Σε αυτόν τον οδηγό, θα δείξουμε πώς να χρησιμοποιήσετε το Windows Event Viewer για να προβάλετε τα αρχεία καταγραφής των Windows και να τα φιλτράρετε σύμφωνα με διάφορα κριτήρια.
Προαπαιτούμενα:
Για να εκτελέσετε τα βήματα που παρουσιάζονται σε αυτόν τον οδηγό, χρειάζεστε τα ακόλουθα στοιχεία:
- Ένα σωστά διαμορφωμένο σύστημα Windows 10/11. Για δοκιμή, ελέγξτε πώς να ρυθμίσετε ένα Windows VM χρησιμοποιώντας το VirtualBox.
- Πρόσβαση διαχειριστή
Πρόγραμμα προβολής συμβάντων στα Windows
Από προεπιλογή, διάφορες εφαρμογές (και μέρη του λειτουργικού συστήματος) στέλνουν μια ειδοποίηση στο λειτουργικό σύστημα για μια συγκεκριμένη δραστηριότητα, όπως ιδιορρυθμίες προγραμμάτων οδήγησης, ενημερώσεις ασφαλείας, αποτυχία υλικού και άλλα. Το Event Viewer είναι μια αποκλειστική εφαρμογή που συγκεντρώνει αυτές τις ειδοποιήσεις και λειτουργεί ως ο κόμβος για την καταγραφή.
Με το προνόμιο διαχειριστή, το Event Viewer μπορεί να εμφανίσει κάθε σημαντικό γεγονός που συμβαίνει στο σύστημα. Μπορεί να είναι απίστευτα χρήσιμο για σκοπούς εντοπισμού σφαλμάτων.
Το Event Viewer διαθέτει επίσης ισχυρές δυνατότητες φιλτραρίσματος που μπορούν να εμφανίσουν τη δραστηριότητα του συστήματος σε μια συγκεκριμένη στιγμή, που ενεργοποιείται από ένα συγκεκριμένο πρόγραμμα, τη σοβαρότητα της ενεργοποίησης και πολλά άλλα.
Εκκίνηση του Event Viewer
Πληκτρολογήστε 'Event Viewer' από το μενού έναρξης.
Εναλλακτικά, εκτελέστε την ακόλουθη λέξη-κλειδί από το παράθυρο 'Εκτέλεση':
$ eventvwr
Το κύριο παράθυρο θα σας παρουσιάσει μια περίληψη όλων των δραστηριοτήτων του συστήματος.
Η διεπαφή χρήστη του Event Viewer
Στο αριστερό πλαίσιο, τα αρχεία καταγραφής ταξινομούνται σε διάφορες κατηγορίες.
Για παράδειγμα, επιλέξτε την υποκατηγορία 'Αρχεία καταγραφής Windows' για να δείτε μια σύνοψη των αρχείων καταγραφής από εφαρμογές Windows και Windows.
Για να προβάλετε τα αρχεία καταγραφής που δημιουργούνται από όλα τα προϊόντα της Microsoft, μεταβείτε στο 'Αρχεία καταγραφής εφαρμογών και υπηρεσιών' >> 'Microsoft'.
Προβολή των αρχείων καταγραφής
Στο παρακάτω παράδειγμα, θα δούμε τα αρχεία καταγραφής που δημιουργούνται από το Windows PowerShell. Από τον αριστερό πίνακα, μεταβείτε στο 'Αρχεία καταγραφής εφαρμογών και υπηρεσιών' >> 'Windows PowerShell'.
Εδώ, μπορούμε να δούμε όλα τα συμβάντα που ενεργοποιούνται από το PowerShell. Στην περίπτωσή μας, το Event Viewer έχει καταγράψει περίπου 10.000 συμβάντα PowerShell. Κάθε αρχείο καταγραφής αντιπροσωπεύει ένα συμβάν.
Μπορείτε να δείτε τα στοιχεία του αρχείου καταγραφής κατά την επιλογή ενός αρχείου καταγραφής.
Για περισσότερες λεπτομέρειες, μεταβείτε στην καρτέλα 'Λεπτομέρειες'.
Φιλτράρισμα των αρχείων καταγραφής συμβάντων
Αντί να περιηγούμαστε στα αρχεία καταγραφής άσκοπα, μπορούμε να χρησιμοποιήσουμε το πρόγραμμα προβολής συμβάντων για να εφαρμόσουμε ορισμένα φίλτρα για να έχουμε μια πιο ακριβή εικόνα. Μπορεί να είναι απίστευτα χρήσιμο κάθε φορά που προσπαθείτε να διορθώσετε κάποιο πρόβλημα, είτε πρόκειται για πρόβλημα υλικού, πρόβλημα προγράμματος οδήγησης ή σφάλμα λογισμικού.
Για να δημιουργήσετε ένα νέο φίλτρο, επιλέξτε «Δημιουργία προσαρμοσμένης προβολής» από το δεξιό πλαίσιο.
Μπορούμε να εφαρμόσουμε διάφορα φίλτρα στο νέο παράθυρο.
Εδώ:
- Εγγεγραμμένος : Το Event Viewer φιλοξενεί αρχεία καταγραφής από την εγκατάσταση του λειτουργικού συστήματος. Η αναζήτηση σε όλα αυτά δεν είναι, στις περισσότερες περιπτώσεις, η βέλτιστη. Χρησιμοποιώντας αυτό το φίλτρο, μπορούμε να περιορίσουμε το εύρος της αναζήτησης κατά χρόνο.
- Επίπεδο εκδήλωσης : Κάθε φορά που καταγράφεται ένα συμβάν, του εκχωρείται ένα επίπεδο σοβαρότητας. Υπάρχουν πέντε τύποι συμβάντων: Critical, Error, Warning, Information και Verbose.
- Με ημερολόγιο : Περιορίστε το εύρος της αναζήτησης ανά δέντρο.
- Κατά πηγή : Περιορίστε το εύρος της αναζήτησης από την πηγή της ενεργοποίησης του συμβάντος. Οι ενεργοποιητές συμβάντων μπορεί να είναι διάφορες συσκευές του λειτουργικού συστήματος ή οποιοδήποτε εγκατεστημένο πρόγραμμα.
Για παράδειγμα, για να παραθέσουμε όλα τα συμβάντα που ενεργοποιούνται από το PowerShell, η φόρμα προσαρμοσμένης προβολής μοιάζει με αυτό:
Από προεπιλογή, το πρόγραμμα προβολής συμβάντων προσφέρει την αποθήκευση του φίλτρου που δημιουργήθηκε πρόσφατα ως προσαρμοσμένη προβολή.
Το αποτέλεσμα πρέπει να μοιάζει με αυτό:
Δημιουργία αντιγράφων ασφαλείας των αρχείων καταγραφής
Το πρόγραμμα προβολής συμβάντων μπορεί επίσης να εξάγει τα αρχεία καταγραφής συμβάντων. Μπορεί να είναι χρήσιμο για τον εντοπισμό σφαλμάτων ή τη δημιουργία αντιγράφων ασφαλείας των σημαντικών αρχείων καταγραφής για αργότερα.
Σε αυτό το παράδειγμα, θα δημιουργήσουμε ένα αντίγραφο ασφαλείας των αρχείων καταγραφής 'Windows PowerShell'.
Από τον αριστερό πίνακα, επιλέξτε το 'Windows PowerShell', κάντε δεξί κλικ σε αυτό και επιλέξτε 'Αποθήκευση όλων των συμβάντων ως'.
Θα σας ζητηθεί να επιλέξετε τη θέση όπου αποθηκεύεται το αρχείο αντιγράφου ασφαλείας.
Τέλος, το Event Viewer θα σας ρωτήσει εάν θέλετε να αποθηκεύσετε τις πρόσθετες πληροφορίες εμφάνισης με το αρχείο. Συνιστάται η συμπερίληψή τους έτσι ώστε να είναι δυνατή η επεξεργασία των αρχείων καταγραφής σε οποιονδήποτε άλλο υπολογιστή. Ωστόσο, μόνο για λόγους δημιουργίας αντιγράφων ασφαλείας, μπορεί να θέλετε να το αποφύγετε για να μειώσετε το μέγεθος του αρχείου.
Εάν επιλέξετε να συμπεριλάβετε τα πρόσθετα δεδομένα εμφάνισης, το πρόγραμμα προβολής συμβάντων δημιουργεί έναν πρόσθετο κατάλογο 'LocaleMetaData'.
Εισαγωγή των αρχείων καταγραφής
Τώρα μάθαμε πώς να δημιουργείτε αντίγραφα ασφαλείας των αρχείων καταγραφής συμβάντων με επιτυχία. Τώρα, πρέπει να μάθουμε πώς να τα εισάγουμε όταν χρειάζεται.
Για να εισαγάγετε τα αρχεία καταγραφής από ένα αρχείο αντιγράφου ασφαλείας του Event Viewer, μεταβείτε στο Action >> Open Saved Log από το κύριο παράθυρο.
Τώρα, αναζητήστε το αρχείο αντιγράφου ασφαλείας.
Μπορείτε να αποφασίσετε το όνομα της χωματερής καταγραφής και πού θα αποθηκευτεί. Από προεπιλογή, το πρόγραμμα προβολής συμβάντων τα τοποθετεί στην ενότητα 'Αποθηκευμένα αρχεία καταγραφής'.
Τα εισαγόμενα αρχεία καταγραφής θα πρέπει να είναι διαθέσιμα στην ενότητα 'Αποθηκευμένα αρχεία καταγραφής'.
Εκκαθάριση των αρχείων καταγραφής
Το Event Viewer συλλέγει αρχεία καταγραφής από την εγκατάσταση του λειτουργικού συστήματος. Με αρκετό χρόνο, θα συσσωρευτεί ένας τεράστιος αριθμός κορμών. Το Event Viewer επιτρέπει επίσης τη διαγραφή όλων των αρχείων καταγραφής που έχουν συγκεντρωθεί αυτήν τη στιγμή. Ωστόσο, αυτή η ενέργεια ενδέχεται να απαιτεί δικαιώματα διαχειριστή.
Για να διαγράψετε τα αρχεία καταγραφής, επιλέξτε μια υποκατηγορία από το αριστερό πλαίσιο και επιλέξτε 'Εκκαθάριση αρχείου καταγραφής'.
Το πρόγραμμα προβολής συμβάντων εκπέμπει μια προειδοποίηση πριν αποφασίσει να διαγράψει τα αρχεία καταγραφής.
Το αποτέλεσμα πρέπει να μοιάζει με αυτό:
συμπέρασμα
Σε αυτόν τον οδηγό, δείξαμε πώς να χρησιμοποιήσετε το πρόγραμμα προβολής συμβάντων για να δείτε τα αρχεία καταγραφής συμβάντων των Windows. Μάθαμε επίσης πώς να πλοηγούμαστε στα αρχεία καταγραφής, να εφαρμόζουμε τα προσαρμοσμένα φίλτρα, να κάνουμε αντίγραφα ασφαλείας και να εισάγουμε τα αρχεία καταγραφής κ.λπ.
Καλή πληροφορική!