Event Viewer ist eines dieser Werkzeuge in Windows, die versteckte Schätze sind. Es kann Protokolle über so ziemlich alles, was auf Ihrem Computer passiert ist, anzeigen, und es kann Ihnen helfen, Probleme mit Ihrem Computer zu beheben. Die Informationen, die es zeigt, können jedoch in Menge und Details oft überwältigend sein. Glücklicherweise bietet es auch Möglichkeiten zum Sortieren und Filtern all dieser Informationen, so dass Sie nur auf das beschränken können, was Sie interessiert. In diesem Tutorial werden wir untersuchen, wie Sie benutzerdefinierte Ansichten erstellen und speichern, sodass Sie sie im Auge behalten können Art der protokollierten Informationen, an denen Sie interessiert sind:
So greifen Sie auf die benutzerdefinierten Ansichten in der Ereignisanzeige zu
Es gibt viele Möglichkeiten, die Ereignisanzeige in Windows zu öffnen, und wir haben im Detail über alle davon gesprochen: So starten Sie die Ereignisanzeige in Windows (alle Versionen). Wenn Sie jedoch keine Zeit zum Lesen dieses Handbuchs haben, können Sie die Ereignisanzeige schnell starten, indem Sie "Ereignisanzeige" in das Suchfeld von Windows 10, im Startmenü- Suchfeld von Windows 7 oder über Start eingeben Bildschirm, wenn Sie Windows 8.1 verwenden.
Wenn Sie die Ereignisanzeige starten, kann es einen Moment dauern, bis sie angezeigt wird, da alle Protokolle initialisiert werden. Sie können sehen, dass der erste Menüeintrag im linken Bereich Benutzerdefinierte Ansichten ist . Klicken oder tippen Sie darauf, und Sie sollten sehen, dass Windows bereits eine benutzerdefinierte Ansicht bereitgestellt hat: Verwaltungsereignisse . Klicken oder tippen Sie darauf.
Was sind die benutzerdefinierten Ansichten von der Ereignisanzeige?
Die Ansicht Verwaltungsereignisse wurde erstellt, um alle kritischen Ereignisse , Fehler und Warnungen aus allen Windows-Protokollen anzuzeigen. Sie sollten daher eine umfangreiche Liste von Ereignissen mit ominösen Tags erhalten. Wenn Ihr Computer jedoch nicht abstürzte und Ihre Software nicht ordnungsgemäß funktionierte, bedeuten diese ominösen Nachrichten nicht, dass irgendetwas Unheilvolles vor sich geht. Sie dienen nur zu Ihrer Information, und in den meisten Fällen hat Windows das Problem bereits behandelt, bevor Sie die Nachrichten überhaupt gesehen haben.
Was genau ist also eine benutzerdefinierte Ansicht, und warum sollte es sich lohnen, eine eigene zu erstellen? Bedenken Sie diese Situation: Sie vermuten, dass etwas mit einer oder mehreren Festplatten nicht stimmt. Um herauszufinden, ob die Ereignisanzeige irgendwelche Warnungen darüber aufgezeichnet hat, müssten Sie längere Zeit durch die Protokolle blättern. Was wäre, wenn Sie Event Viewer bitten könnten, eine spezielle Ansicht zu erstellen, die nur die Festplattenwarnungen im Sicherheitsprotokoll anzeigt? Diese Ansicht wird als benutzerdefinierte Ansicht bezeichnet . Jetzt sehen wir, wie man eins erstellt:
Schritt 1. Erstellen Sie eine benutzerdefinierte Ansicht in der Ereignisanzeige
Klicken Sie in benutzerdefinierten Ansichten im rechten Bereich auf "Benutzerdefinierte Ansicht erstellen", um das Fenster "Benutzerdefinierte Ansicht erstellen" zu öffnen. Behalten Sie die voreingestellte Filter- Registerkarte bei (die XML-Registerkarte würde den Rahmen dieses Tutorials sprengen).
Schritt 2. Wählen Sie den Zeitraum für die in der benutzerdefinierten Ansicht angezeigten Ereignisse aus
Wählen Sie in der Dropdown-Liste Protokolliert den Zeitrahmen aus, den Sie für die benutzerdefinierte Ansicht verwenden möchten . Sie können eine der vordefinierten Zeiten verwenden oder einen benutzerdefinierten Bereich auswählen. Wenn Sie eine benutzerdefinierte Ansicht mit allen Ereignissen erstellen möchten, die jemals von Windows aufgezeichnet wurden, wählen Sie "Jederzeit".
Schritt 3. Wählen Sie die Ereignisstufe aus, die in Ihrer benutzerdefinierten Ansicht enthalten ist
Als Nächstes können Sie die Ereignisstufe für die Ereignisse auswählen, die in Ihrer benutzerdefinierten Ansicht angezeigt werden. Sie können wählen, ob Sie eines, einige oder alle der folgenden Ereignisse hinzufügen möchten:
- Kritisch: Ereignisse, die Ihre sofortige Aufmerksamkeit erfordern und im Allgemeinen bedeuten, dass eine Anwendung oder Systemkomponente fehlgeschlagen ist oder nicht mehr reagiert .
- Fehler: Ereignisse, die Probleme aufzeigen, existieren, sind aber nicht unbedingt kritisch für das Wohl der Anwendung oder von Systemkomponenten.
- Warnung : Ereignisse, die auf mögliche Probleme hindeuten, die aber keine Probleme bedeuten, werden mit Sicherheit passieren.
- Information: Ereignisse, die einfach Informationen über ihre Operation senden.
- Ausführlich: Zeigt detaillierte Informationen zu Ereignissen an.
Wenn Sie daran interessiert sind, eine benutzerdefinierte Ansicht für die Fehlerbehebung eines Geräts oder einer Anwendung von Ihrem Computer aus zu erstellen, sollten Sie die Ereignisse wahrscheinlich nach einer Ereignisstufe wie " Kritisch" und " Fehler" filtern. Dadurch sollte Ihre benutzerdefinierte Ansicht klein und einfacher zu verwenden sein.
Schritt 4. Wählen Sie, in welchen Ereignisprotokollen oder Ereignisquellen die benutzerdefinierte Ansicht nach Informationen suchen soll
Als Nächstes müssen Sie die Protokolle oder die Quellen auswählen, die zum Erstellen der benutzerdefinierten Ansicht verwendet werden . Sie können auswählen, Informationen zu filtern:
- Nach Protokoll: Ermöglicht die Auswahl der "Windows-Protokolle" und der "Anwendungs- und Dienste-Protokolle", die Sie verwenden möchten. Die "Windows-Protokolle" enthalten Anwendungen, Sicherheit, Setup, System und Weitergeleitete Ereignisse, und Sie können in diesem Lernprogramm mehr darüber lesen: So arbeiten Sie mit der Ereignisanzeige in Windows. Die "Anwendungs- und Serviceprotokolle" enthalten Protokolle, die von auf Ihrem Computer installierten Anwendungen erstellt wurden, und sie können für alle Benutzer unterschiedlich sein, je nachdem, welche Programme Sie verwenden.
- Nach Quelle: Filtert die Ereignisse detaillierter nach ihren spezifischen Quellen. Dies bedeutet normalerweise, dass Sie Ereignisse nach den Anwendungen oder Programmen filtern können, die sie erstellt haben.
Schritt 5. Filtern Sie die in Ihrer benutzerdefinierten Ansicht angezeigten Ereignisse nach ID, Aufgabenkategorie, Stichwörtern, Benutzern und Computern
Mit der Ereignisanzeige können Sie Ihre benutzerdefinierte Ansicht noch weiter anpassen, indem Sie einige weitere zusätzliche Filter hinzufügen:
- Ereignis-IDs: Jedes in der Ereignisanzeige aufgezeichnete Ereignis erhält eine eigene Ereignis-ID, bei der es sich um eine eindeutige ID handelt. Wenn Sie möchten, können Sie Ereignis-ID- Nummern und Bereiche angeben, die einbezogen werden sollen.
- Aufgabenkategorie: kann nur verwendet werden, wenn Sie die Ereignisse nach Quelle im vorherigen Schritt gefiltert haben und die verfügbaren Kategorien sich je nach Quelle unterscheiden.
- Schlüsselwörter: werden von Windows vordefiniert, sodass Sie keine eigenen Wörter eingeben können. Sie können auswählen, welche davon zum Filtern von Ereignissen verwendet werden sollen.
- Benutzer: Wenn auf Ihrem Computer mehrere Benutzerkonten vorhanden sind, können Sie in der benutzerdefinierten Ansicht nur Ereignisse einschließen, die für bestimmte Benutzerkonten aufgezeichnet wurden.
- Computer: wird auf Servern verwendet, auf denen Systemadministratoren die Computer auswählen können, von denen Ereignisse in der benutzerdefinierten Ansicht erfasst werden sollen.
Schritt 6. Schließen Sie Ihre benutzerdefinierte Ansicht ab und speichern Sie sie
Wenn Sie mit der Anpassung Ihrer benutzerdefinierten Ansicht fertig sind, klicken oder tippen Sie auf OK .
Im nächsten Feld werden Sie aufgefordert, Ihrer benutzerdefinierten Ansicht einen Namen zu geben. Geben Sie es ein, fügen Sie ggf. eine Beschreibung hinzu (optional) und wählen Sie den Ordner der Ereignisanzeige aus, in dem Sie ihn speichern möchten. Standardmäßig sind dies benutzerdefinierte Ansichten, Sie können jedoch auch einen neuen Ordner erstellen, indem Sie einen beliebigen Namen verwenden. Wenn Sie fertig sind, klicken oder tippen Sie auf OK .
Beachten Sie, dass die benutzerdefinierten Ansichten standardmäßig für alle Benutzer Ihres Computers verfügbar sind. Wenn andere Benutzer Ihren Computer verwenden und Sie keinen Zugriff auf diesen Filter haben möchten, deaktivieren Sie das Kontrollkästchen Alle Benutzer in der unteren rechten Ecke.
Nachdem Sie auf OK geklickt haben, wird Ihr neuer benutzerdefinierter Filter im linken Bereich angezeigt. Klicken oder tippen Sie darauf und Sie sehen, dass die ausgewählten Elemente im mittleren Bereich angezeigt werden.
So speichern Sie Protokolle für benutzerdefinierte Ansichten in der Ereignisanzeige
Nehmen wir an, Sie wollten bestimmte Ereignisse im Auge behalten. Ein Grund, warum Sie dies wünschen, ist zu überprüfen, ob ein Teil Ihrer Hardware viele Fehler erzeugt, was bedeuten könnte, dass sie bald ersetzt werden müssen.
Nehmen wir beispielsweise die benutzerdefinierte Ansicht "Systemkritische Fehler", die wir erstellt haben. Klicken Sie im linken Bereich der Ereignisanzeige auf die benutzerdefinierte Ansicht, und klicken Sie dann im rechten Bereich auf Aktualisieren, um sicherzustellen, dass Sie über die neuesten Informationen verfügen.
Klicken Sie mit der rechten Maustaste auf Ihre benutzerdefinierte Ansicht, in unserem Fall "Systemkritische Fehler", und wählen Sie im Menü (oder im rechten Bereich, der ein Duplikat des Rechtsklickmenüs ist) die Option "Alle Ereignisse in der benutzerdefinierten Ansicht speichern unter" . "
In der angezeigten Box können Sie einen geeigneten Dateinamen und einen Speicherort auswählen, an dem dieses Protokoll gespeichert werden soll. Das Ereignis wird mit dem Suffix ".EVTX" gespeichert und ein Doppelklick darauf öffnet es in der Ereignisanzeige .
So exportieren Sie benutzerdefinierte Ansichten in der Ereignisanzeige
Wenn Sie Ihre benutzerdefinierte Ansicht als Datei speichern möchten, die Sie dann auf einem anderen Computer zum Erstellen der gleichen Ereignisprotokolle verwenden können, können Sie sie als XML-Datei exportieren. Um dies zu tun, klicken Sie in der Ereignisanzeige mit der rechten Maustaste oder tippen Sie auf die benutzerdefinierte Ansicht, die Sie exportieren möchten, und halten Sie sie gedrückt, und wählen Sie im Kontextmenü die Option "Benutzerdefinierte Ansicht exportieren ".
Geben Sie im Dialogfeld " Speichern unter " einen Namen für die XML-Datei für die benutzerdefinierte Ansicht ein, und wählen Sie den Ordner aus, in den Sie die XML-Datei exportieren möchten.
So importieren Sie benutzerdefinierte Ansichten in der Ereignisanzeige
Wenn Sie eine benutzerdefinierte Ansicht als ".XML" -Datei gespeichert haben, können Sie sie in der Ereignisanzeige auf demselben oder sogar auf einem anderen Computer, auf dem auch Windows ausgeführt wird, importieren. Klicken oder tippen Sie dazu in der Ereignisanzeige auf Benutzerdefinierte Ansichten im linken Bereich, und klicken oder tippen Sie dann im Kontextmenü auf "Benutzerdefinierte Ansicht importieren" . Beachten Sie, dass Sie dieselbe Option in der Anzeige auf der rechten Seite der Ereignisanzeige finden können .
Navigieren Sie zu dem Ordner, in dem die XML Custom View- Datei gefunden wird, wählen Sie sie aus und klicken oder tippen Sie dann auf Öffnen .
In der "Benutzerdefinierte Ansichtsdatei importieren " können Sie die Details der benutzerdefinierten Ansicht anzeigen, die Sie importieren. Klicken oder tippen Sie auf OK .
Die benutzerdefinierte Ansichtsdatei wird jetzt importiert und im linken Teilfenster der Ereignisanzeige angezeigt, sodass alle durch sie gefilterten Ereignisse angezeigt werden.
Fazit
Windows macht so viele Dinge so einfach, dass wir nie darüber nachdenken müssen, was im Hintergrund passiert. Wenn Sie sich die Protokolle mit der Ereignisanzeige ansehen, können Sie sich ein Bild von der Verwaltung machen, die Sie nie sehen, und Ihnen helfen, zu erkennen, wie gut Windows funktioniert. Es lohnt sich, einen Blick darauf zu werfen, was Sie tun können, auch wenn Sie nicht mehr tun als zu schauen. Glauben Sie, dass der Event Viewer ein nützliches Tool für Sie sein könnte? Bitte hinterlassen Sie einen Kommentar und teilen Sie Ihre Meinungen.