I denne vejledning vil vi demonstrere, hvordan du bruger Windows Event Viewer til at se Windows-logfilerne og filtrere dem efter forskellige kriterier.
Forudsætninger:
For at udføre de trin, der er vist i denne vejledning, skal du bruge følgende komponenter:
- Et korrekt konfigureret Windows 10/11-system. For at teste, tjek hvordan du opsætter en Windows VM ved hjælp af VirtualBox.
- Admin adgang
Event Viewer på Windows
Som standard sender forskellige apps (og dele af operativsystemet) en meddelelse til operativsystemet for en bestemt aktivitet, såsom driverfejl, sikkerhedsopdateringer, hardwarefejl og mere. Event Viewer er en dedikeret app, der samler disse meddelelser og fungerer som hub for logning.
Med administratorrettigheder kan Event Viewer vise alle større begivenheder, der sker i systemet. Det kan være utroligt nyttigt til debugging formål.
Event Viewer har også kraftfulde filtreringsfunktioner, der kan vise systemaktiviteten på et bestemt tidspunkt, udløst af et bestemt program, udløserens sværhedsgrad og mere.
Start af Event Viewer
Skriv 'Event Viewer' fra startmenuen.
Alternativt kan du køre følgende nøgleord fra vinduet 'Kør':
$ eventvwr
Hovedvinduet vil præsentere dig med en oversigt over alle systemaktiviteter.
Event Viewer UI
På venstre panel er logfilerne sorteret i forskellige kategorier.
Vælg f.eks. underkategorien 'Windows-logfiler' for at se en oversigt over logfiler fra Windows- og Windows-apps.
For at se de logfiler, der er genereret af alle Microsoft-produkter, skal du gå til 'Programmer og tjenester-logfiler' >> 'Microsoft'.
Visning af logs
I det følgende eksempel vil vi se på de logfiler, der genereres af Windows PowerShell. Fra venstre panel skal du gå til 'Programmer og tjenester-logfiler' >> 'Windows PowerShell'.
Her kan vi se alle de hændelser, der udløses af PowerShell. I vores tilfælde har Event Viewer logget omkring 10.000 PowerShell-begivenheder. Hver log repræsenterer en hændelse.
Du kan se logoplysningerne, når du vælger en log.
For mere dybdegående detaljer, gå til fanen 'Detaljer'.
Filtrering af hændelsesloggene
I stedet for at gennemse logfilerne uden formål, kan vi bruge Event Viewer til at anvende visse filtre for at få et mere præcist billede. Det kan være utrolig nyttigt, når du forsøger at fejlfinde et eller andet problem, det være sig et hardwareproblem, et driverproblem eller en softwarefejl.
For at oprette et nyt filter skal du vælge 'Create Custom View' fra højre panel.
Vi kan anvende forskellige filtre i det nye vindue.
Her:
- Logget : Event Viewer er vært for logfiler siden installationen af operativsystemet. At søge gennem dem alle er i de fleste situationer ikke optimalt. Ved at bruge dette filter kan vi begrænse omfanget af søgningen efter tid.
- Hændelsesniveau : Når en hændelse er registreret, tildeles den et alvorlighedsniveau. Der er fem typer hændelser: Kritisk, Fejl, Advarsel, Information og Udførlig.
- Ved log : Begræns omfanget af søgningen efter træ.
- Efter kilde : Begræns omfanget af søgningen efter kilden til hændelsesudløseren. Hændelsesudløserne kan være forskellige apparater i operativsystemet eller et hvilket som helst installeret program.
For at angive alle hændelser, der udløses af PowerShell, ser den tilpassede visningsformular således ud:
Som standard tilbyder Event Viewer at gemme det nyoprettede filter som en brugerdefineret visning.
Resultatet skulle se sådan ud:
Sikkerhedskopiering af loggene
Event Viewer kan også eksportere hændelseslogfilerne. Det kan være nyttigt til fejlretning eller sikkerhedskopiering af vigtige logfiler til senere.
I dette eksempel vil vi oprette en sikkerhedskopi af 'Windows PowerShell'-logfilerne.
Fra venstre panel skal du vælge 'Windows PowerShell', højreklikke på den og vælge 'Gem alle hændelser som'.
Du bliver bedt om at vælge den placering, hvor backupfilen er gemt.
Til sidst vil Event Viewer spørge, om du vil gemme de ekstra visningsoplysninger sammen med filen. Det anbefales at inkludere dem, så logfilerne kan arbejdes med på enhver anden computer. Men kun til sikkerhedskopieringsformål vil du måske undgå det for at reducere filstørrelsen.
Hvis du vælger at inkludere de yderligere visningsdata, opretter Event Viewer en ekstra 'LocaleMetaData'-mappe.
Import af logfiler
Vi har nu lært, hvordan man sikkerhedskopierer hændelsesloggene med succes. Nu skal vi lære at importere dem, når det er nødvendigt.
For at importere logfilerne fra en Event Viewer backup-fil, gå til Handling >> Åbn gemt log fra hovedvinduet.
Søg nu efter backupfilen.
Du kan bestemme navnet på log-dumpen, og hvor den skal gemmes. Som standard placerer Event Viewer dem under 'Gemte logfiler'.
De importerede logfiler skulle være tilgængelige under 'Gemte logfiler'.
Rydning af logfiler
Event Viewer har indsamlet logs siden installationen af operativsystemet. Hvis der er tid nok, vil et stort antal logfiler akkumuleres. Event Viewer tillader også at rydde alle de logfiler, der i øjeblikket er akkumuleret. Denne handling kan dog kræve et administratorprivilegium.
For at rydde logfilerne skal du vælge en underkategori fra venstre panel og vælge 'Ryd log'.
Event Viewer kaster en advarsel, før den beslutter sig for at rydde logfilerne.
Resultatet skulle se sådan ud:
Konklusion
I denne vejledning demonstrerede vi, hvordan du bruger Event Viewer til at se Windows-hændelseslogfilerne igennem. Vi lærte også, hvordan man navigerer gennem loggene, anvender de tilpassede filtre, sikkerhedskopierer og importerer loggene osv.
God computer!