استخدام عارض الأحداث لاستكشاف المشاكل

2023 مؤلف: Peter John Melton | [email protected]. آخر تعديل: 2023-11-26 11:14

في طبعة اليوم من Geek School ، سنعلمك كيفية استخدام Event Viewer لتحرّي المشاكل على جهاز الكمبيوتر الخاص بك وفهم ما يجري تحت غطاء المحرك.

ملاحة المدرسة

استخدام برنامج جدولة المهام لتشغيل العمليات لاحقا
استخدام عارض الأحداث لاستكشاف المشاكل
فهم تقسيم القرص الصلب مع إدارة الأقراص
تعلم استخدام محرر التسجيل مثل المحترفين
مراقبة جهاز الكمبيوتر الخاص بك مع مراقبة الموارد ومدير المهام
فهم لوحة خصائص النظام المتقدمة
فهم وإدارة خدمات ويندوز
استخدام محرر نهج المجموعة لقرص جهاز الكمبيوتر الخاص بك
فهم أدوات إدارة Windows

أكبر مشكلة في Event Viewer هي أنه يمكن أن يكون مربكًا للغاية - هناك الكثير من التحذيرات ، والأخطاء ، والرسائل الإعلامية ، وبدون معرفة ما يعنيه كل ذلك ، يمكنك أن تفترض (بشكل غير صحيح) أن جهاز الكمبيوتر الخاص بك مكسور أو مصاب به عندما يكون هناك لا شيء خطأ حقا.

في الواقع ، يستخدم المحتالون دعم التكنولوجيا عارض الأحداث كجزء من تكتيك المبيعات لديهم لإقناع المستخدمين المرتبكين بأن جهاز الكمبيوتر الخاص بهم مصاب بالفيروسات. يسيرونك عبر التصفية عن طريق أخطاء فادحة فقط ثم يتفاجأون بأن كل ما ترونه أخطاء فادحة.

يعد تعلم كيفية استخدام وفهم عارض الأحداث مهارة بالغة الأهمية لاستكشاف ما يجري مع جهاز الكمبيوتر ، ومشاكل استكشاف الأخطاء وإصلاحها.

فهم واجهة

عندما تفتح "عارض الأحداث" لأول مرة ، ستلاحظ أنه يستخدم التكوين ثلاثي الأجزاء مثل العديد من الأدوات الإدارية الأخرى في Windows ، على الرغم من أنه في هذه الحالة ، توجد في الواقع عدد قليل من الأدوات المفيدة على الجانب الأيمن.

يعرض الجزء الأيسر عرض المجلد ، حيث يمكنك العثور على جميع سجلات الأحداث المختلفة ، بالإضافة إلى طرق العرض التي يمكن تخصيصها مع الأحداث من سجلات كثيرة في وقت واحد. على سبيل المثال ، يعرض عرض الأحداث الإدارية في الإصدارات الحديثة من Windows كافة الأحداث "خطأ" و "تحذير" و "هامة" سواء كانت منشأها من سجل التطبيق أو سجل النظام.

يعرض الجزء الأوسط قائمة بالأحداث ، وسيؤدي النقر فوقها إلى عرض التفاصيل في جزء المعاينة - أو يمكنك النقر نقرًا مزدوجًا فوق أي منها لسحبها في نافذة منفصلة ، والتي يمكن أن تكون مفيدة عندما تبحث عن مجموعة كبيرة من الأحداث وتريد العثور على جميع الأشياء المهمة قبل البدء في البحث على الإنترنت.

يمنحك الجزء الأيسر حق الوصول السريع إلى إجراءات مثل إنشاء طرق عرض مخصصة أو تصفية أو حتى إنشاء مهمة مجدولة بناءً على حدث معين.

الأحداث نفسها هي ما نحاول أن نراه ، بطبيعة الحال ، ويمكن أن تتراوح فائدتها بين أشياء محددة وواضحة حقًا يمكنك إصلاحها بسهولة إلى الرسائل الغامضة التي لا معنى لها ولا يمكنك العثور على أي منها. المعلومات على جوجل. تحتوي الحقول العادية على الشاشة على:

اسم السجل - في حين أنه في الإصدارات القديمة من Windows يتم التخلص من كل شيء في سجل التطبيق أو النظام ، وفي الإصدارات الأكثر حداثة ، هناك عشرات أو مئات من السجلات المختلفة للاختيار من بينها. سيكون لكل مكون من مكونات نظام Windows على الأرجح سجله الخاص.
مصدر - هذا هو اسم البرنامج الذي يقوم بإنشاء حدث السجل. لا يتطابق الاسم عادةً بشكل مباشر مع اسم الملف ، بالطبع ، ولكنه تمثيل لأي مكون فعل ذلك.
معرف الحدث - يمكن أن يكون معرّف الحدث المهم للغاية مربكًا بعض الشيء. إذا كنت تستخدم Google في "معرف الحدث 122" الذي تشاهده في لقطة الشاشة التالية ، فلن ينتهي بك الأمر بمعلومات مفيدة جدًا ما لم تدرج أيضًا المصدر أو اسم التطبيق. هذا لأن كل تطبيق يمكنه تعريف معرفات الحدث الخاصة به.
مستوى - يخبرك هذا بمدى حدة الحدث - تخبرك المعلومات فقط أن شيئًا ما قد تغير أو بدأ أحد المكونات أو اكتمل شيء ما. يخبرك تحذيرك بأن شيئًا ما قد يحدث بشكل خاطئ ، لكنه ليس مهمًا حتى الآن. خطأ يخبرك أن شيئًا ما حدث لم يكن ينبغي أن يحدث ، ولكنه ليس دائمًا نهاية العالم. من ناحية أخرى ، يعني الحرج أن شيء ما قد تم كسره في مكان ما ، ومن المحتمل أن يكون العنصر الذي تسبب في هذا الحدث قد تحطم.
المستعمل - يخبرك هذا الحقل ما إذا كان مكون نظام أو حساب المستخدم الذي كان يشغّل العملية التي تسببت في الخطأ. هذا يمكن أن يكون مفيدا عند النظر من خلال الأشياء.
شفرة التشغيل - يخبرك هذا المجال نظريًا عن النشاط الذي كان يقوم به التطبيق أو المكون عندما تم تشغيل الحدث. لكن من الناحية العملية ، ستقول دائمًا "معلومات" وهي غير مجدية إلى حد كبير.
الحاسوب - على سطح المكتب المنزلي ، عادةً ما يكون اسم الكمبيوتر الخاص بك ، ولكن في عالم تكنولوجيا المعلومات ، يمكنك بالفعل إعادة توجيه الأحداث من كمبيوتر أو خادم إلى كمبيوتر آخر. يمكنك أيضًا توصيل Event Viewer بحاسب شخصي أو خادم آخر.
فئة المهمة - لا يتم دائمًا استخدام هذا الحقل ، ولكنه ينتهي في الأساس إلى أنه حقل معلومات يخبرك بمزيد من المعلومات عن الحدث.
الكلمات الدالة - هذا الحقل لا يستخدم عادة ، ويحتوي عادة على معلومات غير مجدية.

كقاعدة عامة ، يجب أن تجرب البحث حسب الوصف العام ، أو معرف الحدث والمصدر ، أو مجموعة من هذه القيم.

فقط تذكر أن معرف الحدث فريد … لكل تطبيق. لذلك هناك الكثير من التداخل ولا يمكنك البحث عن "معرف الحدث 122" لأنك ستحصل على الكثير من الهراء.

ملاحظة مهمة: ستكون هناك دائمًا أخطاء وتحذيرات في سجل الأحداث ، ولا يمكنك حلها جميعًا. أهم شيء هو استخدام "عارض الأحداث" لاستكشاف المشكلات التي تواجهها بالفعل ، بدلاً من محاولة العثور على المشكلات التي لا تعرفها حتى الآن.

ونعم ، ستحتاج إلى استخدام مهاراتك في Google للبحث عن الأحداث التي لا تعرفها. لا يوجد حل سحري سهل.

الشيء الوحيد الذي يمكنك فعله فورًا عند رؤية مربع الحوار هذا هو النقر فوق ذلك الرابط "مزيد من المعلومات" … المشكلة هي أنه لا يجعلك في أي مكان مفيدًا في الوقت الحالي. أنت في نهاية المطاف في صفحة خطأ على موقع مايكروسوفت.

ما هو مخيف هو أن 8464 شخصًا اعتبروا الصفحة غير موجودة على أنها مفيدة.

إعادة تعيين البحث عن معرّف الحدث عبر الإنترنت للعمل فعلياً

لسبب ما ، لا يعمل الرابط "مزيد من المعلومات: سجل الأحداث عبر الإنترنت" تمامًا لنا ، ولكن لحسن الحظ ، هناك اختراق رائع للسجل يمكنك استخدامه لإصلاح المشكلة.

ما سنفعله هو مجرد تغيير عنوان URL لإعادة التوجيه في السجل للإشارة إلى Google … باستثناء الطريقة التي يتم بها تمرير الحجج ، سنحتاج إلى توجيهها نحو صفحة وسيطة ستحلل الحجج و شكل عنوان URL الصحيح لبحث Google.

لغرض هذه المقالة ، نضع صفحة على الخادم الخاص بنا ، ونرحب بك لاستخدامها. إذا كنت تفضل عدم استخدام الخادم الخاص بنا ، يتم سرد سطر واحد من رمز PHP في نهاية هذا القسم.

لإجراء هذا التغيير ، انتقل إلى مفتاح التسجيل التالي:


HKLMSoftwareMicrosoftWindows NTCurrentVersionEventViewer

ابحث عن القيمة MicrosoftRedirectionURL على الجانب الأيسر ، ثم قم بتغيير القيمة من الإعداد الافتراضي ، وهو https://go.microsoft.com/fwlink/events.asp وأدخل هذه القيمة بدلاً من ذلك:


https://www.howtogeek.com/eventid

بمجرد القيام بذلك ، سيؤدي النقر فوق الارتباط الموجود في إطار خصائص الحدث إلى إعادة توجيهك على الفور إلى Google ، مع تضمين البيانات ذات الصلة بالفعل (معرف الحدث ، واسم السجل ، و "التطبيق" ، والذي يميل إلى القول Microsoft Windows).

كيف يعمل هذا؟ الأمر بسيط جدًا - يضيف Event Viewer مجموعة من المعلمات كوسيطة سلسلة استعلام إلى عنوان URL الذي نضعه في السجل. بعد ذلك ، يستخرج النص البرمجي تلك الوسائط وعمليات إعادة التوجيه إلى Google ، ويمرر الوسيطات باعتبارها عبارات بحث بدلاً من ذلك.

باستخدام برنامج نصي بسيط لـ PHP ، هذا ما توصلنا إليه للتعامل مع عملية إعادة التوجيه.

header ('Location: https://google.com/search؟q=Event ID'. $ _GET ['EvtID']. ''. $ _GET ['EvtSrc']. ''. $ _GET ['ProdName'] )؛

يمكنك استضافة نفس الشيء على الخادم الخاص بك إذا كنت ترغب في ذلك ، أو يمكنك استخدام الشخص الذي يجلس على الخادم الخاص بنا. هذا يعود إليك.

احذر مواقع الإنترنت من خلال "حلول" لمعرّف الحدث "مشاكل"

هناك الكثير من مواقع الويب التي تقوم بإنشاء صفحات تلقائيًا لكل معرف حدث واحد ، ثم تعبئتها بكلام فارغ. هذا سيكون على ما يرام ، باستثناء العديد من هذه الأحداث ، ليس هناك الكثير من النتائج الجيدة الأخرى.

ستعرض هذه المواقع بعد ذلك حل المشكلة إذا قمت بتنزيل بعض البرامج لتحليلك المجاني. في جميع الحالات ، ستكون هذه الإعلانات ، و "حل" البرنامج هو عملية احتيال.

لا توجد حزمة برامج يمكنها حل جميع مشكلات سجل الأحداث.

استخدام الفلاتر وطرق العرض المخصصة

بدلاً من المرور عبر مجلدات zillion من سجلات الأحداث المخصصة ومحاولة العثور على كل ما تبحث عنه ، يمكنك إنشاء عرض مخصص يعرض فقط الأحداث التي تريد رؤيتها.

للحصول على أفضل النتائج ، قد ترغب في التصفية فقط بالأشياء المحددة التي ترغب في مشاهدتها - من المحتمل أن تكون حرجة وخطأ وتحذير ، ثم اختر سجلات الأحداث المحددة التي تريد أن يشاهدها هذا العرض. لا تحدد عددًا كبيرًا جدًا ، لأن ذلك سيخفق في العمل.

بعد تحديد ما تريده في العرض ، ستتم مطالبتك بمنح العرض المخصص اسمًا ، ثم يمكنك استخدامه لمشاهدة الأحداث التي تمت تصفيتها فقط. إنها طريقة رائعة للغاية للتعامل مع السجلات الضخمة المليئة بالأحداث غير المنطقية المتعلقة بالمعلومات.

ربما يكون من الأسهل ، بالطبع ، مجرد استخدام عرض الأحداث الإدارية المضمنة ، والذي يعرض الرسائل المهمة من كل من السجلات الرئيسية.

ابحث عبر سجل أداء تشخيص Windows

هناك الكثير من السجلات الشيقة التي يمكنك الاطلاع عليها عند تحرّي الخلل وإصلاحه ، ولكن يمكن العثور على واحدة من الأشياء الأكثر إثارة للاهتمام من خلال تصفح المجلدات إلى الموقع التالي:

Microsoft Windows Diagnostics-Performance

ينتج عن ذلك سجل أحداث يعرض جميع الأشياء التي يسجلها Windows داخليًا للتحقق من أدائه - إذا كان جهاز الكمبيوتر يعمل بشكل أبطأ من المعتاد ، فإن Windows عادة ما يكون له إدخال سجل له ، وغالبًا ما يسرد المكون الذي تسبب في Windows التمهيد ببطء أكثر.

تجدر الإشارة إلى أن الرسالة توضح أن الخطأ لا يعني أنه نهاية العالم ، ما لم يظهر في كل وقت. ثم قد ترغب في التفكير في الأمر.

تحديد هذا الخطأ من قبل

هل أنت مهتم بالحدث في لقطة الشاشة في المقال سابقًا؟ إذا تلقيت الرسالة "تم حظر الوصول إلى برامج التشغيل على Windows Update بواسطة النهج" ، فإن الحل بسيط للغاية.افتح لوحة التحكم ، وابحث عن "برنامج التشغيل" ، ثم اختر تغيير إعدادات تثبيت الجهاز.

ستلاحظ في لقطة الشاشة التالية أنه تم تعيين هذا الكمبيوتر المحدد على عدم تنزيل برامج تشغيل الأجهزة تلقائيًا من تحديث Windows. لحل المشكلة وتقديم المزيد من الرسائل في "عارض الأحداث" ، كل ما عليك فعله هو تبديل زر الاختيار إلى "نعم ، قم بذلك تلقائيًا".

لطيفة وبسيطة. حل المشكلة ، تم حل رسالة التحذير.

إرفاق المهام للأحداث

إذا كنت منتبهًا في درس Geek School الأخير ، قد تتذكر أنه يمكنك إنشاء مشغل Task Scheduler بمعرف الحدث - ويمكنك أيضًا القيام بنفس الشيء في الاتجاه الآخر. انقر بزر الماوس الأيمن على أي مهمة ويمكنك بسهولة إرفاق مهمة مجدولة لتشغيلها كلما حدث ذلك.

ميزات أخرى قد تحتاجها

يحتوي عارض الأحداث على بعض الميزات الأخرى التي قد تكون مهتمًا باستخدامها. بالنسبة لمعظم الناس ، فقط من خلال القائمة ومعرفة ما الذي تبحث عنه أمر مهم.

الاشتراكات ، الموجودة في القائمة اليسرى ، هي ميزة تستخدم بشكل كبير في بيئة المؤسسة لإعادة توجيه الأحداث من خادم إلى آخر حتى تتمكن من إدارتها كلها في مكان واحد. يتطلب ذلك تشغيل Windows Event Collector وخدمات Windows Remote Management. بالنسبة إلى المستخدمين المنزليين ، يجب أن لا تعبث بها ، بخلاف لأغراض التعلّم على نظام الاختبار.