I den här guiden kommer vi att visa hur du använder Windows Event Viewer för att visa Windows-loggarna och filtrera dem enligt olika kriterier.
Förutsättningar:
För att utföra stegen som visas i den här guiden behöver du följande komponenter:
- Ett korrekt konfigurerat Windows 10/11-system. För testning, kolla in hur du ställer in en Windows VM med VirtualBox.
- Adminåtkomst
Event Viewer på Windows
Som standard skickar olika appar (och delar av operativsystemet) ett meddelande till operativsystemet för en viss aktivitet som drivrutiner, säkerhetsuppdateringar, maskinvarufel och mer. Event Viewer är en dedikerad app som samlar dessa meddelanden och fungerar som navet för loggning.
Med administratörsbehörighet kan Event Viewer visa alla större händelser som händer i systemet. Det kan vara otroligt användbart för felsökningsändamål.
Event Viewer har också kraftfulla filtreringsfunktioner som kan visa systemaktiviteten vid en viss tidpunkt, utlöst av ett visst program, utlösarens svårighetsgrad och mer.
Startar Event Viewer
Skriv 'Event Viewer' från startmenyn.
Alternativt, kör följande nyckelord från 'Kör'-fönstret:
$ eventvwr
Huvudfönstret kommer att presentera en sammanfattning av alla systemaktiviteter.
Event Viewer UI
På den vänstra panelen är loggarna sorterade i olika kategorier.
Välj till exempel underkategorin 'Windows-loggar' för att se en sammanfattning av loggar från Windows- och Windows-appar.
För att se loggarna som genereras av alla Microsoft-produkter, gå till 'Program- och tjänstloggar' >> 'Microsoft'.
Visa loggarna
I följande exempel kommer vi att titta på loggarna som genereras av Windows PowerShell. Från den vänstra panelen, gå till 'Program och tjänster loggar' >> 'Windows PowerShell'.
Här kan vi se alla händelser som utlöses av PowerShell. I vårt fall har Event Viewer loggat cirka 10 000 PowerShell-händelser. Varje logg representerar en händelse.
Du kan se loggdetaljerna när du väljer en logg.
För mer djupgående detaljer, gå till fliken 'Detaljer'.
Filtrera händelseloggarna
Istället för att bläddra i loggarna planlöst kan vi använda Event Viewer för att tillämpa vissa filter för att få en mer korrekt bild. Det kan vara otroligt användbart när du försöker felsöka något problem, oavsett om det är ett hårdvaruproblem, ett drivrutinsproblem eller ett programvarufel.
För att skapa ett nytt filter, välj 'Skapa anpassad vy' från den högra panelen.
Vi kan använda olika filter i det nya fönstret.
Här:
- Loggad : Event Viewer är värd för loggar sedan installationen av operativsystemet. Att söka igenom dem alla är i de flesta situationer inte optimalt. Med detta filter kan vi begränsa sökningens omfattning efter tid.
- Eventnivå : Närhelst en händelse registreras tilldelas den en svårighetsgrad. Det finns fem typer av händelser: Kritisk, Fel, Varning, Information och Utförlig.
- Med logg : Begränsa sökningens omfattning efter träd.
- Efter källa : Begränsa sökningens omfattning efter källan till händelseutlösaren. Händelseutlösare kan vara olika apparater i operativsystemet eller vilket installerat program som helst.
Till exempel, för att lista alla händelser som utlöses av PowerShell, ser det anpassade vyformuläret ut så här:
Som standard erbjuder Event Viewer att spara det nyskapade filtret som en anpassad vy.
Resultatet ska se ut så här:
Säkerhetskopiera loggarna
Event Viewer kan också exportera händelseloggarna. Det kan vara användbart för att felsöka eller säkerhetskopiera de viktiga loggarna för senare.
I det här exemplet kommer vi att skapa en säkerhetskopia av 'Windows PowerShell'-loggarna.
Från den vänstra panelen, välj 'Windows PowerShell', högerklicka på den och välj 'Spara alla händelser som'.
Du kommer att bli ombedd att välja platsen där säkerhetskopian lagras.
Slutligen kommer händelsevisaren att fråga om du vill lagra ytterligare visningsinformation med filen. Det rekommenderas att inkludera dem så att loggarna kan arbetas med på vilken annan dator som helst. Men endast för säkerhetskopieringsändamål kanske du vill undvika det för att minska filstorleken.
Om du väljer att inkludera ytterligare visningsdata, skapar händelsevisaren ytterligare en 'LocaleMetaData'-katalog.
Importera loggarna
Vi har nu lärt oss hur man säkerhetskopierar händelseloggarna framgångsrikt. Nu måste vi lära oss hur man importerar dem när det behövs.
För att importera loggarna från en säkerhetskopia i Event Viewer, gå till Åtgärd >> Öppna sparad logg från huvudfönstret.
Bläddra nu efter säkerhetskopian.
Du kan bestämma namnet på loggdumpen och var den ska lagras. Som standard placerar händelsevisaren dem under 'Sparade loggar'.
De importerade loggarna bör finnas tillgängliga under 'Sparade loggar'.
Rensa loggarna
Event Viewer har samlat in loggar sedan installationen av operativsystemet. Med tillräckligt med tid kommer ett stort antal stockar att samlas. Event Viewer tillåter också att rensa alla loggar som för närvarande ackumuleras. Den här åtgärden kan dock kräva en administratörsbehörighet.
För att rensa loggarna, välj en underkategori från den vänstra panelen och välj 'Rensa logg'.
Händelsevisaren skickar en varning innan den bestämmer sig för att rensa loggarna.
Resultatet ska se ut så här:
Slutsats
I den här guiden demonstrerade vi hur du använder Event Viewer för att titta igenom Windows händelseloggar. Vi lärde oss också hur man navigerar genom loggarna, tillämpar de anpassade filtren, säkerhetskopierar och importerar loggarna, etc.
Lycka till med datorn!