سنوضح في هذا الدليل كيفية استخدام عارض الأحداث في Windows لعرض سجلات Windows وتصفيتها وفقًا لمعايير مختلفة.
المتطلبات الأساسية:
لتنفيذ الخطوات الموضحة في هذا الدليل، تحتاج إلى المكونات التالية:
- نظام Windows 10/11 تم تكوينه بشكل صحيح. للاختبار، تحقق من كيفية إعداد Windows VM باستخدام VirtualBox.
- وصول المشرف
عارض الأحداث على نظام التشغيل Windows
افتراضيًا، ترسل التطبيقات المختلفة (وأجزاء من نظام التشغيل) إشعارًا إلى نظام التشغيل بشأن نشاط معين مثل مشكلات برنامج التشغيل، وتحديثات الأمان، وفشل الأجهزة، والمزيد. عارض الأحداث هو تطبيق مخصص يجمع هذه الإشعارات ويعمل كمركز للتسجيل.
مع امتياز المسؤول، يمكن لعارض الأحداث إظهار كل حدث رئيسي يحدث في النظام. يمكن أن يكون مفيدًا بشكل لا يصدق لأغراض تصحيح الأخطاء.
يتميز عارض الأحداث أيضًا بقدرات تصفية قوية يمكنها إظهار نشاط النظام في وقت معين، والذي يتم تشغيله بواسطة برنامج معين، وخطورة المشغل، والمزيد.
إطلاق عارض الأحداث
اكتب 'عارض الأحداث' من قائمة البداية.
وبدلاً من ذلك، قم بتشغيل الكلمة الأساسية التالية من نافذة 'تشغيل':
$ com.eventvwr
ستقدم لك النافذة الرئيسية ملخصًا لجميع أنشطة النظام.
واجهة مستخدم عارض الأحداث
على اللوحة اليسرى، يتم فرز السجلات إلى فئات مختلفة.
على سبيل المثال، حدد الفئة الفرعية 'سجلات Windows' للاطلاع على ملخص للسجلات بواسطة تطبيقات Windows وWindows.
لعرض السجلات التي تم إنشاؤها بواسطة جميع منتجات Microsoft، انتقل إلى 'سجلات التطبيقات والخدمات' >> 'Microsoft'.
عرض السجلات
في المثال التالي، سنلقي نظرة على السجلات التي تم إنشاؤها بواسطة Windows PowerShell. من اللوحة اليسرى، انتقل إلى 'سجلات التطبيقات والخدمات' >> 'Windows PowerShell'.
هنا، يمكننا رؤية جميع الأحداث التي يتم تشغيلها بواسطة PowerShell. في حالتنا، سجل عارض الأحداث حوالي 10000 حدث PowerShell. يمثل كل سجل حدثًا.
يمكنك رؤية تفاصيل السجل عند تحديد السجل.
لمزيد من التفاصيل المتعمقة، انتقل إلى علامة التبويب 'التفاصيل'.
تصفية سجلات الأحداث
بدلاً من تصفح السجلات بلا هدف، يمكننا استخدام عارض الأحداث لتطبيق مرشحات معينة للحصول على صورة أكثر دقة. يمكن أن يكون مفيدًا بشكل لا يصدق عندما تحاول تصحيح بعض المشكلات، سواء كانت مشكلة في الأجهزة، أو مشكلة في برنامج التشغيل، أو خطأ في البرنامج.
لإنشاء مرشح جديد، حدد 'إنشاء عرض مخصص' من اللوحة اليمنى.
يمكننا تطبيق مرشحات مختلفة على النافذة الجديدة.
هنا:
- تم تسجيل الدخول : يستضيف عارض الأحداث السجلات منذ تثبيت نظام التشغيل. البحث من خلال كل منهم، في معظم الحالات، ليس الأمثل. باستخدام هذا الفلتر، يمكننا تحديد نطاق البحث حسب الوقت.
- مستوى الحدث : عندما يتم تسجيل حدث، يتم تعيين مستوى خطورة له. هناك خمسة أنواع من الأحداث: الحرجة، والخطأ، والتحذير، والمعلومات، والمطول.
- عن طريق السجل : تحديد نطاق البحث بالشجرة.
- حسب المصدر : تحديد نطاق البحث حسب مصدر مشغل الحدث. يمكن أن تكون مشغلات الحدث عبارة عن أجهزة مختلفة لنظام التشغيل أو أي برنامج مثبت.
على سبيل المثال، لسرد كافة الأحداث التي يتم تشغيلها بواسطة PowerShell، يبدو نموذج العرض المخصص كما يلي:
افتراضيًا، يعرض عارض الأحداث حفظ عامل التصفية الذي تم إنشاؤه حديثًا كطريقة عرض مخصصة.
يجب أن تبدو النتيجة كما يلي:
النسخ الاحتياطي للسجلات
يمكن لعارض الأحداث أيضًا تصدير سجلات الأحداث. يمكن أن يكون مفيدًا لتصحيح الأخطاء أو نسخ السجلات المهمة احتياطيًا لوقت لاحق.
في هذا المثال، سنقوم بإنشاء نسخة احتياطية لسجلات 'Windows PowerShell'.
من اللوحة اليسرى، حدد 'Windows PowerShell'، وانقر عليه بزر الماوس الأيمن، ثم حدد 'حفظ جميع الأحداث باسم'.
سيُطلب منك اختيار الموقع الذي سيتم فيه تخزين ملف النسخة الاحتياطية.
وأخيرًا، سيسألك 'عارض الأحداث' عما إذا كنت تريد تخزين معلومات العرض الإضافية مع الملف. يوصى بتضمينها حتى يمكن التعامل مع السجلات على أي جهاز كمبيوتر آخر. ومع ذلك، لأغراض النسخ الاحتياطي فقط، قد ترغب في تجنب ذلك لتقليل حجم الملف.
إذا اخترت تضمين بيانات العرض الإضافية، فسيقوم عارض الأحداث بإنشاء دليل 'LocaleMetaData' إضافي.
استيراد السجلات
لقد تعلمنا الآن كيفية عمل نسخة احتياطية لسجلات الأحداث بنجاح. الآن، نحن بحاجة إلى تعلم كيفية استيرادها عند الحاجة.
لاستيراد السجلات من ملف النسخ الاحتياطي لعارض الأحداث، انتقل إلى الإجراء >> فتح السجل المحفوظ من النافذة الرئيسية.
الآن، قم بالبحث عن ملف النسخ الاحتياطي.
يمكنك تحديد اسم تفريغ السجل ومكان تخزينه. افتراضيًا، يضعها عارض الأحداث ضمن 'السجلات المحفوظة'.
يجب أن تكون السجلات المستوردة متاحة ضمن 'السجلات المحفوظة'.
مسح السجلات
يقوم عارض الأحداث بجمع السجلات منذ تثبيت نظام التشغيل. مع مرور الوقت الكافي، سوف يتراكم عدد كبير من السجلات. يسمح عارض الأحداث أيضًا بمسح كافة السجلات المتراكمة حاليًا. ومع ذلك، قد يتطلب هذا الإجراء امتيازات المسؤول.
لمسح السجلات، حدد فئة فرعية من اللوحة اليمنى وحدد 'مسح السجل'.
يُرسل عارض الأحداث تحذيرًا قبل أن يقرر مسح السجلات.
يجب أن تبدو النتيجة كما يلي:
خاتمة
في هذا الدليل، أوضحنا كيفية استخدام 'عارض الأحداث' للبحث في سجلات أحداث Windows. لقد تعلمنا أيضًا كيفية التنقل عبر السجلات، وتطبيق المرشحات المخصصة، والنسخ الاحتياطي للسجلات واستيرادها، وما إلى ذلك.
حوسبة سعيدة!