Использование средства просмотра событий для устранения проблем

В сегодняшнем выпуске Geek School мы собираемся научить вас, как использовать Event Viewer для устранения проблем на вашем ПК и понять, что происходит под капотом..

ШКОЛЬНАЯ НАВИГАЦИЯ

1. Использование планировщика задач для запуска процессов позже
2. Использование средства просмотра событий для устранения проблем
3. Понимание разбиения жесткого диска с помощью управления дисками
4. Научиться пользоваться редактором реестра как профессионал
5. Мониторинг вашего ПК с помощью монитора ресурсов и диспетчера задач
6. Понимание панели расширенных системных свойств
7. Понимание и управление службами Windows
8. Использование редактора групповой политики для настройки вашего ПК
9. Понимание средств администрирования Windows

Самая большая проблема с Event Viewer заключается в том, что он может сбивать с толку - есть много предупреждений, ошибок и информационных сообщений, и, не зная, что все это значит, вы можете предположить (неправильно), что ваш компьютер поврежден или заражен, когда есть ничего страшного.

Фактически, мошенники из службы технической поддержки используют Event Viewer как часть своей тактики продаж, чтобы убедить сбитых с толку пользователей, что их компьютер заражен вирусами. Они проводят вас через фильтрацию только по критическим ошибкам, а затем удивляются, что все, что вы видите, это критические ошибки..

Изучение того, как использовать и понимать Event Viewer, является критически важным навыком для выяснения того, что происходит с ПК, и устранения неполадок..

Понимание интерфейса

Когда вы впервые откроете Event Viewer, вы заметите, что он использует трехпанельную конфигурацию, как и многие другие инструменты администрирования в Windows, хотя в этом случае на самом деле есть довольно много полезных инструментов с правой стороны..

На левой панели отображается представление папки, где вы можете найти все различные журналы событий, а также представления, которые можно настроить для событий из нескольких журналов одновременно. Например, представление «Административные события» в последних версиях Windows отображает все события «Ошибка», «Предупреждение» и «Критические» независимо от того, произошли ли они из журнала приложений или системного журнала..

Средняя панель отображает список событий, и при щелчке по ним на панели предварительного просмотра отображаются подробности - или вы можете дважды щелкнуть по любому из них, чтобы открыть его в отдельном окне, что может быть удобно при просмотре. большой набор событий и хотите найти все важные вещи, прежде чем начать поиск в Интернете.

Правая панель предоставляет вам быстрый доступ к таким действиям, как создание пользовательских представлений, фильтрация или даже создание запланированных задач на основе определенного события..

Конечно, сами события - это то, что мы пытаемся увидеть, и их полезность может варьироваться от действительно конкретных и очевидных вещей, которые вы можете легко исправить, до очень расплывчатых сообщений, которые не имеют никакого смысла, и вы не можете найти никаких информация в гугле. Обычные поля на дисплее содержат:

• Имя журнала - в то время как в старых версиях Windows все записывалось в журнал приложений или системы, в более современных выпусках можно выбирать из десятков или сотен различных журналов. Каждый компонент Windows, скорее всего, будет иметь свой собственный журнал.
• Источник - это имя программного обеспечения, которое генерирует событие журнала. Конечно, имя обычно не совпадает с именем файла, но это представление того, какой компонент это сделал.
• Идентификатор события - действительно важный идентификатор события может немного сбить с толку. Если бы вы использовали Google для «идентификатора события 122», который вы видите на следующем снимке экрана, вы не получили бы очень полезную информацию, если бы вы также не указали «Источник» или имя приложения. Это потому, что каждое приложение может определять свои собственные уникальные идентификаторы событий.
• уровень - Это говорит вам, насколько серьезным является событие - информация просто сообщает вам, что что-то изменилось или компонент запущен, или что-то завершено. Предупреждение говорит вам, что что-то может пойти не так, но это не так уж важно. Ошибка говорит вам, что случилось то, чего не должно было случиться, но это не всегда конец света. Критическое, с другой стороны, означает, что что-то где-то сломано, и компонент, вызвавший это событие, вероятно, потерпел крах.
• пользователь - в этом поле указывается, был ли системный компонент или ваша учетная запись пользователя выполняющим процесс, вызвавший ошибку. Это может быть полезно при просмотре вещей.
• OpCode - в этом поле теоретически указывается, какие действия выполнялось приложением или компонентом при запуске события. На практике, однако, он почти всегда говорит «информация» и довольно бесполезен.
• компьютер - на вашем домашнем компьютере это обычно будет просто имя вашего ПК, но в мире ИТ вы можете перенаправлять события с одного компьютера или сервера на другой компьютер. Вы также можете подключить Event Viewer к другому ПК или серверу.
• Категория задачи - это поле не всегда используется, но в итоге оно становится информационным полем, которое сообщает вам немного больше информации о событии.
• Ключевые слова - это поле обычно не используется и обычно содержит бесполезную информацию.

Как правило, вы должны попытаться выполнить поиск по общему описанию или по идентификатору события и источнику, или по комбинации этих значений..

Просто помните, что идентификатор события уникален для каждого приложения. Таким образом, существует много совпадений, и вы не можете просто искать «Event ID 122», потому что вы получите много глупостей.

Важная заметка: В журнале событий всегда будут ошибки и предупреждения, и вы не можете устранить их все. Самое главное - использовать средство просмотра событий для устранения проблем, которые у вас уже есть, вместо того, чтобы пытаться найти проблемы, о которых вы еще не знаете.

И да, вам нужно будет использовать свои навыки Google, чтобы исследовать события, о которых вы не знаете. Там нет простого волшебного решения.

Единственное, что вы могли бы сразу же сделать, увидев это диалоговое окно, - щелкнуть ссылку «Дополнительная информация»… проблема в том, что в настоящее время он не приносит вам никакой пользы. Вы просто оказались на странице с ошибкой на сайте Microsoft.

Что страшно, так это то, что 8464 человека считают страницу не найденной полезной..

Преобразование поиска по событию в Интернете для фактической работы

По какой-то причине ссылка «Дополнительная информация: онлайн-справка журнала событий» просто не работает для нас, но, к счастью, есть отличный взлом реестра, который вы можете использовать для решения проблемы..

То, что мы собираемся сделать, - это просто изменить URL-адрес перенаправления в реестре, чтобы он указывал на Google… кроме как из-за способа передачи аргументов, нам нужно будет указать его на промежуточную страницу, которая будет анализировать аргументы и сформировать правильный поисковый URL Google.

Для этой статьи мы разместили страницу на нашем собственном сервере, и вы можете использовать ее. Если вы не хотите использовать наш сервер, в конце этого раздела указана одна строка кода PHP..

Чтобы внести это изменение, перейдите к следующему разделу реестра:

HKLM \ Программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

Найдите значение MicrosoftRedirectionURL с правой стороны, а затем измените его значение по умолчанию на http://go.microsoft.com/fwlink/events.asp и вставьте вместо него это значение:

https://www.howtogeek.com/eventid

Как только вы это сделаете, щелкнув ссылку в окне «Свойства события», вы сразу же будете перенаправлены в Google с соответствующими данными, уже включенными (идентификатор события, имя журнала и «приложение», которое, как правило, означает «Microsoft Windows»)..

Как это работает? Это довольно просто - программа просмотра событий добавляет набор параметров в качестве аргументов строки запроса к URL-адресу, который мы помещаем в реестр. Затем скрипт извлекает эти аргументы и перенаправляет их в Google, передавая аргументы в качестве поисковых терминов..

Используя простой PHP-скрипт, мы разработали редирект.

header ('Location: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']);

Вы можете разместить ту же самую вещь на своем собственном сервере, если хотите, или можете использовать тот, который находится на нашем сервере. Вам решать.

Остерегайтесь интернет-сайтов с «Решениями» для идентификатора события «Проблемы»

Существует множество веб-сайтов, которые автоматически генерируют страницы для каждого идентификатора события, а затем наполняют их бессмыслицей. Это было бы очень хорошо, за исключением многих из этих событий, есть не так много других хороших результатов.

Затем эти сайты предложат решить проблему, если вы просто загрузите часть программного обеспечения для бесплатного анализа. Во всех случаях это будет реклама, а «программное решение» является мошенничеством.

Нет НИКАКОГО программного пакета, который может решить все проблемы журнала событий.

Использование фильтров и пользовательских представлений

Вместо того, чтобы просматривать миллионы папок пользовательских журналов событий и пытаться найти все, что вы ищете, вы можете создать собственное представление, отображающее только те события, которые вы хотите видеть..

Для достижения наилучших результатов вам нужно отфильтровать только по конкретным вещам, которые вы хотите увидеть - например, «Критические», «Ошибка» и «Предупреждение», а затем выбрать журналы событий, которые вы хотите просмотреть в этом представлении. Не выбирайте слишком много, потому что это просто не сработает.

После того, как вы выбрали то, что хотите в представлении, вас попросят дать имени настраиваемому представлению имя, а затем вы сможете использовать его для просмотра только тех событий, для которых вы отфильтровали. Это невероятно отличный способ иметь дело с массивными журналами, полными бессмысленных информационных событий.

Возможно, еще проще, конечно, просто использовать встроенное административное представление событий, которое отображает важные сообщения из каждого из основных журналов.

Посмотрите журнал производительности диагностики Windows

Есть много интересных журналов, чтобы посмотреть, когда вы устраняете неполадки, но один из самых интересных можно найти, просматривая папки в следующем месте:

Microsoft \ Windows \ Диагностика-Производительность

Это приводит к журналу событий, который показывает все, что Windows регистрирует внутри для проверки производительности - если ваш компьютер загружается медленнее, чем обычно, Windows обычно имеет для него запись в журнале и часто перечисляет компонент, вызвавший Windows загружаться медленнее.

Стоит отметить, что то, что сообщение показывает ошибку, не означает, что наступил конец света, если только оно не появляется постоянно. Тогда вы можете подумать об этом.

Исправление этой ошибки ранее

Вам интересно событие на скриншоте ранее в статье? Если вы получите сообщение «Доступ к драйверам в Центре обновления Windows был заблокирован политикой», решение действительно простое. Откройте панель управления, найдите «драйвер» и выберите «Изменить параметры установки устройства»..

На следующем снимке экрана вы заметите, что этот конкретный компьютер не настроен на автоматическую загрузку драйверов устройств из Центра обновления Windows. Чтобы решить проблему и сделать так, чтобы больше сообщений отображалось в Event Viewer, все, что вам нужно сделать, это переключить переключатель на «Да, сделать это автоматически».

Красиво и просто. Проблема решена, предупреждающее сообщение разрешено.

Прикрепление задач к событиям

Если вы уделяли внимание на последнем уроке Geek School, вы могли бы вспомнить, что вы можете создать триггер планировщика заданий по идентификатору события - и вы можете сделать то же самое, действуя в другом направлении. Щелкните правой кнопкой мыши по любой задаче, и вы можете легко прикрепить запланированную задачу к запуску, когда происходит событие.

Другие функции, которые вам могут понадобиться

Event Viewer имеет несколько других функций, которые могут вас заинтересовать. Для большинства людей важно просто просмотреть список и знать, что искать.

Подписки, которые можно найти в левом меню, - это функция, широко используемая в корпоративной среде для пересылки событий с одного сервера на другой, чтобы вы могли управлять ими всеми в одном месте. Для этого необходимо, чтобы службы Windows Event Collector и Windows Remote Management были запущены. Для домашних пользователей, вы не должны связываться с этим, кроме как в целях обучения в вашей тестовой системе.

Если вы щелкнете правой кнопкой мыши по элементам с левой стороны, вы увидите множество действий (те же, которые обычно находятся на правой панели).

Вы можете сохранить все события в журнале для просмотра позже или на другом ПК, вы можете скопировать представление или экспортировать его в виде файла XML для импорта на другой компьютер..