Tässä oppaassa osoitamme, kuinka voit käyttää Windows Event Vieweria Windows-lokien katseluun ja suodattamiseen eri kriteerien mukaan.
Edellytykset:
Tässä oppaassa esitettyjen vaiheiden suorittamiseksi tarvitset seuraavat osat:
- Oikein määritetty Windows 10/11 -järjestelmä. Tarkista testausta varten, kuinka Windows VM määritetään VirtualBoxin avulla.
- Järjestelmänvalvojan käyttöoikeudet
Event Viewer Windowsissa
Oletusarvoisesti useat sovellukset (ja käyttöjärjestelmän osat) lähettävät käyttöjärjestelmälle ilmoituksen tietystä toiminnasta, kuten ohjaimen omituisuuksista, tietoturvapäivityksistä, laitteistovioista ja muusta. Event Viewer on erityinen sovellus, joka kokoaa nämä ilmoitukset ja toimii lokikeskuksena.
Järjestelmänvalvojan oikeuksilla Event Viewer voi näyttää kaikki järjestelmässä tapahtuvat suuret tapahtumat. Se voi olla uskomattoman hyödyllinen virheenkorjaustarkoituksiin.
Event Viewer sisältää myös tehokkaat suodatusominaisuudet, jotka voivat näyttää järjestelmän toiminnan tiettynä ajankohtana, tietyn ohjelman käynnistämänä, liipaisimen vakavuuden ja paljon muuta.
Tapahtumien katseluohjelman käynnistäminen
Kirjoita 'Event Viewer' aloitusvalikosta.
Vaihtoehtoisesti voit suorittaa seuraavan avainsanan Suorita-ikkunasta:
$ eventvwr
Pääikkunassa on yhteenveto kaikista järjestelmän toiminnoista.
Tapahtumakatselun käyttöliittymä
Vasemmassa paneelissa lokit on lajiteltu eri luokkiin.
Valitse esimerkiksi 'Windows Logs' -alaluokka nähdäksesi yhteenvedon Windows- ja Windows-sovellusten lokeista.
Voit tarkastella kaikkien Microsoft-tuotteiden luomia lokeja siirtymällä kohtaan 'Sovellus- ja palvelulokit' >> 'Microsoft'.
Lokien katselu
Seuraavassa esimerkissä tarkastellaan Windows PowerShellin luomia lokeja. Siirry vasemmasta paneelista 'Sovellukset ja palvelulokit' >> 'Windows PowerShell'.
Täällä voimme nähdä kaikki PowerShellin käynnistämät tapahtumat. Meidän tapauksessamme Event Viewer on kirjannut noin 10 000 PowerShell-tapahtumaa. Jokainen loki edustaa tapahtumaa.
Näet lokin tiedot valitessasi lokin.
Jos haluat tarkempia tietoja, siirry 'Tiedot'-välilehteen.
Tapahtumalokien suodatus
Sen sijaan, että selaamme lokeja päämäärättömästi, voimme käyttää Event Vieweria tiettyjä suodattimia saadaksemme tarkemman kuvan. Se voi olla uskomattoman hyödyllinen aina, kun yrität korjata jotakin ongelmaa, oli se sitten laitteisto-, ohjain- tai ohjelmistovirhe.
Luo uusi suodatin valitsemalla oikeasta paneelista 'Luo mukautettu näkymä'.
Voimme käyttää erilaisia suodattimia uuteen ikkunaan.
Tässä:
- Kirjattu : Event Viewer isännöi lokeja käyttöjärjestelmän asennuksesta lähtien. Niiden kaikkien etsiminen ei useimmissa tilanteissa ole optimaalista. Tämän suodattimen avulla voimme rajoittaa haun laajuutta ajan mukaan.
- Tapahtuman taso : Aina kun tapahtuma rekisteröidään, sille määritetään vakavuusaste. Tapahtumia on viisi: kriittinen, virhe, varoitus, tiedot ja monisanainen.
- Lokin mukaan : Rajoita haun laajuutta puun mukaan.
- Lähteen mukaan : Rajoita haun laajuutta tapahtumalaukaisimen lähteen mukaan. Tapahtumalaukaisimet voivat olla käyttöjärjestelmän eri laitteita tai mikä tahansa asennettu ohjelma.
Jos esimerkiksi haluat luetella kaikki PowerShellin käynnistämät tapahtumat, mukautettu näkymälomake näyttää tältä:
Oletusarvoisesti Tapahtumanvalvonta tarjoaa tallentaa juuri luodun suodattimen mukautetuksi näkymäksi.
Tuloksen pitäisi näyttää tältä:
Lokien varmuuskopiointi
Event Viewer voi myös viedä tapahtumalokit. Siitä voi olla hyötyä virheenkorjauksessa tai tärkeiden lokien varmuuskopioinnissa myöhempää käyttöä varten.
Tässä esimerkissä luomme varmuuskopion 'Windows PowerShell' -lokeista.
Valitse vasemmasta paneelista 'Windows PowerShell', napsauta sitä hiiren kakkospainikkeella ja valitse 'Tallenna kaikki tapahtumat nimellä'.
Sinua pyydetään valitsemaan paikka, johon varmuuskopiotiedosto tallennetaan.
Lopuksi Event Viewer kysyy, haluatko tallentaa lisänäyttötiedot tiedoston kanssa. On suositeltavaa sisällyttää ne, jotta lokit voidaan käsitellä millä tahansa muulla tietokoneella. Kuitenkin vain varmuuskopiointitarkoituksiin voit välttää sitä pienentääksesi tiedostokokoa.
Jos valitset lisänäyttötietojen sisällyttämisen, Tapahtumankatseluohjelma luo ylimääräisen 'LocaleMetaData' -hakemiston.
Lokien tuonti
Olemme nyt oppineet tapahtumalokien varmuuskopioimisen onnistuneesti. Nyt meidän on opittava tuomaan niitä tarvittaessa.
Voit tuoda lokit Event Viewerin varmuuskopiotiedostosta siirtymällä kohtaan Toiminto >> Avaa tallennettu loki pääikkunasta.
Etsi nyt varmuuskopiotiedosto.
Voit päättää kaatopaikan nimen ja sen tallennuspaikan. Oletusarvoisesti Tapahtumankatseluohjelma sijoittaa ne 'Tallennetut lokit' -kohtaan.
Tuotujen lokien pitäisi olla saatavilla kohdassa 'Tallennetut lokit'.
Lokien tyhjentäminen
Event Viewer on kerännyt lokeja käyttöjärjestelmän asennuksesta lähtien. Kun aikaa on riittävästi, tukkeja kertyy valtava määrä. Event Viewer mahdollistaa myös kaikkien tällä hetkellä kerättyjen lokien tyhjentämisen. Tämä toiminto saattaa kuitenkin vaatia järjestelmänvalvojan oikeudet.
Voit tyhjentää lokit valitsemalla alakategorian vasemmasta paneelista ja valitsemalla 'Tyhjennä loki'.
Tapahtumavalvonta antaa varoituksen ennen kuin päättää tyhjentää lokit.
Tuloksen pitäisi näyttää tältä:
Johtopäätös
Tässä oppaassa osoitimme, kuinka Tapahtumien katselua käytetään Windowsin tapahtumalokien selaamiseen. Opimme myös navigoimaan lokeissa, käyttämään mukautettuja suodattimia, varmuuskopioimaan ja tuomaan lokit jne.
Onnea tietojenkäsittelyyn!