Inledning
Windows tillfälle log är en specificerad post av ramverket, säkerhet och program meddelanden tas bort av Windows arbetsramverket som ordförandena använder för att analysera ram frågor och förutse framtida frågor.
applikationer och arbetsramen (OS) använder dessa tillfälleloggar för att registrera betydande utrustning och programmeringsaktiviteter som chefen kan använda för att undersöka problem med arbetsramen. Windows working framework spårar explicita tillfällen i sina loggdokument, som applikationsinrättningar, säkerhet för chefer, ramarrangemangsförfarande vid startstart och problem eller blunders.
var lagras Windows-loggar?
Windows loggar plats är C:\WINDOWS\system32\config \ mapp. När windows-programmet kraschar lagrar Windows-händelseloggen information om programnamnet, varför programmet kraschade och incidenttid.
Vad är EVTX-filen?
EVTX-filen representerar Microsoft Event viewer-loggar som användare kan se i Event Viewer. Du kan köra Microsoft Event Viewer-loggar med kommandot i Windows ” >eventvwr. msc”
komponenterna i en Windows-logglogg
varje tillfälle i en loggpassage innehåller medföljande data:
Datum: det datum då tillfället hände.
tid: tiden då tillfället hände.
klient: användarnamnet på klienten loggade in på maskinen när tillfället hände.
PC: namnet på datorn.
tillfälle ID: Ett Windows ID-nummer som bestämmer tillfälletypen.
källa: programmet eller delen som orsakade tillfället. Typ: typ av tillfälle, inklusive data, varning, misstag, granskning av säkerhetsprestanda eller granskning av säkerhetsbesvikelse.
till exempel kan ett datatillfälle visas som:
Data 3/19/2021 8:21:15 am Service Kernel-Händelsespårning 1 loggning
ett förmaningstillfälle kan likna:
Varning 3/19/2021 10:29:47 am
genom undersökning, ett misstag tillfälle kan dyka upp som:
misstag 3/19/2021 am Service Control Manager 7001 ingen
ett grundläggande tillfälle kan se ut så här:
grundläggande 3/19/2021 8:55:02 am Kernel-Power 41 (63)
den typ av data som läggs bort i Windows-tillfälleloggar
Windows working framework registrerar tillfällen i fem zoner: applikation, säkerhet, arrangemang, ramverk och skickade tillfällen. Windows butiker tillfälle tecken i C:\WINDOWS\system32\config \ kuvert.
Application tillfällen identifiera med händelser med produkten infördes på grannskapet PC. På off chans att ett program, till exempel Microsoft Word, kraschar, Windows tillfälle log kommer att göra en logg avsnitt om problemet, programnamnet, och varför det smällde.
säkerhet tillfällen lagra data beror på Windows framework översyn metoder, och de vanliga tillfällen lägga undan införliva inloggning strävanden och tillgång till tillgångar. Till exempel lagrar säkerhetsloggen en post när datorn strävar efter att kontrollera kontocertifieringar när en klient försöker logga in på en maskin.
arrangemang tillfällen införliva företag centrerade tillfällen identifiera med kontroll av utrymmen, som området av stockar efter en platta setup.
Framework tillfällen identifiera med episoder på Windows-explicita ramar, som situationen med gadget drivrutiner.
skickade tillfällen dyker upp från olika maskiner på en liknande organisation när en ordförande behöver använda en dator som ackumulerar många loggar.
använda Loggboken
Microsoft kommer ihåg loggboken för sin Windows Server och kund arbetar ram för att se Windows tillfälle loggar. Kunderna får tillgång till loggboken genom att trycka på startfångsten och ange Loggboken i jaktfältet. Kunderna skulle då kunna välja och undersöka den ideala loggen.
Windows beställer varje tillfälle med en svårighetsgrad. Nivåarrangemanget är baserat på data, varning, blunder och grundläggande.
de flesta loggar består av databaserade tillfällen. Loggar med det här avsnittet betyder vanligtvis att tillfället hände utan ett avsnitt eller problem. En illustration av ett rambaserat datatillfälle är Händelse 42, Kernel-Power, som visar att ramverket går in i viloläge.
Varningsnivåhändelser beror på specifika tillfällen, till exempel frånvaro av extra rum. Varningsmeddelanden kan fokusera på potentiella problem som förmodligen inte behöver snabb aktivitet. Tillfälle 51, Disk illustrerar en rambaserad förmaning identifieras med en personsökning misstag på maskinens enhet.
en blundernivå visar att en gadget kan ha försummat att stapla eller arbeta förväntat. Tillfälle 5719, Netlogon illustrerar ett ramfel när en dator inte kan ordna ett säkert möte med en områdesregulator.
tillfällen på grundnivå visar de mest extrema frågorna. Tillfälle ID 41, Kernel-Power, illustrerar en grundläggande ram när en maskin startar utan en fläckfri stängning.
olika enheter för att se Windows-tillfälleloggar.
Microsoft ger också orderlinjen verktyget i System32 arrangör som återvinner tillfälle loggar, kör frågor, skickar ut loggar, filer loggar och rensa loggar.
Outsider verktyg som fungerar med Windows tillfälle loggar införliva SolarWinds Log och Event Manager, vilket ger pågående tillfälle anslutning och sanering; rekord pålitlighet observera; USB gadget kontroll; och fara plats. Log och Event Manager samlar följaktligen loggar från arbetare, applikationer och organisation gadgets.
ManageEngine EventLog Analyzer tillverkar anpassade rapporter från logginformation och skickar ständiga snabbmeddelanden och e-postlarm beroende på explicita tillfällen.
använda PowerShell till fråga tillfällen
Microsoft tillverkar Windows tillfälle tecken i extensible markup language (XML) design med en EVTX augmentation. XML ger mer detaljerad data och en pålitlig organisation för organiserad information.
direktörer kan konstruera invecklade XML-förfrågningar med Get-WinEvent PowerShell cmdlet för att lägga till eller avvisa tillfällen från en fråga. Om du står inför problem relaterade till skadade händelseloggar rekommenderar vi att du försöker rensa programvaran i Windows-händelseloggen först. Dessa programverktyg, som ReconLogger eller Software Events Cleaner, rengör automatiskt Windows händelseloggar för att eliminera allt skräp inuti, till exempel oanvända filer, konfigurationsfiler och sopor. Alternativt kan du prova systemets tillförlitlighet; du kan söka och filtrera det efter datumintervall och service för att hitta specifika problem. Graferna i fönstret Event Viewer kan hjälpa till att upptäcka subtila beteendeförändringar i ditt system.