Meny
Är gratis
checka in
den huvudsakliga  /  Navigatörer / Använda händelselogga in Windows. Visa händelser i Windows Vista Windows 8.1 Systemhändelseloggen Var ligger

Använda händelselogga in Windows. Visa händelser i Windows Vista Windows 8.1 Systemhändelseloggen Var ligger

Windows är ett ganska komplicerat operativsystem och spåra alla processer, inklusive fel, hårt för en oerfaren användare.

För dessa ändamål i OS själv tillhandahöll loggning Totalt felaktigt och alla åtgärder i systemet. Du kan visa och visa det här protokollet med Windows Event Viewer.

Visar Windows View View

Visa information om OS-operationer på två sätt:

Du kan använda CMD-sträng för att ringa kombinationen av Win + R-nycklar Eller passera den kända kedjan: Start - Alla program - Standard - Kommandorad.

I fönstret som öppnas, skriv in sekvensen eventvwr.msc.

Antingen, genom startkontrollpanelen - system och service - Administrering.

Huvudfönstret på verktyget visas på skrivbordet. Välj objektet "".

Var inte rädd om fel upptäcks i listan. Även i det perfekta systemet kan sådana meddelanden visas. I de flesta fall är de singel och orsakade av mindre misslyckanden vid tillämpning av applikationer.

Mest troligt kommer felbeskrivningarna inte att säga något för en vanlig användare. Visa loggar kan hjälpa systemadministratören eller "avancerade" användaren att räkna ut det framväxande systemfel.

Hur man använder syn

Vilken information kan du lära av tidningen? Om din dator systematiskt visar fel, återstår det slumpmässigt eller kraschar " blåskärm Död ", då alla händelser som ledde till ett misslyckande i arbetet registreras av systemet. När du tittar på information du kan lära dig På vilken tidpunkt är tjänsten, drivrutinen eller komponenten i utrustningen ett eller ett annat fel. Baserat på denna information kan du vidta nödvändiga åtgärder för att eliminera överträdelser.

Förutom felinformation kan loggen också användas för andra ändamål. För vilket fall som helst som händer i systemet kan vara bundet prestanda specifik uppgift . Detta kommer att möjliggöra i framtiden, om en sådan situation uppstår för att automatiskt utföra villkoret.

För detta, tillräckligt på något element från listan ring snabbmenyn Högerklicka och välj Artikel " Binda en uppgift».

Clearing Event Log

Radera all information från tidningen är inte svårigheter. För att göra detta, i det vänstra blocket i loggfönstret, välj menyn Tree-objekt som ska rengöras, högerklicka på snabbmenyn - " Klart tidskrift»

Hej alla, ämnet ska vara hur man ser Windows-loggar. Vad sådana saker tycker att alla vet, men om du plötsligt har en nybörjare, är loggar systemhändelser som förekommer i operativsystemet som Windows och Linux, vilket hjälper till att spåra vad, var och när det hände och vem gjorde det. Några systemadministratör Det är skyldigt att kunna läsa Windows-loggar.

Ett exempel på livet är situationen när den är på en av IBM-servrarna, den diskade disken teknisk support Jag samlade serverns loggar så att de kan diagnostisera problemet. För att samla och fixa loggar i Windows svarar servicevisning av händelser. Visa händelser Detta är ett bekvämt snap-in för att få systemloggen.

Hur man öppnar med tanke på händelserna

Gå till snap-in-visning av händelser kan vara mycket enkel, lämplig för alla versioner av Windows. Tryck på de magiska knapparna

Vinna + r och anger eventvwr.msc

Du öppnar vändfönstret windows-händelser där du behöver expandera objektet Windows-loggar. Låt oss springa på var och en av loggarna.

Applikationsloggen innehåller poster relaterade till program på din dator. Loggen är skriven när programmet har lanserats om det startades med felet, då kommer det också att återspeglas.

Journalrevision behövs för att förstå vem och när vad som gjorde. Till exempel, in i systemet eller kom ut, försökte få tillgång. Alla revisioner av framgång eller vägran är skrivna här.

Installationsobjekt, det registrerar Windows-loggar som och när programmet eller uppdateringen eller uppdateringen har installerats.

Den viktigaste tidningen är ett system. Det är skrivet här allt som är mest nödvändigt och viktigt. Till exempel hade du en BSOD-blå skärm, och dessa meddelanden som de är förade för att hjälpa dig att bestämma dess orsak.

Det finns också Windows-loggar för mer specifika tjänster, till exempel DHCP eller DNS. Visning av händelser kommer att korsa allt :).

Antag att du har säkerhet på mer än en miljon händelser i din tidskrift, säkert kommer du omedelbart att ställa en fråga om det finns en filtrering, när du tittar igenom dem denna masochism. När man tittar på händelserna tillhandahölls det, Windows-loggar kan endast lämnas till vänster. På rätten i åtgärdsområdet finns en knappfilterknapp.

Du kommer att bli ombedd att ange händelsernas nivå:

  • Kritisk
  • Fel
  • En varning
  • Intelligens
  • Detaljer

Allt beror på sökuppgiften om du letar efter fel, då är det ingen mening i andra typer av meddelanden. Nästa burk för att begränsa platsen för visning av händelser för att ställa in önskad källa till händelser och kod.

Så, som du kan se demonteringen av Windows-loggarna, vi letar efter, vi finner det, vi bestämmer. Det kan också vara användbart snabbt rengöring av Windows-loggar:

Visa Windows PowerShell Logs

Det skulle vara konstigt om PowerShell inte kunde göra det, att visa loggfiler Öppna PowerShell och ange det här kommandot

Get-eventlog-logname "system"

Som ett resultat kommer du att få en logg av logg-system.

Detsamma kan göras för andra tidskrifter till exempel app

Get-eventlog -logname "Application"

en liten lista över abreitatur

  • Evenemangs-ID - EventID
  • Dator - Machinename.
  • Seriell händelsenummer - data, index
  • Uppgiftskategori - Kategori
  • Kategori Kod - KategoriNumber
  • Nivå - EntryType
  • Evenemangsmeddelande - Meddelande
  • Källa - källa
  • Event Generation Datum - Receptstring, instansid, TimeGenererad
  • Evenemangsuppspelningsdatum - Timewritten
  • Användare - användarnamn.
  • Webbplats.
  • Division - Coneiner.

Till exempel, för att visa händelsen endast med kolumnerna "Level", "Event Record Date", "Source", "Event Code", "Kategori" och "Event Message" för systemloggen, kommer att exekvera:

Get-eventlog-logname 'system' | Format-tabell EntryType, Timewritten, Källa, Eventid, Kategori, Meddelande

Om du behöver dra tillbaka mer detaljerat kommer jag att ersätta format-tabellen på formatlistan

Get-eventlog-logname 'system' | Formatlista EntryType, Timewritten, Källa, Eventid, Kategori, Meddelande

Som du kan se är formatet mer läsbart.

Du kan också filtrera loggar till exempel visa de senaste 20 meddelandena

Get-eventlog -Logname "-system" -Newest 20

Ytterligare produkter

Du kan också automatisera samlingen av händelser, genom sådana verktyg som:

  • Zabbix övervakningskomplex
  • Genom leverans av händelser windows-verktyg till kollektorservern
  • Genom netwrix revisionskomplexet
  • Om du har en scom, kan den sammanlagda alla loggar Windows-plattformar
  • Vilket DLP-system

Så du väljer att visa evenemang eller PowerShell för att visa Windows-händelser, det här är ditt företag. Webbplatsmaterial

Fjärrloggar

  • Första metoden

Inte så länge sedan, i operativsystemet Windows Server 2019 som visas, uppträdde en komponent i fjärrstyrningen av Windows Admin Center. Det låter dig spendera fjärrkontroll Dator eller server, jag har redan berättat för honom mer detaljer. Här vill jag visa att du lägger den på min arbetsstation som du kan ansluta från webbläsaren till andra datorer och enkelt visa sina händelseloggar och därigenom lära sig Windows-loggar. I mitt exempel kommer det att finnas en server SVT2019S01, Vi hittar det i listan och anslutningen (vi påminner dig om att göra en fjärrkontroll konfiguration i Windows).

Därefter väljer du fliken "Evenemang", väljer önskad logg, i mitt exempel vill jag se alla loggar på systemet. Från min synvinkel ses allt på allt mer bekvämt än från att titta på evenemang. Fördelen är vad du kan göra det från någon telefon eller surfplatta. I det högra hörnet finns det en bekväm form av sökning

Om du behöver producera mer subtil filtrering av loggarna, kan du använda filterknappen.

Här kan du också välja evenemangsnivå, till exempel, lämnar endast kritiska och fel, ställer in ett tidsintervall, händelsekod och källa.

Här är ett exempel på filtrering på en händelse 19.

Det är mycket bekvämt att exportera en helt logg i EVXT-formatet, vilket då är lätt att öppna genom evenemangsloggen. Så att Windows Admin Center är ett kraftfullt verktyg för visning av loggar.

  • Andra metoden

Det andra sättet med fjärrvyer av Windows-loggar är användningen av åtkomstkontrolldatorn eller samma "Visa händelser". Om du vill visa Windows-loggar på en annan dator eller server, klicka på högerklicka och välj från innehållsmeny "".

Ange namnet på en annan dator, i mitt exempel blir det SVT2019S01

Om allt är bra och det finns inga lås från brandväggen eller antivirusen, kommer du att komma in i fjärranvisning av händelser. Om det finns lås, får du ett meddelande efter typ som inte flyger COM + -trafik.

Jag vill också notera att det finns hela loggar av loggaggregation, som Zabbix eller Scom, men det här är en annan nivå av uppgifter ..

CLASSIC EVENT View-fallet implementerades som ett ACTIX-objekt i filen C: \\ Windows \\ System32 \\ \\ \\.dll. Om du registrerar det får du en snap Loggboken. För Microsoft Management Console (MMC). Följ anvisningarna nedan för att ta reda på hur det kan göras.

  1. Öppna kommandoradsfönstret (tryck på WIN + X på tangentbordsknappen och välj - "Kommandotolk (admin).
  2. Ange följande kommando regsvr32 els.dll

    Du kommer att få ett meddelande "dllregisterserver i els.dll det lyckades." Klicka på "OK" -knappen för att stänga den.

  3. Återgå till kommandofönstret och ange mmc.Och tryck sedan på ENTER-knappen. Microsoft Management Console Application kommer att vara öppen. Välj menyalternativ Fil - Lägg till / ta bort snap eller tryck på tangentkombinationen Ctrl + M. på tangentbordet.
    I listan till vänster väljer du och klickar på knappen "Lägg till". I dialogrutan "Välj dator" klickar du bara på Slutför.

I dialogrutan "Lägg till eller ta bort snap-ins" klickar du på OK. Becap "-filen - parametrar ..." menyalternativet. Här kan du ändra namn och konsolikon innan du sparar den i filen. Jag rekommenderar att du ändrar konsolläget till "Användarläge - full tillgång"Och markera rutan på alternativet" Spara inte ändringar för den här konsolen ", annars bekräftelse" Spara ändringar "varje gång du kommer att irritera dig när du använder den.

Klicka på OK-knappen för att stänga det här fönstret. I menyalternativet väljer du "File" - "Spara" och ge det ett filnamn (t.ex. ceventvwr.msc) och spara det på en sådan plats som C: \\ Windows eller C: \\ Windows \\ system32. Du kan spara det var som helst på skrivbordet, men spara en fil i den ovanstående katalogen gör det möjligt för dig att snabbt använda den som anger namnet i dialogrutan Start och du behöver inte ens gå in i hela vägen till det varje gång du använder den . Du kan använda filen som skapades speciellt för den här funktionen i Windows 8..

Visning av händelser i Windows visar historia (logg) av systemmeddelanden och händelser som genereras av programfel, informationsmeddelanden och varningar. Förresten kan svindlare ibland använda visning av händelser för att lura användare - även på den normalt fungerande datorn i loggen kommer det alltid att finnas felmeddelanden.

Starta händelsevisning

För att börja visa Windows-händelser, skriv det här är den mest frasen i sökningen eller gå till "Kontrollpanelen" - "Administration" - "Visa händelser"

Faktiskt varför jag skriver om det här, en gång i visning av Windows-händelser finns det inget intressant för vanlig användare? Fortfarande denna funktion (Eller program, verktyg) kan vara användbara när problem med en dator - när en blå skärm av Windows Död visas slumpmässigt, eller en godtycklig omstart inträffar - kan du hitta orsaken till händelserna. Till exempel kan felet i systemloggen ge information om huruvida föraren orsakade ett misslyckande för efterföljande åtgärder för att rätta till situationen. Hitta bara det fel som härstammar i en tid när datorn startade om, hängde eller visade den blå skärmen - felet kommer att markeras som kritiskt.

Det finns andra tillämpningar av visningshändelser. Till exempel skriver Windows full belastningstid operativ system. Eller, om servern är placerad på din dator, kan du aktivera avstängningen och omstart händelsekortet - när någon kommer att stänga av datorn, måste den komma in i orsaken till detta, och du kan senare visa alla avstängningar och omstart och orsaker till evenemanget.

Dessutom kan du använda händelsevisning tillsammans med Task Scheduler - Högerklicka på alla händelser och välj "Ta en uppgift till en händelse". När det kommer att hända den här tillställningenWindows kommer att köra den lämpliga uppgiften.

Operativsystemet Windows 7 övervakas ständigt av olika anständiga uppmärksamhetshändelser som uppstår i ditt system. I Microsoft Windows. händelse (händelse) - Detta är en händelse i operativsystemet, som spelas in i loggen eller kräver anmälan av användare eller administratörer. Detta kan vara en tjänst som inte vill börja, installera en enhet eller ett fel i programmet. Händelser spelas in och sparas i Windows-händelseloggar och ger viktig kronologisk information för att hjälpa till att genomföra systemövervakning, behålla sin säkerhet, eliminera fel och utföra diagnostik. Det är nödvändigt att regelbundet analysera informationen i dessa tidskrifter. Du bör regelbundet övervaka händelseloggar och anpassa operativsystemet för att spara viktiga systemhändelser. I händelse av att du är en administratör windows-servrar, Det är nödvändigt att följa säkerheten för sina system, den normala driften av applikationer och tjänster, samt kontrollera servern för fel som kan försämras. Om du är användare personlig datorDu bör se till att lämpliga loggar behövs för att stödja ditt system och eliminera fel är tillgängliga för dig.

Program "Visa händelser" Det är verktyg för Microsoft Management Console (MMC) och är avsedd att visa och hantera händelseloggar. Detta är ett oumbärligt verktyg för att övervaka systemets prestanda och eliminera problemen. Windows Servicesom hanterar loggningen av händelser kallas "Eventloggen". I händelse av att det körs skriver Windows viktiga data i loggar. Använda programmet "Visa händelser" Du kan utföra följande åtgärder:

  • Visa händelser av vissa tidskrifter;
  • Applicera händelsefilter och spara dem för efterföljande användning i form av anpassade representationer;
  • Skapa prenumerationer för händelser och hantera dem;
  • Tilldela specifika åtgärder för att förekomsten av en viss händelse.

Köra programmet "Visa händelser"

Ansökan "Visa händelser" Du kan öppna på följande sätt:

Händelseloggar i Windows 7

I Operations Room windows-system 7, liksom i Windosw Vista, det finns två kategorier av händelseloggar: windows-loggar och programloggar och tjänster. Windows-loggar - Används av operativsystemet för att registrera systemövergripande händelser relaterade till användningen av applikationer, systemkomponenter, Säkerhet och lansering. MEN programloggar och tjänster - Använda applikationer och tjänster för att registrera händelser relaterade till deras arbete. För att hantera händelseloggar kan du använda snap "Visa händelser" eller kommandoradsprogram weVtutil.som kommer att få veta i den andra delen av artikeln. Alla typer av loggar beskrivs nedan:

Ansökan - lagrar viktiga händelser relaterade till en specifik applikation. Till exempel sparar Exchange Server händelser relaterade till postleverans, inklusive händelselagringshändelserna, brevlådor och löpande tjänster. Som standard placeras den i% Systemroot% \\ System32 \\ Winevt \\ Logs \\ application.evtx.

Säkerhet - Lagrar säkerhetsrelaterade händelser, till exempel in / ut ur systemet, använd privilegier och tillgång till resurser. Standard är placerad i% Systemroot% \\ System32 \\ Winevt \\ Logs \\ Security.evtx

Installation - Den här logg registrerar händelser som uppstår vid installation och konfigurering av operativsystemet och dess komponenter. Standard är belägen i% Systemroot% \\ System32 \\ Winevt \\ Logs \\ setup.evtx.

Systemet - Lagrar händelserna i operativsystemet eller dess komponenter, till exempel misslyckanden vid start av tjänster eller initialisering av förare, systemövergripande meddelanden och andra meddelanden som är relaterade till systemet som helhet. Standard är placerad i% Systemroot% \\ System32 \\ Winevt \\ Logs \\ System.evtx

Reserverade evenemang - Om evenemang är konfigurerad, skickas händelser som skickas från andra servrar till den här loggen. Standard är placerad i% Systemroot% \\ System32 \\ Winevt \\ Logs \\ ForwardDevents.evtx

Internet Explorer. - Händelser som härrör från att konfigurera och arbeta med webbläsare Explorer. Standard är placerad i% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ InternEXplorer.eVTX

Windows PowerShell. - I den här tidningen är händelserna registrerade relaterade till användningen av PowerShell Shell. Som standard är det beläget i% Systemroot% \\ System32 \\ Winevt \\ Logs \\ windowPowershwll.evertx

Evenemangshändelser - Om utrustningsevenemanget är registrerat spelas händelser som genereras av enheter in i den här loggen. Standard är placerad i% Systemroot% \\ System32 \\ Winevt \\ Logs \\ Hardwareeent.evtx

I Windows 7 är den infrastruktur som säkerställer loggning av händelser baserad som i Windows Vista på XML. Data på varje händelse motsvarar ett XML-schema, vilket gör att du kan komma åt XML-koden för alla händelser. Dessutom kan du skapa XML-baserade förfrågningar för att få data från loggar. För att använda dessa nya funktioner krävs ingen kunskap om XML. Knäppa "Visa händelser" Ger enkel grafiskt gränssnitt För att komma åt dessa funktioner.

Egenskaper för händelser

Det finns flera egenskaper för snap-in-evenemang "Visa händelser"som beskrivs i detalj något nedan:

En källa - Det här är ett program som registrerade en händelse i tidskriften. Detta kan vara både programmets namn (till exempel "Exchange Server") och namnet på systemkomponenten eller en stor applikation (till exempel förarnamn). Till exempel betyder "Elnkii" Etherlink II-drivrutinen.

Evenemangskod - Detta är ett nummer som definierar en specifik typ av händelse. Den första raden i beskrivningen innehåller vanligtvis namnet på typen av händelse. Till exempel är 6005 en händelseidentifierare som uppstår när händelseloggstjänsten startas. Följaktligen finns i början av beskrivningen av denna händelse en sträng "lanserad händelseloggstjänst". Händelsekod och källnamn på inspelningen kan användas av representanter för supportgruppen programvaruprodukt Att felsöka.

Nivå - Det här är nivån av händelsen. I systemloggar och applikationer kan händelser ha följande nivåer av betydelse:

  • Underrättelse - Anger en ändring i en applikation eller en komponent, till exempel förekomsten av en informationshändelse som är förknippad med en framgångsrik åtgärd, vilket skapar en resurs eller starttjänst.
  • En varning - betecknar en allmän varning för ett problem som kan påverka tjänsten eller leda till ett allvarligare problem om du lämnar det utan uppmärksamhet.
  • Fel - indikerar att det fanns ett problem som kan påverka funktioner, externa till applikationen eller komponenten, vilket orsakade en händelse;
  • Kritiskt fel - indikerar att ett misslyckande inträffade, varefter ansökan eller komponenten, initierade händelsen, inte kan återhämta sig automatiskt.
  • Revisionssucces - Framgångsrik utförande av åtgärder som du spårar genom revision, till exempel, användningen av något privilegium;
  • Revisionsfel - Misslyckad prestanda för åtgärder som du spårar genom revision, till exempel ett fel vid inmatning av systemet.

Användare - bestämmer användarkontot, på uppdrag av vilken denna händelse inträffade. Användare inkluderar speciella enheter, till exempel lokal service, nätverkstjänst och anonym inloggning, samt konton av riktiga användare. Detta namn är identifieraren för klienten om händelsen faktiskt orsakades av serverprocessen, eller huvudidentifieraren, om personifieringen inte utförs. I vissa fall innehåller säkerhetsloggen både identifierare. Och även på detta område kan stå n / a (n / d), om i denna situation konto Inte tillämpbar. Personifieringen sker i de fall där servern tillåter en process att tilldela andra processäkerhetsattribut.

Arbetskod - innehåller ett numeriskt värde som bestämmer operationen eller punkten inom operationen, när den här händelsen utför denna händelse. Till exempel initialisering eller stängning.

Tidskrift - Namnet på tidningen där denna händelse spelades in.

Kategori och mål - bestämmer kategorin av händelser, som ibland används för den efterföljande beskrivningen av den tillåtna åtgärden. Varje källa till händelser har sina egna kategorier. Till exempel, följande kategorier: Input / Output, använd privilegier, ändra policy och hantera kontot.

Nyckelord - Det här är en uppsättning kategorier eller etiketter som kan användas för att filtrera eller söka efter händelser. Till exempel: "Nätverk", "säkerhet" eller "resurs hittades inte."

En dator - Identifierar namnet på datorn där händelsen inträffade. Vanligtvis detta namn lokal datorMen kan också vara datorns namn, som flyttade en händelse, eller namnet på den lokala datorn innan den har ändrats.

datum och tid - bestämmer datum och tid för denna händelse i tidskriften.

Process id - Representerar identifikationsnumret för processen som skapade denna händelse. Datorprogram Det är bara en passiv uppsättning instruktioner, medan processen är det direkta utförandet av dessa instruktioner.

Eidflöde - representerar identifikationsnumret för det flöde som skapade den här händelsen. Processen som genereras i operativsystemet kan bestå av flera flöden som körs "parallell", det vill säga utan föreskriven ordning i tid. När du utför några uppgifter kan denna separation uppnå mer effektiv användning Beräkningsresurser

Id-processor - representerar identifieringsnumret för processorn som har behandlat händelsen.

Sessionskod - Detta är identifikationsnumret för sessionen på terminalservern där händelsen inträffade.

Kärntid - bestämmer den tid som spenderas på instruktionerna i kärnläget, i enheter i CPU. Kärnläget har obegränsat åtkomst till systemminne och externa enheter. Kärnan i NT-systemet kallas en hybridkärna eller makroager.

Arbetstid i användarläge - bestämmer den tid som spenderas på genomförandet av användarregimens instruktioner, i enheter av CPU. Användarläget består av delsystem som sänder inmatningsförfrågningar till motsvarande kärnlägesdrivrutin av I / O-chefen.

Processorbelastning - Det här är den tid som spenderas på genomförandet av användarregimens instruktioner, i CPU-fästen.

Korrelationskod - bestämmer åtgärden i den process för vilken händelsen används. Denna kod används för att indikera enkla relationer mellan händelser. Korrelation är det statistiska förhållandet mellan två eller flera slumpmässiga variabler (eller värden som kan övervägas med någon tillåten noggrannhet). Samtidigt leder förändringar i ett eller flera av dessa värden till en systematisk förändring i andra eller andra värden.

Kod av relativ korrelation - bestämmer den relativa åtgärden i den process för vilken händelsen används.

Arbeta med händelseloggar

Visa händelser

I nästa skärmdump kan du se tidningen "Applikationer"Där hittar du information om evenemang, senaste idéer och prisvärda åtgärder. För att visa applikationslogghändelser, följ dessa steg:

  1. I konsolträdet, välj "Windows-tidskrifter";
  2. Välj en tidning "Applikationer".

Det är lämpligt att se händelseloggar oftare "Ansökan" och "Systemet" och studera befintliga problem och varningar som kan förutse problem i framtiden. Om du väljer en logg i mittfönstret visas tillgängliga händelser, inklusive evenemangsdatum, tid och källa, händelseivå och annan data.

Panel "Visa område" Visar de grundläggande händelsedata på fliken "Allmän", och ytterligare specifika data - på fliken "Detaljer". Du kan aktivera och inaktivera den här panelen genom att välja menyn. "Se"och sedan kommandot "Visa område".

För kritiska system rekommenderas att lagra loggar under de senaste månaderna. Hela tiden att tilldela tidskrifter, så att all information kan passar i dem, som regel är det obekväma, det är möjligt att lösa denna uppgift annorlunda. Du kan exportera loggar till filer som viks i den angivna mappen. För att spara den valda loggen, följ dessa steg:

  1. I konsolträdet väljer du händelseloggen för att spara;
  2. Välj lag "Spara händelser som" Från menyn "Spela teater" Eller från loggens snabbmeny, välj kommandot "Spara alla händelser som";
  3. I dialogen som visas "Spara som" Välj en mapp som filen måste sparas. Om du vill spara filen i den nya mappen kan du skapa den direkt från den här dialogrutan med snabbmenyn eller knappen. "Ny mapp" På åtgärdspanelen. I fält "Filtyp" Du måste välja önskat filformat från tillgängliga: evenemangsfiler - * .EVTX, XML-fil - * .xml, TAB Separation Text - * .TXT, CSV med kommaseparation - * .csv. I fält "Filnamn" "Spara". För att avbryta Spara, klicka på knappen. "Avbryt";
  4. I händelse av att händelseloggen inte är avsedd att visa på en annan dator, i dialogrutan "Visa information" Lämna standardalternativet "Visa inte information", och om loggen är avsedd för visning på en annan dator, så i dialogrutan "Visa information" Välj alternativ "Visa information för följande språk" och klicka på knappen "OK".

Clearing Event Log

Ibland måste du rensa de färdiga händelseloggarna för att säkerställa en effektiv analys av operativsystemets varningar och kritiska fel. För att rensa den valda loggen, följ dessa steg:

  1. I konsolträdet väljer du händelseloggen du vill rengöra;
  2. Rengör loggen på ett av följande sätt:
    • På menyn "Spela teater" Välj lag "Clear Magazine";
    • På den valda loggen högerklickar du för att öppna snabbmenyn. Välj kommandot i snabbmenyn "Clear Magazine";
  3. Därefter kan du antingen rensa tidningen, eller arkivera det om det inte gjorts tidigare:
    • För att rensa händelseloggen utan att spara klicka på Klicka på knappen. "Klar";
    • För att rensa händelseloggen efter sparandet, klicka på knappen. "Spara och klart". I dialogen som visas "Spara som" Välj en mapp som filen måste sparas. Om du vill spara filen i den nya mappen kan du skapa den direkt från den här dialogrutan med snabbmenyn eller knappen. "Ny mapp" På åtgärdspanelen. I fält "Filnamn" Ange ett namn och klicka på knappen. "Spara". För att avbryta Spara måste du klicka på knappen "Avbryt".

Ställ in den maximala loggstorleken

Som nämnts ovan lagras händelseloggar som filer i mappen% Systemroot% \\ System32 \\ Winevt \\ Logs. Som standard är den maximala storleken på dessa filer begränsad, men den kan ändras på följande sätt:

  1. Välj lag "Egenskaper" Från menyn "Spela teater"
  2. I fält "Maximal magasinstorlek (KB)" Ställ in önskat värde med hjälp av räknaren eller manuellt använd mätaren manuellt. I det här fallet kommer värdet att avrundas till närmaste nummer, flera 64 kb som storleken på loggfilen måste vara 64 kb-enhet och kan inte vara mindre än 1024 kb.

Händelser sparas i loggfilen, vars storlek endast kan öka till det angivna maximala värdet. Efter att ha nått filen maximal storlekBearbetningen av inkommande händelser kommer att bestämmas av lagringspolicy för loggar. Följande tidningsbesparande policyer är tillgängliga:

Skriv om händelser om det behövs (första gamla filer) - I det här fallet fortsätter nya poster att gå in i journalen efter att ha fyllt i den. Varje ny händelse ersätter den mest gamla i tidskriften;

Arkivera tidningen vid fyllning; Skriv inte om händelser - I det här fallet arkiveras loggfilen automatiskt om det behövs. Överskrivning föråldrade händelser utförs inte.

Skriv inte om händelser (Clear Magazine manuellt) - I det här fallet rensas tidningen manuellt och inte automatiskt.

För att välja önskad loggbesparingspolicy, följ dessa steg:

  1. I konsolträdet väljer du den händelselogg för vilken du ska ändra storlek på;
  2. Välj lag "Egenskaper" Från menyn "Spela teater" eller från snabbmenyn i den valda loggen;
  3. På fliken "Allmän", I kapitlet "När du uppnår maximal storlek" Välj önskad parameter och klicka på knappen. "OK".

Aktivering av analytisk och felsökningstidning

Analytiska och debug loggar är inaktiva standard. Efter aktivering fylls de snabbt stor kvantitet evenemang. Av denna anledning är det önskvärt att aktivera de angivna loggarna på en begränsad tidsperiod för att samla in data som är nödvändiga för att söka och felsöka och sedan inaktivera dem igen. Aktiveringen av stockar kan utföras enligt följande:

  1. I konsolträdet, hitta och välj en analytisk eller debug-logg som du vill aktivera;
  2. Välj lag "Egenskaper" Från menyn "Spela teater" eller från snabbmenyn i den valda analytiska eller debug loggen;
  3. På fliken "Allmän" Markera kryssrutan "Inkludera loggning"

Öppning och stängning av den sparade tidningen

Med hjälp av en snap "Visa händelser" Du kan öppna och visa de loggar som sparats tidigare. Samtidigt kan du öppna flera sparade loggar och få tillgång till dem när som helst i konsolträdet. Magazine öppnas i "Visa händelser"Kan stängas utan att radera information som finns i den. För att öppna den sparade loggen, följ dessa steg:

  1. Välj lag "Open Saved Magazine" på menyn "Spela teater" eller från snabbmenyn i konsolträdet;
  2. 3. I dialogrutan "Open Saved Magazine"Flytta runt katalogträdet, öppna mappen som innehåller den önskade filen.. Som standard visas alla händelseloggfiler i dialogrutan. När du är öppen kan du också välja vilken typ av filer som ska visas i öppningsdialogrutan. Tillgängliga filtyper: Händelseloggfiler (* .EVTX, * .EVT, * .En), samt evenemangsfiler (* .EVTX), gamla evenemangsfiler (* .EVT) eller spårloggfiler (* .El). När önskad loggfil hittas väljer du den genom att klicka på den med vänster musknapp, som lägger sitt namn i strängen för att ange filnamnet och klicka på knappen. "Öppna".
  3. I dialog "Open Saved Magazine", i fält "Namn" Ange ett nytt namn som kommer att användas för loggen i konsolträdet. Det används bara för att visa loggen i konsolträdet och loggfilnamnet ändras inte, du kan också använda det befintliga loggfilnamnet. I fält "Beskrivning" Ange tidskriftsbeskrivningen. Det kommer att visas i det centrala området när du markerar moderloggmappen i konsolträdet.
  4. För att skapa en mapp där den sparade loggen kommer att ligga, klicka på knappen. "Skapa en mapp". I fält "Namn" Ange namnet på den mapp där den öppna loggen kommer att ligga och klicka sedan på "OK". Om föräldramappen inte är vald, ny mapp kommer att ligga i mappen "Sparade tidningar".
  5. För att utomhushändelseloggen är otillgänglig för andra datoranvändare kan du avmarkera rutan. "Alla användare". I händelse av att den här kryssrutan är aktiv, kommer den öppna loggen att vara tillgänglig för alla användare, men för att ta bort den från konsolträdet, kommer administratörsrättigheter att krävas.
  6. För att öppna loggen, klicka på knappen. "OK".

För att ta bort en öppen logg från händelserna, följ dessa steg:

  1. I konsolträdet väljer du magasinet som ska tas bort;
  2. Välj lag "Radera" Från menyn "Spela teater" eller från snabbmenyn i den valda loggen;
  3. I dialog "Visa händelser" Klicka på knappen "Ja".

Slutsats

I den här delen av artikeln som är avsedda för "Visa händelsevisare" beskrivs den om själva utrustningen och beskriver de enklaste verksamheterna som är relaterade till övervakning och underhåll av systemet med hjälp av "visningshändelser". Nästa del av artikeln kommer att beräknas för erfarna windows-användare. Det kommer att beskriva uppgifter med anpassningsbara vyer, filtrering, gruppering / sorteringshändelser och prenumerationshantering.