Використання засобу перегляду подій для усунення неполадок

У сьогоднішньому випуску Geek School ми навчимо вас використовувати засоби перегляду подій для усунення неполадок на вашому ПК і зрозуміти, що відбувається під капотом.

ШКОЛА НАВІГАЦІЇ

1. Використання планувальника завдань для запуску процесів пізніше
2. Використання засобу перегляду подій для усунення неполадок
3. Розуміння розділів жорсткого диска за допомогою керування дисками
4. Навчитися використовувати редактор реєстру, як Pro
5. Моніторинг комп'ютера за допомогою монітора ресурсів і диспетчера завдань
6. Розуміння панелі властивостей Advanced System
7. Розуміння та керування службами Windows
8. Використання редактора групової політики для налаштування комп'ютера
9. Розуміння інструментів адміністрування Windows

Найбільша проблема з переглядачем подій полягає в тому, що вона може бути дуже заплутаною - є багато попереджень, помилок і інформаційних повідомлень, і, не знаючи, що це означає, ви можете припустити (неправильно), що ваш комп'ютер зламаний або заражений, коли є нічого погано.

Насправді, шахраї з технічної підтримки використовують Event Viewer як частину своєї тактики продажу, щоб переконати користувачів, що звинувачують, що їхні ПК заражені вірусами. Вони проходять через фільтрування лише критичними помилками, а потім здивовані тим, що все, що ви бачите, є критичними помилками.

Навчитися використовувати та розуміти переглядач подій - це критичний навик для з'ясування того, що відбувається з комп'ютером, а також для вирішення проблем.

Розуміння інтерфейсу

Коли ви вперше відкриваєте переглядач подій, ви помітите, що він використовує конфігурацію з трьома панелями, як і багато інших інструментів адміністрування у Windows, хоча в цьому випадку існує чимало корисних інструментів на правій стороні.

На лівій панелі відображається вид папки, де можна знайти всі журнали подій, а також перегляди, які можна налаштувати за подіями з багатьох журналів одночасно. Наприклад, у вікні адміністративних подій у останніх версіях Windows відображаються всі помилки, попередження та критичні події, незалежно від того, чи походять вони з журналу програм або журналу системи.

На середній панелі відображається список подій, і натискання на них відображатиме деталі в області попереднього перегляду - або ви можете двічі клацнути будь-яку з них, щоб підняти її в окремому вікні, яке може бути зручним, коли ви переглядаєте великий набір подій і хочете знайти всі важливі речі перед початком пошуку в Інтернеті.

Права панель надає швидкий доступ до дій, таких як створення власних переглядів, фільтрування або навіть створення запланованого завдання на основі певної події.

Самі події - це те, що ми намагаємося побачити, і їх корисність може варіюватися від дійсно конкретних і очевидних речей, які ви можете легко виправити до дуже розпливчастих повідомлень, які не мають ніякого сенсу, і ви не можете знайти жодного інформації в Google. Звичайні поля на дисплеї містять:

• Назва журналу - в той час як у старих версіях Windows все було скинуто в журнал додатків або систем, в більш сучасних виданнях є десятки або сотні різних журналів на вибір. Кожен компонент Windows, швидше за все, має свій власний журнал.
• Джерело - це назва програмного забезпечення, яке генерує подію журналу. Звичайно, ім'я зазвичай не відповідає імені файлу, але це уявлення про те, який компонент це зробив.
• Ідентифікатор події - найважливіший ідентифікатор події може бути трохи заплутаним. Якщо ви зверталися до Google для "ідентифікатора події 122", який ви бачите на наступному знімку вікна, ви не отримали б дуже корисну інформацію, якщо ви також не вкажете назву джерела чи програми. Це відбувається тому, що кожна програма може визначати свої унікальні ідентифікатори подій.
• Рівень - Це говорить про те, наскільки серйозною є подія - інформація просто повідомляє, що щось змінилося, або почався компонент, або щось завершилося. Попередження говорить вам, що щось може йти не так, але це ще не так важливо. Помилка говорить вам, що щось трапилося, що не повинно було статися, але не завжди кінець світу. Критичний, з іншого боку, означає, що десь щось зламано, і компонент, який ініціював цю подію, можливо, зазнав аварії.
• Користувач - у цьому полі повідомляється, чи був це системний компонент або обліковий запис користувача, на якому виконувався процес, який спричинив помилку. Це може бути корисним при перегляді речей.
• OpCode - це поле теоретично повідомляє, яку активність виконувала програма або компонент під час запуску події. На практиці, однак, це майже завжди скаже "Інфо" і є досить марним.
• Комп'ютер - на домашньому робочому столі це, як правило, тільки ім'я вашого комп'ютера, але в світі ІТ, ви можете фактично перенаправляти події з одного комп'ютера або сервера на інший комп'ютер. Також можна підключити переглядач подій до іншого ПК або сервера.
• Категорія завдання - це поле не завжди використовується, але в кінцевому підсумку він є інформаційним полем, яке повідомляє вам дещо більше інформації про подію.
• Ключові слова - це поле зазвичай не використовується, і зазвичай містить марну інформацію.

Як правило, слід спробувати виконати пошук за загальним описом, або ідентифікатором події, і джерелом, або комбінацією цих значень.

Пам'ятайте, що ідентифікатор події є унікальним… для кожної програми. Так що є багато перекриття, і ви не можете просто шукати "Ідентифікатор події 122", тому що ви отримаєте багато нісенітниць.

Важлива примітка: У журналі подій завжди будуть помилки та попередження, і ви не зможете їх вирішити. Найголовніше - скористатися засобом перегляду подій для усунення проблем, які ви вже маєте, а не намагатися знайти проблеми, про які ще не знаєте.

І так, вам потрібно буде використовувати свої навички Google для дослідження подій, про які ви не знаєте. Немає легкого магічного рішення.

Єдине, що ви могли б відразу ж зробити, коли побачите це діалогове вікно, клацніть на посиланні Додаткова інформація… проблема полягає в тому, що вона в даний час не приносить вам користі. Ви просто опинитеся на сторінці помилок на сайті Microsoft.

Що страшно, що 8464 чоловік оцінили сторінку як не знайдена як корисну.

Перепризначення пошуку онлайнового ідентифікатора подій для фактичної роботи

З деяких причин посилання "Додаткова інформація: Інтернет-журнал подій" просто не працює для нас, але, на щастя, є великий реєстр, який можна використовувати для вирішення проблеми.

Те, що ми збираємося зробити, це просто змінити URL-адресу переадресації в реєстрі, щоб вказати на Google ... за винятком того, що аргументи передані, ми повинні вказати його на проміжну сторінку, яка буде аналізувати аргументи і формуйте правильну URL-адресу пошуку Google.

Для цілей цієї статті ми розміщуємо сторінку на нашому сервері, і ви можете її використовувати. Якщо ви не хочете використовувати наш сервер, то один рядок PHP-коду буде перераховано в кінці цього розділу.

Щоб внести цю зміну, перейдіть до наступного розділу реєстру:

Програмне забезпечення HKLM Microsoft Windows NT CurrentVersion EventViewer

Знайдіть значення MicrosoftRedirectionURL на правій стороні, а потім змініть значення за умовчанням, тобто http://go.microsoft.com/fwlink/events.asp та вставте це значення:

https://www.howtogeek.com/eventid

Після цього, натиснувши на посилання у вікні Властивості події, ви негайно перенаправлятимете вас до Google, а відповідні дані вже включатимуться (ідентифікатор події, ім'я журналу та "додаток", який, як правило, просто каже Microsoft Windows).

Як це працює? Це досить просто - переглядач подій додає до набору параметрів аргументи рядка запитів до URL-адреси, яку ми помістили в реєстр. Потім скрипт витягує ці аргументи і перенаправляє їх на Google, передаючи замість нього аргументи.

Використовуючи простий скрипт PHP, це те, що ми придумали для обробки перенаправлення.

header ('Розташування: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']);

Ви можете розмістити ту ж саму річ на вашому власному сервері, якщо хочете, або ви можете скористатися тим, що знаходиться на нашому сервері. До вас.

Остерігайтеся інтернет-сайтів із "Рішеннями" для ідентифікатора події "Проблеми"

Є тонна веб-сайтів, які автоматично генерують сторінки для кожного ідентифікатора події, а потім заповнюють їх нонсенсом. Це було б чудово, за винятком багатьох подій, інших хороших результатів немає.

Ці сайти запропонують вирішити цю проблему, якщо ви просто завантажите якийсь програмний продукт для вільного аналізу. У всіх випадках це будуть оголошення, а «рішення» програмного забезпечення - це шахрайство.

Немає програмного пакета, який може вирішити всі проблеми з журналом подій.

Використання фільтрів та спеціальних переглядів

Замість того, щоб переглядати папки мільярдів користувацьких журналів подій і намагатися знайти все, що потрібно, можна створити спеціальний перегляд, який відображатиме лише ті події, які потрібно переглянути.

Щоб досягти найкращих результатів, потрібно відфільтрувати лише певні речі, які ви хочете побачити - можливо, критичні, помилки та попередження, а потім виберіть конкретні журнали подій, які потрібно переглядати. Не вибирайте занадто багато, хоча, тому що вони просто не працюватимуть.

Після вибору потрібного вигляду вам буде запропоновано вказати ім'я користувача, а потім ви можете скористатися нею для перегляду подій, які ви відфільтрували. Це неймовірно чудовий спосіб боротьби з масивними журналами, повними безглуздих інформаційних подій.

Можливо, ще простіше, звичайно, просто скористатися вбудованим видом адміністративних подій, який відображає важливі повідомлення з кожного з основних журналів.

Перегляньте журнал ефективності діагностики Windows

Існує багато цікавих журналів, які можна переглянути під час виправлення неполадок, але один з найцікавіших можна знайти, переглянувши папки в наступному місці:

Діагностика-продуктивність Microsoft

Результатом цього є журнал подій, який показує всі речі, які Windows реєструє для внутрішньої перевірки продуктивності - якщо ваш комп'ютер завантажується повільніше, ніж звичайно, Windows зазвичай має запис журналу для нього, і часто виводить список компонентів, які викликали Windows завантажуйтеся повільніше.

Варто відзначити, що тільки тому, що повідомлення показує помилку, це не означає, що це кінець світу, якщо він не з'являється весь час. Тоді ви можете подумати про це.

Виправлення цієї помилки з раніше

Цікаво про подію на скріншоті раніше в статті? Якщо ви отримали повідомлення "Доступ до драйверів на Windows Update було заблоковано політикою", рішення дійсно просте. Відкрийте Панель керування, знайдіть «драйвер», а потім виберіть «Змінити параметри установки пристрою».

На наступному знімку вікна ви побачите, що саме цей комп’ютер було налаштовано не автоматично завантажувати драйвери пристроїв із оновлення Windows. Щоб усунути проблему та збільшити кількість повідомлень у засобі перегляду подій, потрібно лише перемкнути перемикач на "Так, зробити це автоматично".

Гарний і простий. Проблема вирішена, попередження вирішено.

Прикріплення завдань до подій

Якщо ви звернули увагу на останній урок школи Geek, ви можете пам'ятати, що ви можете створити тригер планувальника завдань за допомогою ідентифікатора події - і ви можете зробити те ж саме, що йде в інший спосіб. Клацніть правою кнопкою миші на будь-якому завданні, і ви можете легко прикріпити заплановане завдання для запуску кожного разу, коли відбудеться подія.

Інші можливості, які ви можете знадобитися

Засіб перегляду подій має декілька інших функцій, які можуть зацікавити вас. Для більшості людей важливим є перегляд списку та знання того, що шукати.

Підписки, що знаходяться в меню зліва, це функція, яка значною мірою використовується в корпоративному середовищі для пересилання подій з одного сервера на інший, щоб ви могли керувати ними все в одному місці. Для цього потрібні служби збирання подій Windows і служби віддаленого керування Windows. Для домашніх користувачів ви не повинні зіштовхуватися з нею, окрім тих, що призначені для навчальних цілей на тестовій системі.

Якщо ви клацнете правою кнопкою миші на елементах ліворуч, ви побачите тону дії (ті ж, що зазвичай знаходяться на правій панелі).

Ви можете зберегти всі події в журналі для перегляду пізніше або на іншому ПК, ви можете скопіювати вигляд або експортувати його як файл XML для імпорту на інший комп'ютер.