V této příručce si ukážeme, jak používat Prohlížeč událostí Windows k zobrazení protokolů Windows a jejich filtrování podle různých kritérií.
Předpoklady:
K provedení kroků, které jsou uvedeny v této příručce, potřebujete následující součásti:
- Správně nakonfigurovaný systém Windows 10/11. Pro testování se podívejte, jak nastavit virtuální počítač Windows pomocí VirtualBoxu.
- Administrátorský přístup
Prohlížeč událostí ve Windows
Ve výchozím nastavení různé aplikace (a části operačního systému) odesílají do operačního systému upozornění na konkrétní aktivitu, jako jsou ovladače, aktualizace zabezpečení, selhání hardwaru a další. Prohlížeč událostí je speciální aplikace, která shromažďuje tato oznámení a funguje jako centrum pro protokolování.
S oprávněním správce může Prohlížeč událostí zobrazit každou významnou událost, která se v systému stane. To může být neuvěřitelně užitečné pro účely ladění.
Prohlížeč událostí také obsahuje výkonné možnosti filtrování, které mohou zobrazit aktivitu systému v určitém čase, spouštěnou určitým programem, závažnost spouštění a další.
Spuštění Prohlížeče událostí
V nabídce Start zadejte „Prohlížeč událostí“.
Případně spusťte následující klíčové slovo z okna „Spustit“:
$ eventvwr
V hlavním okně se zobrazí souhrn všech činností systému.
Uživatelské rozhraní Prohlížeče událostí
Na levém panelu jsou protokoly seřazeny do různých kategorií.
Vyberte například podkategorii „Protokoly Windows“, chcete-li zobrazit souhrn protokolů podle Windows a aplikací pro Windows.
Chcete-li zobrazit protokoly, které jsou generovány všemi produkty společnosti Microsoft, přejděte na „Protokoly aplikací a služeb“ >> „Microsoft“.
Prohlížení protokolů
V následujícím příkladu se podíváme na protokoly, které generuje prostředí Windows PowerShell. Z levého panelu přejděte na „Protokoly aplikací a služeb“ >> „Windows PowerShell“.
Zde můžeme vidět všechny události, které PowerShell spouští. V našem případě Prohlížeč událostí zaznamenal asi 10 000 událostí PowerShellu. Každý protokol představuje událost.
Podrobnosti protokolu můžete zobrazit po výběru protokolu.
Pro podrobnější informace přejděte na kartu „Podrobnosti“.
Filtrování protokolů událostí
Místo bezcílného procházení protokolů můžeme použít Prohlížeč událostí k použití určitých filtrů, abychom získali přesnější obrázek. Může to být neuvěřitelně užitečné, kdykoli se snažíte ladit nějaký problém, ať už jde o problém s hardwarem, problém s ovladačem nebo softwarovou chybu.
Chcete-li vytvořit nový filtr, vyberte v pravém panelu možnost „Vytvořit vlastní zobrazení“.
Na nové okno můžeme použít různé filtry.
Tady:
- Přihlášeno : Prohlížeč událostí hostí protokoly od instalace operačního systému. Vyhledávání ve všech z nich není ve většině situací optimální. Pomocí tohoto filtru můžeme omezit rozsah vyhledávání podle času.
- Úroveň události : Kdykoli je událost registrována, je jí přiřazena úroveň závažnosti. Existuje pět typů událostí: kritická, chyba, varování, informace a podrobné.
- Podle log : Omezte rozsah vyhledávání podle stromu.
- Podle zdroje : Omezte rozsah vyhledávání podle zdroje spouštěče události. Spouštěčem událostí mohou být různé přístroje operačního systému nebo jakýkoli nainstalovaný program.
Chcete-li například vypsat všechny události, které jsou spuštěny prostředím PowerShell, formulář vlastního zobrazení vypadá takto:
Ve výchozím nastavení nabízí Prohlížeč událostí uložení nově vytvořeného filtru jako vlastního zobrazení.
Výsledek by měl vypadat takto:
Zálohování protokolů
Prohlížeč událostí může také exportovat protokoly událostí. To může být užitečné pro ladění nebo zálohování důležitých protokolů na později.
V tomto příkladu vytvoříme zálohu protokolů „Windows PowerShell“.
Na levém panelu vyberte „Windows PowerShell“, klikněte na něj pravým tlačítkem a vyberte „Uložit všechny události jako“.
Budete vyzváni k výběru umístění, kde je uložen záložní soubor.
Nakonec se Prohlížeč událostí zeptá, zda chcete k souboru uložit další zobrazované informace. Doporučuje se je zahrnout, aby bylo možné s protokoly pracovat na jakémkoli jiném počítači. Pouze pro účely zálohování se však možná budete chtít vyhnout, abyste zmenšili velikost souboru.
Pokud se rozhodnete zahrnout další data zobrazení, Prohlížeč událostí vytvoří další adresář „LocaleMetaData“.
Import protokolů
Nyní jsme se naučili, jak úspěšně zálohovat protokoly událostí. Nyní se musíme naučit, jak je v případě potřeby importovat.
Chcete-li importovat protokoly ze záložního souboru Prohlížeče událostí, přejděte v hlavním okně na Akce >> Otevřít uložený protokol.
Nyní vyhledejte záložní soubor.
Můžete určit název výpisu protokolu a místo, kde bude uložen. Ve výchozím nastavení je Prohlížeč událostí umístí pod „Uložené protokoly“.
Importované protokoly by měly být dostupné v části „Uložené protokoly“.
Vymazání protokolů
Prohlížeč událostí shromažďuje protokoly od instalace operačního systému. S dostatkem času se nahromadí obrovské množství protokolů. Prohlížeč událostí také umožňuje vymazat všechny aktuálně nashromážděné protokoly. Tato akce však může vyžadovat oprávnění správce.
Chcete-li vymazat protokoly, vyberte podkategorii z levého panelu a vyberte „Vymazat protokol“.
Prohlížeč událostí vyvolá varování, než se rozhodne vymazat protokoly.
Výsledek by měl vypadat takto:
Závěr
V této příručce jsme si ukázali, jak pomocí Prohlížeče událostí procházet protokoly událostí systému Windows. Také jsme se naučili, jak procházet protokoly, používat vlastní filtry, zálohovat a importovat protokoly atd.
Hodně štěstí při práci s počítačem!