Používanie aplikácie Zobrazovač udalostí na riešenie problémov

V dnešnom vydaní Geek School vás naučíme, ako používať aplikáciu Event Viewer na riešenie problémov na vašom počítači a pochopiť, čo sa deje pod kapotou.

ŠKOLSKÁ NAVIGÁCIA

1. Použitie Plánovača úloh na spustenie procesov neskôr
2. Používanie aplikácie Zobrazovač udalostí na riešenie problémov
3. Pochopenie rozdelenia pevného disku pomocou Správa diskov
4. Naučiť sa používať Editor databázy Registry ako Pro
5. Sledovanie počítača pomocou funkcie Sledovanie zdrojov a Správca úloh
6. Pochopenie panelu Rozšírené vlastnosti systému
7. Porozumenie a správa služieb Windows
8. Použitie Editoru zásad skupiny na vyladenie počítača
9. Pochopenie nástrojov správy systému Windows

Najväčším problémom s programom Event Viewer je skutočnosť, že môže byť naozaj mätúce - existuje veľa upozornení, chýb a informačných správ a bez toho, aby ste vedeli, čo to znamená, môžete predpokladať (nesprávne), že váš počítač je porušený alebo infikovaný, keď je nič sa naozaj zle.

Technickí pomocní podvodníci používajú program Event Viewer ako súčasť svojej predajnej taktiky, aby presvedčili zmätených používateľov, že ich počítač je infikovaný vírusmi. Prechádzajú vás cez filtrovanie iba kritickými chybami a potom prekvapujú, že všetko, čo vidíte, sú kritické chyby.

Naučiť sa používať a chápať aplikáciu Event Viewer je kritická schopnosť pre zisťovanie toho, čo sa deje s počítačom a riešenie problémov.

Pochopenie rozhrania

Keď prvýkrát otvoríte aplikáciu Event Viewer, všimnete si, že používa konfiguráciu troch panelov, ako je mnoho iných nástrojov na správu v systéme Windows, aj keď v tomto prípade je v skutočnosti pomerne málo užitočných nástrojov na pravej strane.

Ľavý panel zobrazuje priečinok, v ktorom nájdete všetky rôzne denníky udalostí, ako aj zobrazenia, ktoré môžu byť prispôsobené udalostiam z mnohých denníkov naraz. V zobrazení správcovských udalostí v najnovších verziách systému Windows sa napríklad zobrazujú všetky chyby, upozornenia a kritické udalosti bez ohľadu na to, či vznikli z denníka aplikácií alebo systémového denníka.

Stredná tabuľa zobrazuje zoznam udalostí a kliknutím na ne sa zobrazia podrobnosti v paneli ukážky - alebo môžete dvakrát kliknúť na niektorú z nich, aby ste ju vytiahli do samostatného okna, čo môže byť užitočné, ak hľadáte veľký súbor udalostí a chcete nájsť všetky dôležité veci pred začatím vyhľadávania na internete.

Pravý panel vám umožňuje rýchly prístup k činnostiam, ako je vytváranie vlastných zobrazení, filtrovanie alebo dokonca vytváranie plánovanej úlohy založenej na konkrétnej udalosti.

Samotné udalosti sú samozrejme to, čo sa snažíme vidieť, a ich užitočnosť sa môže pohybovať od veľmi konkrétnych a zrejmých vecí, ktoré môžete ľahko opraviť na veľmi vágne správy, ktoré nedávajú zmysel a nemôžete nájsť žiadne informácie o spoločnosti Google. Pravidelné polia na displeji obsahujú:

• Názov denníka - zatiaľ čo v starších verziách systému Windows sa všetko dostalo do protokolu aplikácií alebo systému, v modernejších vydaniach je možné vybrať desiatky alebo stovky rôznych protokolov. Každá zložka systému Windows bude pravdepodobne mať vlastný protokol.
• zdroj - toto je názov softvéru, ktorý generuje udalosť denníka. Názov sa zvyčajne priamo nezhoduje s názvom súboru, samozrejme, ale je to reprezentácia toho, ktorý komponent robil.
• ID udalosti - dôležitý ID udalosti môže byť skutočne trochu mätúce. Ak by ste mali spoločnosť Google pre "ID udalosti 122", ktoré sa zobrazia na ďalšej snímke obrazovky, nekončíte s veľmi užitočnými informáciami, pokiaľ nezadáte aj zdroj alebo názov aplikácie. Je to preto, že každá aplikácia môže definovať svoje vlastné ID udalostí.
• hladina - To vám povie, ako závažná je udalosť - Informácie vám len hovoria, že sa niečo zmenilo alebo sa začala komponovať alebo niečo dokončilo. Upozornenie vám povie, že sa niečo môže zhoršiť, ale zatiaľ nie je to tak dôležité. Chyba vám ukáže, že sa niečo stalo, že sa to nemalo stať, ale nie je to vždy koniec sveta. Kritická, na druhej strane, znamená, že niekde niečo nie je zlomené a zložka, ktorá spustila túto udalosť, pravdepodobne havarovala.
• užívateľ - toto pole vám povie, či ide o systémovú súčasť alebo o používateľský účet, ktorý bol spustený procesom, ktorý spôsobil chybu. To môže byť užitočné pri pohľade cez veci.
• OPCODE - toto pole vám teoreticky povie, akú aktivitu aplikácia alebo komponent robil, keď bola udalosť spustená. V praxi však bude takmer vždy hovoriť "Info" a je celkom zbytočné.
• počítačový - na domácej pracovnej ploche to zvyčajne bude len meno vášho počítača, ale vo svete IT môžete skutočne presmerovať udalosti z jedného počítača alebo servera na iný počítač. Nástroja na prezeranie udalostí môžete pripojiť aj na iný počítač alebo server.
• Kategória úloh - toto pole nie je vždy použité, ale v podstate ide o informačné pole, ktoré vám povie o niečo viac informácií o udalosti.
• Kľúčové slová - toto pole sa zvyčajne nepoužíva a vo všeobecnosti obsahuje zbytočné informácie.

Ako pravidlo by ste mali vyskúšať vyhľadávanie podľa všeobecného popisu alebo ID udalosti a zdroja alebo kombinácie týchto hodnôt.

Nezabudnite, že ID udalosti je jedinečné ... pre každú aplikáciu. Takže existuje veľa prekrývania a nemôžete len hľadať "Event ID 122", pretože dostanete veľa nezmyslov.

Dôležitá poznámka: V protokoloch udalostí sa vždy vyskytnú chyby a upozornenia a nemôžete ich vyriešiť. Najdôležitejšou vecou je použiť aplikáciu Event Viewer na riešenie problémov, ktoré už máte, a nie na vyhľadanie problémov, o ktorých ešte neviete.

A áno, budete musieť používať svoje zručnosti Google na výskum udalostí, o ktorých neviete. Neexistuje žiadne jednoduché riešenie.

Jedna vec, ktorú môžete okamžite urobiť, keď vidíte tento dialóg, je kliknúť na odkaz Viac informácií ... Problém je v tom, že v súčasnosti vás nenahradí nikde užitočným. Stačí skončiť na stránke s chybami na lokalite spoločnosti Microsoft.

Čo je hrozné, je, že 8464 ľudí ohodnotilo stránky, ktoré neboli nájdené ako užitočné.

Remapping vyhľadávania ID na internete môžete pracovať

Z nejakého dôvodu odkaz "Viac informácií: Log Online Log" len ploché vonku nefunguje pre nás, ale našťastie tam je skvelý Registry hack, ktorý môžete použiť na opravu problému.

Čo urobíme, je zmeniť adresu URL presmerovania v registri tak, aby smerovala na Google ... s výnimkou spôsobu, akým sú argumenty odovzdané, budeme musieť smerovať na strednú stránku, ktorá rozoberie argumenty a vytvorte správnu adresu URL vyhľadávania Google.

Na účely tohto článku sme si vytvorili stránku na našom vlastnom serveri a môžete ju využiť. Ak radšej nepoužívate náš server, na konci tejto časti je uvedený jeden riadok kódu PHP.

Ak chcete vykonať túto zmenu, prejdite na nasledujúci kľúč databázy Registry:

HKLM \ Softvér \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

Nájdite hodnotu MicrosoftRedirectionURL na pravej strane a potom zmeňte hodnotu z predvolenej hodnoty, ktorá je http://go.microsoft.com/fwlink/events.asp a namiesto toho vložte túto hodnotu:

https://www.howtogeek.com/eventid

Akonáhle to urobíte, kliknutím na odkaz v okne Vlastnosti udalosti sa okamžite presmerujete na spoločnosť Google s príslušnými údajmi už zahrnutými (identifikácia udalosti, názov denníka a "aplikácia", ktorá má tendenciu jednoducho povedať Microsoft Windows).

Ako to funguje? Je to dosť jednoduché - Event Viewer pridáva do adresy URL, ktorú sme vložili do registra, súbor parametrov ako argumenty reťazca dopytu. Potom skript vyberie tieto argumenty a presmeruje na spoločnosť Google a namiesto toho prenesie argumenty ako hľadané výrazy.

Použitím jednoduchého PHP skriptu sme to urobili, aby sme zvládli presmerovanie.

záhlavie ('Location: http://google.com/search?q=Event ID') $ _GET ['EvtID']. "$ _GET ['EvtSrc'].

Môžete hostiť rovnakú vec na svojom vlastnom serveri, ak chcete, alebo môžete použiť ten, ktorý sedí na našom serveri. Až na vás.

Dávajte pozor na internetové stránky s "riešeniami" pre identifikáciu udalostí "Problémy"

Existuje tona webových stránok, ktoré automaticky generujú stránky pre každé ID udalosti a potom ich zaplnia nezmysly. To by bolo v poriadku, s výnimkou mnohých z týchto udalostí, nie je veľa dobrých výsledkov.

Tieto stránky potom ponúknu vyriešenie problému, ak ste práve prevzali nejaký softvér na bezplatnú analýzu. Vo všetkých prípadoch ide o reklamy a softvér "riešenie" je podvod.

Neexistuje žiadny softvérový balík, ktorý by dokázal vyriešiť všetky vaše problémy s protokolmi udalostí.

Používanie filtrov a vlastných zobrazení

Namiesto toho, aby ste prešli cez niekoľko miliónov priečinkov protokolov vlastných udalostí a pokúsili sa nájsť všetko, čo hľadáte, môžete vytvoriť vlastné zobrazenie, ktoré zobrazuje iba udalosti, ktoré chcete vidieť.

Pre dosiahnutie najlepších výsledkov by ste chceli filtrovať len konkrétne veci, ktoré chcete vidieť - pravdepodobne kritické, chyby a upozornenia, a potom si vyberte konkrétne denníky udalostí, ktoré chcete zobraziť. Nevyberajte však príliš veľa, pretože to jednoducho nebude fungovať.

Po výbere toho, čo chcete zobraziť, sa zobrazí výzva na zadanie mena vlastného zobrazenia a potom ho môžete použiť na zobrazenie iba udalostí, ktoré ste filtrovali. Je to neuveriteľne skvelý spôsob, ako zaobchádzať s masívnymi záznamami plnými nezmyselných informačných udalostí.

Možno je ešte jednoduchšie, samozrejme, len použiť vstavaný prehľad správnych udalostí, ktorý zobrazuje dôležité správy z každého z hlavných denníkov.

Pozrite sa do denníka výkonnosti systému Windows Diagnostics

Existuje veľa zaujímavých protokolov, na ktoré sa môžete pozrieť, keď riešite problémy, ale jeden z najzaujímavejších je nájsť prehliadaním priečinkov na nasledujúce miesto:

Microsoft \ Windows \ Diagnostics-Performance

Výsledkom je protokol udalostí, ktorý zobrazuje všetky veci, ktoré sa interne zaznamenávajú pri kontrole výkonnosti systému Windows - ak sa počítač spúšťa pomalšie ako obvykle, systém Windows zvyčajne bude mať záznam protokolu a často zobrazí zoznam komponentov, ktoré spôsobili systém Windows zavádzanie pomalšie.

Stojí za zmienku, že len preto, že správa ukazuje chybu, neznamená, že je to koniec sveta, pokiaľ sa neprejaví nepretržite. Potom budete chcieť premýšľať o tom.

Oprava chyby od predchádzajúcich

Zaujímavá udalosť na obrazovke skôr v článku? Ak sa zobrazí správa "Prístup k ovládačom v službe Windows Update bol zablokovaný zásadou", riešenie je naozaj jednoduché. Otvorte ovládací panel, vyhľadajte "ovládač" a potom zvoľte možnosť Zmeniť nastavenia zariadenia.

Na ďalšej snímke obrazovky si všimnete, že tento konkrétny počítač bol nastavený na automatické sťahovanie ovládačov zariadení z aktualizácie systému Windows. Ak chcete problém vyriešiť a zobraziť viac správ v programe Zobrazovač udalostí, stačí, ak prepnete prepínač na "Áno, urobte to automaticky".

Pekné a jednoduché. Problém vyriešený, vyriešená varovná správa.

Pripájanie úloh k udalostiam

Ak ste v poslednej lekcii Geek School venovali pozornosť, mohli by ste si spomenúť, že môžete vytvoriť funkciu Plánovač úloh podľa ID udalosti - a môžete urobiť to isté aj inak. Kliknite pravým tlačidlom myši na ľubovoľnú úlohu a môžete ľahko pripojiť naplánovanú úlohu, aby sa spustila vždy, keď nastane udalosť.

Ďalšie funkcie, ktoré by ste potrebovali

Prehliadač udalostí má niekoľko ďalších funkcií, ktoré by vás mohli zaujímať. Pre väčšinu ľudí je dôležité len prechádzať zoznam a vedieť, čo hľadať.

Predplatné, ktoré sa nachádzajú v ľavom menu, je funkcia, ktorá sa vo veľkej miere používa v podnikovom prostredí na prenos udalostí z jedného servera na druhý, takže ich môžete spravovať na jednom mieste. Vyžaduje sa spustenie služieb Windows Collector a Windows Remote Management. Pre domácich používateľov by ste sa s nimi nemali zabávať inak ako na účely učenia sa vo vašom testovacom systéme.

Ak kliknete pravým tlačidlom myši na položky na ľavej strane, uvidíte niekoľko akcií (tie isté, ktoré sa zvyčajne nachádzajú na pravej table).

Môžete uložiť všetky udalosti v protokole, ktoré sa budú zobrazovať neskôr alebo na inom počítači, môžete skopírovať zobrazenie alebo ho exportovať ako súbor XML na import do iného počítača.