iT邦幫忙

2021 iThome 鐵人賽

DAY 18
0
Software Development

妄想對自己的Windows優化兼Debug的工程師很正常吧系列 第 18

事件檢視器的使用介紹(一)--Windows內建的日誌查看程式

今天正式進入Windows的事件檢視器了,先來看懂這項工具吧,首先我們按Win+X顯示功能表,再按V開起事件檢視器(Windows Event Viewer),就是這個看來很酷的訊息介面,然後他顯示你的電腦有許多錯誤跟警告,這是正常現象,聽說以前有一種詐騙就是會有人打電話過來自稱是Micosoft的人員說你的電腦有問題,然後叫你打開事件檢視器看一堆錯誤報告,最後要求你提供信用卡號資訊之類的。
Imgur


研究的理由

對於電腦無時無刻發生各種錯誤其實不稀奇古怪,之前看ProcessMonitor就知道其實很多程序每秒都在動作,總是會發生一些小問題,像是日誌檔塞滿了或是一些小程序啟動失敗或者權限不足等等,也可能軟體本身寫得不好,或是我們安裝軟體失敗之類的,那像藍屏畫面這種重大錯誤,甚至是硬體層面的就更會被記錄在這。不過除了錯誤也會記錄各種成功執行的事件,像是開關機,帳戶驗證,或是軟體安裝執行成功等等,各種大小事都被記錄在上面,如果電腦常常當機就可以過來這裡找資訊,他也是Windows內建的功能,對於一個潔癖工程師,錯誤當然是越少越好,有種在自行提升系統穩定性的自我感覺良好意識,所以,學習這個看懂這個檢視器然後去糾正錯誤,可以學會自己修電腦還可以提升自我優越感,是筆者研究他的理由,幫自己的Windows debug的小小夢想,是不是可以更接近一步呢~~

妄想對自己的Windows優化兼Debug的工程師很正常吧!?


概念原理

我們的事件檢視器位在%SystemRoot%\system32\路徑下,他叫eventvwr.msc可以在執行對話框輸入他直接呼叫,資料夾內還有個eventvwr.exe,執行他會去同一個資料夾下呼叫mmc.exe,他的全名是Microsoft Management Console,是提供副檔名為.msc的管理程式運行的平台,像是前面提到的組策略編輯器等,當他被eventvwr.exe呼叫後會去運行eventvwr.msc打開Windows Event Viewer。

從1993年開始,Windows NT就提供事件日誌檔的紀錄,對於開發人員來說日誌檔很重要,Windows事件檢視器可以檢視他紀錄的特殊格式事件檔,而且對這種可識別的事件都有特定的ID去指稱,也開發出一些API讓我們可以去產生安全稽核的事件,這些檔案的位置根據登錄檔HKLM\SYSTEM\CurrentControlSet\Services\EventSystem各種類型的事件,有個叫file的登錄值(REG_EXPAND_SZ),會指出事件日誌檔的位置,大致上會在C:\Windows\System32\winevt\Logs裡,他們副檔名是.evtx,Windows系統的日至對應如下:

  • 應用程式:Application.evtx
  • 安全性:Security.evtx
  • Setup:Setup.evtx
  • 系統:System.evtx

而會讀取這些日誌的也包括控制台裡安全性與維護,有個可靠性監視器,會記錄Windows更新之類的事件,嚴重一點的錯誤才會顯示。
Imgur


介面介紹

在右上角有上下一頁跟版面排版的配置。
Imgur

左邊是各種日誌的目錄,對日誌檔按右鍵內容可以查看他的文件實體位置,選擇將所有事件另存為…可以匯出特定格式的日誌檔方便我們給別人查看。
Imgur

中間的概觀可以看到上次重新整理的時間,右鍵可以重新整理刷新他,會有一些統計資料告訴你近期的事件紀錄,如果不清楚問題屬於哪一個日誌檔可以從這裡看起,點加號會展開項目雙擊會跳到同一種事件紀錄的詳細資料,下面也顯示有哪些紀錄檔,也顯示每個日誌檔都有他的大小限制避免佔用太多空間,新的事件可以去覆蓋最舊的事件,雙擊就會跳到那個日誌檔的目錄。
Imgur

左邊有一些動作可以執行,大概包括對檔案按右鍵的功能,看使用者習慣也可以關閉這個頁籤。
Imgur

點進一個日誌會看到他紀錄的事件列表,下面是事件的內容,可以理解大概發生什麼,其中事件識別碼很重要,要找問題就把它拿去google,他幫事件分類可以更有效率查到事件資訊。
Imgur

下面點進詳細資料有兩種檢視模式,雖然是英文但他紀錄的更詳細,易閱模式的加號一樣可以往下展開資料,XML格式會標高亮出來。
Imgur
Imgur
以上就是對事件檢視器的概略簡介,了解他的使用方式,下篇我們再來分析各日誌檔的內容跟類型的判別,也來看看要怎麼理解Event ID(事件識別碼)的存在意義,準備好好玩玩這些奇妙的工具吧。

Imgur

參考資料:
https://www.howtogeek.com/123646/htg-explains-what-the-windows-event-viewer-is-and-how-you-can-use-it/
https://baike.baidu.com/item/eventvwr.exe/10709039
https://docs.microsoft.com/en-us/troubleshoot/windows-server/application-management/move-event-viewer-log-files


上一篇
Windows系統權限--傳說的至高無上SYSTEM和虛擬高階TrustedInstaller
下一篇
事件檢視器的使用介紹(二)--事件分類與篩選
系列文
妄想對自己的Windows優化兼Debug的工程師很正常吧30

1 則留言

0
jafarwu
iT邦新手 5 級 ‧ 2021-09-27 21:50:06

所以...你研究這個是不是想幫學妹修電腦/images/emoticon/emoticon27.gif

Zero皇 iT邦新手 5 級 ‧ 2021-09-27 22:28:12 檢舉

幫自己啦~ 我可沒抓住哪個學弟妹喔

jafarwu iT邦新手 5 級 ‧ 2021-09-27 22:53:52 檢舉

看來是學姊/images/emoticon/emoticon31.gif

Zero皇 iT邦新手 5 級 ‧ 2021-09-28 08:23:31 檢舉

/images/emoticon/emoticon04.gif

我要留言

立即登入留言