V tejto príručke si ukážeme, ako používať Windows Event Viewer na zobrazenie denníkov Windows a ich filtrovanie podľa rôznych kritérií.
Predpoklady:
Na vykonanie krokov, ktoré sú uvedené v tejto príručke, potrebujete nasledujúce komponenty:
- Správne nakonfigurovaný systém Windows 10/11. Na testovanie si pozrite, ako nastaviť Windows VM pomocou VirtualBoxu.
- Správcovský prístup
Prehliadač udalostí v systéme Windows
V predvolenom nastavení rôzne aplikácie (a časti operačného systému) odosielajú do OS upozornenie na konkrétnu aktivitu, ako sú ovládače, aktualizácie zabezpečenia, zlyhanie hardvéru a ďalšie. Event Viewer je špecializovaná aplikácia, ktorá zhromažďuje tieto upozornenia a funguje ako centrum pre protokolovanie.
S oprávnením správcu môže Prehliadač udalostí zobraziť každú významnú udalosť, ktorá sa stane v systéme. Môže to byť neuveriteľne užitočné na účely ladenia.
Prehliadač udalostí obsahuje aj výkonné možnosti filtrovania, ktoré môžu zobraziť aktivitu systému v určitom čase, spustenú určitým programom, závažnosť spustenia a ďalšie.
Spustenie prehliadača udalostí
V ponuke Štart napíšte „Zobrazovač udalostí“.
Prípadne spustite nasledujúce kľúčové slovo z okna „Spustiť“:
$ eventvwr
V hlavnom okne sa zobrazí súhrn všetkých aktivít systému.
Používateľské rozhranie prehliadača udalostí
Na ľavom paneli sú protokoly zoradené do rôznych kategórií.
Napríklad výberom podkategórie „Windows Logs“ zobrazíte súhrn denníkov podľa Windows a aplikácií Windows.
Ak chcete zobraziť protokoly generované všetkými produktmi spoločnosti Microsoft, prejdite na „Protokoly aplikácií a služieb“ >> „Microsoft“.
Prezeranie denníkov
V nasledujúcom príklade sa pozrieme na protokoly, ktoré generuje Windows PowerShell. Na ľavom paneli prejdite na „Denníky aplikácií a služieb“ >> „Windows PowerShell“.
Tu môžeme vidieť všetky udalosti, ktoré spúšťa PowerShell. V našom prípade Prehliadač udalostí zaznamenal približne 10 000 udalostí PowerShell. Každý protokol predstavuje udalosť.
Podrobnosti denníka môžete vidieť po výbere denníka.
Pre podrobnejšie informácie prejdite na kartu „Podrobnosti“.
Filtrovanie denníkov udalostí
Namiesto bezcieľneho prehliadania denníkov môžeme použiť Zobrazovač udalostí na použitie určitých filtrov, aby sme získali presnejší obraz. Môže to byť neuveriteľne užitočné vždy, keď sa pokúšate ladiť nejaký problém, či už ide o hardvérový problém, problém s ovládačom alebo softvérovú chybu.
Ak chcete vytvoriť nový filter, v pravom paneli vyberte možnosť „Vytvoriť vlastné zobrazenie“.
Na nové okno môžeme použiť rôzne filtre.
Tu:
- Prihlásené : Prehliadač udalostí obsahuje protokoly od inštalácie operačného systému. Prehľadávanie všetkých z nich nie je vo väčšine situácií optimálne. Pomocou tohto filtra môžeme obmedziť rozsah vyhľadávania podľa času.
- Úroveň udalosti : Vždy, keď je udalosť zaregistrovaná, je jej priradená úroveň závažnosti. Existuje päť typov udalostí: kritické, chybové, varovanie, informácie a podrobné.
- Podľa denníka : Obmedzte rozsah vyhľadávania podľa stromu.
- Podľa zdroja : Obmedzte rozsah vyhľadávania podľa zdroja spúšťača udalosti. Spúšťačmi udalostí môžu byť rôzne zariadenia operačného systému alebo akýkoľvek nainštalovaný program.
Ak chcete napríklad zobraziť zoznam všetkých udalostí, ktoré spúšťa PowerShell, formulár vlastného zobrazenia vyzerá takto:
Zobrazovač udalostí štandardne ponúka uloženie novovytvoreného filtra ako vlastného zobrazenia.
Výsledok by mal vyzerať takto:
Zálohovanie denníkov
Prehliadač udalostí môže tiež exportovať denníky udalostí. Môže to byť užitočné pri ladení alebo zálohovaní dôležitých protokolov na neskôr.
V tomto príklade vytvoríme zálohu denníkov „Windows PowerShell“.
Na ľavom paneli vyberte „Windows PowerShell“, kliknite naň pravým tlačidlom myši a vyberte „Uložiť všetky udalosti ako“.
Zobrazí sa výzva na výber umiestnenia, kde je uložený záložný súbor.
Nakoniec sa prehliadač udalostí spýta, či chcete so súborom uložiť ďalšie informácie o zobrazení. Odporúča sa zahrnúť ich, aby bolo možné s protokolmi pracovať na akomkoľvek inom počítači. Avšak len na účely zálohovania sa mu možno budete chcieť vyhnúť, aby ste zmenšili veľkosť súboru.
Ak sa rozhodnete zahrnúť ďalšie zobrazované údaje, Prehliadač udalostí vytvorí ďalší adresár „LocaleMetaData“.
Importovanie denníkov
Teraz sme sa naučili, ako úspešne zálohovať denníky udalostí. Teraz sa musíme naučiť, ako ich v prípade potreby importovať.
Ak chcete importovať protokoly zo záložného súboru Event Viewer, prejdite na Akcia >> Otvoriť uložený protokol z hlavného okna.
Teraz vyhľadajte záložný súbor.
Môžete rozhodnúť o názve výpisu denníka a o tom, kde bude uložený. V predvolenom nastavení ich prehliadač udalostí umiestni do časti „Uložené protokoly“.
Importované protokoly by mali byť dostupné v časti „Uložené protokoly“.
Vymazanie denníkov
Event Viewer zbiera protokoly od inštalácie operačného systému. Pri dostatku času sa nahromadí obrovské množstvo protokolov. Zobrazovač udalostí tiež umožňuje vymazať všetky aktuálne nahromadené protokoly. Táto akcia však môže vyžadovať oprávnenie správcu.
Ak chcete vymazať denníky, vyberte podkategóriu z ľavého panela a vyberte „Vymazať denník“.
Prehliadač udalostí zobrazí varovanie predtým, ako sa rozhodne vymazať protokoly.
Výsledok by mal vyzerať takto:
Záver
V tejto príručke sme ukázali, ako používať Zobrazovač udalostí na prezeranie denníkov udalostí systému Windows. Naučili sme sa tiež, ako sa pohybovať v protokoloch, používať vlastné filtre, zálohovať a importovať protokoly atď.
Veľa šťastia pri práci s počítačom!