Utilizzo del Visualizzatore eventi per la risoluzione dei problemi
Nell'edizione odierna di Geek School, ti insegneremo come utilizzare il Visualizzatore eventi per risolvere i problemi sul PC e capire cosa sta succedendo sotto il cofano.
- Utilizzo di Utilità di pianificazione per l'esecuzione di processi successivi
- Utilizzo del Visualizzatore eventi per la risoluzione dei problemi
- Informazioni sul partizionamento del disco rigido con Gestione disco
- Imparare ad usare l'editor del registro come un professionista
- Monitoraggio del PC con Resource Monitor e Task Manager
- Comprensione del pannello Proprietà avanzate del sistema
- Comprendere e gestire i servizi di Windows
- Utilizzo dell'Editor criteri di gruppo per modificare il PC
- Informazioni sugli strumenti di amministrazione di Windows
Il problema più grande con il Visualizzatore eventi è che può essere davvero confuso: ci sono molti avvisi, errori e messaggi informativi e, senza sapere cosa significa tutto, puoi assumere (erroneamente) che il tuo computer sia danneggiato o infetto quando c'è niente di veramente sbagliato.
In effetti, gli scammer del supporto tecnico utilizzano Visualizzatore eventi come parte della loro tattica di vendita per convincere gli utenti confusi che il loro PC è stato infettato da virus. Ti guidano attraverso il filtraggio solo da errori critici e poi ti sorprendono che tutto ciò che vedi sono errori critici.
Imparare come utilizzare e capire Event Viewer è un'abilità fondamentale per capire cosa sta succedendo con un PC e risolvere i problemi.
Capire l'interfaccia
Quando apri per la prima volta Visualizzatore eventi, noterai che utilizza la configurazione a tre riquadri come molti altri strumenti di amministrazione di Windows, anche se in questo caso ci sono in realtà alcuni utili strumenti sul lato destro.
Il riquadro a sinistra mostra una vista cartella, in cui è possibile trovare tutti i diversi registri eventi, nonché le viste che possono essere personalizzate con eventi da più registri contemporaneamente. Ad esempio, la vista Eventi amministrativi nelle ultime versioni di Windows visualizza tutti gli eventi di errore, avviso ed errore, indipendentemente dalla loro origine dal registro dell'applicazione o dal registro di sistema.
Nel riquadro centrale viene visualizzato un elenco di eventi e facendo clic su di essi verranno visualizzati i dettagli nel riquadro di anteprima oppure è possibile fare doppio clic su uno di essi per visualizzarlo in una finestra separata, che può essere utile quando si guarda attraverso una grande serie di eventi e vuoi trovare tutte le cose importanti prima di iniziare una ricerca su Internet.
Il riquadro a destra ti dà accesso rapido ad azioni come la creazione di viste personalizzate, il filtraggio o anche la creazione di un'attività pianificata in base a un particolare evento.
Gli eventi stessi sono ciò che stiamo cercando di vedere, naturalmente, e la loro utilità può variare da cose molto specifiche e ovvie che è possibile sistemare facilmente a messaggi molto vaghi che non hanno alcun senso e che non è possibile trovare informazioni su Google. I campi regolari sul display contengono:
- Nome registro - mentre nelle vecchie versioni di Windows tutto è stato scaricato nel registro dell'applicazione o del sistema, nelle versioni più moderne ci sono dozzine o centinaia di registri diversi tra cui scegliere. Molto probabilmente ogni componente di Windows avrà il proprio registro.
- fonte - questo è il nome del software che genera l'evento del registro. Il nome di solito non corrisponde direttamente con un nome di file, ovviamente, ma è una rappresentazione di quale componente lo ha fatto.
- ID evento - l'importantissimo ID evento può effettivamente essere un po 'confuso. Se tu fossi Google per "ID evento 122" che vedi nello screenshot successivo, non ti ritroverei con informazioni molto utili a meno che non includi anche il nome sorgente o il nome dell'applicazione. Questo perché ogni applicazione può definire i propri ID evento univoci.
- Livello - Questo ti dice quanto è grave l'evento - Le informazioni ti dicono solo che qualcosa è cambiato o che un componente è stato avviato, o qualcosa è stato completato. L'avviso ti dice che qualcosa potrebbe andare storto, ma non è ancora così importante. Errore ti dice che è successo qualcosa che non dovrebbe essere successo, ma non è sempre la fine del mondo. Critico, d'altra parte, significa che qualcosa è rotto da qualche parte, e il componente che ha attivato questo evento probabilmente si è bloccato.
- Utente - questo campo ti dice se si trattava di un componente di sistema o del tuo account utente che stava eseguendo il processo che ha causato l'errore. Questo può essere utile quando si guarda attraverso le cose.
- OpCode - questo campo ti dice in teoria quale attività stava facendo l'applicazione o il componente quando l'evento è stato attivato. In pratica, comunque, quasi sempre dirà "Info" ed è piuttosto inutile.
- Computer - sul desktop di casa, questo di solito è solo il nome del PC, ma nel mondo IT, puoi effettivamente inoltrare eventi da un computer o server a un altro computer. È inoltre possibile collegare Event Viewer su un altro PC o server.
- Categoria di attività - questo campo non è sempre usato, ma finisce per essere fondamentalmente un campo informativo che ti dice un po 'più di informazioni sull'evento.
- parole - questo campo non viene solitamente utilizzato e generalmente contiene informazioni inutili.
Come regola generale, dovresti provare a cercare in base alla descrizione generale, all'ID evento e alla Sorgente, oppure a una combinazione di tali valori.
Ricorda che l'ID evento è unico ... per ogni applicazione. Quindi c'è un sacco di sovrapposizioni e non puoi semplicemente cercare "ID evento 122" perché avrai un sacco di sciocchezze.
Nota importante: Ci sono sempre degli errori e degli avvisi nel registro degli eventi e non è possibile risolverli tutti. La cosa più importante è usare il Visualizzatore eventi per risolvere i problemi che stai già avendo, piuttosto che cercare di trovare problemi che non conosci ancora.
E sì, avrai bisogno di usare le tue competenze di Google per ricercare gli eventi di cui non sai nulla. Non c'è una soluzione magica facile.
L'unica cosa che potresti fare immediatamente quando vedi questa finestra di dialogo è fare clic sul collegamento Ulteriori informazioni ... il problema è che al momento non ti porta in nessun posto utile. Si finisce semplicemente con una pagina di errore sul sito di Microsoft.
La cosa spaventosa è che 8464 persone hanno giudicato utile la pagina non trovata.
Rimappare la ricerca ID evento online per funzionare effettivamente
Per qualche motivo, il collegamento "Ulteriori informazioni: Guida in linea per la registrazione dei registri eventi" non funziona per noi, ma fortunatamente esiste un ottimo compromesso del registro che è possibile utilizzare per risolvere il problema.
Quello che faremo è semplicemente cambiare l'URL di reindirizzamento nel registro per puntare a Google ... eccetto per il modo in cui gli argomenti vengono passati, dovremo puntarlo verso una pagina intermedia che analizzerà gli argomenti e forma l'URL di ricerca di Google corretto.
Ai fini di questo articolo, creiamo una pagina sul nostro server e sei libero di usarla. Se preferisci non utilizzare il nostro server, la riga singola del codice PHP è elencata alla fine di questa sezione.
Per apportare questa modifica, vai alla seguente chiave di registro:
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer
Trova il valore MicrosoftRedirectionURL sul lato destro, quindi modifica il valore da predefinito, che è http://go.microsoft.com/fwlink/events.asp e inserisci invece questo valore:
https://www.howtogeek.com/eventid
Una volta fatto ciò, facendo clic sul link nella finestra Proprietà evento, ti reindirizzerai immediatamente su Google, con i dati pertinenti già inclusi (ID evento, nome registro e "applicazione", che tende a dire semplicemente Microsoft Windows).
Come funziona? È piuttosto semplice: il Visualizzatore eventi aggiunge un set di parametri come argomenti della stringa di query all'URL che inseriamo nel registro. Quindi lo script estrae tali argomenti e reindirizza a Google, passando invece gli argomenti come termini di ricerca.
Usando un semplice script PHP, questo è quello che ci è venuto in mente per gestire il reindirizzamento.
intestazione ('Posizione: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']);
Puoi ospitare la stessa cosa sul tuo server, se lo desideri, oppure puoi usare quello che si trova sul nostro server. Sta a te.
Fai attenzione ai siti Internet con "Soluzioni" per problemi di ID evento "
Ci sono un sacco di siti Web che generano automaticamente pagine per ogni singolo ID evento e quindi li popolano senza senso. Sarebbe giusto, tranne molti di questi eventi, non ci sono molti altri buoni risultati.
Questi siti offriranno quindi di risolvere il problema se scarichi solo un pezzo di software per la tua analisi gratuita. In tutti i casi si tratta di annunci e la "soluzione" del software è una frode.
Non esiste un pacchetto software in grado di risolvere tutti i problemi del registro eventi.
Utilizzo di filtri e viste personalizzate
Anziché accedere alle cartelle zillion dei registri eventi personalizzati e provare a trovare tutto ciò che stai cercando, puoi creare una visualizzazione personalizzata che visualizza solo gli eventi che desideri visualizzare.
Per ottenere risultati ottimali, è necessario filtrare solo le cose specifiche che si desidera visualizzare, probabilmente Critico, Errore e Avviso, quindi selezionare i registri eventi specifici che si desidera vengano esaminati da questa vista. Non selezionare troppi, però, perché non funzionerà.
Dopo aver selezionato ciò che vuoi nella vista, ti verrà chiesto di dare un nome alla vista personalizzata, e quindi puoi usarlo per vedere solo gli eventi per i quali hai filtrato. È un modo incredibilmente efficace per gestire registri di grandi dimensioni pieni di eventi informativi privi di senso.
Forse ancora più semplice, ovviamente, è utilizzare semplicemente la vista Eventi amministrativi integrata, che mostra i messaggi importanti da ciascuno dei registri principali.
Guarda attraverso il registro delle prestazioni di Diagnostica di Windows
Ci sono molti registri interessanti da esaminare durante la risoluzione dei problemi, ma uno dei più interessanti si trova sfogliando le cartelle nel seguente percorso:
Microsoft \ Windows \ Diagnostics-Performance
Ciò si traduce in un registro eventi che mostra tutte le cose che Windows registra internamente per il controllo delle prestazioni - se il tuo computer si avvia più lentamente del normale, Windows di solito ha una voce di registro per esso e spesso elenca il componente che ha causato Windows avvia più lentamente.
Vale la pena notare che solo perché il messaggio mostra un errore non significa che è la fine del mondo, a meno che non si presenti sempre. Allora potresti volerci pensare.
Risolvere quell'errore da prima
Curioso per l'evento nello screenshot precedente dell'articolo? Se viene visualizzato il messaggio "Accesso ai driver su Windows Update bloccato dalle norme", la soluzione è molto semplice. Apri il Pannello di controllo, cerca "driver" e poi scegli Modifica impostazioni di installazione del dispositivo.
Nella schermata successiva noterai che questo particolare computer era impostato per non scaricare automaticamente i driver di dispositivo dall'aggiornamento di Windows. Per risolvere il problema e visualizzare più messaggi nel Visualizzatore eventi, è sufficiente passare il pulsante di opzione su "Sì, fallo automaticamente".
Bello e semplice Problema risolto, messaggio di avviso risolto.
Associazione di attività agli eventi
Se stavi prestando attenzione durante l'ultima lezione di Geek School, potresti ricordare che puoi creare un trigger di Task Scheduler per ID evento e puoi anche fare la stessa cosa andando nella direzione opposta. Fai clic con il pulsante destro del mouse su qualsiasi attività e puoi facilmente allegare un'attività pianificata da eseguire ogni volta che si verifica un evento.
Altre caratteristiche che potrebbero essere necessarie
Event Viewer ha un paio di altre funzionalità che potresti essere interessato a utilizzare. Per la maggior parte delle persone, è sufficiente esaminare l'elenco e sapere cosa cercare.
Le iscrizioni, che si trovano nel menu di sinistra, sono una funzione ampiamente utilizzata in un ambiente aziendale per inoltrare eventi da un server a un altro in modo da poterli gestire tutti in un'unica posizione. Ciò richiede che i servizi di raccolta eventi di Windows e Gestione remota di Windows siano in esecuzione. Per gli utenti domestici, non dovresti scherzare con esso, se non per scopi di apprendimento sul tuo sistema di test.
Se fai clic con il pulsante destro sugli elementi sul lato sinistro, vedrai un sacco di azioni (le stesse di solito si trovano nel riquadro a destra).
È possibile salvare tutti gli eventi in un registro per visualizzarli successivamente o su un altro PC, è possibile copiare una vista o esportarla come file XML da importare su un altro computer.