Utilizarea Vizualizatorului de evenimente pentru depanarea problemelor
În ediția de astăzi a Școlii Geek, vă vom învăța cum să utilizați Event Viewer pentru a depana problemele de pe PC și pentru a înțelege ce se întâmplă sub capota.
- Folosind Planificatorul de sarcini pentru a rula procesele mai târziu
- Utilizarea Vizualizatorului de evenimente pentru depanarea problemelor
- Înțelegerea partiționării pe hard disk cu gestionarea discurilor
- Învățați să utilizați Editorul de registry ca un pro
- Monitorizarea PC-ului cu monitorizarea resurselor și Manager de activități
- Înțelegerea panoului Proprietăți avansate a sistemului
- Înțelegerea și gestionarea serviciilor Windows
- Utilizând Editorul de politici de grup pentru a personaliza PC-ul
- Înțelegerea instrumentelor de administrare Windows
Cea mai mare problemă cu Event Viewer este că poate fi foarte confuză - există multe avertismente, erori și mesaje informative și fără să știi ce înseamnă toate acestea, poți să presupui (incorect) că computerul este spart sau infectat când există nimic nu este într-adevăr greșit.
De fapt, escrocii de asistență tehnică folosesc Vizualizatorul de evenimente, ca parte a tacticilor sale de vânzări, pentru a convinge utilizatorii confuzi că PC-ul lor este infectat cu viruși. Ele vă ajută să filtrați numai erori critice și apoi să fiți surprinși că tot ceea ce vedeți sunt erori critice.
Învățați cum să utilizați și să înțelegeți Vizualizatorul de evenimente este o abilitate critică pentru a afla ce se întâmplă cu un PC și probleme de depanare.
Înțelegerea interfeței
Când deschideți pentru prima oară Event Viewer, veți observa că folosește configurația cu trei panouri ca multe dintre celelalte instrumente administrative din Windows, deși în acest caz există de fapt câteva instrumente utile în partea dreaptă.
Panoul din partea stângă afișează o vizualizare de directoare, unde puteți găsi toate jurnalele de evenimente diferite, precum și vizualizările care pot fi personalizate cu evenimente din mai multe jurnale simultan. De exemplu, vizualizarea Evenimentelor administrative în versiunile recente de Windows afișează toate evenimentele de eroare, de avertizare și de critică, indiferent dacă au provenit din jurnalul de aplicații sau din jurnalul de sistem.
Panoul de mijloc afișează o listă de evenimente și dând clic pe ele va afișa detaliile în panoul de previzualizare - sau puteți face dublu clic pe oricare dintre ele pentru al trage într-o fereastră separată, care poate fi utilă atunci când vă uitați un set mare de evenimente și doriți să găsiți toate lucrurile importante înainte de a începe o căutare pe Internet.
Panoul din partea dreaptă vă oferă acces rapid la acțiuni precum crearea de vizualizări personalizate, filtrarea sau chiar crearea unei sarcini programate pe baza unui anumit eveniment.
Evenimentele în sine sunt ceea ce încercăm să vedem, bineînțeles, iar utilitatea lor poate varia de la lucruri foarte specifice și evidente pe care le poți stabili cu ușurință la mesajele foarte vagi care nu au nici un sens și nu poți găsi informații pe Google. Câmpurile obișnuite de pe ecran conțin:
- Numele jurnalului - în timp ce în versiunile mai vechi ale Windows totul a fost introdus în jurnalul de aplicații sau sistem, în edițiile mai moderne există zeci sau sute de jurnaluri diferite de a alege. Fiecare componentă Windows va avea cel mai probabil propriul jurnal.
- Sursă - acesta este numele software-ului care generează evenimentul de jurnal. Numele, de obicei, nu se potrivește direct cu numele fișierului, desigur, dar este o reprezentare a componentei pe care a făcut-o.
- Codul evenimentului - ID-ul evenimentelor importante poate fi de fapt puțin confuz. Dacă ați fost la Google pentru "ID-ul evenimentului 122" pe care îl vedeți în următoarea captură de ecran, nu ați ajunge la informații foarte utile dacă nu includeți și numele sursei sau al aplicației. Acest lucru se datorează faptului că fiecare aplicație poate defini propriile coduri de eveniment unice.
- Nivel - Acest lucru vă spune cât de grav este evenimentul - informația vă spune doar că ceva sa schimbat sau dacă o componentă a început sau ceva sa încheiat. Avertismentul vă spune că este posibil să se întâmple ceva rău, dar nu este încă atât de important. Eroarea vă spune că sa întâmplat ceva care nu ar fi trebuit să se întâmple, dar nu este întotdeauna sfârșitul lumii. Critic, pe de altă parte, înseamnă că ceva este rupt undeva și componenta care a declanșat acest eveniment sa prăbușit probabil.
- Utilizator - acest câmp vă spune dacă a fost o componentă a sistemului sau contul dvs. de utilizator care execută procesul care a provocat eroarea. Acest lucru poate fi util atunci când vă uitați prin lucruri.
- OpCode - acest domeniu teoretic vă spune ce activitate a făcut aplicația sau componenta atunci când evenimentul a fost declanșat. În practică, însă, va spune aproape întotdeauna "Info" și este destul de inutil.
- Calculator - pe desktop-ul dvs. de acasă, acesta va fi, de obicei, numele PC-ului dvs., dar în lumea IT, puteți de fapt transmite evenimente de la un computer sau un server la alt computer. De asemenea, puteți conecta Event Viewer la un alt PC sau server.
- Categorie de activități - acest câmp nu este întotdeauna folosit, însă se termină, în principiu, un câmp informațional care vă spune mai multe informații despre eveniment.
- Cuvinte cheie - acest câmp nu este de obicei utilizat și, în general, conține informații inutile.
Ca regulă generală, ar trebui să încercați să căutați după descrierea generală, ID-ul evenimentului și sursa sau o combinație a acestor valori.
Nu uitați că ID-ul evenimentului este unic ... pentru fiecare aplicație. Deci, există o mulțime de suprapuneri și nu puteți căuta doar "ID-ul evenimentului 122" deoarece veți obține o mulțime de prostii.
Notă importantă: Întotdeauna vor apărea erori și avertismente în jurnalul de evenimente și nu le puteți rezolva pe toate. Cel mai important lucru este să utilizați Event Viewer pentru a depana problemele pe care le aveți deja, în loc să încercați să găsiți probleme despre care nu știți încă.
Și da, va trebui să utilizați abilitățile dvs. Google pentru a cerceta evenimentele despre care nu știți. Nu există o soluție magică ușoară.
Singurul lucru pe care l-ați putea face imediat atunci când vedeți acest dialog este să faceți clic pe link-ul Mai multe informații ... problema este că în prezent nu vă duce undeva util. Trebuie doar să ajungeți la o pagină de eroare de pe site-ul Microsoft.
Ce este înfricoșător este faptul că 8464 de persoane au evaluat pagina Necunoscută ca utilă.
Remaparea căutării ID eveniment online pentru a funcționa efectiv
Din anumite motive, link-ul "Mai multe informații: Log-ul evenimentului online", link-ul doar plat nu funcționează pentru noi, dar din fericire există o hack-ul de registry excelent pe care îl puteți folosi pentru a rezolva problema.
Ceea ce vom face este doar să schimbăm URL-ul de redirecționare din registru pentru a îndrepta către Google ... cu excepția modului în care argumentele sunt transmise, va trebui să-l îndreptăm spre o pagină intermediară care va analiza argumentele și formați adresa URL corectă de căutare Google.
În scopul acestui articol, vom pune o pagină pe serverul nostru și sunteți bineveniți să îl utilizați. Dacă preferați să nu folosiți serverul nostru, linia unică a codului PHP este afișată la sfârșitul acestei secțiuni.
Pentru a face această modificare, accesați următoarea cheie de registry:
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer
Găsiți valoarea MicrosoftRedirectionURL din partea dreaptă și apoi schimbați valoarea de la valoarea implicită, care este http://go.microsoft.com/fwlink/events.asp și introduceți această valoare în loc de:
https://www.howtogeek.com/eventid
Odată ce ați făcut acest lucru, făcând clic pe linkul din fereastra Proprietăți eveniment vă va redirecționa imediat către Google, cu datele relevante deja incluse (ID-ul evenimentului, numele jurnalului și "aplicația", care tinde să spună doar Microsoft Windows).
Cum funcționează asta? Este destul de simplu - Event Viewer adaugă un set de parametri ca argumente de șir de interogări la URL-ul pe care l-am introdus în registru. Apoi scriptul extrage aceste argumente și redirecționează către Google, trecând argumentele ca termeni de căutare în schimb.
Folosind un script PHP simplu, aceasta este ceea ce am venit să rezolvăm redirecționarea.
antet ("Locație: http://google.com/search?q=Event ID". $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].
Poți găzdui același lucru pe serverul propriu dacă vrei sau poți folosi pe serverul nostru. Depinde de tine.
Feriți site-urile de Internet cu "soluții" pentru ID-ul "Probleme"
Există o mulțime de site-uri web care generează automat pagini pentru fiecare ID de eveniment, apoi le populează cu nonsens. Asta ar fi bine, cu excepția multora dintre aceste evenimente, nu există multe alte rezultate bune.
Aceste site-uri vor oferi apoi pentru a rezolva problema dacă descărcați doar o bucată de software pentru analiza gratuită. În toate cazurile acestea vor fi anunțuri, iar "soluția" software-ului este o fraudă.
Nu există niciun pachet software care să poată rezolva toate problemele legate de istoricul evenimentelor.
Utilizarea filtrelor și a vizualizărilor personalizate
Mai degrabă decât trecând prin dosarele zilnice ale jurnalelor de evenimente personalizate și încercând să găsiți tot ceea ce căutați, puteți crea o vizualizare particularizată care afișează doar evenimentele pe care doriți să le vedeți.
Pentru cele mai bune rezultate, doriți să filtrați doar lucrurile pe care doriți să le vedeți - probabil Critical, Error, and Warning, apoi alegeți jurnalele de evenimente specifice pe care doriți să le vizualizați. Nu selectați prea multe, totuși, deoarece nu va funcționa.
După ce ați selectat ce doriți în vizualizare, vi se va solicita să oferiți o denumire particularizată și apoi o puteți utiliza pentru a vedea doar evenimentele pentru care ați filtrat. Este o modalitate incredibil de bună de a face față unor jurnale masive pline de evenimente de informare fără sens.
Poate că este chiar mai ușor, desigur, să folosiți doar vizualizarea încorporată a evenimentelor administrative, care afișează mesajele importante din fiecare dintre jurnalele principale.
Consultați jurnalul de performanță pentru diagnosticarea Windows
Există o mulțime de jurnale interesante pe care să le priviți atunci când rezolvați problemele, dar unul dintre cele mai interesante este găsit prin navigarea prin directoare către următoarea locație:
Microsoft \ Windows \ Diagnostics-Performance
Acest lucru are ca rezultat un jurnal al evenimentelor care arată toate lucrurile pe care Windows le înregistrează intern pentru verificarea performanței - dacă calculatorul dvs. pornește mai lent decât în mod obișnuit, Windows va avea, de obicei, o intrare în jurnal pentru acesta și va lista adesea componenta care a cauzat Windows încărcați mai încet.
Merită remarcat faptul că doar pentru că mesajul arată o eroare nu înseamnă că este sfârșitul lumii, dacă nu apare tot timpul. Atunci ar trebui să te gândești la asta.
Rezolvarea acestei erori de la început
Cunoscând Evenimentul din imaginea de mai devreme din articol? Dacă primiți mesajul "Accesul la driverele Windows Update a fost blocat de politică", soluția este foarte simplă. Deschideți panoul de control, căutați "driver" și apoi alegeți Modificați setările de instalare a dispozitivului.
În următoarea captură de ecran veți observa că acest computer a fost setat să nu descarce automat driverele de dispozitiv din actualizarea Windows. Pentru a rezolva problema și pentru a afișa mai multe mesaje în Vizualizatorul de evenimente, tot ce trebuie să faceți este să comutați butonul radio pe "Da, faceți acest lucru automat".
Frumos și simplu. Problema rezolvată, mesajul de avertizare rezolvat.
Atașarea sarcinilor la evenimente
Dacă ați fi atenți în ultima lecție de școală Geek, ați putea să vă amintiți că puteți crea un declanșator Task Scheduler după ID-ul evenimentului - și puteți face tot același lucru mergând invers. Faceți clic dreapta pe orice sarcină și puteți atașa cu ușurință o sarcină programată pentru a rula ori de câte ori se întâmplă un eveniment.
Alte caracteristici pe care le-ați putea avea nevoie
Vizualizatorul de evenimente are câteva alte caracteristici care ar putea fi interesate de utilizare. Pentru majoritatea oamenilor, este foarte important să treceți prin listă și să știți ce să căutați.
Abonamentele, găsite în meniul din partea stângă, reprezintă o caracteristică utilizată în mare parte într-un mediu al întreprinderii pentru transmiterea evenimentelor de la un server la altul, astfel încât să le puteți gestiona într-un singur loc. Acest lucru necesită să fie difuzate serviciile Windows Event Collector și Windows Remote Management. Pentru utilizatorii de acasă, nu trebuie să vă dezorientați, în afara scopurilor de învățare ale sistemului dvs. de testare.
Dacă dați clic dreapta pe elementele de pe partea stângă, veți vedea o mulțime de acțiuni (aceleași, de obicei, găsite în panoul din partea dreaptă).
Puteți salva toate evenimentele dintr-un jurnal pentru a le vedea mai târziu sau pe un alt PC, puteți copia o vizualizare sau puteți exporta fișierul XML ca fișier XML pentru a le importa pe alt computer.