Trang chủ » trường học » Sử dụng Trình xem sự kiện để khắc phục sự cố

    Sử dụng Trình xem sự kiện để khắc phục sự cố


    Trong phiên bản ngày nay của Trường Geek, chúng tôi sẽ hướng dẫn bạn cách sử dụng Trình xem sự kiện để khắc phục sự cố trên PC của bạn và hiểu những gì đang diễn ra dưới mui xe.

    CHUYỂN ĐỔI TRƯỜNG
    1. Sử dụng Trình lập lịch tác vụ để chạy các quy trình sau
    2. Sử dụng Trình xem sự kiện để khắc phục sự cố
    3. Hiểu phân vùng ổ cứng với quản lý đĩa
    4. Học cách sử dụng Registry Editor Like Pro
    5. Giám sát PC của bạn với Trình giám sát tài nguyên và Trình quản lý tác vụ
    6. Hiểu bảng thuộc tính hệ thống nâng cao
    7. Hiểu và quản lý các dịch vụ Windows
    8. Sử dụng Trình chỉnh sửa chính sách nhóm để tinh chỉnh PC của bạn
    9. Hiểu các công cụ quản trị Windows

    Vấn đề lớn nhất với Event Viewer là nó có thể thực sự khó hiểu - có rất nhiều cảnh báo, lỗi và thông báo và không biết ý nghĩa của nó là gì, bạn có thể cho rằng (không chính xác) rằng máy tính của bạn bị hỏng hoặc bị nhiễm khi có không có gì thực sự sai.

    Trên thực tế, những kẻ lừa đảo hỗ trợ công nghệ đang sử dụng Event Viewer như một phần trong chiến thuật bán hàng của họ để thuyết phục người dùng nhầm lẫn rằng PC của họ bị nhiễm virus. Họ hướng dẫn bạn qua việc lọc chỉ bằng các lỗi nghiêm trọng và sau đó hành động ngạc nhiên rằng tất cả những gì bạn đang thấy là các lỗi nghiêm trọng.

    Tìm hiểu cách sử dụng và hiểu Trình xem sự kiện là một kỹ năng quan trọng để tìm hiểu điều gì đang xảy ra với PC và khắc phục sự cố.

    Hiểu giao diện

    Khi bạn lần đầu mở Trình xem sự kiện, bạn sẽ thấy nó sử dụng cấu hình ba ngăn như nhiều công cụ quản trị khác trong Windows, mặc dù trong trường hợp này, thực sự có khá nhiều công cụ hữu ích ở phía bên phải.

    Ngăn bên trái hiển thị chế độ xem thư mục, nơi bạn có thể tìm thấy tất cả các nhật ký sự kiện khác nhau, cũng như các chế độ xem có thể được tùy chỉnh với các sự kiện từ nhiều nhật ký cùng một lúc. Chẳng hạn, chế độ xem Sự kiện Quản trị trong các phiên bản gần đây của Windows sẽ hiển thị tất cả các sự kiện Lỗi, Cảnh báo và Quan trọng cho dù chúng có nguồn gốc từ Nhật ký ứng dụng hoặc Nhật ký hệ thống.

    Ngăn giữa hiển thị danh sách các sự kiện và nhấp vào chúng sẽ hiển thị chi tiết trong khung xem trước - hoặc bạn có thể nhấp đúp vào bất kỳ sự kiện nào để kéo nó lên trong một cửa sổ riêng biệt, có thể thuận tiện khi bạn xem qua một tập hợp lớn các sự kiện và muốn tìm tất cả những điều quan trọng trước khi bắt đầu tìm kiếm trên internet.

    Ngăn bên phải cho phép bạn truy cập nhanh vào các hành động như tạo chế độ xem tùy chỉnh, lọc hoặc thậm chí tạo tác vụ theo lịch dựa trên một sự kiện cụ thể.

    Tất nhiên, chính các sự kiện là những gì chúng ta đang cố gắng xem, và tính hữu dụng của chúng có thể bao gồm từ những điều thực sự cụ thể và rõ ràng mà bạn có thể khắc phục dễ dàng với những thông điệp rất mơ hồ không có ý nghĩa gì và bạn không thể tìm thấy bất kỳ thông tin trên Google. Các trường thông thường trên màn hình chứa:

    • Tên đăng nhập - trong khi ở các phiên bản Windows cũ hơn, mọi thứ đều được đưa vào Nhật ký ứng dụng hoặc hệ thống, trong các phiên bản hiện đại hơn có hàng chục hoặc hàng trăm nhật ký khác nhau để lựa chọn. Mỗi thành phần Windows rất có thể sẽ có nhật ký riêng.
    • Nguồn - đây là tên của phần mềm tạo ra sự kiện nhật ký. Tên thường không khớp trực tiếp với tên tệp, tất nhiên, nhưng nó là đại diện cho thành phần nào đã làm điều đó.
    • ID sự kiện - ID sự kiện quan trọng thực sự có thể gây nhầm lẫn một chút. Nếu bạn đã đến Google cho sự kiện ID 122, mà bạn thấy trong ảnh chụp màn hình tiếp theo, bạn sẽ không có thông tin rất hữu ích trừ khi bạn cũng bao gồm Nguồn hoặc tên ứng dụng. Điều này là do mọi ứng dụng có thể xác định ID sự kiện duy nhất của riêng họ.
    • Cấp độ - Điều này cho bạn biết mức độ nghiêm trọng của sự kiện - Thông tin chỉ cho bạn biết rằng một cái gì đó đã thay đổi hoặc một thành phần đã bắt đầu hoặc một cái gì đó đã hoàn thành. Cảnh báo cho bạn biết rằng một cái gì đó có thể đang đi sai, nhưng nó chưa phải là tất cả quan trọng. Lỗi cho bạn biết rằng điều gì đó đã xảy ra không nên xảy ra, nhưng không phải lúc nào cũng là ngày tận thế. Mặt khác, quan trọng, có nghĩa là một cái gì đó bị hỏng ở đâu đó và thành phần kích hoạt sự kiện này có thể đã bị hỏng.
    • Người dùng - trường này cho bạn biết liệu đó là thành phần hệ thống hay tài khoản người dùng của bạn đang chạy quá trình gây ra lỗi. Điều này có thể hữu ích khi xem qua mọi thứ.
    • Mã nguồn - về mặt lý thuyết, trường này cho bạn biết ứng dụng hoặc thành phần nào đã hoạt động khi sự kiện được kích hoạt. Tuy nhiên, trên thực tế, hầu như mọi lúc mọi nơi sẽ nói về Thông tin và rất vô dụng..
    • Máy vi tính - trên máy tính để bàn tại nhà của bạn, đây thường sẽ chỉ là tên PC của bạn, nhưng trong thế giới CNTT, bạn thực sự có thể chuyển tiếp các sự kiện từ một máy tính hoặc máy chủ này sang máy tính khác. Bạn cũng có thể kết nối Trình xem sự kiện với PC hoặc máy chủ khác.
    • Nhiệm vụ - trường này không phải lúc nào cũng được sử dụng, nhưng về cơ bản nó là một trường thông tin cho bạn biết thêm một chút thông tin về sự kiện.
    • Từ khóa - lĩnh vực này thường không được sử dụng và thường chứa thông tin vô dụng.

    Theo nguyên tắc thông thường, bạn nên thử tìm kiếm theo mô tả chung hoặc ID sự kiện và Nguồn hoặc kết hợp các giá trị đó.

    Chỉ cần nhớ rằng ID sự kiện là duy nhất cho mỗi ứng dụng. Vì vậy, có rất nhiều sự trùng lặp và bạn không thể chỉ tìm kiếm ID Sự kiện ID 122 vì bạn sẽ nhận được rất nhiều điều vô nghĩa.

    Lưu ý quan trọng: Luôn có lỗi và cảnh báo trong nhật ký sự kiện và bạn không thể giải quyết tất cả. Điều quan trọng nhất là sử dụng Trình xem sự kiện để khắc phục sự cố mà bạn đang gặp phải, thay vì cố gắng tìm các sự cố mà bạn chưa biết về.

    Và vâng, bạn sẽ cần sử dụng các kỹ năng Google của mình để nghiên cứu các sự kiện mà bạn không biết. Không có giải pháp ma thuật dễ dàng.

    Một điều mà bạn có thể làm ngay lập tức khi nhìn thấy hộp thoại này là nhấp vào Liên kết thêm thông tin khác, vấn đề là hiện tại nó không đưa bạn đến nơi hữu ích. Bạn vừa kết thúc tại một trang lỗi trên trang web của Microsoft.

    Điều đáng sợ là 8464 người đánh giá Trang Không tìm thấy là hữu ích.

    Ánh xạ lại Tìm kiếm ID sự kiện trực tuyến để thực sự hoạt động

    Vì một số lý do, Liên kết thêm thông tin: Đăng nhập sự kiện Trợ giúp trực tuyến Liên kết chỉ đơn giản là không hoạt động với chúng tôi, nhưng may mắn thay, có một bản hack registry tuyệt vời mà bạn có thể sử dụng để khắc phục sự cố.

    Những gì chúng ta sẽ làm chỉ là thay đổi URL chuyển hướng trong sổ đăng ký để hướng tới Google, ngoại trừ vì cách các đối số được thông qua, chúng ta sẽ cần hướng nó đến một trang trung gian sẽ phân tích các đối số và tạo thành URL tìm kiếm chính xác của Google.

    Với mục đích của bài viết này, chúng tôi đưa ra một trang trên máy chủ của chúng tôi và bạn được hoan nghênh sử dụng nó. Nếu bạn không muốn sử dụng máy chủ của chúng tôi, một dòng mã PHP được liệt kê ở cuối phần này.

    Để thực hiện thay đổi này, hãy đi xuống khóa đăng ký sau:

    HKLM \ Phần mềm \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

    Tìm giá trị MicrosoftRedirectionURL ở phía bên tay phải, sau đó thay đổi giá trị từ mặc định, đó là http://go.microsoft.com/fwlink/events.asp và chèn giá trị này thay thế:

    https://www.howtogeek.com/eventid

    Khi bạn đã thực hiện điều đó, nhấp vào liên kết trong cửa sổ Thuộc tính sự kiện sẽ ngay lập tức chuyển hướng bạn đến Google, với các dữ liệu có liên quan đã được đưa vào (ID sự kiện, tên nhật ký và ứng dụng, có xu hướng chỉ nói Microsoft Windows).

    Cái này hoạt động ra sao? Điều này khá đơn giản - Trình xem sự kiện thêm vào một tập hợp các tham số dưới dạng đối số chuỗi truy vấn vào URL mà chúng tôi đưa vào sổ đăng ký. Sau đó, tập lệnh trích xuất các đối số đó và chuyển hướng đến Google, thay vào đó chuyển các đối số dưới dạng cụm từ tìm kiếm.

    Sử dụng một tập lệnh PHP đơn giản, đây là những gì chúng tôi đã đưa ra để xử lý chuyển hướng.

    tiêu đề ('Vị trí: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']);

    Bạn có thể lưu trữ điều tương tự trên máy chủ của riêng bạn nếu bạn muốn hoặc bạn có thể sử dụng máy chủ đang ngồi trên máy chủ của chúng tôi. Tùy bạn.

    Cẩn thận với các trang web Internet với các giải pháp tại chỗ

    Có rất nhiều trang web ngoài đó tự động tạo các trang cho mỗi ID sự kiện duy nhất, và sau đó đưa chúng vào vô nghĩa. Điều đó sẽ ổn thôi, ngoại trừ nhiều sự kiện trong số này, không có nhiều kết quả tốt khác.

    Những trang web đó sau đó sẽ đề nghị giải quyết vấn đề nếu bạn chỉ cần tải xuống một số phần mềm để phân tích miễn phí. Trong mọi trường hợp, đây sẽ là quảng cáo và phần mềm, giải pháp Phần mềm là một sự gian lận.

    KHÔNG có gói phần mềm nào có thể giải quyết tất cả các sự cố nhật ký sự kiện của bạn.

    Sử dụng Bộ lọc và Chế độ xem tùy chỉnh

    Thay vì đi qua hàng trăm thư mục của nhật ký sự kiện tùy chỉnh và cố gắng tìm mọi thứ bạn đang tìm kiếm, bạn có thể tạo chế độ xem tùy chỉnh chỉ hiển thị các sự kiện mà bạn muốn xem.

    Để có kết quả tốt nhất, bạn sẽ muốn lọc chỉ bằng những thứ cụ thể bạn muốn xem - có thể là Quan trọng, Lỗi và Cảnh báo, sau đó chọn nhật ký sự kiện cụ thể mà bạn muốn chế độ xem này xem qua. Đừng chọn quá nhiều, mặc dù, vì nó sẽ không hoạt động.

    Khi bạn đã chọn những gì bạn muốn trong chế độ xem, bạn sẽ được yêu cầu đặt tên cho chế độ xem tùy chỉnh và sau đó bạn có thể sử dụng nó để xem chỉ các sự kiện mà bạn đã lọc. Đó là một cách tuyệt vời để đối phó với các bản ghi lớn chứa đầy các sự kiện thông tin vô nghĩa.

    Tất nhiên, có lẽ thậm chí còn dễ dàng hơn khi chỉ sử dụng chế độ xem Sự kiện quản trị tích hợp, hiển thị các thông báo quan trọng từ mỗi nhật ký chính.

    Xem qua Nhật ký Hiệu suất Chẩn đoán Windows

    Có rất nhiều nhật ký thú vị để xem xét khi bạn khắc phục sự cố, nhưng một trong những điều thú vị nhất được tìm thấy bằng cách duyệt qua các thư mục đến vị trí sau:

    Microsoft \ Windows \ Chẩn đoán-Hiệu suất

    Điều này dẫn đến một nhật ký sự kiện hiển thị tất cả những điều mà Windows ghi nhật ký nội bộ để kiểm tra hiệu năng - nếu máy tính của bạn khởi động chậm hơn bình thường, Windows thường sẽ có một mục nhật ký cho nó và thường sẽ liệt kê ra thành phần khiến Windows khởi động chậm hơn.

    Điều đáng chú ý là chỉ vì thông báo hiển thị lỗi không có nghĩa là ngày tận thế, trừ khi nó xuất hiện mọi lúc. Sau đó, bạn có thể muốn nghĩ về nó.

    Sửa lỗi đó từ trước đó

    Tò mò về sự kiện trong ảnh chụp màn hình trước đó trong bài viết? Nếu bạn nhận được thông báo Truy cập vào trình điều khiển trên Windows Update đã bị chặn bởi chính sách, thì giải pháp này thực sự đơn giản. Mở Bảng điều khiển, tìm kiếm trình điều khiển của Cameron, sau đó chọn Thay đổi cài đặt cài đặt thiết bị.

    Bạn sẽ nhận thấy trong ảnh chụp màn hình tiếp theo rằng máy tính cụ thể này được đặt thành không tự động tải xuống trình điều khiển thiết bị từ bản cập nhật Windows. Để giải quyết vấn đề và làm cho nhiều thông báo hiển thị hơn trong Trình xem sự kiện, tất cả những gì bạn phải làm là chuyển nút radio sang Chế độ Có, thực hiện việc này tự động.

    Đẹp và đơn giản. Vấn đề được giải quyết, thông điệp cảnh báo được giải quyết.

    Nhiệm vụ gắn liền với sự kiện

    Nếu bạn đã chú ý trong bài học cuối cùng của Trường Geek, bạn có thể nhớ rằng bạn có thể tạo trình kích hoạt Trình lập lịch tác vụ bằng ID sự kiện - và bạn cũng có thể thực hiện điều tương tự theo cách khác. Nhấp chuột phải vào bất kỳ tác vụ nào và bạn có thể dễ dàng đính kèm Tác vụ theo lịch để chạy bất cứ khi nào sự kiện xảy ra.

    Các tính năng khác bạn có thể cần

    Trình xem sự kiện có một vài tính năng khác mà bạn có thể quan tâm khi sử dụng. Đối với hầu hết mọi người, chỉ cần xem qua danh sách và biết những gì cần tìm là quan trọng.

    Đăng ký, được tìm thấy trong menu bên trái, là một tính năng được sử dụng chủ yếu trong môi trường doanh nghiệp để chuyển tiếp các sự kiện từ máy chủ này sang máy chủ khác để bạn có thể quản lý tất cả chúng ở một nơi. Điều này yêu cầu các dịch vụ Windows Event Collector và Windows Remote Management được chạy. Đối với người dùng gia đình, bạn không nên lộn xộn với nó, ngoài mục đích học tập trên hệ thống kiểm tra của bạn.

    Nếu bạn nhấp chuột phải vào các mục ở phía bên trái, bạn sẽ thấy rất nhiều hành động (những hành động tương tự thường được tìm thấy ở khung bên phải).

    Bạn có thể lưu tất cả các sự kiện trong nhật ký để xem sau hoặc trên PC khác, bạn có thể sao chép chế độ xem hoặc xuất dưới dạng tệp XML để nhập vào máy tính khác.