Analiza zapisnika događaja: Kako učinkovito koristiti filtre Windows preglednika događaja

U ovom ćemo vodiču pokazati kako koristiti Windows preglednik događaja za pregled Windows zapisa i njihovo filtriranje prema različitim kriterijima.

Preduvjeti:

Za izvođenje koraka koji su prikazani u ovom vodiču potrebne su vam sljedeće komponente:

• Pravilno konfiguriran Windows 10/11 sustav. Za testiranje provjerite kako postaviti Windows VM pomoću VirtualBoxa.
• Administratorski pristup

Preglednik događaja u sustavu Windows

Prema zadanim postavkama, razne aplikacije (i dijelovi OS-a) šalju obavijest OS-u za određenu aktivnost kao što su problemi s upravljačkim programima, sigurnosna ažuriranja, kvar hardvera i drugo. Preglednik događaja namjenska je aplikacija koja prikuplja te obavijesti i djeluje kao središte za bilježenje.

Uz ovlasti administratora, Preglednik događaja može prikazati svaki veliki događaj koji se dogodi u sustavu. Može biti nevjerojatno koristan za potrebe otklanjanja pogrešaka.

Preglednik događaja također ima moćne mogućnosti filtriranja koje mogu prikazati aktivnost sustava u određeno vrijeme, pokrenutu određenim programom, ozbiljnost okidača i više.

Pokretanje Preglednika događaja

Utipkajte “Event Viewer” iz početnog izbornika.

Alternativno, pokrenite sljedeću ključnu riječ iz prozora 'Pokreni':

Glavni prozor prikazat će vam sažetak svih aktivnosti sustava.

UI preglednika događaja

Na lijevoj ploči dnevnici su razvrstani u različite kategorije.

Na primjer, odaberite podkategoriju 'Windows zapisnici' da biste vidjeli sažetak zapisnika po sustavu Windows i aplikacijama sustava Windows.

Za pregled zapisa koje generiraju svi Microsoftovi proizvodi, idite na “Zapisnici aplikacija i usluga” >> “Microsoft”.

Pregledavanje zapisa

U sljedećem primjeru pogledat ćemo zapisnike koje generira Windows PowerShell. Na lijevoj ploči idite na “Zapisnici aplikacija i usluga” >> “Windows PowerShell”.

Ovdje možemo vidjeti sve događaje koje je pokrenuo PowerShell. U našem slučaju, Event Viewer je zabilježio oko 10.000 PowerShell događaja. Svaki dnevnik predstavlja događaj.

Pojedinosti dnevnika možete vidjeti nakon odabira dnevnika.

Za više detalja idite na karticu 'Detalji'.

Filtriranje zapisnika događaja

Umjesto da besciljno pregledavamo zapise, možemo koristiti Preglednik događaja za primjenu određenih filtara kako bismo dobili točniju sliku. Može biti nevjerojatno koristan kad god pokušavate otkloniti neki problem, bilo da se radi o hardverskom problemu, problemu s upravljačkim programom ili softverskoj pogrešci.

Za izradu novog filtra odaberite 'Izradi prilagođeni prikaz' na desnoj ploči.

Na novi prozor možemo primijeniti razne filtere.

Ovdje:

• Zapisano : Preglednik događaja vodi zapise od instalacije operativnog sustava. Pretraživanje svih njih u većini situacija nije optimalno. Pomoću ovog filtra možemo vremenski ograničiti opseg pretraživanja.
• Razina događaja : Kad god se događaj registrira, dodjeljuje mu se razina ozbiljnosti. Postoji pet vrsta događaja: kritični, pogreška, upozorenje, informacija i opširni.
• Po logu : Ograničite opseg pretraživanja stablom.
• Prema izvoru : Ograničite opseg pretraživanja prema izvoru pokretača događaja. Okidači događaja mogu biti različiti uređaji OS-a ili bilo koji instalirani program.

Na primjer, za popis svih događaja koje je pokrenuo PowerShell, prilagođeni obrazac za prikaz izgleda ovako:

Prema zadanim postavkama, Preglednik događaja nudi spremanje novostvorenog filtra kao prilagođenog prikaza.

Rezultat bi trebao izgledati ovako:

Sigurnosno kopiranje zapisa

Preglednik događaja također može izvesti zapisnike događaja. Može biti korisno za otklanjanje pogrešaka ili sigurnosno kopiranje važnih zapisa za kasnije.

U ovom primjeru izradit ćemo sigurnosnu kopiju zapisa 'Windows PowerShell'.

Na lijevoj ploči odaberite 'Windows PowerShell', desnom tipkom miša kliknite na njega i odaberite 'Spremi sve događaje kao'.

Od vas će se tražiti da odaberete mjesto na kojem je pohranjena datoteka sigurnosne kopije.

Na kraju, Preglednik događaja će vas pitati želite li pohraniti dodatne informacije o prikazu s datotekom. Preporuča se uključiti ih tako da se s zapisnicima može raditi na bilo kojem drugom računalu. Međutim, samo u svrhu sigurnosne kopije, možda biste ga trebali izbjeći kako biste smanjili veličinu datoteke.

Ako odlučite uključiti dodatne podatke za prikaz, Preglednik događaja stvara dodatni direktorij 'LocaleMetaData'.

Uvoz zapisnika

Sada smo naučili kako uspješno napraviti sigurnosnu kopiju zapisnika događaja. Sada moramo naučiti kako ih uvesti kada zatrebaju.

Da biste uvezli zapisnike iz datoteke sigurnosne kopije Preglednika događaja, idite na Akcija >> Otvori spremljeni zapisnik iz glavnog prozora.

Sada potražite datoteku sigurnosne kopije.

Možete odlučiti kako će se zapisnik pohraniti i gdje će biti pohranjen. Prema zadanim postavkama, Event Viewer ih stavlja pod 'Spremljeni zapisnici'.

Uvezeni zapisnici trebali bi biti dostupni pod “Spremljeni zapisnici”.

Brisanje zapisa

Preglednik događaja prikuplja zapisnike od instalacije operativnog sustava. Uz dovoljno vremena, nakupit će se ogroman broj zapisa. Preglednik događaja također omogućuje brisanje svih zapisa koji su trenutno akumulirani. Međutim, ova radnja može zahtijevati administratorske ovlasti.

Za brisanje zapisa odaberite podkategoriju s lijeve ploče i odaberite 'Izbriši zapisnik'.

Event Viewer daje upozorenje prije nego što odluči izbrisati zapise.

Rezultat bi trebao izgledati ovako:

Zaključak

U ovom smo vodiču pokazali kako koristiti Preglednik događaja za pregled zapisnika događaja u sustavu Windows. Također smo naučili kako se kretati kroz zapisnike, primijeniti prilagođene filtre, sigurnosno kopirati i uvoziti zapisnike itd.

Sretno računanje!