Dalam panduan ini, kami akan menunjukkan cara menggunakan Windows Event Viewer untuk melihat log Windows dan menapisnya mengikut pelbagai kriteria.
Prasyarat:
Untuk melaksanakan langkah-langkah yang ditunjukkan dalam panduan ini, anda memerlukan komponen berikut:
- Sistem Windows 10/11 yang dikonfigurasikan dengan betul. Untuk ujian, lihat cara menyediakan Windows VM menggunakan VirtualBox.
- Akses pentadbir
Pemapar Acara pada Windows
Secara lalai, pelbagai apl (dan bahagian OS) menghantar pemberitahuan kepada OS untuk aktiviti tertentu seperti kebiasaan pemandu, kemas kini keselamatan, kegagalan perkakasan dan banyak lagi. Event Viewer ialah apl khusus yang mengagregatkan pemberitahuan ini dan bertindak sebagai hab untuk pengelogan.
Dengan keistimewaan pentadbir, Pemapar Acara boleh menunjukkan setiap peristiwa utama yang berlaku dalam sistem. Ia boleh menjadi sangat berguna untuk tujuan penyahpepijatan.
Event Viewer juga menampilkan keupayaan penapisan berkuasa yang boleh menunjukkan aktiviti sistem pada masa tertentu, dicetuskan oleh program tertentu, keterukan pencetus dan banyak lagi.
Melancarkan Pemapar Acara
Taip 'Pemerhati Acara' dari menu mula.
Sebagai alternatif, jalankan kata kunci berikut dari tetingkap 'Run':
$ eventvwr
Tetingkap utama akan membentangkan ringkasan semua aktiviti sistem kepada anda.
UI Pemapar Acara
Di panel kiri, log diisih ke dalam pelbagai kategori.
Sebagai contoh, pilih subkategori 'Log Windows' untuk melihat ringkasan log mengikut apl Windows dan Windows.
Untuk melihat log yang dijana oleh semua produk Microsoft, pergi ke 'Log Aplikasi dan Perkhidmatan' >> 'Microsoft'.
Melihat Log
Dalam contoh berikut, kita akan melihat log yang dijana oleh Windows PowerShell. Dari panel kiri, pergi ke 'Log Aplikasi dan Perkhidmatan' >> 'Windows PowerShell'.
Di sini, kita boleh melihat semua peristiwa yang dicetuskan oleh PowerShell. Dalam kes kami, Pemapar Peristiwa telah mencatatkan kira-kira 10,000 acara PowerShell. Setiap log mewakili peristiwa.
Anda boleh melihat butiran log apabila memilih log.
Untuk butiran yang lebih mendalam, pergi ke tab 'Butiran'.
Menapis Log Peristiwa
Daripada menyemak imbas log tanpa tujuan, kami boleh menggunakan Pemapar Acara untuk menggunakan penapis tertentu untuk mendapatkan gambaran yang lebih tepat. Ia boleh menjadi sangat berguna apabila anda cuba menyahpepijat beberapa isu, sama ada isu perkakasan, masalah pemandu atau pepijat perisian.
Untuk membuat penapis baharu, pilih 'Buat Paparan Tersuai' daripada panel kanan.
Kami boleh menggunakan pelbagai penapis pada tetingkap baharu.
di sini:
- Dilog : Event Viewer mengehos log sejak pemasangan sistem pengendalian. Mencari kesemuanya, dalam kebanyakan situasi, tidak optimum. Menggunakan penapis ini, kita boleh mengehadkan skop carian mengikut masa.
- Tahap acara : Setiap kali acara didaftarkan, ia diberikan tahap keterukan. Terdapat lima jenis peristiwa: Kritikal, Ralat, Amaran, Maklumat dan Verbose.
- Dengan log : Hadkan skop carian mengikut pokok.
- Mengikut sumber : Hadkan skop carian mengikut sumber pencetus peristiwa. Pencetus peristiwa boleh menjadi pelbagai peralatan OS atau sebarang program yang dipasang.
Contohnya, untuk menyenaraikan semua peristiwa yang dicetuskan oleh PowerShell, borang paparan tersuai kelihatan seperti ini:
Secara lalai, Pemapar Acara menawarkan untuk menyimpan penapis yang baru dibuat sebagai paparan tersuai.
Hasilnya sepatutnya kelihatan seperti ini:
Menyandarkan Log
Pemapar Acara juga boleh mengeksport log peristiwa. Ia boleh berguna untuk menyahpepijat atau menyandarkan log penting untuk kemudian.
Dalam contoh ini, kami akan membuat sandaran log 'Windows PowerShell'.
Dari panel kiri, pilih 'Windows PowerShell', klik kanan padanya, dan pilih 'Simpan Semua Acara Sebagai'.
Anda akan digesa untuk memilih lokasi di mana fail sandaran disimpan.
Akhir sekali, Pemapar Acara akan bertanya sama ada anda ingin menyimpan maklumat paparan tambahan dengan fail. Adalah disyorkan untuk memasukkannya supaya log boleh digunakan pada mana-mana komputer lain. Walau bagaimanapun, untuk tujuan sandaran sahaja, anda mungkin mahu mengelakkannya untuk mengurangkan saiz fail.
Jika anda memilih untuk memasukkan data paparan tambahan, Pemapar Acara mencipta direktori 'LocaleMetaData' tambahan.
Mengimport Log
Kami kini belajar cara menyandarkan log acara dengan jayanya. Sekarang, kita perlu belajar cara mengimportnya apabila diperlukan.
Untuk mengimport log daripada fail sandaran Pemapar Acara, pergi ke Tindakan >> Buka Log Disimpan dari tetingkap utama.
Sekarang, semak imbas fail sandaran.
Anda boleh menentukan nama tempat pembuangan log dan di mana ia akan disimpan. Secara lalai, Pemapar Acara meletakkannya di bawah 'Log Disimpan'.
Log yang diimport harus tersedia di bawah 'Log Disimpan'.
Membersihkan Log
Event Viewer telah mengumpul log sejak pemasangan sistem pengendalian. Memandangkan masa yang mencukupi, sejumlah besar log akan terkumpul. Pemapar Acara juga membenarkan mengosongkan semua log yang terkumpul pada masa ini. Walau bagaimanapun, tindakan ini mungkin memerlukan keistimewaan pentadbir.
Untuk mengosongkan log, pilih subkategori daripada panel kiri dan pilih 'Kosongkan Log'.
Pemapar Acara memberikan amaran sebelum memutuskan untuk mengosongkan log.
Hasilnya sepatutnya kelihatan seperti ini:
Kesimpulan
Dalam panduan ini, kami menunjukkan cara menggunakan Pemapar Acara untuk melihat log peristiwa Windows. Kami juga mempelajari cara menavigasi log, menggunakan penapis tersuai, menyandarkan dan mengimport log, dsb.
Selamat berkomputer!