บำรุงผิว 

วิธีเปิดบันทึกข้อผิดพลาดใน Windows 7 Event Viewer ใน Windows Vista

ระบบปฏิบัติการ Windows 7 ตรวจสอบต่างๆ อย่างต่อเนื่อง น่าจดจำเหตุการณ์ที่เกิดขึ้นในระบบของคุณ บน Microsoft Windows เหตุการณ์เป็นเหตุการณ์ใด ๆ ใน ระบบปฏิบัติการ A ที่บันทึกไว้หรือต้องแจ้งให้ผู้ใช้หรือผู้ดูแลระบบทราบ นี่อาจเป็นบริการที่ไม่ต้องการเริ่มต้น การติดตั้งอุปกรณ์ หรือข้อผิดพลาดของแอปพลิเคชัน เหตุการณ์จะถูกบันทึกและจัดเก็บไว้ในบันทึกเหตุการณ์ของ Windows และให้ข้อมูลประวัติที่สำคัญเพื่อช่วยคุณตรวจสอบระบบ รักษาความปลอดภัยของระบบ แก้ไขปัญหา และดำเนินการวินิจฉัย ข้อมูลที่อยู่ในบันทึกเหล่านี้ควรได้รับการตรวจสอบอย่างสม่ำเสมอ คุณควรตรวจสอบบันทึกเหตุการณ์อย่างสม่ำเสมอและกำหนดค่าระบบปฏิบัติการเพื่อบันทึกเหตุการณ์ที่สำคัญของระบบ ในกรณีที่คุณเป็นผู้ดูแลระบบเซิร์ฟเวอร์ Windows คุณต้องตรวจสอบความปลอดภัยของระบบ การทำงานปกติของแอปพลิเคชันและบริการ และตรวจสอบเซิร์ฟเวอร์สำหรับข้อผิดพลาดที่อาจทำให้ประสิทธิภาพลดลง หากคุณเป็นผู้ใช้พีซี คุณควรตรวจสอบให้แน่ใจว่าคุณมีสิทธิ์เข้าถึงบันทึกที่เหมาะสมซึ่งจำเป็นต่อการสนับสนุนระบบของคุณและแก้ไขข้อผิดพลาด

โปรแกรม ผู้ชมเหตุการณ์เป็นสแน็ปอิน Microsoft Management Console (MMC) สำหรับการดูและจัดการบันทึกเหตุการณ์ เป็นเครื่องมือที่จำเป็นสำหรับการตรวจสอบความสมบูรณ์ของระบบและการแก้ไขปัญหา บริการ Windows ที่จัดการการบันทึกเหตุการณ์เรียกว่า "บันทึกเหตุการณ์". ในกรณีที่ทำงานอยู่ Windows จะเขียนข้อมูลสำคัญลงในบันทึก ด้วยความช่วยเหลือของโปรแกรม ผู้ชมเหตุการณ์คุณสามารถทำสิ่งต่อไปนี้:

  • ดูเหตุการณ์ของบันทึกเฉพาะ
  • ใช้ตัวกรองเหตุการณ์และบันทึกไว้เพื่อใช้ในภายหลังเป็นมุมมองที่กำหนดเอง
  • สร้างการสมัครสมาชิกเหตุการณ์และจัดการ;
  • กำหนดการดำเนินการเฉพาะให้กับเหตุการณ์เฉพาะ

เปิดตัว Event Viewer

ภาคผนวก ผู้ชมเหตุการณ์สามารถเปิดได้ด้วยวิธีต่อไปนี้:

บันทึกเหตุการณ์ใน Windows 7

ในห้องผ่าตัด ระบบ Windows 7 เช่นเดียวกับใน Windows Vista มีบันทึกเหตุการณ์สองประเภท: บันทึกของ Windowsและ บันทึกการสมัครและบริการ. บันทึกของ Windows- ถูกใช้โดยระบบปฏิบัติการเพื่อลงทะเบียนเหตุการณ์ทั้งระบบที่เกี่ยวข้องกับการทำงานของแอพพลิเคชั่น ส่วนประกอบของระบบ ความปลอดภัย และการเริ่มต้น แต่ บันทึกการสมัครและบริการ- ถูกใช้โดยแอปพลิเคชันและบริการเพื่อลงทะเบียนกิจกรรมที่เกี่ยวข้องกับการดำเนินงาน คุณสามารถใช้สแน็ปอินเพื่อจัดการบันทึกเหตุการณ์ ผู้ชมเหตุการณ์หรือโปรแกรม บรรทัดคำสั่ง wevtutilซึ่งจะกล่าวถึงในส่วนที่สองของบทความ บันทึกทุกประเภทมีคำอธิบายด้านล่าง:

ภาคผนวก- ร้านค้า เหตุการณ์สำคัญที่เกี่ยวข้องกับแอปพลิเคชันเฉพาะ ตัวอย่างเช่น Exchange Server จะจัดเก็บเหตุการณ์ที่เกี่ยวข้องกับการส่งต่อเมล รวมถึงการเก็บข้อมูล กล่องจดหมาย และเหตุการณ์การบริการที่ทำงานอยู่ ตำแหน่งเริ่มต้นคือ %SystemRoot%\System32\Winevt\Logs\Application.Evtx

ความปลอดภัย- จัดเก็บเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย เช่น การเข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ และการเข้าถึงทรัพยากร โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\Security.Evtx

การติดตั้ง- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นระหว่างการติดตั้งและการกำหนดค่าระบบปฏิบัติการและส่วนประกอบต่างๆ ตำแหน่งเริ่มต้นคือ %SystemRoot%\System32\Winevt\Logs\Setup.Evtx

ระบบ- เก็บเหตุการณ์ของระบบปฏิบัติการหรือส่วนประกอบต่างๆ เช่น ความล้มเหลวในการเริ่มบริการหรือเริ่มต้นไดรเวอร์ ข้อความทั้งระบบ และข้อความอื่นๆ ที่เกี่ยวข้องกับระบบโดยรวม โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\System.Evtx

ส่งต่อเหตุการณ์- หากมีการกำหนดค่าการส่งต่อเหตุการณ์ บันทึกนี้จะรวมกิจกรรมที่ส่งต่อจากเซิร์ฟเวอร์อื่น โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นเมื่อกำหนดค่าและทำงานกับเบราว์เซอร์ Internet Explorer โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- กิจกรรมที่เกี่ยวข้องกับการใช้ PowerShell shell จะถูกบันทึกไว้ในบันทึกนี้ โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

กิจกรรมอุปกรณ์- หากมีการกำหนดค่าการบันทึกเหตุการณ์ของอุปกรณ์ เหตุการณ์ที่สร้างโดยอุปกรณ์จะถูกเขียนลงในบันทึกนี้ โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

ใน Windows 7 โครงสร้างพื้นฐานที่ให้การบันทึกเหตุการณ์จะยึดตาม in Windows Vistaเป็น XML ข้อมูลสำหรับแต่ละเหตุการณ์เป็นไปตาม XML schema ทำให้คุณสามารถเข้าถึงโค้ด XML สำหรับเหตุการณ์ใดๆ ได้ นอกจากนี้ คุณสามารถสร้างการสืบค้นข้อมูลแบบ XML เพื่อดึงข้อมูลจากบันทึก ไม่จำเป็นต้องมีความรู้เกี่ยวกับ XML เพื่อใช้คุณลักษณะใหม่เหล่านี้ เสื้อผ้า ผู้ชมเหตุการณ์มีอินเทอร์เฟซแบบกราฟิกที่เรียบง่ายสำหรับการเข้าถึงคุณลักษณะเหล่านี้

คุณสมบัติเหตุการณ์

มีคุณสมบัติเหตุการณ์ snap-in หลายประการ ผู้ชมเหตุการณ์ซึ่งมีรายละเอียดดังนี้

แหล่งที่มาเป็นโปรแกรมที่บันทึกเหตุการณ์ อาจเป็นชื่อของโปรแกรม (เช่น "Exchange Server") หรือชื่อของส่วนประกอบระบบหรือแอปพลิเคชันขนาดใหญ่ (เช่น ชื่อของไดรเวอร์) ตัวอย่างเช่น "Elnkii" หมายถึงไดรเวอร์ EtherLink II

รหัสกิจกรรมเป็นตัวเลขที่ระบุประเภทของเหตุการณ์โดยเฉพาะ บรรทัดแรกของคำอธิบายมักจะมีชื่อของประเภทเหตุการณ์ ตัวอย่างเช่น 6005 คือ ID เหตุการณ์ที่เกิดขึ้นเมื่อบริการบันทึกเหตุการณ์เริ่มทำงาน ดังนั้น ที่จุดเริ่มต้นของคำอธิบายของเหตุการณ์นี้คือบรรทัด "บริการบันทึกเหตุการณ์ที่เริ่มต้น" ทีมสนับสนุนผลิตภัณฑ์ซอฟต์แวร์สามารถใช้ ID เหตุการณ์และชื่อแหล่งที่มาของบันทึกเพื่อวัตถุประสงค์ในการแก้ไขปัญหา

ระดับเป็นระดับความสำคัญของเหตุการณ์ ในบันทึกของระบบและแอปพลิเคชัน เหตุการณ์สามารถมีระดับความรุนแรงดังต่อไปนี้:

  • การแจ้งเตือน- หมายถึงการเปลี่ยนแปลงในแอปพลิเคชันหรือส่วนประกอบ เช่น เหตุการณ์ข้อมูลที่เกี่ยวข้องกับการดำเนินการที่ประสบความสำเร็จ การสร้างทรัพยากร หรือการเริ่มบริการ
  • คำเตือน- ระบุคำเตือนทั่วไปเกี่ยวกับปัญหาที่อาจส่งผลต่อการบริการหรือนำไปสู่ปัญหาที่ร้ายแรงกว่าหากปล่อยทิ้งไว้โดยไม่มีใครดูแล
  • ความผิดพลาด- แสดงว่ามีปัญหาเกิดขึ้นที่อาจส่งผลกระทบต่อฟังก์ชันภายนอกแอปพลิเคชันหรือส่วนประกอบที่ก่อให้เกิดเหตุการณ์
  • ข้อผิดพลาดที่สำคัญ- ระบุว่ามีความล้มเหลวเกิดขึ้นจากการที่แอปพลิเคชันหรือส่วนประกอบที่เรียกใช้เหตุการณ์ไม่สามารถกู้คืนได้โดยอัตโนมัติ
  • การตรวจสอบความสำเร็จ- การทำกิจกรรมที่คุณติดตามผ่านการตรวจสอบสำเร็จ เช่น การใช้สิทธิ์
  • การตรวจสอบความล้มเหลว- ความล้มเหลวของการกระทำที่คุณติดตามผ่านการตรวจสอบ เช่น การเข้าสู่ระบบล้มเหลว

ผู้ใช้- กำหนดบัญชีผู้ใช้ในนามของเหตุการณ์นี้เกิดขึ้น ผู้ใช้รวมถึงหน่วยงานเฉพาะ เช่น Local Service, Network Service และ Anonymous Logon ตลอดจนบัญชีผู้ใช้จริง ชื่อนี้คือรหัสไคลเอ็นต์หากเหตุการณ์นั้นเกิดขึ้นจริงโดยกระบวนการของเซิร์ฟเวอร์ หรือ ID หลักหากไม่มีการแอบอ้างบุคคลอื่นเกิดขึ้น ในบางกรณี รายการบันทึกความปลอดภัยประกอบด้วยตัวระบุทั้งสอง และในฟิลด์นี้ก็สามารถมี N / A (N / A) หากอยู่ในสถานการณ์นี้ บัญชีไม่สามารถใช้ได้. การแอบอ้างบุคคลอื่นเกิดขึ้นเมื่อเซิร์ฟเวอร์อนุญาตให้กระบวนการหนึ่งกำหนดแอตทริบิวต์ความปลอดภัยของกระบวนการอื่น

รหัสการทำงาน- ประกอบด้วย ค่าตัวเลข A ที่ระบุการดำเนินการหรือจุดภายในการดำเนินการที่เรียกเหตุการณ์นี้ ตัวอย่างเช่น การเริ่มต้นหรือการปิด

นิตยสาร- ชื่อของบันทึกที่บันทึกเหตุการณ์นี้

หมวดหมู่และงาน- กำหนดหมวดหมู่ของเหตุการณ์ ซึ่งบางครั้งใช้เพื่ออธิบายการกระทำที่ถูกต้องเพิ่มเติม แหล่งที่มาของเหตุการณ์แต่ละแห่งมีหมวดหมู่ของตัวเอง ตัวอย่างเช่น หมวดหมู่ต่อไปนี้ ได้แก่ เข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ การเปลี่ยนแปลงนโยบาย และการจัดการบัญชี

คีย์เวิร์ดเป็นชุดของหมวดหมู่หรือป้ายกำกับที่สามารถใช้กรองหรือค้นหาเหตุการณ์ได้ ตัวอย่างเช่น "เครือข่าย" "ความปลอดภัย" หรือ "ไม่พบทรัพยากร"

คอมพิวเตอร์- ระบุชื่อคอมพิวเตอร์ที่เกิดเหตุการณ์ โดยปกติจะเป็นชื่อของคอมพิวเตอร์ในระบบ แต่อาจเป็นชื่อของคอมพิวเตอร์ที่ส่งต่อเหตุการณ์ หรือชื่อของคอมพิวเตอร์ในพื้นที่ก่อนที่จะมีการเปลี่ยนแปลง

วันและเวลา- กำหนดวันที่และเวลาที่เกิดเหตุการณ์นี้ในบันทึก

รหัสกระบวนการ- หมายถึงหมายเลขประจำตัวของกระบวนการที่สร้างเหตุการณ์นี้ โปรแกรมคอมพิวเตอร์เป็นเพียงชุดคำสั่งแบบพาสซีฟ ในขณะที่กระบวนการคือการดำเนินการตามคำสั่งเหล่านี้โดยตรง

รหัสกระทู้- หมายถึงหมายเลขประจำตัวของเธรดที่สร้างเหตุการณ์นี้ กระบวนการที่เกิดในระบบปฏิบัติการอาจประกอบด้วยหลายเธรดที่ทำงาน "แบบขนาน" นั่นคือไม่มีลำดับที่กำหนดไว้ในเวลา สำหรับงานบางงาน การแยกนี้สามารถใช้ทรัพยากรคอมพิวเตอร์ได้อย่างมีประสิทธิภาพมากขึ้น

รหัสโปรเซสเซอร์- หมายถึงหมายเลขประจำตัวของโปรเซสเซอร์ที่ประมวลผลเหตุการณ์

รหัสเซสชันคือหมายเลขประจำตัวของเซสชันบนเซิร์ฟเวอร์เทอร์มินัลที่เกิดเหตุการณ์

เวลาเคอร์เนลระบุเวลาที่ใช้ในการดำเนินการคำสั่งโหมดเคอร์เนล ในหน่วยของเวลา CPU โหมดเคอร์เนลสามารถเข้าถึงหน่วยความจำระบบและอุปกรณ์ภายนอกได้ไม่จำกัด เคอร์เนลของระบบ NT เรียกว่าไฮบริดเคอร์เนลหรือแมคโครเคอร์เนล

เวลาใช้งานในโหมดผู้ใช้ระบุเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ ในหน่วยของเวลา CPU โหมดผู้ใช้ประกอบด้วยระบบย่อยที่ส่งคำขอ I/O ไปยังไดรเวอร์โหมดเคอร์เนลที่เหมาะสมผ่านตัวจัดการ I/O

โหลดโปรเซสเซอร์คือเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ในขีดของ CPU

รหัสสหสัมพันธ์- กำหนดการดำเนินการในกระบวนการที่ใช้เหตุการณ์ รหัสนี้ใช้เพื่อระบุ ความสัมพันธ์ที่เรียบง่ายระหว่างเหตุการณ์ ความสัมพันธ์คือความสัมพันธ์ทางสถิติระหว่างสองคนหรือมากกว่า ตัวแปรสุ่ม(หรือค่าที่ถือได้ว่ามีความเที่ยงตรงในระดับหนึ่งที่ยอมรับได้) ในเวลาเดียวกัน การเปลี่ยนแปลงในปริมาณเหล่านี้อย่างน้อยหนึ่งอย่างจะนำไปสู่การเปลี่ยนแปลงอย่างเป็นระบบในปริมาณอื่นหรือปริมาณอื่นๆ

รหัสสหสัมพันธ์- กำหนด การกระทำที่สัมพันธ์กันในกระบวนการที่ใช้เหตุการณ์

การทำงานกับบันทึกเหตุการณ์

ผู้ชมเหตุการณ์

คุณสามารถดูบันทึกได้ในภาพหน้าจอต่อไปนี้ "แอพพลิเคชั่น"ซึ่งให้ข้อมูลเกี่ยวกับเหตุการณ์ มุมมองล่าสุด และการดำเนินการที่มี หากต้องการดูเหตุการณ์บันทึกของแอปพลิเคชัน ให้ทำตามขั้นตอนเหล่านี้:

  1. ในทรีคอนโซล เลือก "บันทึกของ Windows";
  2. เลือกนิตยสาร "แอพพลิเคชั่น".

ขอแนะนำให้ตรวจสอบบันทึกเหตุการณ์บ่อยขึ้น "ภาคผนวก"และ "ระบบ"และศึกษาปัญหาและคำเตือนที่มีอยู่ที่อาจบ่งบอกถึงปัญหาในอนาคต เมื่อเลือกบันทึกแล้ว หน้าต่างตรงกลางจะแสดงเหตุการณ์ที่มีอยู่ รวมถึงวันที่ของเหตุการณ์ เวลาและแหล่งที่มา ระดับเหตุการณ์ และอื่นๆ

แผงหน้าปัด "พื้นที่ชม"แสดงข้อมูลเหตุการณ์พื้นฐานบนแท็บ "ทั่วไป"และข้อมูลเฉพาะเพิ่มเติมบนแท็บ "รายละเอียด". คุณสามารถเปิดและปิดแผงนี้ได้โดยเลือกเมนู "ดู"แล้วก็คำสั่ง "พื้นที่ชม".

สำหรับระบบที่สำคัญ ขอแนะนำให้เก็บบันทึกในช่วงสองสามเดือนที่ผ่านมา ตามกฎแล้ว การกำหนดบันทึกที่มีขนาดที่ข้อมูลทั้งหมดอยู่ในนั้นไม่สะดวก ตามกฎแล้วปัญหานี้สามารถแก้ไขได้ด้วยวิธีอื่น คุณสามารถส่งออกบันทึกไปยังไฟล์ที่อยู่ในโฟลเดอร์ที่ระบุ ในการบันทึกบันทึกที่เลือก ให้ทำดังนี้:

  1. ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการบันทึก
  2. เลือกทีม "บันทึกเหตุการณ์เป็น"จากเมนู "หนังบู๊"หรือจากเมนูบริบทของบันทึก ให้เลือกคำสั่ง "บันทึกเหตุการณ์ทั้งหมดเป็น";
  3. ในกล่องโต้ตอบที่ปรากฏขึ้น "บันทึกเป็น"เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างไฟล์ได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "แฟ้มใหม่"บนแถบการกระทำ ในสนาม "ประเภทไฟล์"คุณต้องเลือกรูปแบบไฟล์ที่ต้องการจากรูปแบบที่มี: ไฟล์เหตุการณ์ - *.evtx, ไฟล์ xml - *.xml, ข้อความที่คั่นด้วยแท็บ - *.txt, csv ที่คั่นด้วยเครื่องหมายจุลภาค - *.csv ในสนาม "ชื่อไฟล์" "บันทึก". หากต้องการยกเลิกการบันทึก ให้กดปุ่ม "ยกเลิก";
  4. ในกรณีที่บันทึกเหตุการณ์ไม่ได้มีไว้สำหรับดูบนคอมพิวเตอร์เครื่องอื่น ในกล่องโต้ตอบ "แสดงรายละเอียด"ปล่อยให้ตัวเลือกเริ่มต้น "ไม่แสดงรายละเอียด"และหากบันทึกมีวัตถุประสงค์เพื่อดูบนคอมพิวเตอร์เครื่องอื่น ให้ป้อนในกล่องโต้ตอบ "แสดงรายละเอียด"เลือกตัวเลือก "แสดงข้อมูลสำหรับ ภาษาต่อไปนี้» และคลิกที่ปุ่ม "ตกลง".

การล้างบันทึกเหตุการณ์

บางครั้งจำเป็นต้องล้างบันทึกเหตุการณ์ทั้งหมดเพื่อให้แน่ใจว่าการวิเคราะห์คำเตือนของระบบปฏิบัติการและข้อผิดพลาดร้ายแรงมีประสิทธิผล หากต้องการล้างบันทึกที่เลือก ให้ทำดังนี้:

  1. ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการล้าง
  2. ล้างบันทึกด้วยวิธีใดวิธีหนึ่งต่อไปนี้:
    • ในเมนู "หนังบู๊"เลือกทีม "ล้างบันทึก";
    • ในบันทึกที่เลือก ให้คลิกขวาเพื่อเปิดเมนูบริบท ในเมนูบริบท เลือกคำสั่ง "ล้างบันทึก";
  3. ถัดไป คุณสามารถล้างบันทึกหรือเก็บถาวรหากยังไม่เคยทำมาก่อน:
    • หากต้องการล้างบันทึกเหตุการณ์โดยไม่บันทึก ให้คลิกปุ่ม "ชัดเจน";
    • หากต้องการล้างบันทึกเหตุการณ์หลังจากบันทึก ให้คลิกปุ่ม "ประหยัดและทำความสะอาด". ในกล่องโต้ตอบที่ปรากฏขึ้น "บันทึกเป็น"เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างไฟล์ได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "แฟ้มใหม่"บนแถบการกระทำ ในสนาม "ชื่อไฟล์"ใส่ชื่อและคลิกที่ปุ่ม "บันทึก". หากต้องการยกเลิกการบันทึก ให้กดปุ่ม "ยกเลิก".

การตั้งค่าขนาดบันทึกสูงสุด

ตามที่กล่าวไว้ข้างต้น บันทึกเหตุการณ์จะถูกจัดเก็บเป็นไฟล์ในโฟลเดอร์ %SystemRoot%\System32\Winevt\Logs\ ตามค่าเริ่มต้น ขนาดสูงสุดของไฟล์เหล่านี้จะถูกจำกัด แต่คุณสามารถเปลี่ยนได้ด้วยวิธีต่อไปนี้:

  1. เลือกทีม "คุณสมบัติ"จากเมนู "หนังบู๊"
  2. ในสนาม "ขนาดบันทึกสูงสุด (KB)"ตั้งค่าที่ต้องการโดยใช้ตัวนับหรือตั้งค่าด้วยตนเองโดยไม่ต้องใช้ตัวนับ ในกรณีนี้ ค่าจะถูกปัดขึ้นเป็นจำนวนทวีคูณที่ใกล้ที่สุดของ 64 KB เนื่องจากขนาดของล็อกไฟล์จะต้องเป็นทวีคูณของ 64 KB และต้องไม่น้อยกว่า 1024 KB

เหตุการณ์จะถูกเก็บไว้ในล็อกไฟล์ ซึ่งสามารถขยายได้ถึงขนาดสูงสุดที่ระบุเท่านั้น หลังจากที่ไฟล์ถึงขนาดสูงสุด การประมวลผลเหตุการณ์ที่เข้ามาจะถูกกำหนดโดยนโยบายการเก็บรักษาบันทึก มีนโยบายการเก็บรักษาบันทึกดังต่อไปนี้:

เขียนเหตุการณ์ใหม่หากจำเป็น (ไฟล์เก่าก่อน)- ในกรณีนี้ รายการใหม่จะถูกบันทึกต่อไปหลังจากที่เต็มแล้ว เหตุการณ์ใหม่แต่ละรายการจะแทนที่เหตุการณ์ที่เก่าที่สุดในบันทึก

เก็บบันทึกเมื่อเต็ม; อย่าเขียนเหตุการณ์ใหม่- ในกรณีนี้ ไฟล์บันทึกจะถูกเก็บถาวรโดยอัตโนมัติหากจำเป็น เหตุการณ์เก่าจะไม่ถูกเขียนทับ

อย่าเขียนเหตุการณ์ใหม่ (ล้างบันทึกด้วยตนเอง)- ในกรณีนี้ บันทึกจะถูกล้างด้วยตนเอง ไม่ใช่โดยอัตโนมัติ

ในการเลือกนโยบายการเก็บรักษาบันทึกที่ต้องการ ให้ทำตามขั้นตอนเหล่านี้:

  1. ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการปรับขนาด
  2. เลือกทีม "คุณสมบัติ"จากเมนู "หนังบู๊"หรือจากเมนูบริบทของวารสารที่เลือก
  3. บนแท็บ "ทั่วไป", ในบท “เมื่อถึงขนาดสูงสุด”เลือกพารามิเตอร์ที่ต้องการแล้วกดปุ่ม "ตกลง".

เปิดใช้งานการบันทึกการวิเคราะห์และดีบัก

บันทึกการวิเคราะห์และดีบักถูกปิดใช้งานโดยค่าเริ่มต้น เมื่อเปิดใช้งานจะเต็มอย่างรวดเร็ว ปริมาณมากเหตุการณ์ ด้วยเหตุนี้ จึงควรเปิดใช้งานบันทึกเหล่านี้ในระยะเวลาที่จำกัด เพื่อรวบรวมข้อมูลที่จำเป็นสำหรับการแก้ไขปัญหา แล้วปิดใช้งานอีกครั้ง บันทึกสามารถเปิดใช้งานได้ดังนี้:

  1. ในทรีคอนโซล ค้นหาและเลือกบันทึกการวิเคราะห์หรือดีบักที่คุณต้องการเปิดใช้งาน
  2. เลือกทีม "คุณสมบัติ"จากเมนู "หนังบู๊"หรือจากเมนูบริบทของบันทึกการวิเคราะห์หรือบันทึกการแก้ปัญหาที่เลือก
  3. บนแท็บ "ทั่วไป"ทำเครื่องหมายที่ช่องตัวเลือก "เปิดใช้งานการบันทึก"

การเปิดและปิดบันทึกที่บันทึกไว้

ด้วยความช่วยเหลือของอุปกรณ์ ผู้ชมเหตุการณ์คุณสามารถเปิดและดูบันทึกที่บันทึกไว้ก่อนหน้านี้ คุณสามารถเปิดบันทึกที่บันทึกไว้หลายรายการพร้อมกันและเข้าถึงได้ทุกเมื่อในโครงสร้างคอนโซล นิตยสารเปิดใน ผู้ชมเหตุการณ์สามารถปิดได้โดยไม่ต้องลบข้อมูลที่มีอยู่ หากต้องการเปิดบันทึกที่บันทึกไว้ ให้ทำดังนี้:

  1. เลือกทีม "เปิดบันทึกที่บันทึกไว้"ในเมนู "หนังบู๊"หรือจากเมนูบริบทในทรีคอนโซล
  2. 3. ในกล่องโต้ตอบ "เปิดบันทึกที่บันทึกไว้"ย้ายผ่านแผนผังไดเร็กทอรี เปิดโฟลเดอร์ที่มีไฟล์ที่ต้องการ โดยค่าเริ่มต้น ไฟล์บันทึกเหตุการณ์ทั้งหมดจะแสดงในกล่องโต้ตอบ นอกจากนี้ เมื่อเปิด คุณสามารถเลือกประเภทไฟล์ที่คุณต้องการแสดงในกล่องโต้ตอบที่เปิดอยู่ ประเภทไฟล์ที่มีคือ: ไฟล์บันทึกเหตุการณ์ (*.evtx, *.evt, *.etl) เช่นเดียวกับไฟล์เหตุการณ์ (*.evtx), ไฟล์เหตุการณ์ดั้งเดิม (*.evt) หรือไฟล์บันทึกการติดตาม (*. ฯลฯ) หลังจากพบไฟล์บันทึกที่ต้องการแล้วให้เลือกโดยคลิกที่ปุ่มซ้ายของเมาส์ซึ่งจะวางชื่อลงในบรรทัดสำหรับป้อนชื่อไฟล์และคลิกที่ปุ่ม "เปิด".
  3. ในบทสนทนา "เปิดบันทึกที่บันทึกไว้", ในสนาม "ชื่อ"ป้อนชื่อใหม่เพื่อใช้สำหรับบันทึกในทรีคอนโซล ใช้เพื่อแสดงบันทึกในทรีคอนโซลเท่านั้นและไม่ได้เปลี่ยนชื่อไฟล์บันทึก คุณยังสามารถใช้ ชื่อที่มีอยู่ล็อกไฟล์ ในสนาม "คำอธิบาย"ป้อนคำอธิบายสำหรับบันทึก จะแสดงในบานหน้าต่างตรงกลางเมื่อโฟลเดอร์บันทึกหลักถูกเน้นในทรีคอนโซล
  4. ในการสร้างโฟลเดอร์ที่จะเก็บบันทึกที่บันทึกไว้ ให้คลิกปุ่ม "สร้างโฟลเดอร์". ในสนาม "ชื่อ"ป้อนชื่อโฟลเดอร์ที่จะเปิดบันทึก จากนั้นคลิกปุ่ม "ตกลง". หากไม่ได้เลือกโฟลเดอร์หลัก โฟลเดอร์ใหม่จะอยู่ในโฟลเดอร์ "บันทึกที่บันทึกไว้".
  5. หากต้องการให้ผู้ใช้คอมพิวเตอร์เครื่องอื่นไม่สามารถเข้าถึงบันทึกเหตุการณ์ที่เปิดอยู่ คุณสามารถล้างช่องทำเครื่องหมาย "ผู้ใช้ทั้งหมด". ถ้าช่องทำเครื่องหมายนี้ยังคงทำงานอยู่ ผู้ใช้ทุกคนจะสามารถใช้บันทึกที่เปิดอยู่ แต่จะต้องมีสิทธิ์ของผู้ดูแลระบบเพื่อลบออกจากโครงสร้างคอนโซล
  6. ในการเปิดนิตยสารให้คลิกที่ปุ่ม "ตกลง".

ในการลบบันทึกที่เปิดอยู่ออกจากแผนผังเหตุการณ์ ให้ทำดังต่อไปนี้:

  1. ในทรีคอนโซล เลือกบันทึกที่คุณต้องการลบ
  2. เลือกทีม "ลบ"จากเมนู "หนังบู๊"หรือจากเมนูบริบทของวารสารที่เลือก
  3. ในบทสนทนา ผู้ชมเหตุการณ์คลิกที่ปุ่ม "ใช่".

บทสรุป

ส่วนนี้ของบทความสแน็ปอินตัวแสดงเหตุการณ์จะแนะนำสแน็ปอินและให้รายละเอียดการดำเนินการพื้นฐานที่เกี่ยวข้องกับการตรวจสอบและบำรุงรักษาระบบของคุณโดยใช้ตัวแสดงเหตุการณ์ ส่วนถัดไปของบทความจะออกแบบมาสำหรับผู้ใช้ Windows ที่มีประสบการณ์ ซึ่งจะครอบคลุมงานด้วยมุมมองแบบกำหนดเอง การกรอง การจัดกลุ่ม/การเรียงลำดับเหตุการณ์ และการจัดการการสมัครรับข้อมูล

บรรทัดระบบปฏิบัติการ Windows จะลงทะเบียนเหตุการณ์หลักทั้งหมดที่เกิดขึ้นในระบบ ตามด้วยรายการในบันทึก บันทึกข้อผิดพลาด คำเตือน และการแจ้งเตือนต่างๆ จากบันทึกเหล่านี้ ผู้ใช้ที่มีประสบการณ์สามารถแก้ไขการทำงานของระบบและขจัดข้อผิดพลาดได้ มาเรียนรู้วิธีเปิดบันทึกเหตุการณ์ใน Windows 7 กันเถอะ

บันทึกเหตุการณ์ถูกเก็บไว้ในเครื่องมือระบบที่เรียกว่า ผู้ชมเหตุการณ์. มาดูวิธีการใช้ วิธีต่างๆคุณสามารถไปได้

วิธีที่ 1: "แผงควบคุม"

วิธีทั่วไปวิธีหนึ่งในการเปิดเครื่องมือที่อธิบายไว้ในบทความนี้ แม้ว่าจะห่างไกลจากวิธีที่ง่ายและสะดวกที่สุดคือการใช้ "แผงควบคุม".


วิธีที่ 2: เรียกใช้ Tool

มันง่ายกว่ามากในการเริ่มต้นการเปิดใช้งานเครื่องมือที่อธิบายไว้โดยใช้เครื่องมือ "วิ่ง".


ข้อเสียพื้นฐานของวิธีที่สะดวกและรวดเร็วนี้คือต้องคำนึงถึงคำสั่งของหน้าต่าง

วิธีที่ 3: ช่องค้นหาเมนูเริ่ม

วิธีการเรียกเครื่องมือที่เรากำลังศึกษาคล้ายกันมากนั้นดำเนินการโดยใช้ช่องค้นหาเมนู "เริ่ม".


วิธีที่ 4: "บรรทัดคำสั่ง"

เรียกเครื่องมือผ่าน "บรรทัดคำสั่ง"ค่อนข้างไม่สะดวก แต่มีวิธีการดังกล่าวอยู่และดังนั้นจึงควรค่าแก่การกล่าวถึงแยกต่างหาก ก่อนอื่นเราต้องเรียกหน้าต่าง "บรรทัดคำสั่ง".


วิธีที่ 5: การเริ่มต้นโดยตรงของไฟล์ eventvwr.exe

คุณสามารถใช้ตัวเลือก "แปลกใหม่" เพื่อแก้ปัญหาโดยเริ่มต้นไฟล์จาก "สำรวจ". อย่างไรก็ตามและ ทางนี้อาจมีประโยชน์ในทางปฏิบัติ เช่น หากความล้มเหลวถึงระดับที่ตัวเลือกอื่นในการเรียกใช้เครื่องมือไม่พร้อมใช้งาน นี่เป็นสิ่งที่หายากมาก แต่ค่อนข้างเป็นไปได้

ก่อนอื่น คุณต้องไปที่ตำแหน่งของไฟล์ eventvwr.exe ซึ่งอยู่ในไดเร็กทอรีระบบตามเส้นทางต่อไปนี้:

C:\Windows\System32


วิธีที่ 6: การป้อนเส้นทางของไฟล์ในแถบที่อยู่

ด้วยความช่วยเหลือ "สำรวจ"เราสามารถเปิดหน้าต่างที่เราสนใจและเร็วขึ้นได้ ในกรณีนี้ คุณไม่จำเป็นต้องค้นหา eventvwr.exe ในไดเร็กทอรี "ระบบ32". ในการดำเนินการนี้ในช่องที่อยู่ "สำรวจ"คุณเพียงแค่ต้องระบุพาธไปยังไฟล์นี้


วิธีที่ 7: สร้างทางลัด

หากคุณไม่ต้องการจำคำสั่งต่างๆ หรือนำทางไปยังส่วนต่างๆ "แผงควบคุม"พิจารณาว่าไม่สะดวกเกินไป แต่ในขณะเดียวกันคุณใช้นิตยสารบ่อย ๆ ในกรณีนี้คุณสามารถสร้างไอคอนบน "เดสก์ทอป"หรือในที่อื่นที่คุณสะดวก จากนั้นเรียกใช้เครื่องมือ ผู้ชมเหตุการณ์จะดำเนินการให้เรียบง่ายที่สุดโดยไม่จำเป็นต้องจำอะไร


ปัญหาในการเปิดนิตยสาร

มีบางกรณีที่มีปัญหาในการเปิดนิตยสารตามวิธีที่อธิบายไว้ข้างต้น ส่วนใหญ่มักเกิดขึ้นเนื่องจากบริการที่รับผิดชอบในการทำงานของเครื่องมือนี้ถูกปิดใช้งาน เมื่อพยายามเรียกใช้เครื่องมือ ผู้ชมเหตุการณ์ข้อความจะปรากฏขึ้นโดยระบุว่าบริการบันทึกเหตุการณ์ไม่พร้อมใช้งาน จากนั้นคุณต้องเปิดใช้งาน

  1. ก่อนอื่นคุณต้องไปที่ “ผู้จัดการบริการ”. สามารถทำได้จากส่วน "แผงควบคุม", ซึ่งถูกเรียกว่า "การบริหาร". วิธีไปที่มันถูกอธิบายโดยละเอียดเมื่อพิจารณา วิธีที่ 1. เมื่ออยู่ในส่วนนี้ ให้มองหารายการ "บริการ". คลิกที่มัน

    ที่ “ผู้จัดการบริการ”คุณสามารถไปกับเครื่องมือ "วิ่ง". โทรเลยโดยพิมพ์ ชนะ+รับ. พิมพ์ในช่องป้อนข้อมูล:

    คลิก ตกลง.

  2. ไม่ว่าคุณจะทำการเปลี่ยนแปลงผ่าน "แผงควบคุม"หรือใช้คำสั่งอินพุตในช่องเครื่องมือ "วิ่ง", เริ่ม “ผู้จัดการบริการ”. มองหาองค์ประกอบในรายการ "บันทึกเหตุการณ์ของ Windows". เพื่อความสะดวกในการค้นหา คุณสามารถจัดเรียงวัตถุทั้งหมดในรายการตามลำดับตัวอักษรโดยคลิกที่ชื่อช่อง "ชื่อ". หลังจากพบแถวที่ต้องการแล้ว ให้ดูที่ค่าที่สอดคล้องกันในคอลัมน์ "สถานะ". หากเปิดใช้งานบริการแล้วควรมีการจารึก "ผลงาน". หากว่างเปล่าแสดงว่าบริการถูกปิดใช้งาน ดูค่าในคอลัมน์ด้วย "ประเภทการเริ่มต้น". ในสภาวะปกติควรมีจารึก "โดยอัตโนมัติ". หากมีค่า "พิการ"หมายความว่าบริการไม่ได้เปิดใช้งานเมื่อเริ่มต้นระบบ

  3. ในการแก้ไขปัญหานี้ ให้ไปที่คุณสมบัติของบริการโดยดับเบิลคลิกที่ชื่อ ทาสี.

  4. หน้าต่างจะเปิดขึ้น คลิกที่พื้นที่ "ประเภทการเริ่มต้น".

  5. เลือกจากรายการดรอปดาวน์ "โดยอัตโนมัติ".

  6. คลิกที่คำบรรยาย "นำมาใช้"และ ตกลง.

  7. กลับไปที่ “ผู้จัดการบริการ”, ตรวจสอบ "บันทึกเหตุการณ์ของ Windows". ในพื้นที่ด้านซ้ายของเปลือกคลิกที่จารึก "วิ่ง".

  8. ได้เริ่มบริการแล้ว ตอนนี้อยู่ในฟิลด์คอลัมน์ที่สอดคล้องกับมัน "สถานะ"ค่าจะปรากฏขึ้น "ผลงาน"และในช่องคอลัมน์ "ประเภทการเริ่มต้น"จารึกจะปรากฏขึ้น "โดยอัตโนมัติ". ตอนนี้สามารถเปิดนิตยสารด้วยวิธีใดก็ได้ที่เราอธิบายไว้ข้างต้น

มีตัวเลือกค่อนข้างน้อยในการเปิดใช้งานบันทึกเหตุการณ์ใน Windows 7 แน่นอนว่าวิธีที่สะดวกและเป็นที่นิยมที่สุดคือการดำเนินการ "แถบเครื่องมือ", เปิดใช้งานโดยใช้เครื่องมือ "วิ่ง"หรือช่องค้นหาเมนู "เริ่ม". เพื่อให้เข้าถึงฟังก์ชันที่อธิบายไว้ได้ง่าย คุณสามารถสร้างไอคอนบน "เดสก์ทอป". บางครั้งมีปัญหาในการเปิดหน้าต่าง ผู้ชมเหตุการณ์. จากนั้นคุณต้องตรวจสอบว่ามีการเปิดใช้งานบริการที่เกี่ยวข้องหรือไม่

Windows 7 และ Windows 10 จะตรวจสอบระบบอย่างต่อเนื่องเพื่อหาสถานการณ์ที่ผิดปกติหรือน่าสังเกต เช่น บริการไม่ทำงาน การติดตั้งอุปกรณ์ หรือข้อผิดพลาดของแอปพลิเคชัน สถานการณ์ทั้งหมดนี้เรียกว่าเหตุการณ์และถูกบันทึกไว้ในบันทึกต่างๆ

ตัวอย่างเช่น บันทึกแอปพลิเคชันจะจัดเก็บเหตุการณ์ที่เกี่ยวข้องกับการทำงานของแอปพลิเคชัน ทั้งโปรแกรม Windows 7 เองและแอปพลิเคชันของบริษัทอื่น และบันทึกของระบบจะจัดเก็บกิจกรรมที่สร้างโดยระบบ Windows 7, 10 และส่วนประกอบต่างๆ เช่น ไดรเวอร์อุปกรณ์และบริการของระบบ

วิธีเปิดบันทึกเหตุการณ์ของ windows

หากต้องการเปิดบันทึกเหตุการณ์ในหน้าต่าง ให้คลิกที่ปุ่ม เริ่มโดยพิมพ์ในช่องค้นหา ผู้ชมเหตุการณ์และกดแป้น<เข้า>. รูปภาพด้านล่างแสดงลักษณะของโฮมเพจของ snap-in แสดงบันทึกเหตุการณ์ของ windows รายการของโหนดที่ดูล่าสุด และการดำเนินการต่างๆ ที่มี

การดูบันทึกเหตุการณ์ของ Windows

แผงทางด้านขวามีสามส่วน: มุมมองที่กำหนดเอง บันทึกของ Windows และบันทึกของแอปพลิเคชันและบริการ

ส่วนมุมมองแบบกำหนดเองแสดงรายการประเภทเหตุการณ์ทั้งหมดที่กำหนดไว้ในระบบปัจจุบัน (ซึ่งจะกล่าวถึงในรายละเอียดเพิ่มเติมในภายหลัง) หากคุณทำการกรองในบันทึกเหตุการณ์รายการใดรายการหนึ่งหรือสร้างมุมมองเหตุการณ์ใหม่ มุมมองใหม่จะถูกบันทึกไว้ในส่วนนี้

ส่วนบันทึกของ Windows จะแสดงส่วนย่อยหลายส่วน โดยสี่ส่วนแสดงถึงบันทึกหลักที่ระบบดูแลเอง

บันทึกเหตุการณ์ของแอปพลิเคชันและระบบควรได้รับการตรวจสอบอย่างสม่ำเสมอเพื่อระบุปัญหาที่มีอยู่ล่วงหน้าและคำเตือนที่ปัญหาบางอย่างอาจปรากฏขึ้นในอนาคต บันทึกความปลอดภัยไม่จำเป็นสำหรับขั้นตอนการบำรุงรักษาประจำวัน คุณควรตรวจสอบเฉพาะในกรณีที่สงสัยว่ามีการละเมิดความปลอดภัยของคอมพิวเตอร์ เช่น เพื่อดูว่าใครเข้าสู่ระบบ

ข้อผิดพลาดของไดรเวอร์อุปกรณ์จะถูกบันทึกไว้ในบันทึกของระบบ แต่มีเครื่องมืออื่นๆ ใน Windows 7 เพื่อให้ตรวจสอบปัญหาของอุปกรณ์ได้ง่ายขึ้น ตัวอย่างเช่น Device Manager ซึ่งจะแสดงไอคอนสำหรับอุปกรณ์ที่มีปัญหาและช่วยให้คุณดูคำอธิบายของปัญหาเหล่านั้นได้โดยเปิดแผ่นคุณสมบัติของอุปกรณ์ นอกจากนี้ยังมียูทิลิตี้ ข้อมูลระบบ (Msinfo32.exe) ซึ่งสะท้อนข้อมูลเกี่ยวกับปัญหาทั้งหมดของอุปกรณ์ในส่วนต่างๆ ข้อมูลระบบ > ทรัพยากรฮาร์ดแวร์ > ความขัดแย้งและการแชร์และข้อมูลระบบ > ส่วนประกอบ > อุปกรณ์ที่มีปัญหา.

เมื่อคุณเลือกบันทึกรายการใดรายการหนึ่ง รายการเหตุการณ์ทั้งหมดที่มีอยู่ในบันทึกนี้จะปรากฏในหน้าต่างส่วนกลาง พร้อมด้วยข้อมูลเกี่ยวกับวันที่และเวลาที่แต่ละเหตุการณ์เกิดขึ้น แหล่งที่มา ประเภท (รายละเอียด คำเตือน หรือข้อผิดพลาด) และอื่นๆ ข้อมูลที่คล้ายกัน ต่อไปนี้คือการเปลี่ยนแปลงอินเทอร์เฟซหลักและฟังก์ชันการทำงานใหม่ที่เพิ่มลงในสแน็ปอิน Windows Event Viewer

  • ในแผงพื้นที่การดู ข้อมูลเหตุการณ์พื้นฐานจะแสดงบนแท็บทั่วไป ในขณะที่ข้อมูลเฉพาะเพิ่มเติมจะแสดงบนแท็บรายละเอียด บานหน้าต่างนี้สามารถเปิดหรือปิดได้โดยการเลือกดูพื้นที่จากเมนูมุมมอง
  • ข้อมูลเหตุการณ์ถูกจัดเก็บในรูปแบบ XML คุณสามารถดูสคีมาได้โดยเลือกปุ่มตัวเลือกโหมด XML บนแท็บรายละเอียดภายในบานหน้าต่างวิวพอร์ต
  • คำสั่งตัวกรองช่วยให้คุณสร้างแบบสอบถามในรูปแบบ XML ได้แล้ว
  • การคลิกลิงก์สร้างมุมมองที่กำหนดเองจะทำให้คุณสามารถสร้างมุมมองใหม่ตามบันทึกเหตุการณ์เฉพาะ ประเภทเหตุการณ์เฉพาะ รหัสเหตุการณ์ และอื่นๆ
  • ขณะนี้ คุณสามารถผูกงานกับกิจกรรมได้ด้วยการคลิกครั้งแรกที่เหตุการณ์ที่สนใจ จากนั้นคลิกลิงก์งานไปยังลิงก์เหตุการณ์ จากนั้นใช้วิซาร์ดที่เหมาะสมเพื่อสร้างงานที่ต้องการ ซึ่งจะรันโปรแกรมหรือสคริปต์ หรือส่ง อีเมลทุกครั้งที่เกิดเหตุการณ์นี้
  • กิจกรรมโปรดสามารถบันทึกเป็นไฟล์เหตุการณ์ (.elf) ได้แล้ว

กิจกรรมทั่วไปส่วนใหญ่ที่มีการสร้างผลิตภัณฑ์ซอฟต์แวร์เฉพาะทาง 1s 8 ออนไลน์ได้รับการควบคุมการบัญชี การบัญชีการค้าและคลังสินค้า การบัญชีการจัดการและโซลูชันแบบบูรณาการ

ส่วน Applications and Services Logs แสดงรายการโปรแกรม คุณลักษณะ และบริการที่สนับสนุนรูปแบบการบันทึกเหตุการณ์มาตรฐาน ซึ่งเป็นรูปแบบใหม่ใน Windows 7 ก่อนหน้านี้ บันทึกสำหรับรายการทั้งหมดในส่วนนี้ถูกจัดเก็บไว้ในไฟล์ข้อความแยกต่างหากซึ่งไม่สามารถเข้าถึงได้ในเวอร์ชันเก่า รุ่นของสแน็ปอินตัวแสดงเหตุการณ์นอกเหนือจากการเปิดไฟล์บันทึกโดยเฉพาะ

นี่อาจเป็นบริการที่ไม่ต้องการเริ่มต้น การติดตั้งอุปกรณ์ หรือข้อผิดพลาดของแอปพลิเคชัน เหตุการณ์จะถูกบันทึกและจัดเก็บไว้ในบันทึกเหตุการณ์ของ Windows และให้ข้อมูลประวัติที่สำคัญเพื่อช่วยคุณตรวจสอบระบบ รักษาความปลอดภัยของระบบ แก้ไขปัญหา และดำเนินการวินิจฉัย ข้อมูลที่อยู่ในบันทึกเหล่านี้ควรได้รับการตรวจสอบอย่างสม่ำเสมอ คุณควรตรวจสอบบันทึกเหตุการณ์อย่างสม่ำเสมอและกำหนดค่าระบบปฏิบัติการเพื่อบันทึกเหตุการณ์ที่สำคัญของระบบ ในกรณีที่คุณเป็นผู้ดูแลระบบเซิร์ฟเวอร์ Windows คุณต้องตรวจสอบความปลอดภัยของระบบ การทำงานปกติของแอปพลิเคชันและบริการ และตรวจสอบเซิร์ฟเวอร์สำหรับข้อผิดพลาดที่อาจทำให้ประสิทธิภาพลดลง หากคุณเป็นผู้ใช้พีซี คุณควรตรวจสอบให้แน่ใจว่าคุณมีสิทธิ์เข้าถึงบันทึกที่เหมาะสมซึ่งจำเป็นต่อการสนับสนุนระบบของคุณและแก้ไขข้อผิดพลาด

Event Viewer เป็นสแน็ปอิน Microsoft Management Console (MMC) สำหรับการดูและจัดการบันทึกเหตุการณ์ เป็นเครื่องมือที่จำเป็นสำหรับการตรวจสอบความสมบูรณ์ของระบบและการแก้ไขปัญหา บริการ Windows ที่จัดการการบันทึกเหตุการณ์เรียกว่า "บันทึกเหตุการณ์" ในกรณีที่ทำงานอยู่ Windows จะเขียนข้อมูลสำคัญลงในบันทึก ด้วย Event Viewer คุณสามารถทำสิ่งต่อไปนี้:

ดูเหตุการณ์ของบันทึกเฉพาะ
ใช้ตัวกรองเหตุการณ์และบันทึกไว้เพื่อใช้ในภายหลังเป็นมุมมองที่กำหนดเอง
สร้างการสมัครสมาชิกเหตุการณ์และจัดการ;
กำหนดการดำเนินการเฉพาะให้กับเหตุการณ์เฉพาะ

เปิดตัว Event Viewer

แอปพลิเคชัน Event Viewer สามารถเปิดได้ด้วยวิธีต่อไปนี้:
คลิกที่ปุ่ม "เริ่ม" เพื่อเปิดเมนู เปิด "แผงควบคุม" เลือก "เครื่องมือการดูแลระบบ" จากรายการส่วนประกอบแผงควบคุมและเลือก "ตัวแสดงเหตุการณ์" จากรายการองค์ประกอบการดูแลระบบ
เปิด "คอนโซลการจัดการ MMC" ในการดำเนินการนี้ ให้คลิกที่ปุ่ม "เริ่ม" พิมพ์ mmc ในช่องค้นหา จากนั้นกดปุ่ม "Enter" คอนโซล MMC ที่ว่างเปล่าจะเปิดขึ้น จากเมนูคอนโซล เลือกคำสั่งเพิ่มหรือลบสแนปอิน หรือใช้แป้นพิมพ์ลัด Ctrl+M ในกล่องโต้ตอบ "เพิ่ม/ลบสแน็ปอิน" ให้เลือกสแน็ปอิน "ตัวแสดงเหตุการณ์" แล้วคลิกปุ่ม "เพิ่ม" จากนั้นคลิกที่ปุ่ม "เสร็จสิ้น" และหลังจากนั้น - ปุ่ม "ตกลง"
ใช้คีย์ผสม WIN + R เพื่อเปิดกล่องโต้ตอบ "เรียกใช้" ในกล่องโต้ตอบ "เรียกใช้" ในช่อง "เปิด" ให้ป้อน eventvwr.msc แล้วคลิกปุ่ม "ตกลง" ไปที่ทาสก์บาร์และดูบันทึกนี้

บันทึกเหตุการณ์ใน Windows 7

ในระบบปฏิบัติการ Windows 7 เช่นเดียวกับใน Windows Vista มีบันทึกเหตุการณ์สองประเภท: บันทึกของ Windows และบันทึกแอปพลิเคชันและการบริการ บันทึก Windows - ระบบปฏิบัติการใช้เพื่อบันทึกเหตุการณ์ทั่วทั้งระบบที่เกี่ยวข้องกับการทำงานของแอปพลิเคชัน ส่วนประกอบของระบบ ความปลอดภัย และการเริ่มต้น และแอปพลิเคชันและบริการล็อกจะใช้โดยแอปพลิเคชันและบริการเพื่อบันทึกเหตุการณ์ที่เกี่ยวข้องกับการดำเนินงานของพวกเขา คุณสามารถใช้สแน็ปอิน Event Viewer หรือเครื่องมือบรรทัดคำสั่ง wevtutil ซึ่งจะกล่าวถึงในส่วนที่ 2 ของบทความนี้ เพื่อจัดการบันทึกเหตุการณ์ บันทึกทุกประเภทมีคำอธิบายด้านล่าง:
แอปพลิเคชัน - จัดเก็บเหตุการณ์สำคัญที่เกี่ยวข้องกับแอปพลิเคชันเฉพาะ ตัวอย่างเช่น Exchange Server จะจัดเก็บเหตุการณ์ที่เกี่ยวข้องกับการส่งต่อเมล รวมถึงการเก็บข้อมูล กล่องจดหมาย และเหตุการณ์การบริการที่ทำงานอยู่ ตำแหน่งเริ่มต้นคือ %SystemRoot%\System32\Winevt\Logs\Application.Evtx

ความปลอดภัย- จัดเก็บเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย เช่น การเข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ และการเข้าถึงทรัพยากร โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\Security.Evtx

การติดตั้ง- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นระหว่างการติดตั้งและการกำหนดค่าระบบปฏิบัติการและส่วนประกอบต่างๆ ตำแหน่งเริ่มต้นคือ %SystemRoot%\System32\Winevt\Logs\Setup.Evtx

ระบบ- เก็บเหตุการณ์ของระบบปฏิบัติการหรือส่วนประกอบต่างๆ เช่น ความล้มเหลวในการเริ่มบริการหรือเริ่มต้นไดรเวอร์ ข้อความทั้งระบบ และข้อความอื่นๆ ที่เกี่ยวข้องกับระบบโดยรวม โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\System.Evtx

ส่งต่อเหตุการณ์- หากมีการกำหนดค่าการส่งต่อเหตุการณ์ บันทึกนี้จะรวมกิจกรรมที่ส่งต่อจากเซิร์ฟเวอร์อื่น โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- บันทึกนี้จะบันทึกเหตุการณ์ที่เกิดขึ้นเมื่อกำหนดค่าและทำงานกับเบราว์เซอร์ Internet Explorer โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- กิจกรรมที่เกี่ยวข้องกับการใช้ PowerShell shell จะถูกบันทึกไว้ในบันทึกนี้ โดยค่าเริ่มต้นจะอยู่ใน %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

กิจกรรมอุปกรณ์- หากมีการกำหนดค่าการบันทึกเหตุการณ์ของอุปกรณ์ เหตุการณ์ที่สร้างโดยอุปกรณ์จะถูกเขียนลงในบันทึกนี้ โดยค่าเริ่มต้นวางไว้ใน %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

ใน Windows 7 โครงสร้างพื้นฐานการบันทึกเหตุการณ์เป็นแบบ XML เช่นเดียวกับใน Windows Vista ข้อมูลสำหรับแต่ละเหตุการณ์เป็นไปตาม XML schema ทำให้คุณสามารถเข้าถึงโค้ด XML สำหรับเหตุการณ์ใดๆ ได้ นอกจากนี้ คุณสามารถสร้างการสืบค้นข้อมูลแบบ XML เพื่อดึงข้อมูลจากบันทึก ไม่จำเป็นต้องมีความรู้เกี่ยวกับ XML เพื่อใช้คุณลักษณะใหม่เหล่านี้ สแน็ปอินตัวแสดงเหตุการณ์มีอินเทอร์เฟซแบบกราฟิกที่เรียบง่ายสำหรับการเข้าถึงคุณลักษณะเหล่านี้

คุณสมบัติเหตุการณ์

มีคุณสมบัติเหตุการณ์หลายอย่างของ Event Viewer ซึ่งมีรายละเอียดด้านล่าง:
ต้นทางคือโปรแกรมที่บันทึกเหตุการณ์ อาจเป็นชื่อโปรแกรม (เช่น "Exchange Server") หรือชื่อระบบหรือส่วนประกอบแอปพลิเคชันขนาดใหญ่ (เช่น ชื่อของไดรเวอร์) ตัวอย่างเช่น "Elnkii" หมายถึงไดรเวอร์ EtherLink II

รหัสกิจกรรมเป็นตัวเลขที่ระบุประเภทของเหตุการณ์โดยเฉพาะ บรรทัดแรกของคำอธิบายมักจะมีชื่อของประเภทเหตุการณ์ ตัวอย่างเช่น 6005 คือ ID เหตุการณ์ที่เกิดขึ้นเมื่อบริการบันทึกเหตุการณ์เริ่มทำงาน ดังนั้น ที่จุดเริ่มต้นของคำอธิบายของเหตุการณ์นี้คือบรรทัด "บริการบันทึกเหตุการณ์ที่เริ่มต้น" ทีมสนับสนุนผลิตภัณฑ์ซอฟต์แวร์สามารถใช้ ID เหตุการณ์และชื่อแหล่งที่มาของบันทึกเพื่อวัตถุประสงค์ในการแก้ไขปัญหา

ระดับเป็นระดับความสำคัญของเหตุการณ์ ในบันทึกของระบบและแอปพลิเคชัน เหตุการณ์สามารถมีระดับความรุนแรงดังต่อไปนี้:

การแจ้งเตือน- หมายถึงการเปลี่ยนแปลงในแอปพลิเคชันหรือส่วนประกอบ เช่น เหตุการณ์ข้อมูลที่เกี่ยวข้องกับการดำเนินการที่ประสบความสำเร็จ การสร้างทรัพยากร หรือการเริ่มบริการ
คำเตือน- ระบุคำเตือนทั่วไปเกี่ยวกับปัญหาที่อาจส่งผลต่อการบริการหรือนำไปสู่ปัญหาที่ร้ายแรงกว่าหากปล่อยทิ้งไว้โดยไม่มีใครดูแล
ความผิดพลาด- แสดงว่ามีปัญหาเกิดขึ้นที่อาจส่งผลกระทบต่อฟังก์ชันภายนอกแอปพลิเคชันหรือส่วนประกอบที่ก่อให้เกิดเหตุการณ์
ข้อผิดพลาดที่สำคัญ- ระบุว่ามีความล้มเหลวเกิดขึ้นจากการที่แอปพลิเคชันหรือส่วนประกอบที่เรียกใช้เหตุการณ์ไม่สามารถกู้คืนได้โดยอัตโนมัติ
การตรวจสอบความสำเร็จ- การทำกิจกรรมที่คุณติดตามผ่านการตรวจสอบสำเร็จ เช่น การใช้สิทธิ์
การตรวจสอบความล้มเหลว- ความล้มเหลวของการกระทำที่คุณติดตามผ่านการตรวจสอบ เช่น การเข้าสู่ระบบล้มเหลว
ผู้ใช้- กำหนดบัญชีผู้ใช้ในนามของเหตุการณ์นี้เกิดขึ้น ผู้ใช้รวมถึงหน่วยงานเฉพาะ เช่น Local Service, Network Service และ Anonymous Logon ตลอดจนบัญชีผู้ใช้จริง ชื่อนี้คือรหัสไคลเอ็นต์หากเหตุการณ์นั้นเกิดขึ้นจริงโดยกระบวนการของเซิร์ฟเวอร์ หรือ ID หลักหากไม่มีการแอบอ้างบุคคลอื่นเกิดขึ้น ในบางกรณี รายการบันทึกความปลอดภัยประกอบด้วยตัวระบุทั้งสอง และในฟิลด์นี้ อาจมี N / A (N / A) หากบัญชีไม่สามารถใช้งานได้ในสถานการณ์นี้ การแอบอ้างบุคคลอื่นเกิดขึ้นเมื่อเซิร์ฟเวอร์อนุญาตให้กระบวนการหนึ่งกำหนดแอตทริบิวต์ความปลอดภัยของกระบวนการอื่น

รหัสการทำงาน- มีค่าตัวเลขที่ระบุการดำเนินการหรือจุดภายในการดำเนินการที่เรียกเหตุการณ์ ตัวอย่างเช่น การเริ่มต้นหรือการปิด

นิตยสาร- ชื่อของบันทึกที่บันทึกเหตุการณ์นี้

หมวดหมู่และงาน- กำหนดหมวดหมู่ของเหตุการณ์ ซึ่งบางครั้งใช้เพื่ออธิบายการกระทำที่ถูกต้องเพิ่มเติม แหล่งที่มาของเหตุการณ์แต่ละแห่งมีหมวดหมู่ของตัวเอง ตัวอย่างเช่น หมวดหมู่ต่อไปนี้ ได้แก่ เข้าสู่ระบบ/ออกจากระบบ การใช้สิทธิ์ การเปลี่ยนแปลงนโยบาย และการจัดการบัญชี

คีย์เวิร์ดเป็นชุดของหมวดหมู่หรือป้ายกำกับที่สามารถใช้กรองหรือค้นหาเหตุการณ์ได้ ตัวอย่างเช่น "เครือข่าย" "ความปลอดภัย" หรือ "ไม่พบทรัพยากร"

คอมพิวเตอร์- ระบุชื่อคอมพิวเตอร์ที่เกิดเหตุการณ์ โดยปกติจะเป็นชื่อของคอมพิวเตอร์ในระบบ แต่อาจเป็นชื่อของคอมพิวเตอร์ที่ส่งต่อเหตุการณ์ หรือชื่อของคอมพิวเตอร์ในพื้นที่ก่อนที่จะมีการเปลี่ยนแปลง

วันและเวลา- กำหนดวันที่และเวลาที่เกิดเหตุการณ์นี้ในบันทึก

รหัสกระบวนการ- หมายถึงหมายเลขประจำตัวของกระบวนการที่สร้างเหตุการณ์นี้ โปรแกรมคอมพิวเตอร์เป็นเพียงชุดคำสั่งแบบพาสซีฟ ในขณะที่กระบวนการคือการดำเนินการตามคำสั่งเหล่านี้โดยตรง

รหัสกระทู้- หมายถึงหมายเลขประจำตัวของเธรดที่สร้างเหตุการณ์นี้ กระบวนการที่เกิดในระบบปฏิบัติการอาจประกอบด้วยหลายเธรดที่ทำงาน "แบบขนาน" นั่นคือไม่มีลำดับที่กำหนดไว้ในเวลา สำหรับงานบางงาน การแยกนี้สามารถใช้ทรัพยากรคอมพิวเตอร์ได้อย่างมีประสิทธิภาพมากขึ้น

รหัสโปรเซสเซอร์- หมายถึงหมายเลขประจำตัวของโปรเซสเซอร์ที่ประมวลผลเหตุการณ์

รหัสเซสชันคือหมายเลขประจำตัวของเซสชันบนเซิร์ฟเวอร์เทอร์มินัลที่เกิดเหตุการณ์

เวลาเคอร์เนลระบุเวลาที่ใช้ในการดำเนินการคำสั่งโหมดเคอร์เนล ในหน่วยของเวลา CPU โหมดเคอร์เนลสามารถเข้าถึงหน่วยความจำระบบและอุปกรณ์ภายนอกได้ไม่จำกัด เคอร์เนลของระบบ NT เรียกว่าไฮบริดเคอร์เนลหรือแมคโครเคอร์เนล

เวลาใช้งานในโหมดผู้ใช้ระบุเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ ในหน่วยของเวลา CPU โหมดผู้ใช้ประกอบด้วยระบบย่อยที่ส่งคำขอ I/O ไปยังไดรเวอร์โหมดเคอร์เนลที่เหมาะสมผ่านตัวจัดการ I/O

โหลดโปรเซสเซอร์คือเวลาที่ใช้ในการดำเนินการคำสั่งโหมดผู้ใช้ในขีดของ CPU

รหัสสหสัมพันธ์ - ระบุการดำเนินการในกระบวนการที่ใช้เหตุการณ์ รหัสนี้ใช้เพื่อระบุความสัมพันธ์อย่างง่ายระหว่างเหตุการณ์ ความสัมพันธ์คือความสัมพันธ์ทางสถิติระหว่างตัวแปรสุ่มตั้งแต่สองตัวขึ้นไป (หรือตัวแปรที่สามารถพิจารณาได้ว่ามีระดับความแม่นยำที่ยอมรับได้) ในเวลาเดียวกัน การเปลี่ยนแปลงในปริมาณเหล่านี้อย่างน้อยหนึ่งอย่างจะนำไปสู่การเปลี่ยนแปลงอย่างเป็นระบบในปริมาณอื่นหรือปริมาณอื่นๆ

รหัสสหสัมพันธ์- กำหนดการดำเนินการที่เกี่ยวข้องในกระบวนการที่ใช้เหตุการณ์

การทำงานกับบันทึกเหตุการณ์:

ผู้ชมเหตุการณ์
หากต้องการดูเหตุการณ์บันทึกของแอปพลิเคชัน ให้ทำตามขั้นตอนเหล่านี้:
ในทรีคอนโซล เลือก "Windows Logs";
เลือกบันทึกแอป

เป็นความคิดที่ดีที่จะตรวจสอบบันทึกเหตุการณ์ของแอปพลิเคชันและระบบบ่อยๆ และค้นหาปัญหาที่มีอยู่และคำเตือนที่อาจบ่งบอกถึงปัญหาในอนาคต เมื่อเลือกบันทึกแล้ว หน้าต่างตรงกลางจะแสดงเหตุการณ์ที่มีอยู่ รวมถึงวันที่ของเหตุการณ์ เวลาและแหล่งที่มา ระดับเหตุการณ์ และอื่นๆ

บานหน้าต่างวิวพอร์ตจะแสดงข้อมูลเหตุการณ์พื้นฐานบนแท็บทั่วไปและข้อมูลเฉพาะเพิ่มเติมบนแท็บรายละเอียด คุณสามารถเปิดและปิดแผงนี้ได้โดยเลือกเมนูมุมมอง จากนั้นเลือกคำสั่ง Viewport

สำหรับระบบที่สำคัญ ขอแนะนำให้เก็บบันทึกในช่วงสองสามเดือนที่ผ่านมา ตามกฎแล้ว การกำหนดบันทึกที่มีขนาดที่ข้อมูลทั้งหมดอยู่ในนั้นไม่สะดวก ตามกฎแล้วปัญหานี้สามารถแก้ไขได้ด้วยวิธีอื่น คุณสามารถส่งออกบันทึกไปยังไฟล์ที่อยู่ในโฟลเดอร์ที่ระบุ ในการบันทึกบันทึกที่เลือก ให้ทำดังนี้:

ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการบันทึก
เลือกคำสั่ง "บันทึกเหตุการณ์เป็น" จากเมนู "การดำเนินการ" หรือเลือกคำสั่ง "บันทึกเหตุการณ์ทั้งหมดเป็น" จากเมนูบริบทของบันทึก
ในกล่องโต้ตอบ "บันทึกเป็น" ที่ปรากฏขึ้น ให้เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างไฟล์ได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่" บนแถบการทำงาน ในช่อง "ประเภทไฟล์" เลือกรูปแบบไฟล์ที่ต้องการจากรูปแบบที่มี: ไฟล์เหตุการณ์ - *.evtx, ไฟล์ xml - *.xml, ข้อความที่คั่นด้วยแท็บ - *.txt, csv ที่คั่นด้วยเครื่องหมายจุลภาค - *.csv ป้อนชื่อในช่อง "ชื่อไฟล์" แล้วคลิกปุ่ม "บันทึก" หากต้องการยกเลิกการบันทึก ให้คลิกที่ปุ่ม "ยกเลิก"
หากบันทึกเหตุการณ์ไม่ได้มีไว้สำหรับดูบนคอมพิวเตอร์เครื่องอื่น ให้ปล่อยตัวเลือกเริ่มต้น "ไม่แสดงข้อมูล" ในกล่องโต้ตอบ "แสดงรายละเอียด" และหากบันทึกนั้นมีไว้สำหรับดูบนคอมพิวเตอร์เครื่องอื่น ให้ไปที่ " กล่องโต้ตอบ "แสดงรายละเอียด" " เลือกตัวเลือก "แสดงข้อมูลสำหรับภาษาต่อไปนี้" และคลิกปุ่ม "ตกลง"

การล้างบันทึกเหตุการณ์

บางครั้งจำเป็นต้องล้างบันทึกเหตุการณ์ทั้งหมดเพื่อให้แน่ใจว่าการวิเคราะห์คำเตือนของระบบปฏิบัติการและข้อผิดพลาดร้ายแรงมีประสิทธิผล หากต้องการล้างบันทึกที่เลือก ให้ทำดังนี้:
ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการล้าง
ล้างบันทึกด้วยวิธีใดวิธีหนึ่งต่อไปนี้:
จากเมนูการดำเนินการ เลือก ล้างบันทึก

ในบันทึกที่เลือก ให้คลิกขวาเพื่อเปิดเมนูบริบท ในเมนูบริบท เลือกคำสั่ง "ล้างบันทึก"
ถัดไป คุณสามารถล้างบันทึกหรือเก็บถาวรหากยังไม่เคยทำมาก่อน:
หากต้องการล้างบันทึกเหตุการณ์โดยไม่บันทึก ให้คลิกที่ปุ่ม "ล้าง"
หากต้องการล้างบันทึกเหตุการณ์หลังจากบันทึก ให้คลิกที่ปุ่ม "บันทึกและล้าง" ในกล่องโต้ตอบ "บันทึกเป็น" ที่ปรากฏขึ้น ให้เลือกโฟลเดอร์ที่จะบันทึกไฟล์ หากคุณต้องการบันทึกไฟล์ในโฟลเดอร์ใหม่ คุณสามารถสร้างไฟล์ได้โดยตรงจากกล่องโต้ตอบนี้โดยใช้เมนูบริบทหรือปุ่ม "โฟลเดอร์ใหม่" บนแถบการทำงาน ป้อนชื่อในช่อง "ชื่อไฟล์" แล้วคลิกปุ่ม "บันทึก" หากต้องการยกเลิกการบันทึก ให้คลิกที่ปุ่ม "ยกเลิก"

การตั้งค่าขนาดบันทึกสูงสุด

ตามที่กล่าวไว้ข้างต้น บันทึกเหตุการณ์จะถูกจัดเก็บเป็นไฟล์ในโฟลเดอร์ %SystemRoot%\System32\Winevt\Logs\ ตามค่าเริ่มต้น ขนาดสูงสุดของไฟล์เหล่านี้จะถูกจำกัด แต่คุณสามารถเปลี่ยนได้ด้วยวิธีต่อไปนี้:


เลือกคำสั่ง "Properties" จากเมนู "Action" หรือจากเมนูบริบทของบันทึกที่เลือก

ในฟิลด์ "ขนาดบันทึกสูงสุด (KB)" ให้ตั้งค่าที่ต้องการโดยใช้ตัวนับ หรือตั้งค่าด้วยตนเองโดยไม่ต้องใช้ตัวนับ ในกรณีนี้ ค่าจะถูกปัดขึ้นเป็นจำนวนทวีคูณที่ใกล้ที่สุดของ 64 KB เนื่องจากขนาดของล็อกไฟล์จะต้องเป็นทวีคูณของ 64 KB และต้องไม่น้อยกว่า 1024 KB
เหตุการณ์จะถูกเก็บไว้ในล็อกไฟล์ ซึ่งสามารถขยายได้ถึงขนาดสูงสุดที่ระบุเท่านั้น หลังจากที่ไฟล์ถึงขนาดสูงสุด การประมวลผลเหตุการณ์ที่เข้ามาจะถูกกำหนดโดยนโยบายการเก็บรักษาบันทึก มีนโยบายการเก็บรักษาบันทึกดังต่อไปนี้:
เขียนเหตุการณ์ใหม่หากจำเป็น (ไฟล์เก่าก่อน) - ในกรณีนี้ รายการใหม่จะยังคงถูกเขียนลงในบันทึกหลังจากเต็ม เหตุการณ์ใหม่แต่ละรายการจะแทนที่เหตุการณ์ที่เก่าที่สุดในบันทึก

เก็บบันทึกเมื่อเต็ม; ห้ามเขียนเหตุการณ์ใหม่ - ในกรณีนี้ ไฟล์บันทึกจะถูกเก็บถาวรโดยอัตโนมัติหากจำเป็น เหตุการณ์เก่าจะไม่ถูกเขียนทับ

อย่าเขียนเหตุการณ์ใหม่ (ล้างบันทึกด้วยตนเอง) - ในกรณีนี้ บันทึกจะถูกล้างด้วยตนเอง ไม่ใช่โดยอัตโนมัติ

ในการเลือกนโยบายการเก็บรักษาบันทึกที่ต้องการ ให้ทำตามขั้นตอนเหล่านี้:

ในทรีคอนโซล เลือกบันทึกเหตุการณ์ที่คุณต้องการปรับขนาด
เลือกคำสั่ง "Properties" จากเมนู "Action" หรือจากเมนูบริบทของบันทึกที่เลือก
บนแท็บ "ทั่วไป" ในส่วน "เมื่อถึงขนาดสูงสุด" ให้เลือกตัวเลือกที่ต้องการแล้วคลิกปุ่ม "ตกลง"
เปิดใช้งานการบันทึกการวิเคราะห์และดีบัก

บันทึกการวิเคราะห์และดีบักถูกปิดใช้งานโดยค่าเริ่มต้น เมื่อเปิดใช้งานแล้ว จะเต็มไปด้วยกิจกรรมจำนวนมากอย่างรวดเร็ว ด้วยเหตุนี้ จึงควรเปิดใช้งานบันทึกเหล่านี้ในระยะเวลาที่จำกัด เพื่อรวบรวมข้อมูลที่จำเป็นสำหรับการแก้ไขปัญหา แล้วปิดใช้งานอีกครั้ง บันทึกสามารถเปิดใช้งานได้ดังนี้:

ในทรีคอนโซล ค้นหาและเลือกบันทึกการวิเคราะห์หรือดีบักที่คุณต้องการเปิดใช้งาน
เลือกคำสั่ง "คุณสมบัติ" จากเมนู "การดำเนินการ" หรือจากเมนูบริบทของบันทึกการวิเคราะห์หรือบันทึกการแก้ปัญหาที่เลือก
บนแท็บ ทั่วไป ให้ทำเครื่องหมายที่ช่องถัดจาก "เปิดใช้งานการบันทึก"

การเปิดและปิดบันทึกที่บันทึกไว้

คุณสามารถใช้สแน็ปอินตัวแสดงเหตุการณ์เพื่อเปิดและดูบันทึกที่บันทึกไว้ก่อนหน้านี้ คุณสามารถเปิดบันทึกที่บันทึกไว้หลายรายการพร้อมกันและเข้าถึงได้ทุกเมื่อในโครงสร้างคอนโซล บันทึกที่เปิดใน Event Viewer สามารถปิดได้โดยไม่ต้องลบข้อมูลที่มีอยู่ในนั้น หากต้องการเปิดบันทึกที่บันทึกไว้ ให้ทำดังนี้:

เลือกคำสั่ง "เปิดบันทึกที่บันทึกไว้" จากเมนู "การดำเนินการ" หรือจากเมนูบริบทในทรีคอนโซล
ในกล่องโต้ตอบ เปิดบันทึกที่บันทึกไว้ นำทางผ่านแผนผังไดเร็กทอรีเพื่อเปิดโฟลเดอร์ที่มีไฟล์ที่ต้องการ โดยค่าเริ่มต้น ไฟล์บันทึกเหตุการณ์ทั้งหมดจะแสดงในกล่องโต้ตอบ นอกจากนี้ เมื่อเปิด คุณสามารถเลือกประเภทไฟล์ที่คุณต้องการแสดงในกล่องโต้ตอบที่เปิดอยู่ ประเภทไฟล์ที่มีคือ: ไฟล์บันทึกเหตุการณ์ (*.evtx, *.evt, *.etl) เช่นเดียวกับไฟล์เหตุการณ์ (*.evtx), ไฟล์เหตุการณ์ดั้งเดิม (*.evt) หรือไฟล์บันทึกการติดตาม (*. ฯลฯ) หลังจากพบไฟล์บันทึกที่ต้องการแล้วให้เลือกโดยคลิกที่ปุ่มซ้ายของเมาส์ซึ่งจะวางชื่อในบรรทัดสำหรับป้อนชื่อไฟล์และคลิกที่ปุ่ม "เปิด"

ในไดอะล็อกเปิดบันทึกที่บันทึกไว้ ในฟิลด์ ชื่อ ให้ป้อนชื่อใหม่ที่จะใช้สำหรับบันทึกในทรีคอนโซล ใช้เพื่อแสดงบันทึกในทรีคอนโซลเท่านั้นและจะไม่เปลี่ยนชื่อไฟล์บันทึก นอกจากนี้ คุณยังสามารถใช้ชื่อไฟล์บันทึกที่มีอยู่ได้ ในฟิลด์ คำอธิบาย ให้ป้อนคำอธิบายสำหรับบันทึก จะแสดงในบานหน้าต่างตรงกลางเมื่อโฟลเดอร์บันทึกหลักถูกเน้นในทรีคอนโซล
ในการสร้างโฟลเดอร์ที่จะเก็บบันทึกที่บันทึกไว้ ให้คลิกที่ปุ่ม "สร้างโฟลเดอร์" ในฟิลด์ ชื่อ ให้ป้อนชื่อสำหรับโฟลเดอร์ที่จะมีบันทึกที่เปิดอยู่ จากนั้นคลิก ตกลง หากไม่ได้เลือกโฟลเดอร์หลัก โฟลเดอร์ใหม่จะอยู่ในโฟลเดอร์บันทึกที่บันทึกไว้

หากต้องการให้ผู้ใช้คอมพิวเตอร์รายอื่นไม่สามารถเข้าถึงบันทึกเหตุการณ์ที่เปิดอยู่ คุณสามารถยกเลิกการเลือกช่อง "ผู้ใช้ทั้งหมด" ถ้าช่องทำเครื่องหมายนี้ยังคงทำงานอยู่ ผู้ใช้ทุกคนจะสามารถใช้บันทึกที่เปิดอยู่ แต่จะต้องมีสิทธิ์ของผู้ดูแลระบบเพื่อลบออกจากโครงสร้างคอนโซล
หากต้องการเปิดบันทึก ให้คลิกที่ปุ่ม "ตกลง"
ในการลบบันทึกแผนผังเหตุการณ์ที่เปิดอยู่ ให้ทำดังต่อไปนี้:

ในทรีคอนโซล เลือกบันทึกที่คุณต้องการลบ
เลือกคำสั่ง "ลบ" จากเมนู "การดำเนินการ" หรือจากเมนูบริบทของบันทึกที่เลือก

ในกล่องโต้ตอบ "ตัวแสดงเหตุการณ์" ให้คลิกปุ่ม "ใช่"

บทสรุป

ส่วนนี้ของบทความสแน็ปอินตัวแสดงเหตุการณ์จะแนะนำสแน็ปอินและให้รายละเอียดการดำเนินการพื้นฐานที่เกี่ยวข้องกับการตรวจสอบและบำรุงรักษาระบบของคุณโดยใช้ตัวแสดงเหตุการณ์

คำแนะนำ

เข้าสู่ระบบด้วยสิทธิ์ของผู้ดูแลระบบ เมื่อต้องการทำเช่นนี้ ผู้ใช้ปัจจุบันของคุณต้องเป็นสมาชิกของกลุ่ม "ผู้ดูแลระบบ" หรือขอรับอำนาจที่เหมาะสมโดยการมอบสิทธิ์ หากต่อคอมพิวเตอร์เข้ากับ , ขั้นตอนนี้สามารถทำได้โดยสมาชิกของกลุ่ม Domain Admins ในกรณีนี้ เพื่อความปลอดภัย ให้ใช้คำสั่ง "Run as"

ไปที่เมนูหลักเพื่อลบกิจกรรมออกจากบันทึกโดยคลิกที่ปุ่ม "เริ่ม" เลือกคำสั่ง "แผงควบคุม" ดับเบิลคลิกที่ไอคอน "เครื่องมือการดูแลระบบ" ในหน้าต่างนี้ เลือกไอคอน "ตัวแสดงเหตุการณ์" และดับเบิลคลิกที่ไอคอนนั้น หรือกดปุ่ม Enter

เปิดหน้าต่างตัวแสดงเหตุการณ์ ในแผนผังของคอนโซลนี้ ให้เลือกบันทึกที่คุณต้องการล้าง ไปที่เมนู "การดำเนินการ" เลือกตัวเลือก "ล้างกิจกรรมทั้งหมด" หากต้องการบันทึกรายการบันทึกก่อนที่จะล้าง ให้คลิกปุ่มใช่ หากบันทึกถูกเก็บไว้ในไฟล์ จะไม่สามารถล้างด้วยวิธีนี้ได้ หากต้องการล้างบันทึก คุณต้องลบไฟล์ที่เก็บไว้

ลบรายการในระบบปฏิบัติการ Windows 7 โดยไปที่เมนูหลักและเลือก "แผงควบคุม" จากนั้นเลือกตัวเลือก "การดูแลระบบ" จากส่วนประกอบแผงควบคุม จากนั้นเลือกคำสั่งการดูแลระบบ "Event Viewer"

จากนั้นเปิด "MMC Management Console" โดยคลิกที่ปุ่ม "เริ่ม" ป้อน Mmc ในช่องค้นหาแล้วกด Enter จากเมนูคอนโซล ให้เลือกตัวเลือก เพิ่มหรือลบสแนปอิน หรือกด Crtl+M ในกล่องโต้ตอบ ให้เลือก "ตัวแสดงเหตุการณ์" คลิก "เพิ่ม" จากนั้นเลือก "เสร็จสิ้น" และ "ตกลง"

คลิก เริ่ม เรียกใช้ พิมพ์ Eventvwr.msc จากนั้นไปที่เมนู "การดำเนินการ" คำสั่ง "ล้างบันทึก" หากต้องการบันทึกหลังจากล้างข้อมูล ให้เลือกบันทึกและล้างข้อมูล ป้อนชื่อไฟล์แล้วคลิกปุ่ม "บันทึก"

วิดีโอที่เกี่ยวข้อง

เบราว์เซอร์แต่ละตัวมีหน้าที่ในการแก้ไขเว็บไซต์ที่เข้าชม ที่อยู่ของหน้าที่เปิดถูกเขียนลงในไฟล์พิเศษ - นิตยสารและถูกบันทึกไว้ คุณลักษณะนี้สามารถเปลี่ยนแปลงหรือปิดใช้งานได้

คำแนะนำ

เพื่อล้าง นิตยสารใน Enternet Explorer คุณต้องเปิดรายการเมนู "เครื่องมือ" เลือก "ตัวเลือกอินเทอร์เน็ต" กล่องโต้ตอบจะเปิดขึ้นบนแท็บทั่วไป ที่ด้านล่างสุดคือส่วน "วารสาร" คลิกปุ่ม "ล้าง" เพื่อปิดการใช้งานคุณสมบัติอย่างสมบูรณ์ นิตยสาร a ตั้งค่าในรายการ "เก็บลิงก์ได้กี่วัน" เป็น "0" คลิกปุ่มตกลง

ในเบราว์เซอร์ Opera ให้คลิกที่ไอคอน "Opera" ที่มุมซ้ายบน เลือกการตั้งค่า จากนั้นเลือกการตั้งค่าทั่วไป ในหน้าต่างที่เปิดขึ้น ให้เลือกแท็บ "ขั้นสูง" ทางด้านซ้าย คุณจะเห็นรายการสิ่งของ เลือก "ประวัติ" ในส่วน "จำที่อยู่ที่เคยเยี่ยมชมสำหรับประวัติและการเติมข้อความอัตโนมัติ" ในรายการ "จำที่อยู่" จะมีจำนวนที่อยู่เว็บที่จำได้ คุณสามารถตั้งค่าเป็น "0" ใต้รายการนี้คือบรรทัด "จดจำเนื้อหาของหน้าที่เข้าชม" หากคุณต้องการปิดการใช้งานคุณสมบัติ นิตยสารและยกเลิกการเลือกช่องนี้ จากนั้นคลิกปุ่ม "ล้าง" จากนั้น "ตกลง"

ที่ Mozilla Firefoxเลือกเมนู "เครื่องมือ" ด้านบน จากนั้นเลือก "การตั้งค่า" ในกล่องโต้ตอบการตั้งค่า ให้คลิกแท็บความเป็นส่วนตัว ในส่วน "ประวัติ" ในย่อหน้าแรก "จำที่อยู่ของหน้าเว็บที่เข้าชมในช่วง ... วันที่ผ่านมา" ให้ตั้งค่าเป็น "0" ยกเลิกการเลือกรายการนี้ มันจะไม่ทำงาน นอกจากนี้ ถ้าคุณไม่ต้องการให้บันทึกข้อมูลลงในแถบค้นหา ให้ยกเลิกการเลือกช่อง "จำข้อมูลที่ป้อนในแบบฟอร์มและแผงค้นหา" คลิกปุ่มตกลง

ในเบราว์เซอร์ Google Chromeคลิกที่ไอคอนประแจที่มุมบนขวา เลือก "เครื่องมือ" - "ล้างข้อมูลการท่องเว็บ" ในหน้าต่าง " ล้างข้อมูล"เลือกเวลาที่คุณต้องการล้าง นิตยสาร(จากชั่วโมงที่แล้วจนถึงเวลารวมของการเยี่ยมชม) ทำเครื่องหมายที่ช่อง "ล้าง" และคลิกปุ่ม "ล้างข้อมูลการท่องเว็บ"

ระบบปฏิบัติการ Windows 7 มี บริการพิเศษอนุญาตให้ตรวจสอบทั้งหมด เหตุการณ์ในระบบคอมพิวเตอร์ ดูใบสมัคร เหตุการณ์" เป็นสแน็ปอิน Microsoft Management Console (MMC) สำหรับการดูและจัดการ นิตยสาร เหตุการณ์.

คุณจะต้องการ

  • วินโดว 7.

คำแนะนำ

กดปุ่ม "เริ่ม" เพื่อเปิดเมนูหลักและไปที่ "แผงควบคุม"

เลือก "การดูแลระบบ" จากรายการส่วนประกอบและเลือก "ดู เหตุการณ์».

กลับไปที่เมนูหลักและป้อนค่า mmc ในช่องแถบค้นหาเพื่อเรียก "MMC Management Console"

ยืนยันการดำเนินการของคำสั่งโดยกดปุ่ม Enter

เลือกคำสั่ง "Add or Remove Snap-in" จากเมนูที่เปิด "MMC Management Console" ที่ว่างเปล่า

ระบุสแน็ปอิน "ดู เหตุการณ์ในกล่องโต้ตอบ Add/Remove Snap-Ins และคลิกปุ่ม Add

ยืนยันการดำเนินการของคำสั่งโดยกดปุ่ม "เสร็จสิ้น"

กดปุ่ม OK เพื่อยืนยันการเลือกของคุณ

เลือกนิตยสารที่ต้องการ เหตุการณ์เพื่อบันทึก

ระบุโฟลเดอร์ที่จะบันทึกไฟล์ที่เลือกในกล่องโต้ตอบบันทึกเป็น เลือกรูปแบบการบันทึกไฟล์ที่ต้องการในช่อง File Type และป้อนชื่อไฟล์ที่บันทึกในช่อง File Name

กลับไปที่เมนู "การดำเนินการ" เพื่อดำเนินการล้างข้อมูลบันทึก

ระบุคำสั่ง "ล้างบันทึก"

เรียกเมนูบริบทโดยคลิกขวาที่บรรทัดของบันทึกที่เลือกและเลือก "ล้างบันทึก"

คลิกปุ่ม "ล้าง" เพื่อล้างบันทึกโดยไม่บันทึก
คลิกปุ่ม "บันทึกและล้าง" เพื่อเก็บข้อมูลแล้วลบรายการบันทึก ในกรณีนี้ ให้ระบุโฟลเดอร์ที่จะบันทึกข้อมูลบันทึกในกล่องโต้ตอบ บันทึกเป็น แล้วป้อนชื่อในช่องชื่อไฟล์

บันทึก

ใช้แป้นพิมพ์ลัด Microsoft Icon+K เพื่อเปิดกล่องโต้ตอบ เรียกใช้ ป้อน eventvwr.msc ในกล่อง เปิด แล้วคลิก ตกลง เพื่อเปิดแอปพลิเคชัน Event Viewer

คำแนะนำที่เป็นประโยชน์

การใช้งานหลักของ Event Viewer ได้แก่ การดูเหตุการณ์ในบันทึกที่เลือก การใช้ตัวกรองเหตุการณ์ การสร้างการสมัครสมาชิกเหตุการณ์ และการกำหนดการดำเนินการเฉพาะที่จะดำเนินการเมื่อมีเหตุการณ์เฉพาะเกิดขึ้น

ที่มา:

  • asusfans.ru
  • จะหาบันทึกเหตุการณ์ได้ที่ไหน

บ่อยครั้งที่ผู้ใช้ระบบปฏิบัติการใช้ " นิตยสาร เหตุการณ์". แอปพลิเคชั่นนี้ให้คุณตรวจสอบการหยุดทำงาน ข้อผิดพลาด และการทำงานผิดพลาดในระบบ สามารถใช้เครื่องมือนี้เพื่อทำการตรวจสุขภาพเพื่อวินิจฉัย แต่ในบางกรณีไม่จำเป็นต้องใช้ จึงต้องถอดออกเป็นส่วนประกอบเพิ่มเติม

คุณจะต้องการ

  • การทำงานกับแอพเพล็ต Event Viewer

คำแนะนำ

เกี่ยวกับการดำรงอยู่ นิตยสารเอ เหตุการณ์ในระบบปฏิบัติการ Windows ผู้ใช้บางคนไม่ทราบ เราสามารถพูดได้ว่าคุณต้องศึกษาระบบในเชิงลึกเพื่อไปยังองค์ประกอบนี้ การค้นหาค่อนข้างง่ายแม้ว่าคุณจะใช้ Windows 7 หรือ Windows Vista เปิดเมนู Start เปิดใช้งานแถบค้นหาและป้อนคำสั่ง "View เหตุการณ์". เลือกบรรทัดแรกในผลการค้นหาแล้วคลิก

คุณจะเห็นแอพเพล็ต Viewer เหตุการณ์". คอมโพเนนต์นี้เรียกอีกอย่างว่าสแน็ปอินแสดงตัวอย่าง เหตุการณ์". ก่อนถอด " นิตยสาร เหตุการณ์” จะต้องเปิดหรือสร้างก่อน (ในบางกรณี ตัวเลือกในการทำงาน นิตยสารแต่พิการ) ในการเปิด นิตยสารและคลิกเมนูด้านบน "การดำเนินการ" จากรายการเมนูแบบเลื่อนลง เลือกรายการ "เปิดที่บันทึกไว้ นิตยสาร».

ในหน้าต่างที่เปิดขึ้น "เปิดที่บันทึกไว้ นิตยสาร» ค้นหาไฟล์ « นิตยสารเอ เหตุการณ์". ใช้แถบด้านข้าง File Explorer เพื่อค้นหาไฟล์ที่คุณต้องการอย่างรวดเร็ว เป็นที่น่าสังเกตว่าโดยค่าเริ่มต้นระบบเสนอให้เปิดส่วนขยายหลายรายการซึ่งไม่สอดคล้องกัน นิตยสารย. ในกล่องโต้ตอบ คุณจะเห็นไฟล์ในรูปแบบต่อไปนี้ - evtx, evt และ etl นามสกุล evtx - ไฟล์ เหตุการณ์, นามสกุล evt - ไฟล์ที่ล้าสมัย เหตุการณ์ etl นามสกุล - ไฟล์ นิตยสารและร่องรอย

หลังจากเลือกไฟล์ที่ต้องการแล้ว ให้คลิกปุ่ม "เปิด" ที่มุมล่างขวาของกล่องโต้ตอบ ในการลบที่เพิ่งเปิด นิตยสาร เหตุการณ์คุณต้องไปที่ .ของคุณ นิตยสารย. คลิกที่ไอคอนรูปสามเหลี่ยมถัดจากบันทึก นิตยสาร s" ที่ด้านซ้ายของหน้าต่าง จากนั้น "โฟลเดอร์ที่มีไฟล์ที่บันทึกไว้ นิตยสารอามิ". ภายในโฟลเดอร์นี้จะมีทั้งหมด นิตยสารที่ระบบสร้างขึ้น

เลือก นิตยสาร เหตุการณ์ซึ่งมีไอคอนฟลอปปีดิสก์อยู่ข้างๆ คลิกขวาที่รายการที่เลือก เลือก "ลบ" จากเมนูบริบท ในหน้าต่างที่เปิดขึ้นเพื่อยืนยันการดำเนินการลบ ให้คลิกปุ่ม "ใช่"

ทุกเว็บเบราว์เซอร์จะเก็บประวัติการเรียกดูของผู้ใช้บนอินเทอร์เน็ต บางทีคุณอาจต้องการเก็บเรื่องนี้ไว้เป็นความลับ ในกรณีนี้คุณต้องเคลียร์ นิตยสารการเข้าชม

คำแนะนำ

หากคุณใช้ IE7 จากเมนูเครื่องมือ ให้เลือก Remove นิตยสาร" และคลิก "ลบประวัติ" ในส่วน "ประวัติ" ในหน้าต่างนี้ คุณสามารถลบคุกกี้ ไฟล์อินเทอร์เน็ตชั่วคราว และข้อมูลอื่น ๆ ที่สร้างขึ้นขณะเยี่ยมชมเว็บไซต์ต่างๆ

สำหรับทำความสะอาด นิตยสารและใน IE8 ให้เปิดเบราว์เซอร์จากเมนู Start แล้วไปที่แท็บ Security เลือกคำสั่ง "Remove นิตยสาร... ". หากคุณต้องการบันทึกคุกกี้และข้อมูลจากเว็บไซต์บางแห่ง ให้เลือกช่อง "เก็บข้อมูลจากเว็บไซต์ที่เลือก" ทำเครื่องหมายที่ช่องสำหรับข้อมูลที่คุณต้องการลบ HDDแล้วคลิกนำออก

เพื่อล้าง นิตยสารเยี่ยมชม Mozilla Firefox เวอร์ชัน 3 ขึ้นไป ใช้คำสั่ง "ล้างประวัติล่าสุด" จากเมนู "เครื่องมือ" ในหน้าต่าง "ล้าง" ให้คลิกที่ลูกศรและเลือกช่วงเวลาที่ต้องทำความสะอาดจากรายการแบบเลื่อนลง นิตยสารก. ขยายรายการ "รายละเอียด" โดยคลิกที่ลูกศรและทำเครื่องหมายในช่องสำหรับข้อมูลที่คุณต้องการลบ คลิก "ล้างทันที"

มีคำถามหรือไม่?

รายงานการพิมพ์ผิด

ข้อความที่จะส่งถึงบรรณาธิการของเรา:

ส่ง