Jurnalul de evenimente Windows este o caracteristică încorporată a sistemului de operare Microsoft Windows care înregistrează și stochează diverse evenimente de sistem, securitate și aplicații care apar pe un computer.
Aceste evenimente pot include erori, avertismente și mesaje informative. Folosind acest jurnal de evenimente, administratorii pot depana problemele, pot monitoriza starea sistemului și pot urmări activitatea utilizatorului.
Jurnalul de evenimente Windows este organizat în trei categorii principale:
Sistem, aplicație și securitate.
Jurnalul de aplicații conține evenimente legate de aplicații și servicii, în timp ce jurnalul de sistem include evenimente asociate cu componentele și driverele sistemului. Sesiunile de conectare, încercările de conectare nereușite și alte incidente legate de securitate sunt documentate în jurnalul de securitate.
Aceste intrări din jurnalul de evenimente din Windows includ informații detaliate, cum ar fi data și ora la care a avut loc evenimentul, sursa evenimentului și orice coduri de eroare relevante.
Cuprins
Importanța jurnalului de evenimente Windows
Rolul monitorizării jurnalului de evenimente este crucial pentru inginerii de sistem și de rețea, deoarece le permite să rămână informați cu privire la orice probleme, activități ilegale, defecțiuni ale rețelei și alte probleme cheie care ar putea apărea în interiorul unui computer.
Oferă detalii complete despre fiecare eveniment, inclusiv originea, numele de utilizator, nivelul de sensibilitate și alte informații. Aceste informații pot fi foarte utile în identificarea și rezolvarea defecțiunilor structurale, precum și în prognoza provocărilor viitoare pe baza modelelor de date.
Administratorii de rețea pot descoperi și gestiona eficient problemele înainte ca acestea să devină serioase, ținând un ochi pe jurnalele de evenimente. Acest lucru ar putea economisi mult timp și efort atunci când investigați și remediați problema. Acest lucru poate ajuta la garantarea faptului că sistemele continuă să fie sigure, de încredere și să funcționeze la cel mai bun nivel.
Cum se accesează jurnalul de evenimente Windows?
#1. Folosind GUI
Pasul 1 – Deschideți meniul Start și căutați „Event Viewer”.
Pasul 2 – Faceți clic pe aplicația Event Viewer pentru a o deschide.
Pasul 3 – În panoul din stânga, veți vedea o listă cu jurnalele de evenimente. Alegeți opțiunea Jurnale Windows și apoi faceți clic pe jurnalul dorit pentru a vizualiza.
Pasul 4 – În panoul din mijloc, puteți vedea o listă de evenimente pentru jurnalul selectat. Puteți utiliza opțiunile de filtrare din partea dreaptă a ecranului pentru a restrânge evenimentele care vă interesează.
Pasul 5 – Pentru a vizualiza detaliile unui eveniment, faceți dublu clic pe el. Aceasta va deschide caseta de dialog Proprietăți eveniment, care conține informații detaliate despre ID-ul evenimentului, sursa, nivelul de severitate, data și ora, numele de utilizator, numele computerului și descrierea.
Pasul 6 – Puteți utiliza opțiunile de meniu și bara de instrumente din partea de sus a ecranului pentru a efectua diverse acțiuni, cum ar fi salvarea și ștergerea jurnalelor, crearea de vizualizări personalizate și filtrarea evenimentelor.
#2. Folosind promptul de comandă
Puteți accesa jurnalul de evenimente Windows folosind linia de comandă sau PowerShell folosind comanda „wevtutil”. Aici sunt cateva exemple.
- Pentru a afișa toate evenimentele în jurnalul de sistem
wevtutil qe System
- Pentru a afișa evenimentele în jurnalul de aplicații
wevtutil qe Application
Ieșirea poate arăta astfel.
- Pentru a afișa toate evenimentele în jurnalul de securitate
wevtutil qe Security
- Pentru a afișa evenimente dintr-o anumită sursă în jurnalul de sistem.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Aici trebuie să înlocuiți „source_name” cu numele sursei evenimentului pe care doriți să o vizualizați.
- Pentru a exporta evenimente dintr-un jurnal într-un fișier
wevtutil epl System C:LogsSystemLog.evtx
Înlocuiți „System” cu numele jurnalului pe care doriți să-l exportați și „C:LogsSystemLog.evtx” cu calea și numele fișierului în care doriți să salvați jurnalul exportat.
#3. Folosind Run
De asemenea, puteți accesa jurnalul de evenimente Windows folosind caseta de dialog Run din Windows. Iată cum:
Pasul 1 – Apăsați „tasta Windows + R” de pe tastatură pentru a deschide caseta de dialog Run.
Pasul 2 – Tastați „eventvwr.msc” în caseta de dialog Run și apăsați Enter.
Pasul 3 – Utilitarul Event Viewer se va deschide și va afișa fereastra principală a consolei.
Pasul 4 – În fereastra din partea stângă a consolei, puteți extinde folderul „Jurnale Windows” pentru a vedea jurnalele de sistem, aplicație, securitate, configurare și alte jurnale.
Pasul 5 – Faceți clic pe jurnalul pe care doriți să îl vizualizați conținutul în panoul din dreapta. Puteți filtra și sorta evenimentele, precum și să creați vizualizări personalizate și să le salvați pentru utilizare ulterioară.
Când să folosiți aceste jurnale de evenimente?
În general, puteți utiliza jurnalul de evenimente Windows ori de câte ori trebuie să monitorizați, să depanați sau să auditați evenimentele pe un sistem Windows. Iată câteva situații specifice în care l-ați putea folosi.
Monitorizarea sănătății sistemului
Jurnalul de evenimente Windows poate oferi informații valoroase despre erorile de sistem, avertismentele și problemele de performanță, ceea ce vă permite să monitorizați și să mențineți în mod proactiv starea de sănătate a sistemului dumneavoastră.
Depanarea problemelor
Când întâmpinați o problemă pe un sistem Windows, Jurnalul de evenimente poate oferi o indicație a cauzei și vă poate ajuta să diagnosticați problema. Analizând jurnalele de evenimente, puteți identifica cu ușurință cauza principală a unei probleme și puteți lua măsuri pentru a o rezolva.
Auditarea și urmărirea activității utilizatorilor
Jurnalul de securitate din jurnalul de evenimente poate fi folosit pentru a urmări autentificarea utilizatorilor, deconectarea, încercările eșuate de conectare și alte evenimente legate de securitate, care vă pot ajuta să identificați potențialele amenințări de securitate și să luați măsurile adecvate.
Raportarea conformității
Multe cadre de reglementare, cum ar fi HIPAA, PCI-DSS și GDPR, solicită organizațiilor să mențină jurnalele de evenimente și să furnizeze rapoarte regulate. Jurnalul de evenimente Windows poate fi utilizat pentru a îndeplini aceste cerințe de conformitate.
Cum să citești aceste jurnale de evenimente?
Poate fi puțin dificil să citiți jurnalul de evenimente Windows la început, dar cu suficientă practică și familiaritate, devine mai ușor să înțelegeți datele pe care le furnizează. Iată câțiva pași generali de urmat atunci când citiți jurnalul de evenimente Windows.
#1. Deschideți jurnalul de evenimente
Primul pas este să deschideți jurnalul de evenimente. Îl puteți accesa folosind oricare dintre metodele menționate mai sus.
#2. Navigați la jurnalul corespunzător
Există mai multe jurnale în Vizualizatorul de evenimente, inclusiv jurnalele de aplicație, sistem, securitate și configurare. Fiecare jurnal conține diferite tipuri de evenimente. Selectați jurnalul care conține evenimentele pe care doriți să le vizualizați.
#3. Filtrați evenimentul
Puteți filtra evenimentele după nivelul de severitate, sursa evenimentului, intervalul de date și alte criterii. Acest lucru vă poate ajuta să restrângeți evenimentele care vă interesează.
#4. Vedeți detaliile evenimentului
Examinați cu atenție fiecare eveniment pentru a vedea detaliile acestuia, inclusiv ID-ul evenimentului, sursa, nivelul de severitate, data și ora, numele de utilizator, numele computerului și descrierea. Aceste informații vă pot ajuta să identificați cauza evenimentului și să luați măsurile adecvate.
#5. Utilizați proprietățile evenimentului
Multe evenimente au proprietăți suplimentare care oferă mai multe informații despre eveniment.
De exemplu, un eveniment de securitate poate avea proprietăți precum tipul de conectare, procesul de conectare și pachetul de autentificare. Aceste proprietăți vă pot ajuta să înțelegeți contextul evenimentului și semnificația acestuia.
#5. Analizați tiparele
Încercați întotdeauna să căutați modele în evenimente pentru a identifica probleme sau tendințe recurente. De exemplu, dacă vedeți o serie de erori de disc, ar putea indica o problemă cu hardware-ul sau configurația discului.
Niveluri de severitate a evenimentelor Windows
Jurnalul de evenimente Windows utilizează niveluri de severitate pentru a clasifica evenimentele în funcție de importanța sau impactul lor asupra sistemului. Există cinci niveluri de severitate în jurnalul de evenimente Windows, enumerate mai jos de la cea mai mare la cea mai mică severitate:
- Critic: acest nivel de severitate este rezervat evenimentelor care indică o defecțiune critică a sistemului sau a aplicației care necesită atenție imediată. Exemplele includ blocări ale sistemului, defecțiuni majore de hardware și erori critice ale aplicațiilor.
- Eroare: este folosit pentru evenimente care indică o problemă gravă care necesită atenție, dar nu neapărat acțiune imediată. Câteva exemple comune sunt blocările aplicațiilor, erorile de conectivitate la rețea și erorile de disc.
- Avertisment: indică o problemă potențială pe care administratorii de sistem ar trebui să o supravegheze, inclusiv avertismentele privind spațiul redus pe disc și încălcările politicii de securitate.
- Verbos: este folosit pentru evenimente care oferă informații detaliate despre activitatea sistemului sau a aplicației, de obicei în scopuri de depanare sau depanare.
- Informații: Arată că totul a decurs bine. Aproape toate jurnalele includ evenimente informaționale.
Aceste niveluri de severitate permit administratorilor și analiștilor de sistem să identifice rapid problemele critice care necesită atenție și să prioritizeze răspunsul în consecință.
Concluzie ✍️
Sper că ați găsit acest articol util pentru a afla despre jurnalul de evenimente Windows și importanța acestuia. Ați putea fi, de asemenea, interesat să aflați despre diferitele modalități de a recupera datele șterse în Windows 11.