Menú
Está libre
registrarse
el principal  /  Navegantes / Usando el inicio de sesión de eventos en Windows. Ver eventos en Windows Vista Windows 8.1 Registro de eventos del sistema donde se encuentra

Usando el inicio de sesión de eventos en Windows. Ver eventos en Windows Vista Windows 8.1 Registro de eventos del sistema donde se encuentra

Windows es un sistema operativo bastante complicado y rastree todos los procesos, incluidos los errores, difíciles para un usuario inexperto.

Para estos fines en el propio sistema operativo. registro proporcionado Total incorrecto y todas las acciones en el sistema. Puede mostrar y ver este protocolo con Windows Event Viewer.

Visualización de la vista Vista de Windows

Ver información sobre operaciones del sistema operativo de dos maneras:

  • Con cmd ( línea de comando);
  • Vía paneles de control.

Puede usar cmd string para llamar la combinación de las llaves de Win + R o pasar la famosa cadena: inicio - Todos los programas - Estándar - Línea de comando.

En la ventana que se abre, ingresa la secuencia. eventvwr.msc.

O bien, a través del panel de arranque - Sistema y servicio. Administración.

La ventana principal de la utilidad se mostrará en el escritorio. Elige el artículo "".

No tenga miedo si se detectan errores en la lista. Incluso en el sistema perfecto, se pueden aparecer tales mensajes. En la mayoría de los casos, son solteros y causados \u200b\u200bpor fallas menores en la aplicación de aplicaciones.

Lo más probable es que las descripciones de errores no dirán nada para un usuario ordinario. Los registros de visualización pueden ayudar al administrador del sistema o al usuario "Avanzado" para averiguar las fallas del sistema emergente.

Cómo usar la vista

¿Qué información puede aprender de la revista? Si su computadora proporciona sistemáticamente errores, rara vez se reinicia o se bloquea la "pantalla azul de la muerte", entonces todos los eventos que llevaron a una falla en el trabajo se registran en el sistema. Al ver la información puedes aprender A qué hora es el servicio, el controlador o el componente del equipo llamado uno u otro error. Sobre la base de esta información, puede tomar las medidas necesarias para eliminar las violaciones.

Además de la información de errores, el registro también se puede utilizar para otros fines. A cualquier evento que suceda en el sistema pueda estar atado. realizar una tarea específica. Esto permitirá en el futuro, si se produzca tal situación para realizar automáticamente la condición proporcionada.

Para esto, suficiente en cualquier elemento de la lista. llame al menú contextual Haga clic derecho y seleccione el artículo " Atar una tarea».

Registro de eventos de limpieza

Eliminar toda la información de la revista no será ninguna dificultad. Para hacer esto, en el bloque izquierdo de la ventana de registro, seleccione el elemento del árbol de menú a limpiar, haga clic con el botón derecho en el menú contextual - " Revista clara»

Hola a todos, el tema debe ser cómo ver los registros de Windows. Qué cosas creen que todos saben, pero si de repente tienes un novato, entonces los registros son eventos del sistema que ocurren en el sistema operativo como Windows y Linux, que ayudan a rastrear qué, dónde y cuándo ocurrió. Cualquier administrador del sistema debe poder leer los registros de Windows.

Un ejemplo de la vida puede ser la situación en uno de los servidores de IBM, me enfrenté al disco y para el soporte técnico, recopilé los registros del servidor para que dijeran el problema. Para recopilar y reparar registros en Windows, responda la visualización de los eventos. Ver eventos Este es un complemento conveniente para obtener los registros del sistema.

Cómo abrir en vista de los eventos.

Ir a la visualización del complemento de los eventos puede ser muy simple, adecuado para cualquier versión de Windows. Presiona los botones mágicos

Win + R e ingrese eventvwr.msc

Encontrará la ventana de eventos de Windows View en la que necesita implementar registros de Windows. Vamos a correr en cada uno de los registros.

El registro de aplicaciones contiene registros relacionados con programas en su computadora. El registro se escribe cuando se lanzó el programa si comenzó con el error, entonces esto también se reflejará.

La auditoría de la revista es necesaria para entender quién y cuándo lo hizo. Por ejemplo, ingresó al sistema o salió, intentó acceder. Todas las auditorías de éxito o rechazo están escritas aquí.

El elemento de instalación, registra los registros de Windows que y cuando se ha instalado el programa o actualización o actualización.

La revista más importante es un sistema. Está escrito aquí todo lo más necesario e importante. Por ejemplo, tuvo una pantalla azul BSOD, y estos mensajes que se ingresan para ayudarlo a determinar su causa.

También hay registros de Windows para servicios más específicos, como DHCP o DNS. Los eventos de visualización se cruzarán todo :).

Supongamos que tiene la seguridad de más de un millón de eventos en su diario, seguro que inmediatamente hará una pregunta si hay un filtrado, a medida que mira a través de todos ellos este masoquismo. Al ver los eventos, se proporcionó, los registros de Windows se pueden dejar convenientemente a la izquierda. A la derecha en el área de acción hay un botón de filtro de botón.

Se le pedirá que especifique el nivel de eventos:

  • Crítico
  • Error
  • Una advertencia
  • Inteligencia
  • Detalles

Todo depende de la tarea de búsqueda si está buscando errores, entonces no tiene sentido en otros tipos de mensajes. La siguiente puede para reducir la ubicación de la visualización de los eventos para establecer la fuente de eventos y código deseados.

Por lo tanto, como puede ver que desmonte los troncos de Windows de manera muy sencilla, estamos buscando, lo encontramos, decidimos. También puede ser útil limpieza rápida de los registros de Windows:

Ver los registros de Windows PowerShell

Sería extraño si PowerShell no podía hacer esto, para mostrar archivos de registro, abrir PowerShell e ingresar este comando

Get-eventlog -logname "System"

Como resultado, recibirá un registro de registro de registros de registro.

Lo mismo se puede hacer para otras revistas, por ejemplo, la aplicación

Get-eventlog -Logname "Aplicación"

una pequeña lista de abreitaturas.

  • ID del Evento - Eventid
  • Computadora - MachineName.
  • Número de evento serial - Datos, índice
  • Categoría de tareas - Categoría
  • Código de categoría - CategoríaNúmero
  • Nivel - EntryType
  • Mensaje de evento - Mensaje
  • Fuente - Fuente
  • Fecha de generación de eventos - reemplazo de reemplazo, lingido, tiempo generogado
  • Fecha de grabación de eventos - Tiempo escrito
  • Usuario - nombre de usuario.
  • Sitio - sitio.
  • División - Coneioner.

Por ejemplo, para mostrar el evento solo con las columnas "Nivel", "Fecha de grabación de eventos", "Fuente", "Código de evento", "Categoría" y "Mensaje de eventos" para el registro del sistema, se ejecutará:

Get-Eventlog -Logname 'System' | Tabla de formato EntryType, TimeWritten, Fuente, Eventid, Categoría, Mensaje

Si necesita retirar con más detalle, reemplazaré el formato en la lista de formatos

Get-Eventlog -Logname 'System' | Entrada de lista de formato, TimeWritten, Fuente, Eventid, Categoría, Mensaje

Como puede ver el formato es más legible.

También puede filtrar los registros, por ejemplo, mostrar los últimos 20 mensajes.

Get-eventlog -logname 'System' -Newest 20

Productos adicionales

También puede automatizar la colección de eventos, a través de tales herramientas como:

  • Zabbix Monitoring Complex
  • A través de la transferencia de eventos con Windows al servidor colector.
  • A través del complejo de auditoría Netwrix.
  • Si tiene un SCOM, entonces puede agregar cualquier registro de plataformas Windows
  • Cualquier sistema DLP

Para que lo elija para ver eventos o PowerShell para ver los eventos de Windows, este es su negocio. Material de sitio web

Registros de visualización remota

  • Primer método

No hace mucho tiempo, en el sistema operativo Windows Server 2019 que aparece, apareció un componente de la administración remota de Windows Admin Center. Le permite realizar el control remoto de una computadora o un servidor, ya le he dicho más con más detalle. Aquí quiero mostrarlo en mi estación de trabajo, puede conectarse desde el navegador a otras computadoras y ver fácilmente sus registros de eventos, aprendiendo así los registros de Windows. En mi ejemplo habrá un servidor. Svt2019s01, Lo encontramos en la lista disponible y conectamos (le recordamos que realice una configuración de red remota en Windows).

A continuación, selecciona la pestaña "Eventos", elija el registro deseado, en mi ejemplo, quiero ver todos los registros en el sistema. Desde mi punto de vista, todo se vea en todo lo más conveniente que para ver los eventos. La ventaja será lo que puede hacerlo desde cualquier teléfono o tableta. En la esquina derecha hay una forma conveniente de búsqueda.

Si necesita producir un filtrado más sutil de los registros, puede usar el botón FILTRO.

Aquí también puede elegir el nivel de evento, por ejemplo, dejando solo críticos y errores, establecer un rango de tiempo, un código de evento y una fuente.

Aquí hay un ejemplo de filtrado en un evento 19.

Es muy conveniente exportar un registro completo del formato EVXT, que luego es fácil de abrir a través del registro de eventos. Para que Windows Admin Center sea una herramienta poderosa para ver registros.

  • Segundo método

La segunda forma de vistas remotas de los registros de Windows es el uso de la computadora de control de acceso o el mismo "Ver eventos". Para ver los registros de Windows en otra computadora o servidor, en el instante, haga clic con el botón derecho y seleccione en el menú contextual "".

Especifique el nombre de otra computadora, en mi ejemplo será SVT2019S01

Si todo es bueno y no hay cerraduras del firewall o antivirus, entonces entrará en la visualización remota de los eventos. Si hay cerraduras, recibirá un mensaje por tipo que no vuela COM + tráfico.

También quiero observar que hay troncos completos de agregación de registro, como Zabbix o SCOM, pero este es otro nivel de tareas.

El Classic Event View Case se implementó como un objeto Actix en el archivo C: \\ Windows \\ System32 \\ els.dll. Si lo registras, obtendrás un chasquido. Visor de eventos. Para Microsoft Management Console (MMC). Siga las instrucciones a continuación para averiguar cómo se puede hacer.

  1. Abra la ventana de la línea de comandos (presione Win + X en la tecla del teclado y seleccione - "Preguntar (Admin).
  2. Ingrese el siguiente comando regsvr32 els.dll

    Recibirá un mensaje "DllRegisterserver en Els.dll lo sucedió". Haga clic en el botón "Aceptar" para cerrarlo.

  3. Regrese a la ventana de comando e ingrese mMC.Y luego presione el botón ENTER. La aplicación Microsoft Management Console estará abierta. Seleccione el elemento del menú Archivo - Añadir / Eliminar Snap o presione la combinación de teclas CTRL + M. en el teclado.
    En la lista de la izquierda, seleccione y haga clic en el botón "Agregar". En el cuadro de diálogo "Seleccionar computadora", simplemente haga clic en Finalizar.

En el cuadro de diálogo "Agregar o quitar complementos", haga clic en Aceptar. Becape el elemento del menú "Archivo - parámetros ...". Aquí puede cambiar el nombre del nombre y la consola antes de guardarlo en un archivo. Le recomiendo que cambie el modo de consola al "Modo de usuario: acceso completo" y marque la casilla en la opción "No guarde los cambios para esta consola", De lo contrario, la confirmación "Guarda los cambios» cada vez que te molestarás cuando lo uses.

Haga clic en el botón Aceptar para cerrar esta ventana. En el elemento del menú, seleccione "Archivo": "GUARDAR" y déle un nombre de archivo (por ejemplo, ceventvwr.msc) y guárdelo en un lugar como C: \\ Windows o C: \\ Windows \\ System32. Puede guardarlo en cualquier lugar de su escritorio, pero guardar un archivo en el directorio anterior le permitirá usarlo rápidamente ingresando el nombre en el cuadro de diálogo Inicio y ni siquiera tiene que ingresar la ruta completa cada vez que lo use . Puede usar el archivo que se creó específicamente para esta función en Windows 8..

Visualización de eventos en Windows Muestra historial (registro) de los mensajes del sistema y eventos generados por errores de programa, mensajes de información y advertencias. Por cierto, los estafadores a veces pueden usar la visualización de eventos para engañar a los usuarios, incluso en la computadora normalmente en funcionamiento en el registro, siempre habrá mensajes de error.

Ventaje de eventos iniciales

Para comenzar a visualizar eventos de Windows, escriba esta es la mayor frase en la búsqueda o vaya al "Panel de control" - "Administración" - "Ver eventos"

En realidad, ¿por qué escribo sobre esto, una vez al ver los eventos de Windows no hay nada interesante para un usuario regular? Sin embargo, esta característica (o programa, utilidad) de Windows puede ser útil cuando hay problemas con una computadora, cuando la pantalla azul de la muerte de Windows aparece aleatoriamente, o se produce un reinicio arbitrario, en el caso de que pueda encontrar la causa de los eventos. . Por ejemplo, el error en el registro del sistema puede proporcionar información sobre si el controlador causó una falla para las acciones posteriores para corregir la situación. Solo encuentre el error que se originó en un momento en que la computadora se reinició, colgó o mostraba la pantalla azul de la muerte, el error se marcará como crítico.

Hay otras aplicaciones de visualización de eventos. Por ejemplo, Windows registra la carga completa del sistema operativo. O, si el servidor está ubicado en su computadora, puede habilitar el registro de eventos de apagado y reinicio, siempre que alguien desactive la PC, tendrá que ingresar la causa de esto, y más tarde puede ver todos los apagados y reiniciar y la Razones para el evento.

Además, puede usar la visualización de eventos junto con el Programador de tareas, haga clic con el botón derecho en cualquier evento y seleccione "Traer una tarea a un evento". Siempre que ocurra este evento, Windows ejecutará la tarea apropiada.

El sistema operativo Windows 7 es monitoreado constantemente por varios eventos de atención decente que surgen en su sistema. En Microsoft Windows. evento (evento) - Este es cualquier incidente en el sistema operativo, que se registra en el registro o requiere notificación de usuarios o administradores. Esto puede ser un servicio que no quiere comenzar, instalando un dispositivo o un error en la aplicación. Los eventos se registran y se guardan en los registros de eventos de Windows y proporcionan información cronológica importante para ayudar a realizar la realización del monitoreo del sistema, mantener su seguridad, eliminar errores y realizar diagnósticos. Es necesario analizar regularmente la información contenida en estas revistas. Debe monitorear regularmente los registros de eventos y personalizar el sistema operativo para guardar eventos importantes del sistema. En el caso de que usted sea el Administrador de Windows Server, debe seguir la seguridad de sus sistemas, el funcionamiento normal de las aplicaciones y servicios, así como verificar el servidor para errores que puedan empeorar el rendimiento. Si usted es usuario de una computadora personal, debe asegurarse de que esté disponible para los registros apropiados necesarios para admitir su sistema y eliminar errores.

Programa "Ver eventos" Es la herramienta la consola de administración de Microsoft (MMC) y está diseñada para ver y administrar registros de eventos. Esta es una herramienta indispensable para monitorear el rendimiento del sistema y eliminar los problemas. El servicio de Windows que administra el registro de eventos se llama "El registro de eventos". En el caso de que se ejecute, Windows escribe datos importantes en registros. Usando el programa "Ver eventos" Puedes realizar las siguientes acciones:

  • Ver eventos de ciertas revistas;
  • Aplicar filtros de eventos y guardarlos para su uso posterior en forma de representaciones personalizadas;
  • Crear suscripciones para eventos y administrarlos;
  • Asignar acciones específicas a la ocurrencia de un evento específico.

Ejecutar la aplicación "Ver eventos"

solicitud "Ver eventos" Puedes abrir de las siguientes maneras:

Registros de eventos en Windows 7

En el sistema operativo Windows 7, así como en WinDOSW Vista, hay dos categorías de registros de eventos: registros de Windows y registros y servicios de solicitud.. Registros de Windows - utilizado por el sistema operativo para registrar eventos en todo el sistema relacionados con la operación de aplicaciones, componentes del sistema, seguridad y lanzamiento. PERO registros y servicios de solicitud. - Aplicaciones y servicios usados \u200b\u200bpara registrar eventos relacionados con su trabajo. Para administrar los registros de eventos, puede usar SNAP "Ver eventos" o programa de línea de comando wevtutil.que se dirá en la segunda parte del artículo. Todos los tipos de registros se describen a continuación:

solicitud - Almacena eventos importantes relacionados con una aplicación específica. Por ejemplo, Exchange Server guarda eventos relacionados con el reenvío de correo, incluidos eventos de almacenamiento de eventos, buzones y servicios de ejecución. De forma predeterminada, se coloca en% SYSTEMROOT% \\ System32 \\ Winevt \\ Logs \\ Application.evtx.

Seguridad - Almacena eventos relacionados con la seguridad, como dentro / fuera del sistema, use privilegios y acceso a los recursos. El valor predeterminado se coloca en% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ Security.evtx

Instalación - Este registro registra eventos que se producen al instalar y configurar el sistema operativo y sus componentes. El valor predeterminado se encuentra en% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ Setup.evtx.

Sistema - Almacena los eventos del sistema operativo o sus componentes, como las fallas al iniciar los servicios o la inicialización de los controladores, los mensajes de todo el sistema y otros mensajes relacionados con el sistema en su conjunto. El valor predeterminado se coloca en% SYSTEMROOT% \\ System32 \\ Winevt \\ Logs \\ System.evtx

Eventos reservados - Si se configura eventos, se envían eventos enviados desde otros servidores a este registro. El valor predeterminado se coloca en% SYSTEMROOT% \\ System32 \\ Winevt \\ Logs \\ ForwardDevents.evtx

Explorador de Internet. - Este registro registra eventos que se producen al configurar y trabajar con Internet Explorer Browser. El valor predeterminado se coloca en% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ IntertexPlorer.evtx

Windows PowerShell - En esta revista, los eventos están registrados relacionados con el uso de PowerShell Shell. De forma predeterminada, se encuentra en% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ WindowsPowershwl.Evtx

Eventos de eventos - Si el evento del equipo está registrado, los eventos generados por dispositivos se registran en este registro. El valor predeterminado se coloca en% SYSTEMROOT% \\ System32 \\ Winevt \\ Logs \\ HardwareEVENT.evtx

En Windows 7, la infraestructura que garantiza el registro de eventos se basa en Windows Vista en XML. Los datos de cada evento corresponden a un esquema XML, que le permite acceder al código XML de cualquier evento. Además, puede crear solicitudes basadas en XML para obtener datos de registros. Para usar estas nuevas características, no se requiere conocimiento de XML. Quebrar "Ver eventos" Proporciona una simple interfaz gráfica para acceder a estas características.

Propiedades de los eventos

Hay varias propiedades de los eventos complementarios. "Ver eventos"que se describen en detalle ligeramente a continuación:

Una fuente - Este es un programa que registró un evento en la revista. Esto puede ser tanto el nombre del programa (por ejemplo, "Exchange Server") y el nombre del componente del sistema o una aplicación grande (por ejemplo, nombre del controlador). Por ejemplo, "Elnkii" significa el conductor EtherLink II.

Código de eventos - Este es un número que define un tipo específico de evento. La primera línea de la descripción generalmente contiene el nombre del tipo de evento. Por ejemplo, 6005 es un identificador de evento que se produce cuando se inicia el servicio de registro de eventos. En consecuencia, al comienzo de la descripción de este evento hay una cadena "Servicio de registro de eventos lanzado". El código de evento y el nombre de la fuente de la grabación pueden ser utilizados por representantes del grupo de soporte de software para solucionar problemas.

Nivel - Este es el nivel de importancia del evento. En los registros y aplicaciones del sistema, los eventos pueden tener los siguientes niveles de importancia:

  • Notificación - denota un cambio en una solicitud o componente, como la ocurrencia de un evento de información asociado con una acción exitosa, creando un recurso o servicio de inicio.
  • Una advertencia - denota una advertencia general para un problema que puede afectar el servicio o llevar a un problema más grave si lo deja sin atención;
  • Error - indica que hubo un problema que puede afectar las funciones, externas a la aplicación o componente, que causó un evento;
  • Error crítico - indica que se produjo una falla, después de lo cual la aplicación o el componente, inició el evento, no se puede recuperar automáticamente;
  • Éxito de auditoría - el desempeño exitoso de las acciones que realiza un seguimiento de la auditoría, por ejemplo, el uso de cualquier privilegio;
  • Fallo de auditoría - desempeño fallido de las acciones que realiza un seguimiento a través de la auditoría, como un error al ingresar al sistema.

Usuario - Determina la cuenta de usuario, en nombre de la cual ocurrió este evento. Los usuarios incluyen entidades especiales, como servicio local, servicio de red y inicio de sesión anónimo, así como cuentas de usuarios reales. Este nombre es el identificador del cliente si el evento fue causado en realidad por el proceso del servidor, o el identificador principal, si no se realiza la personificación. En algunos casos, la entrada de registro de seguridad contiene ambos identificadores. Y también en este campo puede ser N / A (n / d), si la cuenta no es aplicable en esta situación. La personificación se produce en los casos en que el servidor permite que un proceso asigne otros atributos de seguridad del proceso.

Código de trabajo - Contiene un valor numérico que determina la operación o punto dentro de la operación, cuando se realizó este evento. Por ejemplo, inicialización o cierre.

Revista - El nombre de la revista en la que se registró este evento.

Categoría y objetivos - Determina la categoría de eventos, a veces utilizados para la descripción posterior de la acción permisible. Cada fuente de eventos tiene sus propias categorías. Por ejemplo, las siguientes categorías: entrada / salida, use privilegios, cambiando políticas y administrando la cuenta.

Indicio - Este es un conjunto de categorías o etiquetas que se pueden usar para filtrar o buscar eventos. Por ejemplo: "Red", "Seguridad" o "Recurso no se encuentra".

Un ordenador - Identifica el nombre de la computadora en la que ocurrió el evento. Por lo general, este es el nombre de la computadora local, pero también puede ser el nombre de la computadora, que presionó el evento, o el nombre de la computadora local antes de que se haya cambiado.

fecha y hora - Determina la fecha y la hora de este evento en la revista.

Identificacion de proceso - representa el número de identificación del proceso que creó este evento. El programa de computadora proporciona solo un conjunto pasivo de instrucciones, mientras que el proceso es la ejecución directa de estas instrucciones.

Flujo de eid - representa el número de identificación del flujo que creó este evento. El proceso generado en el sistema operativo puede consistir en varios flujos que se ejecutan "paralelos", es decir, sin el orden prescrito en el tiempo. Al realizar algunas tareas, esta separación puede lograr un uso más eficiente de los recursos informáticos.

Procesador de identificación - representa el número de identificación del procesador que ha procesado el evento.

Código de sesión - Este es el número de identificación de la sesión en el servidor terminal en el que ocurrió el evento.

Tiempo del kernel - Determina el tiempo empleado en las instrucciones del modo kernel, en unidades de la CPU. El modo Kernel tiene acceso ilimitado a la memoria del sistema y los dispositivos externos. El núcleo del sistema NT se llama núcleo híbrido o macroager.

Tiempo de trabajo en modo de usuario - Determina el tiempo empleado en la ejecución de las instrucciones de régimen de usuario, en unidades de CPU. El modo de usuario consiste en subsistemas que transmiten las solicitudes de entrada al controlador de modo de kernel correspondiente por el administrador de E / S.

Cargando procesador - Este es el tiempo dedicado a la ejecución de las instrucciones de régimen de usuarios, en las garrapatas de la CPU.

Código de correlación - Determina la acción en el proceso para el cual se utiliza el evento. Este código se utiliza para indicar relaciones simples entre eventos. La correlación es la relación estadística de dos o varias variables aleatorias (o valores que se pueden considerar con alguna precisión permisible). Al mismo tiempo, los cambios en uno o más de estos valores conducen a un cambio sistemático en otros valores u otros valores.

Código de correlación relativa. - Determina la acción relativa en el proceso para el cual se utiliza el evento.

Trabajar con registros de eventos.

Ver eventos

En la siguiente captura de pantalla se puede ver la revista. "Aplicaciones"Donde puede encontrar información sobre eventos, ideas recientes y acciones asequibles. Para ver los eventos de registro de aplicaciones, siga estos pasos:

  1. En el árbol de la consola, seleccione "Revistas de Windows";
  2. Seleccione una revista "Aplicaciones".

Es recomendable ver registros de eventos más a menudo "Solicitud" y "Sistema" y estudiar los problemas y advertencias existentes que pueden prever problemas en el futuro. Si selecciona un registro en la ventana central, se muestran eventos disponibles, incluida la fecha de evento, la hora y la fuente, el nivel de evento y otros datos.

Panel "Ver área" Muestra los datos de eventos básicos en la pestaña. "General"y datos específicos adicionales - en la pestaña "Detalles". Puede habilitar y deshabilitar este panel seleccionando el menú. "Vista"y luego el comando "Ver área".

Para los sistemas críticos, se recomienda almacenar registros en los últimos meses. Todo el tiempo para asignar revistas de este tipo de tamaño para que toda la información pueda estar en forma en ellos, como regla general, es incómodo, es posible resolver esta tarea de manera diferente. Puede exportar registros a los archivos plegados en la carpeta especificada. Para guardar el registro seleccionado, siga estos pasos:

  1. En el árbol de la consola, seleccione el registro de eventos para guardar;
  2. Selecciona un equipo "Guardar eventos como" Desde el menú "Actuar" O desde el menú contextual del registro, seleccione el comando "Guardar todos los eventos como";
  3. En el diálogo que aparece. "Guardar como" Seleccione una carpeta a la que se debe guardar el archivo. Si desea guardar el archivo en la nueva carpeta, puede crearla directamente desde este cuadro de diálogo utilizando el menú o el botón contextual. "Nueva carpeta" En el panel de acción. En campo "Tipo de archivo" Debe seleccionar el formato de archivo deseado de los archivos de eventos disponibles: * .EVTX, archivo XML - * .xml, texto de separación de la pestaña - * .txt, CSV con separación de comas - * .csv. En campo "Nombre del archivo" "Ahorrar". Para cancelar GUARDAR, haga clic en el botón. "Cancelar";
  4. En el caso de que el registro de eventos no esté destinado a ver en otra computadora, en el cuadro de diálogo "Mostrar información" Deja la opción predeterminada "No mostrar información", y si el registro está destinado a ver en otra computadora, luego en el cuadro de diálogo "Mostrar información" Seleccionar opción "Mostrar información para los siguientes idiomas" y haga clic en el botón "OK".

Registro de eventos de limpieza

A veces, tiene que eliminar los registros de eventos completos para garantizar un análisis eficaz de las advertencias y los errores críticos del sistema operativo. Para borrar el registro seleccionado, siga estos pasos:

  1. En el árbol de la consola, seleccione el registro de eventos que desea limpiar;
  2. Limpie el registro de una de las siguientes maneras:
    • En el menú "Actuar" Selecciona un equipo "Borrar la revista";
    • En el registro seleccionado, haga clic con el botón derecho para abrir el menú contextual. En el menú contextual, seleccione el comando "Borrar la revista";
  3. A continuación, puede borrar la revista, o puede archivarlo si no se hizo antes:
    • Para borrar el registro de eventos sin guardar, haga clic en el botón. "Claro";
    • Para borrar el registro de eventos después de su guardado, haga clic en el botón. "Guardar y despejar". En el diálogo que aparece. "Guardar como" Seleccione una carpeta a la que se debe guardar el archivo. Si desea guardar el archivo en la nueva carpeta, puede crearla directamente desde este cuadro de diálogo utilizando el menú o el botón contextual. "Nueva carpeta" En el panel de acción. En campo "Nombre del archivo" Ingrese un nombre y haga clic en el botón. "Ahorrar". Para cancelar GUARDAR, debe hacer clic en el botón "Cancelar".

Establecer el tamaño máximo de registro

Como se mencionó anteriormente, los registros de eventos se almacenan como archivos en la carpeta% Systemroot% \\ System32 \\ Winevt \\ Logs. De forma predeterminada, el tamaño máximo de estos archivos es limitado, pero se puede cambiar de la siguiente manera:

  1. Selecciona un equipo "Propiedades" Desde el menú "Actuar"
  2. En campo "Tamaño máximo de la revista (KB)" Establezca el valor deseado utilizando el contador o use manualmente el medidor. En este caso, el valor se redondeará al número más cercano, múltiples 64 KB, ya que el tamaño del archivo de registro debe ser de 64 KB de unidad y no puede ser inferior a 1024 KB.

Los eventos se guardan en el archivo de registro, cuyo tamaño solo puede aumentar al valor máximo especificado. Después de alcanzar el archivo de tamaño máximo, el procesamiento de eventos entrantes se determinará por la política de almacenamiento de registros. Las siguientes políticas de ahorro de revistas están disponibles:

Reescribe los eventos si es necesario (primero antiguos archivos) - En este caso, los nuevos registros continúan ingresando al diario después de llenarlo. Cada nuevo evento reemplaza a los más antiguos de la revista;

Revista de archivo al rellenar; No reescribe los eventos - En este caso, el archivo de registro se archiva automáticamente si es necesario. La sobrecarga de eventos obsoletos no se realiza.

No reescribe los eventos (Borrar Magazine manualmente) - En este caso, la revista se borra manualmente, y no está automáticamente.

Para seleccionar la política de ahorro de registro deseada, siga estos pasos:

  1. En el árbol de la consola, seleccione el registro de eventos para el que debe cambiar el tamaño;
  2. Selecciona un equipo "Propiedades" Desde el menú "Actuar" o desde el menú contextual del registro seleccionado;
  3. En la pestaña "General", En el capitulo "Al lograr el tamaño máximo" Seleccione el parámetro deseado y haga clic en el botón. "OK".

Activación de la revista analítica y depuración.

Los registros analíticos y de depuración están inactivos por defecto. Después de la activación, se llenan rápidamente con muchos eventos. Por esta razón, es deseable activar los registros especificados en un período de tiempo limitado para recopilar datos necesarios para buscar y solucionar problemas, y luego desactivarlos nuevamente. La activación de los registros se puede realizar de la siguiente manera:

  1. En el árbol de la consola, busque y seleccione un registro analítico o de depuración que desea activar;
  2. Selecciona un equipo "Propiedades" Desde el menú "Actuar" o desde el menú contextual del registro analítico o depuración seleccionado;
  3. En la pestaña "General" Marque la casilla de verificación "Incluir registro"

Apertura y cierre de la revista guardada.

Con la ayuda de un complemento. "Ver eventos" Puede abrir y ver los registros guardados anteriormente. Al mismo tiempo, puede abrir varios registros guardados y acceder a ellos en cualquier momento en el árbol de la consola. Revista abierta en "Ver eventos"Puede cerrarse sin eliminar la información contenida en ella. Para abrir el registro guardado, siga estos pasos:

  1. Selecciona un equipo "Abrir la revista guardada" en el menú "Actuar" o desde el menú contextual en el árbol de la consola;
  2. 3. En el cuadro de diálogo "Abrir la revista guardada"Al moverse alrededor del árbol de catálogo, abra la carpeta que contiene el archivo deseado. De forma predeterminada, todos los archivos de registro de eventos se mostrarán en el cuadro de diálogo. Además, cuando se abre, puede seleccionar el tipo de archivos que se mostrarán en el cuadro de diálogo de apertura. Tipos de archivos disponibles: archivos de registro de eventos (* .evtx, * .evt, * .ETL), así como archivos de eventos (* .EVTX), archivos de eventos antiguos (* .EVT) o archivos de registro de seguimiento (* .ETL). Una vez que se encuentra el archivo de registro deseado, selecciónelo haciendo clic en él con el botón izquierdo del mouse, que colocará su nombre en la cadena para ingresar el nombre del archivo y hacer clic en el botón. "Abierto".
  3. En diálogo "Abrir la revista guardada", en campo "Nombre" Ingrese un nuevo nombre que se utilizará para el registro en el árbol de la consola. Solo se usa para ver el registro en el árbol de la consola y el nombre del archivo de registro no cambia, también puede usar el nombre del archivo de registro existente. En campo "Descripción" Introduzca la descripción de la revista. Se mostrará en el área central al resaltar la carpeta de registro de padres en el árbol de la consola;
  4. Para crear una carpeta en la que se encuentra el registro guardado, haga clic en el botón. "Crear una carpeta". En campo "Nombre" Ingrese el nombre de la carpeta en la que se ubicará el registro abierto, y luego haga clic en "OK". Si la carpeta principal no está seleccionada, la nueva carpeta se ubicará en la carpeta "Revistas salvadas".
  5. Para que el registro de eventos al aire libre, es inaccesible para otros usuarios de la computadora, puede desmarcar la casilla. "Todos los usuarios". En el caso de que esta casilla de verificación permanezca activa, el registro abierto será accesible para todos los usuarios, pero para eliminarlo del árbol de la consola, se requerirá derechos de administrador;
  6. Para abrir el registro, haga clic en el botón. "OK".

Para eliminar un asunto abierto del árbol de eventos, siga estos pasos:

  1. En el árbol de la consola, seleccione la revista a eliminar;
  2. Selecciona un equipo "Borrar" Desde el menú "Actuar" o desde el menú contextual del registro seleccionado;
  3. En diálogo "Ver eventos" Haga clic en el botón "Sí".

Conclusión

En esta parte del artículo dedicado al "View Event Viewer", se describe sobre el propio equipo y describe las operaciones más simples relacionadas con el monitoreo y mantenimiento del sistema utilizando "Eventos de visualización". La siguiente parte del artículo será diseñada para usuarios avanzados de Windows. Describirá las tareas con vistas personalizables, filtrado, agrupación / clasificación de eventos y administración de suscripción.