In questa guida dimostreremo come utilizzare il Visualizzatore eventi di Windows per visualizzare i registri di Windows e filtrarli in base a vari criteri.
Prerequisiti:
Per eseguire i passaggi illustrati in questa guida, sono necessari i seguenti componenti:
- Un sistema Windows 10/11 configurato correttamente. Per testare, scopri come configurare una VM Windows utilizzando VirtualBox.
- Accesso amministratore
Visualizzatore eventi su Windows
Per impostazione predefinita, varie app (e parti del sistema operativo) inviano una notifica al sistema operativo per un'attività particolare come problemi dei driver, aggiornamenti di sicurezza, guasti hardware e altro. Il Visualizzatore eventi è un'app dedicata che aggrega queste notifiche e funge da hub per la registrazione.
Con i privilegi di amministratore, il Visualizzatore eventi può mostrare tutti gli eventi principali che si verificano nel sistema. Può essere incredibilmente utile per scopi di debug.
Il Visualizzatore eventi offre anche potenti funzionalità di filtro che possono mostrare l'attività del sistema in un determinato momento, attivata da un determinato programma, la gravità dell'attivazione e altro ancora.
Avvio del Visualizzatore eventi
Digitare 'Visualizzatore eventi' dal menu Start.
In alternativa, esegui la seguente parola chiave dalla finestra 'Esegui':
$ eventvwr
La finestra principale ti presenterà un riepilogo di tutte le attività del sistema.
L'interfaccia utente del Visualizzatore eventi
Nel pannello di sinistra, i registri sono ordinati in varie categorie.
Ad esempio, seleziona la sottocategoria 'Registri di Windows' per visualizzare un riepilogo dei registri di Windows e delle app Windows.
Per visualizzare i registri generati da tutti i prodotti Microsoft, vai su “Registri applicazioni e servizi” >> “Microsoft”.
Visualizzazione dei registri
Nell'esempio seguente esamineremo i log generati da Windows PowerShell. Dal pannello di sinistra, vai su 'Registri applicazioni e servizi' >> 'Windows PowerShell'.
Qui possiamo vedere tutti gli eventi attivati da PowerShell. Nel nostro caso, il Visualizzatore eventi ha registrato circa 10.000 eventi PowerShell. Ogni registro rappresenta un evento.
È possibile visualizzare i dettagli del registro selezionando un registro.
Per dettagli più approfonditi vai alla scheda “Dettagli”.
Filtraggio dei registri eventi
Invece di sfogliare i registri senza meta, possiamo utilizzare il Visualizzatore eventi per applicare determinati filtri e ottenere un quadro più accurato. Può essere incredibilmente utile ogni volta che provi a eseguire il debug di un problema, che si tratti di un problema hardware, di un driver o di un bug del software.
Per creare un nuovo filtro, seleziona 'Crea visualizzazione personalizzata' dal pannello di destra.
Possiamo applicare vari filtri sulla nuova finestra.
Qui:
- Registrato : il Visualizzatore eventi ospita i registri dall'installazione del sistema operativo. Cercarli tutti, nella maggior parte dei casi, non è ottimale. Utilizzando questo filtro, possiamo limitare l'ambito della ricerca in base al tempo.
- Livello dell'evento : ogni volta che viene registrato un evento, gli viene assegnato un livello di gravità. Esistono cinque tipi di eventi: critico, errore, avviso, informazioni e dettagliato.
- Per registro : Limita l'ambito della ricerca per albero.
- Per fonte : limita l'ambito della ricerca in base all'origine dell'attivazione dell'evento. Gli attivatori di eventi possono essere vari apparati del sistema operativo o qualsiasi programma installato.
Ad esempio, per elencare tutti gli eventi attivati da PowerShell, il modulo di visualizzazione personalizzata è simile al seguente:
Per impostazione predefinita, il Visualizzatore eventi offre di salvare il filtro appena creato come visualizzazione personalizzata.
Il risultato dovrebbe assomigliare a questo:
Backup dei registri
Il Visualizzatore eventi può anche esportare i registri eventi. Può essere utile per eseguire il debug o eseguire il backup dei registri importanti per dopo.
In questo esempio, creeremo un backup dei registri di 'Windows PowerShell'.
Dal pannello di sinistra, seleziona 'Windows PowerShell', fai clic destro su di esso e seleziona 'Salva tutti gli eventi con nome'.
Ti verrà richiesto di scegliere la posizione in cui è archiviato il file di backup.
Infine, il Visualizzatore eventi ti chiederà se desideri memorizzare le informazioni di visualizzazione aggiuntive con il file. Si consiglia di includerli in modo che i registri possano essere elaborati su qualsiasi altro computer. Tuttavia, solo a scopo di backup, potresti volerlo evitare per ridurre le dimensioni del file.
Se si sceglie di includere dati di visualizzazione aggiuntivi, il Visualizzatore eventi crea un'ulteriore directory 'LocaleMetaData'.
Importazione dei log
Ora abbiamo imparato come eseguire correttamente il backup dei registri eventi. Ora dobbiamo imparare come importarli quando necessario.
Per importare i registri da un file di backup del Visualizzatore eventi, vai su Azione >> Apri registro salvato dalla finestra principale.
Ora cerca il file di backup.
Puoi decidere il nome del dump del registro e dove verrà archiviato. Per impostazione predefinita, il Visualizzatore eventi li inserisce in 'Registri salvati'.
I registri importati dovrebbero essere disponibili in 'Registri salvati'.
Cancellazione dei registri
Il Visualizzatore eventi raccoglie i registri dall'installazione del sistema operativo. Con un tempo sufficiente, si accumulerà un numero enorme di log. Il Visualizzatore eventi consente inoltre di cancellare tutti i registri attualmente accumulati. Tuttavia, questa azione potrebbe richiedere un privilegio di amministratore.
Per cancellare i registri, selezionare una sottocategoria dal pannello di sinistra e selezionare 'Cancella registro'.
Il Visualizzatore eventi genera un avviso prima di decidere di cancellare i registri.
Il risultato dovrebbe assomigliare a questo:
Conclusione
In questa guida, abbiamo dimostrato come utilizzare il Visualizzatore eventi per esaminare i registri eventi di Windows. Abbiamo anche imparato come navigare tra i log, applicare i filtri personalizzati, eseguire il backup e importare i log, ecc.
Buon calcolo!