Как работать с пользовательскими представлениями в средстве просмотра событий (все версии Windows)

Средство просмотра событий(Event Viewer) — один из тех инструментов Windows , которые являются скрытыми сокровищами. Он может отображать журналы почти обо всем, что произошло на вашем компьютере, и может помочь вам устранить любые проблемы, которые могут возникнуть на вашем компьютере. Однако информация, которую он показывает, часто может быть ошеломляющей по количеству и деталям(amount and details) . К счастью, он также предлагает способы сортировки и фильтрации всей этой информации, чтобы вы могли ограничить ее только тем, что вас интересует. В этом руководстве мы рассмотрим, как создавать и сохранять настраиваемые представления, чтобы вы могли следить за любым тип зарегистрированной информации, которая вас интересует:

Как получить доступ к пользовательским представлениям(Custom Views) в средстве просмотра событий(Event Viewer)

Есть много способов открыть Event Viewer в Windows , и мы подробно рассказали обо всех них здесь: Как запустить Event Viewer в Windows (все версии). Однако, если у вас нет времени на чтение этого руководства, быстрый способ запустить средство просмотра событий(Event Viewer) — ввести «просмотр событий»("event viewer") в поле поиска(search box) в Windows 10 , в поле поиска в (search box)меню «Пуск(Start Menu ) » в Windows 7 или в меню « Пуск ». (Start screen, )экране, если вы используете Windows 8.1.

Просмотр событий, Windows, настраиваемые представления

Когда вы запускаете Event Viewer , это может занять некоторое время, так как все журналы инициализируются. Вы можете видеть, что первый пункт меню(menu item) на левой панели(left pane)Custom Views . Нажмите(Click) или коснитесь этого, и вы должны увидеть, что Windows уже предоставила одно пользовательское представление(custom view) : Административные события(Administrative Events) . Нажмите или коснитесь его.

Просмотр событий, Windows, настраиваемые представления

Что такое настраиваемые(Custom Views) представления в средстве просмотра событий(Event Viewer) ?

Представление « Административные события(Administrative Events) » было создано, чтобы показать вам все критические события, ошибки(Critical, Error,) и предупреждения(Warning) из всех журналов Windows , поэтому вы должны получить огромный список событий со зловещими тегами. Однако, если ваш компьютер не вышел из строя и ваше программное обеспечение не работало неправильно, эти зловещие сообщения не означают, что происходит что-то зловещее. Они предназначены только для вашей информации, и в большинстве случаев Windows уже устранила проблему еще до того, как вы увидели сообщения.

Так что же такое Custom View и почему стоит создать свой собственный? Рассмотрим такую ​​ситуацию: вы подозреваете, что что-то не так с одним или несколькими вашими жесткими дисками. Чтобы узнать, записал ли Event Viewer какие-либо предупреждения об этом, вам пришлось бы довольно долго пролистывать журналы. Что, если бы вы могли попросить Event Viewer создать специальное представление, которое отображало бы только предупреждения жесткого диска в журнале безопасности ? (Security)Это представление называется пользовательским представлением(Custom View) . Теперь давайте посмотрим, как его создать:

Шаг 1(Step 1) . Создание пользовательского представления(Custom View) в средстве просмотра событий(Event Viewer)

В пользовательских представлениях(Custom Views) нажмите «Создать настраиваемое представление»("Create Custom View") на правой панели, чтобы открыть окно «Создать настраиваемое представление» . ("Create Custom View")Оставьте выбранной вкладку « Фильтр(Filter) » по умолчанию (вкладка « XML»(XML tab) выходит за рамки этого руководства).

Просмотр событий, Windows, настраиваемые представления

Шаг 2(Step 2) . Выберите временные рамки(time frame) для событий, отображаемых в пользовательском представлении .(Custom View)

В раскрывающемся списке Logged выберите период времени (Logged),(time frame) который вы хотите использовать для Custom View . Вы можете использовать одно из предустановленных значений времени или выбрать собственный диапазон(custom range) . Если вы хотите создать пользовательское представление(Custom View) со всеми событиями, когда-либо записанными Windows , выберите «В любое время».("Any time.")

Просмотр событий, Windows, настраиваемые представления

Шаг 3(Step 3) . Выберите уровень события(event level) , включенный в ваш пользовательский вид .(Custom View)

Затем вы можете выбрать уровень события(Event level) для событий, которые будут отображаться в вашем пользовательском представлении(Custom View) . Вы можете включить одно, несколько или все события, классифицированные как:

  • Критические:(Critical:) события, которые требуют вашего немедленного внимания и обычно означают, что приложение или компонент системы вышли из (application or system component) строя или перестали отвечать(failed or stopped responding) .
  • Ошибка:(Error:) события, указывающие на наличие проблем, но не обязательно критические для работоспособности приложения или системных компонентов.
  • Предупреждение(Warning) : события, которые указывают на потенциальные проблемы, но не означают, что проблемы обязательно произойдут.
  • Информация:(Information:) события, которые просто отправляют биты информации о своей работе.
  • Verbose: показывает подробную информацию о событиях.

Если вы заинтересованы в создании пользовательского представления(Custom View) для устранения неполадок устройства или приложения на вашем компьютере, вам, вероятно, следует выбрать фильтрацию событий по уровню событий(Event level ) , равному Критический(Critical) и Ошибка(Error) . Это должно сделать ваш пользовательский вид(Custom View) небольшим и с ним будет легче работать.

Просмотр событий, Windows, настраиваемые представления

Шаг 4(Step 4) . Выберите(Choose) , в каких журналах событий или источниках событий вы хотите, чтобы пользовательское представление(Custom View) искало информацию .

Далее необходимо выбрать журналы или источники, которые используются для создания пользовательского представления(Custom View) . Вы можете фильтровать информацию:

  • По журналу:(By log:) позволяет выбрать «Журналы Windows»("Windows Logs") и «Журналы приложений и служб»("Applications and Services Logs" ) , которые вы хотите использовать. « Журналы Windows»("Windows Logs") включают в себя события приложений, безопасности, установки, системы(Application, Security, Setup, System, ) и перенаправленные события(Forwarded Events) , и вы можете узнать больше о них в этом руководстве: Как работать со средством просмотра событий(Event Viewer) в Windows . В «Журналы приложений и служб»("Applications and Services Logs" ) входят журналы, созданные приложениями, установленными на вашем компьютере, и они могут быть разными для всех, в зависимости от того, какие программы вы используете.
  • По источнику:(By source:) фильтрует события более подробно в соответствии с их конкретными источниками. Обычно это означает, что вы можете фильтровать события по приложениям или программам, которые их создали.

Просмотр событий, Windows, настраиваемые представления

Шаг 5(Step 5) . Отфильтруйте(Filter) события, отображаемые в пользовательском представлении(Custom View) , по идентификатору, категории задач(task category) , ключевым словам, пользователям и компьютерам .

Средство просмотра событий(Event Viewer) также позволяет дополнительно настроить пользовательский вид(Custom View) , добавив несколько других дополнительных фильтров:

  • Идентификаторы событий:(Event IDs:) каждое событие, записанное в средстве просмотра событий(Event Viewer) , получает свой собственный идентификатор события(Event ID) , представляющий собой число, которое однозначно идентифицирует его. Если вы хотите, вы можете указать номера идентификаторов событий(Event ID) и диапазоны, которые должны быть включены.
  • Категория задачи:(Task category:) можно использовать только в том случае, если вы выбрали фильтрацию событий по источнику(By source) на предыдущем шаге, а доступные категории различаются в зависимости от источника.
  • Ключевые слова:(Keywords:) предопределены Windows , поэтому вы не можете вводить свои слова — вы можете выбрать, какие из них будут использоваться для фильтрации событий.
  • Пользователь:(User:) если на вашем компьютере есть несколько учетных записей пользователей, вы можете включить в настраиваемый вид(Custom View) только события, записанные для определенных учетных записей пользователей.
  • Компьютер(ы):(Computer(s):) используется на серверах, на которых системные администраторы могут выбирать компьютеры, с которых будут собираться события в пользовательском представлении(Custom View) .

Шаг 6(Step 6) . Завершите(Finalize) и сохраните свой пользовательский вид(Custom View)

Когда вы закончите настройку всего, что касается вашего пользовательского вида(Custom View) , нажмите или коснитесь OK .

Просмотр событий, Windows, настраиваемые представления

В следующем поле вас попросят дать имя вашему пользовательскому представлению(Custom View ) . Введите его, добавьте описание, если хотите (это необязательно), и выберите папку просмотра событий(Event Viewer) , в которой вы хотите его сохранить. По умолчанию это Custom Views , но вы можете создать новую папку(New Folder) , если хотите, используя любое имя, которое вы предпочитаете. Когда закончите, нажмите или коснитесь (click or tap) ОК(OK) .

Просмотр событий, Windows, настраиваемые представления

Обратите внимание, что по умолчанию ваши пользовательские представления доступны всем пользователям вашего компьютера. Если есть другие люди, которые используют ваш компьютер, и вы не хотите, чтобы они имели доступ к этому фильтру, снимите флажок Все пользователи(All Users) в правом нижнем углу.

Просмотр событий, Windows, настраиваемые представления

После того, как вы нажмете OK , ваш новый пользовательский фильтр(custom filter) появится на левой панели. Щелкните(Click) или коснитесь его, и выбранные элементы появятся на центральной панели(center pane) .

Просмотр событий, Windows, настраиваемые представления

Как сохранить журналы пользовательских представлений(Custom Views) в средстве просмотра событий(Event Viewer)

Допустим, вы хотели отслеживать определенные события. Одна из причин, по которой вы, возможно, захотите это сделать, — проверить, не генерирует ли какое-то из ваших аппаратных средств много ошибок, что может означать, что его скоро потребуется заменить.

Возьмем, к примеру, пользовательское представление « (custom view)Критические сбои системы»("System Critical Failures") , которое мы создали. Щелкните(Click) пользовательское представление(custom view) на левой панели средства просмотра событий(Event Viewer) , а затем, чтобы быть уверенным, нажмите « Обновить(Refresh) » на правой панели, чтобы убедиться, что у вас есть самая свежая информация.

Просмотр событий, Windows, настраиваемые представления

Щелкните правой кнопкой мыши на пользовательском представлении(Custom View) , в нашем случае это «Критические сбои системы»,("System Critical Failures,") и в меню (или на правой панели, которая является дубликатом контекстного меню) выберите «Сохранить все события в пользовательском представлении как» . ."("Save All Events in Custom View As.")

Просмотр событий, Windows, настраиваемые представления

В появившемся окне вы можете выбрать подходящее имя файла(file name) и место, где вы хотите сохранить этот журнал. Событие сохраняется с расширением «.EVTX» (".EVTX") , и двойной щелчок(suffix and double-clicking) по нему открывает его в средстве просмотра событий(Event Viewer) .

Просмотр событий, Windows, настраиваемые представления

Как экспортировать пользовательские представления(Custom Views) в средстве просмотра событий(Event Viewer)

Если вы хотите сохранить настраиваемое представление(Custom View) в виде файла, который затем можно использовать на другом компьютере для создания тех же журналов событий, вы можете экспортировать его в виде XML-файла(XML file) . Для этого в средстве просмотра событий(Event Viewer) щелкните правой кнопкой мыши или коснитесь и удерживайте(tap and hold) пользовательское представление(Custom View) , которое вы хотите экспортировать, и в контекстном меню выберите «Экспортировать пользовательское представление».("Export Custom View.")

Просмотр событий, Windows, настраиваемые представления

В диалоговом окне « (dialog window)Сохранить как(Save As) » введите имя XML-файла (XML file)пользовательского представления(Custom View) и выберите папку, в которую вы хотите его экспортировать.

Просмотр событий, Windows, настраиваемые представления

Как импортировать пользовательские представления(Custom Views) в средстве просмотра событий(Event Viewer)

Если у вас есть настраиваемое представление(Custom View) , сохраненное в виде файла «.XML» , вы можете импортировать его в « Просмотр событий(Event Viewer) » на том же или даже на другом компьютере, который также работает под управлением Windows(Windows) . Для этого в средстве просмотра событий(Event Viewer) щелкните или коснитесь « Пользовательские представления(Custom Views) » на левой панели(left pane) , а затем щелкните или коснитесь «Импортировать настраиваемое представление»("Import Custom View") в контекстном меню. Обратите внимание, что вы можете найти ту же опцию на панели с правой стороны средства просмотра событий(Event Viewer) .

Просмотр событий, Windows, настраиваемые представления

Перейдите к папке, в которой находится XML(XML Custom View ) - файл пользовательского представления, выберите его, а затем нажмите или коснитесь « Открыть(Open) » .

Просмотр событий, Windows, настраиваемые представления

В разделе «Импорт файла пользовательского представления»("Import Custom View File,") вы можете просмотреть сведения об импортируемом пользовательском представлении. (Custom View)Щелкните(Click) или коснитесь OK .

Просмотр событий, Windows, настраиваемые представления

Файл пользовательского(Custom View) представления теперь импортируется и отображается на левой панели средства просмотра событий(Event Viewer) , показывая вам все отфильтрованные события.

Просмотр событий, Windows, настраиваемые представления

Заключение

Windows делает так много вещей настолько простыми, что нам никогда не нужно думать о том, что происходит в фоновом режиме. Взглянув на журналы с помощью средства просмотра событий(Event Viewer) , вы сможете получить представление обо всей хозяйственной деятельности, которую вы никогда не видели, и поможет вам оценить, насколько хорошо работает Windows . Стоит взглянуть на то, что вы можете сделать, даже если вы не делаете ничего, кроме взгляда. Считаете ли вы, что средство просмотра событий(Event Viewer) может быть для вас полезным инструментом? Пожалуйста, оставьте комментарий и поделитесь(comment and share) своим мнением.



About the author

Я инженер-программист с более чем 10-летним опытом работы в индустрии Xbox. Я специализируюсь на разработке игр и тестировании безопасности. Я также являюсь опытным обозревателем и работал над проектами для некоторых из самых известных игровых компаний, включая Ubisoft, Microsoft и Sony. В свободное время я люблю играть в видеоигры и смотреть сериалы.



Related posts