Hjemmeside » skole » Bruke Event Viewer til å feilsøke problemer

    Bruke Event Viewer til å feilsøke problemer


    I dagens utgave av Geek School skal vi lære deg hvordan du bruker Event Viewer til å feilsøke problemer på PCen din og forstå hva som skjer under hetten.

    SCHOOL NAVIGASJON
    1. Bruk Oppgaveplanlegger til å kjøre prosesser senere
    2. Bruke Event Viewer til å feilsøke problemer
    3. Forstå harddiskpartisjonering med Diskhåndtering
    4. Lære å bruke Registerredigering som et proff
    5. Overvåker PCen med ressursmonitor og oppgavebehandling
    6. Forstå panelet Avansert systemegenskaper
    7. Forstå og administrere Windows Services
    8. Bruk Group Policy Editor til å tweak din PC
    9. Forstå Windows Administrasjonsverktøy

    Det største problemet med Event Viewer er at det kan være veldig forvirrende - det er mange advarsler, feil og informasjonsmeldinger, og uten å vite hva det betyr, kan du anta (feil) at datamaskinen din er ødelagt eller smittet når det er ingenting virkelig galt.

    Faktisk bruker tech support scammers bruker Event Viewer som en del av deres salg taktikk for å overbevise forvirrede brukere om at deres PC er infisert med virus. De går deg gjennom filtrering ved bare kritiske feil og da handler overrasket over at alt du ser er kritiske feil.

    Lære å bruke og forstå Event Viewer er en kritisk ferdighet for å finne ut hva som skjer med en PC og problemløsing problemer.

    Forstå grensesnittet

    Når du først åpner Event Viewer, vil du legge merke til at den bruker trepanelkonfigurasjonen som mange av de andre administrative verktøyene i Windows, men i dette tilfellet er det faktisk ganske mange nyttige verktøy på høyre side.

    Den venstre ruten viser en mappevisning, der du kan finne alle de forskjellige hendelsesloggene, samt visningene som kan tilpasses med hendelser fra mange logger samtidig. For eksempel viser Visning av administrative hendelser i nyere versjoner av Windows alle feil, advarsler og kritiske hendelser om de stammer fra programloggen eller systemloggen.

    Mellomruten viser en liste over hendelser, og ved å klikke på dem, vises detaljene i forhåndsvisningspanelet - eller du kan dobbeltklikke på noen av dem for å trekke den opp i et eget vindu, noe som kan være nyttig når du ser gjennom et stort sett med hendelser og ønsker å finne alle de viktige tingene før du begynner å søke på Internett.

    Den høyre ruten gir deg rask tilgang til handlinger som å lage tilpassede visninger, filtrere eller til og med lage en planlagt oppgave basert på en bestemt hendelse.

    Hendelsene seg selv er det vi selvfølgelig prøver å se, og deres brukervennlighet kan variere fra virkelig spesifikke og åpenbare ting som du enkelt kan fikse til de svært vage meldingene som ikke gir mening, og du kan ikke finne noen informasjon på google De vanlige feltene på skjermen inneholder:

    • Loggnavn - mens i eldre versjoner av Windows alt ble dumpet inn i applikasjons- eller systemloggen, i de mer moderne utgavene er det dusinvis eller hundrevis av forskjellige logger å velge mellom. Hver Windows-komponent vil mest sannsynlig ha sin egen logg.
    • Kilde - Dette er navnet på programvaren som genererer logghendelsen. Navnet svarer vanligvis ikke direkte til et filnavn, selvfølgelig, men det er en representasjon av hvilken komponent som gjorde det.
    • Hendelses-ID - Det aller viktigste arrangementet kan faktisk være litt forvirrende. Hvis du var til Google for "hendelse ID 122" som du ser på neste skjermbilde, ville du ikke ende opp med veldig nyttig informasjon, med mindre du også inkluderer kilden eller programnavnet. Dette skyldes at hver applikasjon kan definere sine egne unike hendelses-IDer.
    • Nivå - Dette forteller deg hvor alvorlig hendelsen er - Informasjon forteller deg bare at noe har endret seg eller en komponent har startet, eller noe har fullført. Advarsel forteller deg at noe kan gå galt, men det er ikke så viktig ennå. Feil forteller deg at noe skjedde som ikke skulle ha skjedd, men er ikke alltid verdens ende. Kritisk betyr på den annen side at noe er ødelagt et sted, og komponenten som utløste denne hendelsen har trolig krasjet.
    • Bruker - dette feltet forteller om det var en systemkomponent eller brukerkonto som kjørte prosessen som forårsaket feilen. Dette kan være nyttig når du ser gjennom ting.
    • opcode - dette feltet forteller teoretisk hvilken aktivitet applikasjonen eller komponenten gjorde når hendelsen ble utløst. I praksis vil det imidlertid nesten alltid si "Info" og er ganske ubrukelig.
    • Datamaskin - På skrivebordet ditt vil dette vanligvis bare være datamaskinens navn, men i IT-verdenen kan du faktisk sende hendelser fra en datamaskin eller server til en annen datamaskin. Du kan også koble Event Viewer til en annen PC eller server.
    • Oppgavekategori - dette feltet er ikke alltid brukt, men det ender opp med å være et informasjonsfelt som forteller deg litt mer informasjon om hendelsen.
    • nøkkelord - dette feltet brukes vanligvis ikke, og inneholder vanligvis ubrukelig informasjon.

    Som en tommelfingerregel bør du prøve å søke etter den generelle beskrivelsen, eller hendelses-IDen og kilden, eller en kombinasjon av disse verdiene.

    Bare husk at Event ID er unikt ... for hver applikasjon. Så det er mye overlapping, og du kan ikke bare søke etter "Event ID 122" fordi du får mye tull.

    Viktig notat: Det vil alltid være feil og advarsler i hendelsesloggen, og du kan ikke løse dem alle. Det viktigste er å bruke Event Viewer til å feilsøke problemer du allerede har, i stedet for å prøve å finne problemer som du ikke vet om ennå.

    Og ja, du kommer til å trenge å bruke dine Google-ferdigheter til å undersøke hendelsene du ikke vet om. Det er ingen lett magisk løsning.

    Den eneste tingen du kanskje umiddelbart gjør når du ser denne dialogboksen, klikker du på Mer informasjon-linken ... problemet er at det for øyeblikket ikke gir deg noe som helst nyttig. Du ender opp med en feilside på Microsofts nettsted.

    Hva er skummelt er at 8464 personer vurderte siden ikke funnet som nyttig.

    Tilbakekalling av online-hendelses-ID-søk for å faktisk fungere

    Av en eller annen grunn, "Mer informasjon: Event Log Online Help" -koblingen bare flat ut virker ikke for oss, men heldigvis er det et flott registerhakk som du kan bruke til å fikse problemet.

    Hva vi skal gjøre, er bare å endre omadresseringsadressen i registret for å peke mot Google ... unntatt på grunn av måten argumentene er bestått, må vi peke den mot en mellomliggende side som vil analysere argumentene og danner den riktige søkeadressen til Google.

    I denne artikkelen setter vi opp en side på vår egen server, og du er velkommen til å bruke den. Hvis du ikke vil bruke vår server, er den enkle linjen i PHP-koden listet ut på slutten av denne delen.

    For å gjøre denne endringen, gå ned til følgende registernøkkel:

    HKLM \ Programvare \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

    Finn MicrosoftRedirectionURL-verdien på høyre side, og endre deretter verdien ut fra standarden, som er http://go.microsoft.com/fwlink/events.asp og sett inn denne verdien i stedet:

    https://www.howtogeek.com/eventid

    Når du har gjort det, klikker du på lenken i vinduet Hendelsesegenskaper umiddelbart omdirigere deg til Google, med de relevante dataene som allerede er inkludert (Hendelses-ID, loggnavn og "program", som vanligvis bare sier Microsoft Windows).

    Hvordan virker dette? Det er ganske enkelt - Event Viewer legger til på et sett med parametre som spørringsstrengargumenter til nettadressen som vi legger inn i registret. Da trekker skriptet ut disse argumentene og omdirigerer til Google, og sender argumentene som søkeord i stedet.

    Ved hjelp av et enkelt PHP-skript, er dette det vi oppdaget for å håndtere omadresseringen.

    header ('Location: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']);

    Du kan være vert for det samme på din egen server hvis du vil, eller du kan bruke den som sitter på vår server. Opp til deg.

    Pass på nettsteder med "Løsninger" for hendelses-ID "Problemer"

    Det er massevis av nettsteder der ute som automatisk genererer sider for hver enkelt hendelses-ID, og ​​deretter fyller dem med tull. Det ville være fint, bortsett fra mange av disse hendelsene, er det ikke mange andre gode resultater.

    Disse nettstedene vil da tilby å løse problemet hvis du bare laster ned noe program for gratis analyse. I alle tilfeller vil disse være annonser, og programvaren "løsning" er et bedrageri.

    Det er ingen programvarepakke som kan løse alle hendelsesloggproblemer.

    Bruke filtre og egendefinerte visninger

    I stedet for å gå gjennom zillionmappene av tilpassede hendelseslogger og prøver å finne alt du leter etter, kan du opprette en egendefinert visning som bare viser hendelsene du vil se.

    For best resultat, vil du filtrere etter bare de spesifikke tingene du vil se - sannsynligvis Kritisk, Feil og Advarsel, og velg deretter de spesifikke hendelsesloggene du vil ha denne visningen å se gjennom. Ikke velg for mange, men fordi det bare kommer til å fungere.

    Når du har valgt det du vil ha i visningen, blir du bedt om å gi den egendefinerte visningen et navn, og du kan deretter bruke det for å se bare hendelsene du har filtrert for. Det er en utrolig fin måte å håndtere med massive logger fulle av usammenhengende informasjonshendelser.

    Kanskje enda enklere, selvfølgelig, er å bare bruke den innebygde administrative hendelsesvisningen, som viser viktige meldinger fra hver av hovedloggene.

    Se gjennom Windows Diagnostics Performance Log

    Det er mange interessante logger å se på når du feilsøker, men en av de mest interessante finner du ved å bla gjennom mappene til følgende sted:

    Microsoft \ Windows \ Diagnostics-Performance

    Dette resulterer i en hendelseslogg som viser alle de tingene som Windows logger internt for ytelseskontroll. Hvis datamaskinen starter opp langsommere enn normalt, vil Windows vanligvis ha en loggoppføring for det, og vil ofte liste ut komponenten som forårsaket Windows til oppstart sakte.

    Det er verdt å merke seg at bare fordi meldingen viser en feil, betyr det ikke at det er verdens ende, med mindre det kommer opp hele tiden. Da vil du kanskje tenke på det.

    Å fikse den feilen fra tidligere

    Nysgjerrig om arrangementet i skjermbildet tidligere i artikkelen? Hvis du får meldingen "Tilgang til drivere på Windows Update ble blokkert av policy", er løsningen veldig enkel. Åpne Kontrollpanel, søk etter "Driver" og velg deretter Endre enhetens installasjonsinnstillinger.

    Du vil legge merke til i neste skjermbilde at denne datamaskinen ble satt til ikke automatisk last ned enhetsdrivere fra Windows-oppdatering. For å løse problemet og få flere meldinger til å vises i Event Viewer, er alt du trenger å gjøre ved å bytte alternativknappen til "Ja, gjør dette automatisk".

    Hyggelig og enkel. Problem løst, varslingsmelding løst.

    Vedlegg av oppgaver til hendelser

    Hvis du var oppmerksom på den siste Geekskole leksjonen, kan du huske at du kan opprette en oppgaveplanlegger utløser etter hendelses-ID - og du kan også gjøre det samme som går motsatt. Høyreklikk på en hvilken som helst oppgave, og du kan enkelt legge ved en planlagt oppgave å løpe når en hendelse skjer.

    Andre funksjoner du trenger

    Event Viewer har et par andre funksjoner som du kanskje er interessert i å bruke. For de fleste, bare å gå gjennom listen og vite hva du skal se etter er viktig.

    Abonnementer, som finnes i den venstre menyen, er en funksjon som i stor grad brukes i et bedriftsmiljø for å videresende hendelser fra en server til en annen, slik at du kan administrere dem alt på ett sted. Dette krever at Windows Event Collector og Windows Remote Management-tjenestene kjører. For hjemmebrukere, bør du ikke rote med det, annet enn for læringsformål på testsystemet ditt.

    Hvis du høyreklikker på elementene på venstre side, ser du en rekke handlinger (de samme som vanligvis finnes i den høyre ruten).

    Du kan lagre alle hendelsene i en logg for å se senere eller på en annen PC, du kan kopiere en visning eller eksportere den som en XML-fil for å importere til en annen datamaskin.