Menu
Gratis
Registrazione
Casa  /  Temperatura basale/ Registro di sistema di Windows 7 Visualizzazione degli eventi in Windows Vista

Registro di sistema di Windows 7 Visualizzazione degli eventi in Windows Vista

Istruzioni

Accedi con diritti di amministratore. A tale scopo, l'utente corrente deve essere membro del gruppo Amministratori oppure è possibile ottenere le autorizzazioni appropriate tramite delega. Se il computer fa parte, questa procedura può essere eseguita dai membri del gruppo Domain Admins. Per garantire la sicurezza, utilizzare il comando "Esegui come".

Andare al menu principale per eliminare gli eventi dal registro, per fare ciò fare clic sul pulsante “Start”, selezionare il comando “Pannello di controllo”, fare doppio clic sull'icona “Amministrazione”. In questa finestra, seleziona l'icona “Visualizzatore eventi” e fai doppio clic su di essa, oppure premi il pulsante Invio.

Apri Visualizzatore eventi. Nell'albero di questa console, seleziona il registro che desideri cancellare. Vai al menu "Azione", seleziona l'opzione "Cancella tutti gli eventi". Per salvare il registro prima della cancellazione, fare clic sul pulsante "Sì". Se il registro viene salvato in un file, non può essere cancellato in questo modo. Per cancellare il registro, è necessario eliminare il file in cui è archiviato.

Elimina le voci nel sistema operativo Windows 7 Per fare ciò, vai al menu principale e seleziona "Pannello di controllo", quindi seleziona l'opzione "Amministrazione" dai componenti del pannello. Successivamente, seleziona il comando amministrativo “Visualizzatore eventi”.

Successivamente, apri la "MMC Management Console", per fare ciò, fai clic sul pulsante "Start", inserisci Mmc nel campo di ricerca, premi Invio. Dal menu Console, seleziona l'opzione Aggiungi o rimuovi snap-in oppure premi la combinazione di tasti Ctrl+M. Nella finestra di dialogo, selezionare "Visualizzatore eventi", fare clic su "Aggiungi", quindi su "Fine" e "OK".

Fare clic su Start, Esegui, digitare Eventvwr.msc. Successivamente, vai al menu “Azione” e seleziona “Cancella registro”. Per salvare dopo la cancellazione, selezionare Salva e cancella. Immettere un nome file e fare clic sul pulsante "Salva".

Video sull'argomento

Ogni browser ha una funzione per registrare i siti web visitati. L'indirizzo della pagina aperta viene scritto in un file speciale - rivista e viene salvato. Questa funzionalità può essere modificata o disabilitata.

Istruzioni

Per cancellare rivista In Enternet Explorer è necessario aprire la voce di menu "Strumenti". Seleziona "Opzioni Internet". Si aprirà una finestra di dialogo nella scheda Generale. In basso c'è la sezione "Diario". Fare clic sul pulsante "Cancella". Per disattivare completamente la funzione rivista a, impostare il valore nella voce “Quanti giorni per memorizzare i collegamenti” su “0”. Fare clic sul pulsante "OK".

Nel browser Opera, fai clic sull'icona "Opera" nell'angolo in alto a sinistra. Seleziona Impostazioni, quindi Impostazioni generali. Nella finestra che si apre, seleziona la scheda “Avanzate”. Sulla sinistra vedrai un elenco di elementi. Seleziona "Cronologia". Nella sezione “Ricorda indirizzi visitati per cronologia e compilazione automatica”, alla voce “Ricorda indirizzi” è presente il numero di indirizzi web da ricordare. È possibile impostare il valore su "0". Sotto questa voce c'è una riga "Ricorda il contenuto delle pagine visitate". Se è necessario disattivare la funzione rivista e deseleziona questa voce. Successivamente, fare clic sul pulsante “Cancella”, quindi su “Ok”.

IN MozillaFirefox selezionare il menu in alto “Strumenti”, quindi “Impostazioni”. Nella finestra di dialogo Impostazioni, apri la scheda Privacy. Nella sezione “Registro visite”, alla prima voce “Ricorda gli indirizzi delle pagine web visitate negli ultimi... giorni”, imposta il valore su “0”. Deseleziona questo elemento e diventerà inattivo. Inoltre, se non desideri che i dati immessi nella barra di ricerca vengano salvati, deseleziona la casella di controllo "Ricorda i dati immessi nei moduli e nella barra di ricerca". Fare clic sul pulsante "OK".

Nel browser Google Cromo Fai clic sull'icona della chiave inglese nell'angolo in alto a destra. Seleziona “Strumenti” – “Elimina dati di navigazione”. Nella finestra "Cancella dati", seleziona l'orario per il quale desideri cancellare rivista(dall'ultima ora all'intero tempo delle visite). Seleziona la casella "Cancella" e fai clic sul pulsante "Elimina dati di navigazione".

Il sistema operativo Windows 7 ha servizio speciale, consentendo il monitoraggio di tutti eventi sul sistema informatico. Applicazione visualizzatore eventi" è uno snap-in di Microsoft Management Console (MMC) per la visualizzazione e la gestione riviste eventi.

Ne avrai bisogno

  • finestre7.

Istruzioni

Fare clic sul pulsante "Start" per aprire il menu principale e andare al "pannello di controllo".

Selezionare "Amministrazione" dall'elenco dei componenti e selezionare "Visualizza eventi».

Torna al menu principale e inserisci mmc nella barra di ricerca per visualizzare "MMC Management Console".

Confermare l'esecuzione del comando premendo il pulsante Invio.

Selezionare il comando "Aggiungi o rimuovi snap-in" dal menu vuoto "MMC Management Console" che si apre.

Specificare lo snap-in Visualizza eventi» nella finestra di dialogo Aggiungi o rimuovi snap-in e fare clic sul pulsante Aggiungi.

Confermare l'esecuzione del comando facendo clic sul pulsante "Fine".

Fare clic su OK per confermare la selezione.

Selezionare la rivista giusta eventi per salvarlo.

Specificare una cartella in cui salvare il file selezionato nella finestra di dialogo Salva con nome. Selezionare il formato file desiderato da salvare nel campo Tipo file e immettere un nome per il file salvato nel campo Nome file.

Tornare al menu Azione per eseguire l'operazione di cancellazione dei dati di registro.

Specificare il comando "Cancella registro".

Richiamare il menu contestuale facendo clic con il tasto destro sulla riga del registro selezionato e selezionare "Cancella registro".

Fare clic sul pulsante Cancella per cancellare il registro senza salvare.
Fare clic sul pulsante Salva e cancella per archiviare i dati e quindi eliminare le voci del registro. In questo caso, specificare una cartella in cui salvare i dati della registrazione a giornale nella finestra di dialogo Salva con nome e immettere un nome nel campo Nome file.

notare che

Utilizzare Microsoft Icon+K per aprire la finestra di dialogo Esegui, immettere eventvwr.msc nella casella Apri e fare clic su OK per aprire il Visualizzatore eventi.

Consigli utili

Gli utilizzi principali del Visualizzatore eventi consistono nel visualizzare eventi dai registri selezionati, applicare filtri eventi, creare sottoscrizioni eventi e assegnare azioni specifiche da eseguire quando si verifica un evento specifico.

Fonti:

  • Asusfans.ru
  • dove trovare il registro eventi

Molto spesso, gli utenti del sistema operativo utilizzano " rivista eventi" Questa applicazione consente di monitorare guasti, errori e problemi nel sistema. Utilizzando questo strumento è possibile eseguire test diagnostici per la funzionalità, ma in alcuni casi non è necessario, quindi deve essere rimosso come componente aggiuntivo.

Ne avrai bisogno

  • Lavorare con l'applet Visualizzatore eventi.

Istruzioni

A proposito dell'esistenza rivista UN eventi Non tutti gli utenti conoscono il sistema operativo Windows. Possiamo dire che è necessario studiare a fondo il sistema per arrivare a questa componente. Anche se è abbastanza facile trovarlo se utilizzi Windows 7 o Windows Vista. Apri il menu Start, attiva la barra di ricerca e inserisci il comando "Visualizza eventi" Nei risultati della ricerca, seleziona la prima riga e fai clic su di essa.

L'applet "Visualizza" apparirà di fronte a te. eventi" Questo componente è anche denominato snap-in Vista. eventi" Prima di eliminare " rivista eventi", deve prima essere aperto o creato (in alcuni casi l'opzione funziona rivista e disabili). Per aprire rivista e fare clic sul menu in alto “Azione”, dall'elenco del menu a discesa selezionare “Apri salvato rivista».

Nella finestra "Apri salvato" che si apre rivista"trova il file" rivista UN eventi" Per trovare rapidamente il file che ti serve, utilizza la barra laterale di Explorer. Vale la pena notare che per impostazione predefinita il sistema offre l'apertura di diverse estensioni, non ciascuna delle quali corrisponde rivista tu. Nella finestra di dialogo vedrai i seguenti formati di file: evtx, evt ed etl. estensione evtx – file eventi, estensione evt – file obsoleti eventi etl estensione – file rivista e tracce.

Una volta selezionato il file desiderato, fai clic sul pulsante "Apri" nell'angolo in basso a destra della finestra di dialogo. Per eliminare un file aperto di recente rivista eventi, devi andare al tuo rivista tu. Fai clic sull'icona del triangolo accanto alla cartella Elementi salvati rivista s" sul lato sinistro della finestra, quindi "Cartella con file salvati rivista ami." Questa cartella conterrà tutto rivista s che sono stati creati dal sistema.

Selezionare rivista eventi, di fronte alla quale è presente l'icona di un floppy disk. Fare clic con il tasto destro sull'elemento selezionato. Dal menu contestuale, seleziona "Elimina". Nella finestra che si apre, clicca su “Sì” per confermare l'operazione di cancellazione.

Ogni browser Web memorizza la cronologia di navigazione di un utente. Potresti preferire mantenere la questione riservata. In questo caso è necessario pulire rivista visite.

Istruzioni

Se utilizzi IE7, nel menu "Strumenti", seleziona l'opzione "Elimina". rivista" e fai clic su "Elimina cronologia" nella sezione "Cronologia". In questa finestra è possibile eliminare cookie, file temporanei Internet e altri dati creati durante la visita di vari siti Web.

Per la pulizia rivista e in IE8, avvia il browser dal menu Start e vai alla scheda Sicurezza. Selezionare il comando “Elimina rivista..." Se desideri salvare cookie e dati da determinati siti Web, seleziona la casella di controllo "Salva dati dei siti Web preferiti". Seleziona le caselle di controllo relative ai dati che desideri cancellare disco rigido e fare clic su "Elimina".

Per cancellare rivista visite a Mozilla Firefox superiori alla versione 3, utilizzare il comando “Cancella cronologia recente” dal menu “Strumenti”. Nella finestra "Cancella", fare clic sulla freccia e selezionare dall'elenco a discesa l'intervallo di tempo che richiede la pulizia rivista a.Espandi l'elenco "Dettagli" facendo clic sulla freccia e seleziona la casella relativa ai dati che intendi eliminare. Fare clic su Pulisci ora.

Il sistema operativo Windows, versione sette, dispone di una funzione per tenere traccia di eventi importanti che si verificano durante il funzionamento dei programmi di sistema. In Microsoft il concetto di “eventi” si riferisce a qualsiasi incidente del sistema che viene registrato in un apposito registro e segnalato agli utenti o agli amministratori. Potrebbe trattarsi di un programma di utilità che non vuole essere eseguito, di un arresto anomalo dell'applicazione o di dispositivi non installati correttamente. Tutti gli incidenti vengono registrati e salvati nel registro Eventi di Windows 7. Inoltre organizza e mostra tutte le attività in ordine cronologico, aiuta a effettuare il monitoraggio del sistema, garantisce la sicurezza del sistema operativo, corregge gli errori e diagnostica l'intero sistema.

È necessario rivedere periodicamente questo registro per nuove informazioni e configurare il sistema per salvare i dati importanti.

Finestra 7 - programmi

L'applicazione per computer Visualizzatore eventi è la parte principale delle utilità Microsoft progettate per monitorare e visualizzare il registro eventi. Questo è uno strumento necessario per monitorare le prestazioni del sistema ed eliminare gli errori emergenti. L'utilità Windows che gestisce la documentazione degli incidenti è denominata registro eventi. Se questo servizio viene avviato, inizia a raccogliere e registrare tutti i dati importanti nel suo archivio. Il registro eventi di Windows 7 consente di effettuare le seguenti operazioni:

Visualizzazione dei dati registrati nell'archivio;

Utilizzo di vari filtri eventi e salvataggio per un ulteriore utilizzo nelle impostazioni di sistema;

Creazione e gestione di abbonamenti per incidenti specifici;

Assegna azioni specifiche quando si verificano determinati eventi.

Come aprire il registro eventi di Windows 7?

Il programma responsabile della registrazione degli incidenti viene lanciato come segue:

1. Il menu viene attivato premendo il pulsante "Start" nell'angolo in basso a sinistra del monitor, quindi si apre il "Pannello di controllo". Nell'elenco dei controlli, seleziona "Amministrazione" e in questo sottomenu fai clic su "Visualizzatore eventi".

2. Esiste un altro modo per visualizzare il registro eventi di Windows 7 Per fare ciò, vai al menu Start, digita mmc nella finestra di ricerca e invia una richiesta per cercare il file. Successivamente si aprirà la tabella MMC, dove è necessario selezionare il paragrafo che indica l'aggiunta e la rimozione di apparecchiature. Quindi il "Visualizzatore eventi" viene aggiunto alla finestra principale.

Qual è l'applicazione descritta?

I sistemi operativi Windows 7 e Vista dispongono di due tipi di registri eventi: archivi di sistema e registro dei servizi dell'applicazione. La prima opzione viene utilizzata per acquisire incidenti a livello di sistema correlati alle prestazioni. varie applicazioni, avvio e sicurezza. La seconda opzione è responsabile della registrazione degli eventi del loro lavoro. Per controllare e gestire tutti i dati, il servizio Registro eventi utilizza la scheda Visualizza, che è suddivisa nelle seguenti voci:

Applicazione: qui vengono memorizzati gli eventi associati a un programma specifico. Per esempio, servizi postali memorizzano in questo luogo la cronologia dei trasferimenti di informazioni, vari eventi nelle cassette postali e così via.

La voce "Sicurezza" memorizza tutti i dati relativi all'accesso e all'uscita dal sistema, all'utilizzo delle funzionalità amministrative e all'accesso alle risorse.

Installazione: questo registro eventi di Windows 7 registra i dati che si verificano durante l'installazione e la configurazione del sistema e delle sue applicazioni.

Sistema: registra tutti gli eventi del sistema operativo, come errori durante l'avvio delle applicazioni di servizio o durante l'installazione e l'aggiornamento dei driver del dispositivo, vari messaggi relativi al funzionamento dell'intero sistema.

Eventi inoltrati: se questo elemento è configurato, memorizza le informazioni provenienti da altri server.

Altre sottovoci del menù principale

Sempre nel menu “Amministrazione”, dove si trova il registro eventi di Windows 7, sono presenti le seguenti voci aggiuntive:

Internet Explorer – qui vengono registrati gli eventi che si verificano durante il funzionamento e la configurazione del browser omonimo.

Windows PowerShell: gli incidenti relativi all'utilizzo di PowerShell vengono registrati in questa cartella.

Eventi apparecchiature: se questa voce è configurata, vengono registrati i dati generati dai dispositivi.

L'intera struttura del "sette", che garantisce la registrazione di tutti gli eventi, è basata sulla tipologia Vista su XML. Ma per utilizzare il programma di registro eventi in Windows 7, non è necessario sapere come utilizzare questo codice. L'applicazione Visualizzatore eventi farà tutto da sola, fornendo una tabella comoda e semplice con le voci di menu.

Caratteristiche dell'incidente

Un utente che vuole sapere come visualizzare il registro eventi di Windows 7 deve comprendere anche le caratteristiche dei dati che desidera visualizzare. Dopotutto, ci sono proprietà diverse di alcuni incidenti descritti nel “Visualizzatore eventi”. Esamineremo queste caratteristiche di seguito:

Sorgenti: un programma che registra gli eventi in un registro.

Qui vengono registrati i nomi delle applicazioni o dei conducenti che hanno influenzato un particolare incidente.

Il codice evento è un insieme di numeri che determinano il tipo di incidente. Questo codice e il nome dell'origine evento vengono utilizzati dal supporto tecnico del software di sistema per correggere errori e risolvere guasti del software.

Livello – il grado di importanza dell’evento. Il registro eventi di sistema ha sei livelli di incidenti:

1. Messaggio.

2. Attenzione.

3. Errore.

4. Errore pericoloso.

5. Monitoraggio delle operazioni di correzione degli errori riuscite.

6. Verifica delle azioni non riuscite. Utenti: registra i dati degli account per conto dei quali si è verificato l'incidente. Questi possono essere anche i nomi di vari servizi.

utenti reali

Data e ora: registra il momento in cui si è verificato l'evento.

Ci sono molti altri eventi che si verificano mentre il sistema operativo è in esecuzione. Tutti gli incidenti vengono visualizzati nel "Visualizzatore eventi" con una descrizione di tutti i dati informativi correlati.

Come lavorare con il registro eventi? Molto punto importante

Per proteggere il sistema da arresti anomali e blocchi è necessario rivedere periodicamente il registro "Applicazione", che registra informazioni sugli incidenti, sulle azioni recenti con un particolare programma e fornisce anche una scelta delle operazioni disponibili.

Accedendo al registro eventi di Windows 7, nel sottomenu "Applicazione" è possibile visualizzare un elenco di tutti i programmi che hanno causato vari eventi negativi nel sistema, l'ora e la data in cui si sono verificati, l'origine e il grado del problema.

Risposte degli utenti agli eventi

Dopo aver imparato come aprire il registro eventi di Windows 7 e come utilizzarlo, dovresti imparare a utilizzare l'Utilità di pianificazione con questa utile applicazione. Per fare ciò, fare clic con il pulsante destro del mouse su qualsiasi incidente e nella finestra che si apre selezionare il menu per collegare un'attività a un evento. La prossima volta che si verifica un incidente di questo tipo nel sistema, il sistema operativo avvierà automaticamente l'attività installata per elaborare l'errore e correggerlo.

Un errore nel registro non è motivo di panico

L'applicazione che stiamo descrivendo è stata creata per rendere più semplice per l'amministratore di sistema il controllo dei computer e la risoluzione dei problemi emergenti.

Conclusione

Sulla base di quanto sopra, diventa chiaro che il registro eventi è un modo che consente ai programmi e al sistema di registrare e salvare tutti gli eventi sul computer in un unico posto. Questo registro memorizza tutti gli errori operativi, i messaggi e gli avvisi delle applicazioni di sistema.

Dov'è il registro eventi in Windows 7, come aprirlo, come usarlo, come correggere gli errori visualizzati: tutto questo lo abbiamo imparato da questo articolo. Ma molti si chiederanno: "Perché ne abbiamo bisogno, non siamo amministratori di sistema, non programmatori, ma utenti comuni che, a quanto pare, non hanno bisogno di questa conoscenza?" Ma questo approccio è sbagliato. Dopotutto, quando una persona si ammala di qualcosa, prima di andare dal medico, cerca di curarsi in un modo o nell'altro. E molti spesso ci riescono. Allo stesso modo, un computer, che è un organismo digitale, può “ammalarsi”, e questo articolo mostra uno dei modi per diagnosticare la causa di tale “malattia” in base ai risultati di tale “esame” che si può fare; la giusta decisione sulle modalità del successivo “trattamento”.

Pertanto, le informazioni sul metodo di visualizzazione degli eventi saranno utili non solo allo specialista di sistema, ma anche all'utente ordinario.

Windows 7 e Windows 10 monitorano costantemente il sistema per eventuali situazioni insolite o degne di nota, come un servizio non in esecuzione, un'installazione di un dispositivo o un errore dell'applicazione. Tutte queste situazioni sono chiamate eventi e vengono registrate in diversi log diversi.

Ad esempio, il registro dell'applicazione memorizza eventi relativi al funzionamento delle applicazioni, sia programmi di Windows 7 stesso che applicazioni di terze parti, mentre il registro di sistema memorizza eventi generati dal sistema Windows 7, 10 e componenti come driver di dispositivo e servizi di sistema .

Come aprire il registro eventi di Windows

Per aprire il registro eventi in Windows, fare clic sul pulsante Inizio inserendo la stringa nel campo di ricerca visualizzatore di eventi e premendo il tasto<Entra>. L'immagine seguente mostra l'aspetto della home page di questo snap-in, che visualizza il registro eventi di Windows, un elenco dei nodi visualizzati di recente e una varietà di azioni disponibili.

Visualizzazione del registro eventi di Windows

Il pannello a destra offre tre sezioni: Visualizzazioni personalizzate, Registri di Windows e Registri di applicazioni e servizi.

La sezione Visualizzazioni personalizzate elenca tutti i tipi di eventi definiti nel sistema attuale (che verranno discussi più dettagliatamente più avanti). Se esegui il filtraggio in uno dei registri eventi o crei una nuova vista evento, la nuova vista viene salvata in questa sezione.

La sezione Registri di Windows mostra diverse sottosezioni, quattro delle quali rappresentano i registri principali gestiti dal sistema stesso.

I registri eventi dell'applicazione e del sistema devono essere controllati regolarmente per eventuali problemi esistenti e avvisi che potrebbero verificarsi in futuro. Il registro di sicurezza non è importante per le procedure di manutenzione quotidiana. Dovresti indagare solo se sospetti una violazione della sicurezza informatica, ad esempio per scoprire chi sta accedendo al sistema.

Il registro di sistema registra gli errori del driver del dispositivo, ma Windows 7 dispone anche di altri strumenti per aiutarti ulteriormente in modo semplice indagare sui problemi con i dispositivi. Ad esempio, Gestione dispositivi, che visualizza un'icona per i dispositivi che presentano problemi e consente di visualizzare una descrizione di tali problemi aprendo le finestre delle proprietà del dispositivo. C'è anche un'utilità Informazioni di sistema (Msinfo32.exe), che riflette le informazioni su tutti i problemi relativi all'apparecchiatura nelle sezioni Informazioni di sistema > Risorse hardware > Conflitto e condivisione e Informazioni di sistema > Componenti > Dispositivi problematici.

Quando si seleziona un registro, nella finestra centrale viene visualizzato un elenco di tutti gli eventi disponibili in quel registro, insieme alle informazioni sulla data e l'ora in cui si è verificato ciascun evento, la sua origine, il suo tipo (Dettagli, Avviso o Errore) e altre informazioni simili. informazioni. Di seguito sono riportate le principali modifiche all'interfaccia e le nuove funzionalità apparse nel Visualizzatore eventi in Windows.

  • Nel pannello Area di visualizzazione, i dati di base degli eventi sono ora visualizzati nella scheda Generale, mentre dati aggiuntivi e più specifici sono ora visualizzati nella scheda Dettagli. Questo pannello può essere attivato e disattivato selezionando Area di visualizzazione dal menu Visualizza.
  • I dati degli eventi sono ora archiviati in formato XML. Puoi visualizzare il loro schema selezionando l'interruttore Modalità XML nella scheda Dettagli all'interno del pannello Area di visualizzazione.
  • Il comando Filtro ora consente di generare query in formato XML.
  • Facendo clic sul collegamento Crea visualizzazione personalizzata è ora possibile creare una nuova visualizzazione basata su un registro eventi specifico, un tipo di evento specifico, un ID evento, ecc.
  • Ora puoi associare le attività agli eventi facendo prima clic sull'evento di interesse, quindi sul collegamento Collega un'attività all'evento e quindi utilizzando la procedura guidata appropriata per creare l'attività desiderata, che implica l'avvio di qualche programma o script o l'invio di un email ogni volta che si verifica questo evento.
  • Gli eventi preferiti ora possono essere salvati nel formato file evento (.elf).

Le aree di attività più comuni per le quali sono stati creati prodotti software specializzati. 1s 8 online è contabilità regolamentata, contabilità commerciale e di magazzino, contabilità di gestione e soluzioni complete

La sezione Registri applicazioni e servizi elenca i programmi, le funzionalità e i servizi che supportano il formato di registrazione eventi standard, una novità di Windows 7. In precedenza, i registri per tutti gli elementi in questa sezione venivano archiviati in file di testo, a cui non era possibile accedere nelle versioni precedenti dello snap-in Visualizzatore eventi se non aprendo appositamente il file di registro.

Potrebbe trattarsi di un servizio che non si avvia, dell'installazione di un dispositivo o di un errore dell'applicazione. Gli eventi vengono registrati e archiviati nei registri eventi di Windows e forniscono importanti informazioni cronologiche che consentono di monitorare il sistema, mantenerne la sicurezza, risolvere gli errori ed eseguire la diagnostica. Le informazioni contenute in questi registri dovrebbero essere riviste regolarmente. Dovresti monitorare regolarmente i registri eventi e configurare il tuo sistema operativo per salvare eventi di sistema importanti. Se sei un amministratore di server Windows, devi monitorare la sicurezza dei tuoi sistemi, il normale funzionamento di applicazioni e servizi e anche controllare la presenza di errori nel server che possono compromettere le prestazioni. Se sei un utente personal computer, dovresti assicurarti di avere accesso ai log appropriati necessari per supportare il tuo sistema e risolvere gli errori.

Visualizzatore eventi è uno snap-in di Microsoft Management Console (MMC) che consente di visualizzare e gestire i registri eventi. Questo è uno strumento indispensabile per monitorare le prestazioni del sistema e risolvere i problemi. Il servizio Windows che gestisce la registrazione degli eventi si chiama Registrazione eventi. Se è in esecuzione, Windows scrive i dati importanti nei registri. Utilizzando il Visualizzatore eventi è possibile effettuare le seguenti operazioni:

Visualizza eventi da log specifici;
Applica filtri eventi e salvali per un utilizzo successivo come visualizzazioni personalizzate;
Creare e gestire abbonamenti agli eventi;
Assegna azioni specifiche da eseguire quando si verifica un evento specifico.

Avvio del Visualizzatore eventi

È possibile aprire il Visualizzatore eventi nei seguenti modi:
Fare clic sul pulsante "Start" per aprire il menu, aprire "Pannello di controllo", dall'elenco dei componenti del pannello di controllo selezionare "Strumenti di amministrazione" e dall'elenco dei componenti amministrativi selezionare "Visualizzatore eventi";
Aprire "Console di gestione MMC". Per fare ciò, fare clic sul pulsante "Start", inserire mmc nel campo di ricerca, quindi fare clic sul pulsante "Invio". Si aprirà una console MMC vuota. Dal menu Console, seleziona Aggiungi o rimuovi snap-in oppure utilizza la scorciatoia da tastiera Ctrl+M. Nella finestra di dialogo "Aggiungi e rimuovi snap-in", seleziona lo snap-in "Visualizzatore eventi" e fai clic sul pulsante "Aggiungi". Quindi fare clic sul pulsante “Fine”, quindi fare clic sul pulsante “OK”;
Utilizzare la combinazione di tasti WIN + R per aprire la finestra di dialogo Esegui. Nella finestra di dialogo "Esegui", nel campo "Apri", inserisci eventvwr.msc e fai clic sul pulsante "OK" (aggiungerò io stesso: Perché questi problemi? Basta premere START-SEARCH e inserire stupidamente EVENT ACCEDI IN LETTERE RUSSE Appunta, se necessario, sulla barra delle applicazioni e visualizza questo registro.

Registri eventi in Windows 7

Nel sistema operativo Windows 7, così come in Windows Vista, esistono due categorie di registri eventi: registri di Windows e registri di applicazioni e servizi. Registri di Windows: utilizzati dal sistema operativo per registrare eventi a livello di sistema relativi al funzionamento di applicazioni, componenti di sistema, sicurezza e avvio. Inoltre, i registri delle applicazioni e dei servizi vengono utilizzati dalle applicazioni e dai servizi per registrare eventi relativi al loro funzionamento. È possibile utilizzare il Visualizzatore eventi o un programma per gestire i registri eventi. riga di comando wevtutil, di cui parleremo nella seconda parte dell'articolo. Tutti i tipi di registro sono descritti di seguito:
Applicazione - negozi eventi importanti associato ad una specifica applicazione. Ad esempio, Exchange Server archivia gli eventi relativi all'inoltro della posta, inclusi gli eventi per l'archivio informazioni, le cassette postali e i servizi in esecuzione. Per impostazione predefinita si trova in %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Sicurezza- memorizza eventi relativi alla sicurezza come accesso/disconnessione dal sistema, utilizzo dei privilegi e accessi alle risorse. Per impostazione predefinita si trova in %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installazione- questo registro registra gli eventi che si verificano durante l'installazione e la configurazione sistema operativo e i suoi componenti. Per impostazione predefinita si trova in %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Sistema- memorizza eventi del sistema operativo o dei suoi componenti, come errori nell'avvio dei servizi o nell'inizializzazione dei driver, messaggi a livello di sistema e altri messaggi relativi al sistema nel suo insieme. Per impostazione predefinita si trova in %SystemRoot%\System32\Winevt\Logs\System.Evtx

Eventi inoltrati- se è configurato l'inoltro eventi, questo registro include gli eventi inoltrati da altri server. Per impostazione predefinita si trova in %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- questo registro registra gli eventi che si verificano durante la configurazione e l'utilizzo del browser Internet Explorer. Per impostazione predefinita si trova in %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell-Questo registro registra gli eventi relativi all'uso di PowerShell. Per impostazione predefinita si trova in %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Eventi dell'attrezzatura- se è configurato il logging degli eventi hardware, in questo log vengono registrati gli eventi generati dai dispositivi. Per impostazione predefinita si trova in %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

In Windows 7 l'infrastruttura che fornisce la registrazione degli eventi è basata su XML, proprio come in Windows Vista. Ciascun dato di evento corrisponde a uno schema XML, consentendo di accedere al codice XML di qualsiasi evento. Puoi anche creare query basate su XML per recuperare dati dai log. Per utilizzare queste nuove funzionalità non è richiesta alcuna conoscenza di XML. Il Visualizzatore eventi fornisce una semplice interfaccia grafica per accedere a queste funzionalità.

Proprietà evento

Esistono diverse proprietà degli eventi del Visualizzatore eventi descritte in dettaglio di seguito:
La fonte è il programma che ha registrato l'evento. Può essere il nome di un programma (ad esempio, "Exchange Server") o il nome di un componente di sistema o di un'applicazione di grandi dimensioni (ad esempio, il nome di un driver). Ad esempio, "Elnkii" significa driver EtherLink II.

Codice eventoè un numero che identifica un tipo specifico di evento. La prima riga della descrizione solitamente contiene il nome del tipo di evento. Ad esempio, 6005 è l'ID dell'evento che si verifica all'avvio del servizio di registrazione eventi. Di conseguenza, all'inizio della descrizione di questo evento c'è la riga "Il servizio di registro eventi è stato avviato". Il codice evento e il nome della fonte di registrazione possono essere utilizzati dal team di supporto prodotto software per la risoluzione dei problemi.

Livello- questo è il livello di importanza dell'evento. Nei registri di sistema e delle applicazioni, gli eventi possono avere i seguenti livelli di gravità:

Notifica- denota un cambiamento in un'applicazione o in un componente, come il verificarsi di un evento informativo associato a un'azione riuscita, la creazione di una risorsa o l'avvio di un servizio.
Avvertimento- indica un avviso generale per un problema che potrebbe compromettere il servizio o portare a un problema più serio se lasciato incustodito;
Errore- indica che si è verificato un problema che può influenzare funzioni esterne all'applicazione o al componente che ha causato l'evento;
Errore critico- indica che si è verificato un guasto dal quale l'applicazione o il componente che ha avviato l'evento non può riprendersi automaticamente;
Verifica dei successi- esecuzione corretta delle azioni monitorate tramite audit, come l'utilizzo di un privilegio;
Verifica del fallimento- mancata esecuzione di azioni monitorate tramite auditing, come un errore di accesso al sistema.
Utente- definisce l'account utente per conto del quale si è verificato questo evento. Gli utenti includono entità speciali come Servizio locale, Servizio di rete e Accesso anonimo, nonché account utente reali. Questo nome è l'identificatore del client se l'evento è stato effettivamente generato dal processo del server oppure l'identificatore primario se non viene eseguita alcuna rappresentazione. In alcuni casi, la voce del registro di sicurezza contiene entrambi gli ID. Questo campo può anche contenere N/A (N/A), se in questa situazione account non applicabile. La rappresentazione si verifica nei casi in cui un server consente a un processo di assumere gli attributi di sicurezza di un altro processo.

Codice funzionante- contiene valore numerico, che definisce l'operazione o il punto all'interno dell'operazione durante il quale si è verificato l'evento. Ad esempio, inizializzazione o chiusura.

Rivista- il nome del log in cui è stato registrato questo evento.

Categoria e compiti- definisce una categoria di eventi, talvolta utilizzata per descrivere successivamente un'azione valida. Ogni origine evento ha le proprie categorie. Ad esempio, le seguenti categorie: accesso/disconnessione, utilizzo dei privilegi, modifica delle policy e gestione dell'account.

Parole chiaveè un insieme di categorie o tag che possono essere utilizzati per filtrare o cercare eventi. Ad esempio: "Rete", "Sicurezza" o "Risorsa non trovata".

Computer- identifica il nome del computer su cui si è verificato l'evento. Di solito si tratta del nome del computer locale, ma può anche essere il nome del computer che ha inoltrato l'evento o il nome del computer locale prima che venisse modificato.

Data e ora- determina la data e l'ora in cui si è verificato questo evento nel registro.

ID processo- rappresenta il numero identificativo del processo che ha generato l'evento. Un programma per computer è solo un insieme passivo di istruzioni, mentre un processo è l'esecuzione diretta di queste istruzioni

ID discussione- rappresenta il numero identificativo del thread che ha generato l'evento. Un processo generato in un sistema operativo può essere costituito da diversi thread eseguiti "in parallelo", ovvero senza un ordine temporale prescritto. Per alcuni compiti, questa separazione può ottenere di più utilizzo efficace risorse informatiche

ID del processore- rappresenta il numero identificativo del processore che ha elaborato l'evento.

Codice sessioneè il numero identificativo della sessione sul server terminale in cui si è verificato l'evento.

Tempo di funzionamento in modalità kernel- definisce il tempo impiegato nell'esecuzione delle istruzioni in modalità kernel, in unità di tempo della CPU. La modalità kernel ha accesso illimitato alla memoria di sistema e ai dispositivi esterni. Il kernel del sistema NT è chiamato kernel ibrido o macrokernel.

Tempo di funzionamento in modalità utente- definisce il tempo impiegato nell'esecuzione delle istruzioni in modalità utente, in unità di tempo CPU. La modalità utente è costituita da sottosistemi che passano le richieste I/O al driver in modalità kernel appropriato tramite il gestore I/O.

Carico della CPUè il tempo impiegato nell'esecuzione delle istruzioni in modalità utente, in tick della CPU.

Codice di correlazione: identifica l'azione nel processo per la quale viene utilizzato l'evento. Questo codice viene utilizzato per indicare relazioni semplici tra gli eventi. La correlazione è una relazione statistica tra due o più variabili casuali(o quantità che possono essere considerate tali con un certo grado di accuratezza accettabile). Inoltre, i cambiamenti in una o più di queste quantità portano a un cambiamento sistematico in un'altra o in altre quantità.

ID di correlazione relativa- determina azione relativa nel processo per il quale viene utilizzato l'evento

Lavorare con i registri eventi:

Visualizzatore eventi
Per visualizzare gli eventi del registro dell'applicazione, attenersi alla seguente procedura:
Nell'albero della console, seleziona "Registri di Windows";
Seleziona la rivista Applicazioni.

Si consiglia di rivedere e studiare frequentemente i registri eventi “Applicazione” e “Sistema”. problemi esistenti e avvisi che potrebbero far presagire problemi futuri. Quando selezioni un registro, la finestra centrale visualizza gli eventi disponibili, tra cui data, ora e origine dell'evento, livello dell'evento e altri dettagli.

Il riquadro Viewport mostra i dati degli eventi di base nella scheda Generale e dati aggiuntivi sugli eventi specifici nella scheda Dettagli. È possibile attivare e disattivare questo pannello selezionando il menu Visualizza e quindi Viewport.

Per i sistemi critici, si consiglia di conservare i registri risalenti a diversi mesi fa. Di norma, è scomodo assegnare continuamente una dimensione alle riviste in modo che tutte le informazioni vi entrino, questo problema può essere risolto in un altro modo; È possibile esportare i registri in file situati in una cartella specificata. Per salvare il registro selezionato, attenersi alla seguente procedura:

Nell'albero della console, seleziona il registro eventi che desideri salvare;
Selezionare il comando "Salva eventi con nome" dal menu "Azione" oppure selezionare il comando "Salva tutti gli eventi con nome" dal menu contestuale del registro;
Nella finestra di dialogo "Salva con nome" visualizzata, seleziona la cartella in cui salvare il file. Se devi salvare il file in una nuova cartella, puoi crearlo direttamente da questa finestra di dialogo utilizzando il menu contestuale o il pulsante "Nuova cartella" sulla barra delle azioni. Nel campo "Tipo file", è necessario selezionare il formato file desiderato tra quelli disponibili: file eventi - *.evtx, file xml - *.xml, testo delimitato da tabulazioni - *.txt, csv separato da virgole - * .csv. Nel campo "Nome file", inserisci un nome e fai clic sul pulsante "Salva". Per annullare il salvataggio cliccare sul pulsante “Annulla”;
Se il registro eventi non deve essere visualizzato su un altro computer, nella finestra di dialogo "Visualizza informazioni", lasciare l'opzione predefinita "Non visualizzare informazioni" e se il registro deve essere visualizzato su un altro computer, nella Nella finestra di dialogo "Visualizza informazioni" selezionare l'opzione "Visualizzare informazioni per le seguenti lingue" e fare clic sul pulsante "OK".

Cancellazione del registro eventi

A volte è necessario cancellare i registri eventi completi per garantire un'analisi efficace degli avvisi e degli errori critici del sistema operativo. Per cancellare il registro selezionato, attenersi alla seguente procedura:
Nell'albero della console, seleziona il registro eventi che desideri cancellare;
Cancella il registro utilizzando uno dei seguenti metodi:
Dal menu Azione, seleziona Cancella registro

Fare clic con il tasto destro sul registro selezionato per aprire il menu contestuale. Nel menu contestuale selezionare il comando "Cancella registro".
Successivamente, puoi cancellare il registro o archiviarlo se ciò non è stato fatto in precedenza:
Per cancellare il registro eventi senza salvare, cliccare sul pulsante “Cancella”;
Per cancellare il registro eventi dopo averlo salvato, fare clic sul pulsante "Salva e cancella". Nella finestra di dialogo "Salva con nome" visualizzata, seleziona la cartella in cui salvare il file. Se devi salvare il file in una nuova cartella, puoi crearlo direttamente da questa finestra di dialogo utilizzando il menu contestuale o il pulsante "Nuova cartella" sulla barra delle azioni. Nel campo "Nome file", inserisci un nome e fai clic sul pulsante "Salva". Per annullare il salvataggio, fare clic sul pulsante "Annulla".

Impostazione della dimensione massima del registro

Come accennato in precedenza, i registri eventi vengono archiviati come file nella cartella %SystemRoot%\System32\Winevt\Logs\. Per impostazione predefinita, la dimensione massima di questi file è limitata, ma puoi modificarla nel modo seguente:


Selezionare Proprietà dal menu Azione o dal menu contestuale del registro selezionato

Nel campo "Dimensione massima registro (KB)", imposta il valore richiesto utilizzando un contatore oppure impostalo manualmente senza utilizzare un contatore. In questo caso, il valore verrà arrotondato al multiplo più vicino di 64 KB perché la dimensione del file di registro deve essere un multiplo di 64 KB e non può essere inferiore a 1024 KB.
Gli eventi vengono archiviati in un file di registro che può crescere solo fino a una dimensione massima specificata. Una volta che il file raggiunge la dimensione massima, l'elaborazione degli eventi in arrivo sarà determinata dalla politica di conservazione del registro. Sono disponibili i seguenti criteri di conservazione dei log:
Riscrivere gli eventi se necessario (prima i vecchi file): in questo caso, le nuove voci continueranno ad essere inserite nel registro dopo che è pieno. Ogni nuovo evento sostituisce quello più vecchio presente nel log;

Archiviare il registro una volta compilato; non sovrascrivere gli eventi: in questo caso il file di registro viene archiviato automaticamente se necessario. Gli eventi obsoleti non vengono sovrascritti.

Non sovrascrivere gli eventi (cancella registro manualmente): in questo caso il registro viene cancellato manualmente e non automaticamente.

Per selezionare il criterio di conservazione dei log desiderato, attenersi alla seguente procedura:

Nell'albero della console, seleziona il registro eventi che desideri ridimensionare;
Selezionare il comando "Proprietà" dal menu "Azione" o dal menu contestuale del registro selezionato;
Nella scheda "Generale", nella sezione "Quando viene raggiunta la dimensione massima", selezionare l'opzione richiesta e fare clic sul pulsante "OK".
Attivazione del registro analitico e di debug

I log analitici e di debug sono inattivi per impostazione predefinita. Una volta attivati, si riempiono rapidamente con un gran numero di eventi. Per questo motivo si consiglia di abilitare questi log per un periodo di tempo limitato per raccogliere i dati necessari alla risoluzione dei problemi, e poi disabilitarli nuovamente. È possibile attivare i registri come segue:

Nell'albero della console, trova e seleziona il registro analitico o di debug che desideri attivare;
Selezionare il comando "Proprietà" dal menu "Azione" o dal menu contestuale del registro analitico o di debug selezionato;
Nella scheda "Generale", seleziona l'opzione "Abilita registrazione".

Apertura e chiusura di un diario salvato

È possibile utilizzare il Visualizzatore eventi per aprire e visualizzare i registri salvati in precedenza. È possibile aprire più registri salvati contemporaneamente e accedervi in ​​qualsiasi momento nell'albero della console. Un registro aperto nel Visualizzatore eventi può essere chiuso senza eliminare le informazioni in esso contenute. Per aprire un registro salvato, attenersi alla seguente procedura:

Selezionare il comando "Apri registro salvato" dal menu "Azione" o dal menu contestuale nell'albero della console;
Nella finestra di dialogo Apri registro salvato, navigare nell'albero delle directory per aprire la cartella contenente il file desiderato. Per impostazione predefinita, la finestra di dialogo visualizzerà tutti i file di registro eventi. Inoltre, durante l'apertura, puoi selezionare il tipo di file che desideri visualizzare nella finestra di dialogo di apertura. I tipi di file disponibili sono file di registro eventi (*.evtx, *.evt, *.etl), nonché file di eventi (*.evtx), file di eventi legacy (*.evt) o file di registro di traccia (*.etl) . Una volta trovato il file di registro desiderato, selezionarlo facendo clic con il tasto sinistro del mouse su di esso, che inserirà il suo nome nel campo del nome del file e fare clic sul pulsante "Apri".

Nella finestra di dialogo "Apri registro salvato", nel campo "Nome", inserisci un nuovo nome che verrà utilizzato per il registro nell'albero della console. Viene utilizzato solo per visualizzare il registro nell'albero della console e non modifica il nome del file di registro. È inoltre possibile utilizzare un nome di file di registro esistente. Nel campo Descrizione, inserisci una descrizione del registro. Verrà visualizzato nell'area centrale quando viene selezionata la cartella di registro principale nell'albero della console;
Per creare una cartella in cui verrà posizionato il registro salvato, fare clic sul pulsante "Crea cartella". Nel campo Nome, immettere il nome della cartella in cui verrà posizionato il diario aperto, quindi fare clic su OK. Se cartella principale non è selezionato, la nuova cartella verrà posizionata nella cartella Saved Logs

Per rendere il registro eventi aperto inaccessibile ad altri utenti del computer, puoi deselezionare la casella di controllo "Tutti gli utenti". Se questa casella rimane attiva, il registro aperto sarà disponibile a tutti gli utenti, ma per eliminarlo dall'albero della console saranno necessari i diritti di amministratore;
Per aprire il registro, fare clic sul pulsante "OK".
Per eliminare un registro aperto dall'albero degli eventi, attenersi alla seguente procedura:

Nell'albero della console selezionare il log da eliminare;
Selezionare Elimina dal menu Azione o dal menu contestuale del registro selezionato

Nella finestra di dialogo "Visualizzatore eventi", fare clic sul pulsante "Sì".

Conclusione

Questa parte dell'articolo, dedicata allo snap-in Visualizzatore eventi, descrive lo snap-in stesso e descrive in dettaglio le operazioni più semplici associate al monitoraggio e alla manutenzione del sistema tramite Visualizzatore eventi.

Ciao, cari lettori, Trishkin Denis è di nuovo con voi.
Vorrei parlarvi di un'interessante applicazione standard in Windows. Microsoft si è sempre distinta per il fatto che nei suoi sistemi operativi ha cercato di implementare sicurezza e prestazioni elevate monitorando programmi e vari movimenti nel sistema. Naturalmente, questo non ha sempre funzionato. Uno degli strumenti che ti consente di monitorare il sistema è il registro eventi di Windows 7. In esso vengono registrate tutte le installazioni errate e gli lanci di programmi non riusciti. In esso, tutte le azioni sono disposte in ordine cronologico. Si consiglia di controllare periodicamente tale registro al fine di rispondere tempestivamente a nuove informazioni.

aumento

L'applicazione ha le seguenti funzionalità:

    creare un registro dei dati che vengono registrati nell'archivio in ordine cronologico;

    la presenza di filtri speciali che consentono di visualizzare e configurare comodamente il sistema;

    iscrizione ad alcune categorie di attività;

    Quando si verifica un determinato tipo di azione, è possibile impostare una sequenza.

Avvio del programma( )

La directory può essere aperta come molte altre utilità di sistema. Funziona così:


Descrizione( )

Quindi, dopo aver scoperto dov'è la rivista, ora devi scoprire di cosa si tratta. La versione sette di Windows ha diversi registri di movimento. Pertanto, esiste un database dell'applicazione di servizio e un archivio di sistema. L'azione di quest'ultimo ha lo scopo di registrare con i programmi tutti gli incidenti che si verificano nel sistema operativo. Il primo è necessario per ricordare le modifiche avvenute con le applicazioni di servizio. La scheda principale è " Visualizzazione", che comprende diversi punti:

Articoli aggiuntivi( )

Inoltre, sono previste ulteriori divisioni:


Descrizione degli eventi( )

Le informazioni nel database possono essere visualizzate come qualsiasi altra informazione su un computer. Ma allo stesso tempo, l'utente deve conoscere alcune definizioni di base relative al funzionamento dell'applicazione:


Inoltre, il registro eventi fornisce molte altre proprietà. Una conoscenza dettagliata con loro ti aiuterà a configurare e monitorare in modo più accurato il sistema.

Collaborare con la rivista( )

Per proteggere il sistema da arresti anomali e blocchi, è consigliabile visualizzare tempestivamente la “base”, che indica tutti gli incidenti, le azioni con programmi diversi e fornisce una scelta di possibili operazioni.


aumento

Mostra anche l'ora e la data di apparizione, la fonte. La console consente di salvare tutte le modifiche, cancellarle e modificare la tabella stessa, che contiene i dati necessari.

Cancellazione del registro( )

Oltre alla semplice visualizzazione, il programma può essere pulito, ti dirò come farlo ulteriormente. Ciò è necessario per un'analisi rapida di tutti gli errori del sistema operativo. Come eliminare gli eventi? Basta seguire alcuni passaggi:


( )

Osservando costantemente il registro del sistema operativo, puoi vedere che qui compaiono spesso vari errori e avvisi. Tuttavia, non dovresti farti prendere dal panico subito: molti di loro non minacciano in alcun modo il tuo computer. Ma allo stesso tempo possono apparire anche su una macchina perfettamente funzionante.


aumento

In effetti, questa applicazione è stata sviluppata per gli amministratori di sistema in modo che possano scoprire il problema e risolverlo il prima possibile.

Aumento della capacità di memoria per le voci del diario( )

Inizialmente, il file in cui sono archiviati i dati è esso stesso di piccole dimensioni. Ma può essere aumentato. Per fare questo è necessario:


Dopo aver raggiunto la dimensione massima, l'elaborazione viene eseguita in base alla politica di archiviazione. Ci sono questi tipi:

    1 Riscrivere se necessario. Le nuove linee sostituiscono quelle più vecchie.

    2 Non una riscrittura. Il file viene pulito manualmente.

Per selezionare la politica desiderata, è necessario.