Использование средства просмотра событий для устранения неполадок

Оглавление:

Использование средства просмотра событий для устранения неполадок
Использование средства просмотра событий для устранения неполадок

Видео: Использование средства просмотра событий для устранения неполадок

Видео: Использование средства просмотра событий для устранения неполадок
Видео: ТАЛАНТЛИВЫЙ ВРАЧ ВЫДАЕТ СЕБЯ ЗА МЕДСЕСТРУ ЧТОБЫ СПАСТИ ДОЧЬ - СПРОСИТЕ МЕДСЕСТРУ 2022 - YouTube 2024, Марш
Anonim
 В сегодняшнем выпуске Geek School мы научим вас использовать средство просмотра событий для устранения неполадок на вашем ПК и понимания того, что происходит под капотом.
В сегодняшнем выпуске Geek School мы научим вас использовать средство просмотра событий для устранения неполадок на вашем ПК и понимания того, что происходит под капотом.

ШКОЛЬНАЯ НАВИГАЦИЯ

  1. Использование планировщика заданий для запуска процессов позже
  2. Использование средства просмотра событий для устранения неполадок
  3. Общие сведения о разделении жестких дисков с управлением дисками
  4. Обучение использованию редактора реестра Как и Pro
  5. Мониторинг вашего ПК с помощью монитора ресурсов и диспетчера задач
  6. Понимание расширенной панели свойств системы
  7. Понимание и управление службами Windows
  8. Использование редактора групповой политики для настройки вашего ПК
  9. Общие сведения об инструментах администрирования Windows

Самая большая проблема с Event Viewer заключается в том, что это может быть очень запутанным - есть много предупреждений, ошибок и информационных сообщений, и, не зная, что все это значит, вы можете предположить (неправильно), что ваш компьютер поврежден или заражен, когда есть ничего действительно неправильно.

Фактически, мошенники технической поддержки используют Event Viewer как часть своей тактики продаж, чтобы убедить запущенных пользователей в том, что их компьютер заражен вирусами. Они проходят через фильтрацию только с помощью критических ошибок, а затем удивляются тому, что все, что вы видите, являются критическими ошибками.

Изучение того, как использовать и понимать Event Viewer, является критическим навыком для выяснения того, что происходит с ПК, и устранения неполадок.

Понимание интерфейса

Когда вы впервые откроете Event Viewer, вы заметите, что он использует трехпанельную конфигурацию, как и многие другие административные инструменты в Windows, хотя в этом случае на самом деле имеется довольно много полезных инструментов с правой стороны.

На левой панели отображается вид папки, в котором вы можете найти все журналы событий, а также представления, которые можно настроить с помощью событий из многих журналов одновременно. Например, в представлении «Административные события» в последних версиях Windows отображаются все события «Ошибка», «Предупреждение» и «Критические», независимо от того, происходят ли они из журнала приложений или журнала системы.

На средней панели отображается список событий, и при нажатии на них будут отображаться детали в области предварительного просмотра - или вы можете дважды щелкнуть по любому из них, чтобы потянуть его в отдельном окне, что может быть удобно, когда вы просматриваете большой набор событий и хотите найти все важные вещи перед началом интернет-поиска.

Правая панель дает вам быстрый доступ к таким действиям, как создание пользовательских представлений, фильтрация или даже создание запланированной задачи на основе определенного события.

Конечно, сами события - это то, что мы пытаемся увидеть, и их полезность может варьироваться от действительно конкретных и очевидных вещей, которые вы можете легко исправить для очень неопределенных сообщений, которые не имеют никакого смысла, и вы не можете найти никаких информацию о Google. Регулярные поля на дисплее содержат:
Конечно, сами события - это то, что мы пытаемся увидеть, и их полезность может варьироваться от действительно конкретных и очевидных вещей, которые вы можете легко исправить для очень неопределенных сообщений, которые не имеют никакого смысла, и вы не можете найти никаких информацию о Google. Регулярные поля на дисплее содержат:
  • Имя журнала - в то время как в более старых версиях Windows все было сбрасыто в журнал приложений или систем, в более современных изданиях есть десятки или сотни разных журналов на выбор. У каждого компонента Windows, скорее всего, будет свой собственный журнал.
  • Источник - это имя программного обеспечения, которое генерирует событие журнала. Конечно, имя обычно не совпадает с именем файла, но это представление о том, какой компонент сделал это.
  • Код события - очень важный идентификатор события на самом деле может быть немного запутанным. Если вы были в Google для «идентификатора события 122», который вы видите на следующем скриншоте, вы не получите очень полезную информацию, если вы также не включите источник или имя приложения. Это связано с тем, что каждое приложение может определять свои собственные уникальные идентификаторы событий.
  • уровень - Это говорит о том, насколько серьезным является событие. Информация просто сообщает вам, что что-то изменилось или компонент запустился, или что-то завершилось. Предупреждение говорит вам, что что-то может пойти не так, но это еще не все так важно. Ошибка говорит вам, что что-то случилось, чего не должно было случиться, но это не всегда конец света. С другой стороны, критическое означает, что что-то где-то сломалось, и компонент, который вызвал это событие, вероятно, разбился.
  • пользователь - в этом поле указывается, был ли это системный компонент или ваша учетная запись пользователя, которая выполняла процесс, вызвавший ошибку. Это может быть полезно при просмотре вещей.
  • OpCode - это поле теоретически сообщает вам, какую активность приложение или компонент выполняет при запуске события. На практике, однако, он почти всегда будет говорить «Инфо» и довольно бесполезен.
  • компьютер - на домашнем рабочем столе это, как правило, просто имя вашего ПК, но в мире ИТ вы можете пересылать события с одного компьютера или сервера на другой компьютер. Вы также можете подключить Event Viewer к другому ПК или серверу.
  • Категория задачи - это поле не всегда используется, но в конечном итоге оно является информационным полем, которое сообщает вам немного больше информации о событии.
  • Ключевые слова - это поле обычно не используется и обычно содержит бесполезную информацию.

Как правило, вы должны попробовать выполнить поиск по общему описанию, или идентификатору события и источнику, или комбинации этих значений.

Просто помните, что идентификатор события уникален … для каждого приложения. Таким образом, существует много перекрытий, и вы не можете просто искать «Event ID 122», потому что вы получите много ерунды.

Важная заметка: В журнале событий всегда будут ошибки и предупреждения, и вы не можете решить их все. Самое главное - использовать средство просмотра событий для устранения проблем, которые у вас уже есть, вместо того, чтобы пытаться найти проблемы, о которых вы еще не знаете.

И да, вам нужно будет использовать свои навыки Google для исследования событий, о которых вы не знаете. Нет простого магического решения.

Единственное, что вы могли бы сразу сделать, увидев это диалоговое окно, - это щелкнуть ссылку «Дополнительная информация» … проблема в том, что она в настоящее время не приносит вам ничего полезного. Вы просто попадаете на страницу с ошибкой на сайте Microsoft.
Единственное, что вы могли бы сразу сделать, увидев это диалоговое окно, - это щелкнуть ссылку «Дополнительная информация» … проблема в том, что она в настоящее время не приносит вам ничего полезного. Вы просто попадаете на страницу с ошибкой на сайте Microsoft.
Что страшно, так это то, что 8464 человека оценили страницу не найдена как полезную.
Что страшно, так это то, что 8464 человека оценили страницу не найдена как полезную.

Повторное отображение поискового запроса онлайн-события на самом деле

По какой-то причине, ссылка «Дополнительная информация: журнал событий онлайн-справки» просто плоская, не работает для нас, но, к счастью, есть большой взлом реестра, который вы можете использовать для устранения проблемы.

То, что мы собираемся сделать, это просто изменить URL-адрес перенаправления в реестре, чтобы указать на Google … кроме как из-за способа передачи аргументов, нам нужно указать его на промежуточную страницу, которая будет анализировать аргументы и сформируйте правильный URL-адрес поиска Google.

Для целей этой статьи мы размещаем страницу на нашем собственном сервере, и вы можете ее использовать. Если вы не хотите использовать наш сервер, в конце этого раздела перечислены одна строка кода PHP.

Чтобы внести это изменение, перейдите к следующему разделу реестра:

HKLMSoftwareMicrosoftWindows NTCurrentVersionEventViewer

Найдите значение MicrosoftRedirectionURL в правой части, а затем измените значение из значения по умолчанию, которое составляет https://go.microsoft.com/fwlink/events.asp, и вместо этого вставьте это значение:

https://www.howtogeek.com/eventid

После того, как вы это сделаете, щелчок по ссылке в окне «Свойства события» немедленно перенаправит вас в Google, причем соответствующие данные уже включены (идентификатор события, имя журнала и «приложение», в котором обычно говорят Microsoft Windows),
После того, как вы это сделаете, щелчок по ссылке в окне «Свойства события» немедленно перенаправит вас в Google, причем соответствующие данные уже включены (идентификатор события, имя журнала и «приложение», в котором обычно говорят Microsoft Windows),
Как это работает? Это довольно просто - Event Viewer добавляет набор параметров в качестве аргументов строки запроса к URL-адресу, который мы помещаем в реестр. Затем скрипт извлекает эти аргументы и перенаправляет их в Google, вместо этого передавая аргументы в качестве условий поиска.
Как это работает? Это довольно просто - Event Viewer добавляет набор параметров в качестве аргументов строки запроса к URL-адресу, который мы помещаем в реестр. Затем скрипт извлекает эти аргументы и перенаправляет их в Google, вместо этого передавая аргументы в качестве условий поиска.

Используя простой скрипт PHP, это то, что мы придумали для обработки перенаправления.

заголовок ('Местоположение: https://google.com/search?q=Event ID'. $ _GET ['EvtID']. ''. $ _GET ['EvtSrc']. ''. $ _GET ['ProdName'] );

Вы можете размещать то же самое на своем собственном сервере, если хотите, или можете использовать тот, который сидит на нашем сервере. Вам решать.

Остерегайтесь интернет-сайтов с помощью «Решений» для идентификатора события «Проблемы»

Существует множество веб-сайтов, которые автоматически генерируют страницы для каждого идентификатора события, а затем заполняют их бессмысленными. Это было бы прекрасно, за исключением многих из этих событий, нет никаких других хороших результатов.

Эти сайты затем предложит решить проблему, если вы просто загрузите часть программного обеспечения для вашего бесплатного анализа. Во всех случаях это будут реклама, а программное обеспечение «решение» - это мошенничество.

Нет ПО, который может решить все проблемы журнала событий.

Использование фильтров и пользовательских представлений

Вместо того, чтобы проходить через zillion папки пользовательских журналов событий и пытаясь найти все, что вы ищете, вы можете создать настраиваемое представление, отображающее только те события, которые вы хотите увидеть.

Для достижения наилучших результатов вам нужно будет фильтровать только определенные вещи, которые вы хотите увидеть - возможно, критические, ошибки и предупреждения, а затем выберите конкретные журналы событий, которые вы хотите просмотреть. Не выбирайте слишком много, хотя, потому что он просто не сработает.

После того, как вы выбрали то, что хотите в представлении, вам будет предложено указать пользовательское представление имени, а затем вы можете использовать его для просмотра только тех событий, которые вы отфильтровали. Это невероятно отличный способ справиться с массивными журналами, полными бессмысленных информационных событий.
После того, как вы выбрали то, что хотите в представлении, вам будет предложено указать пользовательское представление имени, а затем вы можете использовать его для просмотра только тех событий, которые вы отфильтровали. Это невероятно отличный способ справиться с массивными журналами, полными бессмысленных информационных событий.
Возможно, еще проще, конечно, просто использовать встроенное представление административных событий, которое отображает важные сообщения из каждого из основных журналов.
Возможно, еще проще, конечно, просто использовать встроенное представление административных событий, которое отображает важные сообщения из каждого из основных журналов.

Просмотрите журнал производительности Windows Diagnostics

Есть много интересных журналов, на которые нужно смотреть, когда вы устраняете неполадки, но один из самых интересных найден, просматривая папки в следующем месте:

Microsoft Windows Diagnostics-Performance

Это приводит к журналу событий, который показывает все то, что Windows регистрирует внутри себя для проверки производительности - если ваш компьютер загружается медленнее, чем обычно, Windows обычно имеет запись журнала для него и часто перечисляет компонент, который вызвал Windows загрузитесь медленнее.

Стоит отметить, что только потому, что сообщение показывает ошибку, это не значит, что это конец света, если он не появляется все время. Тогда вы можете подумать об этом.
Стоит отметить, что только потому, что сообщение показывает ошибку, это не значит, что это конец света, если он не появляется все время. Тогда вы можете подумать об этом.

Фиксирование этой ошибки с ранних

Интересно о событии на скриншоте ранее в этой статье? Если вы получите сообщение «Доступ к драйверам в Windows Update был заблокирован политикой», решение действительно прост.Откройте Панель управления, найдите «драйвер», а затем выберите «Изменить настройки установки устройства».
Интересно о событии на скриншоте ранее в этой статье? Если вы получите сообщение «Доступ к драйверам в Windows Update был заблокирован политикой», решение действительно прост.Откройте Панель управления, найдите «драйвер», а затем выберите «Изменить настройки установки устройства».
На следующем снимке экрана вы заметите, что на этом конкретном компьютере была установлена автоматическая загрузка драйверов устройств из Windows. Чтобы устранить проблему и сделать больше сообщений, отображаемых в средстве просмотра событий, все, что вам нужно сделать, это переключить переключатель на «Да, сделайте это автоматически».
На следующем снимке экрана вы заметите, что на этом конкретном компьютере была установлена автоматическая загрузка драйверов устройств из Windows. Чтобы устранить проблему и сделать больше сообщений, отображаемых в средстве просмотра событий, все, что вам нужно сделать, это переключить переключатель на «Да, сделайте это автоматически».
Ницца и просто. Проблема решена, предупреждающее сообщение разрешено.
Ницца и просто. Проблема решена, предупреждающее сообщение разрешено.

Прикрепление задач к событиям

Если вы обратили внимание на последний урок школы Geek, вы можете вспомнить, что вы можете создать триггер планировщика заданий по идентификатору события - и вы также можете сделать то же самое, что и в противном случае. Щелкните правой кнопкой мыши по любой задаче, и вы можете легко присоединить запланированную задачу для запуска всякий раз, когда происходит событие.

Image
Image

Другие функции, которые вам понадобятся

В Event Viewer есть несколько других функций, которые могут вас заинтересовать. Для большинства людей важно просто пройти список и знать, что искать.

Подписки, найденные в левом меню, - это функция, которая в основном используется в корпоративной среде для пересылки событий с одного сервера на другой, чтобы вы могли управлять ими в одном месте. Для этого необходимо, чтобы запускались коллекторы Windows Event Collector и Windows Remote Management. Для домашних пользователей вам не следует возиться с ним, кроме учебных целей вашей тестовой системы.

Рекомендуемые: