Verwenden der Ereignisanzeige zur Problembehandlung

In der heutigen Ausgabe der Geek School lernen Sie, wie Sie die Ereignisanzeige verwenden, um Probleme auf Ihrem PC zu beheben und zu verstehen, was unter der Haube abläuft.

SCHULNAVIGATION

1. Verwenden des Taskplaners zum späteren Ausführen von Prozessen
2. Verwenden der Ereignisanzeige zur Problembehandlung
3. Grundlegendes zur Festplattenpartitionierung mit der Datenträgerverwaltung
4. Verwendung des Registrierungseditors wie ein Profi
5. Überwachen Sie Ihren PC mit Resource Monitor und Task Manager
6. Grundlegendes zum Bereich "Erweiterte Systemeigenschaften"
7. Verstehen und Verwalten von Windows-Diensten
8. Verwenden des Gruppenrichtlinien-Editors zum Optimieren Ihres PCs
9. Grundlegendes zu Windows-Verwaltungstools

Das größte Problem bei der Ereignisanzeige ist, dass es sehr verwirrend sein kann. Es gibt viele Warnungen, Fehler und Informationsmeldungen. Wenn Sie nicht wissen, was alles bedeutet, können Sie (falsch) davon ausgehen, dass Ihr Computer beschädigt ist oder infiziert ist, wenn ein Ereignis vorliegt nichts wirklich falsch.

Tatsächlich verwenden die Betrüger des technischen Supports die Ereignisanzeige als Teil ihrer Verkaufstaktik, um verwirrte Benutzer davon zu überzeugen, dass ihr PC mit Viren infiziert ist. Sie führen Sie durch das Filtern nur kritischer Fehler und reagieren dann überrascht, dass alles, was Sie sehen, kritische Fehler sind.

Das Erlernen und Verwenden der Ereignisanzeige ist eine wichtige Fähigkeit, um herauszufinden, was mit einem PC los ist, und um Probleme zu beheben.

Die Benutzeroberfläche verstehen

Wenn Sie die Ereignisanzeige zum ersten Mal öffnen, werden Sie feststellen, dass die dreigeteilte Konfiguration wie bei vielen anderen Verwaltungstools in Windows verwendet wird. In diesem Fall befinden sich jedoch auf der rechten Seite einige nützliche Tools.

Im linken Bereich wird eine Ordneransicht angezeigt, in der Sie alle verschiedenen Ereignisprotokolle sowie die Ansichten finden können, die mit Ereignissen aus vielen Protokollen gleichzeitig angepasst werden können. In der Ansicht Verwaltungsereignisse in neueren Windows-Versionen werden beispielsweise alle Fehler-, Warn- und kritischen Ereignisse angezeigt, unabhängig davon, ob sie aus dem Anwendungsprotokoll oder dem Systemprotokoll stammen.

Im mittleren Bereich wird eine Liste mit Ereignissen angezeigt. Wenn Sie auf diese Ereignisse klicken, werden die Details im Vorschaubereich angezeigt. Sie können auch auf einen dieser Ereignisse doppelklicken, um ihn in einem separaten Fenster aufzurufen. Dies kann beim Durchsehen hilfreich sein eine große Anzahl von Veranstaltungen und möchten alle wichtigen Dinge finden, bevor Sie mit der Suche im Internet beginnen.

Im rechten Fensterbereich können Sie schnell auf Aktionen zugreifen, z. B. benutzerdefinierte Ansichten erstellen, filtern oder sogar eine geplante Aufgabe basierend auf einem bestimmten Ereignis erstellen.

Die Ereignisse selbst versuchen wir natürlich zu sehen, und ihre Nützlichkeit kann von wirklich spezifischen und offensichtlichen Dingen reichen, die Sie leicht korrigieren können, bis hin zu sehr vagen Botschaften, die keinen Sinn ergeben und Sie keine finden Informationen bei Google. Die regulären Felder auf dem Display enthalten:

• Protokollname - Während in älteren Windows-Versionen alles in das Anwendungs- oder Systemprotokoll übertragen wurde, stehen in den moderneren Editionen Dutzende oder Hunderte verschiedener Protokolle zur Auswahl. Jede Windows-Komponente verfügt höchstwahrscheinlich über ein eigenes Protokoll.
• Quelle - Dies ist der Name der Software, die das Protokollereignis generiert. Der Name stimmt normalerweise nicht direkt mit einem Dateinamen überein, aber es ist eine Darstellung der Komponente, die dies getan hat.
• Ereignis-ID - Die überaus wichtige Ereignis-ID kann tatsächlich etwas verwirrend sein. Wenn Sie bei "Event-ID 122", die Sie im nächsten Screenshot sehen, bei Google suchen würden, würden Sie keine sehr nützlichen Informationen erhalten, wenn Sie nicht auch die Quelle oder den Anwendungsnamen angeben. Dies liegt daran, dass jede Anwendung ihre eigenen eindeutigen Ereignis-IDs definieren kann.
• Niveau - Hier erfahren Sie, wie schwerwiegend das Ereignis ist - Informationen zeigen Ihnen lediglich an, dass sich etwas geändert hat, eine Komponente gestartet wurde oder etwas abgeschlossen wurde. Warnung weist Sie darauf hin, dass möglicherweise etwas schief läuft, aber es ist noch nicht so wichtig. Ein Fehler sagt Ihnen, dass etwas passiert ist, das nicht hätte passieren dürfen, aber es ist nicht immer das Ende der Welt. Kritisch hingegen bedeutet, dass irgendwo etwas kaputt ist, und die Komponente, die dieses Ereignis ausgelöst hat, ist wahrscheinlich abgestürzt.
• Nutzer - In diesem Feld erfahren Sie, ob es eine Systemkomponente oder ein Benutzerkonto war, das den Prozess ausgeführt hat, der den Fehler verursacht hat. Dies kann hilfreich sein, wenn Sie Dinge durchsehen.
• OpCode - In diesem Feld wird theoretisch angegeben, welche Aktivität die Anwendung oder Komponente ausgeführt hat, als das Ereignis ausgelöst wurde. In der Praxis wird es jedoch fast immer „Info“ sagen und ist ziemlich nutzlos.
• Computer - Auf Ihrem Heimdesktop ist dies normalerweise nur der Name Ihres PCs. In der IT-Welt können Sie jedoch Ereignisse von einem Computer oder Server an einen anderen Computer weiterleiten. Sie können die Ereignisanzeige auch mit einem anderen PC oder Server verbinden.
• Aufgabenkategorie - Dieses Feld wird nicht immer verwendet, aber es handelt sich im Grunde genommen um ein Informationsfeld, in dem Sie ein wenig mehr Informationen über das Ereignis erhalten.
• Schlüsselwörter - Dieses Feld wird normalerweise nicht verwendet und enthält in der Regel unbrauchbare Informationen.

Als Faustregel sollten Sie versuchen, anhand der allgemeinen Beschreibung oder der Ereignis-ID und der Quelle oder einer Kombination dieser Werte zu suchen.

Denken Sie daran, dass die Ereignis-ID für jede Anwendung eindeutig ist. Es gibt also viele Überschneidungen, und Sie können nicht einfach nach „Event ID 122“ suchen, weil Sie viel Quatsch bekommen.

Wichtige Notiz: Es gibt immer Fehler und Warnungen im Ereignisprotokoll, und Sie können nicht alle lösen. Am wichtigsten ist es, die Ereignisanzeige zu verwenden, um Probleme zu beheben, die Sie bereits haben, anstatt zu versuchen, Probleme zu finden, die Sie noch nicht kennen.

Und ja, Sie müssen Ihre Google-Kenntnisse einsetzen, um die Ereignisse zu ermitteln, von denen Sie nichts wissen. Es gibt keine einfache magische Lösung.

Wenn Sie dieses Dialogfeld sehen, werden Sie möglicherweise sofort auf den Link Weitere Informationen klicken. Das Problem ist, dass Sie momentan nicht weiter nützlich sind. Sie landen auf einer Fehlerseite auf der Microsoft-Website.

Beängstigend ist, dass 8464 Personen die Seite als nicht hilfreich befunden haben.

Neuzuordnen der Online-Ereignis-ID-Suche zur tatsächlichen Arbeit

Aus irgendeinem Grund funktioniert der Link "Weitere Informationen: Ereignisprotokoll-Onlinehilfe" einfach nicht, aber zum Glück gibt es einen großartigen Registry-Hack, mit dem Sie das Problem beheben können.

Was wir tun werden, ist lediglich die Umleitungs-URL in der Registrierung zu ändern, damit sie auf Google verweist. Abgesehen von der Art, wie die Argumente übergeben werden, müssen wir sie auf eine Zwischenseite richten, auf der die Argumente und analysiert werden bilden Sie die korrekte Google-Such-URL.

Für diesen Artikel haben wir eine Seite auf unserem eigenen Server erstellt, die Sie gerne verwenden können. Wenn Sie unseren Server nicht verwenden möchten, wird am Ende dieses Abschnitts die einzige Zeile mit PHP-Code aufgeführt.

Um diese Änderung vorzunehmen, führen Sie den folgenden Registrierungsschlüssel aus:

HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

Suchen Sie auf der rechten Seite nach dem MicrosoftRedirectionURL-Wert, und ändern Sie den Wert vom Standardwert (http://go.microsoft.com/fwlink/events.asp), und fügen Sie stattdessen diesen Wert ein:

https://www.howtogeek.com/eventid

Wenn Sie dies getan haben, werden Sie durch Klicken auf den Link im Fenster "Ereignismerkmale" sofort an Google weitergeleitet. Die entsprechenden Daten sind bereits enthalten (Ereignis-ID, Protokollname und "Anwendung", was in der Regel nur Microsoft Windows anzeigt)..

Wie funktioniert das? Es ist ziemlich einfach: Die Ereignisanzeige fügt einen Parametersatz als Abfragezeichenfolgeargumente zu der URL hinzu, die wir in die Registrierung aufnehmen. Anschließend extrahiert das Skript diese Argumente und leitet sie an Google weiter, wobei die Argumente stattdessen als Suchbegriffe übergeben werden.

Mit einem einfachen PHP-Skript haben wir uns die Weiterleitung vorgenommen.

Header ("Standort: http://google.com/search?q=Event ID". $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']);

Sie können dasselbe auf Ihrem eigenen Server hosten, wenn Sie möchten, oder Sie können den Server auf unserem Server verwenden. Wie du willst.

Hüten Sie sich vor Internet-Sites mit "Lösungen" für die Ereignis-ID "Probleme".

Es gibt eine Vielzahl von Websites, die automatisch Seiten für jede einzelne Ereignis-ID generieren und diese dann mit Unsinn füllen. Das wäre gut, außer für viele dieser Ereignisse gibt es nicht viele andere gute Ergebnisse.

Diese Websites bieten dann an, das Problem zu lösen, wenn Sie nur eine Software für Ihre kostenlose Analyse herunterladen. In allen Fällen handelt es sich dabei um Anzeigen, und die Softwarelösung ist Betrug.

Es gibt KEIN Softwarepaket, das alle Ihre Probleme mit dem Ereignisprotokoll lösen kann.

Verwenden von Filtern und benutzerdefinierten Ansichten

Anstatt die unzähligen Ordner mit benutzerdefinierten Ereignisprotokollen zu durchsuchen und nach allen gesuchten Informationen zu suchen, können Sie eine benutzerdefinierte Ansicht erstellen, in der nur die gewünschten Ereignisse angezeigt werden.

Um die besten Ergebnisse zu erzielen, möchten Sie nur nach bestimmten Dingen filtern, die Sie sehen möchten - wahrscheinlich Critical, Error und Warning. Wählen Sie dann die spezifischen Ereignisprotokolle aus, die diese Ansicht anzeigen soll. Wählen Sie jedoch nicht zu viele, da dies einfach nicht funktioniert.

Nachdem Sie das gewünschte Element in der Ansicht ausgewählt haben, werden Sie aufgefordert, der benutzerdefinierten Ansicht einen Namen zu geben. Anschließend können Sie nur die Ereignisse anzeigen, nach denen Sie gefiltert haben. Es ist eine unglaublich gute Möglichkeit, mit massiven Protokollen voller unsinniger Informationsereignisse fertig zu werden.

Möglicherweise ist es natürlich noch einfacher, die integrierte Verwaltungsereignisansicht zu verwenden, in der die wichtigen Meldungen der einzelnen Hauptprotokolle angezeigt werden.

Durchsuchen Sie das Windows Diagnostics Performance Log

Es gibt viele interessante Protokolle, auf die Sie bei der Problembehandlung achten können. Eine der interessantesten Protokolle wird jedoch gefunden, wenn Sie die Ordner an folgendem Ort durchsuchen:

Microsoft \ Windows \ Diagnostics-Performance

Dies führt zu einem Ereignisprotokoll, in dem alle Ereignisse angezeigt werden, die Windows zur Leistungsprüfung intern protokolliert. Wenn Ihr Computer langsamer als normal startet, hat Windows normalerweise einen Protokolleintrag und listet häufig die Komponente auf, die Windows verursacht hat langsamer booten.

Es ist erwähnenswert, dass nur weil die Nachricht einen Fehler anzeigt, dies nicht das Ende der Welt ist, es sei denn, sie erscheint ständig. Dann möchten Sie vielleicht darüber nachdenken.

Beheben dieses Fehlers von früher

Neugierig auf das Ereignis in der Abbildung früher in dem Artikel? Wenn Sie die Meldung erhalten, dass der Zugriff auf Treiber unter Windows Update durch die Richtlinie blockiert wurde, ist die Lösung sehr einfach. Öffnen Sie die Systemsteuerung, suchen Sie nach „Treiber“ und wählen Sie Geräteinstallationseinstellungen ändern.

In der nächsten Abbildung werden Sie feststellen, dass dieser Computer so eingestellt wurde, dass er Gerätetreiber nicht automatisch von Windows Update herunterlädt. Um das Problem zu beheben und mehr Meldungen in der Ereignisanzeige anzuzeigen, müssen Sie nur das Optionsfeld auf "Ja, automatisch ausführen" setzen..

Schön und einfach. Problem gelöst, Warnmeldung behoben.

Aufgaben an Ereignisse anhängen

Wenn Sie in der letzten Geek School-Lektion aufgepasst haben, erinnern Sie sich vielleicht daran, dass Sie einen Taskplaner-Auslöser nach Ereignis-ID erstellen können. Klicken Sie mit der rechten Maustaste auf eine beliebige Aufgabe, und Sie können eine geplante Aufgabe problemlos anhängen, um sie bei jedem Ereignis auszuführen.

Andere Funktionen, die Sie benötigen könnten

Die Ereignisanzeige verfügt über eine Reihe weiterer Funktionen, an denen Sie möglicherweise interessiert sind. Für die meisten Menschen ist es wichtig, die Liste durchzugehen und zu wissen, wonach sie suchen müssen.

Abonnements, die sich im Menü auf der linken Seite befinden, werden hauptsächlich in einer Unternehmensumgebung verwendet, um Ereignisse von einem Server an einen anderen Server weiterzuleiten, damit Sie sie alle an einem Ort verwalten können. Dazu müssen der Windows Event Collector und die Windows Remote Management-Dienste ausgeführt werden. Für Heimanwender sollten Sie sich nicht damit beschäftigen, außer zu Lernzwecken auf Ihrem Testsystem.

Wenn Sie mit der rechten Maustaste auf die Elemente auf der linken Seite klicken, werden eine Vielzahl von Aktionen angezeigt (die gleichen Aktionen, die sich normalerweise im rechten Bereich befinden)..

Sie können alle Ereignisse in einem Protokoll zur späteren Anzeige oder auf einem anderen PC speichern, Sie können eine Ansicht kopieren oder als XML-Datei exportieren, um sie auf einen anderen Computer zu importieren.