В этом руководстве мы покажем, как использовать средство просмотра событий Windows для просмотра журналов Windows и их фильтрации по различным критериям.
Предпосылки:
Для выполнения действий, описанных в этом руководстве, вам потребуются следующие компоненты:
- Правильно настроенная система Windows 10/11. Для тестирования узнайте, как настроить виртуальную машину Windows с помощью VirtualBox.
- Доступ администратора
Просмотр событий в Windows
По умолчанию различные приложения (и части ОС) отправляют в ОС уведомления об определенных действиях, таких как особенности драйверов, обновления безопасности, сбой оборудования и многое другое. Event Viewer — это специальное приложение, которое объединяет эти уведомления и выступает в качестве центра регистрации событий.
С правами администратора средство просмотра событий может отображать все важные события, происходящие в системе. Это может быть невероятно полезно для целей отладки.
Средство просмотра событий также обладает мощными возможностями фильтрации, которые могут отображать активность системы в определенное время, вызванную определенной программой, серьезность триггера и многое другое.
Запуск средства просмотра событий
Введите «Просмотр событий» в меню «Пуск».
Альтернативно, запустите следующее ключевое слово в окне «Выполнить»:
$ событиеvwr
В главном окне вы увидите сводную информацию обо всех действиях системы.
Пользовательский интерфейс средства просмотра событий
На левой панели журналы рассортированы по различным категориям.
Например, выберите подкатегорию «Журналы Windows», чтобы просмотреть сводку журналов Windows и приложений Windows.
Чтобы просмотреть журналы, созданные всеми продуктами Microsoft, перейдите в раздел «Журналы приложений и служб» >> «Microsoft».
Просмотр журналов
В следующем примере мы рассмотрим журналы, созданные Windows PowerShell. На левой панели перейдите в «Журналы приложений и служб» >> «Windows PowerShell».
Здесь мы можем увидеть все события, инициируемые PowerShell. В нашем случае средство просмотра событий зарегистрировало около 10 000 событий PowerShell. Каждый журнал представляет собой событие.
Вы можете просмотреть детали журнала при выборе журнала.
Для более подробной информации перейдите на вкладку «Подробнее».
Фильтрация журналов событий
Вместо бесцельного просмотра журналов мы можем использовать средство просмотра событий, чтобы применить определенные фильтры и получить более точную картину. Это может быть невероятно полезно, когда вы пытаетесь отладить какую-либо проблему, будь то проблема с оборудованием, проблема с драйвером или ошибка программного обеспечения.
Чтобы создать новый фильтр, выберите «Создать собственный вид» на правой панели.
Мы можем применять различные фильтры в новом окне.
Здесь:
- Зарегистрировано : Средство просмотра событий хранит журналы с момента установки операционной системы. Поиск по всем из них в большинстве ситуаций не является оптимальным. Используя этот фильтр, мы можем ограничить область поиска по времени.
- Уровень события : всякий раз, когда событие регистрируется, ему присваивается уровень серьезности. Существует пять типов событий: критическое, ошибка, предупреждение, информационное и подробное.
- По журналу : Ограничить область поиска по дереву.
- По источнику : Ограничить область поиска источником триггера события. Триггерами событий могут быть различные устройства ОС или любая установленная программа.
Например, чтобы перечислить все события, инициируемые PowerShell, пользовательская форма представления выглядит следующим образом:
По умолчанию средство просмотра событий предлагает сохранить вновь созданный фильтр как настраиваемое представление.
Результат должен выглядеть так:
Резервное копирование журналов
Средство просмотра событий также может экспортировать журналы событий. Это может быть полезно для отладки или резервного копирования важных журналов на будущее.
В этом примере мы создадим резервную копию журналов «Windows PowerShell».
На левой панели выберите «Windows PowerShell», щелкните его правой кнопкой мыши и выберите «Сохранить все события как».
Вам будет предложено выбрать место, где будет храниться файл резервной копии.
Наконец, средство просмотра событий спросит, хотите ли вы сохранить дополнительную информацию об отображении в файле. Рекомендуется подключить их, чтобы с логами можно было работать на любом другом компьютере. Однако только в целях резервного копирования вы можете отказаться от этого, чтобы уменьшить размер файла.
Если вы решите включить дополнительные данные отображения, средство просмотра событий создаст дополнительный каталог «LocaleMetaData».
Импорт журналов
Теперь мы узнали, как успешно создавать резервные копии журналов событий. Теперь нам нужно научиться импортировать их при необходимости.
Чтобы импортировать журналы из файла резервной копии средства просмотра событий, выберите «Действие» >> «Открыть сохраненный журнал» в главном окне.
Теперь найдите файл резервной копии.
Вы можете выбрать имя дампа журнала и место его хранения. По умолчанию средство просмотра событий помещает их в раздел «Сохраненные журналы».
Импортированные журналы должны быть доступны в разделе «Сохраненные журналы».
Очистка журналов
Средство просмотра событий собирает журналы с момента установки операционной системы. При наличии достаточного количества времени накопится огромное количество журналов. Просмотр событий также позволяет очистить все накопленные на данный момент журналы. Однако для этого действия могут потребоваться права администратора.
Чтобы очистить журналы, выберите подкатегорию на левой панели и выберите «Очистить журнал».
Средство просмотра событий выдает предупреждение, прежде чем принять решение об очистке журналов.
Результат должен выглядеть так:
Заключение
В этом руководстве мы продемонстрировали, как использовать средство просмотра событий для просмотра журналов событий Windows. Мы также научились перемещаться по журналам, применять пользовательские фильтры, выполнять резервное копирование и импортировать журналы и т. д.
Удачных вычислений!