В сегодняшнем выпуске Geek School мы собираемся научить вас, как использовать Event Viewer для устранения проблем на вашем ПК и понять, что происходит под капотом.
Самая большая проблема с Event Viewer заключается в том, что он может сбивать с толку — есть много предупреждений, ошибок и информационных сообщений, и, не зная, что все это значит, вы можете предположить (неправильно), что ваш компьютер поврежден или заражен, когда есть ничего действительно плохого.
Фактически, мошенники из службы технической поддержки используют Event Viewer как часть своей тактики продаж, чтобы убедить сбитых с толку пользователей, что их компьютер заражен вирусами. Они проводят вас через фильтрацию только по критическим ошибкам, а затем удивляются, что все, что вы видите, это критические ошибки.
Изучение того, как использовать и понимать Event Viewer, является важным навыком для выяснения того, что происходит с ПК, и устранения проблем.
Понимание интерфейса
Когда вы впервые откроете Event Viewer, вы заметите, что он использует трехпанельную конфигурацию, как и многие другие инструменты администрирования в Windows, хотя в этом случае на самом деле есть довольно много полезных инструментов с правой стороны.
На левой панели отображается представление папки, где вы можете найти все различные журналы событий, а также представления, которые можно настроить для событий из нескольких журналов одновременно. Например, представление «Административные события» в последних версиях Windows отображает все события «Ошибка», «Предупреждение» и «Критические» независимо от того, произошли они из журнала приложений или системного журнала.
Средняя панель отображает список событий, и при щелчке по ним на панели предварительного просмотра отображаются подробности — или вы можете дважды щелкнуть по любому из них, чтобы открыть его в отдельном окне, что может быть удобно при просмотре. большой набор событий и хотите найти все важные вещи, прежде чем начать поиск в Интернете.
Правая панель предоставляет вам быстрый доступ к таким действиям, как создание пользовательских представлений, фильтрация или даже создание запланированных задач на основе определенного события.
Конечно, сами события — это то, что мы пытаемся увидеть, и их полезность может варьироваться от действительно конкретных и очевидных вещей, которые вы можете легко исправить, до очень расплывчатых сообщений, которые не имеют никакого смысла, и вы не можете найти никаких информация в гугле. Обычные поля на дисплее содержат:
- Имя журнала — в то время как в старых версиях Windows все записывалось в журнал приложений или системы, в более современных выпусках можно выбирать из десятков или сотен различных журналов. Каждый компонент Windows, скорее всего, будет иметь свой собственный журнал.
- Источник — это название программного обеспечения, которое генерирует журнал событий. Конечно, имя обычно не совпадает с именем файла, но это представление того, какой компонент это сделал.
- Идентификатор события — важнейший идентификатор события может немного сбить с толку. Если бы вы использовали Google для «идентификатора события 122», который вы видите на следующем снимке экрана, вы не получили бы очень полезную информацию, если бы вы также не указали «Источник» или имя приложения. Это связано с тем, что каждое приложение может определять свои собственные уникальные идентификаторы событий.
- Уровень — это говорит вам, насколько серьезным является событие. Информация просто говорит вам, что что-то изменилось или компонент запущен, или что-то завершено. Предупреждение говорит вам, что что-то может пойти не так, но это не так уж важно. Ошибка говорит вам, что случилось то, чего не должно было случиться, но это не всегда конец света. Критическое, с другой стороны, означает, что что-то где-то сломано, и компонент, вызвавший это событие, вероятно, потерпел крах.
- Пользователь — в этом поле указывается, был ли системный компонент или ваша учетная запись пользователя выполняющим процесс, вызвавший ошибку. Это может быть полезно при просмотре вещей.
- OpCode — это поле теоретически сообщает вам, какую деятельность выполняло приложение или компонент, когда событие было инициировано. На практике, однако, он почти всегда говорит «информация» и довольно бесполезен.
- Компьютер — на вашем домашнем компьютере обычно это просто имя вашего ПК, но в мире ИТ вы можете фактически пересылать события с одного компьютера или сервера на другой компьютер. Вы также можете подключить Event Viewer к другому ПК или серверу.
- Категория задачи — это поле не всегда используется, но в итоге оно представляет собой информационное поле, которое сообщает вам немного больше информации о событии.
- Ключевые слова — это поле обычно не используется и обычно содержит бесполезную информацию.
Как правило, вы должны попытаться выполнить поиск по общему описанию или по идентификатору события и источнику, или по комбинации этих значений.
Просто помните, что идентификатор события уникален для каждого приложения. Таким образом, существует много совпадений, и вы не можете просто искать «Event ID 122», потому что вы получите много глупостей.
Важное примечание: в журнале событий всегда будут ошибки и предупреждения, и вы не можете устранить их все. Самое главное — использовать Event Viewer для устранения проблем, которые у вас уже есть, вместо того, чтобы пытаться найти проблемы, о которых вы еще не знаете.
И да, вам нужно будет использовать свои навыки Google, чтобы исследовать события, о которых вы не знаете. Там нет простого волшебного решения.
Единственное, что вы могли бы сразу же сделать, увидев это диалоговое окно, — щелкнуть ссылку «Дополнительная информация»… проблема в том, что в настоящее время он не приносит вам никакой пользы. Вы просто оказались на странице с ошибкой на сайте Microsoft.
Страшно то, что 8464 человека оценили страницу, не найденную, как полезную.
Повторное сопоставление поиска по событию в Интернете для фактической работы
По какой-то причине ссылка «Дополнительная информация: онлайн-справка журнала событий» просто не работает для нас, но, к счастью, есть отличный взлом реестра, который можно использовать для решения проблемы.
То, что мы собираемся сделать, это просто изменить URL-адрес перенаправления в реестре, чтобы он указывал на Google… кроме как из-за способа передачи аргументов, нам нужно будет указать его на промежуточную страницу, которая будет анализировать аргументы и сформировать правильный поисковый URL Google.
Для этой статьи мы разместили страницу на нашем собственном сервере, и вы можете использовать ее. Если вы не хотите использовать наш сервер, единственная строка кода PHP указана в конце этого раздела.
Чтобы внести это изменение, перейдите к следующему разделу реестра:
HKLM \ Программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer
Найдите значение MicrosoftRedirectionURL с правой стороны, а затем измените его значение по умолчанию на http://go.microsoft.com/fwlink/events.asp и вставьте вместо него это значение:
https://www..com/eventid
Как только вы это сделаете, щелкнув ссылку в окне «Свойства события», вы сразу же будете перенаправлены в Google с соответствующими данными, уже включенными (идентификатор события, имя журнала и «приложение», которое, как правило, означает «Microsoft Windows»). ,
Как это работает? Это довольно просто — программа просмотра событий добавляет набор параметров в качестве аргументов строки запроса к URL-адресу, который мы помещаем в реестр. Затем скрипт извлекает эти аргументы и перенаправляет их в Google, передавая аргументы в качестве поисковых терминов.
Используя простой PHP-скрипт, это то, что мы придумали для обработки перенаправления.
header (‘Местоположение: http: // google .com / search? q = Код события’. $ _GET [‘EvtID’]. ». $ _GET [‘EvtSrc’]. ». $ _GET [‘ProdName’] );
Вы можете разместить ту же самую вещь на своем собственном сервере, если хотите, или можете использовать тот, который находится на нашем сервере. Вам решать.
Остерегайтесь интернет-сайтов с «Решениями» для идентификатора события «Проблемы»
Существует множество веб-сайтов, которые автоматически генерируют страницы для каждого идентификатора события, а затем наполняют их бессмыслицей. Это было бы хорошо, за исключением многих из этих событий, есть не так много других хороших результатов.
Затем эти сайты предложат решить эту проблему, если вы просто загрузите часть программного обеспечения для бесплатного анализа. Во всех случаях это будет реклама, а «программное решение» является мошенничеством.
Нет НИКАКОГО программного пакета, который может решить все проблемы журнала событий.
Использование фильтров и пользовательских представлений
Вместо того, чтобы просматривать миллионы папок пользовательских журналов событий и пытаться найти все, что вы ищете, вы можете создать собственное представление, отображающее только те события, которые вы хотите видеть.
Для достижения наилучших результатов вам нужно отфильтровать только по конкретным вещам, которые вы хотите увидеть — например, «Критические», «Ошибка» и «Предупреждение», а затем выбрать журналы событий, которые вы хотите просмотреть в этом представлении. Не выбирайте слишком много, потому что это просто не сработает.
После того, как вы выбрали то, что хотите в представлении, вам будет предложено дать имя настраиваемому представлению, а затем вы сможете использовать его для просмотра только тех событий, для которых вы отфильтровали. Это невероятно отличный способ иметь дело с массивными журналами, полными бессмысленных информационных событий.
Возможно, еще проще, конечно, просто использовать встроенное представление «Административные события», которое отображает важные сообщения из каждого из основных журналов.
Посмотрите журнал производительности диагностики Windows
Есть много интересных журналов, чтобы посмотреть, когда вы устраняете неполадки, но один из самых интересных можно найти, просматривая папки в следующем месте:
Microsoft \ Windows \ Диагностика-Производительность
Это приводит к журналу событий, который показывает все, что Windows регистрирует внутри для проверки производительности — если ваш компьютер загружается медленнее, чем обычно, Windows обычно имеет для него запись в журнале и часто перечисляет компонент, вызвавший Windows загружаться медленнее.
Стоит отметить, что то, что сообщение показывает ошибку, не означает, что наступил конец света, если только оно не появляется постоянно. Тогда вы можете подумать об этом.
Исправление этой ошибки ранее
Вам интересно событие на скриншоте ранее в статье? Если вы получите сообщение «Доступ к драйверам в Центре обновления Windows заблокирован политикой», решение действительно простое. Откройте панель управления, найдите «драйвер» и выберите «Изменить параметры установки устройства».
На следующем снимке экрана вы заметите, что этот конкретный компьютер не настроен на автоматическую загрузку драйверов устройств из Центра обновления Windows. Чтобы устранить проблему и сделать так, чтобы больше сообщений отображалось в Event Viewer, все, что вам нужно сделать, это переключить переключатель на «Да, сделать это автоматически».
Красиво и просто. Проблема решена, предупреждающее сообщение устранено.
Прикрепление задач к событиям
Если вы уделяли внимание на последнем уроке Geek School, вы, возможно, помните, что вы можете создать триггер планировщика заданий по идентификатору события — и вы можете сделать то же самое, действуя в другом направлении. Щелкните правой кнопкой мыши по любой задаче, и вы можете легко прикрепить запланированную задачу к запуску, когда происходит событие.
Другие функции, которые вам могут понадобиться
Event Viewer имеет несколько других функций, которые могут вас заинтересовать. Для большинства людей важно просто просмотреть список и узнать, что искать.
Подписки, которые находятся в левом меню, — это функция, широко используемая в корпоративной среде для пересылки событий с одного сервера на другой, чтобы вы могли управлять ими всеми в одном месте. Для этого необходимо, чтобы службы Windows Event Collector и Windows Remote Management были запущены. Для домашних пользователей, вы не должны связываться с ним, кроме как в целях обучения в вашей тестовой системе.
Если вы щелкнете правой кнопкой мыши по элементам с левой стороны, вы увидите массу действий (те же самые, которые обычно находятся на правой панели).
Вы можете сохранить все события в журнале для просмотра позже или на другом ПК, вы можете скопировать представление или экспортировать его в виде файла XML для импорта на другой компьютер.