Startpagina » school- » Event Viewer gebruiken om problemen op te lossen

    Event Viewer gebruiken om problemen op te lossen


    In de huidige editie van Geek School gaan we je leren hoe je Event Viewer kunt gebruiken om problemen op je pc op te lossen en te begrijpen wat er gaande is onder de motorkap.

    SCHOOLNAVIGATIE
    1. Taakplanner gebruiken om processen later uit te voeren
    2. Event Viewer gebruiken om problemen op te lossen
    3. Inzicht in partitionering van harde schijven met schijfbeheer
    4. Leren werken met de register-editor als een professional
    5. Monitoring van uw pc met Resource Monitor en Taakbeheer
    6. Het geavanceerde paneel met systeemeigenschappen
    7. Windows Services begrijpen en beheren
    8. Groepsbeleid-editor gebruiken om uw pc te tweaken
    9. Meer informatie over Windows-beheerprogramma's

    Het grootste probleem met Event Viewer is dat het echt verwarrend kan zijn - er zijn veel waarschuwingen, fouten en informatieve berichten, en zonder te weten wat het allemaal betekent, kun je (ten onrechte) aannemen dat je computer kapot of geïnfecteerd is wanneer er er is niets echt mis.

    In feite gebruiken de scammers voor technische ondersteuning Event Viewer als onderdeel van hun verkooptactiek om verwarde gebruikers ervan te overtuigen dat hun pc is geïnfecteerd met virussen. Ze begeleiden u bij het filteren op alleen kritieke fouten en reageren dan verbaasd dat alles wat u ziet kritische fouten zijn.

    Leren hoe je Event Viewer moet gebruiken en begrijpen, is een kritische vaardigheid om uit te zoeken wat er met een pc aan de hand is en om problemen met het oplossen van problemen op te lossen.

    De interface begrijpen

    Wanneer u Logboeken voor het eerst opent, merkt u dat deze de configuratie met drie panelen gebruikt, zoals veel andere beheerhulpprogramma's in Windows, hoewel er in dit geval feitelijk behoorlijk wat handige hulpmiddelen aan de rechterkant zijn..

    Het linkerdeelvenster geeft een mapweergave weer, waarin u alle verschillende gebeurtenislogboeken kunt vinden, evenals de weergaven die kunnen worden aangepast met gebeurtenissen uit vele logboeken tegelijk. De weergave Beheergebeurtenissen in recente versies van Windows geeft bijvoorbeeld alle fout-, waarschuwings- en kritieke gebeurtenissen weer, ongeacht of deze afkomstig zijn uit het toepassingslogboek of het systeemlogboek..

    In het middelste deelvenster wordt een lijst met gebeurtenissen weergegeven en door erop te klikken, worden de details in het voorbeeldvenster weergegeven. U kunt ook dubbelklikken op een van de gebeurtenissen om deze in een apart venster te openen, wat handig kan zijn wanneer u door de lijst kijkt. een groot aantal evenementen en wil je alle belangrijke dingen vinden voordat je op internet gaat zoeken.

    Het rechterdeelvenster geeft u snel toegang tot acties zoals het maken van aangepaste weergaven, filteren of zelfs een geplande taak maken op basis van een bepaald evenement.

    De gebeurtenissen zelf zijn wat we proberen te zien, en hun bruikbaarheid kan variëren van echt specifieke en voor de hand liggende dingen die je gemakkelijk kunt oplossen tot de zeer vage berichten die nergens op slaan en die je niet kunt vinden informatie op Google. De reguliere velden op het display bevatten:

    • Lognaam - terwijl in oudere versies van Windows alles in het applicatie- of systeemlogboek werd gedumpt, in de meer moderne edities zijn er tientallen of honderden verschillende logboeken om uit te kiezen. Elk Windows-onderdeel heeft hoogstwaarschijnlijk een eigen logboek.
    • Bron - dit is de naam van de software die de log-gebeurtenis genereert. De naam komt meestal niet direct overeen met een bestandsnaam, maar het is een weergave van welk onderdeel het heeft gedaan.
    • Gebeurtenis-ID - de zeer belangrijke gebeurtenis-ID kan eigenlijk een beetje verwarrend zijn. Als u naar Google zou gaan voor 'gebeurtenis-ID 122' die u in de volgende schermafbeelding ziet, krijgt u niet zo veel nuttige informatie, tenzij u ook de bron of de naam van de toepassing opneemt. Dit komt omdat elke toepassing hun eigen unieke gebeurtenis-id's kan definiëren.
    • Niveau - Dit vertelt je hoe ernstig de gebeurtenis is: informatie vertelt je gewoon dat er iets is veranderd of dat een component is gestart of dat iets is voltooid. Waarschuwing vertelt je dat er iets mis kan gaan, maar het is nog niet zo belangrijk. Fout vertelt u dat er iets is gebeurd dat niet had mogen gebeuren, maar niet altijd het einde van de wereld is. Aan de andere kant betekent kritiek dat ergens iets wordt verbroken en het onderdeel dat deze gebeurtenis heeft geactiveerd, is waarschijnlijk gecrasht.
    • Gebruiker - dit veld vertelt u of het een systeemcomponent of uw gebruikersaccount was die het proces leidde dat de fout veroorzaakte. Dit kan handig zijn als je door dingen kijkt.
    • OpCode - dit veld geeft theoretisch aan welke activiteit de toepassing of component had toen de gebeurtenis werd geactiveerd. In de praktijk zal het echter bijna altijd "Info" zeggen en is het tamelijk nutteloos.
    • Computer - op uw startpagina is dit meestal alleen de naam van uw pc, maar in de IT-wereld kunt u gebeurtenissen van de ene computer of server naar een andere computer doorsturen. U kunt Event Viewer ook verbinden met een andere pc of server.
    • Taakcategorie - dit veld wordt niet altijd gebruikt, maar het wordt in feite een informatieveld dat u meer informatie over het evenement geeft.
    • trefwoorden - dit veld wordt meestal niet gebruikt en bevat meestal nutteloze informatie.

    Als vuistregel kunt u zoeken op basis van de algemene beschrijving, de gebeurtenis-ID en de bron, of een combinatie van deze waarden.

    Onthoud gewoon dat de gebeurtenis-id uniek is ... voor elke toepassing. Er is dus veel overlap en je kunt niet gewoon zoeken naar "Gebeurtenis-ID 122" omdat je veel onzin krijgt.

    Belangrijke notitie: Er zullen altijd fouten en waarschuwingen in het logboek voorkomen en u kunt ze niet allemaal oplossen. Het belangrijkste is om Event Viewer te gebruiken om problemen op te lossen die je al hebt, in plaats van te proberen om problemen te vinden waarvan je nog niet weet.

    En ja, je zult je Google-vaardigheden moeten gebruiken om onderzoek te doen naar de gebeurtenissen waarvan je niet weet. Er is geen gemakkelijke magische oplossing.

    Het enige dat je meteen kunt doen bij het zien van dit dialoogvenster, is klikken op de link Meer informatie ... het probleem is dat het je op dit moment niet overal bruikbaar maakt. Je komt gewoon terecht op een foutpagina op de Microsoft-site.

    Wat eng is, is dat 8464 mensen de pagina niet vonden als nuttig.

    Het online zoeken naar het online-evenement-ID zoeken

    Om de een of andere reden werkt de link "Meer informatie: Gebeurtenislogboek online Help" gewoon niet voor ons, maar gelukkig is er een geweldige registerhack die u kunt gebruiken om het probleem op te lossen.

    Wat we gaan doen, is gewoon de omleidings-URL in het register naar Google wijzen ... behalve vanwege de manier waarop de argumenten worden doorgegeven, moeten we deze naar een tussenliggende pagina verwijzen die de argumenten en argumenten zal ontleden. vorm de juiste Google-zoek-URL.

    Voor de toepassing van dit artikel plaatsen we een pagina op onze eigen server en bent u welkom om het te gebruiken. Als u onze server liever niet gebruikt, wordt de enkele regel met PHP-code vermeld aan het einde van dit gedeelte.

    Om deze wijziging aan te brengen, gaat u naar de volgende registersleutel:

    HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

    Zoek de MicrosoftRedirectionURL-waarde aan de rechterkant en wijzig de waarde vervolgens uit de standaardwaarde, die http://go.microsoft.com/fwlink/events.asp is en voeg deze waarde toe in plaats daarvan:

    https://www.howtogeek.com/eventid

    Zodra je dat hebt gedaan, zal het klikken op de link in het venster Event Properties je onmiddellijk doorverwijzen naar Google, met de relevante gegevens al inbegrepen (Gebeurtenis-ID, log-naam en "applicatie", die meestal Microsoft Windows zegt).

    Hoe werkt dit? Het is vrij eenvoudig - Event Viewer voegt een reeks parameters als querystringargumenten toe aan de URL die we in het register plaatsen. Vervolgens extraheert het script deze argumenten en wordt doorgestuurd naar Google. In plaats daarvan worden de argumenten doorgegeven als zoektermen.

    Met behulp van een eenvoudig PHP-script, dit is wat we bedachten om de omleiding af te handelen.

    header ('Location: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']);

    Je kunt hetzelfde op je eigen server hosten als je wilt, of je kunt degene gebruiken die op onze server zit. Dat is jouw keuze.

    Pas op voor internetsites met "oplossingen" voor "problemen met de gebeurtenis-ID"

    Er zijn ontzettend veel websites die automatisch pagina's genereren voor elke afzonderlijke evenement-ID, en ze vervolgens vullen met onzin. Dat zou prima zijn, behalve voor veel van deze evenementen zijn er niet veel andere goede resultaten.

    Die sites zullen dan aanbieden om het probleem op te lossen als je een stukje software downloadt voor je gratis analyse. In alle gevallen zullen dit advertenties zijn en de software "oplossing" is een fraude.

    Er is GEEN softwarepakket dat al uw problemen met het gebeurtenislogboek kan oplossen.

    Filters en aangepaste weergaven gebruiken

    In plaats van de ontelbare mappen met aangepaste gebeurtenislogboeken door te nemen en alles te vinden wat u zoekt, kunt u een aangepaste weergave maken die alleen de gebeurtenissen weergeeft die u wilt zien.

    Voor de beste resultaten zou u willen filteren op alleen de specifieke dingen die u wilt zien - waarschijnlijk Kritiek, Fout en Waarschuwing, en vervolgens de specifieke gebeurtenislogboeken kiezen waarop u deze weergave wilt laten kijken. Selecteer echter niet te veel, omdat het gewoon niet werkt.

    Nadat u in de weergave hebt geselecteerd wat u zoekt, wordt u gevraagd om de aangepaste weergave een naam te geven en vervolgens kunt u deze gebruiken om alleen de gebeurtenissen te bekijken waarvoor u hebt gefilterd. Het is een ongelooflijk goede manier om massieve logboeken vol met onzinnige informatiegebeurtenissen te verwerken.

    Misschien nog eenvoudiger is natuurlijk om gewoon de ingebouwde weergave Beheergebeurtenissen te gebruiken, die de belangrijke berichten van elk van de hoofdlogs weergeeft..

    Kijk door het prestatielogboek van Windows Diagnostics

    Er zijn veel interessante logboeken om naar te kijken als je problemen opdoet, maar een van de meest interessante is om door de mappen te bladeren naar de volgende locatie:

    Microsoft \ Windows \ Diagnostiek-prestaties

    Dit resulteert in een gebeurtenislogboek dat alle dingen toont die Windows intern logt voor prestatiecontrole - als uw computer langzamer opgestart wordt dan normaal, zal Windows daar meestal een logboekinvoer voor hebben en zal hij vaak de component vermelden die ervoor zorgde dat Windows start trager op.

    Het is vermeldenswaard dat alleen al omdat het bericht een foutmelding laat zien, niet betekent dat het het einde van de wereld is, tenzij het altijd verschijnt. Dan zou je er misschien over willen nadenken.

    Bevestiging van die fout van vroeger

    Benieuwd naar het evenement in de schermafbeelding eerder in het artikel? Als u het bericht "Toegang tot stuurprogramma's op Windows Update werd geblokkeerd door beleid" krijgt, is de oplossing heel eenvoudig. Open het Configuratiescherm, zoek naar "stuurprogramma" en kies vervolgens Installatie-instellingen voor apparaat wijzigen.

    In de volgende schermafbeelding ziet u dat deze specifieke computer is ingesteld om apparaatstuurprogramma's niet automatisch van de Windows-update te downloaden. Om het probleem op te lossen en meer van de berichten weer te geven in Logboeken, hoeft u alleen maar het keuzerondje over te schakelen naar "Ja, doe dit automatisch".

    Leuk en eenvoudig. Probleem opgelost, waarschuwingsbericht opgelost.

    Taken aan evenementen toevoegen

    Als je in de laatste Geek School-les oplette, weet je misschien dat je een trigger voor een Taakplanning kunt maken op basis van de gebeurtenis-ID - en je kunt ook hetzelfde doen als de andere kant op. Klik met de rechtermuisknop op een taak en u kunt eenvoudig een geplande taak toevoegen om te worden uitgevoerd wanneer een gebeurtenis plaatsvindt.

    Andere functies die u nodig heeft

    Event Viewer heeft nog enkele andere functies die u mogelijk wilt gebruiken. Voor de meeste mensen is het belangrijk om gewoon door de lijst te gaan en te weten waar je op moet letten.

    Abonnementen die u in het menu aan de linkerkant vindt, zijn functies die grotendeels worden gebruikt in een bedrijfsomgeving om gebeurtenissen van de ene naar de andere server door te sturen, zodat u ze allemaal op één plek kunt beheren. Hiervoor moeten de Windows Event Collector en Windows Remote Management-services worden uitgevoerd. Voor thuisgebruikers zou u er niet mee moeten rommelen, behalve om te leren op uw testsysteem.

    Als u met de rechtermuisknop op de items aan de linkerkant klikt, ziet u een massa acties (dezelfde die u meestal in het rechterdeelvenster vindt).

    U kunt alle gebeurtenissen in een log opslaan om later of op een andere pc te bekijken, u kunt een weergave kopiëren of exporteren als een XML-bestand om naar een andere computer te importeren.