I denne veiledningen vil vi demonstrere hvordan du bruker Windows Event Viewer til å vise Windows-loggene og filtrere dem i henhold til ulike kriterier.
Forutsetninger:
For å utføre trinnene som er demonstrert i denne veiledningen, trenger du følgende komponenter:
- Et riktig konfigurert Windows 10/11-system. For testing, sjekk ut hvordan du setter opp en Windows VM ved hjelp av VirtualBox.
- Administratortilgang
Event Viewer på Windows
Som standard sender forskjellige apper (og deler av operativsystemet) et varsel til operativsystemet for en bestemt aktivitet, som driveregenskaper, sikkerhetsoppdateringer, maskinvarefeil og mer. Event Viewer er en dedikert app som samler disse varslene og fungerer som knutepunkt for logging.
Med administratorrettigheter kan Event Viewer vise alle større hendelser som skjer i systemet. Det kan være utrolig nyttig for feilsøkingsformål.
Event Viewer har også kraftige filtreringsfunksjoner som kan vise systemaktiviteten på et bestemt tidspunkt, utløst av et bestemt program, alvorlighetsgraden av utløseren og mer.
Starter Event Viewer
Skriv 'Event Viewer' fra startmenyen.
Alternativt kan du kjøre følgende nøkkelord fra 'Kjør'-vinduet:
$ eventvwr
Hovedvinduet vil presentere deg med et sammendrag av alle systemaktivitetene.
Event Viewer-grensesnittet
På venstre panel er loggene sortert i ulike kategorier.
Velg for eksempel underkategorien 'Windows Logger' for å se et sammendrag av logger fra Windows- og Windows-apper.
For å se loggene som genereres av alle Microsoft-produktene, gå til 'Programmer og tjenesterlogger' >> 'Microsoft'.
Vise loggene
I følgende eksempel vil vi se på loggene som genereres av Windows PowerShell. Fra venstre panel går du til 'Programmer og tjenesterlogger' >> 'Windows PowerShell'.
Her kan vi se alle hendelsene som utløses av PowerShell. I vårt tilfelle har Event Viewer logget omtrent 10 000 PowerShell-hendelser. Hver logg representerer en hendelse.
Du kan se loggdetaljene når du velger en logg.
For mer detaljerte detaljer, gå til 'Detaljer'-fanen.
Filtrering av hendelsesloggene
I stedet for å bla gjennom loggene uten mål, kan vi bruke Event Viewer til å bruke visse filtre for å få et mer nøyaktig bilde. Det kan være utrolig nyttig når du prøver å feilsøke et eller annet problem, enten det er et maskinvareproblem, et driverproblem eller en programvarefeil.
For å opprette et nytt filter, velg 'Create Custom View' fra høyre panel.
Vi kan bruke ulike filtre på det nye vinduet.
Her:
- Logget : Event Viewer er vert for logger siden installasjonen av operativsystemet. Å søke gjennom dem alle er i de fleste situasjoner ikke optimalt. Ved å bruke dette filteret kan vi begrense omfanget av søket etter tid.
- Hendelsesnivå : Når en hendelse registreres, tildeles den et alvorlighetsnivå. Det er fem typer hendelser: Kritisk, Feil, Advarsel, Informasjon og Utførlig.
- Ved logg : Begrens søket etter tre.
- Etter kilde : Begrens omfanget av søket etter kilden til hendelsesutløseren. Hendelsesutløserne kan være forskjellige apparater i operativsystemet eller et hvilket som helst installert program.
For eksempel, for å liste opp alle hendelsene som utløses av PowerShell, ser det tilpassede visningsskjemaet slik ut:
Som standard tilbyr Event Viewer å lagre det nyopprettede filteret som en tilpasset visning.
Resultatet skal se slik ut:
Sikkerhetskopiere loggene
Event Viewer kan også eksportere hendelsesloggene. Det kan være nyttig for å feilsøke eller sikkerhetskopiere de viktige loggene for senere.
I dette eksemplet vil vi lage en sikkerhetskopi av 'Windows PowerShell'-loggene.
Fra venstre panel, velg 'Windows PowerShell', høyreklikk på den og velg 'Lagre alle hendelser som'.
Du vil bli bedt om å velge plasseringen der sikkerhetskopifilen er lagret.
Til slutt vil Event Viewer spørre om du vil lagre den ekstra visningsinformasjonen med filen. Det anbefales å inkludere dem slik at loggene kan jobbes med på en hvilken som helst annen datamaskin. Men bare for sikkerhetskopiering kan det være lurt å unngå det for å redusere filstørrelsen.
Hvis du velger å inkludere de ekstra visningsdataene, oppretter Event Viewer en ekstra 'LocaleMetaData'-katalog.
Importere loggene
Vi har nå lært hvordan vi kan sikkerhetskopiere hendelsesloggene. Nå må vi lære å importere dem når det trengs.
For å importere loggene fra en Event Viewer-sikkerhetskopi, gå til Handling >> Åpne lagret logg fra hovedvinduet.
Bla nå etter sikkerhetskopifilen.
Du kan bestemme navnet på loggdumpen og hvor den skal lagres. Som standard setter hendelsesvisningen dem under 'Lagrede logger'.
De importerte loggene skal være tilgjengelige under 'Lagrede logger'.
Tømme loggene
Event Viewer har samlet inn logger siden installasjonen av operativsystemet. Gitt nok tid, vil et stort antall logger samle seg. Event Viewer lar også tømme alle loggene som er akkumulert. Imidlertid kan denne handlingen kreve administratorrettigheter.
For å tømme loggene, velg en underkategori fra venstre panel og velg 'Tøm logg'.
Event Viewer kaster en advarsel før den bestemmer seg for å tømme loggene.
Resultatet skal se slik ut:
Konklusjon
I denne veiledningen demonstrerte vi hvordan du bruker Event Viewer til å se gjennom Windows-hendelsesloggene. Vi lærte også hvordan du navigerer gjennom loggene, bruker de tilpassede filtrene, sikkerhetskopierer og importerer loggene osv.
Lykke til med databehandling!