Sử dụng Trình xem sự kiện để khắc phục sự cố

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2024-01-12 05:34

TRƯỜNG HƯỚNG DẪN

Sử dụng Task Scheduler để chạy các tiến trình sau
Sử dụng Trình xem sự kiện để khắc phục sự cố
Hiểu phân vùng ổ đĩa cứng với quản lý đĩa
Học cách sử dụng Registry Editor giống như Pro
Giám sát PC của bạn với màn hình tài nguyên và trình quản lý tác vụ
Hiểu bảng thuộc tính hệ thống nâng cao
Hiểu và quản lý các dịch vụ Windows
Sử dụng Group Policy Editor để tinh chỉnh PC của bạn
Tìm hiểu công cụ quản trị Windows

Vấn đề lớn nhất với Event Viewer là có thể rất khó hiểu - có rất nhiều cảnh báo, lỗi và thông báo, và không biết nó có ý nghĩa gì, bạn có thể giả định rằng máy tính của bạn bị hỏng hoặc bị nhiễm khi có không có gì thực sự sai.

Trong thực tế, những kẻ lừa đảo hỗ trợ kỹ thuật đang sử dụng Event Viewer như là một phần trong chiến lược bán hàng của họ để thuyết phục người dùng nhầm lẫn rằng máy tính của họ bị nhiễm virus. Họ hướng dẫn bạn qua việc lọc chỉ bởi các lỗi nghiêm trọng và sau đó hành động ngạc nhiên rằng tất cả những gì bạn thấy là các lỗi nghiêm trọng.

Học cách sử dụng và hiểu Event Viewer là một kỹ năng quan trọng để tìm ra những gì đang xảy ra với PC và các vấn đề khắc phục sự cố.

Hiểu giao diện

Khi bạn mở Event Viewer lần đầu tiên, bạn sẽ nhận thấy nó sử dụng cấu hình ba ngăn như nhiều công cụ quản trị khác trong Windows, mặc dù trong trường hợp này, thực tế có khá nhiều công cụ hữu ích ở phía bên tay phải.

Khung bên trái hiển thị một khung nhìn thư mục, nơi bạn có thể tìm thấy tất cả các bản ghi sự kiện khác nhau, cũng như các khung nhìn có thể được tùy chỉnh với các sự kiện từ nhiều nhật ký cùng một lúc. Ví dụ, khung nhìn Administrative Events trong các phiên bản Windows gần đây hiển thị tất cả các sự kiện Error, Warning và Critical cho dù chúng có nguồn gốc từ Nhật ký ứng dụng hay Nhật ký hệ thống.

Khung giữa hiển thị danh sách các sự kiện và việc nhấp vào chúng sẽ hiển thị chi tiết trong cửa sổ xem trước - hoặc bạn có thể nhấp đúp vào bất kỳ cửa sổ nào để kéo lên trong cửa sổ riêng, có thể thuận tiện khi bạn xem qua một tập hợp lớn các sự kiện và muốn tìm tất cả những điều quan trọng trước khi bắt đầu tìm kiếm trên internet.

Khung bên phải cho phép bạn truy cập nhanh vào các hành động như tạo chế độ xem tùy chỉnh, lọc hoặc thậm chí tạo tác vụ theo lịch dựa trên một sự kiện cụ thể.

Bản thân các sự kiện là những gì chúng tôi đang cố gắng thấy, và tính hữu dụng của chúng có thể từ những điều thực sự cụ thể và rõ ràng mà bạn có thể sửa dễ dàng với những thông điệp rất mơ hồ không có ý nghĩa và bạn không thể tìm thấy thông tin trên Google. Các trường thông thường trên màn hình chứa:

Tên nhật ký - trong khi trong các phiên bản cũ của Windows, mọi thứ đã được đưa vào Nhật ký ứng dụng hoặc hệ thống, trong các ấn bản hiện đại hơn có hàng tá hoặc hàng trăm bản ghi khác nhau để bạn lựa chọn. Mỗi thành phần Windows sẽ có nhiều khả năng có nhật ký riêng.
Nguồn - đây là tên của phần mềm tạo sự kiện nhật ký. Tên thường không khớp trực tiếp với tên tệp, tất nhiên, nhưng nó là đại diện cho thành phần nào đã làm.
ID sự kiện - ID sự kiện quan trọng nhất có thể hơi khó hiểu một chút. Nếu bạn truy cập Google cho "ID sự kiện 122" mà bạn thấy trong ảnh chụp màn hình tiếp theo, bạn sẽ không kết thúc với thông tin rất hữu ích trừ khi bạn cũng bao gồm Nguồn hoặc tên ứng dụng. Điều này là do mọi ứng dụng đều có thể xác định ID sự kiện duy nhất của riêng chúng.
Cấp độ - Điều này cho bạn biết mức độ nghiêm trọng của sự kiện là - Thông tin chỉ cho bạn biết rằng một cái gì đó đã thay đổi hoặc một thành phần đã bắt đầu, hoặc một cái gì đó đã hoàn thành. Cảnh báo cho bạn biết rằng có thể có điều gì đó không ổn, nhưng điều đó không quan trọng lắm. Lỗi cho bạn biết rằng điều gì đó đã xảy ra không nên xảy ra, nhưng không phải lúc nào cũng là kết thúc của thế giới. Quan trọng, mặt khác, có nghĩa là một cái gì đó bị hỏng ở đâu đó và thành phần kích hoạt sự kiện này có thể đã bị hỏng.
Người dùng - trường này cho bạn biết đó là thành phần hệ thống hay tài khoản người dùng của bạn đang chạy quá trình gây ra lỗi. Điều này có thể hữu ích khi xem xét mọi thứ.
OpCode - trường này lý thuyết cho bạn biết hoạt động của ứng dụng hoặc thành phần nào đang hoạt động khi sự kiện được kích hoạt. Trong thực tế, tuy nhiên, nó hầu như luôn luôn nói "Thông tin" và là khá vô ích.
Máy vi tính - trên màn hình chính của bạn, điều này thường sẽ chỉ là tên máy tính của bạn, nhưng trong thế giới CNTT, bạn thực sự có thể chuyển tiếp sự kiện từ một máy tính hoặc máy chủ sang một máy tính khác. Bạn cũng có thể kết nối Trình xem sự kiện với máy tính hoặc máy chủ khác.
Danh mục nhiệm vụ - trường này không phải lúc nào cũng được sử dụng, nhưng nó kết thúc về cơ bản là một trường thông tin cho bạn biết thêm một chút thông tin về sự kiện này.
Từ khóa - trường này thường không được sử dụng và thường chứa thông tin vô dụng.

Theo quy tắc chung, bạn nên thử tìm kiếm theo mô tả chung hoặc ID sự kiện và Nguồn hoặc kết hợp các giá trị đó.

Chỉ cần nhớ rằng ID sự kiện là duy nhất … cho mỗi ứng dụng. Vì vậy, có rất nhiều chồng chéo và bạn không thể chỉ tìm kiếm "ID sự kiện 122" bởi vì bạn sẽ nhận được rất nhiều điều vô nghĩa.

Lưu ý quan trọng:Sẽ luôn có lỗi và cảnh báo trong nhật ký sự kiện và bạn không thể giải quyết tất cả chúng. Điều quan trọng nhất là sử dụng Trình xem sự kiện để khắc phục sự cố bạn đã gặp phải, thay vì cố gắng tìm ra các vấn đề mà bạn chưa biết.

Và vâng, bạn sẽ cần phải sử dụng các kỹ năng của Google để nghiên cứu các sự kiện mà bạn không biết. Không có giải pháp ma thuật dễ dàng nào.

Một điều mà bạn có thể ngay lập tức thực hiện khi thấy hộp thoại này là nhấp vào liên kết Thông tin khác … vấn đề là hiện tại nó không đưa bạn đến bất kỳ nơi nào hữu ích. Bạn vừa kết thúc ở một trang lỗi trên trang web của Microsoft.

Điều đáng sợ là 8464 người đã xếp hạng Trang không được tìm thấy là hữu ích.

Remapping tìm kiếm sự kiện trực tuyến ID để thực tế làm việc

Vì một lý do nào đó, liên kết “Thông tin thêm: Sự kiện đăng nhập trực tuyến sự kiện” chỉ bằng phẳng không hiệu quả đối với chúng tôi, nhưng may mắn là có một đăng ký tuyệt vời mà bạn có thể sử dụng để khắc phục sự cố.

Những gì chúng ta sẽ làm chỉ là thay đổi URL chuyển hướng trong sổ đăng ký để trỏ tới Google… ngoại trừ vì cách mà đối số được truyền, chúng ta sẽ trỏ nó tới một trang trung gian sẽ phân tích các đối số và tạo URL tìm kiếm chính xác của Google.

Với mục đích của bài viết này, chúng tôi đưa ra một trang trên máy chủ của riêng chúng tôi và bạn được hoan nghênh sử dụng nó. Nếu bạn không muốn sử dụng máy chủ của chúng tôi, một dòng mã PHP được liệt kê ở cuối phần này.

Để thực hiện thay đổi này, hãy truy cập khóa đăng ký sau:


HKLMSoftwareMicrosoftWindows NTCurrentVersionEventViewer

Tìm giá trị MicrosoftRedirectionURL ở phía bên phải và sau đó thay đổi giá trị từ mặc định, đó là https://go.microsoft.com/fwlink/events.asp và chèn giá trị này thay vào đó:


https://www.howtogeek.com/eventid

Khi bạn đã thực hiện điều đó, nhấp vào liên kết trong cửa sổ Thuộc tính sự kiện sẽ chuyển hướng bạn ngay đến Google, với dữ liệu có liên quan đã được bao gồm (ID sự kiện, tên nhật ký và "ứng dụng", có xu hướng chỉ nói Microsoft Windows).

Cái này hoạt động ra sao? Nó khá đơn giản - Event Viewer thêm vào một bộ tham số như các đối số chuỗi truy vấn đến URL mà chúng tôi đưa vào sổ đăng ký. Sau đó, tập lệnh trích xuất các đối số đó và chuyển hướng đến Google, chuyển các đối số dưới dạng cụm từ tìm kiếm thay thế.

Sử dụng một kịch bản PHP đơn giản, đây là những gì chúng tôi đã đưa ra để xử lý chuyển hướng.

tiêu đề ('Vị trí: https://google.com/search?q=Event ID'. $ _GET ['EvtID']. ''. $ _GET ['EvtSrc']. ''. $ _GET ['ProdName'] );

Bạn có thể lưu trữ cùng một thứ trên máy chủ của riêng bạn nếu bạn muốn, hoặc bạn có thể sử dụng máy chủ đang ngồi trên máy chủ của chúng tôi. Tùy thuộc vào bạn.

Hãy coi chừng các trang web Internet với "Giải pháp" cho ID sự kiện "Vấn đề"

Có rất nhiều trang web trên trang web đó tự động tạo các trang cho mọi ID sự kiện duy nhất và sau đó điền chúng với những điều vô nghĩa. Điều đó sẽ tốt, ngoại trừ nhiều sự kiện này, không có nhiều kết quả tốt khác.

Những trang web đó sau đó sẽ cung cấp để giải quyết vấn đề nếu bạn chỉ cần tải xuống một số phần mềm để phân tích miễn phí của bạn. Trong mọi trường hợp, đây sẽ là quảng cáo và phần mềm “giải pháp” là gian lận.

Không có gói phần mềm nào có thể giải quyết tất cả sự cố nhật ký sự kiện của bạn.

Sử dụng bộ lọc và chế độ xem tùy chỉnh

Thay vì duyệt qua hàng triệu thư mục nhật ký sự kiện tùy chỉnh và cố tìm mọi thứ bạn đang tìm kiếm, bạn có thể tạo chế độ xem tùy chỉnh chỉ hiển thị các sự kiện bạn muốn xem.

Để có kết quả tốt nhất, bạn chỉ muốn lọc theo những thứ cụ thể mà bạn muốn xem - có thể là Critical, Error và Warning, sau đó chọn các bản ghi sự kiện cụ thể mà bạn muốn xem qua. Tuy nhiên, đừng chọn quá nhiều vì nó sẽ không hoạt động.

Sau khi đã chọn nội dung bạn muốn trong chế độ xem, bạn sẽ được yêu cầu đặt tên chế độ xem tùy chỉnh và sau đó bạn có thể sử dụng tên đó để chỉ xem các sự kiện bạn đã lọc. Đó là một cách tuyệt vời để xử lý các nhật ký khổng lồ đầy những sự kiện thông tin vô nghĩa.

Có lẽ dễ dàng hơn, tất nhiên, là chỉ sử dụng chế độ xem Sự kiện quản trị được tích hợp sẵn, hiển thị các thông điệp quan trọng từ mỗi nhật ký chính.

Xem qua nhật ký hiệu suất chẩn đoán Windows

Có rất nhiều các bản ghi thú vị để xem xét khi bạn đang xử lý sự cố, nhưng một trong những thú vị nhất được tìm thấy bằng cách duyệt qua các thư mục đến vị trí sau:

Microsoft Windows Diagnostics-Performance

Điều này dẫn đến một bản ghi sự kiện hiển thị tất cả những thứ mà Windows ghi lại nội bộ để kiểm tra hiệu suất - nếu máy tính của bạn khởi động chậm hơn bình thường, Windows thường sẽ có một mục nhật ký cho nó, và thường sẽ liệt kê ra thành phần khiến Windows khởi động chậm hơn.

Cần lưu ý rằng chỉ vì thông báo cho thấy lỗi không có nghĩa là kết thúc của thế giới, trừ khi thông báo xuất hiện mọi lúc. Sau đó, bạn có thể muốn suy nghĩ về nó.

Sửa lỗi đó từ trước đó

Tò mò về Sự kiện trong ảnh chụp màn hình trước đó trong bài viết? Nếu bạn nhận được thông báo "Truy cập vào trình điều khiển trên Windows Update đã bị chặn bởi chính sách", giải pháp thực sự đơn giản.Mở Bảng điều khiển, tìm kiếm “trình điều khiển” và sau đó chọn Thay đổi cài đặt cài đặt thiết bị.

Bạn sẽ nhận thấy trong ảnh chụp màn hình tiếp theo rằng máy tính cụ thể này được đặt để không tự động tải xuống trình điều khiển thiết bị từ bản cập nhật Windows. Để giải quyết vấn đề và làm cho nhiều thông báo hiển thị trong Trình xem sự kiện, tất cả những gì bạn phải làm là chuyển nút radio sang “Có, thực hiện tự động”.

Đẹp và đơn giản. Đã giải quyết sự cố, thông báo cảnh báo đã được giải quyết.

Đính kèm công việc vào sự kiện

Nếu bạn đang chú ý trong bài học cuối cùng của trường Geek, bạn có thể nhớ rằng bạn có thể tạo trình kích hoạt Task Scheduler bằng ID sự kiện - và bạn cũng có thể làm điều tương tự theo cách khác. Nhấp chuột phải vào bất kỳ tác vụ nào và bạn có thể dễ dàng đính kèm Tác vụ theo lịch để chạy bất cứ khi nào sự kiện xảy ra.

Các tính năng khác mà bạn có thể cần

Trình xem sự kiện có một số tính năng khác mà bạn có thể quan tâm đến việc sử dụng. Đối với hầu hết mọi người, chỉ cần đi qua danh sách và biết những gì cần tìm là quan trọng.

Đăng ký, được tìm thấy trong menu bên trái, là một tính năng được sử dụng rộng rãi trong môi trường doanh nghiệp để chuyển tiếp sự kiện từ máy chủ này sang máy chủ khác để bạn có thể quản lý tất cả ở một nơi. Điều này yêu cầu Windows Event Collector và Windows Remote Management đang chạy. Đối với người dùng gia đình, bạn không nên gây rối với nó, ngoài mục đích học tập trên hệ thống kiểm tra của bạn.