Vista sisukorda

icon Koju1 icon Koju2 icon SISUKORD icon Arvutiabiicon Koolitus & help

Minu lugu...

 

Event Viewer - Süsteemi sündmuste ja probleemide jälgimine ning tuvastamine Event Viewer'i (Sündmuste Vaatleja) abil

 

 

Mis on sündmus (event)?

Windows Vista's on sündmuseks igasugune tähelepanuväärne juhtum—Sinu, teise kasutaja, operatsioonisüsteemi või mingi programmi jaoks. Sündmused salvestatakse Windows Event Log teenistuse abil ja nende sündmuste ajalugu hoitakse alles mitmes erinevas logi ehk źurnaalifailis (log file), mis sisaldavad programmide, turvalisuse, setup (installeerimiste), süsteemi ja edasisaadetud sündmuste kirjeldusi.

Event Viewer (Sündmuste Vaatleja) kuulub Microsoft Management Console (MMC)'i instrumentide hulka ja ta lubab Sul nende sündmuste ajalugu vaadata, vigu ja probleeme avastada ning arhiveerida nende sündmuste sisu.

 

Miks Sa peaksid neid sündmusi vaatama?

1) Vaadata, et mis põhjustas mingi vea või probleemi;
2) Jälgida kompuutri turvalisust;
3) Kui Sinu mingi seade väljus rivist, kui mingi programm jookseb pidevalt kokku või kui juhtub mingi muu kriitiline probleem, siis võib informatsioon, mis on salvestatud nendesse logifailidesse, Sind aidata.
4) Kui Sa jälgid neid sündmuste logifaile, siis võib see aidata Sul ennetada probleeme, enne kui need juhtuma hakkavad;
5) Lõpuks võid Sa kasutada Security log faili selleks et jälgida ebaõnnestunud sisselogimisi või siis mingi kasutaja katseid lugeda faile, millede suhtes tal puuduvad õigused—ühesõnaga kompuutri turvalisuse eesmärkidel.

Event Viewer'i (Sündmuste Vaatleja) käivitamine

Nagu ka Windows'i eelmistes versioonides, kuulub Event Viewer Windows Vista MMC koosseisu, st ta on selle konsooli nn snap-in. Kuid kogu sarnasus sellega lõpebki.

Et neid sündmusi näha, selleks tuleb kasutada Event Viewer'it, mille võime avada mitmel viisil:

 

Overview

Ülemises aknas on vasemas paanis märgistatud Event Viewer (Local) ja akna keskmises paanis kuvatakse asetleidnud sündmuste summaarne kokkuvõte ning ülevaade. Nagu sealt näha on, ei ole antud süsteemis viimase nädala jooksul olnud kriitilisi/tõsiseid (Critical) sündmusi (lohista seal alumist "lifti" paremale ja siis kuvatakse ka viimase 7 päeva jooksul juhtunud sündmused). Vigu (Error) on olnud 3 tükki, neid vigu juhtub alatihti ja seda ka kõige paremate masinate puhul nii et sellest ei maksa ennast häirida lasta, aga nende kaudu on hea kindlaks teha, et mis asi mingi vea põhjustas.
Kui Sa klõpsad seal keskmises paanis mingi sündmuse tüübi ees olevale "+" sümbolile, siis laiendatakse antud rida ja esile tuuakse selle sündmusekategooria kõik sündmused. Kui Sa seejärel teed mingil konkreetsel sündmusel 2x klõpsu, siis kuvatakse akna ülaosas kõik antud sündmusekategooria sündmuste toimumise ajad/kuupäevad.
Ja kui sa teed seal ülaosas mingil sündmusel 2x klõpsu, siis avatakse selle sündmuse omadusteaken (Event Properties), kus kuvatakse antud sündmuse detailne kirjeldus ning kus tuuakse ära ka selle sündmuse ID number (Event ID), sündmuse lähteallikas (Source). Need Event ID kood ja Source ongi olulised, sest nende kaudu saad abi, juhul kui Sa detailsest kirjeldusest aru ei saa või sellest on vähe kasu (allpool tuleb sellest veel juttu).

events aken

Event Viewer'i akna paremas pooles asuv Actions paan pakub menüüd, mille kaudu saab käivitada vajalikke käske selle elemendi suhtes, mis on valitud vasempoolsest konsoolipuu ja keskmisest Details paanidest.

Märkus: Et Sa saaksid kasutada Event Viewer'i kõiki võimalusi, pead Sa omama administraatori privileege.

 

Sündmuste tüübid:

Event Viewer'i akna vasem paan pakub siin kolme peaharu: Custom Views, Windows Logs ja Applications and Services Logs.

Windows Logs haru kuvab viit alamharu, mis esitavad peasündmusi, mida süsteem ise jälgib ja seal ongi siis toodud ära need sündmuste tüübid (pluss eraldi on veel Applications And Services sündmuste peaharu):

 

Applications and Services: See Applications and Services kaust sisaldab individuaalsete programmide (või programmipakettide, nt MS Office) ja teenistuste sündmusi. Teised logifailid salvestavad sündmusi, mis on süsteemipõhised, aga Applications and Services iga logifail on seotud ainult kindla programmi või komponendiga. Applications and Services kaust asub Microsoft\Windows kaustas, mis sisaldab omakorda kaustasid Windows Vista iga komponendi jaoks. Igaüks neist kaustadest sisaldab ühte või mitut logifaili.

Enamikes logifailides klassifitseeritakse sündmusi ühega kolmest tasapinnast, igaühte neist tähistatakse unikaalse ikoonikesega:

Ülesse

 

Sündmuste kokkuvõtte ja ülevaate uurimine

Kui Sa klõpsad seal Event Viewer'i akna vasema paani konsoolipuu kõige ülemisele elemendile ((Event Viewer (Local)), siis kuvatakse keskmises Details paanis informatsiooni kokkuvõte:

kogu info


See vaade lubab Sul visata kiire pilgu kõikidele olulistele sündmustele, mis nõuaksid Sinu tähelepanu. Sa võid selles vaates neid kategooriaid laiendada, klõpsates nende ees asuvatele pluss sümbolitele ja näha siis antud kategooria sündmuste põhjustajaid. Kui Sa märgistad Summary of Administrative Events pealkirja all mingi sündmuste kategooria, siis võid Sa vaadata kõiki antud kategooria sündmusi kui klõpsad Action paanis View All Instances of This Event lingile (enne peab Action paan avatud olema).

 

Individuaalsete logifailide ja sündmuste vaatamine

Kui Sa valid akna vasemast paanist konsoolipuult mingi logifaili või Custom Views, siis näitab Details paan iga sündmuse jaoks ühte rida. Vaikimisi on Details paanis 5 veergu:

 

Sündmuse detailide vaatamine:

Kui Sa valid akna vasemast paanist konsoolipuult mingi logifaili või Custom Views alt midagi ja seejärel märgistad Details paanis vajaliku sündmuse, siis ilmub sinna Details paani allaossa selle valitud sündmuse kirjeldus (vaata ülevalt teist pilti). Kui Sa soovid mingi sündmuse kohta saada rohkem infot, siis märgista ta algul ja tee tal 2 x klõps või vajuta ENTER või klõpsa Action paanis Properties lingile (või siis menüü Action > Properties).

 

NB! Osade sündmuste kirjeldused on selged ja arusaadavad, aga osade omad mitte. Sa võid leida ka Internetist abi kui tipid otsingumootori otsimiskasti otsitava sündmuse ID numbri ja sõnad "event id" , näiteks event id 28 või event ID 28 või event ID 28 in vista. Lisaks sellele võiksid koos "event id"-ga ära näidata ka "Source " parameetri, st lisada antud sündmuse/vea põhjustaja (algallika); näiteks: event id 1000 source dhcp.



Ka osa spetsiaalseid saite tegeleb nendega, näiteks: http://eventid.net



Otsingumootoriteks võid kasutada: Google või Yahoo või Answer.com või Microsoft'i enda saiti või mingit muud otsingumootorit. Juhul kui Sa inglise keelest ei saa aru, aga valdad vene keelt, siis sisesta see id number kas www.yandex.ru või www.rambler.ru otsingumootorisse.

Kuid ka selle Event Properties akna on allosas ka link, mis pakub antud sündmuse kohta onlainist abi; peale selle on seal all ka nupp Copy, mille abil saad antud info kopeerida mälupuhvrisse ja sealt omakorda näiteks oma emaili, et saata see kellelegi tutvumiseks (Microsoft'i tugikeskusele, oma tuttavale või siis Vabariigi Presidendile):

event id number

 

Sündmuste sorteerimine ja grupeerimine:

Vaikimisi on sündmused sorteeritud kronoloogilises järjekorras, kus kõige hilisem sündmus asub loetelu tipus. Sa võid sorteerimise järjekorda muuta kui avad View menüü ja klõpsad Sort By > ja vali üks alamkäskudest. Et minna tagasi vaikimisi järjekorda, klõpsa View > Remove Sorting. (Sa võid aga klikkida ka vajaliku veeru pealkirjale - veelgi lihtsam moodus.)
Aga veelgi parem on sündmusi grupeerida, mis ainult ei sorteeri sündmuste loetelu märgistatud veerus vaid paneb nad ka grupipealkirjade alla, mida võib laiendada või siis kokku tõmmata:

grupeerimine

Ülemises näites on Application log sündmused grupeeritud nende allikate/genereerijate (Source) järgi. Kõik grupid on seal kokku tõmmatud ja ainult üks grupp (Source: Windows Error Reporting) on avatud.
Et sündmusi grupeerida, ava View menüü, klõpsa Group By > ja vali üks alamkäskudest. Et minna tagasi vaikimisi olekusse, klõpsa View > Remove grouping of events.

 

Log ekraani filtreerimine:

Filtreerimisega saame mingist logifailist luua mitmele kriteeriumile baseeruva ekraanipildi ja seejärel juhtida oma tähelepanu just nendele elementidele, mis meid kõige rohkem huvitavad.
Et filtreerida momendil kuvatavat logifaili või custom vaadet, märgista Event Viewer'i akna vasemas konsoolipaanis vajalik logifaili kategooria või custom vaade ja klõpsa Action paanis Filter Current Log... (või siis Filter Current Custom View) lingile ning vali vajalikud parameetrid:

Vali filtreerimise parameetrid

Sa võid filtreerida sündmusi näiteks mis toimusid viimase tunni, 12 tunni, päeva, nädala, kuu või iga Sinu enda poolt määratud aja jooksul. Event sources, Task category ja Keywords kastidesse võib ka ise filtreerimisteksti tippida (eralda elemendid seal komadega), kuid lihtsam on klõpsata seal noolekestele ja seejärel valida rippmenüüdest vajalikud elemendid, mida me tahame lülitada filtreeritud vaatesse.
<All Event IDs> tekstikasti võib lisada mitu ID numbrit ja numbrite vahemikku, mis on eraldatud komadega; et osasid ID'sid välja lülitada, pane nende ette miinus sümbol.

Märkus: Need Filter Current... ja muud vajalikud käsud on kättesaadavad ka Actions paani kaudu.

 

Omaenese vaadete (Custom Views) loomine ja salvestamine:

Kui Sa kasutad Event Viewer'it tihti ja pikemat aega, siis võib tema sündmuste sorteerimine, grupeerimine ja filtreerimine võtta iga kord natuke aega; sel juhul päästavad Sind omaenese vaated (Custom views). Et luua omaenese vaadet, klõpsa Action paanis lingile Create Custom View. Avatakse Filter Current Log dialoogiaknaga identne dialoogiaken (vaata eelmist pilti), kus on ainult üks võtmeerinevus: Event logs kast on nüüd ligipääsetav ja Sa võid määrata, et kas mõni või kõik logifailid lülitatakse Sinu omaenese vaatesse.
Pärast oma filtreerimise lõpetamist klõpsa OK ja Sa pead uues dialoogiaknas määrama omaenese vaatele nime ja salvestamise asukoha. Sa võid ta salvestada Custom Views kausta või siis mõnda tema alamkausta. (Et luua seal alamkausta, klõpsa nupule New Folder.)

Salvesta oma vaade

Märkus: Kui Sa olid mingile logfailile filtreerimise juba kehtestanud, siis saad ta salvestada omaenese vaatena kui klõpsad Action paanis Save Filter To Custom View.

Sa võid nüüd vaadata omaenese vaateid kui valid nad Event Viewer'i akna vasemast paanist Custom Views haru alt. Et muuta tema filtreerimise kriteeriume, klõpsa Actions paanis Filter Current Custom View...


Log faili suuruse ja tema alalhoidmise seadmine

Iga logifail omab maksimaalse suuruse seadistust, vaikimisi suurused on logifailidel erinevad, aga mõne maht võib ulatuda kuni 20 MB'ini. Sa võid nende suurust muuta. Kui logifail jõuab oma maksimumsuuruseni, siis uus logifail kirjutab ta üle.
Et muuta logifaili maksimumsuurust või vastavat tegevust siis kui ta jõuab oma maksimummahuni, vali ta konsoolipuult ja klõpsa Action > Properties.

 

Event Viewer'i (Sündmuste vaatleja) logifailide kiire puhastamine

Kui Sa oled selle vägagi vajaliku Event Viewer'i regulaarne kasutaja, siis märkad üsna pea, et Windows Vista ei puhasta teatud aja mõõdudes või siis kirjete vastava mahuni jõudmisel sündmuste logifaile. Seega koguneb nendesse sündmuste logifailidesse tuhandeid kirjeid, mida Sul ei ole vaja ja mis teevad antud vahendi laadimise aeglasemaks. Võib olla on neid sadu ja tuhandeid salvestatud sündmuste kirjeid vaja masohistidest hullumeelsetele süsteemiadministraatorile, aga vaevalt, et see tavakasutajale vajalik oleks. Seega tuleks siis kui süsteem on korras ja töötab momendil tõrgeteta, need sündmuste logifailid täielikult puhastada.

Windowsis on sündmuseks igasugune tähelepanuväärne juhtum—Sinu, teise kasutaja, operatsioonisüsteemi või mingi programmi jaoks. Sündmused salvestatakse Windows Event Log teenistuse abil ja nende sündmuste ajalugu hoitakse alles mitmes erinevas logi ehk žurnaalifailis (log file), mis sisaldavad programmide, turvalisuse, setup (installeerimiste), süsteemi ja edasisaadetud sündmuste kirjeldusi.

W
indows Vista defineerib kolme põhilist sündmuste logifailide allikat ja need on:

1) “System” (süsteem);
2) “Application” (programmid/tarkvara);
3) “Security” (turvalisus).

 

Kuidas siis nendest mittevajalikest sündmustest ikkagi lahti saada?

a) Üheks sündmuste logifailide puhastamise meetodiks on see et teed seda Event Viewer'i konsooli kaudu:

- Kliki nupule Start, tipi Search otsingukasti sõna event ja seejärel kliki üleval Event Viewer lingile (või vajuta kohe ENTER).

- Tee konsooli vasemas paanis vajalikul logifailil paremklõps ja vali kontekstmenüüst käsk Clear Log... - pilt.

- Ilmuvas kinnitusaknas kliki nupule Clear:


Kliki nupule Clear

 

See meetod on tülikas ja sellega ei puhasta Sa kõiki logifaile ning seepärast pakungi välja märksa parema ning kiirema meetodi.


b) Kasutame batch faili:

- Lae siit alla Puhasta_Event_Viewer_Vistas.zip fail ja paki ta lahti;

- Tee Puhasta_Event_Viewer_Vistas.bat failil paremklõps ja vali käsk Run as administrator ning seejärel ilmub CMD aken, mis kuvab kõikide logifailide puhastamise kulgu ja kui valmis, siis kliki algul selle CMD akna päisele ning vajuta seejärel suvalist klahvi, et see aken sulgeda:

Logifailid tehti tühjaks


Kui Sa avad nüüd huvi pärast Event Viewer'i konsooliakna, siis näed, et tema logifailid on tühjad ja sinna on ilmunud ainult need uued sündmused, mis teavitavad Sind sellest et äsja oldi neid logifaile puhastatud.

 

NB! Kui Sul tekib pärast Windows Vista värskenduste (updates) allalaadimist või programmide jms installeerimisel probleeme või Sa ei saa käivitada Event Viewer'it jmt, siis saad abi võib olla siit!

Kuidas Event Viewer'i abil mõõta süsteemi buutimiseks (alglaadimiseks - boot time) kuluvat aega ja kuidas tuvastada aeglase buutimise põhjusi (Vista ja Windows 7) - juhis.

Ülesse

 

 

< Tagasi Windows Vista esilehele ja sisukorda

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

elaja kojuAbout Us |Site Map| ©2006 Ahv & Co Eesti Vabariik