Anàlisi dels registres d'esdeveniments: com utilitzar els filtres del visualitzador d'esdeveniments de Windows de manera eficaç

Analisi Dels Registres D Esdeveniments Com Utilitzar Els Filtres Del Visualitzador D Esdeveniments De Windows De Manera Eficac



En aquesta guia, demostrarem com utilitzar el Visor d'esdeveniments de Windows per veure els registres de Windows i filtrar-los segons diversos criteris.

Requisits previs:

Per dur a terme els passos que es mostren en aquesta guia, necessiteu els components següents:





  • Un sistema Windows 10/11 correctament configurat. Per provar, consulteu com configurar una màquina virtual de Windows amb VirtualBox.
  • Accés administrador

Visor d'esdeveniments a Windows

De manera predeterminada, diverses aplicacions (i parts del sistema operatiu) envien una notificació al sistema operatiu per a una activitat concreta, com ara peculiaritats del controlador, actualitzacions de seguretat, fallades de maquinari i molt més. Event Viewer és una aplicació dedicada que agrega aquestes notificacions i actua com a centre per al registre.



Amb privilegis d'administrador, el Visor d'esdeveniments pot mostrar tots els esdeveniments importants que succeeixen al sistema. Pot ser increïblement útil per a la depuració.



El visualitzador d'esdeveniments també inclou potents capacitats de filtrat que poden mostrar l'activitat del sistema en un moment determinat, activada per un programa determinat, la gravetat de l'activador i molt més.



Llançament del Visor d'esdeveniments

Escriviu 'Visor d'esdeveniments' al menú d'inici.



Alternativament, executeu la paraula clau següent des de la finestra 'Executar':

$ eventvwr

La finestra principal us presentarà un resum de totes les activitats del sistema.

La interfície d'usuari del visualitzador d'esdeveniments

Al tauler esquerre, els registres s'ordenen en diverses categories.

Per exemple, seleccioneu la subcategoria 'Registres de Windows' per veure un resum dels registres de les aplicacions de Windows i Windows.

Per veure els registres que generen tots els productes de Microsoft, aneu a 'Registres d'aplicacions i serveis' >> 'Microsoft'.

Visualització dels registres

A l'exemple següent, veurem els registres que genera Windows PowerShell. Des del tauler esquerre, aneu a 'Registres d'aplicacions i serveis' >> 'Windows PowerShell'.

Aquí podem veure tots els esdeveniments desencadenats per PowerShell. En el nostre cas, el Visor d'esdeveniments ha registrat uns 10.000 esdeveniments de PowerShell. Cada registre representa un esdeveniment.

Podeu veure els detalls del registre en seleccionar un registre.

Per obtenir més detalls, aneu a la pestanya 'Detalls'.

Filtrat dels registres d'esdeveniments

En lloc de navegar pels registres sense rumb, podem utilitzar el Visor d'esdeveniments per aplicar determinats filtres per obtenir una imatge més precisa. Pot ser increïblement útil sempre que intenteu depurar algun problema, ja sigui un problema de maquinari, un problema de controlador o un error de programari.

Per crear un filtre nou, seleccioneu 'Crea una vista personalitzada' al tauler dret.

Podem aplicar diversos filtres a la nova finestra.

Aquí:

  • Registrat : El Visor d'esdeveniments allotja els registres des de la instal·lació del sistema operatiu. Cercar entre tots ells, en la majoria de situacions, no és òptim. Amb aquest filtre, podem limitar l'abast de la cerca per temps.
  • Nivell d'esdeveniment : sempre que es registra un esdeveniment, se li assigna un nivell de gravetat. Hi ha cinc tipus d'esdeveniments: crític, error, advertència, informació i detallat.
  • Per registre : limita l'abast de la cerca per arbre.
  • Per font : Limiteu l'abast de la cerca per la font de l'activador de l'esdeveniment. Els desencadenants d'esdeveniments poden ser diversos aparells del sistema operatiu o qualsevol programa instal·lat.

Per exemple, per enumerar tots els esdeveniments activats per PowerShell, el formulari de visualització personalitzat té aquest aspecte:

De manera predeterminada, el Visor d'esdeveniments ofereix desar el filtre creat recentment com a vista personalitzada.

El resultat hauria de ser així:

Còpia de seguretat dels registres

El Visor d'esdeveniments també pot exportar els registres d'esdeveniments. Pot ser útil per depurar o fer una còpia de seguretat dels registres importants per a més endavant.

En aquest exemple, crearem una còpia de seguretat dels registres de 'Windows PowerShell'.

Al tauler esquerre, seleccioneu 'Windows PowerShell', feu-hi clic amb el botó dret i seleccioneu 'Desa tots els esdeveniments com'.

Se us demanarà que trieu la ubicació on s'emmagatzema el fitxer de còpia de seguretat.

Finalment, el Visor d'esdeveniments us demanarà si voleu emmagatzemar la informació addicional de visualització amb el fitxer. Es recomana incloure'ls perquè es puguin treballar amb els registres en qualsevol altre ordinador. Tanmateix, només per a finalitats de còpia de seguretat, és possible que vulgueu evitar-ho per reduir la mida del fitxer.

Si opteu per incloure les dades de visualització addicionals, el Visor d'esdeveniments crea un directori 'LocaleMetaData' addicional.

Importació dels registres

Ara hem après com fer una còpia de seguretat dels registres d'esdeveniments amb èxit. Ara, hem d'aprendre a importar-los quan sigui necessari.

Per importar els registres d'un fitxer de còpia de seguretat del Visor d'esdeveniments, aneu a Acció >> Obre el registre desat des de la finestra principal.

Ara, busqueu el fitxer de còpia de seguretat.

Podeu decidir el nom de l'abocador de registres i on s'emmagatzemarà. Per defecte, el Visor d'esdeveniments els posa a 'Registres desats'.

Els registres importats haurien d'estar disponibles a 'Registres desats'.

Netejant els registres

Event Viewer ha estat recopilant registres des de la instal·lació del sistema operatiu. Amb el temps suficient, s'acumularà un gran nombre de registres. El Visor d'esdeveniments també permet esborrar tots els registres acumulats actualment. Tanmateix, aquesta acció pot requerir un privilegi d'administrador.

Per esborrar els registres, seleccioneu una subcategoria al tauler esquerre i seleccioneu 'Esborra el registre'.

El Visor d'esdeveniments llança un avís abans de decidir esborrar els registres.

El resultat hauria de ser així:

Conclusió

En aquesta guia, vam demostrar com utilitzar el Visor d'esdeveniments per mirar els registres d'esdeveniments de Windows. També vam aprendre a navegar pels registres, aplicar els filtres personalitzats, fer còpies de seguretat i importar els registres, etc.

Feliç informàtica!

Altres

Categoria

Entrades Populars

Hi ha una manera fàcil de convertir el codi jQuery a JavaScript?

Com fer que les files s'estenen a Tailwind?

Com iniciar l'ordre Linux en segon pla i desconnectar el procés al terminal

Com aconseguir que Git cloni al directori actual

Què fa el mètode getComputedStyle() de l'objecte finestra a JavaScript

Com instal·lar Golang (Go) a Debian 12

Com instal·lar Docker Compose des del terminal Mac

Correcció: l'actualització de Windows no pot comprovar actualment si hi ha actualitzacions

Com saber si la subxarxa és pública

Com utilitzar l'analitzador de llista a LangChain?

Com instal·lar i gestionar el mòdul PowerShell SecretManagement?

Configurar Filebeat a Windows- Elasticsearch

Com puc passar una matriu en TypeScript?

Com utilitzar el cmdlet Get-Item (Microsoft.PowerShell.Management) a PowerShell?

Sed substituir Newline per espai

Com crear un avatar a Discord

Com instal·lar i configurar Dropbear a Ubuntu

Què és un registre d'auditoria a Discord i com funciona

Què és el mètode array.slice() a JavaScript?

Converteix Excel a Google Sheets