Embedded Files
Dziennik zdarzeń to funkcja w systemie Windows do rejestrowania błędów występujących w systemie Windows, dzięki czemu możemy je analizować w celu rozwiązania istotnych problemów w systemie. System Windows monitoruje wszystkie zdarzenia i zapisuje je w dziennikach zdarzeń. Mogą to być błędy instalacji oprogramowania, błędy aplikacji działających w systemie, błędy sprzętowe. Wiec, jeśli mamy jakiś istotny problem w Windows, nie działa coś prawidłowo, otrzymujemy komunikaty błędów, to by dowiedzieć się czegoś więcej o tym problemie, czy problemach możemy przejrzeć "Dziennik zdarzeń" lub udostępnić jego zawartość komuś, kto go przejrzy i będzie w stanie udzielić nam pomocy. Tutaj przedstawię jak otwierać dzienni zdarzeń, przeglądać go i zapisywać raporty w celu udostępnienia osobie, która może je przeanalizować, jeśli nie posiadamy stosownej wiedzy jak z danym problemem sobie poradzić lub gdy chcemy skonsultować problem z inna osoba czy na forum komputerowym.
Na początek pokaże jak uruchomić podgląd "Dziennika Zdarzeń" w Windows 10. Możemy zrobić to na trzy sposoby. Pierwszy to klikniecie prawym przyciskiem myszki na ikonę "Start" na pasku systemowym i wybranie opcji "Zarządzanie komputerem".
Po wybraniu opcji pokaże się nam okno "Zarządzania komputerem", gdzie mamy podgląd systemowych "Dzienników zdarzeń" po prawej stronie okna, by zobaczyć wszystkie dzienniki, należy rozwinąć och listę. Po lewej stronie na górze okna mamy listę występujących zarejestrowanych problemów w systemie w poglądzie danego dziennika. W przykładzie wybrałem podgląd zdarzeń administracyjnych. Na dole okna znajduje się szczegółowy opis danego zdarzenia.
Aby zapisać dany dziennik podglądu zadaszeń, wybieramy go z listy, w przykładzie jest to "Zdarzenia administracyjne" i "System", klikamy na dany dziennik p. p. myszki i wybieramy opcje "Zapisz wszystkie zdarzenia w widoku niestandardowym jako..." lub w przypadku tylko danego dziennika "Zapisz wszystkie zdarzenia jako".
Dalej określamy lokalizację zapisania dziennika zdarzeń i w dalszym kroku pokaże się okno, gdzie trzeba zaznaczyć jeżyk Polski w celu poprawnego wyświetlania dziennika na innych komputerach. Do dziennika zdarzeń zostaną dołączone językowe informacje o wyświetlaniu.
Zapisany dziennik możemy, jeśli chcemy go udostępnić komuś bardziej doświadczonemu do analizy to najlepiej tak zapisany dzienni zdarzeń spakować jakimś programem do archiwizacji, w naszym przykładzie posłużyłem się programem "Bandizip". Spakowany dzienni udostępniamy, umieszczając go, najlepiej na własnym dysku w chmurze, skąd możemy go udostępnić lub wgrać archiwum na jakiś serwer hostingowy jak np. "EasyPaste.org" czy "megawrzuta.pl" itp. Następnie udostępniamy na forum czy znajomemu link do pobrania pliku w celu analizy.
Zapisane dzienniki przeglądamy w sekcji "Zarządzanie komputerem", tam możemy wczytać dany dziennik zdarzeń. Jeśli jest on zarchiwizowany, to uprzednio musimy go wypakować. Dziennik otwieramy po prawej stronie okna "Zarządzanie komputerem" opcją "Otwórz zapisany dziennik...". Otwarty dziennik od razu pokaże się także po lewej stronie okna "Zarządzanie komputerem" w sekcji "Zapisane dzienniki". Gdy będziemy chcieli podejrzeć następnym razem dany dziennik, nie musimy go wczytywać ponownie, wystarczy go otworzyć z sekcji "Zapisane dzienniki". Oczywiście opcja ta działa, dopóki nie usuniemy danego dziennika. Po usunięciu dziennika pozostaje on jednak na liście i jego podgląd zwróci błąd. Należy wtedy wyczyścić ręcznie listę "zapisane dzienniki z nieistniejących danych przez opcje "Usuń" dostępną po prawej stronie okna "Zarządzanie systemem" lub przez klikniecie p. p. myszki i wygranie opcji usuwania. Wybrany "Dziennik zdarzeń możemy także zapisać przez opcje dostępna po prawej stronie okna, alternatywnie do kliknięcia prawym przyciskiem myszy na dany dziennik i wywołanie memu kontekstowego gdzie jest dostępna omówiona wyżej opcja zapisania dziennika.
Podgląd dziennika zdarzeń możemy też otworzyć, przez klikniecie lupkę na pasku systemowym, czy na pole wyszukiwania na nim i przez wpisanie w nim "eventvwr.msc" lub nawet samo słowo "eve". Trzeci sposób otwarcia poglądu to przejście do "Panel Sterownia" i wybranie tam opcji "Zarządzania komputerem", dalej "Narzędzia administracyjne" i "Wyświetl dzienniki zdarzeń". Ostatnim sposobem otwarcia "Podglądu zdarzeń", jest to opcja, użycia narzędzia uruchom, które w Windows 10 wywołamy skrótem klawiszy "Win + R". Opisane tutaj sposoby przez "Panel sterowania" czy przez wyszukiwanie można też zastosować w innych systemach Windows.
Tutaj jeszcze omówię skrótowo jak uruchomić "Podgląd zdarzeń" w innych systemach Windows. Na początek zacznę od Windows XP i po kolei pozostałe wersje tego systemu. Są to sposoby dostania się do dziennika na piechotę poza tymi uniwersalnymi opisanymi wyżej, jak wpisanie w pole szukania czy "Uruchom... " komendy "eventvwr.msc".
XP
XP
Menu Start >> Panel sterowania >> Wydajność i konserwacja >> Narzędzia administracyjne >> Zarządzanie komputerem
Vista
Vista
Menu Start >> Panel sterowania >> System i Utrzymanie >> Narzędzia administracyjne >> Podgląd zdarzeń
8 / 8.1
8 / 8.1
Naciskamy kombinacje klawiszy "Win + W”, wyświetli się pole wyszukiwania, wpisujemy w nie "dziennik zdarzeń”, wybierzmy z listy "Wyświetl dzienniki zdarzeń"
Kolejnym sposobem jest uruchomienie "Eksploratora Windows", czyli musimy wpierw wejść w "komputer", potem w oknie "Eksploratora Windows" w pasku narzędziowym zobaczymy opcje "Zarządzaj", po wejściu w nią przechodzimy już do "Zarządzania komputerem", gdzie mamy podgląd "Dziennika zdarzeń".
Udostępnianie dzienników zdarzeń do analizy bez uprzedniego zapisywania go
Udostępnianie dzienników zdarzeń do analizy bez uprzedniego zapisywania go
Zapisane dzienniki zdarzeń jak już wyżej wspomniałem, możemy udostępnić do analizy. Jest też sposób by szybko udostępnić wszystkie dzienniki zdarzeń . Każdy Windows przechowuje je w odpowiednim katalogu. Należy się do niego dostać, spakować go i wysłać do analizy jak wyżej już pokazałem. Windows XP dzienniki przechowuje w katalogu:
C:\\WINDOWS\\system32\\config
Występuje on tam w postaci rozszerzenia ".EVT".W Windows Vista / 7/ 8 / 8.1 / 10 dziennik jest przechowywany w katalogu:
C:\\WINDOWS\\system32\\winevt\\Logs
Zapisane są one z kolei pod postacią rozszerzenia ".EVTX ". Można spakować cały folder "Logs" i udostępnić go do analizy lub wybrać wybrane dzienniki tylko do udostępnienia. Po pobraniu "Dziennika zdarzeń" nadal trzeba go podpiąć w celu analizy po wypakowaniu do poglądu zdarzeń w systemie sprawdzającego, po wskazaniu ścieżki dostępu do wypakowanego dziennika.
Alternatywna aplikacja dla systemowego podglądu zdarzeń
Alternatywna aplikacja dla systemowego podglądu zdarzeń
Alternatywnym programem do podglądu dzienników zdarzeń jest "MyEventViewer" od NirSoft. Jest prosta alternatywa dla standardowej przeglądarki zdarzeń systemu Windows. W przeciwieństwie do systemowego podglądu zdarzeń "MyEventViewer" pozwala oglądać wiele dzienników zdarzeń na jednej liście, też opis danego zdarzenia i dane są wyświetlane w głównym oknie. Za pomocą "MyEventViewer" można łatwo wybrać wiele elementów dziennika zdarzeń, a następnie zapisać je w pliku HTML / Text / XML lub skopiować je do schowka (Ctrl + C), a następnie wkleić do Excela.To narzędzie działa w systemach Windows 2000, Windows XP, Windows 2003 Server, Windows Vista, Windows 7/2008, Windows 8 i Windows 10. Aplikacja nie wymaga instalacji, wystarczy tylko ja uruchomić. Aplikacja potrafi także odczytać zewnętrzne pliki dziennika, niepochodzące z komputera, na którym jest uruchomiona, ale wymagana jest obsługa z Wiersza poleceń. Składnia polecenia:
- MyEventViewer.exe /LoadFiles "ścieżka do pliku dziennika" "typ dziennika"
- MyEventViewer.exe / LoadFiles "c: \ temp \ app.evt" "Aplikacja"
- MyEventViewer.exe / LoadFiles "c: \ temp \ sec.evt" "Zabezpieczenia" "c: \ temp \ app.evt" " Aplikacja "
- MyEventViewer.exe / shtml" c: \ temp \ events1.html "/ LoadFiles" c: \ temp \ sec.evt "" Zabezpieczenia "" c: \ temp \ app.evt "" Aplikacja "
"MyEventViewer" umożliwia podłączenie innego komputera w sieci. Ta funkcja działa jednak tylko wtedy, gdy masz pełny dostęp do konta administratora komputera, z którym chcesz się połączyć. Aby wyświetlić zdarzenia ze zdalnego komputera, należy uruchomić "MyEventViewer" z opcją " / remote " i podać nazwę komputera, na przykład:
MyEventViewer.exe / remote \\ MyComputerName
MyEventViewer.exe / remote \\ 192.168.0.1
Uwaga: w systemie Windows 10/8/7 / Vista zaleca się korzystanie z nowego narzędzia FullEventLogView, który pokazuje wszystkie nowe dzienniki zdarzeń dodane od systemu Windows Vista.
Czyszczenie dzienników zdarzeń
Czyszczenie dzienników zdarzeń
Aby wyczyścić dziennik zdarzeń, trzeba się zastosować do tego sposobu, nie da się to zrobić z poziomu jego poglądu w systemie Windows. Najlepiej zrobić to odpowiednią komendą w "PowerShell". Tą metodą możemy usunąć pojedynczy dziennik czy wyczyścić całkowicie wszystkie wpisy w "Dzienniku zdarzeń". Na początek musimy uruchomić "PowerShell" w systemie, aby to zrobić, wystarczy w pole wyszukiwania w Windows wpisać "powershell" lub samo "power" i uruchomić znaleziona aplikacje na liście. Można też uruchomić "PowerShell" na piechotę, czyli :
Start >> Windows PowerShell >> PowerShell
PowerShell można także uruchomić z poziomu "Wiersza poleceń, "Wiersz poleceń" uruchamiamy, wpisując "cmd" w pole wyszukiwania na pasku systemowym lub na piechotę:
Start >> System >> Wiersz poleceń
W "Wierszu poleceń" należy wpisać komendę "PowerShell" by przejść do niego. "PowerShell" to bardziej rozbudowany "CMD" . Metoda czyszczenia dziennika zdarzeń przez "PowerShell" dział tylko w systemach Windows XP SP 2 i SP 3 / 7 / 8 / 8.1 / 10. "CMD" i "PowerShell uruchamiamy jako administrator. Żeby zobaczyć podgląd wszystkich dzienników zdarzeń, wpisujemy komendę i zatwierdzamy klawiszem "Enter":
- wevtutil el
Aby usunąć wybrany dziennik zdarzeń, musimy użyć komendy:
- wevtutil cl nazwa dziennika
Czyli np. usuniemy dziennik "System":
- wevtutil cl System
Jeśli chcemy usunąć wszystkie dzienniki zdarzeń, to wpisujemy polecenie:
- wevtutil el | Foreach-Object {wevtutil cl "$_"}
Alternatywnie jeszcze możemy wyczyścić dziennik zdarzeń w systemie przez program "FRST" tworząc odpowiedni skrypt, który zawiera komendę usuwania dziennika. Do skryptu wklejamy komendy jak wyżej. Może się zdarzyć, że nie uda nam się usunąć dzienników zdarzeń, otrzymamy odmowę dostępu, wtedy najlepiej przeprowadzić operację w trybie awaryjnym systemu czy usunąć dzienniki przez skrypt do aplikacji "FRST".
Artykuł opracował Andrzej Świech ( Illidan ) ©® 15.01.2019.
Kopiowanie i rozpowszechnianie bez zgody zabronione. Możliwe linkowanie do artykułu.
Google Sites
Report abuse