A Windows eseménynézőjének használatával megismerkedhet a programok által generált rendszerüzenetek és -folyamatok - hibák, tájékoztató üzenetek és figyelmeztetések - előzményeivel (naplójával). A szolgáltatásban szokásosan működő számítógépeken az összes hibáról üzenet jelenik meg.
A napló célja a számítógépen futó összes folyamat rögzítése. Az előzmények olyan üzeneteket tartalmaznak, amelyek az alkalmazások, illesztőprogramok működése során fordulnak elő. Ha időnként megnézi a naplót, akkor biztonsági hibákat azonosíthat, ami a szerverek szempontjából lényeges.
A Windows Event Viewer segít figyelemmel kísérni a számítógép állapotát, lehetővé teszi a hibák okainak kiderítését. Amikor a számítógép anélkül fut látható problémák, akkor a megjelenő hibák nem annyira fontosak. Leggyakrabban bizonyos alkalmazások hibáival kapcsolatos hibák jelennek meg ott. Már egyetlen bekapcsolással is rég megtörténhettek volna.
Figyelmeztetések kb rendszerhibák az adminisztrátornak fontosak, nem pedig hétköznapi felhasználó. Hasznosak a szerverbeállításokkal kapcsolatos problémák megoldásában.
Ehhez meg kell nyomnia a "Win + R" gombok kombinációját. Megnyílik a "Futtatás" ablak, írja be az "eventvwr.msc" értéket a keresősávba. Ezután nyomja meg az "Enter" billentyűt.
Megnyomás után Jobb klikk Kattintson a Start menü gombra a helyi menü megjelenítéséhez. A "Vezérlőpult" elemre kell kattintania. A megnyíló ablakban válassza az "Adminisztráció" részt. 
Ezután válassza ki a megfelelő elemet. A folyamatokat különböző kategóriákra osztják. Ez az alkalmazásnapló, amely az összes üzenetet mutatja telepített programokat. A Windows naplója megjelenik rendszerfolyamatok operációs rendszer. 
Az ablak bal oldalán egy kiterjesztett menü található. A számítógépen előforduló összes hiba megismeréséhez kattintson a vonallal szemben lévő kis háromszögre " Windows naplók". Ezután válassza a "Rendszer" lehetőséget. 
Minden hiba megjelenik a felső ablakban. A piros pontok többet jeleznek jelentős kérdéseket, sárga háromszögek figyelmeztetnek. A hibák kiváltó okai az alsó ablakban láthatók. 
Van egy másik legegyszerűbb és legrövidebb módja az eseménynapló elérésének. Ehhez jobb gombbal kell kattintani a Start menü ikonjára. Használhatja a "Win + X" billentyűparancsot is. A helyi menüben válassza ki az "Eseménynéző" elemet.
Ez Windows segédprogram hasznos lehet a számítógéppel kapcsolatos különféle problémák esetén. Például amikor a halál kék képernyője valahogy megtörténik. A naplót megnézve megtalálhatja ezeknek az eseményeknek az okát.
A hiba megmutathatja az illesztőprogramot, hogy melyik berendezés váltotta ki a következő parancsok végrehajtásának megsértését. Olyan hibát kell találnia, amely a számítógép újraindításával, a számítógép lefagyásával vagy a kék képernyő megjelenésével egyidejűleg jelentkezik. Ez a hiba kritikusként lesz megjelölve.
Ha egy szerver található a számítógépen, akkor engedélyezhető az eseményrögzítés, amely rögzíti a leállásokat és az újraindításokat bármikor. A felhasználónak meg kell adnia az ilyen folyamat elindításának pontos okát. Később lehetőség nyílik minden leállással és újraindítással megismerkedni, valamint megtudni az esemény bevitt okát. 
A napló megtekintése a Feladatütemező segédprogrammal együtt használható. Ehhez kattintson a jobb gombbal bármelyik eseményre. Válassza a „Feladat összekapcsolása eseményhez” lehetőséget. Amikor egy adott esemény végrehajtásra kerül, az operációs rendszer elkezdi végrehajtani a megadott feladatot.
A napló törléséhez kattintson a jobb gombbal a Start menüre. A megnyíló helyi menüben válassza a "Parancssor (Rendszergazda)" lehetőséget. A keresősávba írja be a "for / F "tokens = *" %1 értéket ('wevtutil.exe el') DO wevtutil.exe cl "%1"". Egy kis várakozás után a rönkök teljesen kiürülnek.
A tisztítás a PowerShell nevű segédprogrammal végezhető el. Ehhez rendszergazdaként kell futtatnia a segédprogramot. Ezután írja be a "wevtutil el | Foreach-Object (wevtutil cl "$_")". Ezután nyomja meg az "Enter" gombot. 
Valószínűleg hiba jelenik meg a folyamat végén, de ez normális, és nem jelent semmi szörnyűséget. Ez kiüríti az eseménynaplót.
Eseménynéző - eseménynéző.
Ha valami történik a Windows rendszerben, azt szinte mindig rögzítik rendszermeghajtó. Mint előző verziók, Windows 10 áruházak nagyszámú naplókat a tevékenységükről. Erre elsősorban az informatikai szakembereknek és a műszaki támogatásnak van szüksége, akik hibaelhárításra vagy egy adott összetevő működésének megértésére használják őket.
A naplók tartalmának megtekintéséhez a Windows 10 használja legújabb verzió beépített eseménynézegető. A legtöbb ember csak enyhén érintette ezt a hihetetlenül hatékony hibaelhárító eszközt. Általában egyetlen számítógépen felmerülő problémák felderítésére használják, de az informatikai szakemberek könnyen csatlakozhatnak egy távoli számítógéphez anélkül, hogy elhagynák az ügyfélszolgálatot a hibaelhárításhoz. Az eseménynaplókban az információk megtalálása eltart egy ideig, és az események megfelelő értelmezése nehézkes lehet.
Próbáljuk megérteni az Eseménynéző néhány rejtett erejét.
Bár az Eseménynaplót elindíthatja a Vezérlőpultba való beleásva, a konzol megnyitásának legegyszerűbb módja, ha beírja az esemény/események kifejezést a keresőmezőbe, majd kattintson az Eseménynapló parancsikonjára a keresési eredménylista tetején. Alternatív lehetőség kattintson a jobb gombbal a Start ikonra (vagy nyomja meg a Windows billentyű + X billentyűt), majd válassza ki az Eseménynaplót a gyorshivatkozások menüből. Ha a teljes parancsnevet szeretné, írja be az eventvwr.exe vagy az eventvwr.msc parancsot a Futtatás mezőbe vagy bármely parancssorba.
Ha az .msc fájlnévkiterjesztés nem magyarázza meg, hogy ez az alkalmazás Microsoft Management Console (MMC) beépülő modult használ, a főablaknak el kell oszlatnia minden kétséget. Az alapértelmezett nézet három panelből álló ismerős elrendezést kínál. A bal oldali ablaktáblában egy navigációs favezérlővel, a jobb oldalon a műveletekkel, középen pedig a legutóbbi események hasznos összefoglalásával.
Ez az áttekintő és összefoglaló oldal az események megtekintésének kiindulópontja. Összecsukható nézetet kínál a közelmúltbeli eseményekről, súlyosság szerint kategorizálva.
Amikor megnyitja az Eseménynaplót, a bal oldali navigációs sáv összecsukódik, és a (helyi) Eseménynapló csomópont ki van választva felül. Az adminisztratív események összefoglaló képe a központban található.
Mint sok testvérük az eszközökben Windows Adminisztráció Az Event Viewer csatlakozhat egy távoli számítógéphez, így a rendszergazda megtekintheti és kezelheti az eseménynaplókat anélkül, hogy elhagyná az irodáját.
Válassza ki a műveletet – csatlakozzon másik számítógéphez egy párbeszédpanel megnyitásához, ahol megadhatja a számítógép nevét vagy IP-címét. (Az eszközt ehhez a funkcióhoz is használhatja. parancs sor Wevtutil.) Lépésről lépésre utasítások lásd a TechNet „Eseménynaplók használata távoli számítógépen” című cikket https://technet.microsoft.com/library/cc766438.aspx.
Ha a rendszer hibátlanul működik is, érdemes minél gyakrabban ellenőrizni az adminisztrációs események összesítését. Az itt látható naplóbejegyzések hat kategóriába sorolhatók, amelyek fontossági sorrendben vannak felsorolva:
Kritikus. Az ilyen típusú események egy alkalmazás vagy az operációs rendszer egy részének meghibásodását jelzik, amely nem javítható automatikusan. Itt jelennek meg a STOP hibák (pl kék képernyő halál). Minden ebben a kategóriában megjelenő esemény alapos hibaelhárítást érdemel.
Hiba. Az itt felsorolt problémák jellemzően egy olyan alkalmazás vagy operációs rendszer egy részének működését érintik, amely esetleg nem helyreállítható. Egyes hibák ártalmatlanok, és nyugodtan figyelmen kívül hagyhatók, míg mások a hardver-illesztőprogramok vagy a perifériák hibáit jelzik, amelyeket érdemes megvizsgálni.
Figyelmeztetés. Ezek az események általában nem súlyosak, de átmeneti problémák jelei lehetnek (pl internetkapcsolat) vagy konfigurációs problémák.
Információ. Az ebbe a kategóriába tartozó bejegyzések általában állapotjelentések. Például itt talál jelentéseket a kliens sikeres telepítéseiről Windows Update. Általában ezekre az eseményekre válaszul nincs szükség semmilyen lépésre.
Sikeres ellenőrzés és Sikertelen ellenőrzés. Ezek az adatok a biztonsági naplókból származnak, és jelzik, hogy a felhasználói jog érvényesült-e vagy sem. Kevés érdeklődést mutat a hibaelhárítás. Bár ez érdekes lehet a professzionális biztonsági megfigyelés szokatlan tevékenységét ebből a felhasználói fiókból.
A Windows több naplóból állítja össze az eseményeket: Windows naplók (alkalmazások, biztonság és rendszer). Események a teljes operációs rendszerből; telepítési naplók, alkalmazás- és szolgáltatásnaplók, amelyek egyetlen alkalmazásból vagy operációs rendszer-összetevőből származó eseményeket tárolnak.
Az összefoglaló ezen események közül a legfontosabbakat egyetlen nézetben egyesíti, ahol az egyes szakaszokat összecsukhatja vagy kibonthatja a további részletek megtekintéséhez. Az alábbi képen a „Hibák” címsor bal oldalán található pluszjelre kattintva kibontható, és megjelenik az adott kategóriába tartozó események teljes listája. (A lista kibontásakor egy mínuszjel jelenik meg a mezőben, amelyre kattintva ismét összecsukhatja a kategóriát.)
Az adminisztrációs események összesítésében bármely kategória kibontható, és részletes, eseményazonosító szerint rendezett összeomlási adatok láthatók.
Az összefoglaló adminisztrációs események szakasz minden sora alapvető információkat tartalmaz az adott csoportról: az eseményazonosítót (egy numerikus kódot, amellyel műszaki részleteket és hibaelhárítási tippeket találhat), az esemény forrását és azt, hogy melyik naplóból származott az esemény. A jobb oldalon található általános információk három oszlopra oszlanak, és azt mutatják, hogy hányszor történt az adott kategóriába tartozó esemény az elmúlt órában, az elmúlt 24 órában és a múlt héten.
Bármely sorra duplán kattintva megnyílik az adott kategóriába tartozó események összesítése. Az eseményösszefoglaló oldalon van egy előre beállított nézet, amely automatikusan generálódik, és sokkal részletesebb információkat tartalmaz (beleértve a dátumot és az időt is) a listában szereplő egyes eseményekről. Az alábbi ábra például a Windows 10 számítógép DeviceSetupManager elindítása után generált események teljes listáját mutatja.
Ha duplán kattint az adminisztrációs összesítés bármely bejegyzésére, akkor egy részletes lista, teljes információ jön létre, amely alapján megállapíthatja, hogy a hiba több figyelmet igényel-e.
Ez a példa egyértelművé teszi, hogy a DeviceSetupManager esemény forrása nem a várt módon fut. Ebben a listában láthatja, hogy az összes hiba néhány másodpercen belül történt egymás után. Érdemes aggódni? Amint az ábrán is látható, a listában kiválasztott bejegyzés az Eseménynapló alján lévő előnézeti területen megjeleníti annak részleteit. A nyílbillentyűkkel felfelé és lefelé mozoghat a listában, hogy gyorsan képet kapjon a gyakori hibákról.
Ebben az esetben használhatja a listából származó adatokat, különösen a DeviceSetupManager 131-es eseményazonosítóját, hogy további információés annak megerősítése, hogy a hibák, bár gyakoriságukat tekintve bosszantóak, nem voltak súlyosak, és valószínűleg a hálózat másik végén lévő, Öntől független probléma okozta.
Töltsön elegendő időt az Eseménynaplóban, és a listák tele vannak hibaüzenetekkel, amelyek nem jeleznek valódi problémákat. Néha a "hibák" egy olyan alkalmazás szokásos következményei, amelyek nem biztosítanak a Windowsnak eseménykódokat az üzenet állapotához. Ennek eredményeként egy egyszerű megerősítés, például a licencellenőrzés hibává válhat, mert nem található az eseménynek megfelelő azonosító leírás. Nagyon csábító lehet minden egyes eseménynézői üzenetet megfejtendő rejtélyként kezelni, de a teljesítmény érdekében gyakran ugyanolyan hasznos tudni, mikor kell figyelmen kívül hagyni ezeket az eseményeket.
A következő ábra egy másik forrásból, egy DHCPv6-ügyfélből származó hibát mutatja. Ebben az esetben a hiba részletei segítenek meghatározni az okozott problémát rossz beállítás DHCP szerver a helyi hálózaton.
Az esemény összefoglalója alatti megtekintési területen a kiválasztott esemény részletei láthatók. Az Általános lap általában az esemény ember által olvasható összefoglalását tartalmazza.
Ebben a nézetablakban két fül látható. Az Általános fül (általában) tartalmazza a hiba egyértelmű leírását ill Közlemény. Kattintson a Részletek fülre, ha két további nézet közül szeretne választani – a részletek megjelenítése formázott listában vagy a részletek megjelenítése XML formátumban.
Bármely eseményre duplán kattintva megtekintheti saját ablak, az Általános és a Részletek lappal. (Ha egy eseményt ablakban tekint meg, a fel/le/jobb nyilakkal görgetheti a bejegyzéseket. Az alul található Másolás gombbal mentheti az eseménytulajdonságok teljes készletét a Windows vágólapjára.)
Egy esemény saját ablakában történő megnyitása ugyanazokat a nézeteket biztosítja, mint a nézetablakban. A Másolás gomb a vágólapra menti az esemény részleteit.
Az Eseménynéző bal oldalán található navigációs ablak több csomópontot tartalmaz, amelyek kezdetben mindegyik össze volt csukva. Telepítéskor alapértelmezés szerint úgy kell kinézniük, mint az alábbi képen.
Kibonthatja a navigációs ablakot, és megtekintheti az eseménynapló-csoport teljes tartalmát. Bontsa ki az ablak címét (a lista alján), ha több száz szakfolyóiratot szeretne látni.
Harmadik féltől származó alkalmazások saját eseményeik nyomon követéséhez adjon hozzá bejegyzéseket az „Alkalmazás- és szolgáltatásnaplók” szakaszhoz. A Nézet menü opció kiválasztásával kibővítheti ezt a listát az analitikai naplózás és a hibakeresés naplózásával. De ezek a naplók technikailag összetettek, és nem használják általános hibaelhárításra.
Az ábrán észreveheti, hogy az ablak címe nincs kibontva (a Microsoft alatt az Alkalmazások és szolgáltatások naplói csoportban). Ennek az az oka, hogy ez a nézet valóban hatalmas listát tár fel, amely több száz naplót tartalmaz, amelyek a Windows operációs rendszer egyes részeit fedik le. (Még az MSPaint-nek is van saját eseménynaplója)! Ezeknek a bejegyzéseknek a felsorolása több oldalt venne igénybe, aminek nem sok haszna van.
A legtöbb esetben nyugodtan figyelmen kívül hagyhatja ezeket a naplókat. Ezek közül sokat ki kell kapcsolni, és üresen kell hagyni a számítógép élettartama alatt. Néhány érdekes teljesítmény-diagnosztikai bejegyzés található a működési naplóban, amely minden indításkor és leálláskor rögzíti az eseményeket. Ennek akkor van értelme, ha egy művelet a szokásosnál tovább tart, és fel szeretné gyorsítani. (Az áttekintő oldal alján található összesítő napló hasznosabb hely, mint a történtek naplóinak felsorolása.)
Az összefoglaló nézettől eltérően az egyes naplókban lévő események listája nincs besorolva. Ehelyett dátum szerint jelenik meg. Ahogy minden más esetében is táblázatos listák Windows 10 rendszerben bármelyik oszlopfejlécre kattinthat, és az adott oszlop szerint rendezheti. Ezenkívül a lista bármely kiválasztott címsor szerint csoportosítható. Kattintson a jobb gombbal bármelyik címsorra a "Csoportosítás..." menü megjelenítéséhez. Kattintson a jobb gombbal a "Szint", majd válassza ki az "Eseménycsoport ebben az oszlopban" az ábrán látható módon, és helyezze át az ebbe a csoportba hibaként besorolt eseményeket a kritikus csoport alá, de a figyelmeztető csoport fölé.
Ahogy korábban említettük, az alapértelmezett rendezési sorrend az oszlop dátum és idő szerint. Ha csak böngészi a listát, és potenciális problémát keres, rendezheti az eseményazonosító szerint. Ehhez nem kell megnyitnia a menüt. Kattintson duplán az „Eseményazonosító” oszlop fejlécére.
Ezenkívül a fejlécek egyszerű húzásával módosíthatja az oszlopok szélességét vagy helyzetét. (Ez a folyamat hasonló a részletes nézet beállításához az Intézőben.)
Az alapértelmezett eseménynapló nézet öt oszlopot tartalmaz. Egyes speciális feladatokhoz oszlopok adhatók hozzá vagy eltávolíthatók. Például, ha több számítógépről mentett naplókat, hozzáadhat egy "Számítógép" oszlopot, így azonnal láthatja azt a számítógépet, amelyen az esemény létrejött. Ehhez kattintson a jobb gombbal bármelyik oszlopfejlécre, és válassza az "Oszlopok hozzáadása vagy eltávolítása" lehetőséget. Megnyílik egy párbeszédpanel, amelyben a bal oldalon kiválaszthat egy oszlopot, és kattintson a "Hozzáadás" gombra. (A módosítások visszavonásához válassza ki az oszlop nevét a jobb oldalon, és kattintson a Törlés gombra. Vagy az összes beállítás eltávolításához használja az Alapértelmezések visszaállítása lehetőséget.)
Mint a fájlkezelő, ennek a párbeszédpanelnek a használatával oszlopmegjelenítést adhat hozzá az eseménynézegetőhöz.
A jobb oldalon található műveletsor környezetérzékeny, így a látható lehetőségek az aktuális kijelöléstől függenek. A felső részben lévő műveletek az éppen megnyitott történetre vagy nézetre vonatkoznak. Ha egy vagy több esemény van kiválasztva, az ezekhez az eseményekhez tartozó műveletek alul érhetők el. Az alábbiakban egy tipikus műveletsor látható, beleértve a kiválasztott események táblázatos formátumba másolásának lehetőségeit.
A "Műveletek" panel tartalma környezetfüggő, az alsó csoport csak egy vagy több esemény kijelölése esetén látható.
A Windows eseménynaplóiban található információ mennyisége elsöprő lehet. A szűrő létrehozása lehetővé teszi, hogy a szükséges információkra összpontosítson.
Szűrők - gyors út távolítsa el a felesleges "szemetet" az eseménynaplóból. A szükséges információk gyors megtalálása érdekében elmentheti a szűrőt egyéni nézetként.
Szűrő létrehozásához az aktuális naplóhoz kattintson a Műveletek panelen az Aktuális napló szűrése gombra. Ha egyéni nézetben van, akkor a megfelelő szűrőbeállítás a „Jelenlegi egyéni nézet”. (De vegye figyelembe, hogy nem választhat beépített egyéni nézetet, beleértve az Eseményösszefoglaló oldalt sem.) Amint az alábbi ábrán látható, csak az elmúlt hét napban rögzített teljesítménydiagnosztikai naplóesemények jelennek meg. És csak a kritikus vagy figyelmeztető kategóriából, és 100-as eseményazonosítóval.
Ez a szűrő nullázza az eseményeket egy adott eseményazonosítóval és eseményszinttel egy adott időszakban, és meghatározza a pontos információkat egy hosszú listából, amely több száz nem kapcsolódó bejegyzést tartalmaz.
Miért 100 az eseményazonosító? Mert ez az akkori azonosító Windows indítás. A 101-es eseményazonosító az alkalmazások kezdési idejéhez van társítva, a 200 pedig a befejezési időpontot határozza meg Windows működik. Ezzel a szűrővel gyorsan ellenőrizheti, mennyi ideig tartott a Windowsnak az indítási folyamat befejezése minden egyes indításnál az elmúlt héten.
Ha egy szűrőt úgy szeretne újra felhasználni, hogy közben nem kell átmennie a beállítások újbóli létrehozásának unalmas lépéseinek, mentse el egyéni nézetként.
Az Eseménynézővel szavakat vagy értékeket is találhat az aktuális naplóban vagy nézetben. A Műveletek panelen kattintson a Keresés gombra, vagy használja az intuitív Ctrl+F billentyűparancsot egy egyszerű keresőmező megnyitásához. Írjon be egy tetszőleges szöveget, hogy megkeresse az adott szöveget tartalmazó következő eseményt bármely területen.
Írjon be szöveget a mezőbe, majd kattintson a "Következő keresése" gombra, hogy megkeresse a következő eseményt, amely ezt a szöveget tartalmazza bármely területen, beleértve a forrást és a leírást.
A szűrők nagyszerűek a minták megtalálásához az eseménynaplóban. A szűrő létrehozásának folyamata azonban kissé fárasztó lehet. Mentse el az újra használni kívánt szűrő beállításait egyéni nézetként.
Miután alkalmazta a szűrőt az aktuális történetre vagy egyéni nézetre, a Műveleti ablakban kattintson a Szűrő mentése egyéni nézetbe gombra. Megnyílik egy párbeszédpanel, ahol megadhatja a nevét és leírását. (Ez a példa a korábban bemutatott szűrőbeállításokat használja.)
Amikor egy szűrőt egyéni nézetként ment, az megjelenik az egyéni nézetek csomópontjában. Ha sok mentett nézettel rendelkezik, almappákat adhat hozzá.
Alapértelmezés szerint az Eseménynaplóban létrehozott egyéni nézetek az aktuális számítógép összes felhasználója számára elérhetők. Ha egy egyéni nézetet csak saját használatra szeretne lefoglalni, törölje a Minden felhasználó jelölőnégyzet jelölését.
Ha egy szűrőt futtat egy meglévő napló megtekintéséhez, vagy megnyit egy korábban mentett egyéni nézetet, a terület automatikusan a naplómezőre kerül, és nem módosítható. A nagyobb rugalmasság érdekében a Műveletek területen válassza az "Egyéni nézet létrehozása" parancsot, és hozzon létre egy új egyéni nézetet teljesen a semmiből. Ebben az opcióban az elérhető források teljes listájából, beleértve azokat is, amelyekben még nincs rögzített esemény, kiválaszthatja a kívánt forrást. A szűrési lehetőségek minden lényeges vonatkozásban megegyeznek.
Egyéni nézet elölről történő létrehozásakor a Forrásokból opcióval megadhatja azokat a forrásokat, amelyekben jelenleg nincsenek események.
Ha egyéni nézeteket hozott létre ugyanazon a gépen, könnyedén mentheti azokat XML formátumban, és importálhatja őket különféle eszközök Windows 10 alatt. A műveletsoron válassza az „Egyéni nézet exportálása és a beállítások mentése másként XML fájl A célszámítógépen nyissa meg az Eseménynaplót, majd ismét a műveletsoron válassza az „Egyéni nézet importálása” lehetőséget, és tallózással keresse meg a korábban elmentett fájlt.
Bár a beépített adminisztrációs eseménynézetet (az áttekintő és az összefoglaló oldalak információforrását) nem szűrheti, másolatot készíthet erről a nézetről, majd szűrheti a másolatot. A navigációs ablakban az Egyéni nézetek csoportban válassza az Adminisztrációs események lehetőséget (ha nem láthatók, újra kell indítania az Eseménynaplót a Futtatás rendszergazdaként opcióval). Ezután a Műveletek panelen válassza az Egyéni nézet másolása lehetőséget. Adjon egyedi nevet a másolatnak, majd válassza ki az egyéni nézetek listájából az imént létrehozott másolatot. Most már alkalmazhat szűrőket, és mentheti az eredményeket egyéni nézetként.
Szűrőkkel és egyéni nézetekkel megtekintheti, hogy az Eseménynéző mit rögzített a közelmúltban. De minden eseménynaplónak megvan a saját beépített méretkorlátja. Vagyis a régebbi események törölhetők. Hosszú távú kiértékelésekhez elmentheti egy adott folyóirat vagy nézet tényleges tartalmát, hogy később áttekinthesse annak tartalmát.
Az aktuális napló teljes tartalmának mentéséhez válassza az "Összes esemény mentése másként..." lehetőséget.
Az összes tartalom mentéséhez az aktuális egyéni nézetben válassza az Összes egyéni nézeti esemény mentése másként... lehetőséget.
Csak a kiválasztott napló- vagy egyéni nézetesemények mentéséhez válassza a Kijelölt események mentése lehetőséget (a műveleti ablak alsó csoportjában).
Az alapértelmezett fájltípus minden eseményfájl-művelethez, .evtx kiterjesztéssel. Ha ilyen formátumban mentünk el egy fájlt, akkor az Eseménynaplóval nyitható meg, ahol a „Mentett naplók” címszó alatt megjelenik a tartalma. Amikor megnyit egy fájlt, a rendszer felkéri, hogy adjon nevet neki. Ezt a nevet megváltoztathatja (és megtekintheti, hogy mikor készült a fájl), ha jobb gombbal kattintson a „Megőrzött naplók” címsor alatti bejegyzésre.
Bármely naplófájl vagy egyéni nézet tartalmát mentheti, és később megnyithatja a pillanatképet. A Mentett naplók részben kattintson a jobb gombbal a bejegyzésre, majd kattintson a Tulajdonságok gombra a részletek megtekintéséhez.
Bármely egyéni nézet vagy mentett napló helyi menüje tartalmaz egy „Törlés” opciót, amellyel eltávolítható a bejegyzés a navigációs sávról. Egyéni nézet esetén ez az opció teljesen törli a mentett beállításokat. Mentett napló esetén az .evtx fájl ott marad, ahol hagyta, így bármikor megnyithatja.
Ha szűrőt alkalmazott egy történetre vagy egyéni nézetre, törölheti azt a Műveletek panel Szűrő törlése parancsával.
Amikor egy naplót olvas (szemben az egyéni nézetekkel), a műveleti sávban látni fog néhányat további parancsok. "Napló törlése" - eltávolítja az összes mentett bejegyzést az aktuális naplóból. Használja ezt a parancsot óvatosan, különösen akkor, ha a teljes rendszer naplóit tekinti meg. A „napló letiltása” opció elérhető az egyes alkalmazások és szolgáltatások naplóihoz (beleértve a harmadik féltől származó bővítményeket és a Microsoft / Windows címszó alattiakat). Általában nem kell ezt megnyomni.
Ha azt gyanítja, hogy valaki az iroda munkatársai közül bejelentkezik a fiókjába, vagy bizalmas információkat (jelszavakat, fényképeket stb.) vesztett el, akkor ez a cikk Önnek szól.
Bármely operációs rendszer, legyen szó a legújabb 10-es vagy 8.1-es verzióról, vagy a régiekről, mint az XP és 7, egy speciális szolgáltatás a rendszerben végzett műveletek vezérléséért felelős. Egyszerűen fogalmazva, ez egy számítógépes napló, amely tartalmazza a felhasználó és a szoftver által végrehajtott összes műveletet.
Természetesen beállíthat jelszót egy fiókhoz, de sokan egyszerűen túl lusták ehhez. Korábban már elmondtam, hogyan kell jelszót beállítani. De most megnézzük, mi történik a rendszernaplókban.
A Számítógép-kezelés alkalmazás elindítása többféleképpen lehetséges:
1. Kattintson jobb gombbal a Sajátgép ikonra, majd válassza a "Kezelés" lehetőséget.
2. Lépjen a vezérlőpultra a Start gomb vagy a Sajátgép menüből, majd a „Rendszer és biztonság” részben válassza az „Eseménynapló megtekintése” részt.
A "Számítógép-kezelés" alkalmazás elindítása után ki kell választanunk az Eseménynaplózó-> Windows-naplók-> Rendszer részt.
És itt, az alkalmazás jobb oldalán keresünk egy sort a "Kernel General" forrással, ő felelős a számítógép elindításáért és leállításáért. Ha kétszer rákattint erre a sorra, láthatjuk az esemény részleteit.
És ha kicsit feljebb nézi a vonalat, látni fogjuk, hogy a számítógép a megadott időpontban bekapcsol.
A naplóban láthatja a felhasználó minden tevékenységét, valamint az operációs rendszer és az alkalmazások hibáit. Általában mindenki találhat magának valami érdekeset.
Például a Biztonság lapon sokkal könnyebb megtalálni a számítógép be- és kikapcsolását.
A Telepítés lapon megtekintheti a programok vagy a Windows frissítések telepítése során fellépő hibákat.
Ezentúl mindenről tudni fog, ami a számítógépén történik, és ha más személyek behatolásának gyanúja merül fel, állítsa be a jelszót fiókot. Kifejezetten ehhez készítettem egy oktatóvideót, lásd alább.
Figyelem, hosszú és aprólékos problémaleírás!!!
Azonnal meg kell mondanom, hogy mindent átnéztem, ami lehetséges, a Google-ban és a Yandexben. A helyzet a következő: a Windows Event Log szolgáltatás a Windows 10 (Corporate version) rendszerben egyáltalán nem akar elindulni. Ha manuálisan indítjuk a "Vezérlőpult" -> "Felügyeleti eszközök" -> "Szolgáltatások" menüpontban, a következőket látjuk:
A helyzet az, hogy a "Számítógép-kezelésben" van "Eseménynéző", amely, mint világossá vált számomra, a "Windows Eseménynapló" szolgáltatást használja. Az eseménynézegető elérésekor a következő jelenik meg: 
Ez logikus, a szolgáltatás nem indul el. Elkezdtem mélyen ásni, találtam különböző információk. Az alábbiakban leírom mit csináltam: 
Kínom eredménye egy álmatlan éjszaka, és nincs eredmény! A probléma továbbra is ugyanaz!
P.S.: Mindez a számítógépre történő telepítés miatt indult Microsoft Office 2007, amely kifejezetten rámutatott az írási engedélyek problémájára a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog útvonalon, és szinte minden almappa van, amely nem nyílik meg ugyanazzal az ítélettel: 
Miután már kipróbáltam a Microsoft Office 2016-ot, azt sem akarja telepíteni. Elkeseredettségemben még odáig mentem, hogy letöltöttem az Office hordozható verzióját, ezért azt mondta, hogy a services.exe 0x0000007e hibát ad (eléggé gyakori hiba, de tekintettel arra, hogy korábban tanultam a naplószolgáltatás elindításáról, úgy gondolom, hogy a hordozható iroda is bemászik a Windows naplójába.
Fú, elolvastad? :) Na, kérlek segítsetek, javasoljatok, lehet, hogy valamit rosszul csináltam?? Nem tudom, mit csináljak még, pedig tényleg el lehet venni és lerombolni az első tízet, telepíteni a Windows 7-et...
UPD: Külön gondolkodtam azon, hogy lehet-e fiókot bejegyezni HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog visszaállítás/visszaállítás alapértelmezésre? Például a szolgáltatási beállítások állapota, mint egy frissen telepített operációs rendszerben. Vannak sürgősségi módszerek?
Üdvözlök mindenkit, a téma a Windows naplók megtekintése. Szerintem mindenki tudja, mi az a log, de ha hirtelen kezdő vagy, akkor a naplók olyan rendszeresemények, amelyek mind a Windows, mind a Linux operációs rendszerében előfordulnak, amelyek segítenek nyomon követni, hogy mi, hol és mikor történt és ki csinálta. Bármi Rendszergazda tudnia kell olvasni a Windows naplóit.
Példa az életből az a helyzet, amikor az egyik IBM szerveren egy lemez meghibásodott és a technikai támogatás Szervernaplókat gyűjtöttem, hogy diagnosztizálhassák a problémát. Az Event Viewer szolgáltatás felelős a naplók összegyűjtéséért és javításáért a Windows rendszerben. Az Event Viewer egy praktikus eszköz a rendszernaplók lekéréséhez.
Az Eseménynéző beépülő modulba nagyon egyszerűen beléphet, bármelyikhez megfelelő Windows verziók. Nyomja meg a varázsgombokat
Win+R, és írja be az eventvwr.msc parancsot
Megnyílik egy előnézeti ablak windows események amelyben ki kell bontani a Windows Logs elemet. Nézzük át az egyes magazinokat.
Napló Olyan alkalmazás, amely a számítógépén lévő programokkal kapcsolatos bejegyzéseket tartalmazza. A napló a program indításakor íródik, ha hibával indult, akkor ez itt is megjelenik.
Az auditnaplóra azért van szükség, hogy megértsük, ki mit és mikor csinált. Például bejelentkezett vagy kijelentkezett, hozzáférést próbált elérni. Az összes siker vagy kudarc auditja ide van írva.
A Telepítés elem, amely Windows naplókat ír arról, hogy mi volt telepítve és mikor, például programok vagy frissítések.
A legfontosabb folyóirat a rendszer. Itt minden szükséges és legfontosabb dolog le van írva. Például a bsod kék képernyője volt, és az itt naplózott üzenetadatok segítenek meghatározni az okát.
Vannak Windows naplók is olyan speciális szolgáltatásokhoz, mint a DHCP vagy a DNS. Az események megtekintése mindent vág :).
Tegyük fel, hogy több mint egymillió esemény van a Biztonsági naplóban, valószínűleg azonnal felteszi a kérdést, hogy van-e szűrés, mivel mindegyik megtekintése mazochizmus. Az eseménynézőben ez biztosított volt, a windows logok kényelmesen kiszűrhetők, csak a szükséges marad meg. A jobb oldalon a Műveletek területen található az aktuális napló szűrése gomb.
Meg kell adnia az esemény szintjét:
Minden a keresési feladattól függ, ha hibát keres, akkor nincs értelme más típusú üzeneteknek. Továbbá az eseménynéző keresés határainak szűkítése érdekében megadhatja a kívánt eseményforrást és kódot.
Szóval, mint látod, a windows naplók elemzése nagyon egyszerű, keresünk, találunk, megoldunk. Hasznos lehet a Windows naplók gyors törlése is:
Furcsa lenne, ha a PowerShell nem tudná, hogyan kell ezt megtenni, a naplófájlok megjelenítéséhez nyissa meg a PowerShellt, és írja be a következő parancsot
Get-EventLog - Logname "Rendszer"
Ennek eredményeként megjelenik a rendszernapló-naplók listája
Ugyanez megtehető más magazinokkal, például az Alkalmazásokkal
Get-EventLog - Naplónév "Alkalmazás"
a rövidítések kis listája
Például annak érdekében, hogy a parancshéjban csak a "Szint", "Esemény rögzítési dátuma", "Forrás", "Eseménykód", "Kategória" és "Eseményüzenet" oszlopokkal jelenjenek meg események a "Rendszer" naplóban, hajtsd végre a parancsot:
Get-EventLog -LogName 'Rendszer' | Format-Table EntryType, TimeWritten, Forrás, Eseményazonosító, Kategória, Üzenet
Ha részletesebben kell megjelenítenie, cserélje ki a Format-Table-t a Format-List-re
Get-EventLog -LogName 'Rendszer' | Formátum-lista bejegyzés típusa, írott idő, forrás, eseményazonosító, kategória, üzenet
Mint látható, a formátum már olvashatóbb.
Szűrheti is a naplókat, például megjelenítheti az utolsó 20 üzenetet
Get-EventLog - Naplónév "Rendszer" - Legújabb 20
Az események gyűjtését automatizálhatja is olyan eszközökkel, mint például:
Így Ön dönti el, hogy az eseménynézegetőt vagy a PowerShell for Windows eseménynézegetőt használja, ez csak Önön múlik. Az oldal anyaga
Nem is olyan régen, a megjelent Windows Server 2019 operációs rendszerben megjelent a Windows Admin Center távoli adminisztrációs összetevője. Lehetővé teszi a végrehajtást távirányító számítógépet vagy szervert, már részletesebben is elmondtam neki. Itt ezt szeretném megmutatni azzal, hogy magamra helyezem munkaállomás kapcsolódhat egy böngészőből más számítógépekhez, és egyszerűen megtekintheti azok eseménynaplóit, ezáltal tanulmányozva a Windows naplóit. Az én példámban egy szerver lesz SVT2019S01, megkeressük az elérhetők listájában, és csatlakozunk (Emlékeztessünk, hogy Windows-ban így végeztük a távoli hálózati konfigurációt).
Ezután válassza ki az "Események" fület, válassza ki a kívánt naplót, a példámban a rendszer összes naplóját szeretném látni. Az én szemszögemből itt sokkal kényelmesebb mindent megnézni, mint az eseménynézőből. Előnye, hogy bármilyen telefonról vagy táblagépről megteheti. A jobb sarokban van egy kényelmes kereső űrlap
Ha finomabban kell szűrni a naplókat, használhatja a szűrő gombot.
Itt kiválaszthatja az esemény szintjét is, például úgy, hogy csak a kritikus és a hibákat hagyja meg, beállíthatja az időtartományt, az esemény kódját és a forrást.
Íme egy példa a 19. esemény szűrésére.
Nagyon kényelmes a teljes napló exportálása evxt formátumba, amely aztán könnyen megnyitható az eseménynaplón keresztül. Tehát a Windows Felügyeleti Központ egy hatékony naplónézegető.
A Windows-naplók távoli megtekintésének második módja a Számítógép-kezelés beépülő modul vagy ugyanaz az "Eseménynéző" használata. Ha egy másik számítógépen vagy kiszolgálón meg szeretné tekinteni a Windows naplóit, kattintson a jobb gombbal a felső elemre a beépülő modulban, és válasszon helyi menü "".
Adja meg egy másik számítógép nevét, a példámban ez SVT2019S01 lesz
Ha minden rendben van, és nincs blokk a tűzfaltól vagy vírusirtótól, akkor a távoli eseménynézőbe kerül, ha blokkol, akkor olyan üzenetet kap, hogy a COM + forgalom nem repül át.
Azt is szeretném megjegyezni, hogy léteznek teljes naplóösszesítő rendszerek, mint például a Zabbix vagy az SCOM, de ez a feladatok más szintje.
