ШКОЛЬНАЯ НАВИГАЦИЯ
- Использование планировщика заданий для запуска процессов позже
- Использование средства просмотра событий для устранения неполадок
- Общие сведения о разделении жестких дисков с управлением дисками
- Обучение использованию редактора реестра Как и Pro
- Мониторинг вашего ПК с помощью монитора ресурсов и диспетчера задач
- Понимание расширенной панели свойств системы
- Понимание и управление службами Windows
- Использование редактора групповой политики для настройки вашего ПК
- Общие сведения об инструментах администрирования Windows
Самая большая проблема с Event Viewer заключается в том, что это может быть очень запутанным - есть много предупреждений, ошибок и информационных сообщений, и, не зная, что все это значит, вы можете предположить (неправильно), что ваш компьютер поврежден или заражен, когда есть ничего действительно неправильно.
Фактически, мошенники технической поддержки используют Event Viewer как часть своей тактики продаж, чтобы убедить запущенных пользователей в том, что их компьютер заражен вирусами. Они проходят через фильтрацию только с помощью критических ошибок, а затем удивляются тому, что все, что вы видите, являются критическими ошибками.
Изучение того, как использовать и понимать Event Viewer, является критическим навыком для выяснения того, что происходит с ПК, и устранения неполадок.
Понимание интерфейса
Когда вы впервые откроете Event Viewer, вы заметите, что он использует трехпанельную конфигурацию, как и многие другие административные инструменты в Windows, хотя в этом случае на самом деле имеется довольно много полезных инструментов с правой стороны.
На левой панели отображается вид папки, в котором вы можете найти все журналы событий, а также представления, которые можно настроить с помощью событий из многих журналов одновременно. Например, в представлении «Административные события» в последних версиях Windows отображаются все события «Ошибка», «Предупреждение» и «Критические», независимо от того, происходят ли они из журнала приложений или журнала системы.
На средней панели отображается список событий, и при нажатии на них будут отображаться детали в области предварительного просмотра - или вы можете дважды щелкнуть по любому из них, чтобы потянуть его в отдельном окне, что может быть удобно, когда вы просматриваете большой набор событий и хотите найти все важные вещи перед началом интернет-поиска.
Правая панель дает вам быстрый доступ к таким действиям, как создание пользовательских представлений, фильтрация или даже создание запланированной задачи на основе определенного события.
- Имя журнала - в то время как в более старых версиях Windows все было сбрасыто в журнал приложений или систем, в более современных изданиях есть десятки или сотни разных журналов на выбор. У каждого компонента Windows, скорее всего, будет свой собственный журнал.
- Источник - это имя программного обеспечения, которое генерирует событие журнала. Конечно, имя обычно не совпадает с именем файла, но это представление о том, какой компонент сделал это.
- Код события - очень важный идентификатор события на самом деле может быть немного запутанным. Если вы были в Google для «идентификатора события 122», который вы видите на следующем скриншоте, вы не получите очень полезную информацию, если вы также не включите источник или имя приложения. Это связано с тем, что каждое приложение может определять свои собственные уникальные идентификаторы событий.
- уровень - Это говорит о том, насколько серьезным является событие. Информация просто сообщает вам, что что-то изменилось или компонент запустился, или что-то завершилось. Предупреждение говорит вам, что что-то может пойти не так, но это еще не все так важно. Ошибка говорит вам, что что-то случилось, чего не должно было случиться, но это не всегда конец света. С другой стороны, критическое означает, что что-то где-то сломалось, и компонент, который вызвал это событие, вероятно, разбился.
- пользователь - в этом поле указывается, был ли это системный компонент или ваша учетная запись пользователя, которая выполняла процесс, вызвавший ошибку. Это может быть полезно при просмотре вещей.
- OpCode - это поле теоретически сообщает вам, какую активность приложение или компонент выполняет при запуске события. На практике, однако, он почти всегда будет говорить «Инфо» и довольно бесполезен.
- компьютер - на домашнем рабочем столе это, как правило, просто имя вашего ПК, но в мире ИТ вы можете пересылать события с одного компьютера или сервера на другой компьютер. Вы также можете подключить Event Viewer к другому ПК или серверу.
- Категория задачи - это поле не всегда используется, но в конечном итоге оно является информационным полем, которое сообщает вам немного больше информации о событии.
- Ключевые слова - это поле обычно не используется и обычно содержит бесполезную информацию.
Как правило, вы должны попробовать выполнить поиск по общему описанию, или идентификатору события и источнику, или комбинации этих значений.
Просто помните, что идентификатор события уникален … для каждого приложения. Таким образом, существует много перекрытий, и вы не можете просто искать «Event ID 122», потому что вы получите много ерунды.
Важная заметка: В журнале событий всегда будут ошибки и предупреждения, и вы не можете решить их все. Самое главное - использовать средство просмотра событий для устранения проблем, которые у вас уже есть, вместо того, чтобы пытаться найти проблемы, о которых вы еще не знаете.
И да, вам нужно будет использовать свои навыки Google для исследования событий, о которых вы не знаете. Нет простого магического решения.
Повторное отображение поискового запроса онлайн-события на самом деле
По какой-то причине, ссылка «Дополнительная информация: журнал событий онлайн-справки» просто плоская, не работает для нас, но, к счастью, есть большой взлом реестра, который вы можете использовать для устранения проблемы.
То, что мы собираемся сделать, это просто изменить URL-адрес перенаправления в реестре, чтобы указать на Google … кроме как из-за способа передачи аргументов, нам нужно указать его на промежуточную страницу, которая будет анализировать аргументы и сформируйте правильный URL-адрес поиска Google.
Для целей этой статьи мы размещаем страницу на нашем собственном сервере, и вы можете ее использовать. Если вы не хотите использовать наш сервер, в конце этого раздела перечислены одна строка кода PHP.
Чтобы внести это изменение, перейдите к следующему разделу реестра:
HKLMSoftwareMicrosoftWindows NTCurrentVersionEventViewer
Найдите значение MicrosoftRedirectionURL в правой части, а затем измените значение из значения по умолчанию, которое составляет https://go.microsoft.com/fwlink/events.asp, и вместо этого вставьте это значение:
https://www.howtogeek.com/eventid
Используя простой скрипт PHP, это то, что мы придумали для обработки перенаправления.
заголовок ('Местоположение: https://google.com/search?q=Event ID'. $ _GET ['EvtID']. ''. $ _GET ['EvtSrc']. ''. $ _GET ['ProdName'] );
Вы можете размещать то же самое на своем собственном сервере, если хотите, или можете использовать тот, который сидит на нашем сервере. Вам решать.
Остерегайтесь интернет-сайтов с помощью «Решений» для идентификатора события «Проблемы»
Существует множество веб-сайтов, которые автоматически генерируют страницы для каждого идентификатора события, а затем заполняют их бессмысленными. Это было бы прекрасно, за исключением многих из этих событий, нет никаких других хороших результатов.
Эти сайты затем предложит решить проблему, если вы просто загрузите часть программного обеспечения для вашего бесплатного анализа. Во всех случаях это будут реклама, а программное обеспечение «решение» - это мошенничество.
Нет ПО, который может решить все проблемы журнала событий.
Использование фильтров и пользовательских представлений
Вместо того, чтобы проходить через zillion папки пользовательских журналов событий и пытаясь найти все, что вы ищете, вы можете создать настраиваемое представление, отображающее только те события, которые вы хотите увидеть.
Для достижения наилучших результатов вам нужно будет фильтровать только определенные вещи, которые вы хотите увидеть - возможно, критические, ошибки и предупреждения, а затем выберите конкретные журналы событий, которые вы хотите просмотреть. Не выбирайте слишком много, хотя, потому что он просто не сработает.
Просмотрите журнал производительности Windows Diagnostics
Есть много интересных журналов, на которые нужно смотреть, когда вы устраняете неполадки, но один из самых интересных найден, просматривая папки в следующем месте:
Microsoft Windows Diagnostics-Performance
Это приводит к журналу событий, который показывает все то, что Windows регистрирует внутри себя для проверки производительности - если ваш компьютер загружается медленнее, чем обычно, Windows обычно имеет запись журнала для него и часто перечисляет компонент, который вызвал Windows загрузитесь медленнее.
Фиксирование этой ошибки с ранних
Прикрепление задач к событиям
Если вы обратили внимание на последний урок школы Geek, вы можете вспомнить, что вы можете создать триггер планировщика заданий по идентификатору события - и вы также можете сделать то же самое, что и в противном случае. Щелкните правой кнопкой мыши по любой задаче, и вы можете легко присоединить запланированную задачу для запуска всякий раз, когда происходит событие.
Другие функции, которые вам понадобятся
В Event Viewer есть несколько других функций, которые могут вас заинтересовать. Для большинства людей важно просто пройти список и знать, что искать.
Подписки, найденные в левом меню, - это функция, которая в основном используется в корпоративной среде для пересылки событий с одного сервера на другой, чтобы вы могли управлять ими в одном месте. Для этого необходимо, чтобы запускались коллекторы Windows Event Collector и Windows Remote Management. Для домашних пользователей вам не следует возиться с ним, кроме учебных целей вашей тестовой системы.