У овом водичу ћемо показати како да користите Виндовс Евент Виевер да бисте прегледали Виндовс евиденције и филтрирали их према различитим критеријумима.
Предуслови:
Да бисте извршили кораке који су приказани у овом водичу, потребне су вам следеће компоненте:
- Правилно конфигурисан Виндовс 10/11 систем. За тестирање, погледајте како да подесите Виндовс ВМ користећи ВиртуалБок.
- Админ приступ
Прегледач догађаја на Виндовс-у
Подразумевано, различите апликације (и делови ОС-а) шаљу обавештење ОС-у за одређену активност као што су необавезности драјвера, безбедносна ажурирања, квар хардвера и још много тога. Евент Виевер је наменска апликација која обједињује ова обавештења и делује као чвориште за евидентирање.
Са администраторским привилегијама, Евент Виевер може приказати сваки велики догађај који се дешава у систему. То може бити невероватно корисно за потребе отклањања грешака.
Евент Виевер такође поседује моћне могућности филтрирања које могу да прикажу системску активност у одређено време, покренуту одређеним програмом, озбиљност окидача и још много тога.
Покретање прегледача догађаја
Откуцајте „Приказивач догађаја“ из почетног менија.
Алтернативно, покрените следећу кључну реч из прозора „Покрени“:
$ евентввр
Главни прозор ће вам представити резиме свих активности система.
Корисничко сучеље приказивача догађаја
На левом панелу, дневници су разврстани у различите категорије.
На пример, изаберите поткатегорију „Виндовс евиденције“ да бисте видели резиме евиденција Виндовс и Виндовс апликација.
Да бисте видели евиденције које су генерисали сви Мицрософт производи, идите на „Евиденције апликација и услуга“ >> „Мицрософт“.
Прегледање дневника
У следећем примеру ћемо погледати евиденције које генерише Виндовс ПоверСхелл. Са леве табле идите на „Евиденције апликација и услуга” >> „Виндовс ПоверСхелл”.
Овде можемо видети све догађаје које покреће ПоверСхелл. У нашем случају, Евент Виевер је забележио око 10.000 ПоверСхелл догађаја. Сваки дневник представља догађај.
Можете видети детаље дневника када изаберете дневник.
За детаљније детаље идите на картицу „Детаљи“.
Филтрирање евиденције догађаја
Уместо да бесциљно прегледавамо евиденцију, можемо да користимо Евент Виевер да применимо одређене филтере да бисмо добили прецизнију слику. Може бити невероватно корисно кад год покушавате да отклоните неки проблем, било да је у питању хардверски проблем, проблем са драјвером или софтверска грешка.
Да бисте креирали нови филтер, изаберите „Креирај прилагођени приказ“ на десној табли.
На новом прозору можемо применити различите филтере.
овде:
- Логгед : Евент Виевер хостује евиденцију од инсталације оперативног система. Претраживање свих њих у већини ситуација није оптимално. Користећи овај филтер, можемо ограничити обим претраге по времену.
- Ниво догађаја : Кад год је догађај регистрован, додељује му се ниво озбиљности. Постоји пет типова догађаја: критични, грешка, упозорење, информација и опширно.
- По логу : Ограничите обим претраге по стаблу.
- По извору : Ограничите обим претраге према извору покретача догађаја. Окидачи догађаја могу бити различити уређаји ОС-а или било који инсталирани програм.
На пример, да бисте навели све догађаје које покреће ПоверСхелл, образац прилагођеног приказа изгледа овако:
Подразумевано, Евент Виевер нуди да сачувате новокреирани филтер као прилагођени приказ.
Резултат би требао изгледати овако:
Прављење резервне копије дневника
Прегледач догађаја такође може да извезе евиденцију догађаја. Може бити корисно за отклањање грешака или прављење резервних копија важних дневника за касније.
У овом примеру, направићемо резервну копију дневника „Виндовс ПоверСхелл“.
На левом панелу изаберите „Виндовс ПоверСхелл“, кликните десним тастером миша на њега и изаберите „Сачувај све догађаје као“.
Од вас ће бити затражено да изаберете локацију на којој се чува резервна датотека.
На крају, Евент Виевер ће вас питати да ли желите да сачувате додатне информације о приказу уз датотеку. Препоручује се да их укључите тако да се са евиденцијама може радити на било ком другом рачунару. Међутим, само у сврху прављења резервних копија, можда ћете желети да то избегнете да бисте смањили величину датотеке.
Ако одлучите да укључите додатне податке за приказ, Прегледач догађаја креира додатни директоријум „ЛоцалеМетаДата“.
Увоз дневника
Сада смо научили како да успешно направимо резервну копију дневника догађаја. Сада морамо да научимо како да их увеземо када је потребно.
Да бисте увезли евиденцију из датотеке резервне копије Евент Виевер-а, идите на Акција >> Отвори сачувани дневник из главног прозора.
Сада потражите датотеку резервне копије.
Можете да одлучите за име депоније дневника и где ће бити ускладиштено. Подразумевано, Прегледач догађаја их ставља под „Сачуване евиденције“.
Увезени записници би требали бити доступни под „Сачувани записи“.
Брисање дневника
Евент Виевер прикупља евиденције од инсталације оперативног система. Уз довољно времена, накупиће се огроман број трупаца. Прегледач догађаја такође омогућава брисање свих евиденција које су тренутно акумулиране. Међутим, ова радња може захтевати администраторске привилегије.
Да бисте обрисали евиденцију, изаберите подкатегорију са леве табле и изаберите „Обриши евиденцију“.
Прегледач догађаја шаље упозорење пре него што одлучи да обрише евиденцију.
Резултат би требао изгледати овако:
Закључак
У овом водичу смо демонстрирали како да користите Евент Виевер за преглед Виндовс евиденција догађаја. Такође смо научили како да се крећемо кроз евиденције, примењујемо прилагођене филтере, правимо резервне копије и увозимо евиденције итд.
Срећно рачунање!