ในคู่มือนี้ เราจะสาธิตวิธีใช้ Windows Event Viewer เพื่อดูบันทึก Windows และกรองตามเกณฑ์ต่างๆ
ข้อกำหนดเบื้องต้น:
เพื่อดำเนินการตามขั้นตอนที่แสดงให้เห็นในคู่มือนี้ คุณต้องมีส่วนประกอบต่อไปนี้:
- ระบบ Windows 10/11 ที่กำหนดค่าอย่างเหมาะสม สำหรับการทดสอบ โปรดดูวิธีตั้งค่า Windows VM โดยใช้ VirtualBox
- การเข้าถึงของผู้ดูแลระบบ
โปรแกรมดูเหตุการณ์บน Windows
ตามค่าเริ่มต้น แอพต่างๆ (และบางส่วนของระบบปฏิบัติการ) จะส่งการแจ้งเตือนไปยังระบบปฏิบัติการสำหรับกิจกรรมเฉพาะ เช่น ลักษณะเฉพาะของไดรเวอร์ การอัปเดตความปลอดภัย ความล้มเหลวของฮาร์ดแวร์ และอื่นๆ Event Viewer เป็นแอปเฉพาะที่รวบรวมการแจ้งเตือนเหล่านี้และทำหน้าที่เป็นศูนย์กลางสำหรับการบันทึก
ด้วยสิทธิ์ของผู้ดูแลระบบ Event Viewer สามารถแสดงเหตุการณ์สำคัญทุกเหตุการณ์ที่เกิดขึ้นในระบบได้ มันมีประโยชน์อย่างเหลือเชื่อสำหรับวัตถุประสงค์ในการแก้ไขจุดบกพร่อง
Event Viewer ยังมีความสามารถในการกรองอันทรงพลังที่สามารถแสดงกิจกรรมของระบบ ณ เวลาหนึ่ง ซึ่งถูกกระตุ้นโดยโปรแกรมบางตัว ความรุนแรงของทริกเกอร์ และอื่นๆ
การเปิดตัวแสดงเหตุการณ์
พิมพ์ “Event Viewer” จากเมนูเริ่ม
หรือเรียกใช้คำหลักต่อไปนี้จากหน้าต่าง 'Run':
$ เหตุการณ์vwr
หน้าต่างหลักจะแสดงสรุปกิจกรรมของระบบทั้งหมดให้คุณทราบ
UI ตัวแสดงเหตุการณ์
ที่แผงด้านซ้าย บันทึกจะถูกจัดเรียงเป็นหมวดหมู่ต่างๆ
ตัวอย่างเช่น เลือกหมวดหมู่ย่อย 'บันทึกของ Windows' เพื่อดูสรุปบันทึกตามแอป Windows และ Windows
หากต้องการดูบันทึกที่สร้างโดยผลิตภัณฑ์ Microsoft ทั้งหมด ให้ไปที่ 'บันทึกแอปพลิเคชันและบริการ' >> 'Microsoft'
การดูบันทึก
ในตัวอย่างต่อไปนี้ เราจะดูบันทึกที่สร้างขึ้นโดย Windows PowerShell จากแผงด้านซ้าย ไปที่ 'บันทึกแอปพลิเคชันและบริการ' >> 'Windows PowerShell'
ที่นี่เราจะเห็นเหตุการณ์ทั้งหมดที่ PowerShell เรียกใช้ ในกรณีของเรา Event Viewer ได้บันทึกเหตุการณ์ PowerShell ประมาณ 10,000 รายการ แต่ละบันทึกแสดงถึงกิจกรรม
คุณสามารถดูรายละเอียดบันทึกได้เมื่อเลือกบันทึก
หากต้องการรายละเอียดเชิงลึกเพิ่มเติม โปรดไปที่แท็บ 'รายละเอียด'
การกรองบันทึกเหตุการณ์
แทนที่จะเรียกดูบันทึกอย่างไร้จุดหมาย เราสามารถใช้ Event Viewer เพื่อใช้ตัวกรองบางตัวเพื่อให้ได้ภาพที่แม่นยำยิ่งขึ้น มันมีประโยชน์อย่างเหลือเชื่อเมื่อใดก็ตามที่คุณพยายามแก้ไขจุดบกพร่องบางปัญหา ไม่ว่าจะเป็นปัญหาฮาร์ดแวร์ ปัญหาไดรเวอร์ หรือข้อบกพร่องของซอฟต์แวร์
หากต้องการสร้างตัวกรองใหม่ ให้เลือก 'สร้างมุมมองที่กำหนดเอง' จากแผงด้านขวา
เราสามารถใช้ตัวกรองต่าง ๆ ในหน้าต่างใหม่ได้
ที่นี่:
- เข้าสู่ระบบ : Event Viewer บันทึกโฮสต์ตั้งแต่การติดตั้งระบบปฏิบัติการ ในสถานการณ์ส่วนใหญ่การค้นหาทั้งหมดนั้นไม่เหมาะสมที่สุด การใช้ตัวกรองนี้ทำให้เราสามารถจำกัดขอบเขตการค้นหาตามเวลาได้
- ระดับเหตุการณ์ : เมื่อใดก็ตามที่มีการลงทะเบียนกิจกรรม ระบบจะกำหนดระดับความรุนแรง เหตุการณ์มีห้าประเภท: วิกฤติ ข้อผิดพลาด คำเตือน ข้อมูล และรายละเอียด
- โดยบันทึก : จำกัดขอบเขตการค้นหาตามแผนผัง
- ตามแหล่งที่มา : จำกัดขอบเขตการค้นหาตามแหล่งที่มาของทริกเกอร์เหตุการณ์ ทริกเกอร์เหตุการณ์อาจเป็นอุปกรณ์ต่างๆ ของระบบปฏิบัติการหรือโปรแกรมที่ติดตั้งไว้
ตัวอย่างเช่น หากต้องการแสดงรายการเหตุการณ์ทั้งหมดที่ PowerShell ทริกเกอร์ แบบฟอร์มมุมมองแบบกำหนดเองจะมีลักษณะดังนี้:
ตามค่าเริ่มต้น ตัวแสดงเหตุการณ์จะเสนอให้บันทึกตัวกรองที่สร้างขึ้นใหม่เป็นมุมมองแบบกำหนดเอง
ผลลัพธ์ควรมีลักษณะดังนี้:
การสำรองข้อมูลบันทึก
Event Viewer ยังสามารถส่งออกบันทึกเหตุการณ์ได้ อาจมีประโยชน์สำหรับการดีบักหรือสำรองบันทึกที่สำคัญไว้ใช้ในภายหลัง
ในตัวอย่างนี้ เราจะสร้างการสำรองข้อมูลบันทึก “Windows PowerShell”
จากแผงด้านซ้าย ให้เลือก “Windows PowerShell” คลิกขวาที่มัน แล้วเลือก “บันทึกกิจกรรมทั้งหมดเป็น”
คุณจะได้รับแจ้งให้เลือกตำแหน่งที่เก็บไฟล์สำรอง
สุดท้าย Event Viewer จะถามว่าคุณต้องการจัดเก็บข้อมูลการแสดงผลเพิ่มเติมพร้อมกับไฟล์หรือไม่ ขอแนะนำให้รวมไว้เพื่อให้สามารถทำงานร่วมกับบันทึกบนคอมพิวเตอร์เครื่องอื่นได้ อย่างไรก็ตาม เพื่อวัตถุประสงค์ในการสำรองข้อมูลเท่านั้น คุณอาจต้องการหลีกเลี่ยงเพื่อลดขนาดไฟล์
หากคุณเลือกที่จะรวมข้อมูลที่แสดงเพิ่มเติม Event Viewer จะสร้างไดเร็กทอรี 'LocaleMetaData' เพิ่มเติม
การนำเข้าบันทึก
ตอนนี้เราได้เรียนรู้วิธีการสำรองข้อมูลบันทึกเหตุการณ์เรียบร้อยแล้ว ตอนนี้ เราต้องเรียนรู้วิธีนำเข้าเมื่อจำเป็น
หากต้องการนำเข้าบันทึกจากไฟล์สำรองข้อมูล Event Viewer ให้ไปที่การดำเนินการ >> เปิดบันทึกที่บันทึกไว้จากหน้าต่างหลัก
ตอนนี้เรียกดูไฟล์สำรอง
คุณสามารถเลือกชื่อของดัมพ์บันทึกและตำแหน่งที่จะจัดเก็บได้ ตามค่าเริ่มต้น Event Viewer จะวางไว้ใต้ 'บันทึกที่บันทึกไว้'
บันทึกที่นำเข้าควรมีอยู่ภายใต้ 'บันทึกที่บันทึกไว้'
การล้างบันทึก
Event Viewer ได้รวบรวมบันทึกตั้งแต่การติดตั้งระบบปฏิบัติการ เมื่อมีเวลาเพียงพอ บันทึกจำนวนมากก็จะสะสม Event Viewer ยังช่วยให้สามารถล้างบันทึกทั้งหมดที่สะสมอยู่ในปัจจุบันได้ อย่างไรก็ตาม การดำเนินการนี้อาจต้องใช้สิทธิ์ของผู้ดูแลระบบ
หากต้องการล้างบันทึก ให้เลือกหมวดหมู่ย่อยจากแผงด้านซ้ายและเลือก 'ล้างบันทึก'
ตัวแสดงเหตุการณ์จะส่งคำเตือนก่อนที่จะตัดสินใจล้างบันทึก
ผลลัพธ์ควรมีลักษณะดังนี้:
บทสรุป
ในคู่มือนี้ เราได้สาธิตวิธีใช้ Event Viewer เพื่อดูบันทึกเหตุการณ์ของ Windows นอกจากนี้เรายังได้เรียนรู้วิธีนำทางผ่านบันทึก ใช้ตัวกรองที่กำหนดเอง สำรองและนำเข้าบันทึก ฯลฯ
มีความสุขในการใช้คอมพิวเตอร์!