In deze handleiding laten we zien hoe u de Windows Event Viewer kunt gebruiken om de Windows-logboeken te bekijken en deze te filteren op basis van verschillende criteria.
Vereisten:
Om de stappen uit te voeren die in deze handleiding worden gedemonstreerd, hebt u de volgende componenten nodig:
- Een correct geconfigureerd Windows 10/11-systeem. Bekijk voor het testen hoe u een Windows VM instelt met VirtualBox.
- Beheerderstoegang
Gebeurtenisviewer op Windows
Standaard sturen verschillende apps (en delen van het besturingssysteem) een melding naar het besturingssysteem voor een bepaalde activiteit, zoals eigenaardigheden van stuurprogramma's, beveiligingsupdates, hardwarefouten en meer. Event Viewer is een speciale app die deze meldingen verzamelt en fungeert als hub voor logboekregistratie.
Met beheerdersrechten kan de Event Viewer elke belangrijke gebeurtenis weergeven die in het systeem plaatsvindt. Het kan ongelooflijk handig zijn voor foutopsporingsdoeleinden.
Event Viewer beschikt ook over krachtige filtermogelijkheden die de systeemactiviteit op een bepaald moment kunnen weergeven, geactiveerd door een bepaald programma, de ernst van de trigger, en meer.
De Gebeurtenisviewer starten
Typ 'Event Viewer' in het startmenu.
U kunt ook het volgende trefwoord uitvoeren vanuit het venster 'Uitvoeren':
$ evenementvwr
Het hoofdvenster geeft u een samenvatting van alle systeemactiviteiten.
De gebruikersinterface van Logboeken
In het linkerpaneel zijn de logboeken gesorteerd in verschillende categorieën.
Selecteer bijvoorbeeld de subcategorie “Windows Logs” om een overzicht te zien van de logs van Windows en Windows-apps.
Om de logboeken te bekijken die door alle Microsoft-producten worden gegenereerd, gaat u naar “Applicaties- en servicelogboeken” >> “Microsoft”.
De logboeken bekijken
In het volgende voorbeeld kijken we naar de logboeken die worden gegenereerd door Windows PowerShell. Ga in het linkerpaneel naar “Applicaties- en servicelogboeken” >> “Windows PowerShell”.
Hier kunnen we alle gebeurtenissen zien die worden geactiveerd door PowerShell. In ons geval heeft de Logboeken ongeveer 10.000 PowerShell-gebeurtenissen geregistreerd. Elk logboek vertegenwoordigt een gebeurtenis.
U kunt de loggegevens bekijken wanneer u een log selecteert.
Voor meer diepgaande details, ga naar het tabblad “Details”.
De gebeurtenislogboeken filteren
In plaats van doelloos door de logs te bladeren, kunnen we de Event Viewer gebruiken om bepaalde filters toe te passen om een nauwkeuriger beeld te krijgen. Het kan ongelooflijk handig zijn wanneer u een probleem probeert op te lossen, of het nu een hardwareprobleem, een stuurprogrammaprobleem of een softwarefout is.
Om een nieuw filter te maken, selecteert u “Aangepaste weergave maken” in het rechterpaneel.
We kunnen verschillende filters op het nieuwe venster toepassen.
Hier:
- Gelogd : Event Viewer host logboeken sinds de installatie van het besturingssysteem. Ze allemaal doorzoeken is in de meeste situaties niet optimaal. Met dit filter kunnen we de reikwijdte van de zoekopdracht op tijd beperken.
- Evenementniveau : Wanneer een gebeurtenis wordt geregistreerd, wordt er een ernstniveau aan toegewezen. Er zijn vijf typen gebeurtenissen: Kritiek, Fout, Waarschuwing, Informatie en Uitgebreid.
- Per logboek : Beperk de reikwijdte van de zoekopdracht per boom.
- Per bron : beperk de reikwijdte van de zoekopdracht op basis van de bron van de gebeurtenistrigger. De gebeurtenistriggers kunnen verschillende apparaten van het besturingssysteem of een geïnstalleerd programma zijn.
Als u bijvoorbeeld alle gebeurtenissen wilt weergeven die door PowerShell worden geactiveerd, ziet het aangepaste weergaveformulier er als volgt uit:
Standaard biedt de Logboeken aan om het nieuw gemaakte filter op te slaan als een aangepaste weergave.
Het resultaat zou er als volgt uit moeten zien:
Een back-up maken van de logboeken
De Logboeken kunnen ook de gebeurtenislogboeken exporteren. Het kan handig zijn voor het opsporen van fouten of het maken van een back-up van de belangrijke logboeken voor later.
In dit voorbeeld maken we een back-up van de “Windows PowerShell”-logboeken.
Selecteer in het linkerpaneel “Windows PowerShell”, klik er met de rechtermuisknop op en selecteer “Alle gebeurtenissen opslaan als”.
U wordt gevraagd de locatie te kiezen waar het back-upbestand is opgeslagen.
Ten slotte zal de Logboeken vragen of u de aanvullende weergave-informatie bij het bestand wilt opslaan. Het wordt aanbevolen om ze op te nemen, zodat er op elke andere computer met de logs kan worden gewerkt. Echter, alleen voor back-updoeleinden, wilt u dit misschien vermijden om de bestandsgrootte te verkleinen.
Als u ervoor kiest om de aanvullende weergavegegevens op te nemen, maakt de Event Viewer een extra map “LocaleMetaData”.
Importeren van de logboeken
We hebben nu geleerd hoe u met succes een back-up van de gebeurtenislogboeken kunt maken. Nu moeten we leren hoe we ze kunnen importeren wanneer dat nodig is.
Om de logboeken uit een Event Viewer-back-upbestand te importeren, gaat u naar Actie >> Opgeslagen logboek openen vanuit het hoofdvenster.
Blader nu naar het back-upbestand.
U kunt zelf de naam van de logdump bepalen en waar deze wordt opgeslagen. Standaard plaatst de Logboeken ze onder “Opgeslagen logs”.
De geïmporteerde logs zouden beschikbaar moeten zijn onder “Opgeslagen logs”.
De logboeken wissen
Event Viewer verzamelt logboeken sinds de installatie van het besturingssysteem. Als er voldoende tijd is, zal zich een groot aantal logboeken verzamelen. Met Event Viewer kunt u ook alle logboeken wissen die momenteel zijn verzameld. Voor deze actie is mogelijk beheerdersbevoegdheid vereist.
Om de logs te wissen, selecteert u een subcategorie in het linkerpaneel en selecteert u “Logboek wissen”.
De Logboeken geven een waarschuwing voordat wordt besloten de logboeken te wissen.
Het resultaat zou er als volgt uit moeten zien:
Conclusie
In deze handleiding hebben we gedemonstreerd hoe u de Logboeken kunt gebruiken om door de Windows-gebeurtenislogboeken te bladeren. We hebben ook geleerd hoe we door de logs kunnen navigeren, de aangepaste filters kunnen toepassen, een back-up van de logs kunnen maken en deze kunnen importeren, enz.
Veel computerplezier!