Använda händelsessökaren för att felsöka problem

I dagens utgåva av Geek School ska vi lära dig hur du använder Event Viewer för att felsöka problem på datorn och förstå vad som händer under huven.

SCHOOL NAVIGATION

1. Använda Aktivitetsschemaläggare för att köra processer senare
2. Använda händelsessökaren för att felsöka problem
3. Förstå hårddiskpartitionering med diskhantering
4. Lär dig att använda registret Editor Like a Pro
5. Övervakar din dator med resursövervakning och uppgiftshanteraren
6. Förstå panelen Advanced System Properties
7. Förstå och hantera Windows-tjänster
8. Använda Group Policy Editor för att tweak din dator
9. Förstå Windows Administration Tools

Det största problemet med Event Viewer är att det kan vara väldigt förvirrande - det finns många varningar, fel och informationsmeddelanden, och utan att veta vad det än betyder kan du anta (felaktigt) att din dator är trasig eller smittad när det finns inget riktigt fel.

Faktum är att tekniken stöds scammers använder Event Viewer som en del av deras försäljning taktik för att övertyga förvirrade användare att deras dator är infekterad med virus. De går igenom filtrering genom bara kritiska fel och sedan handla förvånad över att allt du ser är kritiska fel.

Att lära sig hur man använder och förstår Event Viewer är en kritisk färdighet för att ta reda på vad som händer med en dator och felsökningsproblem.

Förstå gränssnittet

När du först öppnar Event Viewer kommer du märka att den använder konfigurationen med tre rutor som många andra administrativa verktyg i Windows, men i det här fallet finns det faktiskt ganska många användbara verktyg på höger sida.

Den vänstra rutan visar en mappvy där du kan hitta alla de olika händelseloggarna samt de synpunkter som kan anpassas med händelser från många loggar samtidigt. Exempelvis visar visningen Administrativa händelser i de senaste versionerna av Windows alla Fel, Varning och Kritiska händelser om de härrör från programloggen eller systemloggen.

I mittrutan visas en lista med händelser, och genom att klicka på dem visas detaljerna i förhandsgranskningsrutan - eller du kan dubbelklicka på någon av dem för att dra upp den i ett separat fönster vilket kan vara användbart när du tittar igenom en stor uppsättning händelser och vill hitta alla viktiga saker innan du börjar en internetsökning.

Den högra panelen ger dig snabb åtkomst till åtgärder som att skapa anpassade vyer, filtrering eller till och med skapa en schemalagd uppgift baserat på en viss händelse.

Händelserna själva är vad vi försöker se självklart och deras användbarhet kan sträcka sig från riktigt specifika och uppenbara saker som du enkelt kan fixa till de mycket vaga meddelanden som inte har någon mening och du kan inte hitta någon information på google De vanliga fälten på skärmen innehåller:

• Loggnamn - medan i äldre versioner av Windows allting dumpades i applikations- eller systemloggen, i de modernare utgåvorna finns det dussintals eller hundratals olika loggar att välja mellan. Varje Windows-komponent kommer sannolikt att ha sin egen logg.
• Källa - Det här är namnet på den programvara som genererar logghändelsen. Namnet brukar inte direkt matcha med ett filnamn, men det är en representation av vilken komponent som gjorde det.
• Händelse-ID - Det allvarliga evenemangsidentifikationen kan faktiskt vara lite förvirrande. Om du var till Google för "händelse-ID 122" som du ser i nästa skärmdump, skulle du inte sluta med mycket användbar information om du inte inkluderar källan eller programnamnet. Detta beror på att varje applikation kan definiera sina egna unika händelse-ID.
• Nivå - Detta berättar hur svår händelsen är - Information berättar bara att något har förändrats eller en komponent har börjat eller något har slutförts. Varning säger att något kan gå fel, men det är inte så viktigt än. Fel berättar att något hände som inte borde ha hänt, men inte alltid världens ände. Kritisk betyder å andra sidan att något är trasigt någonstans, och komponenten som utlöste denna händelse har förmodligen kraschat.
• Användare - Det här fältet berättar om det var en systemkomponent eller ditt användarkonto som körde processen som orsakade felet. Detta kan vara till hjälp när man tittar igenom saker.
• Opcode - detta fält beskriver teoretiskt vilken aktivitet applikationen eller komponenten gjorde när händelsen utlöstes. I praktiken kommer det emellertid nästan alltid att säga "Info" och är ganska meningslöst.
• Dator - på ditt hem skrivbord, det här brukar bara vara datorns namn, men i IT-världen kan du faktiskt vidarebefordra händelser från en dator eller server till en annan dator. Du kan också ansluta Event Viewer till en annan dator eller server.
• Uppgiftskategori - detta fält används inte alltid, men det slutar i grunden att vara ett informationsfält som berättar lite mer information om händelsen.
• Nyckelord - Det här fältet brukar vanligtvis inte användas, och innehåller vanligtvis användbar information.

Som en tumregel bör du försöka söka med den allmänna beskrivningen, eller händelse-ID och källan, eller en kombination av dessa värden.

Kom bara ihåg att händelse-id är unikt ... för varje applikation. Så det finns mycket överlapp och du kan inte bara söka efter "Event ID 122" eftersom du får mycket nonsens.

Viktig notering: Det kommer alltid att finnas fel och varningar i händelseloggen, och du kan inte lösa dem alla. Det viktigaste är att använda Event Viewer för att felsöka problem du redan har, istället för att försöka hitta problem som du inte vet om än.

Och ja, du måste använda dina Google-färdigheter för att undersöka de händelser som du inte vet om. Det finns ingen lätt magisk lösning.

Den enda sak du kan göra omedelbart när du ser den här dialogrutan klickar du på länken Mer information ... problemet är att det för närvarande inte tar dig någonstans användbar. Du hamnar precis på en fel sida på Microsofts webbplats.

Vad är läskigt är att 8464 personer betygsatte sidan som inte hittades som till hjälp.

Återupptagning av online-händelse-ID-sökning för att fungera

Av en eller annan anledning fungerar inte "Mer information: Event Log Online Help" -länken bara platt ut för oss, men lyckligtvis finns det ett bra registerhack som du kan använda för att lösa problemet.

Vad vi ska göra är att bara ändra omdirigeringsadressen i registret för att peka mot Google ... förutom på grund av hur argumenten är överförda, måste vi peka den mot en mellanliggande sida som kommer att analysera argumenten och bilda rätt Google-sökadress.

I den här artikeln sätter vi upp en sida på vår egen server, och du är välkommen att använda den. Om du hellre inte vill använda vår server listas den enkla raden av PHP-kod i slutet av det här avsnittet.

För att göra denna ändring, gå ner till följande registernyckel:

HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

Hitta MicrosoftRedirectionURL-värdet på höger sida och ändra sedan värdet ut från standardvärdet, vilket är http://go.microsoft.com/fwlink/events.asp och sätt in det här värdet istället:

https://www.howtogeek.com/eventid

När du klickat på länken i fönstret Händelseegenskaper omdirigeras du omedelbart till Google, med relevanta uppgifter som redan finns med (Händelse-ID, loggnamn och "program", som brukar bara säga Microsoft Windows).

Hur fungerar detta? Det är ganska enkelt - Event Viewer lägger till på en uppsättning parametrar som frågesträngargument till webbadressen som vi lägger in i registret. Därefter extraherar manuset de argumenten och omdirigerar till Google, och skickar argumenten som söktermer istället.

Med hjälp av ett enkelt PHP-skript är detta vad vi kommit fram till för att hantera omdirigeringen.

rubrik ('Plats: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']);

Du kan vara värd samma sak över på din egen server om du vill, eller du kan använda den som sitter på vår server. Upp till dig.

Akta dig för webbplatser med "Lösningar" för händelse-ID "Problem"

Det finns massor av webbplatser där ute som automatiskt genererar sidor för varje enskild händelse-ID, och sedan fyller dem med nonsens. Det skulle vara bra, förutom många av dessa händelser finns det inte många andra bra resultat.

Dessa webbplatser kommer då att erbjuda för att lösa problemet om du bara laddar ner en del mjukvara för din kostnadsfria analys. I alla fall kommer dessa att vara annonser, och programvaran "lösning" är ett bedrägeri.

Det finns inget mjukvarupaket som kan lösa alla dina händelseloggproblem.

Använda filter och anpassade visningar

Snarare än att gå igenom zillionmapparna av anpassade händelseloggar och försöka hitta allt du letar efter kan du skapa en anpassad vy som visar bara de händelser som du vill se.

För bästa resultat vill du filtrera efter bara de specifika sakerna du vill se - förmodligen Kritisk, Fel och Varning, och välj sedan de specifika händelseloggarna du vill se den här vyn. Välj inte för många, för det kommer bara att misslyckas med att fungera.

När du väl valt vad du vill ha i vyn, blir du ombedd att ge den anpassade vyn ett namn, och sedan kan du använda det för att bara se de händelser som du har filtrerat för. Det är ett otroligt bra sätt att hantera massiva stockar full av oanständiga informationshändelser.

Kanske ännu enklare är naturligtvis bara att använda den inbyggda administrativa händelsevynen, som visar viktiga meddelanden från var och en av huvudloggarna.

Titta igenom Windows Diagnostics Performance Log

Det finns många intressanta loggar att titta på när du felsöker, men en av de mest intressanta kan hittas genom att bläddra igenom mappar till följande plats:

Microsoft \ Windows \ Diagnostics-Performance

Detta resulterar i en händelselogg som visar alla saker som Windows loggar internt för prestandakontroll - om datorn startar långsammare än normalt, kommer Windows vanligtvis att ha en loggpost för den och kommer ofta att lista ut den komponent som orsakade Windows till starta långsammare.

Det är värt att notera att bara för att meddelandet visar ett fel betyder det inte att det är världens ände, såvida det inte uppstår hela tiden. Då kanske du vill tänka på det.

Åtgärda det felet från tidigare

Är du nyfiken på evenemanget på skärmdumpen tidigare i artikeln? Om du får meddelandet "Åtkomst till drivrutiner på Windows Update blockerades av policy" är lösningen väldigt enkel. Öppna kontrollpanelen, sök efter "drivrutin" och välj sedan Ändra enhetens installationsinställningar.

Du kommer att märka i nästa skärmdump att den här datorn är inställd på att inte automatiskt ladda ned drivrutiner från Windows-uppdateringen. För att lösa problemet och få fler meddelanden att visas i Event Viewer är allt du behöver göra genom att byta på alternativknappen till "Ja, gör det automatiskt".

Trevligt och enkelt. Problem löst, varningsmeddelande löst.

Bifoga uppgifter till händelser

Om du var uppmärksam på den sista Geekskolelektionen kanske du kommer ihåg att du kan skapa en Aktivitetsschemaläggare efter händelse-ID - och du kan också göra samma sak som går åt sidan. Högerklicka på någon uppgift och du kan enkelt bifoga en schemalagd uppgift att köra när en händelse händer.

Andra funktioner du kan behöva

Event Viewer har ett par andra funktioner som du kanske är intresserad av att använda. För de flesta är det bara att gå igenom listan och veta vad man ska leta efter.

Prenumerationer, som finns i den vänstra menyn, är en funktion som i stor utsträckning används i en företagsmiljö för att vidarebefordra händelser från en server till en annan så att du kan hantera dem på ett och samma ställe. Detta kräver att Windows Event Collector och Windows Remote Management-tjänster körs. För hemanvändare ska du inte röra med det, annat än för lärande i ditt testsystem.

Om du högerklickar på objekten till vänster kan du se ett antal åtgärder (samma som vanligtvis finns i den högra rutan).

Du kan spara alla händelser i en logg för att visa senare eller på en annan dator, du kan kopiera en vy eller exportera den som en XML-fil för att importera till en annan dator.