Pomocí programu Prohlížeč událostí k řešení problémů

V dnešním vydání Geek School vás naučíme, jak pomocí Prohlížeče událostí řešit problémy v počítači a pochopit, co se děje pod kapotou.

ŠKOLNÍ NAVIGACE

1. Pomocí Plánovače úloh spustit procesy později
2. Pomocí programu Prohlížeč událostí k řešení problémů
3. Pochopení rozdělení pevného disku pomocí správy disků
4. Naučte se používat Editor registru jako profesionál
5. Sledování počítače pomocí nástroje Sledování zdrojů a správce úloh
6. Pochopení panelu pokročilých vlastností systému
7. Porozumění a správa služeb Windows
8. Pomocí Editoru zásad skupiny upravte svůj počítač
9. Porozumění nástrojům správy systému Windows

Největším problémem s programem Prohlížeč událostí je, že to může být opravdu matoucí - existuje mnoho varování, chyb a informačních zpráv a bez vědomí, co to znamená, můžete předpokládat (nesprávně), že počítač je poškozen nebo infikován, když je nic opravdu špatného.

Ve skutečnosti podvodníci technických podpor využívají Prohlížeč událostí jako součást své prodejní taktiky, aby přesvědčili zmatené uživatele, že jejich počítač je napaden viry. Procházejí vás pouze filtrováním kritických chyb a pak překvapíte, že vše, co vidíte, jsou kritické chyby.

Naučit se používat a pochopit Prohlížeč událostí je kritická dovednost pro zjištění toho, co se děje s počítačem a řešení problémů.

Porozumění rozhraní

Při prvním otevření Prohlížeče událostí zjistíte, že používá konfiguraci se třemi panely jako mnoho jiných nástrojů pro správu v systému Windows, i když v tomto případě je na pravé straně poměrně málo užitečných nástrojů.

V levém podokně se zobrazí přehled složek, kde najdete všechny různé protokoly událostí a také pohledy, které lze přizpůsobit událostem z mnoha protokolů najednou. Například zobrazení administrativních událostí v nedávných verzích systému Windows zobrazuje všechny události Chyba, Varování a Kritické, zda pocházejí z protokolu aplikace nebo systémového protokolu.

Na středním panelu se zobrazí seznam událostí a kliknutím na ně se zobrazí podrobnosti v podokně náhledu - nebo můžete poklepat na kteroukoli z nich, abyste ji vyndali do samostatného okna, což může být užitečné při prohlížení velký soubor událostí a chtít najít všechny důležité věci před zahájením vyhledávání na internetu.

Pravý panel poskytuje rychlý přístup k akcím, jako je vytváření vlastních pohledů, filtrování nebo dokonce vytvoření plánovaného úkolu na základě konkrétní události.

Samotné události se samozřejmě snažíme vidět a jejich užitečnost se může pohybovat od skutečně specifických a zřejmých věcí, které můžete snadno vyřešit na velmi vágní zprávy, které nedávají smysl a nemůžete najít žádné informace o Googlu. Pravidelná pole na displeji obsahují:

• Název protokolu - zatímco ve starších verzích systému Windows bylo vše zachyceno do protokolu aplikací nebo systému, v modernějších vydáních je k dispozici několik desítek nebo stovek různých protokolů. Každá součást systému Windows bude pravděpodobně mít svůj vlastní protokol.
• Zdroj - je to název softwaru, který generuje událost protokolu. Název se obvykle samozřejmě neshoduje přímo se jménem souboru, ale je to reprezentace komponentu, který jej provedl.
• ID události - důležitá ID události může být skutečně trochu matoucí. Pokud byste měli Google pro "ID události 122", který vidíte na další obrazovce obrazovky, neměli byste skončit s velmi užitečnými informacemi, pokud nezahrnujete také zdroj nebo název aplikace. Je to proto, že každá aplikace může definovat své vlastní jedinečné identifikátory událostí.
• Úroveň - To vám říká, jak závažná je událost - Informace vám pouze říkají, že se něco změnilo nebo začala nějaká součást nebo něco dokončilo. Varování vám říká, že se něco může stát špatně, ale zatím to není tak důležité. Chyba vám řekne, že se stalo něco, co se nemělo stát, ale není vždy konec světa. Kritická situace na druhou stranu znamená, že někde je něco rozbité a součást, která spustila tuto událost, pravděpodobně havarovala.
• Uživatel - toto pole vám řekne, zda se jednalo o systémovou součást nebo o uživatelský účet, který spustil proces, který způsobil chybu. To může být užitečné při pohledu na věci.
• OpCode - toto pole teoreticky sděluje, jakou aktivitu aplikace nebo součást dělá při spuštění události. V praxi se však téměř vždy říká "Info" a je docela zbytečné.
• Počítač - na domácí ploše to bude obvykle jen vaše jméno počítače, ale ve světě IT můžete skutečně předávat události z jednoho počítače nebo serveru do jiného počítače. Prohlížeč událostí můžete také připojit k jinému počítači nebo serveru.
• Kategorie úkolů - toto pole není vždy používáno, ale nakonec skončí v podstatě informační pole, které vám sděluje něco víc informací o události.
• Klíčová slova - toto pole se obvykle nepoužívá a obecně obsahuje zbytečné informace.

Jako zásadní pravidlo byste se měli pokusit o hledání podle obecného popisu nebo ID události a zdroje nebo kombinace těchto hodnot.

Nezapomeňte, že ID události je jedinečné ... pro každou aplikaci. Takže tam je hodně překrývání a nemůžete jen hledat "ID události 122", protože dostanete hodně nesmyslů.

Důležitá poznámka: V protokolu událostí se vždy vyskytnou chyby a varování a nemůžete je vyřešit. Nejdůležitější je použít Prohlížeč událostí k odstraňování problémů, které již máte, spíše než k hledání problémů, o kterých dosud nevíte.

A ano, budete muset používat své dovednosti Google k prozkoumání událostí, o kterých nevíte. Není snadné magické řešení.

Jediné, co byste mohli okamžitě udělat, když vidíte toto dialogové okno, je kliknout na odkaz Další informace ... Problém je v tom, že vás v současné době nijak nepoužívá. Stačí skončit na stránce s chybami na webu společnosti Microsoft.

Je strašné, že 8464 lidí hodnotilo, že stránka nebyla užitečná.

Remapping hledání online ID události skutečně fungovat

Z nějakého důvodu, odkaz "Další informace: Log Příhlášení Online nápověda" jen plochý out nefunguje pro nás, ale naštěstí existuje velký hack registru, který můžete použít k vyřešení problému.

Co budeme dělat, je pouze změnit adresu URL přesměrování v registru směřující na Google ... s výjimkou způsobu, jakým jsou argumenty předány, bude třeba je směřovat k střední stránce, která bude analyzovat argumenty a vytvořte správnou adresu URL vyhledávání Google.

Pro účely tohoto článku sestavujeme stránku na našem vlastním serveru a můžete ji využít. Pokud byste raději nepoužívali náš server, na konci této části je uveden jeden řádek kódu PHP.

Chcete-li provést tuto změnu, přejděte k následujícímu klíči registru:

HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

Na pravé straně najděte hodnotu MicrosoftRedirectionURL a změňte hodnotu z výchozí hodnoty, která je http://go.microsoft.com/fwlink/events.asp a vložte tuto hodnotu namísto:

https://www.howtogeek.com/eventid

Jakmile to uděláte, klepnutím na odkaz v okně Vlastnosti události se okamžitě přesměrujete na stránku Google s příslušnými údaji již zahrnutými (ID události, název protokolu a "aplikace", které mají tendenci jen říkat Microsoft Windows).

Jak tohle funguje? Je to celkem jednoduché - Prohlížeč událostí přidává do adresy URL, kterou jsme vložili do registru, sadu parametrů jako argumentů řetězec dotazu. Následně skript tyto argumenty vynechá a přesměruje na Google, místo toho předá argumenty jako vyhledávací dotazy.

Použitím jednoduchého PHP skriptu jsme se přihlásili k tomu, abychom zvládli přesměrování.

záhlaví ("Umístění: http://google.com/search?q=Event ID". $ _GET ['EvtID']. "$ _GET ['EvtSrc'].

Pokud chcete, můžete hostovat stejnou věc na svém serveru, nebo můžete použít ten, který sedí na našem serveru. Na tobě.

Dejte pozor na internetové stránky s "řešením" pro ID události "Problémy"

Existuje spousta webových stránek, které automaticky vygenerují stránky pro každé ID události a potom je naplní nesmysly. To by bylo v pořádku, kromě mnoha z těchto událostí, není mnoho dalších dobrých výsledků.

Tyto stránky budou pak nabízeny k vyřešení problému, pokud stačí stáhnout nějaký software pro bezplatnou analýzu. Ve všech případech se jedná o reklamy a software "řešení" je podvod.

Neexistuje žádný softwarový balík, který by vyřešil všechny vaše problémy protokolu událostí.

Použití filtrů a vlastní zobrazení

Spíše než procházet miliony složek vlastních protokolů událostí a snažíte se najít vše, co hledáte, můžete vytvořit vlastní pohled, který zobrazuje pouze události, které chcete vidět.

Pro dosažení nejlepších výsledků byste chtěli filtrovat pouze konkrétní věci, které chcete vidět - pravděpodobně Kritický, Chyba a Upozornění, a pak vybrat konkrétní protokoly událostí, pro které chcete tento pohled prohlédnout. Nevybírejte však příliš mnoho, protože to prostě nebude fungovat.

Po výběru toho, co chcete v zobrazení zobrazit, budete vyzváni k zadání názvu uživatelského zobrazení a poté jej můžete použít k zobrazení událostí, pro které jste filtrovali. Je to neuvěřitelně skvělý způsob, jak se vypořádat s masivními protokoly plnými nezmysluplných informačních událostí.

Možná je snad ještě samozřejmě jednodušší použít vestavěný přehled administrativních událostí, který zobrazuje důležité zprávy z jednotlivých hlavních protokolů.

Podívejte se na protokol výkonu diagnostiky systému Windows

Existuje spousta zajímavých protokolů, na které se můžete podívat, když řešíte potíže, ale jeden z nejzajímavějších je nalezen procházením složek do následujícího umístění:

Microsoft \ Windows \ Diagnostics-Performance

Výsledkem je protokol událostí, který zobrazuje všechny věci, které systém Windows přihlašuje interně pro kontrolu výkonu - pokud se počítač spustí pomaleji než obvykle, systém Windows bude obvykle mít záznam protokolu a často zobrazí součást, která způsobila systém Windows bootovat pomaleji.

Stojí za zmínku, že právě proto, že zpráva zobrazuje chybu, neznamená, že je to konec světa, pokud se nezobrazí po celou dobu. Pak byste možná chtěli o tom přemýšlet.

Oprava dřívější chyby

Zvědavá událost na snímku obrazovky, která byla dříve v článku? Pokud se zobrazí zpráva "Přístup k ovladačům v systému Windows Update byl zablokován zásadami", řešení je opravdu jednoduché. Otevřete ovládací panel, vyhledejte "ovladač" a poté zvolte možnost Změnit nastavení instalace zařízení.

V dalším snímku na obrazovce zjistíte, že tento počítač byl nastaven na automatické stahování ovladačů zařízení z aktualizace systému Windows. Chcete-li vyřešit problém a zobrazit více zpráv v Prohlížeči událostí, stačí pouze přepnout přepínač na hodnotu "Ano, proveďte to automaticky".

Pěkné a jednoduché. Problém byl vyřešen, varovná zpráva byla vyřešena.

Připojení úkolů k událostem

Pokud jste v poslední lekci Geek School věnovali pozornost, můžete si vzpomenout na to, že můžete vytvořit událost ID události - a také můžete dělat to samé. Klepněte pravým tlačítkem myši na libovolný úkol a můžete snadno připojit naplánovanou úlohu ke spuštění kdykoli nastane událost.

Další funkce, které byste potřebovali

Prohlížeč událostí má několik dalších funkcí, které by vás mohly zajímat. Pro většinu lidí je důležité projít seznam a vědět, co hledat.

Předplatné, které se nacházejí v levém menu, je funkce, která se z velké části používá v podnikovém prostředí pro předávání událostí z jednoho serveru do jiného, ​​takže je můžete spravovat všemi na jednom místě. To vyžaduje, aby byly spuštěny služby Windows Event Collector a Windows Remote Management. Pro domácí uživatele byste se s nimi neměli vypořádat s jiným než pro účely učení ve vašem testovacím systému.

Pokud klepnete pravým tlačítkem na položky na levé straně, uvidíte spoustu akcí (tytéž, které se obvykle nacházejí v pravém podokně).

Můžete uložit všechny události v protokolu pro zobrazení později nebo na jiném počítači, můžete zkopírovat pohled nebo exportovat jako soubor XML pro import do jiného počítače.