Šajā rokasgrāmatā mēs parādīsim, kā izmantot Windows notikumu skatītāju, lai skatītu Windows žurnālus un filtrētu tos atbilstoši dažādiem kritērijiem.
Priekšnosacījumi:
Lai veiktu šajā rokasgrāmatā aprakstītās darbības, jums ir nepieciešami šādi komponenti:
- Pareizi konfigurēta Windows 10/11 sistēma. Lai veiktu testēšanu, pārbaudiet, kā iestatīt Windows virtuālo mašīnu, izmantojot VirtualBox.
- Administratora piekļuve
Notikumu skatītājs operētājsistēmā Windows
Pēc noklusējuma dažādas lietotnes (un OS daļas) nosūta paziņojumus OS par noteiktu darbību, piemēram, draivera dīvainībām, drošības atjauninājumiem, aparatūras kļūmēm un citām darbībām. Event Viewer ir īpaša lietotne, kas apkopo šos paziņojumus un darbojas kā reģistrēšanas centrs.
Izmantojot administratora privilēģijas, notikumu skatītājs var parādīt katru svarīgāko notikumu, kas notiek sistēmā. Tas var būt neticami noderīgs atkļūdošanas nolūkos.
Event Viewer piedāvā arī jaudīgas filtrēšanas iespējas, kas var parādīt sistēmas darbību noteiktā laikā, ko aktivizē noteikta programma, aktivizētāja nopietnību un daudz ko citu.
Notikumu skatītāja palaišana
Sākuma izvēlnē ierakstiet “Notikumu skatītājs”.
Vai arī logā “Palaist” palaidiet šādu atslēgvārdu:
$ eventvwr
Galvenais logs parādīs visu sistēmas darbību kopsavilkumu.
Notikumu skatītāja lietotāja saskarne
Kreisajā panelī žurnāli ir sakārtoti dažādās kategorijās.
Piemēram, atlasiet apakškategoriju “Windows žurnāli”, lai skatītu Windows un Windows lietotņu žurnālu kopsavilkumu.
Lai skatītu žurnālus, ko ģenerē visi Microsoft produkti, dodieties uz “Lietojumprogrammu un pakalpojumu žurnāli” >> “Microsoft”.
Žurnālu apskate
Nākamajā piemērā mēs apskatīsim žurnālus, ko ģenerē Windows PowerShell. Kreisajā panelī dodieties uz “Lietojumprogrammu un pakalpojumu žurnāli” >> “Windows PowerShell”.
Šeit mēs varam redzēt visus notikumus, kurus aktivizē PowerShell. Mūsu gadījumā notikumu skatītājs ir reģistrējis aptuveni 10 000 PowerShell notikumu. Katrs žurnāls apzīmē notikumu.
Jūs varat redzēt žurnāla informāciju, atlasot žurnālu.
Lai iegūtu padziļinātu informāciju, dodieties uz cilni “Detaļas”.
Notikumu žurnālu filtrēšana
Tā vietā, lai bezmērķīgi pārlūkotu žurnālus, mēs varam izmantot notikumu skatītāju, lai lietotu noteiktus filtrus, lai iegūtu precīzāku attēlu. Tas var būt neticami noderīgi ikreiz, kad mēģināt atkļūdot kādu problēmu, neatkarīgi no tā, vai tā ir aparatūras problēma, draivera problēma vai programmatūras kļūda.
Lai izveidotu jaunu filtru, labajā panelī atlasiet “Izveidot pielāgotu skatu”.
Jaunajā logā varam lietot dažādus filtrus.
Šeit:
- Reģistrēts : Event Viewer mitina žurnālus kopš operētājsistēmas instalēšanas. To visu meklēšana vairumā gadījumu nav optimāla. Izmantojot šo filtru, mēs varam ierobežot meklēšanas apjomu pēc laika.
- Pasākuma līmenis : ikreiz, kad notikums tiek reģistrēts, tam tiek piešķirts smaguma līmenis. Ir pieci notikumu veidi: kritisks, kļūda, brīdinājums, informācija un detalizēts.
- Pēc žurnāla : ierobežojiet meklēšanas apjomu pēc koka.
- Pēc avota : ierobežojiet meklēšanas apjomu pēc notikuma aktivizētāja avota. Notikumu aktivizētāji var būt dažādi OS aparāti vai jebkura instalēta programma.
Piemēram, lai uzskaitītu visus notikumus, kurus aktivizē PowerShell, pielāgotā skata veidlapa izskatās šādi:
Pēc noklusējuma notikumu skatītājs piedāvā saglabāt jaunizveidoto filtru kā pielāgotu skatu.
Rezultātam vajadzētu izskatīties šādi:
Žurnālu dublēšana
Notikumu skatītājs var arī eksportēt notikumu žurnālus. Tas var būt noderīgs svarīgu žurnālu atkļūdošanai vai dublēšanai vēlākai lietošanai.
Šajā piemērā mēs izveidosim “Windows PowerShell” žurnālu dublējumu.
Kreisajā panelī atlasiet “Windows PowerShell”, ar peles labo pogu noklikšķiniet uz tā un atlasiet “Saglabāt visus notikumus kā”.
Jums tiks piedāvāts izvēlēties vietu, kur tiek saglabāts dublējuma fails.
Visbeidzot, notikumu skatītājs jautās, vai vēlaties kopā ar failu saglabāt papildu displeja informāciju. Ieteicams tos iekļaut, lai ar žurnāliem varētu strādāt jebkurā citā datorā. Tomēr tikai dublēšanas nolūkos, iespējams, vēlēsities to izvairīties, lai samazinātu faila lielumu.
Ja izvēlaties iekļaut papildu displeja datus, notikumu skatītājs izveido papildu direktoriju “LocaleMetaData”.
Žurnālu importēšana
Tagad mēs uzzinājām, kā veiksmīgi dublēt notikumu žurnālus. Tagad mums jāiemācās tos importēt, kad nepieciešams.
Lai importētu žurnālus no notikumu skatītāja dublējuma faila, galvenajā logā dodieties uz Darbība >> Atvērt saglabāto žurnālu.
Tagad meklējiet dublējuma failu.
Jūs varat izlemt žurnāla izgāztuves nosaukumu un vietu, kur tā tiks saglabāta. Pēc noklusējuma notikumu skatītājs tos ievieto sadaļā “Saglabātie žurnāli”.
Importētajiem žurnāliem jābūt pieejamiem sadaļā “Saglabātie žurnāli”.
Žurnālu dzēšana
Event Viewer ir apkopojis žurnālus kopš operētājsistēmas instalēšanas. Ar pietiekami daudz laika uzkrāsies milzīgs skaits baļķu. Event Viewer ļauj arī notīrīt visus pašlaik uzkrātos žurnālus. Tomēr šai darbībai var būt nepieciešamas administratora tiesības.
Lai notīrītu žurnālus, kreisajā panelī atlasiet apakškategoriju un atlasiet “Notīrīt žurnālu”.
Notikumu skatītājs izdod brīdinājumu, pirms pieņem lēmumu dzēst žurnālus.
Rezultātam vajadzētu izskatīties šādi:
Secinājums
Šajā rokasgrāmatā mēs parādījām, kā izmantot notikumu skatītāju, lai pārlūkotu Windows notikumu žurnālus. Mēs arī uzzinājām, kā pārvietoties pa žurnāliem, lietot pielāgotos filtrus, dublēt un importēt žurnālus utt.
Laimīgu skaitļošanu!