Windows Event Log er en innebygd funksjon i Microsoft Windows-operativsystemet som registrerer og lagrer ulike system-, sikkerhets- og programhendelser som oppstår på en datamaskin.
Disse hendelsene kan omfatte feil, advarsler og informasjonsmeldinger. Ved å bruke denne hendelsesloggen kan administratorer feilsøke problemer, overvåke systemtilstanden og spore brukeraktivitet.
Windows-hendelsesloggen er organisert i tre hovedkategorier:
System, applikasjon og sikkerhet.
Applikasjonsloggen inneholder hendelser relatert til applikasjoner og tjenester, mens systemloggen inkluderer hendelser knyttet til systemkomponenter og drivere. Påloggingsøkter, mislykkede påloggingsforsøk og andre sikkerhetsrelaterte hendelser er dokumentert i sikkerhetsloggen.
Disse Windows-hendelsesloggoppføringene inkluderer detaljert informasjon som dato og klokkeslett for hendelsen, kilden til hendelsen og eventuelle relevante feilkoder.
Innholdsfortegnelse
Viktigheten av Windows hendelseslogg
Rollen til overvåking av hendelseslogg er avgjørende for system- og nettverksingeniører fordi det gjør dem i stand til å holde seg informert om eventuelle problemer, ulovlig aktivitet, nettverksbrudd og andre viktige problemer som kan oppstå inne i en datamaskin.
Den gir fullstendige detaljer om hver hendelse, inkludert opprinnelse, brukernavn, sensitivitetsnivå og annen informasjon. Denne informasjonen kan være svært nyttig for å identifisere og løse strukturelle feil, samt for å forutse kommende utfordringer basert på datamønstre.
Nettverksadministratorer kan effektivt oppdage og håndtere problemer før de blir alvorlige ved å holde øye med hendelseslogger. Dette kan muligens spare mye tid og krefter når du undersøker og løser problemet. Dette kan bidra til å garantere at systemene fortsetter å være trygge, pålitelige og yte på sitt beste.
Hvordan få tilgang til Windows Event Log?
#1. Bruker GUI
Trinn 1 – Åpne Start-menyen og søk etter «Event Viewer».
Trinn 2 – Klikk på Event Viewer-applikasjonen for å åpne den.
Trinn 3 – I panelet lengst til venstre vil du se en liste over hendelseslogger. Velg alternativet Windows Logger og klikk deretter på ønsket logg for å vise.
Trinn 4 – I midtpanelet kan du se en liste over hendelser for den valgte loggen. Du kan bruke filteralternativene på høyre side av skjermen for å begrense hendelsene du er interessert i.
Trinn 5 – For å se detaljene for en hendelse, dobbeltklikk på den. Dette vil åpne dialogboksen Egenskaper for hendelse, som inneholder detaljert informasjon om hendelses-ID, kilde, alvorlighetsgrad, dato og klokkeslett, brukernavn, datamaskinnavn og beskrivelse.
Trinn 6 – Du kan bruke menyalternativene og verktøylinjen øverst på skjermen til å utføre ulike handlinger som å lagre og tømme logger, lage egendefinerte visninger og filtrere hendelser.
#2. Bruke ledeteksten
Du kan få tilgang til Windows-hendelsesloggen ved å bruke ledeteksten eller PowerShell ved å bruke «wevtutil»-kommandoen. Her er noen eksempler.
- For å vise alle hendelser i systemloggen
wevtutil qe System
- For å vise hendelsene i applikasjonsloggen
wevtutil qe Application
Utgangen kan se slik ut.
- For å vise alle hendelser i sikkerhetsloggen
wevtutil qe Security
- For å vise hendelser fra en bestemt kilde i systemloggen.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Her må du erstatte «kildenavn» med navnet på hendelseskilden du vil se.
- For å eksportere hendelser fra en logg til en fil
wevtutil epl System C:LogsSystemLog.evtx
Erstatt «System» med navnet på loggen du vil eksportere, og «C:LogsSystemLog.evtx» med banen og filnavnet der du vil lagre den eksporterte loggen.
#3. Bruker Run
Du kan også få tilgang til Windows-hendelsesloggen ved å bruke dialogboksen Kjør i Windows. Dette er hvordan:
Trinn 1 – Trykk på «Windows-tasten + R» på tastaturet for å åpne dialogboksen Kjør.
Trinn 2 – Skriv «eventvwr.msc» i Kjør-dialogboksen og trykk Enter.
Trinn 3 – Event Viewer-verktøyet åpnes og viser hovedkonsollvinduet.
Trinn 4 – I konsollvinduet til venstre kan du utvide mappen «Windows Logger» for å se system-, applikasjons-, sikkerhets-, oppsett- og andre logger.
Trinn 5 – Klikk på loggen du vil se innholdet i det høyre panelet. Du kan filtrere og sortere hendelsene samt opprette egendefinerte visninger og lagre dem for fremtidig bruk.
Når skal du bruke disse hendelsesloggene?
Vanligvis kan du bruke Windows-hendelsesloggen når du trenger å overvåke, feilsøke eller revidere hendelser på et Windows-system. Her er noen spesifikke situasjoner der du kan bruke den.
Overvåking av systemets helse
Windows-hendelsesloggen kan gi verdifull informasjon om systemfeil, advarsler og ytelsesproblemer som lar deg proaktivt overvåke og vedlikeholde systemets tilstand.
Feilsøking av problemer
Når du støter på et problem på et Windows-system, kan hendelsesloggen gi en indikasjon på årsaken og hjelpe deg med å diagnostisere problemet. Ved å analysere hendelseslogger kan du enkelt identifisere årsaken til et problem og ta skritt for å løse det.
Revisjon og sporing av brukeraktivitet
Sikkerhetsloggen i hendelsesloggen kan brukes til å spore brukerpålogginger, avlogging, mislykkede påloggingsforsøk og andre sikkerhetsrelaterte hendelser, som kan hjelpe deg med å identifisere potensielle sikkerhetstrusler og iverksette passende tiltak.
Samsvarsrapportering
Mange regulatoriske rammeverk som HIPAA, PCI-DSS og GDPR krever at organisasjoner vedlikeholder hendelseslogger og gir regelmessige rapporter. Windows Event Log kan brukes til å oppfylle disse samsvarskravene.
Hvordan lese disse hendelsesloggene?
Det kan være litt vanskelig å lese Windows-hendelsesloggen til å begynne med, men med nok trening og kjennskap blir det enklere å forstå dataene den gir. Her er noen generelle trinn å følge når du leser Windows-hendelsesloggen.
#1. Åpne hendelsesloggen
Det første trinnet er å åpne hendelsesloggen. Du kan få tilgang til den ved å bruke en av de ovennevnte metodene.
#2. Naviger til riktig logg
Det er flere logger i Event Viewer, inkludert applikasjons-, system-, sikkerhets- og oppsettloggene. Hver logg inneholder forskjellige typer hendelser. Velg loggen som inneholder hendelsene du vil se.
#3. Filtrer hendelse
Du kan filtrere hendelser etter alvorlighetsgrad, hendelseskilde, datoperiode og andre kriterier. Dette kan hjelpe deg med å begrense hendelsene du er interessert i.
#4. Se hendelsesdetaljer
Undersøk hver hendelse nøye for å se detaljene, inkludert hendelses-ID, kilde, alvorlighetsgrad, dato og klokkeslett, brukernavn, datamaskinnavn og beskrivelse. Denne informasjonen kan hjelpe deg med å identifisere årsaken til hendelsen og iverksette passende tiltak.
#5. Bruk hendelsesegenskaper
Mange arrangementer har tilleggsegenskaper som gir mer informasjon om arrangementet.
For eksempel kan en sikkerhetshendelse ha egenskaper som påloggingstype, påloggingsprosess og autentiseringspakke. Disse egenskapene kan hjelpe deg med å forstå konteksten til hendelsen og dens betydning.
#5. Analyser mønstre
Prøv alltid å se etter mønstre i hendelsene for å identifisere tilbakevendende problemer eller trender. Hvis du for eksempel ser en rekke diskfeil, kan det indikere et problem med diskmaskinvaren eller konfigurasjonen.
Alvorlighetsnivåer for Windows-hendelser
Windows-hendelsesloggen bruker alvorlighetsnivåer for å kategorisere hendelser basert på deres betydning eller innvirkning på systemet. Det er fem alvorlighetsnivåer i Windows-hendelsesloggen, oppført nedenfor fra høyeste til laveste alvorlighetsgrad:
- Kritisk: Dette alvorlighetsnivået er reservert for hendelser som indikerer en kritisk system- eller applikasjonsfeil som krever umiddelbar oppmerksomhet. Eksempler inkluderer systemkrasj, store maskinvarefeil og kritiske applikasjonsfeil.
- Feil: Den brukes for hendelser som indikerer et alvorlig problem som krever oppmerksomhet, men ikke nødvendigvis umiddelbar handling. Noen vanlige eksempler er programkrasj, nettverkstilkoblingsfeil og diskfeil.
- Advarsel: Det indikerer et potensielt problem som systemadministratorer bør holde et øye med, inkludert advarsler om lite diskplass og brudd på sikkerhetspolicyer.
- Utførlig: Den brukes for hendelser som gir detaljert informasjon om system- eller programaktivitet, vanligvis for feilsøking eller feilsøkingsformål.
- Informasjon: Det viser at alt gikk knirkefritt. Nesten alle logger inkluderer informasjonshendelser.
Disse alvorlighetsnivåene lar administratorer og systemanalytikere raskt identifisere kritiske problemer som krever oppmerksomhet og prioritere deres respons deretter.
Konklusjon ✍️
Jeg håper du fant denne artikkelen nyttig for å lære om Windows-hendelsesloggen og dens betydning. Du kan også være interessert i å lære om de ulike måtene å gjenopprette slettede data i Windows 11.