แฟชั่น 

เหตุการณ์ Windows 7 การดูเหตุการณ์ใน Windows Vista

สวัสดีทุกคนมาก!!

ไม่เป็นความลับอีกต่อไปสำหรับทุกคนในระบบปฏิบัติการ Windows SEVEN เช่นเดียวกับใน Windows Vistaบันทึกเหตุการณ์มีสองประเภท: บันทึกแอปพลิเคชันและบันทึกการบริการ และบันทึกของ Windows

บันทึกของ Windows - ระบบปฏิบัติการใช้เพื่อบันทึกเหตุการณ์ทั้งระบบที่เกี่ยวข้องกับการทำงานของส่วนประกอบของระบบ แอปพลิเคชัน ความปลอดภัย และการเริ่มต้น บันทึกของแอปพลิเคชันและบริการ - แอปพลิเคชันและบริการใช้เพื่อลงทะเบียนกิจกรรมที่เกี่ยวข้องกับงานของพวกเขา ในการจัดการบันทึกเหตุการณ์ คุณสามารถใช้สแน็ปอินตัวแสดงเหตุการณ์หรือ บรรทัดคำสั่ง wevtutil
ฉันต้องการจะพิจารณาว่าคุณสามารถทำงานกับบันทึกเหตุการณ์ได้อย่างไร:
ในการดูเหตุการณ์บันทึกแอปพลิเคชันเดียวกันนี้ เราจำเป็นต้องดำเนินการตามขั้นตอนต่อไปนี้:
เลือก "Windows Logs" ในแผนผังคอนโซล
เลือกบันทึก "แอปพลิเคชัน"
หากเป็นไปได้ ควรตรวจทานบันทึกเหตุการณ์ของระบบและแอปพลิเคชันบ่อยๆ และค้นหาปัญหาและคำเตือนที่อาจคาดการณ์ถึงปัญหาในอนาคต หน้าต่างตรงกลางจะแสดงเหตุการณ์ที่มีอยู่เมื่อเลือกบันทึก รวมถึงวันที่ของเหตุการณ์ ระดับของเหตุการณ์ เวลาและแหล่งที่มา และอื่นๆ
บานหน้าต่างวิวพอร์ตจะแสดงข้อมูลเหตุการณ์บนแท็บทั่วไป และแท็บรายละเอียดจะแสดงข้อมูลเฉพาะเพิ่มเติม

คุณสามารถเปิดและปิดแผงนี้ได้โดยเลือกเมนูมุมมอง จากนั้นเลือกคำสั่ง Viewport
ขอแนะนำให้เก็บบันทึกสำหรับหลาย ๆ เดือนที่ผ่านมาสำหรับระบบวิกฤต ตามกฎแล้วไม่สะดวกที่จะกำหนดขนาดนิตยสารที่มีข้อมูลทั้งหมดอยู่ในนั้น ดังนั้นปัญหานี้สามารถแก้ไขได้ด้วยวิธีที่ต่างออกไป บันทึกสามารถส่งออกไปยังไฟล์ที่อยู่ในโฟลเดอร์ที่ระบุ หากต้องการบันทึกบันทึกที่เลือก ให้ทำดังต่อไปนี้:
เลือกบันทึกเหตุการณ์ที่จะบันทึกในทรีคอนโซล
เลือกคำสั่ง "บันทึกเหตุการณ์เป็น" จากเมนู "การดำเนินการ" หรือเลือกคำสั่ง "บันทึกเหตุการณ์ทั้งหมดเป็น" จากเมนูบริบทของบันทึก
ในกล่องโต้ตอบ "บันทึกเป็น" ให้เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างไฟล์ได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่" บนแถบการทำงาน ในช่อง "ประเภทไฟล์" เลือกรูปแบบไฟล์ที่ต้องการจากรูปแบบที่มี: ไฟล์เหตุการณ์ - *.evtx, ไฟล์ xml - *.xml, ข้อความที่คั่นด้วยแท็บ - *.txt, csv ที่คั่นด้วยเครื่องหมายจุลภาค - *.csv ป้อนชื่อในช่อง "ชื่อไฟล์" แล้วคลิกปุ่ม "บันทึก" คลิกที่ปุ่ม "ยกเลิก" เพื่อยกเลิกการบันทึก
หากบันทึกเหตุการณ์ไม่ได้ตั้งใจให้ดูบนคอมพิวเตอร์เครื่องอื่น ให้ปล่อยตัวเลือกเริ่มต้น "อย่าแสดงข้อมูล" ในกล่องโต้ตอบ "แสดงข้อมูล" และหากบันทึกนั้นมีไว้สำหรับดูบนคอมพิวเตอร์เครื่องอื่น ให้ไปที่ " กล่องโต้ตอบแสดงข้อมูล" เลือกตัวเลือก "แสดงข้อมูลสำหรับ ภาษาต่อไปนี้" และคลิกที่ปุ่ม "ตกลง"
วิธีทำงานกับบันทึกเหตุการณ์:
ผู้ชมเหตุการณ์
หากคุณต้องการดูเหตุการณ์บันทึกของแอปพลิเคชัน ให้ทำตามขั้นตอนเหล่านี้:
เลือก "Windows Logs" ในโครงสร้างคอนโซล
เลือกบันทึกแอป
ขอแนะนำให้ตรวจสอบบันทึกเหตุการณ์ของระบบและแอปพลิเคชัน และตรวจสอบปัญหาและคำเตือน การเลือกบันทึกจะแสดงเหตุการณ์ที่มีอยู่ในหน้าต่างตรงกลาง
บานหน้าต่างวิวพอร์ตจะแสดงข้อมูลเหตุการณ์พื้นฐานบนแท็บทั่วไป และข้อมูลเพิ่มเติมจะแสดงบนแท็บรายละเอียด คุณสามารถเปิดและปิดแผงนี้ได้โดยเลือกเมนู "มุมมอง" และคำสั่ง "พื้นที่ดู"
ขอแนะนำสำหรับระบบที่สำคัญในการเก็บบันทึกสำหรับเดือนที่ผ่านมา

ตามกฎแล้วไม่สะดวกที่จะกำหนดขนาดดังกล่าวให้กับวารสารเพื่อให้ข้อมูลทั้งหมดอยู่ในนั้นตามกฎแล้วปัญหานี้สามารถแก้ไขได้ด้วยวิธีอื่น คุณสามารถส่งออกบันทึกไปยังไฟล์ที่อยู่ในโฟลเดอร์ที่ระบุ หากต้องการบันทึกบันทึกที่เลือก ให้ทำตามขั้นตอนเหล่านี้:
ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่จะบันทึก
เลือกคำสั่ง "บันทึกเหตุการณ์เป็น" จากเมนู "การดำเนินการ" หรือเลือกคำสั่ง "บันทึกเหตุการณ์ทั้งหมดเป็น" จากเมนูบันทึก
ในกล่องโต้ตอบ "บันทึกเป็น" ให้เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากจำเป็นต้องบันทึกไฟล์ในโฟลเดอร์ใหม่ ก็สามารถสร้างไฟล์ได้จากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่" บนแถบการทำงาน ในช่อง "ประเภทไฟล์" เลือกรูปแบบไฟล์ที่ต้องการจากรูปแบบที่แนะนำ: ไฟล์เหตุการณ์ - *.evtx, ข้อความที่คั่นด้วยแท็บ - *.txt,
ไฟล์ xml - *.xml,
csv คั่นด้วยเครื่องหมายจุลภาค - *.csv. ป้อนชื่อในช่อง "ชื่อไฟล์" แล้วคลิกปุ่ม "บันทึก" หากต้องการยกเลิกการบันทึก ให้คลิกที่ "ยกเลิก"; ในกรณีที่บันทึกเหตุการณ์ไม่ได้ตั้งใจให้ดูบนคอมพิวเตอร์เครื่องอื่น ในกล่องโต้ตอบ "แสดงข้อมูล" ให้ปล่อยตัวเลือก "ไม่แสดงข้อมูล" ไว้ตามค่าเริ่มต้น และหากบันทึกมีจุดประสงค์เพื่อดูในเครื่องอื่น คอมพิวเตอร์ จากนั้นในกล่องโต้ตอบ "แสดงข้อมูล" เลือก "แสดงข้อมูลสำหรับภาษาต่อไปนี้" แล้วคลิก ตกลง
การล้างบันทึกเหตุการณ์
เลือกบันทึกเหตุการณ์ในทรีคอนโซลที่จะล้าง ล้างบันทึกด้วยวิธีใดวิธีหนึ่งต่อไปนี้:
จากเมนู "การดำเนินการ" เลือก "ล้างบันทึก"
ในบันทึกที่เลือก ให้คลิกขวาเพื่อเปิดเมนูบริบท ในเมนูบริบท เลือกคำสั่ง "ล้างบันทึก"
ถัดไป คุณสามารถล้างบันทึกหรือเก็บถาวรได้ หากยังไม่เคยทำมาก่อน:
หากล้างบันทึกเหตุการณ์โดยไม่บันทึก ให้คลิกที่ปุ่ม "ล้าง"
หากต้องการล้างบันทึกเหตุการณ์หลังจากบันทึก ให้คลิกที่ "บันทึกและล้าง" ในกล่องโต้ตอบ "บันทึกเป็น" ให้เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างไฟล์จากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่" บนแถบการทำงาน ป้อนชื่อในช่องชื่อไฟล์แล้วคลิกบันทึก หากต้องการยกเลิกการบันทึก ให้กด "ยกเลิก" วุ้ย ทุกอย่างดูเหมือนจะเรียบร้อย แต่ถ้าไม่ชัดเจน ฉันรอความคิดเห็นของคุณอยู่

เท่านั้น แล้วพบกันครับ....

นี่อาจเป็นบริการที่ไม่ต้องการเริ่มต้น การติดตั้งอุปกรณ์ หรือข้อผิดพลาดของแอปพลิเคชัน เหตุการณ์จะถูกบันทึกและจัดเก็บไว้ในบันทึกเหตุการณ์ของ Windows และให้ข้อมูลประวัติที่สำคัญเพื่อช่วยให้คุณตรวจสอบระบบ รักษาความปลอดภัยของระบบ แก้ไขปัญหา และดำเนินการวินิจฉัย ข้อมูลที่อยู่ในบันทึกเหล่านี้ควรได้รับการตรวจสอบอย่างสม่ำเสมอ คุณควรตรวจสอบบันทึกเหตุการณ์อย่างสม่ำเสมอและกำหนดค่าระบบปฏิบัติการเพื่อบันทึกเหตุการณ์ที่สำคัญของระบบ ในกรณีที่คุณเป็นผู้ดูแลระบบเซิร์ฟเวอร์ Windows คุณต้องตรวจสอบความปลอดภัยของระบบ การทำงานปกติของแอปพลิเคชันและบริการ และตรวจสอบเซิร์ฟเวอร์สำหรับข้อผิดพลาดที่อาจทำให้ประสิทธิภาพลดลง หากคุณเป็นผู้ใช้พีซี คุณควรตรวจสอบให้แน่ใจว่าคุณมีสิทธิ์เข้าถึงบันทึกที่เหมาะสมซึ่งจำเป็นต่อการบำรุงรักษาระบบของคุณและแก้ไขข้อผิดพลาด

Event Viewer เป็นสแน็ปอิน Microsoft Management Console (MMC) สำหรับการดูและจัดการบันทึกเหตุการณ์ เป็นเครื่องมือที่จำเป็นสำหรับการตรวจสอบความสมบูรณ์ของระบบและการแก้ไขปัญหา บริการ Windows ที่จัดการการบันทึกเหตุการณ์เรียกว่า "บันทึกเหตุการณ์" ในกรณีที่ทำงานอยู่ Windows จะเขียนข้อมูลสำคัญลงในบันทึก ด้วย Event Viewer คุณสามารถทำสิ่งต่อไปนี้:

ดูเหตุการณ์ของบันทึกเฉพาะ
ใช้ตัวกรองเหตุการณ์และบันทึกไว้เพื่อใช้ในภายหลังเป็นมุมมองที่กำหนดเอง
สร้างการสมัครสมาชิกเหตุการณ์และจัดการ;
กำหนดการดำเนินการเฉพาะให้กับเหตุการณ์เฉพาะ

เปิดตัว Event Viewer

แอปพลิเคชัน Event Viewer สามารถเปิดได้ด้วยวิธีต่อไปนี้:
คลิกที่ปุ่ม "เริ่ม" เพื่อเปิดเมนู เปิด "แผงควบคุม" เลือก "เครื่องมือการดูแลระบบ" จากรายการส่วนประกอบแผงควบคุมและเลือก "ตัวแสดงเหตุการณ์" จากรายการองค์ประกอบการดูแลระบบ
เปิด "คอนโซลการจัดการ MMC" ในการดำเนินการนี้ ให้คลิกที่ปุ่ม "เริ่ม" พิมพ์ mmc ในช่องค้นหา จากนั้นกดปุ่ม "Enter" คอนโซล MMC ที่ว่างเปล่าจะเปิดขึ้น จากเมนูคอนโซล เลือกคำสั่งเพิ่มหรือลบสแนปอิน หรือใช้แป้นพิมพ์ลัด Ctrl+M ในกล่องโต้ตอบ "เพิ่ม/ลบสแน็ปอิน" ให้เลือกสแน็ปอิน "ตัวแสดงเหตุการณ์" แล้วคลิกปุ่ม "เพิ่ม" จากนั้นคลิกที่ปุ่ม "เสร็จสิ้น" และหลังจากนั้น - ปุ่ม "ตกลง"
ใช้คีย์ผสม WIN + R เพื่อเปิดกล่องโต้ตอบ "เรียกใช้" ในกล่องโต้ตอบ "เรียกใช้" ในช่อง "เปิด" ให้ป้อน eventvwr.msc แล้วคลิกปุ่ม "ตกลง" ไปที่แถบงานและดูบันทึกนี้

บันทึกเหตุการณ์ใน Windows 7

ในระบบปฏิบัติการ Windows 7 เช่นเดียวกับใน Windows Vista มีบันทึกเหตุการณ์สองประเภท: บันทึกของ Windows และบันทึกแอปพลิเคชันและการบริการ บันทึกของ Windows - ระบบปฏิบัติการใช้เพื่อบันทึกเหตุการณ์ทั่วทั้งระบบที่เกี่ยวข้องกับการทำงานของแอปพลิเคชัน ส่วนประกอบของระบบ ความปลอดภัย และการเริ่มต้น และบันทึกแอปพลิเคชันและบริการถูกใช้โดยแอปพลิเคชันและบริการเพื่อบันทึกเหตุการณ์ที่เกี่ยวข้องกับการทำงาน คุณสามารถใช้สแน็ปอิน Event Viewer หรือเครื่องมือบรรทัดคำสั่ง wevtutil ซึ่งจะกล่าวถึงในส่วนที่ 2 ของบทความนี้ เพื่อจัดการบันทึกเหตุการณ์ บันทึกทุกประเภทมีคำอธิบายด้านล่าง:
แอปพลิเคชัน - เก็บเหตุการณ์สำคัญที่เกี่ยวข้องกับแอปพลิเคชันเฉพาะ ตัวอย่างเช่น Exchange Server จะจัดเก็บกิจกรรมที่เกี่ยวข้องกับการส่งต่อเมล รวมถึงกิจกรรมการจัดเก็บข้อมูล เหตุการณ์ของกล่องจดหมาย และบริการที่ทำงานอยู่ ตำแหน่งเริ่มต้นคือ %SystemRoot%\System32\Winevt\Logs\Application.Evtx

ความปลอดภัย- จัดเก็บเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย เช่น การเข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ และการเข้าถึงทรัพยากร โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\Security.Evtx

การติดตั้ง- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นระหว่างการติดตั้งและการกำหนดค่า ระบบปฏิบัติการและส่วนประกอบ ตำแหน่งเริ่มต้นคือ %SystemRoot%\System32\Winevt\Logs\Setup.Evtx

ระบบ- เก็บเหตุการณ์ต่างๆ ของระบบปฏิบัติการหรือส่วนประกอบต่างๆ เช่น ความล้มเหลวในการเริ่มบริการหรือเริ่มต้นไดรเวอร์ ข้อความทั้งระบบ และข้อความอื่นๆ ที่เกี่ยวข้องกับระบบโดยรวม โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\System.Evtx

ส่งต่อเหตุการณ์- หากมีการกำหนดค่าการส่งต่อเหตุการณ์ บันทึกนี้จะรวมกิจกรรมที่ส่งต่อจากเซิร์ฟเวอร์อื่น โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นเมื่อกำหนดค่าและทำงานกับเบราว์เซอร์ Internet Explorer โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- กิจกรรมที่เกี่ยวข้องกับการใช้ PowerShell shell จะถูกบันทึกไว้ในบันทึกนี้ โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

กิจกรรมอุปกรณ์- หากมีการกำหนดค่าการบันทึกเหตุการณ์ของอุปกรณ์ เหตุการณ์ที่สร้างโดยอุปกรณ์จะถูกเขียนลงในบันทึกนี้ โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

ใน Windows 7 โครงสร้างพื้นฐานการบันทึกเหตุการณ์เป็นแบบ XML เช่นเดียวกับใน Windows Vista ข้อมูลสำหรับแต่ละเหตุการณ์เป็นไปตาม XML schema ทำให้คุณสามารถเข้าถึงโค้ด XML สำหรับเหตุการณ์ใดๆ ได้ นอกจากนี้ คุณสามารถสร้างการสืบค้นข้อมูลแบบ XML เพื่อดึงข้อมูลจากบันทึก ไม่จำเป็นต้องมีความรู้เกี่ยวกับ XML เพื่อใช้คุณลักษณะใหม่เหล่านี้ สแน็ปอินตัวแสดงเหตุการณ์มีอินเทอร์เฟซแบบกราฟิกที่เรียบง่ายสำหรับการเข้าถึงคุณลักษณะเหล่านี้

คุณสมบัติเหตุการณ์

มีคุณสมบัติเหตุการณ์หลายอย่างของ Event Viewer ซึ่งมีรายละเอียดด้านล่าง:
ต้นทางคือโปรแกรมที่บันทึกเหตุการณ์ อาจเป็นชื่อโปรแกรม (เช่น "Exchange Server") หรือชื่อระบบหรือส่วนประกอบแอปพลิเคชันขนาดใหญ่ (เช่น ชื่อของไดรเวอร์) ตัวอย่างเช่น "Elnkii" หมายถึงไดรเวอร์ EtherLink II

รหัสกิจกรรมเป็นตัวเลขที่ระบุประเภทของเหตุการณ์โดยเฉพาะ บรรทัดแรกของคำอธิบายมักจะมีชื่อของประเภทเหตุการณ์ ตัวอย่างเช่น 6005 คือ ID เหตุการณ์ที่เกิดขึ้นเมื่อบริการบันทึกเหตุการณ์เริ่มทำงาน ดังนั้น ที่จุดเริ่มต้นของคำอธิบายของเหตุการณ์นี้คือบรรทัด "บริการบันทึกเหตุการณ์เริ่มต้น" ทีมสนับสนุนผลิตภัณฑ์ซอฟต์แวร์สามารถใช้ ID เหตุการณ์และชื่อแหล่งที่มาของบันทึกเพื่อวัตถุประสงค์ในการแก้ไขปัญหา

ระดับเป็นระดับความสำคัญของเหตุการณ์ ในบันทึกของระบบและแอปพลิเคชัน เหตุการณ์สามารถมีระดับความรุนแรงดังต่อไปนี้:

การแจ้งเตือน- หมายถึงการเปลี่ยนแปลงในแอปพลิเคชันหรือส่วนประกอบ เช่น เหตุการณ์ข้อมูลที่เกี่ยวข้องกับการดำเนินการที่ประสบความสำเร็จ การสร้างทรัพยากร หรือการเริ่มบริการ
คำเตือน- ระบุคำเตือนทั่วไปเกี่ยวกับปัญหาที่อาจส่งผลต่อการบริการหรือนำไปสู่ปัญหาที่ร้ายแรงกว่าหากปล่อยทิ้งไว้โดยไม่มีใครดูแล
ข้อผิดพลาด- แสดงว่ามีปัญหาเกิดขึ้นที่อาจส่งผลกระทบต่อฟังก์ชันภายนอกแอปพลิเคชันหรือส่วนประกอบที่ก่อให้เกิดเหตุการณ์ขึ้น
ข้อผิดพลาดที่สำคัญ- ระบุว่ามีความล้มเหลวเกิดขึ้นจากการที่แอปพลิเคชันหรือส่วนประกอบที่เรียกใช้เหตุการณ์ไม่สามารถกู้คืนได้โดยอัตโนมัติ
การตรวจสอบความสำเร็จ- การทำกิจกรรมที่คุณติดตามผ่านการตรวจสอบสำเร็จ เช่น การใช้สิทธิ์
การตรวจสอบความล้มเหลว- ความล้มเหลวของการกระทำที่คุณติดตามผ่านการตรวจสอบ เช่น การเข้าสู่ระบบล้มเหลว
ผู้ใช้- กำหนดบัญชีผู้ใช้ในนามของเหตุการณ์นี้เกิดขึ้น ผู้ใช้รวมถึงหน่วยงานเฉพาะ เช่น Local Service, Network Service และ Anonymous Logon ตลอดจนบัญชีผู้ใช้จริง ชื่อนี้เป็นรหัสไคลเอ็นต์หากกระบวนการของเซิร์ฟเวอร์เรียกเหตุการณ์จริง หรือ ID หลักหากไม่มีการดำเนินการแอบอ้างบุคคลอื่น ในบางกรณี รายการบันทึกความปลอดภัยประกอบด้วยตัวระบุทั้งสอง และในฟิลด์นี้ก็สามารถมี N / A (N / A) หากอยู่ในสถานการณ์นี้ บัญชีไม่สามารถใช้ได้. การแอบอ้างบุคคลอื่นเกิดขึ้นเมื่อเซิร์ฟเวอร์อนุญาตให้กระบวนการหนึ่งกำหนดแอตทริบิวต์ความปลอดภัยของกระบวนการอื่น

รหัสการทำงาน- ประกอบด้วย ค่าตัวเลข A ที่ระบุการดำเนินการหรือจุดภายในการดำเนินการที่เรียกเหตุการณ์นี้ ตัวอย่างเช่น การเริ่มต้นหรือการปิด

นิตยสาร- ชื่อของบันทึกที่บันทึกเหตุการณ์นี้

หมวดหมู่และงาน- กำหนดหมวดหมู่ของเหตุการณ์ ซึ่งบางครั้งใช้เพื่ออธิบายการกระทำที่ถูกต้องเพิ่มเติม แหล่งที่มาของเหตุการณ์แต่ละแห่งมีหมวดหมู่ของตัวเอง ตัวอย่างเช่น หมวดหมู่ต่อไปนี้ ได้แก่ เข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ การเปลี่ยนแปลงนโยบาย และการจัดการบัญชี

คีย์เวิร์ดเป็นชุดของหมวดหมู่หรือป้ายกำกับที่สามารถใช้กรองหรือค้นหาเหตุการณ์ได้ ตัวอย่างเช่น "เครือข่าย" "ความปลอดภัย" หรือ "ไม่พบทรัพยากร"

คอมพิวเตอร์- ระบุชื่อคอมพิวเตอร์ที่เกิดเหตุการณ์ โดยปกติจะเป็นชื่อของคอมพิวเตอร์ในระบบ แต่อาจเป็นชื่อของคอมพิวเตอร์ที่ส่งต่อเหตุการณ์ หรือชื่อของคอมพิวเตอร์ในพื้นที่ก่อนที่จะมีการเปลี่ยนแปลง

วันและเวลา- กำหนดวันที่และเวลาที่เกิดเหตุการณ์นี้ในบันทึก

รหัสกระบวนการ- หมายถึงหมายเลขประจำตัวของกระบวนการที่สร้างเหตุการณ์นี้ โปรแกรมคอมพิวเตอร์เป็นเพียงชุดคำสั่งแบบพาสซีฟ ในขณะที่กระบวนการคือการดำเนินการตามคำสั่งเหล่านี้โดยตรง

รหัสกระทู้- หมายถึงหมายเลขประจำตัวของเธรดที่สร้างเหตุการณ์นี้ กระบวนการที่เกิดในระบบปฏิบัติการอาจประกอบด้วยหลายเธรดที่ทำงาน "แบบขนาน" นั่นคือไม่มีลำดับที่กำหนดไว้ในเวลา สำหรับงานบางงาน การแยกนี้สามารถใช้ทรัพยากรคอมพิวเตอร์ได้อย่างมีประสิทธิภาพมากขึ้น

รหัสโปรเซสเซอร์- หมายถึงหมายเลขประจำตัวของโปรเซสเซอร์ที่ประมวลผลเหตุการณ์

รหัสเซสชันคือหมายเลขประจำตัวของเซสชันบนเซิร์ฟเวอร์เทอร์มินัลที่มีเหตุการณ์เกิดขึ้น

เวลาเคอร์เนลระบุเวลาที่ใช้ในการดำเนินการคำสั่งโหมดเคอร์เนล ในหน่วยของเวลา CPU โหมดเคอร์เนลสามารถเข้าถึงหน่วยความจำระบบและอุปกรณ์ภายนอกได้ไม่จำกัด เคอร์เนลของระบบ NT เรียกว่าไฮบริดเคอร์เนลหรือแมคโครเคอร์เนล

เวลาใช้งานในโหมดผู้ใช้ระบุเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ ในหน่วยของเวลา CPU โหมดผู้ใช้ประกอบด้วยระบบย่อยที่ส่งคำขอ I/O ไปยังไดรเวอร์โหมดเคอร์เนลที่เหมาะสมผ่านตัวจัดการ I/O

โหลดโปรเซสเซอร์คือเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ในขีดของ CPU

รหัสสหสัมพันธ์ - ระบุการดำเนินการในกระบวนการที่ใช้เหตุการณ์ รหัสนี้ใช้เพื่อระบุ ความสัมพันธ์ที่เรียบง่ายระหว่างเหตุการณ์ ความสัมพันธ์ – ความสัมพันธ์ทางสถิติระหว่างสองคนหรือมากกว่า ตัวแปรสุ่ม(หรือค่าที่ถือได้ว่ามีความเที่ยงตรงในระดับที่ยอมรับได้) ในเวลาเดียวกัน การเปลี่ยนแปลงในปริมาณเหล่านี้อย่างน้อยหนึ่งอย่างจะนำไปสู่การเปลี่ยนแปลงอย่างเป็นระบบในปริมาณอื่นหรือปริมาณอื่นๆ

รหัสสหสัมพันธ์- กำหนด การกระทำที่สัมพันธ์กันในกระบวนการที่ใช้เหตุการณ์

การทำงานกับบันทึกเหตุการณ์:

ผู้ชมเหตุการณ์
หากต้องการดูเหตุการณ์บันทึกของแอปพลิเคชัน ให้ทำตามขั้นตอนเหล่านี้:
ในทรีคอนโซล เลือก "Windows Logs";
เลือกบันทึกแอป

เป็นความคิดที่ดีที่จะตรวจสอบบันทึกเหตุการณ์ของแอปพลิเคชันและระบบบ่อยๆ และค้นหาปัญหาที่มีอยู่และคำเตือนที่อาจบ่งบอกถึงปัญหาในอนาคต เมื่อเลือกบันทึก หน้าต่างตรงกลางจะแสดงเหตุการณ์ที่มีอยู่ รวมถึงวันที่ของเหตุการณ์ เวลาและแหล่งที่มา ระดับเหตุการณ์ และอื่นๆ

บานหน้าต่างวิวพอร์ตจะแสดงข้อมูลเหตุการณ์พื้นฐานบนแท็บทั่วไปและข้อมูลเฉพาะเพิ่มเติมบนแท็บรายละเอียด คุณสามารถเปิดและปิดแผงนี้ได้โดยเลือกเมนูมุมมอง จากนั้นเลือกคำสั่ง Viewport

สำหรับระบบที่สำคัญ ขอแนะนำให้เก็บบันทึกในช่วงสองสามเดือนที่ผ่านมา ตามกฎแล้ว การกำหนดบันทึกที่มีขนาดที่ข้อมูลทั้งหมดอยู่ในนั้นไม่สะดวก ตามกฎแล้ว ปัญหานี้สามารถแก้ไขได้ด้วยวิธีอื่น คุณสามารถส่งออกบันทึกไปยังไฟล์ที่อยู่ในโฟลเดอร์ที่ระบุ หากต้องการบันทึกบันทึกที่เลือก ให้ทำดังนี้:

ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการบันทึก
เลือกคำสั่ง "Save Events As" จากเมนู "Action" หรือเลือกคำสั่ง "Save All Events As" จากเมนูบริบทของบันทึก
ในกล่องโต้ตอบ "บันทึกเป็น" ที่ปรากฏขึ้น ให้เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างไฟล์ได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่" บนแถบการทำงาน ในช่อง "ประเภทไฟล์" เลือกรูปแบบไฟล์ที่ต้องการจากรูปแบบที่มี: ไฟล์เหตุการณ์ - *.evtx, ไฟล์ xml - *.xml, ข้อความที่คั่นด้วยแท็บ - *.txt, csv ที่คั่นด้วยเครื่องหมายจุลภาค - *.csv ป้อนชื่อในช่อง "ชื่อไฟล์" แล้วคลิกปุ่ม "บันทึก" หากต้องการยกเลิกการบันทึก ให้คลิกที่ปุ่ม "ยกเลิก"
หากบันทึกเหตุการณ์ไม่ได้มีไว้สำหรับดูบนคอมพิวเตอร์เครื่องอื่น ให้ปล่อยตัวเลือกเริ่มต้น "ไม่แสดงข้อมูล" ในกล่องโต้ตอบ "แสดงรายละเอียด" และหากบันทึกนั้นมีไว้สำหรับดูบนคอมพิวเตอร์เครื่องอื่น ให้ไปที่ " กล่องโต้ตอบ "แสดงรายละเอียด" " เลือกตัวเลือก "แสดงข้อมูลสำหรับภาษาต่อไปนี้" และคลิกที่ปุ่ม "ตกลง"

การล้างบันทึกเหตุการณ์

บางครั้งจำเป็นต้องล้างบันทึกเหตุการณ์ทั้งหมดเพื่อให้แน่ใจว่าการวิเคราะห์คำเตือนของระบบปฏิบัติการและข้อผิดพลาดร้ายแรงมีประสิทธิผล หากต้องการล้างบันทึกที่เลือก ให้ทำดังนี้:
ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการล้าง
ล้างบันทึกด้วยวิธีใดวิธีหนึ่งต่อไปนี้:
จากเมนูการดำเนินการ เลือก ล้างบันทึก

ในบันทึกที่เลือก ให้คลิกขวาเพื่อเปิดเมนูบริบท ในเมนูบริบท เลือกคำสั่ง "ล้างบันทึก"
ถัดไป คุณสามารถล้างบันทึกหรือเก็บถาวรหากยังไม่เคยทำมาก่อน:
หากต้องการล้างบันทึกเหตุการณ์โดยไม่บันทึก ให้คลิกที่ปุ่ม "ล้าง"
หากต้องการล้างบันทึกเหตุการณ์หลังจากบันทึก ให้คลิกที่ปุ่ม "บันทึกและล้าง" ในกล่องโต้ตอบ "บันทึกเป็น" ที่ปรากฏขึ้น ให้เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างไฟล์ได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่" บนแถบการทำงาน ป้อนชื่อในช่อง "ชื่อไฟล์" แล้วคลิกปุ่ม "บันทึก" หากต้องการยกเลิกการบันทึก ให้คลิกที่ปุ่ม "ยกเลิก"

การตั้งค่าขนาดบันทึกสูงสุด

ตามที่กล่าวไว้ข้างต้น บันทึกเหตุการณ์จะถูกจัดเก็บเป็นไฟล์ในโฟลเดอร์ %SystemRoot%\System32\Winevt\Logs\ ตามค่าเริ่มต้น ขนาดสูงสุดของไฟล์เหล่านี้จะถูกจำกัด แต่คุณสามารถเปลี่ยนได้ด้วยวิธีต่อไปนี้:


เลือกคำสั่ง "Properties" จากเมนู "Action" หรือจากเมนูบริบทของบันทึกที่เลือก

ในฟิลด์ "ขนาดบันทึกสูงสุด (KB)" ให้ตั้งค่าที่ต้องการโดยใช้ตัวนับ หรือตั้งค่าด้วยตนเองโดยไม่ต้องใช้ตัวนับ ในกรณีนี้ ค่าจะถูกปัดเศษขึ้นเป็นพหุคูณที่ใกล้ที่สุดของ 64 KB เนื่องจากขนาดของไฟล์บันทึกจะต้องเป็นทวีคูณของ 64 KB และต้องไม่น้อยกว่า 1024 KB
เหตุการณ์จะถูกเก็บไว้ในล็อกไฟล์ ซึ่งสามารถขยายได้ถึงขนาดสูงสุดที่ระบุเท่านั้น หลังจากที่ไฟล์ถึงขนาดสูงสุด การประมวลผลเหตุการณ์ที่เข้ามาจะถูกกำหนดโดยนโยบายการเก็บรักษาบันทึก มีนโยบายการเก็บรักษาบันทึกดังต่อไปนี้:
เขียนเหตุการณ์ใหม่หากจำเป็น (ไฟล์เก่าก่อน) - ในกรณีนี้ รายการใหม่จะยังคงถูกเขียนลงในบันทึกหลังจากเต็ม เหตุการณ์ใหม่แต่ละรายการจะแทนที่เหตุการณ์ที่เก่าที่สุดในบันทึก

เก็บบันทึกเมื่อเต็ม; ห้ามเขียนเหตุการณ์ใหม่ - ในกรณีนี้ ไฟล์บันทึกจะถูกเก็บถาวรโดยอัตโนมัติหากจำเป็น เหตุการณ์เก่าจะไม่ถูกเขียนทับ

อย่าเขียนเหตุการณ์ใหม่ (ล้างบันทึกด้วยตนเอง) - ในกรณีนี้ บันทึกจะถูกล้างด้วยตนเอง ไม่ใช่โดยอัตโนมัติ

ในการเลือกนโยบายการเก็บรักษาบันทึกที่ต้องการ ให้ทำตามขั้นตอนเหล่านี้:

ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการปรับขนาด
เลือกคำสั่ง "Properties" จากเมนู "Action" หรือจากเมนูบริบทของบันทึกที่เลือก
บนแท็บ "ทั่วไป" ในส่วน "เมื่อถึงขนาดสูงสุด" ให้เลือกตัวเลือกที่ต้องการแล้วคลิกปุ่ม "ตกลง"
เปิดใช้งานการบันทึกการวิเคราะห์และดีบัก

บันทึกการวิเคราะห์และดีบักถูกปิดใช้งานโดยค่าเริ่มต้น เมื่อเปิดใช้งานจะเต็มอย่างรวดเร็ว ปริมาณมากเหตุการณ์ ด้วยเหตุนี้ จึงควรเปิดใช้งานบันทึกเหล่านี้ในระยะเวลาที่จำกัด เพื่อรวบรวมข้อมูลที่จำเป็นสำหรับการแก้ไขปัญหา แล้วปิดใช้งานอีกครั้ง บันทึกสามารถเปิดใช้งานได้ดังนี้:

ในทรีคอนโซล ค้นหาและเลือกบันทึกการวิเคราะห์หรือดีบักที่คุณต้องการเปิดใช้งาน
เลือกคำสั่ง "คุณสมบัติ" จากเมนู "การดำเนินการ" หรือจากเมนูบริบทของบันทึกการวิเคราะห์หรือบันทึกการแก้ปัญหาที่เลือก
บนแท็บ ทั่วไป ให้ทำเครื่องหมายที่ช่องถัดจาก "เปิดใช้งานการบันทึก"

การเปิดและปิดบันทึกที่บันทึกไว้

คุณสามารถใช้สแน็ปอินตัวแสดงเหตุการณ์เพื่อเปิดและดูบันทึกที่บันทึกไว้ก่อนหน้านี้ คุณสามารถเปิดบันทึกที่บันทึกไว้หลายรายการพร้อมกันและเข้าถึงได้ทุกเมื่อในโครงสร้างคอนโซล บันทึกที่เปิดใน Event Viewer สามารถปิดได้โดยไม่ต้องลบข้อมูลที่มีอยู่ หากต้องการเปิดบันทึกที่บันทึกไว้ ให้ทำดังนี้:

เลือกคำสั่ง "เปิดบันทึกที่บันทึกไว้" จากเมนู "การดำเนินการ" หรือจากเมนูบริบทในทรีคอนโซล
ในกล่องโต้ตอบ เปิดบันทึกที่บันทึกไว้ นำทางผ่านแผนผังไดเร็กทอรีเพื่อเปิดโฟลเดอร์ที่มีไฟล์ที่ต้องการ โดยค่าเริ่มต้น ไฟล์บันทึกเหตุการณ์ทั้งหมดจะแสดงในกล่องโต้ตอบ นอกจากนี้ เมื่อเปิด คุณสามารถเลือกประเภทไฟล์ที่คุณต้องการแสดงในกล่องโต้ตอบที่เปิดอยู่ ประเภทไฟล์ที่ใช้ได้ ได้แก่ ไฟล์บันทึกเหตุการณ์ (*.evtx, *.evt, *.etl) เช่นเดียวกับไฟล์เหตุการณ์ (*.evtx) ไฟล์เหตุการณ์ดั้งเดิม (*.evt) หรือไฟล์บันทึกการติดตาม (*.etl ). หลังจากพบไฟล์บันทึกที่ต้องการแล้วให้เลือกโดยคลิกที่ปุ่มซ้ายของเมาส์ซึ่งจะวางชื่อในบรรทัดสำหรับป้อนชื่อไฟล์และคลิกที่ปุ่ม "เปิด"

ในไดอะล็อกเปิดบันทึกที่บันทึกไว้ ในฟิลด์ ชื่อ ให้ป้อนชื่อใหม่ที่จะใช้สำหรับบันทึกในทรีคอนโซล ใช้เพื่อแสดงบันทึกในทรีคอนโซลเท่านั้นและไม่ได้เปลี่ยนชื่อไฟล์บันทึก คุณยังสามารถใช้ ชื่อที่มีอยู่ล็อกไฟล์ ในฟิลด์ คำอธิบาย ให้ป้อนคำอธิบายสำหรับบันทึก จะแสดงในบานหน้าต่างตรงกลางเมื่อโฟลเดอร์บันทึกหลักถูกเน้นในทรีคอนโซล
ในการสร้างโฟลเดอร์ที่จะเก็บบันทึกที่บันทึกไว้ ให้คลิกที่ปุ่ม "สร้างโฟลเดอร์" ในช่อง "ชื่อ" ให้ป้อนชื่อโฟลเดอร์ที่จะมี เปิดนิตยสารแล้วคลิกตกลง หากไม่ได้เลือกโฟลเดอร์หลัก โฟลเดอร์ใหม่จะอยู่ในโฟลเดอร์บันทึกที่บันทึกไว้

หากต้องการให้ผู้ใช้คอมพิวเตอร์รายอื่นไม่สามารถเข้าถึงบันทึกเหตุการณ์ที่เปิดอยู่ คุณสามารถยกเลิกการเลือกช่อง "ผู้ใช้ทั้งหมด" หากช่องทำเครื่องหมายนี้ยังคงทำงานอยู่ ผู้ใช้ทุกคนจะสามารถใช้บันทึกที่เปิดอยู่ แต่จะต้องมีสิทธิ์ของผู้ดูแลระบบเพื่อลบออกจากโครงสร้างคอนโซล
หากต้องการเปิดบันทึก ให้คลิกที่ปุ่ม "ตกลง"
หากต้องการลบบันทึกแผนผังเหตุการณ์ที่เปิดอยู่ ให้ทำดังต่อไปนี้:

ในทรีคอนโซล เลือกบันทึกที่คุณต้องการลบ
เลือกคำสั่ง "Delete" จากเมนู "Action" หรือจากเมนูบริบทของบันทึกที่เลือก

ในกล่องโต้ตอบ "ตัวแสดงเหตุการณ์" ให้คลิกปุ่ม "ใช่"

บทสรุป

ส่วนนี้ของบทความสแน็ปอิน Event Viewer แนะนำตัวสแน็ปอินและรายละเอียดการดำเนินการพื้นฐานที่เกี่ยวข้องกับการตรวจสอบและบำรุงรักษาระบบของคุณโดยใช้ตัวแสดงเหตุการณ์

ระบบปฏิบัติการ Windows เวอร์ชัน 7 มาพร้อมฟังก์ชันการติดตาม เหตุการณ์สำคัญที่เกิดขึ้นในการทำงานของโปรแกรมระบบ ที่ Microsoft คำว่า "เหตุการณ์" หมายถึงเหตุการณ์ใด ๆ ในระบบที่บันทึกไว้ใน นิตยสารพิเศษและส่งสัญญาณไปยังผู้ใช้หรือผู้ดูแลระบบ นี่อาจเป็นยูทิลิตี้ที่ไม่ต้องการทำงาน แอพที่ขัดข้อง หรืออุปกรณ์ที่ไม่ได้ติดตั้งอย่างถูกต้อง เหตุการณ์ทั้งหมดลงทะเบียนและบันทึกบันทึกเหตุการณ์ของ Windows 7 นอกจากนี้ยังระบุตำแหน่งและแสดงกิจกรรมทั้งหมดใน ลำดับเวลาช่วยในการควบคุมระบบ รับรองความปลอดภัยของระบบปฏิบัติการ แก้ไขข้อผิดพลาด และวินิจฉัยทั้งระบบ

คุณควรตรวจสอบบันทึกนี้เป็นระยะเพื่อดูข้อมูลใหม่ และกำหนดค่าระบบให้บันทึกข้อมูลสำคัญ

Windows 7 - โปรแกรม

แอปพลิเคชันคอมพิวเตอร์ Event Viewer เป็นส่วนหลักของยูทิลิตี้ยูทิลิตี้ของ Microsoft ที่ออกแบบมาเพื่อตรวจสอบและดูบันทึกเหตุการณ์ มัน เครื่องมือที่จำเป็นเพื่อตรวจสอบความสมบูรณ์ของระบบและขจัดข้อผิดพลาดที่เกิดขึ้น ยูทิลิตี Windows ที่จัดการเอกสารเกี่ยวกับเหตุการณ์เรียกว่า บันทึกเหตุการณ์ หากบริการนี้ทำงานอยู่ บริการนี้จะเริ่มรวบรวมและบันทึกข้อมูลสำคัญทั้งหมดในที่เก็บถาวร บันทึกเหตุการณ์ของ Windows 7 ช่วยให้คุณทำสิ่งต่อไปนี้ได้:

การดูข้อมูลที่บันทึกในไฟล์เก็บถาวร

การใช้ตัวกรองเหตุการณ์ต่างๆ และบันทึกเพื่อใช้ในการตั้งค่าระบบต่อไป

การสร้างการสมัครรับข้อมูลสำหรับเหตุการณ์เฉพาะและจัดการเหตุการณ์เหล่านั้น

กำหนด การกระทำบางอย่างเมื่อเกิดเหตุการณ์ใดๆ

จะเปิดบันทึกเหตุการณ์ของ Windows 7 ได้อย่างไร

โปรแกรมที่รับผิดชอบในการลงทะเบียนเหตุการณ์เปิดตัวดังนี้:

1. เมนูเปิดใช้งานโดยกดปุ่ม "เริ่ม" ที่มุมล่างซ้ายของจอภาพ จากนั้น "แผงควบคุม" จะเปิดขึ้น ในรายการการควบคุม ให้เลือก "การดูแลระบบ" และในเมนูย่อยนี้ ให้คลิกที่ "ตัวแสดงเหตุการณ์"

2. มีอีกวิธีหนึ่งในการดูบันทึกเหตุการณ์ของ Windows 7 โดยไปที่เมนู Start พิมพ์ mmc ในช่องค้นหาและส่งคำขอค้นหาไฟล์ ถัดไป ตาราง MMC จะเปิดขึ้น ซึ่งคุณต้องเลือกย่อหน้าที่ระบุการเพิ่มและลบสแนปอิน จากนั้น Event Viewer จะถูกเพิ่มลงในหน้าต่างหลัก

แอปพลิเคชันที่อธิบายไว้คืออะไร?

ในระบบปฏิบัติการ Windows 7 และ Vista มีการติดตั้งบันทึกเหตุการณ์สองประเภท: ที่เก็บถาวรของระบบและบันทึกแอปพลิเคชันบริการ ตัวเลือกแรกใช้เพื่อจับภาพเหตุการณ์ทั่วทั้งระบบที่เกี่ยวข้องกับประสิทธิภาพของแอปพลิเคชันต่างๆ การเริ่มต้นระบบ และความปลอดภัย ตัวเลือกที่สองมีหน้าที่บันทึกเหตุการณ์ในงานของตน ในการควบคุมและจัดการข้อมูลทั้งหมด บริการ "บันทึกเหตุการณ์" จะใช้แท็บ "มุมมอง" ซึ่งแบ่งออกเป็นรายการต่อไปนี้:

แอปพลิเคชัน - เหตุการณ์ที่เกี่ยวข้องกับโปรแกรมเฉพาะจะถูกเก็บไว้ที่นี่ ตัวอย่างเช่น บริการอีเมลจะจัดเก็บประวัติการถ่ายโอนข้อมูล เหตุการณ์ต่างๆ ในกล่องจดหมาย และอื่นๆ ในที่นี้

รายการ "ความปลอดภัย" จะบันทึกข้อมูลทั้งหมดที่เกี่ยวข้องกับการเข้าสู่ระบบและออกจากระบบ โดยใช้คุณสมบัติการดูแลระบบและการเข้าถึงทรัพยากร

การติดตั้ง - บันทึกเหตุการณ์ของ Windows 7 นี้จะบันทึกข้อมูลที่เกิดขึ้นระหว่างการติดตั้งและการกำหนดค่าของระบบและแอปพลิเคชัน

ระบบ - บันทึกเหตุการณ์ OS ทั้งหมด เช่น ความล้มเหลวในการเริ่มแอปพลิเคชันบริการ หรือเมื่อติดตั้งและอัปเดตไดรเวอร์อุปกรณ์ ข้อความต่างๆ ที่เกี่ยวข้องกับการทำงานของทั้งระบบ

เหตุการณ์ที่ส่งต่อ - หากมีการกำหนดค่ารายการนี้ จะเก็บข้อมูลที่มาจากเซิร์ฟเวอร์อื่น

รายการย่อยอื่นๆ ของเมนูหลัก

นอกจากนี้ในเมนู "การดูแลระบบ" ซึ่งมีบันทึกเหตุการณ์ใน Windows 7 มีรายการเพิ่มเติมดังกล่าว:

Internet Explorer - ลงทะเบียนเหตุการณ์ที่เกิดขึ้นระหว่างการทำงานและการกำหนดค่าเบราว์เซอร์ที่มีชื่อเดียวกันที่นี่

Windows PowerShell - เหตุการณ์ที่เกี่ยวข้องกับการใช้ PowerShell shell จะถูกบันทึกไว้ในโฟลเดอร์นี้

เหตุการณ์ฮาร์ดแวร์ - หากมีการกำหนดค่ารายการนี้ ข้อมูลที่สร้างโดยอุปกรณ์จะถูกบันทึกไว้

โครงสร้างทั้งหมดของ "เซเว่น" ซึ่งจัดเตรียมบันทึกเหตุการณ์ทั้งหมด จะขึ้นอยู่กับประเภทของ "Vista" บน XML แต่หากต้องการใช้โปรแกรมบันทึกเหตุการณ์ใน Window 7 คุณไม่จำเป็นต้องรู้วิธีใช้รหัสนี้ แอปพลิเคชัน Event Viewer จะทำทุกอย่างด้วยตัวของมันเอง ให้ตารางที่สะดวกและเรียบง่ายพร้อมรายการเมนู

ลักษณะเหตุการณ์

ผู้ใช้ที่ต้องการทราบวิธีการดูบันทึกเหตุการณ์ของ Windows 7 จะต้องเข้าใจลักษณะของข้อมูลที่ต้องการดูด้วย ท้ายที่สุดมี คุณสมบัติต่างๆเหตุการณ์บางอย่างที่อธิบายไว้ใน Event Viewer คุณลักษณะเหล่านี้จะกล่าวถึงด้านล่าง:

แหล่งที่มา - โปรแกรมที่บันทึกเหตุการณ์ในบันทึก ชื่อของแอปพลิเคชันหรือไดรเวอร์ที่ได้รับผลกระทบจากเหตุการณ์นั้น ๆ จะถูกบันทึกไว้ที่นี่

รหัสเหตุการณ์ - ชุดตัวเลขที่กำหนดประเภทของเหตุการณ์ ซอร์สโค้ดและชื่อของเหตุการณ์นี้ใช้โดยฝ่ายสนับสนุนด้านเทคนิคของซอฟต์แวร์ระบบเพื่อแก้ไขจุดบกพร่องและแก้ไขปัญหาความล้มเหลวของซอฟต์แวร์

ระดับ - ระดับความสำคัญของเหตุการณ์ บันทึกเหตุการณ์ของระบบมีเหตุการณ์หกระดับ:

1. ข้อความ

2. ข้อควรระวัง

3. ความผิดพลาด

4. ความผิดพลาดที่เป็นอันตราย

5. การตรวจสอบ การดำเนินงานที่ประสบความสำเร็จเพื่อแก้ไขข้อผิดพลาด

6. การตรวจสอบการกระทำที่ไม่สำเร็จ

ผู้ใช้ - เก็บข้อมูลของบัญชีในนามของเหตุการณ์ที่เกิดขึ้น สิ่งเหล่านี้อาจเป็นชื่อของบริการต่าง ๆ รวมถึงผู้ใช้จริง

วันที่และเวลา - บันทึกเวลาของเหตุการณ์ที่เกิดขึ้น

มีเหตุการณ์อื่นๆ อีกมากมายที่เกิดขึ้นระหว่างการทำงานของระบบปฏิบัติการ เหตุการณ์ทั้งหมดจะแสดงใน "ตัวแสดงเหตุการณ์" พร้อมคำอธิบายข้อมูลที่เกี่ยวข้องทั้งหมด

วิธีการทำงานกับบันทึกเหตุการณ์?

อย่างสูง จุดสำคัญในการปกป้องระบบจากการหยุดทำงานและการหยุดทำงานคือการตรวจสอบบันทึก "แอปพลิเคชัน" เป็นระยะ ซึ่งจะบันทึกข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้น การดำเนินการล่าสุดกับโปรแกรมเฉพาะ และยังให้ทางเลือกของการดำเนินการที่พร้อมใช้งาน

เมื่อเข้าสู่บันทึกเหตุการณ์ของ Windows 7 ในเมนูย่อย "แอปพลิเคชัน" คุณสามารถดูรายการโปรแกรมทั้งหมดที่ทำให้เกิดเหตุการณ์เชิงลบต่างๆ ในระบบ เวลาและวันที่ของลักษณะที่ปรากฏ แหล่งที่มา และระดับของปัญหา

ผู้ใช้ตอบสนองต่อเหตุการณ์

หลังจากเรียนรู้วิธีเปิดบันทึกเหตุการณ์ของ Windows 7 และวิธีใช้งานแล้ว คุณควรเรียนรู้เพิ่มเติมเกี่ยวกับวิธีใช้แอปพลิเคชัน Task Scheduler ที่มีประโยชน์นี้ ในการดำเนินการนี้ ให้คลิกขวาที่เหตุการณ์ใดๆ และเลือกเมนูสำหรับเชื่อมโยงงานกับกิจกรรมในหน้าต่างที่เปิดขึ้น ครั้งต่อไปที่เหตุการณ์ดังกล่าวเกิดขึ้นในระบบ ระบบปฏิบัติการจะเปิดงานที่ติดตั้งโดยอัตโนมัติเพื่อประมวลผลข้อผิดพลาดและแก้ไข

ข้อผิดพลาดในบันทึกไม่ใช่เหตุผลที่ต้องตื่นตระหนก

หากขณะดูบันทึกเหตุการณ์ของระบบ Windows 7 คุณเห็นข้อผิดพลาดหรือคำเตือนของระบบเป็นระยะๆ คุณไม่ควรกังวลและตื่นตระหนกกับสิ่งนี้ แม้แต่กับคอมพิวเตอร์ที่ทำงานได้อย่างสมบูรณ์ ข้อผิดพลาดและความล้มเหลวต่างๆ ก็สามารถบันทึกได้ ซึ่งส่วนใหญ่ไม่ก่อให้เกิดภัยคุกคามร้ายแรงต่อสุขภาพของพีซี

แอปพลิเคชันที่เราอธิบายถูกสร้างขึ้นเพื่อให้ผู้ดูแลระบบควบคุมคอมพิวเตอร์และแก้ไขปัญหาที่เกิดขึ้นได้ง่ายขึ้น

บทสรุป

จากที่กล่าวมาแล้ว เป็นที่ชัดเจนว่าบันทึกเหตุการณ์เป็นวิธีที่ช่วยให้โปรแกรมและระบบสามารถบันทึกและบันทึกเหตุการณ์ทั้งหมดบนคอมพิวเตอร์ได้ในที่เดียว บันทึกนี้เก็บข้อผิดพลาดในการดำเนินการ ข้อความ และคำเตือนจากแอปพลิเคชันระบบทั้งหมด

บันทึกเหตุการณ์อยู่ที่ไหนใน Windows 7, วิธีเปิด, วิธีใช้งาน, วิธีแก้ไขข้อผิดพลาดที่ปรากฏขึ้น - เราเรียนรู้ทั้งหมดนี้จากบทความนี้ แต่หลายคนจะถามว่า: “ทำไมเราถึงต้องการสิ่งนี้ เราไม่ใช่ผู้ดูแลระบบ ไม่ใช่โปรแกรมเมอร์ แต่เป็นผู้ใช้ทั่วไปที่ไม่ต้องการความรู้นี้” แต่แนวทางนี้ผิด ท้ายที่สุดเมื่อมีคนป่วยด้วยบางสิ่งก่อนที่จะไปพบแพทย์เขาพยายามรักษาตัวเองไม่ทางใดก็ทางหนึ่ง และหลายคนมักจะทำ ในทำนองเดียวกัน คอมพิวเตอร์ซึ่งเป็นสิ่งมีชีวิตดิจิทัลสามารถ "ป่วย" ได้ และบทความนี้แสดงวิธีหนึ่งในการวินิจฉัยสาเหตุของ "โรค" ดังกล่าวโดยพิจารณาจากผล "การตรวจ" ดังกล่าว ตัดสินใจอย่างถูกต้องเกี่ยวกับวิธีการ "รักษา" ที่ตามมา

ดังนั้นข้อมูลเกี่ยวกับวิธีดูเหตุการณ์จะมีประโยชน์ไม่เฉพาะกับวิศวกรระบบเท่านั้น แต่ยังมีประโยชน์กับผู้ใช้ทั่วไปด้วย

คำแนะนำ

นิตยสารเปิดขึ้นในหน้าต่าง "ตัวแสดงเหตุการณ์" ซึ่งจะมีการจัดเก็บบันทึกของเหตุการณ์ของระบบและโปรแกรมและเหตุการณ์ด้านความปลอดภัยในคอมพิวเตอร์ เมื่อใช้หน้าต่างนี้ คุณไม่เพียงแต่สามารถรับข้อมูลเกี่ยวกับเหตุการณ์เท่านั้น แต่ยังจัดการบันทึกได้อีกด้วย ในการเปิดหน้าต่าง Event Viewer คุณต้องทำบางสิ่ง

คลิกที่ปุ่ม "เริ่ม" ที่ด้านล่างซ้ายของหน้าจอหรือบนปุ่ม Windows บนแป้นพิมพ์ของคุณ (ปุ่มแฟล็ก) ในเมนูที่ขยาย เลือกรายการ "แผงควบคุม" (ขึ้นอยู่กับการตั้งค่าของเมนู "เริ่ม" รายการอาจพร้อมใช้งานทันทีหรืออยู่ในเมนู "การตั้งค่า")

ในแผงควบคุม ไปที่หมวดประสิทธิภาพและการบำรุงรักษา และเลือกไอคอนเครื่องมือการดูแลระบบ โดยคลิกที่ปุ่มซ้ายของเมาส์ หาก "แผงควบคุม" มีรูปลักษณ์แบบคลาสสิก ไอคอนที่คุณต้องการจะพร้อมใช้งานทันที

เลือกทางลัด "ตัวแสดงเหตุการณ์" ในโฟลเดอร์ "การดูแลระบบ" หน้าต่างที่ต้องการจะเปิดขึ้น จะเรียกอย่างอื่นก็ได้ ไปที่ไดเร็กทอรี C: (หรือดิสก์อื่นที่มีระบบ) / Documents and Settings / All Users (หรือบัญชีเฉพาะ) / Main Menu / Programs / Administration และเลือกทางลัด Event Viewer

ในหน้าต่างที่เปิดขึ้น คุณจะสามารถดูและจัดการบันทึกต่างๆ ได้ เลือกบันทึกที่คุณต้องการ (แอปพลิเคชัน ความปลอดภัย ระบบ Internet Explorer เป็นต้น) ในส่วนด้านซ้ายของหน้าต่างโดยคลิกที่ปุ่มซ้ายของเมาส์ ในส่วนด้านขวาของหน้าต่าง คุณจะเห็นรายการกิจกรรมทั้งหมดที่บันทึกไว้ในบันทึก สามารถดูแต่ละเหตุการณ์ได้ด้วยการดับเบิลคลิกที่มันด้วยปุ่มซ้ายของเมาส์

ในการจัดการเหตุการณ์ ใช้รายการเมนู "การดำเนินการ" หรือเรียกเมนูบริบทโดยคลิกขวาที่บันทึกที่จำเป็น หากต้องการปิดหน้าต่าง "ตัวแสดงเหตุการณ์" ให้เลือกรายการ "คอนโซล" ในแถบเมนูด้านบนและคำสั่ง "ออก" หรือคลิกไอคอน [x] ที่มุมบนขวาของหน้าต่าง

ที่มา:

  • ฉันจะหาบันทึกงานได้ที่ไหน

กองบรรณาธิการของวารสารบางฉบับต้องการตีพิมพ์ฉบับของตนบนเว็บไซต์ทางการ การเข้าถึงสามารถเต็มหรือบางส่วน ชำระเงินหรือฟรี บางครั้งผู้เยี่ยมชมเว็บไซต์สามารถอ่านได้เฉพาะนิตยสารที่จำหน่ายหมดแล้วในซุ้มเท่านั้น

คำแนะนำ

ตรวจสอบให้แน่ใจว่าคุณได้รับบริการจากผู้ให้บริการข้อมูลไม่จำกัด ไปที่เว็บไซต์ทางการของวารสารที่คุณต้องการอ่านใน ในรูปแบบอิเล็กทรอนิกส์. ลองหาดูนะครับ หน้าแรกของไซต์นี้มีลิงก์ที่เรียกว่า "เก็บถาวร" ตามลิงค์นี้เลยครับ

คุณจะเห็นรายชื่อนิตยสารฉบับปีที่สามารถรับชมได้ เลือกปีก่อนแล้วเลือกเดือน หลังจากนั้น ลิงก์จะปรากฏขึ้นเพื่อดาวน์โหลดสำเนาวารสารท้องถิ่น รายชื่อบทความหรือหน้าสำหรับการดูทีละรายการ (ในรูปแบบข้อความหรือกราฟิก) หรือหน้าต่างปลั๊กอิน (Flash, Adobe Reader หรือ Djview) หากคอมพิวเตอร์ของคุณไม่ได้ติดตั้งปลั๊กอินที่จำเป็น ให้ดาวน์โหลดจากเว็บไซต์ทางการของผู้ผลิตและติดตั้ง

หากเว็บไซต์สามารถดาวน์โหลดฉบับวารสารได้ที่ HDDให้ดาวน์โหลดรุ่นใดรุ่นหนึ่ง จากนั้นตามนามสกุลของไฟล์ที่ได้รับ ให้กำหนดว่าต้องใช้โปรแกรมใดในการดู ส่วนใหญ่มักจะเป็น Acrobat Reader หรือ Djview บางครั้งไฟล์จะอยู่ในไฟล์เก็บถาวร เช่น รูปแบบ ZIP โปรดทราบว่าความสามารถในการดาวน์โหลดนิตยสารฟรีไม่ได้ให้สิทธิ์คุณในการโพสต์นิตยสารบนเว็บไซต์อื่นๆ

นี่คือสิ่งที่เกิดขึ้นกับฉัน:

ผู้ใช้ของฉันไม่มาหาฉัน

แต่พวกเขาเดินอย่างเกียจคร้าน

ต่าง ๆ ไม่เหมือนกัน…

บันทึกเหตุการณ์คืออะไร

ทุกสิ่งที่เกิดขึ้นอยู่ภายใต้การควบคุม Windows(คลิก , กดปุ่ม , เปิดโปรแกรม… ) เป็นเหตุการณ์ ( เหตุการณ์). ที่สำคัญที่สุด (ในแง่ของ Windows!) เหตุการณ์ (เช่น ปัญหาฮาร์ดแวร์ แอปพลิเคชัน และระบบ) จะถูกบันทึกโดยระบบปฏิบัติการในรูปแบบที่เรียกว่า บันทึกเหตุการณ์.

วิธีดูบันทึกเหตุการณ์

Windows Vista+: เริ่ม -> แผงควบคุม -> เครื่องมือการดูแลระบบ -> ตัวแสดงเหตุการณ์.

Windows XP: เริ่ม -> การตั้งค่า -> แผงควบคุม -> เครื่องมือการดูแลระบบ -> ตัวแสดงเหตุการณ์(หรือ เริ่ม -> วิ่ง ->ในหน้าต่าง เปิดตัวโปรแกรมลงในช่องข้อความ เปิดเข้าสู่ eventvwr.msc /s –> คลิก ตกลง).

นิตยสารประเภทหลัก:

บันทึกการสมัคร(ประกอบด้วยข้อมูลที่เกี่ยวข้องกับการทำงานของแอปพลิเคชันและโปรแกรม รายการในบันทึกนี้สร้างขึ้นโดยแอปพลิเคชันเอง เหตุการณ์ที่ป้อนในบันทึกของแอปพลิเคชันจะถูกกำหนดโดยผู้พัฒนาแอปพลิเคชันที่เกี่ยวข้อง)

บันทึกความปลอดภัย(ประกอบด้วยบันทึกเหตุการณ์ต่างๆ เช่น ความพยายามเข้าถึงระบบที่สำเร็จและไม่สำเร็จ ตลอดจนเหตุการณ์ที่เกี่ยวข้องกับการใช้ทรัพยากร เช่น การสร้าง การเปิดและการลบไฟล์และวัตถุอื่นๆ ตัดสินใจเกี่ยวกับเหตุการณ์ที่บันทึกไว้ในระบบรักษาความปลอดภัย log ยอมรับโดยผู้ดูแลระบบ ตัวอย่างเช่น หลังจากเปิดใช้งานการตรวจสอบการเข้าสู่ระบบ การพยายามเข้าสู่ระบบทั้งหมดจะถูกบันทึกไว้ในบันทึกการรักษาความปลอดภัย)

บันทึกระบบ(ประกอบด้วยรายการเหตุการณ์ที่ทำโดยส่วนประกอบของระบบปฏิบัติการ Windows. ตัวอย่างเช่น บันทึกของระบบจะบันทึกความล้มเหลวระหว่างการบู๊ตหรือส่วนประกอบอื่นๆ ของระบบในระหว่างการเริ่มต้นระบบ)

ตัวแสดงเหตุการณ์แสดง เหตุการณ์ประเภทต่อไปนี้:

ข้อผิดพลาด(ปัญหาร้ายแรง เช่น การสูญหายของข้อมูลหรือการทำงาน หากบริการโหลดไม่สำเร็จเมื่อเริ่มต้น ระบบจะบันทึกข้อความแสดงข้อผิดพลาด รายการข้อผิดพลาดจะถูกทำเครื่องหมายด้วยวงกลมที่มีเครื่องหมายกากบาทอยู่ข้างใน)

คำเตือน(เหตุการณ์ที่ไม่สำคัญในขณะที่เขียนบันทึก แต่อาจนำไปสู่ความยุ่งยากในอนาคต ตัวอย่างเช่น หากดิสก์เหลือเพียงเล็กน้อย ที่ว่าง, บันทึกคำเตือนแล้ว คำเตือนจะถูกทำเครื่องหมายด้วยรูปสามเหลี่ยมที่มีเครื่องหมายอัศเจรีย์);

การแจ้งเตือน(เหตุการณ์ที่อธิบายถึงความสำเร็จของการดำเนินการโดยแอปพลิเคชันหรือบริการ ตัวอย่างเช่น หลังจากดาวน์โหลดสำเร็จ เหตุการณ์การแจ้งเตือนจะถูกบันทึกไว้ การแจ้งเตือนจะถูกทำเครื่องหมายด้วยวงกลมที่มี "หาง" และมีตัวอักษร "i" อยู่ข้างใน)

การตรวจสอบความสำเร็จ(เหตุการณ์ที่สอดคล้องกับการดำเนินการที่เสร็จสมบูรณ์ซึ่งเกี่ยวข้องกับการรักษาความปลอดภัยของระบบ ตัวอย่างเช่น ในกรณีที่ผู้ใช้เข้าสู่ระบบสำเร็จ จะมีการบันทึกเหตุการณ์ด้วยประเภท "การตรวจสอบความสำเร็จ")

การตรวจสอบความล้มเหลว(เหตุการณ์ที่สอดคล้องกับการดำเนินการที่ไม่สำเร็จที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบ ตัวอย่างเช่น ในกรณีที่พยายามเข้าถึงผู้ใช้ไปยังไดรฟ์เครือข่ายไม่สำเร็จ เหตุการณ์ประเภท "การตรวจสอบความล้มเหลว" จะถูกบันทึกไว้)

วิธีใช้บันทึกเหตุการณ์เพื่อแก้ไขปัญหา

การวิเคราะห์บันทึกเหตุการณ์อย่างรอบคอบช่วยป้องกันปัญหาของระบบและระบุสาเหตุของปัญหา ตัวอย่างเช่น หากมีคำเตือนในบันทึกว่าดิสก์สามารถอ่านหรือเขียนเซกเตอร์ได้หลังจากพยายามไม่กี่ครั้ง เซกเตอร์นั้นอาจไม่สามารถใช้งานได้ในไม่ช้า

บันทึกยังช่วยคุณแก้ไขปัญหาที่เกี่ยวข้องกับประสิทธิภาพของแอปพลิเคชันได้อีกด้วย ตัวอย่างเช่น หากโปรแกรมหยุดทำงาน มักจะมีรายการในบันทึกของแอปพลิเคชันเกี่ยวกับเหตุการณ์ที่ทำให้โปรแกรมหยุดทำงาน

การอ่านบันทึกเหตุการณ์ถือเป็นหน้าที่อันศักดิ์สิทธิ์ (ทุกวัน!) ของโปรแกรมเมอร์และผู้ดูแลระบบ บ่อยครั้ง แม้แต่สำหรับผู้ใช้ทั่วไป การดูบันทึกเหล่านี้สามารถช่วยให้ชีวิตง่ายขึ้นมากโดยการสื่อสารด้วยการจัดการ Windowsสนุกและมีประสิทธิภาพมากขึ้น!

หมายเหตุ

1. บริการบันทึกเหตุการณ์เริ่มต้นโดยอัตโนมัติเมื่อเริ่มต้น Windows.

มีคำถามหรือไม่?

รายงานการพิมพ์ผิด

ข้อความที่จะส่งถึงบรรณาธิการของเรา:

ส่ง