เริ่ม>แผงควบคุมคลิกที่ลิงค์ ระบบและการดูแลรักษาจากนั้นไปที่ลิงก์ การบริหารและสุดท้ายก็อยู่ที่ลิงค์ โปรแกรมดูเหตุการณ์.
- วิธีที่สองสำหรับผู้ที่ใจร้อน: ป้อนคำสั่งในบรรทัดคำสั่ง เหตุการณ์vwr.
จำได้ว่านอกเหนือจากการคลิกปุ่ม เริ่มคุณสามารถเปิดหน้าต่างบรรทัดคำสั่งได้โดยการกดคีย์ผสม
ไม่ว่าในกรณีใด หน้าต่างที่แสดงด้านล่างจะเปิดขึ้น
- ดูเหตุการณ์จากบันทึกของระบบหลายรายการ
- สร้างตัวกรองเหตุการณ์เป็นมุมมองที่กำหนดเอง
- ความสามารถในการสร้างงานที่ทำงานโดยอัตโนมัติกับเหตุการณ์เฉพาะ
มาดูหน้าต่างที่แสดงด้านบนกันดีกว่า หน้าต่างแบ่งออกเป็นสามบาน บนแผงด้านซ้าย โปรแกรมดูเหตุการณ์มีหลายโฟลเดอร์ที่มีมุมมอง เรื่องราว และการสมัครสมาชิกแบบกำหนดเอง แผงกลางประกอบด้วยเมนูย่อยหลายรายการ เช่น และ โหนดที่ดูล่าสุด- ในที่สุดบนแผงด้านขวา การดำเนินการคุณสามารถเลือกการกระทำที่เฉพาะเจาะจงได้ เช่น การสร้างมุมมองแบบกำหนดเอง หรือการเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่น
แผง ช่วยให้คุณระบุเหตุการณ์สำคัญทั้งหมดที่บันทึกไว้ในชั่วโมง วัน หรือสัปดาห์ที่ผ่านมาได้อย่างรวดเร็ว กิจกรรมแต่ละประเภทสามารถขยายเพื่อแสดงข้อมูลโดยละเอียดเกี่ยวกับกิจกรรมได้ แผงจะให้ภาพทั่วไปของสิ่งที่เกิดขึ้นในระบบ และเพื่อรับข้อมูลเฉพาะ คุณควรไปที่เหตุการณ์เฉพาะ
เนื่องจาก Event Viewer ใช้เพื่อดูบันทึกของระบบ ให้คลิกที่ไอคอนโฟลเดอร์ และ บันทึกแอปพลิเคชันและบริการในแผงด้านซ้ายเพื่อขยายรายชื่อวารสารที่มีอยู่ มาดูรายละเอียดเพิ่มเติมกัน ในโฟลเดอร์ มีการนำเสนอนิตยสารดังต่อไปนี้
- แอปพลิเคชัน- เหตุการณ์ในบันทึกนี้สร้างขึ้นโดยแอปพลิเคชัน รวมถึงโปรแกรมที่ติดตั้งที่มาพร้อมกับ Windows Vista และบริการระบบปฏิบัติการ เหตุการณ์ใดบ้างที่บันทึกไว้ในบันทึกนี้จะขึ้นอยู่กับโปรแกรมเฉพาะ
- ความปลอดภัย- บันทึกนี้แสดงรายการความพยายามในการเข้าสู่ระบบของผู้ใช้ (สำเร็จและไม่สำเร็จ) รวมถึงการดำเนินการที่เกี่ยวข้องกับทรัพยากรสาธารณะ เช่น การดำเนินการเพื่อสร้าง แก้ไข หรือลบไฟล์หรือโฟลเดอร์
- การตั้งค่า- เหตุการณ์ในบันทึกนี้ถูกสร้างขึ้นเมื่อมีการติดตั้งโปรแกรม
- ระบบ- เหตุการณ์ของระบบสร้างขึ้นโดย Windows เองและโดยส่วนประกอบที่ติดตั้ง เช่น ไดรเวอร์อุปกรณ์ บันทึกนี้มีประโยชน์ในการระบุไดรเวอร์ที่ไม่สามารถโหลดได้เมื่อ Windows เริ่มทำงาน
- กิจกรรมที่ส่งต่อ- บันทึกนี้มีเหตุการณ์ที่รวบรวมจากคอมพิวเตอร์เครื่องอื่นบนเครือข่าย
ในโฟลเดอร์ บันทึกแอปพลิเคชันและบริการคุณสามารถค้นหารายการสำหรับแอปพลิเคชันและบริการแต่ละรายการได้ แม้ว่าบันทึกอื่นๆ จะให้ข้อมูลทั่วไป แต่บันทึกนี้จะให้ข้อมูลเกี่ยวกับการทำงานของโปรแกรมเฉพาะ สังเกตเห็นโฟลเดอร์ย่อยของ Microsoft ซึ่งมีโฟลเดอร์ย่อยของ Windows โฟลเดอร์นี้ประกอบด้วยรายการสำหรับส่วนประกอบต่างๆ ของ Windows Vista ซึ่งแสดงอยู่ในโฟลเดอร์ที่แยกจากกัน
ระบบปฏิบัติการ Windows 7 จะตรวจสอบเหตุการณ์สำคัญต่างๆ ที่เกิดขึ้นในระบบของคุณอย่างต่อเนื่อง บนไมโครซอฟต์วินโดวส์ เหตุการณ์คือเหตุการณ์ใดๆ ในระบบปฏิบัติการที่ถูกบันทึกไว้หรือต้องมีการแจ้งเตือนไปยังผู้ใช้หรือผู้ดูแลระบบ นี่อาจเป็นบริการที่ไม่ต้องการเริ่มต้น การติดตั้งอุปกรณ์ หรือข้อผิดพลาดของแอปพลิเคชัน เหตุการณ์จะถูกบันทึกและจัดเก็บไว้ในบันทึกเหตุการณ์ของ Windows และให้ข้อมูลประวัติที่สำคัญซึ่งจะช่วยให้คุณตรวจสอบระบบของคุณ รักษาความปลอดภัยของระบบ แก้ไขข้อผิดพลาด และดำเนินการวินิจฉัย ข้อมูลที่อยู่ในบันทึกเหล่านี้ควรได้รับการตรวจสอบเป็นประจำ คุณควรตรวจสอบบันทึกเหตุการณ์เป็นประจำและกำหนดค่าระบบปฏิบัติการของคุณเพื่อบันทึกเหตุการณ์ระบบที่สำคัญ หากคุณเป็นผู้ดูแลระบบเซิร์ฟเวอร์ Windows คุณจะต้องตรวจสอบความปลอดภัยของระบบ การทำงานปกติของแอปพลิเคชันและบริการ ตลอดจนตรวจสอบเซิร์ฟเวอร์เพื่อหาข้อผิดพลาดที่อาจทำให้ประสิทธิภาพลดลง หากคุณเป็นผู้ใช้คอมพิวเตอร์ส่วนบุคคล คุณควรตรวจสอบให้แน่ใจว่าคุณสามารถเข้าถึงบันทึกที่เหมาะสมที่คุณต้องการเพื่อสนับสนุนระบบของคุณและแก้ไขข้อผิดพลาด
โปรแกรม "ผู้ดูเหตุการณ์"เป็นสแน็ปอิน Microsoft Management Console (MMC) สำหรับการดูและจัดการบันทึกเหตุการณ์ นี่เป็นเครื่องมือที่ขาดไม่ได้ในการตรวจสอบประสิทธิภาพของระบบและการแก้ไขปัญหา เรียกว่าบริการ Windows ที่จัดการการบันทึกเหตุการณ์ "บันทึกเหตุการณ์"- หากทำงานอยู่ Windows จะเขียนข้อมูลสำคัญลงในบันทึก การใช้งานโปรแกรม "ผู้ดูเหตุการณ์"คุณสามารถทำสิ่งต่อไปนี้:
- ดูเหตุการณ์จากบันทึกเฉพาะ
- ใช้ตัวกรองเหตุการณ์และบันทึกไว้เพื่อใช้ในภายหลังเป็นมุมมองที่กำหนดเอง
- สร้างและจัดการการสมัครสมาชิกกิจกรรม
- กำหนดการดำเนินการเฉพาะที่จะดำเนินการเมื่อมีเหตุการณ์เฉพาะเกิดขึ้น
เปิดตัวโปรแกรมดูเหตุการณ์
แอปพลิเคชัน "ผู้ดูเหตุการณ์"สามารถเปิดได้ด้วยวิธีต่อไปนี้:
รูปที่ 1. หน้าต่างตัวแสดงเหตุการณ์
บันทึกเหตุการณ์ใน Windows 7
ในระบบปฏิบัติการ Windows 7 เช่นเดียวกับใน Window Vista มีบันทึกเหตุการณ์สองประเภท: บันทึกของ Windowsและ บันทึกแอปพลิเคชันและบริการ. บันทึกของ Windows- ใช้โดยระบบปฏิบัติการเพื่อบันทึกเหตุการณ์ทั่วทั้งระบบที่เกี่ยวข้องกับการทำงานของแอปพลิเคชัน ส่วนประกอบของระบบ ความปลอดภัย และการเริ่มต้น ก บันทึกแอปพลิเคชันและบริการ- ใช้โดยแอปพลิเคชันและบริการเพื่อบันทึกเหตุการณ์ที่เกี่ยวข้องกับการดำเนินงาน คุณสามารถใช้สแน็ปอินเพื่อจัดการบันทึกเหตุการณ์ "ผู้ดูเหตุการณ์"หรือโปรแกรมบรรทัดคำสั่ง wevtutilซึ่งจะกล่าวถึงในส่วนที่สองของบทความ ประเภทบันทึกทั้งหมดอธิบายไว้ด้านล่าง:
แอปพลิเคชัน- เก็บเหตุการณ์สำคัญที่เกี่ยวข้องกับแอปพลิเคชันเฉพาะ ตัวอย่างเช่น Exchange Server จะจัดเก็บเหตุการณ์ที่เกี่ยวข้องกับการส่งต่อจดหมาย รวมถึงเหตุการณ์สำหรับการจัดเก็บข้อมูล กล่องจดหมาย และบริการที่ทำงานอยู่ ตามค่าเริ่มต้น จะอยู่ใน %SystemRoot%\System32\Winevt\Logs\Application.Evtx
ความปลอดภัย- จัดเก็บเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย เช่น การเข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ และการเข้าถึงทรัพยากร โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\Security.Evtx
การติดตั้ง- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นระหว่างการติดตั้งและการกำหนดค่าระบบปฏิบัติการและส่วนประกอบต่างๆ โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\Setup.Evtx
ระบบ- เก็บเหตุการณ์ของระบบปฏิบัติการหรือส่วนประกอบ เช่น ความล้มเหลวในการเริ่มบริการหรือการเริ่มต้นไดรเวอร์ ข้อความทั่วทั้งระบบ และข้อความอื่น ๆ ที่เกี่ยวข้องกับระบบโดยรวม โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\System.Evtx
กิจกรรมที่ส่งต่อ- หากมีการกำหนดค่าการส่งต่อเหตุการณ์ บันทึกนี้จะรวมเหตุการณ์ที่ส่งต่อจากเซิร์ฟเวอร์อื่นด้วย โดยค่าเริ่มต้นจะถูกวางไว้ใน %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx
อินเทอร์เน็ตเอ็กซ์พลอเรอร์- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นเมื่อตั้งค่าและทำงานกับเบราว์เซอร์ Internet Explorer โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx
วินโดว์ PowerShell- บันทึกนี้จะบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้ PowerShell โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx
กิจกรรมอุปกรณ์- หากมีการกำหนดค่าการบันทึกเหตุการณ์ฮาร์ดแวร์ เหตุการณ์ที่สร้างโดยอุปกรณ์จะถูกบันทึกลงในบันทึกนี้ โดยค่าเริ่มต้น จะอยู่ใน %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx
ใน Windows 7 โครงสร้างพื้นฐานที่ให้การบันทึกเหตุการณ์จะขึ้นอยู่กับ XML เช่นเดียวกับใน Windows Vista ข้อมูลเหตุการณ์แต่ละรายการสอดคล้องกับสคีมา XML ซึ่งช่วยให้คุณเข้าถึงโค้ด XML ของเหตุการณ์ใดๆ ได้ คุณยังสามารถสร้างแบบสอบถามที่ใช้ XML เพื่อดึงข้อมูลจากบันทึกได้ ไม่จำเป็นต้องมีความรู้เกี่ยวกับ XML เพื่อใช้คุณสมบัติใหม่เหล่านี้ อุปกรณ์ "ผู้ดูเหตุการณ์"จัดเตรียมอินเทอร์เฟซแบบกราฟิกอย่างง่ายเพื่อเข้าถึงคุณสมบัติเหล่านี้
คุณสมบัติเหตุการณ์
มีคุณสมบัติเหตุการณ์สแน็ปอินหลายประการ "ผู้ดูเหตุการณ์"ซึ่งมีรายละเอียดอธิบายไว้ด้านล่าง:
แหล่งที่มาเป็นโปรแกรมที่บันทึกเหตุการณ์ ซึ่งอาจเป็นชื่อของโปรแกรม (เช่น "Exchange Server") หรือชื่อของส่วนประกอบของระบบหรือแอปพลิเคชันขนาดใหญ่ (เช่น ชื่อของไดรเวอร์) ตัวอย่างเช่น "Elnkii" หมายถึงไดรเวอร์ EtherLink II
รหัสเหตุการณ์คือตัวเลขที่ระบุประเภทของเหตุการณ์เฉพาะ บรรทัดแรกของคำอธิบายมักจะมีชื่อของประเภทเหตุการณ์ ตัวอย่างเช่น 6005 คือ ID ของเหตุการณ์ที่เกิดขึ้นเมื่อบริการบันทึกเหตุการณ์เริ่มทำงาน ดังนั้น ที่จุดเริ่มต้นของคำอธิบายของเหตุการณ์นี้ จะมีบรรทัด “บริการบันทึกเหตุการณ์เริ่มต้นแล้ว” ทีมสนับสนุนผลิตภัณฑ์ซอฟต์แวร์สามารถใช้รหัสเหตุการณ์และชื่อแหล่งบันทึกเพื่อแก้ไขปัญหาได้
ระดับ- นี่คือระดับความสำคัญของงาน ในบันทึกของระบบและแอปพลิเคชัน เหตุการณ์อาจมีระดับความรุนแรงดังต่อไปนี้:
- การแจ้งเตือน- หมายถึงการเปลี่ยนแปลงในแอปพลิเคชันหรือส่วนประกอบ เช่น การเกิดขึ้นของเหตุการณ์ข้อมูลที่เกี่ยวข้องกับการดำเนินการที่ประสบความสำเร็จ การสร้างทรัพยากร หรือการเริ่มต้นบริการ
- คำเตือน- ระบุคำเตือนทั่วไปเกี่ยวกับปัญหาที่อาจส่งผลกระทบต่อการบริการหรือนำไปสู่ปัญหาที่ร้ายแรงยิ่งขึ้นหากปล่อยทิ้งไว้โดยไม่มีใครดูแล
- ข้อผิดพลาด- บ่งชี้ว่ามีปัญหาเกิดขึ้นซึ่งอาจส่งผลต่อฟังก์ชันภายนอกแอปพลิเคชันหรือส่วนประกอบที่ทำให้เกิดเหตุการณ์
- ข้อผิดพลาดร้ายแรง- บ่งชี้ว่ามีความล้มเหลวเกิดขึ้นซึ่งแอปพลิเคชันหรือส่วนประกอบที่เริ่มต้นเหตุการณ์ไม่สามารถกู้คืนได้โดยอัตโนมัติ
- การตรวจสอบความสำเร็จ- การดำเนินการที่คุณติดตามผ่านการตรวจสอบสำเร็จ เช่น การใช้สิทธิ์
- การตรวจสอบความล้มเหลว- ความล้มเหลวในการดำเนินการที่คุณติดตามผ่านการตรวจสอบ เช่น ข้อผิดพลาดในการเข้าสู่ระบบ
ผู้ใช้- กำหนดบัญชีผู้ใช้ที่มีเหตุการณ์นี้เกิดขึ้นในนามของ ผู้ใช้ประกอบด้วยเอนทิตีพิเศษ เช่น Local Service, Network Service และการเข้าสู่ระบบโดยไม่ระบุชื่อ รวมถึงบัญชีผู้ใช้จริง ชื่อนี้คือตัวระบุไคลเอ็นต์หากเหตุการณ์เกิดขึ้นจริงโดยกระบวนการเซิร์ฟเวอร์ หรือตัวระบุหลักหากไม่มีการดำเนินการเลียนแบบ ในบางกรณี รายการบันทึกความปลอดภัยจะมีรหัสทั้งสอง ฟิลด์นี้อาจมี N/A หากบัญชีไม่เกี่ยวข้องในสถานการณ์นี้ การเลียนแบบเกิดขึ้นในกรณีที่เซิร์ฟเวอร์อนุญาตให้กระบวนการหนึ่งรับคุณลักษณะความปลอดภัยของกระบวนการอื่น
รหัสการทำงาน- มีค่าตัวเลขที่ระบุการดำเนินการหรือจุดภายในการดำเนินการที่เกิดเหตุการณ์นี้ขึ้น ตัวอย่างเช่น การเริ่มต้นหรือการปิด
นิตยสาร- ชื่อของบันทึกที่บันทึกเหตุการณ์นี้
หมวดหมู่และงาน- กำหนดหมวดหมู่เหตุการณ์ ซึ่งบางครั้งใช้เพื่ออธิบายการกระทำที่ถูกต้องในภายหลัง แหล่งที่มาของเหตุการณ์แต่ละแหล่งมีหมวดหมู่ของตัวเอง ตัวอย่างเช่น หมวดหมู่ต่อไปนี้: การเข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ การเปลี่ยนแปลงนโยบาย และการจัดการบัญชี
คำหลักคือชุดหมวดหมู่หรือแท็กที่ใช้กรองหรือค้นหาเหตุการณ์ได้ ตัวอย่างเช่น: "เครือข่าย", "ความปลอดภัย" หรือ "ไม่พบทรัพยากร"
คอมพิวเตอร์- ระบุชื่อของคอมพิวเตอร์ที่เกิดเหตุการณ์ โดยปกติจะเป็นชื่อของคอมพิวเตอร์ในระบบ แต่อาจเป็นชื่อของคอมพิวเตอร์ที่ส่งต่อเหตุการณ์ หรือชื่อของคอมพิวเตอร์ในระบบก่อนที่จะมีการปรับเปลี่ยน
วันที่และเวลา- กำหนดวันที่และเวลาที่เกิดเหตุการณ์นี้ในบันทึก
รหัสกระบวนการ- หมายถึงหมายเลขประจำตัวของกระบวนการที่ทำให้เกิดเหตุการณ์ โปรแกรมคอมพิวเตอร์เป็นเพียงชุดคำสั่งแบบพาสซีฟ ในขณะที่กระบวนการคือการดำเนินการโดยตรงของคำสั่งเหล่านี้
รหัสสตรีม- หมายถึงหมายเลขประจำตัวของเธรดที่สร้างเหตุการณ์ กระบวนการที่เกิดในระบบปฏิบัติการอาจประกอบด้วยหลายเธรดที่ทำงาน "ขนานกัน" นั่นคือโดยไม่ต้องมีคำสั่งตามเวลาที่กำหนด เมื่อปฏิบัติงานบางอย่าง แผนกดังกล่าวสามารถใช้ทรัพยากรคอมพิวเตอร์ได้อย่างมีประสิทธิภาพมากขึ้น
รหัสโปรเซสเซอร์- หมายถึงหมายเลขประจำตัวของโปรเซสเซอร์ที่ประมวลผลเหตุการณ์
รหัสเซสชันคือหมายเลขประจำตัวเซสชันบนเทอร์มินัลเซิร์ฟเวอร์ที่มีเหตุการณ์เกิดขึ้น
เวลาการทำงานของโหมดเคอร์เนล- กำหนดเวลาที่ใช้ในการดำเนินการคำสั่งโหมดเคอร์เนลในหน่วยเวลาของ CPU โหมดเคอร์เนลมีการเข้าถึงหน่วยความจำระบบและอุปกรณ์ภายนอกอย่างไม่จำกัด เคอร์เนลของระบบ NT เรียกว่าเคอร์เนลไฮบริดหรือมาโครเคอร์เนล
เวลาทำงานในโหมดผู้ใช้- กำหนดเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ในหน่วยของเวลา CPU โหมดผู้ใช้ประกอบด้วยระบบย่อยที่ส่งคำขอ I/O ไปยังไดรเวอร์โหมดเคอร์เนลที่เหมาะสมผ่านตัวจัดการ I/O
โหลดซีพียูคือเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ โดยอยู่ในเครื่องหมาย CPU
รหัสความสัมพันธ์- กำหนดการดำเนินการในกระบวนการที่ใช้เหตุการณ์ รหัสนี้ใช้เพื่อระบุความสัมพันธ์แบบง่ายระหว่างเหตุการณ์ สหสัมพันธ์คือความสัมพันธ์ทางสถิติระหว่างตัวแปรสุ่มตั้งแต่สองตัวขึ้นไป (หรือค่าที่ถือได้ว่าเป็นเช่นนั้นด้วยระดับความแม่นยำที่ยอมรับได้) ในกรณีนี้ การเปลี่ยนแปลงในปริมาณหนึ่งหรือหลายปริมาณจะนำไปสู่การเปลี่ยนแปลงอย่างเป็นระบบในปริมาณอื่นหรือปริมาณอื่น
รหัสความสัมพันธ์สัมพัทธ์- กำหนดการดำเนินการที่สัมพันธ์กันในกระบวนการที่ใช้เหตุการณ์
การทำงานกับบันทึกเหตุการณ์
โปรแกรมดูเหตุการณ์
ในภาพหน้าจอถัดไป คุณจะเห็นบันทึก “แอพพลิเคชั่น”ซึ่งคุณสามารถค้นหาข้อมูลเกี่ยวกับกิจกรรม มุมมองล่าสุด และการดำเนินการที่มีอยู่ หากต้องการดูเหตุการณ์บันทึกของแอปพลิเคชัน ให้ทำตามขั้นตอนเหล่านี้:
- ในแผนผังคอนโซล ให้เลือก "บันทึกของ Windows";
- เลือกนิตยสาร “แอพพลิเคชั่น”.
ขอแนะนำให้ตรวจสอบบันทึกเหตุการณ์บ่อยขึ้น "แอปพลิเคชัน"และ "ระบบ"และตรวจสอบปัญหาและคำเตือนที่มีอยู่ซึ่งอาจเป็นลางบอกเหตุถึงปัญหาในอนาคต เมื่อคุณเลือกบันทึก หน้าต่างกลางจะแสดงเหตุการณ์ที่มีอยู่ รวมถึงวันที่ เวลาและแหล่งที่มาของเหตุการณ์ ระดับเหตุการณ์ และรายละเอียดอื่นๆ
แผง “วิวพอร์ต”แสดงข้อมูลเหตุการณ์พื้นฐานบนแท็บ "ทั่วไป"และมีข้อมูลเฉพาะเพิ่มเติมอยู่บนแท็บ "รายละเอียด"- คุณสามารถเปิดและปิดแผงนี้ได้โดยเลือกเมนู "ดู"แล้วก็คำสั่ง “วิวพอร์ต”.
สำหรับระบบที่สำคัญ ขอแนะนำให้เก็บบันทึกย้อนหลังหลายเดือน ตามกฎแล้วการกำหนดขนาดให้กับนิตยสารตลอดเวลานั้นไม่สะดวกเพื่อให้ข้อมูลทั้งหมดพอดีกับนิตยสารเหล่านั้น คุณสามารถส่งออกบันทึกไปยังไฟล์ที่อยู่ในโฟลเดอร์ที่ระบุได้ หากต้องการบันทึกบันทึกที่เลือก ให้ทำตามขั้นตอนเหล่านี้:
- ในทรีคอนโซล ให้เลือกบันทึกเหตุการณ์ที่คุณต้องการบันทึก
- เลือกทีม "บันทึกกิจกรรมเป็น"จากเมนู "การกระทำ"หรือจากเมนูบริบทบันทึกให้เลือกคำสั่ง "บันทึกกิจกรรมทั้งหมดเป็น";
- ในกล่องโต้ตอบที่ปรากฏขึ้น "บันทึกเป็น"เลือกโฟลเดอร์ที่ควรบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่"บนแถบการทำงาน ในสนาม "ประเภทไฟล์"คุณต้องเลือกรูปแบบไฟล์ที่ต้องการจากที่มีอยู่: ไฟล์เหตุการณ์ - *.evtx, ไฟล์ xml - *.xml, ข้อความที่คั่นด้วยแท็บ - *.txt, csv ที่คั่นด้วยเครื่องหมายจุลภาค - *.csv ในสนาม “ชื่อไฟล์”ป้อนชื่อและคลิกที่ปุ่ม "บันทึก"- หากต้องการยกเลิกการบันทึก ให้คลิกปุ่ม "ยกเลิก";
- ในกรณีที่ไม่ได้ตั้งใจที่จะดูบันทึกเหตุการณ์บนคอมพิวเตอร์เครื่องอื่นในกล่องโต้ตอบ “แสดงรายละเอียด”ออกจากตัวเลือกเริ่มต้น “อย่าแสดงข้อมูล”และหากต้องการดูบันทึกบนคอมพิวเตอร์เครื่องอื่น ให้ดำเนินการในกล่องโต้ตอบ “แสดงรายละเอียด”เลือกตัวเลือก "แสดงข้อมูลสำหรับภาษาต่อไปนี้"และคลิกที่ปุ่ม "ตกลง".
การล้างบันทึกเหตุการณ์
บางครั้งจำเป็นต้องล้างบันทึกเหตุการณ์ทั้งหมดเพื่อให้แน่ใจว่าการวิเคราะห์คำเตือนและข้อผิดพลาดที่สำคัญของระบบปฏิบัติการมีประสิทธิผล หากต้องการล้างบันทึกที่เลือก ให้ทำตามขั้นตอนเหล่านี้:
การตั้งค่าขนาดบันทึกสูงสุด
ตามที่กล่าวไว้ข้างต้น บันทึกเหตุการณ์จะถูกจัดเก็บเป็นไฟล์ในโฟลเดอร์ %SystemRoot%\System32\Winevt\Logs\ ตามค่าเริ่มต้น ขนาดสูงสุดของไฟล์เหล่านี้จะถูกจำกัด แต่คุณสามารถเปลี่ยนได้ด้วยวิธีต่อไปนี้:
กิจกรรมจะถูกจัดเก็บไว้ในไฟล์บันทึกที่สามารถขยายได้ถึงขนาดสูงสุดที่ระบุเท่านั้น เมื่อไฟล์ถึงขนาดสูงสุดแล้ว การประมวลผลเหตุการณ์ขาเข้าจะถูกกำหนดโดยนโยบายการเก็บรักษาบันทึก นโยบายการเก็บรักษาบันทึกต่อไปนี้พร้อมใช้งาน:
เขียนเหตุการณ์ใหม่หากจำเป็น (ไฟล์ที่เก่าที่สุดก่อน)- ในกรณีนี้ รายการใหม่จะยังคงถูกป้อนลงในวารสารหลังจากกรอกแล้ว แต่ละเหตุการณ์ใหม่จะแทนที่เหตุการณ์ที่เก่าที่สุดในบันทึก
เก็บบันทึกเมื่อกรอกข้อมูลแล้ว อย่าเขียนเหตุการณ์ซ้ำ- ในกรณีนี้ ไฟล์บันทึกจะถูกเก็บถาวรโดยอัตโนมัติหากจำเป็น เหตุการณ์เก่าจะไม่ถูกเขียนทับ
อย่าเขียนทับเหตุการณ์ (ล้างบันทึกด้วยตนเอง)- ในกรณีนี้ บันทึกจะถูกล้างด้วยตนเอง ไม่ใช่โดยอัตโนมัติ
เมื่อต้องการเลือกนโยบายการเก็บรักษาบันทึกที่ต้องการ ให้ทำตามขั้นตอนเหล่านี้:
- ในทรีคอนโซล ให้เลือกบันทึกเหตุการณ์ที่คุณต้องการปรับขนาด
- เลือกทีม "คุณสมบัติ"จากเมนู "การกระทำ"หรือจากเมนูบริบทของวารสารที่เลือก
- บนแท็บ "ทั่วไป"ในส่วน “เมื่อถึงขนาดสูงสุด”เลือกพารามิเตอร์ที่ต้องการแล้วคลิกปุ่ม "ตกลง".
กำลังเปิดใช้งานบันทึกการวิเคราะห์และการแก้ไขข้อบกพร่อง
บันทึกการวิเคราะห์และการแก้ไขข้อบกพร่องจะไม่ทำงานตามค่าเริ่มต้น เมื่อเปิดใช้งานแล้วจะเต็มไปด้วยกิจกรรมจำนวนมากอย่างรวดเร็ว ด้วยเหตุนี้ จึงแนะนำให้เปิดใช้งานบันทึกเหล่านี้ในระยะเวลาที่จำกัดเพื่อรวบรวมข้อมูลที่จำเป็นสำหรับการแก้ไขปัญหา จากนั้นจึงปิดใช้งานอีกครั้ง คุณสามารถเปิดใช้งานบันทึกได้ดังนี้:
- ในทรีคอนโซล ค้นหาและเลือกบันทึกการวิเคราะห์หรือดีบักที่คุณต้องการเปิดใช้งาน
- เลือกทีม "คุณสมบัติ"จากเมนู "การกระทำ"หรือจากเมนูบริบทของบันทึกการวิเคราะห์หรือดีบักที่เลือก
- บนแท็บ "ทั่วไป"ทำเครื่องหมายในช่องตัวเลือก "เปิดใช้งานการบันทึก"
การเปิดและปิดบันทึกประจำวันที่บันทึกไว้
การใช้อุปกรณ์ "ผู้ดูเหตุการณ์"คุณสามารถเปิดและดูบันทึกที่บันทึกไว้ก่อนหน้านี้ได้ คุณสามารถเปิดบันทึกที่บันทึกไว้หลายรายการพร้อมกันและเข้าถึงได้ตลอดเวลาในแผนผังคอนโซล นิตยสารเปิดใน "ผู้ดูเหตุการณ์"สามารถปิดได้โดยไม่ต้องลบข้อมูลที่มีอยู่ หากต้องการเปิดบันทึกที่บันทึกไว้ ให้ทำตามขั้นตอนเหล่านี้:
หากต้องการลบบันทึกที่เปิดอยู่ออกจากแผนผังเหตุการณ์ ให้ทำตามขั้นตอนเหล่านี้:
บทสรุป
บทความนี้ในส่วนนี้ซึ่งอุทิศให้กับสแนปอิน Event Viewer พูดถึงสแนปอินนั้นเองและอธิบายรายละเอียดเกี่ยวกับการดำเนินการที่ง่ายที่สุดที่เกี่ยวข้องกับการตรวจสอบและบำรุงรักษาระบบโดยใช้ Event Viewer ส่วนถัดไปของบทความจะได้รับการออกแบบสำหรับผู้ใช้ Windows ที่มีประสบการณ์ ซึ่งจะครอบคลุมงานที่มีมุมมองที่กำหนดเอง การกรอง การจัดกลุ่ม/การเรียงลำดับเหตุการณ์ และการจัดการการสมัครรับข้อมูล
×
ความสนใจ!
ลงชื่อเข้าใช้บัญชีไซต์ของคุณหรือสร้างบัญชีเพื่อเข้าถึงไซต์ของเราได้อย่างเต็มที่
การลงทะเบียนจะทำให้คุณมีโอกาสเพิ่มข่าวสาร แสดงความคิดเห็นในบทความ สื่อสารกับผู้ใช้รายอื่น และอื่นๆ อีกมากมาย
วัสดุอื่นๆ
คำแนะนำ เพื่อปิดเครื่องนิตยสาร กคุณต้องปิดการใช้งานบริการที่เกี่ยวข้อง หากคุณกำลังใช้งานระบบปฏิบัติการ Windows XP ให้เปิด: "Start" - "Control Panel" - "Administrative Tools" - "Services" ค้นหาบริการ "วารสาร" ก"(บันทึกเหตุการณ์) ให้เปิดหน้าต่างโดยคลิกที่บรรทัดที่เกี่ยวข้อง ห้ามหยุดบริการนี้ แต่คุณสามารถเปลี่ยนประเภทการเริ่มต้นได้โดยเลือกตัวเลือก "ปิดใช้งาน" ครั้งต่อไปที่คุณบูตคอมพิวเตอร์ เพื่อปิดเครื่อง กจะไม่เปิดตัว
บนระบบปฏิบัติการ Windows 7 เพื่อปิดเครื่อง กถูกปิดใช้งานในลักษณะเดียวกัน - ค้นหา "การดูแลระบบ" - "บริการ" ในแผงควบคุมและเปลี่ยนประเภทการเริ่มต้นบริการเป็น "ปิดใช้งาน" นิตยสาร กจะทำงานจนกว่าระบบจะรีบูตครั้งแรก
ในกรณีส่วนใหญ่ ผู้ใช้จะปิดใช้งานบริการบางอย่างเพื่อปรับปรุงประสิทธิภาพของคอมพิวเตอร์และปรับปรุงความปลอดภัย ตามค่าเริ่มต้น ระบบปฏิบัติการ Windows จะใช้บริการหลายอย่างที่ผู้ใช้ทั่วไปไม่ต้องการและควรปิดใช้งาน ตัวอย่างเช่น หากคุณไม่ได้วางแผนที่จะใช้ Remote Assistance ให้ปิดใช้งานบริการ Terminal หากคุณไม่ต้องการให้ใครแก้ไขรีจิสทรีของคอมพิวเตอร์ของคุณ ให้ปิดใช้งานบริการ Remote Registry
หากคุณไม่ซิงโครไนซ์เวลาระบบของคอมพิวเตอร์กับเซิร์ฟเวอร์เวลา ให้ปิดใช้งานบริการเวลา หากคุณไม่ได้ใช้ Wi-Fi ให้ปิดบริการ "การตั้งค่าไร้สาย" ดูแลฐานข้อมูลต่อต้านไวรัสของคุณให้ทันสมัยและไม่ต้องการการแจ้งเตือน - ปิดการใช้งานศูนย์ความปลอดภัย
หากคุณไม่ต้องการใช้คอมพิวเตอร์ของคุณเป็นเซิร์ฟเวอร์ และให้ผู้ใช้รายอื่นเข้าถึงโฟลเดอร์และไฟล์ของคุณ ให้ปิดการใช้งานบริการ "เซิร์ฟเวอร์" หากคุณจะไม่เข้าสู่ระบบในฐานะผู้ใช้รายอื่น ให้ปิดการใช้งาน "การเข้าสู่ระบบรอง" ด้วยการปิดใช้งานบริการเหล่านี้ คุณจะสามารถเพิ่มความเร็วของคอมพิวเตอร์และเพิ่มความปลอดภัยเมื่อทำงานออนไลน์ได้
ระบบปฏิบัติการ Windows 7 มีบริการพิเศษที่ให้คุณตรวจสอบได้ทั้งหมด กในระบบคอมพิวเตอร์ แอพสำหรับดู ก" คือสแน็ปอิน Microsoft Management Console (MMC) สำหรับการดูและการจัดการ นิตยสาร ก.
คุณจะต้อง
- วินโดวส์ 7
วัสดุอื่นๆ
คลิกปุ่ม "เริ่ม" เพื่อเปิดเมนูหลักและไปที่ "แผงควบคุม"
เลือก "การดูแลระบบ" จากรายการส่วนประกอบ และเลือก "ดู ก».
กลับไปที่เมนูหลักแล้วป้อน mmc ในแถบค้นหาเพื่อเปิด "MMC Management Console"
ยืนยันการดำเนินการคำสั่งโดยกดปุ่ม Enter
เลือกคำสั่ง "เพิ่มหรือลบสแน็ปอิน" จากเมนู "MMC Management Console" ที่ว่างเปล่าที่เปิดขึ้น
ระบุสแน็ปอินมุมมอง ก» ในกล่องโต้ตอบเพิ่มหรือลบ Snap-ins และคลิกปุ่มเพิ่ม
ยืนยันการดำเนินการคำสั่งโดยคลิกปุ่ม "เสร็จสิ้น"
คลิกตกลงเพื่อยืนยันการเลือกของคุณ
เลือกนิตยสารที่ต้องการ กเพื่อบันทึก
ระบุโฟลเดอร์ที่จะบันทึกไฟล์ที่เลือกในกล่องโต้ตอบบันทึกเป็น เลือกรูปแบบไฟล์ที่ต้องการเพื่อบันทึกในช่องประเภทไฟล์ และป้อนชื่อสำหรับไฟล์ที่บันทึกในช่องชื่อไฟล์
กลับไปที่เมนูการดำเนินการเพื่อดำเนินการล้างข้อมูลบันทึก
ระบุคำสั่ง "ล้างบันทึก"
เรียกเมนูบริบทโดยคลิกขวาที่บรรทัดของบันทึกที่เลือกแล้วเลือก "ล้างบันทึก"
คลิกปุ่มล้างเพื่อล้างบันทึกโดยไม่บันทึก
คลิกปุ่มบันทึกและล้างเพื่อเก็บข้อมูล จากนั้นลบรายการบันทึก ในกรณีนี้ ให้ระบุโฟลเดอร์ที่จะบันทึกข้อมูลรายการบันทึกประจำวันในกล่องโต้ตอบบันทึกเป็น และป้อนชื่อในฟิลด์ชื่อไฟล์
โปรดทราบ
ใช้ Microsoft Icon+K เพื่อเปิดกล่องโต้ตอบ Run ป้อน eventvwr.msc ในกล่อง Open และคลิก OK เพื่อเปิด Event Viewer
คำแนะนำที่เป็นประโยชน์
การใช้งานหลักของ Event Viewer คือการดูเหตุการณ์จากบันทึกที่เลือก ใช้ตัวกรองเหตุการณ์ สร้างการสมัครรับข้อมูลเหตุการณ์ และกำหนดการดำเนินการเฉพาะให้เกิดขึ้นเมื่อมีเหตุการณ์เฉพาะเกิดขึ้น
แหล่งที่มา:
- Asusfans.ru
- จะหาบันทึกเหตุการณ์ได้ที่ไหน
มีบันทึกที่แตกต่างกันในระบบ รายการหนึ่งประกอบด้วยบันทึกเหตุการณ์ในระบบปฏิบัติการ ส่วนข้อมูลอื่นๆ จะบันทึกข้อมูลเกี่ยวกับความพยายามในการเข้าสู่ระบบ การเปลี่ยนแปลงการตั้งค่าความปลอดภัย และการเข้าถึงออบเจ็กต์ ส่วนที่สามประกอบด้วยบันทึกเหตุการณ์ที่เกิดจากโปรแกรม ทั้งหมดสามารถรวมกันตามเงื่อนไขในบันทึกเหตุการณ์ได้ มีหลายวิธีในการดู
วัสดุอื่นๆ
หากต้องการดูให้คลิกขวาที่ไอคอน "My Computer" ในเมนูแบบเลื่อนลงเลือกรายการ "จัดการ" โดยคลิกที่ปุ่มเมาส์ใดก็ได้ - กล่องโต้ตอบ "การจัดการคอมพิวเตอร์" จะเปิดขึ้น ขยายสาขา "การจัดการคอมพิวเตอร์ (ท้องถิ่น)" โดยดับเบิลคลิกด้วยปุ่มซ้ายของเมาส์ เลือกส่วน "ยูทิลิตี้" ในรายการแบบขยาย และเปิดรายการ "Event Viewer" ในเมนูย่อย
หากคุณไม่พบไอคอน My Computer บนเดสก์ท็อป ให้ตั้งค่าให้ปรากฏขึ้น ในการดำเนินการนี้ให้คลิกขวาที่พื้นที่ว่างบนเดสก์ท็อปแล้วคลิก "คุณสมบัติ" ในเมนูแบบเลื่อนลงด้วยปุ่มเมาส์ใดก็ได้ กล่องโต้ตอบคุณสมบัติ: จอแสดงผลจะเปิดขึ้น ไปที่แท็บ "เดสก์ท็อป" คลิกที่ปุ่ม "การตั้งค่าเดสก์ท็อป" ในหน้าต่างเพิ่มเติม ไปที่แท็บ "ทั่วไป" และวางเครื่องหมายในช่องตรงข้าม "คอมพิวเตอร์ของฉัน" ในส่วน "ไอคอนเดสก์ท็อป" ใช้การตั้งค่าใหม่และปิดหน้าต่าง
หากคุณไม่ต้องการไอคอน My Computer บนเดสก์ท็อป ให้เปิดด้วยวิธีอื่น จากเมนูเริ่ม เรียกแผงควบคุม หากแผงควบคุมอยู่ในมุมมองคลาสสิก ให้เลือกไอคอนการดูแลระบบ ในหน้าต่างที่เปิดขึ้นให้คลิกที่ไอคอน "Event Viewer" หากแดชบอร์ดของคุณแสดงตามหมวดหมู่ ให้มองหาไอคอนที่คุณกำลังมองหาภายใต้หมวดหมู่ประสิทธิภาพและการบำรุงรักษา
คุณสามารถเข้าถึงโฟลเดอร์ "การดูแลระบบ" ได้อย่างรวดเร็วด้วยวิธีอื่น จากเมนูเริ่ม เลือกเรียกใช้ ในบรรทัดว่าง ให้พิมพ์ control admintools แล้วกด OK หรือกด Enter ในหน้าต่างที่เปิดขึ้น ให้เลือกไอคอน "Event Viewer" หากต้องการเปิดหน้าต่าง Event Viewer ทันทีโดยไม่ต้องเปิดโฟลเดอร์ Administrative Tools ให้ป้อนคำสั่ง eventvwr.msc ในพรอมต์แล้วคลิก OK
วิดีโอในหัวข้อ
บริการ Wins ในระบบปฏิบัติการ Microsoft Windows 7 มีหน้าที่ดูแลรักษา นิตยสารเหตุการณ์ ซึ่งรวมถึงเหตุการณ์ใดๆ ที่ต้องสร้างการแจ้งเตือนสำหรับผู้ใช้
คุณจะต้อง
- - วินโดวส์ 7
เรียกเมนูบริบทขององค์ประกอบที่พบโดยคลิกขวาและเลือก "คุณสมบัติ"
คลิก ตกลง เพื่อยืนยันคำสั่ง หรือกลับไปที่เมนูเริ่มหลักเพื่อดำเนินการขั้นตอนการเริ่มต้นทางเลือกอื่น นิตยสารเหตุการณ์ต่างๆ
ระบุสแน็ปอินตัวแสดงเหตุการณ์ในกล่องโต้ตอบตัวจัดการที่เปิดขึ้นและยืนยันขั้นตอนการเพิ่มโดยคลิกปุ่มเพิ่ม
คลิกปุ่ม "เสร็จสิ้น" เพื่อยืนยันการเลือกของคุณ และใช้การเปลี่ยนแปลงที่เลือกโดยคลิกปุ่มตกลง
ใช้ปุ่มฟังก์ชัน Win+R ร่วมกันเพื่อเปิดกล่องโต้ตอบ Run และป้อนค่า eventvwr.msc ในฟิลด์ Open เพื่อดำเนินการขั้นตอนอื่นสำหรับการเปิดใช้งานการดู นิตยสารเหตุการณ์ต่างๆ
ยืนยันการเปลี่ยนแปลงที่เลือกโดยคลิกตกลงและทำความคุ้นเคยกับโครงสร้างของเหตุการณ์ในระบบปฏิบัติการ Microsoft Windows 7 ซึ่งแบ่งออกเป็นการบันทึกเหตุการณ์และบันทึกทั่วทั้งระบบของ Windows