Selles juhendis näitame, kuidas kasutada Windowsi sündmustevaaturit Windowsi logide vaatamiseks ja nende filtreerimiseks erinevate kriteeriumide järgi.
Eeltingimused:
Selles juhendis kirjeldatud toimingute tegemiseks vajate järgmisi komponente.
- Õigesti konfigureeritud Windows 10/11 süsteem. Testimiseks vaadake, kuidas seadistada Windowsi virtuaalmasin VirtualBoxi abil.
- Administraatori juurdepääs
Windowsi sündmuste vaatur
Vaikimisi saadavad erinevad rakendused (ja OS-i osad) OS-ile teatisi teatud tegevuste kohta, nagu draiveri veidrused, turvavärskendused, riistvaratõrge ja palju muud. Event Viewer on spetsiaalne rakendus, mis koondab need teatised ja toimib logimise keskusena.
Administraatoriõigustega sündmustevaatur saab näidata kõiki süsteemis toimuvaid suuremaid sündmusi. See võib olla silumise eesmärgil uskumatult kasulik.
Event Viewer sisaldab ka võimsaid filtreerimisvõimalusi, mis võivad näidata süsteemi tegevust teatud ajahetkel, teatud programmi käivitatud, päästiku raskusastet ja palju muud.
Sündmuste vaaturi käivitamine
Sisestage käivitusmenüüst 'Sündmuste vaatur'.
Teise võimalusena käivitage aknas 'Käivita' järgmine märksõna:
$ eventvwr
Peaaknas kuvatakse teile kõigi süsteemi tegevuste kokkuvõte.
Sündmuste vaaturi kasutajaliides
Vasakul paneelil on logid sorteeritud erinevatesse kategooriatesse.
Näiteks Windowsi ja Windowsi rakenduste logide kokkuvõtte vaatamiseks valige alamkategooria „Windowsi logid”.
Kõigi Microsofti toodete loodud logide vaatamiseks minge jaotisse „Rakenduste ja teenuste logid” >> „Microsoft”.
Logide vaatamine
Järgmises näites vaatleme Windows PowerShelli loodud logisid. Vasakul paneelil minge jaotisse 'Rakenduste ja teenuste logid' >> 'Windows PowerShell'.
Siin näeme kõiki PowerShelli käivitatud sündmusi. Meie puhul on sündmuste vaatur loginud umbes 10 000 PowerShelli sündmust. Iga logi tähistab sündmust.
Logi üksikasju näete logi valimisel.
Üksikasjalikuma teabe saamiseks minge vahekaardile 'Üksikasjad'.
Sündmuste logide filtreerimine
Logide sihitu sirvimise asemel saame täpsema pildi saamiseks kasutada sündmustevaaturit teatud filtrite rakendamiseks. See võib olla väga kasulik, kui proovite mõnda probleemi siluda, olgu selleks riistvaraprobleem, draiveri või tarkvaraviga.
Uue filtri loomiseks valige parempoolsest paneelist 'Loo kohandatud vaade'.
Uues aknas saame rakendada erinevaid filtreid.
Siin:
- Logitud : Event Viewer hostib logisid alates operatsioonisüsteemi installimisest. Nende kõigi läbiotsimine pole enamikus olukordades optimaalne. Seda filtrit kasutades saame piirata otsingu ulatust aja järgi.
- Sündmuse tase : kui sündmus registreeritakse, määratakse sellele raskusaste. Sündmusi on viit tüüpi: kriitiline, viga, hoiatus, teave ja paljusõnaline.
- Logi järgi : piirake otsingu ulatust puu järgi.
- Allika järgi : piirake otsingu ulatust sündmuse päästiku allika järgi. Sündmuste käivitajad võivad olla OS-i erinevad seadmed või mis tahes installitud programm.
Näiteks kõigi PowerShelli käivitatud sündmuste loetlemiseks näeb kohandatud vaate vorm välja järgmine:
Vaikimisi pakub sündmustevaatur äsja loodud filtri salvestamist kohandatud vaatena.
Tulemus peaks välja nägema selline:
Logide varundamine
Event Viewer saab eksportida ka sündmuste logisid. See võib olla kasulik oluliste logide silumiseks või hilisemaks varundamiseks.
Selles näites loome Windows PowerShelli logide varukoopia.
Valige vasakpoolsest paneelist 'Windows PowerShell', paremklõpsake sellel ja valige 'Salvesta kõik sündmused kui'.
Teil palutakse valida koht, kuhu varukoopiafail salvestatakse.
Lõpuks küsib sündmuste vaatur, kas soovite faili juurde salvestada täiendava kuvateabe. Soovitatav on need lisada, et logidega saaks töötada mis tahes muus arvutis. Kuid ainult varundamise eesmärgil võite faili suuruse vähendamiseks seda vältida.
Kui otsustate lisada täiendavaid kuvaandmeid, loob sündmuste vaatur täiendava „LocaleMetaData” kataloogi.
Logide importimine
Nüüd õppisime, kuidas sündmuste logisid edukalt varundada. Nüüd peame õppima, kuidas neid vajaduse korral importida.
Logide importimiseks sündmustevaaturi varukoopiafailist avage peaaknas jaotis Toiming >> Ava Salvestatud Logi.
Nüüd otsige varukoopiafaili.
Saate määrata palgiprügi nime ja selle salvestamise koha. Vaikimisi lisab sündmuste vaatur need jaotisesse Salvestatud logid.
Imporditud logid peaksid olema saadaval jaotises 'Salvestatud logid'.
Logide tühjendamine
Event Viewer on logisid kogunud alates operatsioonisüsteemi installimisest. Piisava aja jooksul koguneb tohutu hulk palke. Event Viewer võimaldab ka kustutada kõik hetkel kogutud logid. See toiming võib aga nõuda administraatoriõigusi.
Logide kustutamiseks valige vasakpoolsest paneelist alamkategooria ja valige 'Tühjenda logi'.
Sündmusvaatur saadab enne logide kustutamise otsustamist hoiatuse.
Tulemus peaks välja nägema selline:
Järeldus
Selles juhendis näitasime, kuidas kasutada sündmustevaaturit Windowsi sündmuste logide vaatamiseks. Õppisime ka logides navigeerimist, kohandatud filtrite rakendamist, logide varundamiseks ja importimist jne.
Head arvuti kasutamist!