Windows Event Log är en inbyggd funktion i Microsoft Windows-operativsystemet som registrerar och lagrar olika system-, säkerhets- och programhändelser som inträffar på en dator.
Dessa händelser kan innehålla fel, varningar och informationsmeddelanden. Med hjälp av den här händelseloggen kan administratörer felsöka problem, övervaka systemets tillstånd och spåra användaraktivitet.
Windows händelseloggen är organiserad i tre huvudkategorier:
System, applikation och säkerhet.
Applikationsloggen innehåller händelser relaterade till applikationer och tjänster, medan systemloggen innehåller händelser associerade med systemkomponenter och drivrutiner. Inloggningssessioner, misslyckade inloggningsförsök och andra säkerhetsrelaterade incidenter dokumenteras i säkerhetsloggen.
Dessa Windows-händelseloggposter innehåller detaljerad information som datum och tid då händelsen inträffade, källan till händelsen och eventuella relevanta felkoder.
Innehållsförteckning
Viktigt med Windows händelselogg
Rollen som händelseloggövervakning är avgörande för system- och nätverksingenjörer eftersom det gör det möjligt för dem att hålla sig informerade om eventuella problem, olaglig aktivitet, nätverksavbrott och andra nyckelproblem som kan uppstå inuti en dator.
Den ger fullständig information om varje händelse, inklusive dess ursprung, användarnamn, känslighetsnivå och annan information. Denna information kan vara till stor hjälp för att identifiera och lösa strukturella misslyckanden, såväl som för att förutsäga kommande utmaningar baserat på datamönster.
Nätverksadministratörer kan effektivt upptäcka och hantera problem innan de blir allvarliga genom att hålla ett öga på händelseloggar. Detta kan möjligen spara mycket tid och ansträngning när du undersöker och åtgärdar problemet. Detta kan bidra till att garantera att systemen fortsätter att vara säkra, pålitliga och prestera på sitt bästa.
Hur får jag åtkomst till Windows Event Log?
#1. Använder GUI
Steg 1 – Öppna Start-menyn och sök efter ”Event Viewer”.
Steg 2 – Klicka på Event Viewer-applikationen för att öppna den.
Steg 3 – I panelen längst till vänster ser du en lista med händelseloggar. Välj alternativet Windows Logs och klicka sedan på önskad logg för att visa.
Steg 4 – I mittpanelen kan du se en lista med händelser för den valda loggen. Du kan använda filteralternativen till höger på skärmen för att begränsa de evenemang du är intresserad av.
Steg 5 – För att se detaljerna om en händelse, dubbelklicka på den. Detta öppnar dialogrutan Händelseegenskaper, som innehåller detaljerad information om händelse-ID, källa, allvarlighetsgrad, datum och tid, användarnamn, datornamn och beskrivning.
Steg 6 – Du kan använda menyalternativen och verktygsfältet högst upp på skärmen för att utföra olika åtgärder som att spara och rensa loggar, skapa anpassade vyer och filtrera händelser.
#2. Använder kommandotolken
Du kan komma åt Windows händelseloggen med kommandotolken eller PowerShell genom att använda kommandot ”wevtutil”. Här är några exempel.
- För att visa alla händelser i systemloggen
wevtutil qe System
- För att visa händelserna i applikationsloggen
wevtutil qe Application
Utgången kan se ut så här.
- För att visa alla händelser i säkerhetsloggen
wevtutil qe Security
- För att visa händelser från en specifik källa i systemloggen.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Här måste du ersätta ”källa_namn” med namnet på händelsekällan du vill se.
- För att exportera händelser från en logg till en fil
wevtutil epl System C:LogsSystemLog.evtx
Ersätt ”System” med namnet på loggen du vill exportera och ”C:LogsSystemLog.evtx” med sökvägen och filnamnet där du vill spara den exporterade loggen.
#3. Använder Run
Du kan också komma åt Windows Event Log med hjälp av dialogrutan Kör i Windows. Här är hur:
Steg 1 – Tryck på ”Windows-tangenten + R” på ditt tangentbord för att öppna dialogrutan Kör.
Steg 2 – Skriv ”eventvwr.msc” i dialogrutan Kör och tryck på Enter.
Steg 3 – Event Viewer-verktyget öppnas och visar huvudkonsolfönstret.
Steg 4 – I det vänstra konsolfönstret kan du expandera mappen ”Windows Logs” för att se system, applikation, säkerhet, installation och andra loggar.
Steg 5 – Klicka på loggen du vill se dess innehåll i den högra panelen. Du kan filtrera och sortera händelserna samt skapa anpassade vyer och spara dem för framtida bruk.
När ska man använda dessa händelseloggar?
I allmänhet kan du använda Windows-händelseloggen när du behöver övervaka, felsöka eller granska händelser på ett Windows-system. Här är några specifika situationer där du kan använda den.
Övervakning av systemets hälsa
Windows-händelseloggen kan ge värdefull information om systemfel, varningar och prestandaproblem som gör att du proaktivt kan övervaka och underhålla ditt systems tillstånd.
Felsökning av problem
När du stöter på ett problem på ett Windows-system kan händelseloggen ge en indikation på orsaken och hjälpa dig att diagnostisera problemet. Genom att analysera händelseloggar kan du enkelt identifiera grundorsaken till ett problem och vidta åtgärder för att lösa det.
Revision och spårning av användaraktivitet
Säkerhetsloggen i händelseloggen kan användas för att spåra användarinloggningar, utloggning, misslyckade inloggningsförsök och andra säkerhetsrelaterade händelser, vilket kan hjälpa dig att identifiera potentiella säkerhetshot och vidta lämpliga åtgärder.
Efterlevnadsrapportering
Många regelverk som HIPAA, PCI-DSS och GDPR kräver att organisationer underhåller händelseloggar och tillhandahåller regelbundna rapporter. Windows Event Log kan användas för att uppfylla dessa efterlevnadskrav.
Hur läser man dessa händelseloggar?
Det kan vara lite svårt att läsa Windows-händelseloggen till en början, men med tillräckligt med övning och förtrogenhet blir det enklare att förstå data den tillhandahåller. Här är några allmänna steg att följa när du läser Windows Event Log.
#1. Öppna händelseloggen
Det första steget är att öppna händelseloggen. Du kan komma åt den genom att använda någon av de ovan nämnda metoderna.
#2. Navigera till lämplig logg
Det finns flera loggar i Event Viewer, inklusive program-, system-, säkerhets- och installationsloggarna. Varje logg innehåller olika typer av händelser. Välj loggen som innehåller händelserna du vill se.
#3. Filtrera händelse
Du kan filtrera händelser efter svårighetsgrad, händelsekälla, datumintervall och andra kriterier. Detta kan hjälpa dig att begränsa de evenemang du är intresserad av.
#4. Visa händelsedetaljer
Undersök varje händelse noggrant för att se dess detaljer, inklusive händelse-ID, källa, svårighetsgrad, datum och tid, användarnamn, datornamn och beskrivning. Denna information kan hjälpa dig att identifiera orsaken till händelsen och vidta lämpliga åtgärder.
#5. Använd händelseegenskaper
Många evenemang har ytterligare egenskaper som ger mer information om evenemanget.
Till exempel kan en säkerhetshändelse ha egenskaper som inloggningstyp, inloggningsprocess och autentiseringspaket. Dessa egenskaper kan hjälpa dig att förstå händelsens sammanhang och dess betydelse.
#5. Analysera mönster
Försök alltid leta efter mönster i händelserna för att identifiera återkommande problem eller trender. Om du till exempel ser en serie diskfel kan det tyda på ett problem med hårdvaran eller konfigurationen på hårddisken.
Svårighetsnivåer för Windows-händelser
Windows-händelseloggen använder allvarlighetsnivåer för att kategorisera händelser baserat på deras betydelse eller inverkan på systemet. Det finns fem allvarlighetsnivåer i Windows Event Log, listade nedan från högsta till lägsta svårighetsgrad:
- Kritisk: Denna svårighetsgrad är reserverad för händelser som indikerar ett kritiskt system- eller programfel som kräver omedelbar uppmärksamhet. Exempel inkluderar systemkrascher, större maskinvarufel och kritiska programfel.
- Fel: Det används för händelser som indikerar ett allvarligt problem som kräver uppmärksamhet men inte nödvändigtvis omedelbar åtgärd. Några vanliga exempel är programkrascher, nätverksanslutningsfel och diskfel.
- Varning: Det indikerar ett potentiellt problem som systemadministratörer bör hålla ett öga på, inklusive varningar om lågt diskutrymme och säkerhetspolicyöverträdelser.
- Utförlig: Den används för händelser som ger detaljerad information om system- eller programaktivitet, vanligtvis för felsökning eller felsökningsändamål.
- Information: Det visar att allt gick smidigt. Nästan alla loggar innehåller informationshändelser.
Dessa allvarlighetsnivåer tillåter administratörer och systemanalytiker att snabbt identifiera kritiska problem som kräver uppmärksamhet och prioritera deras svar därefter.
Slutsats ✍️
Jag hoppas att du tyckte att den här artikeln var till hjälp för att lära dig mer om Windows-händelseloggen och dess betydelse. Du kanske också är intresserad av att lära dig om de olika sätten att återställa raderade data i Windows 11.