Windows Event Log er en indbygget funktion i Microsoft Windows-operativsystemet, der registrerer og gemmer forskellige system-, sikkerheds- og programhændelser, der opstår på en computer.
Disse hændelser kan omfatte fejl, advarsler og informationsmeddelelser. Ved hjælp af denne hændelseslog kan administratorer fejlfinde problemer, overvåge systemets tilstand og spore brugeraktivitet.
Windows Event Log er organiseret i tre hovedkategorier:
System, applikation og sikkerhed.
Applikationsloggen indeholder hændelser relateret til applikationer og tjenester, hvorimod systemloggen indeholder hændelser forbundet med systemkomponenter og drivere. Logon-sessioner, mislykkede loginforsøg og andre sikkerhedsrelaterede hændelser er dokumenteret i sikkerhedsloggen.
Denne Windows-hændelseslogposter inkluderer detaljerede oplysninger såsom dato og klokkeslæt for hændelsen, kilden til hændelsen og eventuelle relevante fejlkoder.
Indholdsfortegnelse
Windows Hændelseslog vigtig
Rollen som overvågning af hændelseslog er afgørende for system- og netværksingeniører, fordi det giver dem mulighed for at holde sig informeret om eventuelle problemer, ulovlig aktivitet, netværksnedbrud og andre vigtige problemer, der kan opstå inde i en computer.
Det giver fuldstændige detaljer om hver begivenhed, herunder dens oprindelse, brugernavn, følsomhedsniveau og andre oplysninger. Disse oplysninger kan være meget nyttige til at identificere og løse strukturelle fejl, såvel som til at forudsige kommende udfordringer baseret på datamønstre.
Netværksadministratorer kan effektivt opdage og håndtere problemer, før de bliver alvorlige, ved at holde øje med hændelseslogfiler. Dette kan muligvis spare en masse tid og kræfter, når du undersøger og løser problemet. Dette kan være med til at garantere, at systemerne fortsat er sikre, pålidelige og yder bedst muligt.
Sådan får du adgang til Windows Event Log?
#1. Bruger GUI
Trin 1 – Åbn Start-menuen og søg efter “Event Viewer”.
Trin 2 – Klik på Event Viewer-applikationen for at åbne den.
Trin 3 – I panelet længst til venstre vil du se en liste over hændelseslogfiler. Vælg indstillingen Windows Logs, og klik derefter på den ønskede log for at se.
Trin 4 – I midterpanelet kan du se en liste over hændelser for den valgte log. Du kan bruge filtermulighederne i højre side af skærmen til at indsnævre de begivenheder, du er interesseret i.
Trin 5 – For at se detaljerne for en begivenhed skal du dobbeltklikke på den. Dette åbner dialogboksen Hændelsesegenskaber, som indeholder detaljerede oplysninger om hændelses-id, kilde, sværhedsgrad, dato og klokkeslæt, brugernavn, computernavn og beskrivelse.
Trin 6 – Du kan bruge menuindstillingerne og værktøjslinjen øverst på skærmen til at udføre forskellige handlinger, såsom at gemme og rydde logfiler, oprette tilpassede visninger og filtrere hændelser.
#2. Brug af kommandoprompt
Du kan få adgang til Windows Event Log ved at bruge kommandoprompten eller PowerShell ved at bruge kommandoen “wevtutil”. Her er nogle eksempler.
- For at vise alle hændelser i systemloggen
wevtutil qe System
- For at vise hændelser i applikationsloggen
wevtutil qe Application
Outputtet kan se sådan ud.
- For at vise alle hændelser i sikkerhedsloggen
wevtutil qe Security
- For at vise hændelser fra en bestemt kilde i systemloggen.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Her skal du erstatte “kildenavn” med navnet på den begivenhedskilde, du vil se.
- For at eksportere hændelser fra en log til en fil
wevtutil epl System C:LogsSystemLog.evtx
Erstat “System” med navnet på den log, du vil eksportere, og “C:LogsSystemLog.evtx” med stien og filnavnet, hvor du vil gemme den eksporterede log.
#3. Brug af Kør
Du kan også få adgang til Windows Event Log ved at bruge dialogboksen Kør i Windows. Sådan gør du:
Trin 1 – Tryk på “Windows-tasten + R” på dit tastatur for at åbne dialogboksen Kør.
Trin 2 – Skriv “eventvwr.msc” i dialogboksen Kør, og tryk på Enter.
Trin 3 – Event Viewer-værktøjet åbner og viser hovedkonsolvinduet.
Trin 4 – I konsolvinduet til venstre kan du udvide mappen “Windows Logs” for at se System, Application, Security, Setup og andre logfiler.
Trin 5 – Klik på den log, du vil se dens indhold i det højre panel. Du kan filtrere og sortere begivenhederne samt oprette tilpassede visninger og gemme dem til fremtidig brug.
Hvornår skal man bruge disse hændelseslogfiler?
Generelt kan du bruge Windows-hændelsesloggen, når du har brug for at overvåge, fejlfinde eller revidere hændelser på et Windows-system. Her er nogle specifikke situationer, hvor du kan bruge det.
Overvågning af systemets sundhed
Windows Event Log kan give værdifulde oplysninger om systemfejl, advarsler og ydeevneproblemer, som giver dig mulighed for proaktivt at overvåge og vedligeholde dit systems tilstand.
Fejlfinding af problemer
Når du støder på et problem på et Windows-system, kan hændelsesloggen give en indikation af årsagen og hjælpe dig med at diagnosticere problemet. Ved at analysere hændelseslogfiler kan du nemt identificere årsagen til et problem og tage skridt til at løse det.
Revision og sporing af brugeraktivitet
Sikkerhedsloggen i hændelsesloggen kan bruges til at spore brugerlogin, logoff, mislykkede logonforsøg og andre sikkerhedsrelaterede hændelser, som kan hjælpe dig med at identificere potentielle sikkerhedstrusler og træffe passende foranstaltninger.
Overholdelsesrapportering
Mange lovgivningsmæssige rammer såsom HIPAA, PCI-DSS og GDPR kræver, at organisationer vedligeholder hændelseslogfiler og leverer regelmæssige rapporter. Windows Event Log kan bruges til at opfylde disse overholdelseskrav.
Hvordan læser man disse hændelseslogfiler?
Det kan være lidt svært at læse Windows Event Log i starten, men med nok øvelse og fortrolighed bliver det nemmere at forstå de data, den leverer. Her er nogle generelle trin, du skal følge, når du læser Windows Event Log.
#1. Åbn hændelsesloggen
Det første trin er at åbne hændelsesloggen. Du kan få adgang til det ved at bruge en af de ovennævnte metoder.
#2. Naviger til den relevante log
Der er flere logfiler i Event Viewer, inklusive applikations-, system-, sikkerheds- og opsætningslogfiler. Hver log indeholder forskellige typer hændelser. Vælg den log, der indeholder de hændelser, du vil se.
#3. Filtrer begivenhed
Du kan filtrere hændelser efter sværhedsgrad, hændelseskilde, datointerval og andre kriterier. Dette kan hjælpe dig med at indsnævre de begivenheder, du er interesseret i.
#4. Se begivenhedsdetaljer
Undersøg hver begivenhed omhyggeligt for at se dens detaljer, herunder begivenheds-id, kilde, sværhedsgrad, dato og klokkeslæt, brugernavn, computernavn og beskrivelse. Disse oplysninger kan hjælpe dig med at identificere årsagen til hændelsen og træffe passende foranstaltninger.
#5. Brug hændelsesegenskaber
Mange arrangementer har yderligere egenskaber, der giver mere information om begivenheden.
For eksempel kan en sikkerhedshændelse have egenskaber som logontype, logonproces og godkendelsespakke. Disse egenskaber kan hjælpe dig med at forstå begivenhedens kontekst og dens betydning.
#5. Analyser mønstre
Forsøg altid at lede efter mønstre i begivenhederne for at identificere tilbagevendende problemer eller tendenser. Hvis du f.eks. ser en række diskfejl, kan det indikere et problem med diskens hardware eller konfiguration.
Sværhedsgradsniveauer for Windows-hændelser
Windows-hændelsesloggen bruger alvorlighedsniveauer til at kategorisere hændelser baseret på deres betydning eller indvirkning på systemet. Der er fem sværhedsgrader i Windows-hændelsesloggen, som er angivet nedenfor fra højeste til laveste sværhedsgrad:
- Kritisk: Dette alvorlighedsniveau er forbeholdt hændelser, der indikerer en kritisk system- eller applikationsfejl, der kræver øjeblikkelig opmærksomhed. Eksempler omfatter systemnedbrud, større hardwarefejl og kritiske applikationsfejl.
- Fejl: Det bruges til hændelser, der indikerer et alvorligt problem, der kræver opmærksomhed, men ikke nødvendigvis øjeblikkelig handling. Nogle almindelige eksempler er programnedbrud, netværksforbindelsesfejl og diskfejl.
- Advarsel: Det indikerer et potentielt problem, som systemadministratorer bør holde øje med, herunder advarsler om lav diskplads og overtrædelser af sikkerhedspolitikken.
- Udførligt: Det bruges til begivenheder, der giver detaljerede oplysninger om system- eller applikationsaktivitet, typisk til fejlfinding eller fejlfindingsformål.
- Information: Det viser, at alt gik glat. Næsten alle logfiler indeholder informationsbegivenheder.
Disse sværhedsgrader giver administratorer og systemanalytikere mulighed for hurtigt at identificere kritiske problemer, der kræver opmærksomhed, og prioritere deres reaktion i overensstemmelse hermed.
Konklusion ✍️
Jeg håber, du fandt denne artikel nyttig til at lære om Windows-hændelsesloggen og dens betydning. Du kan også være interesseret i at lære om de forskellige måder at gendanne slettede data på i Windows 11.