W tym przewodniku pokażemy, jak używać Podglądu zdarzeń systemu Windows do przeglądania dzienników systemu Windows i filtrowania ich według różnych kryteriów.
Warunki wstępne:
Do wykonania kroków przedstawionych w tym przewodniku potrzebne są następujące komponenty:
- Prawidłowo skonfigurowany system Windows 10/11. Aby przetestować, sprawdź, jak skonfigurować maszynę wirtualną z systemem Windows za pomocą VirtualBox.
- Dostęp administracyjny
Przeglądarka zdarzeń w systemie Windows
Domyślnie różne aplikacje (i części systemu operacyjnego) wysyłają powiadomienie do systemu operacyjnego w przypadku określonego działania, takiego jak dziwactwa sterowników, aktualizacje zabezpieczeń, awaria sprzętu i nie tylko. Podgląd zdarzeń to dedykowana aplikacja, która agreguje te powiadomienia i działa jako centrum rejestrowania.
Z uprawnieniami administratora Podgląd zdarzeń może pokazać każde ważne wydarzenie, które dzieje się w systemie. Może być niezwykle przydatny do celów debugowania.
Podgląd zdarzeń oferuje także zaawansowane możliwości filtrowania, które mogą pokazać aktywność systemu w określonym czasie, wywołaną przez określony program, wagę wyzwalacza i nie tylko.
Uruchamianie Podglądu zdarzeń
W menu startowym wpisz „Podgląd zdarzeń”.
Alternatywnie uruchom następujące słowo kluczowe z okna „Uruchom”:
$ wydarzenievwr
W oknie głównym zaprezentowane zostanie podsumowanie wszystkich działań systemu.
Interfejs przeglądarki zdarzeń
W lewym panelu dzienniki są posortowane według różnych kategorii.
Na przykład wybierz podkategorię „Dzienniki systemu Windows”, aby wyświetlić podsumowanie dzienników systemu Windows i aplikacji Windows.
Aby wyświetlić logi generowane przez wszystkie produkty Microsoft, przejdź do „Dzienniki aplikacji i usług” >> „Microsoft”.
Przeglądanie dzienników
W poniższym przykładzie przyjrzymy się dziennikom generowanym przez Windows PowerShell. Z lewego panelu przejdź do „Dzienniki aplikacji i usług” >> „Windows PowerShell”.
Tutaj możemy zobaczyć wszystkie zdarzenia wyzwalane przez PowerShell. W naszym przypadku Podgląd zdarzeń zarejestrował około 10 000 zdarzeń PowerShell. Każdy dziennik reprezentuje zdarzenie.
Szczegóły dziennika można zobaczyć po wybraniu dziennika.
Więcej szczegółów znajdziesz w zakładce „Szczegóły”.
Filtrowanie dzienników zdarzeń
Zamiast bezcelowo przeglądać logi, możemy skorzystać z Podglądu zdarzeń i zastosować odpowiednie filtry, aby uzyskać dokładniejszy obraz. Może być niezwykle przydatny, gdy próbujesz debugować jakiś problem, niezależnie od tego, czy jest to problem sprzętowy, problem ze sterownikiem, czy błąd oprogramowania.
Aby utworzyć nowy filtr, wybierz „Utwórz widok niestandardowy” z prawego panelu.
W nowym oknie możemy zastosować różne filtry.
Tutaj:
- Zalogowano : Podgląd zdarzeń przechowuje dzienniki od czasu instalacji systemu operacyjnego. Przeszukiwanie ich wszystkich w większości sytuacji nie jest optymalne. Stosując ten filtr możemy zawęzić zakres wyszukiwania ze względu na czas.
- Poziom wydarzenia : Za każdym razem, gdy rejestrowane jest zdarzenie, przypisywany jest mu poziom ważności. Istnieje pięć typów zdarzeń: krytyczne, błąd, ostrzeżenie, informacja i szczegółowe.
- Według dziennika : Ogranicz zakres wyszukiwania według drzewa.
- Według źródła : Ogranicz zakres wyszukiwania według źródła wyzwalacza zdarzenia. Wyzwalaczami zdarzeń mogą być różne urządzenia systemu operacyjnego lub dowolny zainstalowany program.
Na przykład, aby wyświetlić listę wszystkich zdarzeń wyzwalanych przez PowerShell, formularz widoku niestandardowego wygląda następująco:
Domyślnie Podgląd zdarzeń oferuje zapisanie nowo utworzonego filtra jako widoku niestandardowego.
Wynik powinien wyglądać następująco:
Tworzenie kopii zapasowych dzienników
Podgląd zdarzeń może także eksportować dzienniki zdarzeń. Może być przydatny do debugowania lub tworzenia kopii zapasowych ważnych dzienników na później.
W tym przykładzie utworzymy kopię zapasową dzienników „Windows PowerShell”.
Z lewego panelu wybierz „Windows PowerShell”, kliknij go prawym przyciskiem myszy i wybierz „Zapisz wszystkie zdarzenia jako”.
Zostaniesz poproszony o wybranie lokalizacji, w której przechowywany jest plik kopii zapasowej.
Na koniec Podgląd zdarzeń zapyta, czy chcesz zapisać w pliku dodatkowe informacje o ekranie. Zalecane jest ich dołączenie, aby móc pracować z dziennikami na dowolnym innym komputerze. Jednakże, wyłącznie w celach tworzenia kopii zapasowych, możesz tego uniknąć, aby zmniejszyć rozmiar pliku.
Jeśli zdecydujesz się na dołączenie dodatkowych danych wyświetlanych, Podgląd zdarzeń utworzy dodatkowy katalog „LocaleMetaData”.
Importowanie dzienników
Dowiedzieliśmy się teraz, jak pomyślnie wykonać kopię zapasową dzienników zdarzeń. Teraz musimy nauczyć się je importować w razie potrzeby.
Aby zaimportować dzienniki z pliku kopii zapasowej Podglądu zdarzeń, przejdź do Akcja >> Otwórz zapisany dziennik w oknie głównym.
Teraz wyszukaj plik kopii zapasowej.
Możesz zdecydować o nazwie zrzutu dziennika i miejscu jego przechowywania. Domyślnie Podgląd zdarzeń umieszcza je w sekcji „Zapisane dzienniki”.
Zaimportowane logi powinny być dostępne w zakładce „Zapisane logi”.
Czyszczenie dzienników
Podgląd zdarzeń zbiera logi od czasu instalacji systemu operacyjnego. Mając wystarczająco dużo czasu, zgromadzi się ogromna liczba dzienników. Podgląd zdarzeń umożliwia także wyczyszczenie wszystkich aktualnie zgromadzonych dzienników. Jednak ta czynność może wymagać uprawnień administratora.
Aby wyczyścić logi, wybierz podkategorię z lewego panelu i wybierz opcję „Wyczyść dziennik”.
Podgląd zdarzeń wyświetla ostrzeżenie przed podjęciem decyzji o wyczyszczeniu dzienników.
Wynik powinien wyglądać następująco:
Wniosek
W tym przewodniku zademonstrowaliśmy, jak używać Podglądu zdarzeń do przeglądania dzienników zdarzeń systemu Windows. Dowiedzieliśmy się również, jak poruszać się po logach, stosować niestandardowe filtry, tworzyć kopie zapasowe i importować logi itp.
Miłego liczenia!