Trong hướng dẫn này, chúng tôi sẽ trình bày cách sử dụng Windows Event Viewer để xem nhật ký Windows và lọc chúng theo các tiêu chí khác nhau.
Điều kiện tiên quyết:
Để thực hiện các bước được trình bày trong hướng dẫn này, bạn cần có các thành phần sau:
- Hệ thống Windows 10/11 được cấu hình đúng cách. Để thử nghiệm, hãy xem cách thiết lập Windows VM bằng VirtualBox.
- Quyền truy cập của quản trị viên
Trình xem sự kiện trên Windows
Theo mặc định, các ứng dụng khác nhau (và các bộ phận của HĐH) gửi thông báo tới HĐH về một hoạt động cụ thể như lỗi trình điều khiển, cập nhật bảo mật, lỗi phần cứng, v.v. Trình xem sự kiện là một ứng dụng chuyên dụng tổng hợp các thông báo này và đóng vai trò là trung tâm ghi nhật ký.
Với đặc quyền quản trị viên, Trình xem sự kiện có thể hiển thị mọi sự kiện lớn xảy ra trong hệ thống. Nó có thể cực kỳ hữu ích cho mục đích gỡ lỗi.
Trình xem sự kiện cũng có khả năng lọc mạnh mẽ có thể hiển thị hoạt động của hệ thống tại một thời điểm nhất định, được kích hoạt bởi một chương trình nhất định, mức độ nghiêm trọng của trình kích hoạt, v.v.
Khởi chạy Trình xem sự kiện
Nhập “Trình xem sự kiện” từ menu bắt đầu.
Ngoài ra, hãy chạy từ khóa sau từ cửa sổ “Run”:
$ sự kiệnvwr
Cửa sổ chính sẽ hiển thị cho bạn bản tóm tắt tất cả các hoạt động của hệ thống.
Giao diện người dùng của Trình xem sự kiện
Trên bảng điều khiển bên trái, nhật ký được sắp xếp thành nhiều loại khác nhau.
Ví dụ: chọn danh mục phụ “Nhật ký Windows” để xem bản tóm tắt nhật ký của các ứng dụng Windows và Windows.
Để xem nhật ký được tạo bởi tất cả các sản phẩm của Microsoft, hãy truy cập “Nhật ký ứng dụng và dịch vụ” >> “Microsoft”.
Xem nhật ký
Trong ví dụ sau, chúng ta sẽ xem xét nhật ký được tạo bởi Windows PowerShell. Từ bảng điều khiển bên trái, đi tới “Nhật ký ứng dụng và dịch vụ” >> “Windows PowerShell”.
Tại đây, chúng ta có thể thấy tất cả các sự kiện được PowerShell kích hoạt. Trong trường hợp của chúng tôi, Trình xem sự kiện đã ghi lại khoảng 10.000 sự kiện PowerShell. Mỗi nhật ký đại diện cho một sự kiện.
Bạn có thể xem chi tiết nhật ký khi chọn nhật ký.
Để biết thêm chi tiết chuyên sâu, hãy chuyển đến tab “Chi tiết”.
Lọc nhật ký sự kiện
Thay vì duyệt nhật ký một cách vô mục đích, chúng ta có thể sử dụng Trình xem sự kiện để áp dụng một số bộ lọc nhất định để có được hình ảnh chính xác hơn. Nó có thể cực kỳ hữu ích bất cứ khi nào bạn đang cố gắng gỡ lỗi một số vấn đề, có thể là sự cố phần cứng, sự cố trình điều khiển hoặc lỗi phần mềm.
Để tạo bộ lọc mới, hãy chọn “Tạo chế độ xem tùy chỉnh” từ bảng bên phải.
Chúng ta có thể áp dụng nhiều bộ lọc khác nhau trên cửa sổ mới.
Đây:
- Đã đăng nhập : Trình xem sự kiện lưu trữ nhật ký kể từ khi cài đặt hệ điều hành. Trong hầu hết các tình huống, việc tìm kiếm qua tất cả chúng là không tối ưu. Sử dụng bộ lọc này, chúng tôi có thể giới hạn phạm vi tìm kiếm theo thời gian.
- Cấp độ sự kiện : Bất cứ khi nào một sự kiện được đăng ký, nó sẽ được gán một mức độ nghiêm trọng. Có năm loại sự kiện: Quan trọng, Lỗi, Cảnh báo, Thông tin và Chi tiết.
- Bằng nhật ký : Giới hạn phạm vi tìm kiếm theo cây.
- Theo nguồn : Giới hạn phạm vi tìm kiếm theo nguồn kích hoạt sự kiện. Trình kích hoạt sự kiện có thể là các thiết bị khác nhau của HĐH hoặc bất kỳ chương trình đã cài đặt nào.
Ví dụ: để liệt kê tất cả các sự kiện được PowerShell kích hoạt, biểu mẫu dạng xem tùy chỉnh trông như sau:
Theo mặc định, Trình xem sự kiện đề xuất lưu bộ lọc mới được tạo dưới dạng chế độ xem tùy chỉnh.
Kết quả sẽ trông như thế này:
Sao lưu nhật ký
Trình xem sự kiện cũng có thể xuất nhật ký sự kiện. Nó có thể hữu ích cho việc gỡ lỗi hoặc sao lưu các nhật ký quan trọng sau này.
Trong ví dụ này, chúng tôi sẽ tạo bản sao lưu nhật ký “Windows PowerShell”.
Từ bảng điều khiển bên trái, chọn “Windows PowerShell”, nhấp chuột phải vào nó và chọn “Save All Events As”.
Bạn sẽ được nhắc chọn vị trí lưu trữ tệp sao lưu.
Cuối cùng, Trình xem sự kiện sẽ hỏi bạn có muốn lưu trữ thông tin hiển thị bổ sung cùng với tệp hay không. Bạn nên bao gồm chúng để có thể làm việc với nhật ký trên bất kỳ máy tính nào khác. Tuy nhiên, chỉ nhằm mục đích sao lưu, bạn có thể muốn tránh nó để giảm kích thước tệp.
Nếu bạn chọn bao gồm dữ liệu hiển thị bổ sung, Trình xem sự kiện sẽ tạo một thư mục “LocaleMetaData” bổ sung.
Nhập nhật ký
Bây giờ chúng ta đã học cách sao lưu thành công nhật ký sự kiện. Bây giờ, chúng ta cần học cách nhập chúng khi cần.
Để nhập nhật ký từ tệp sao lưu Trình xem sự kiện, hãy đi tới Hành động >> Mở Nhật ký đã lưu từ cửa sổ chính.
Bây giờ, duyệt tìm tập tin sao lưu.
Bạn có thể quyết định tên của kết xuất nhật ký và nơi nó sẽ được lưu trữ. Theo mặc định, Trình xem sự kiện đặt chúng trong “Nhật ký đã lưu”.
Nhật ký đã nhập sẽ có sẵn trong “Nhật ký đã lưu”.
Xóa nhật ký
Trình xem sự kiện đã thu thập nhật ký kể từ khi cài đặt hệ điều hành. Nếu có đủ thời gian, một số lượng lớn nhật ký sẽ được tích lũy. Trình xem sự kiện cũng cho phép xóa tất cả nhật ký hiện được tích lũy. Tuy nhiên, hành động này có thể yêu cầu đặc quyền của quản trị viên.
Để xóa nhật ký, hãy chọn một danh mục phụ từ bảng điều khiển bên trái và chọn “Xóa nhật ký”.
Trình xem sự kiện đưa ra cảnh báo trước khi quyết định xóa nhật ký.
Kết quả sẽ trông như thế này:
Phần kết luận
Trong hướng dẫn này, chúng tôi đã trình bày cách sử dụng Trình xem sự kiện để xem qua nhật ký sự kiện của Windows. Chúng tôi cũng đã học cách điều hướng qua nhật ký, áp dụng các bộ lọc tùy chỉnh, sao lưu và nhập nhật ký, v.v.
Chúc bạn tính toán vui vẻ!