آموزش

آموزش جامع ابزار Event Viewer (قسمت اول) مشکلات رایانه خود را به راحتی بشناسید.

از Event Viewer چه می‌دانید؟ “Event” در لغت به معنای “رویداد” و “Viewer” هم به معنای “ناظر” است؛ همان‌طور که از اسم این ابزار پیداست، می‌توان هر رویدادی (اعم از خطا، اخطار و پیام‌های اطلاعاتی) که در ویندوز و برنامه‌های مبتنی بر آن را رخ می‌دهد با Event Viewer رصد کرد. از این ابزار کاربردی ویندوز می‌توان برای مطلع شدن از اینکه آخرین بار رایانه چه زمانی روشن و خاموش شده، بررسی خطاهای رخ داده و چندین مورد کارآمد دیگر نیز استفاده کرد. در ادامه این آموزش با ما در وینفون همراه باشید.

نکته بد در ابزار Event Viewer این است که گاهی کاربران عادی را گمراه می‌کند. تعداد بیشماری هشدار، خطا و پیام های اطلاعاتی در این ابزار به نمایش در می‌آیند. اگر کسی به خوبی از نحوه چیدمان و استفاده از این اطلاعات مطلع نباشد، می‌توانند به اشتباه به این فکر بیفتد که رایانه اش با مشکلی جدی روبه‌رو است.

آشنایی با اجزا و رابط کاربری Event Viewer

برای اجرای این ابزار در تمام نسخه های ویندوز کافی است که با فشردن کلیدهای Windows Logo + R وارد پنجره Run شده و عبارت eventvwr.msc را تایپ کرده، کلید Ok را بزنید:

رویدادها در یک نگاه

همانطور که مشاهده می‌کنید این ابزار نیز مثل خیلی از نرم‌افزارهای دیگر ویندور دارای سه قسمت اصلی است و برخلاف اکثر برنامه‌ها در پنل سمت راست هم ابزارهای مهم و کاربردی برای کاربر دارد.
پنل سمت چپ فهرستی کامل از دسته بندی های در دسترس برای همه موارد قابل مشاهده به شما ارائه می‌دهد.
پنل میانی برای مشاهده اعلانات و اتفاقات موجود در دسته بندی انتخاب شده است. شما می‌توانید با دوبار کلیک کردن بر روی هریک از گزینه های موجود در این قسمت، اطلاعات تفضیلی را در مورد گزینه انتخابی در پنجره ای مجزا مشاهده کنید.

با کلیک روی (Event Viewer (Local در پنل سمت چپ، پنل میانی اطلاعاتی خلاصه شده در مورد هر یک از رویدادهای رایانه در برهه‌های مختلف زمانی، آخرین رویدادهای نظارت شده و حجم بانک اطلاعاتی رویدادها در اختیار ما قرار می‌دهد:
اما بیشترین قسمتی که در پنل سمت چپِ ابزار برای کاربران مورد استفاده قرار می‌گیرد، Windows Logs است. این فولدر شامل ۵ قسمت “Application” ، “Security”، “Setup”، “System” و “Forwarded Events” است:

قسمت Application

در این قسمت تمام اطلاعات مربوط به برنامه‌های در حال اجرای ویندوز ذخیره می‌شود. شما می‌توانید با مراجعه به این قسمت برنامه‌های سیستمی مشکل دار خود را اشکال‌یابی کنید. توجه داشته باشید که حتی رایانه‌های سرور در بهترین حالت نیز عاری از خطا نیستند؛ بنابراین دیدن چند پیغام خطا و هشدار کاملا عادی است.
تصورکنید که در حال کار کردن با رایانه خود هستید که ناگهان یک برنامه (مثلا Explorer.exe) از کار افتاده و اصطلاحا کرش (Crash) می‌کند. کافی‌ است روی قسمت Application راست کلید کرده و با انتخاب گزینه Find در کادر محاوره‌ای باز شده عبارت “Explorer.exe” را وارد کرده و به دنبال تمام رویدادهای مربوط به آن بگردید. سپس می‌توانید با انتخاب رویداد مورد نظر و دوبار کلیک بر روی آن به اطلاعات کامل آن دست پیدا کنید:

قسمت Security

تمام فعالیت‌های رایانه شما در زمینه دسترسی‌های امنیتی در این قسمت ثبت و ضبط می‌شوند. توجه داشته باشید که شما می‌توانید در این قسمت زمان ورود به سیستم کاربرها (User Login)، دسترسی‌های درخواستی از سوی برنامه‌ها (Application Credential Request)، متصل شدن به سرویس‌های امنیتی مانند فایروال و … را رصد کنید. برای مثال اینجا به رویدادی که نشان می‌دهد آنتی‌ویروس Eset NOD32 خود را در فایروال ویندوز برای کنترل منبعی خاص ثبت کرده است اشاره کرده ایم (توجه کنید که این رویداد با دسته‌بندی Other System Events، به معنای دیگر رویدادهای سیستمی، طبقه‌بندی شده است؛ زیرا آنتی‌ویروس یک برنامه شخص ثالث است.)
همچنین رویدادهایی با دسته‌بندی Logon وجود دارند که زمان دقیق ورود کاربر به سیستم را نشان می‌دهند. توجه داشته باشید هر عملی که منجر به شروع مجدد پروسه ورود به ویندوز شود در این دسته‌بندی خواهد بود؛ از جمله خارج شدن از حالت خواب (Sleep Mode):

قسمت Setup

این قسمت شامل اطلاعاتی درباره نصب و به‌روزرسانی ویندوز است. هر رویدادی که به نصب یک بسته به‌روزرسانی جدید، تغییر در بسته‌های موجود و تغییر در قابلیت‌های نصب شده ویندوز مربوط باشد، در این دسته‌بندی یافت خواهد شد. در اینجا ما اطلاعاتی در مورد از نصب خارج کردن بسته پروتکل SMB1 از ویندوز را مشاهده می‌کنیم:

قسمت System

تمام اعمال هسته سیستم عامل ویندوز اعم از ورود به حالت خواب (Sleep Mode)، اتصال به سرورهای مایکروسافت، تغییر ساعت و تاریخ خودکار، همگام سازی‌های سخت افزار-نرم افزار، و … در این دسته‌بندی جای می‌گیرند. در این قسمت شما حتی می‌توانید ببنید که علت روشن شدن رایانه تان چه بوده است (دکمه پاور سخت افزاری، زمان‌بندی در میان افزار برد اصلی، خروج از حالت خواب با صفحه کلید و…). برای مثال ما رویداد خطایی با مضمون عدم دسترسی به فولدر تاریخچه سرور IIS را باز کرده‌ایم:

قسمت Forwarded Events

این قسمت در رایانه‌های شخصی کارایی زیادی ندارد و صرفا جهت نشان دادن رویدادهای ارسال شده از طرف رایانه‌های سرویس گیرنده در یک شبکه روی رایانه سرور است.

فولدر Application and Services Logs

این فولدر حاوی قسمت‌های زیادی مانند Windows PowerShell، Microsoft Office Sessions و غیره است. همچنین یک زیر فولدر به اسم Microsoft را نیز شامل می‌شود که تمامی قسمت‌های سیستم عامل را به تفکیک در بر گرفته است. شما می‌توانید با گشتن در این فولدر اطلاعات جالبی راجع به سرویس‌ها و برنامه‌های زیر سیستمی ویندوز به دست آورید. برای مثال ما به رویداد هشداری مربوط به ویندوز دیفندر در مسیر Microsoft\Windows\Windows Defender\Operetional اشاره کرده‌ایم که نشان دهنده توقف اسکن رایانه قبل از پایان عادی آن است:

فولدر Custom Views

این فولدر شامل نماهای شخصی سازی شده برای دسته‌بندی بهتر رویدادها است. شما در نمای Administrative Events می‌توانید همه رویدادهای اتفاق افتاده در رایانه را، فارق از دسته‌بندی محلی آنها مشاهده کنید. این نمای شخصی فقط خطاها و هشدارها را در بر می‌گیرد و پیام های اطلاعاتی در آن جای نمی‌گیرند:

ساختن یک نمای شخصی سازی شده

در پنل سمت چپ روی Event Viewer (Local) راست کلید کرده و گزینه Create Custom View را انتخاب کنید. در پنجره باز شده و در قسمت Logged می‌توانید بازه زمانی رویدادهای مورد نظرتان را انتخاب کنید:
در قسمت Events level یک یا چند سطح از رویدادها را برای نمایش انتخاب کنید (Critical: بحرانی، Warning: هشدار، Verbose: جزء به جزء، Error: خطا، Information: پیام اطلاعاتی):
با انتخاب هریک از گزینه‌های By Log یا By Source می‌توانید منبع رویدادهای مورد نظر خود را انتخاب کنید. توجه داشته باشید که انتخاب بیش از ۱۰ منبع برای یک نمای شخصی، به علت حجم بالای اطلاعات پردازشی باعث نمایش پیغام خطا در درنامه خواهد شد:
در کادری که نوشته All Event IDs به چشم می‌خورد می‌توانید یک معرف پردازش عددی (Process ID) برای در نظر گرفتن رویدادهای تنها یک (یا چند) پردازه خاص را وارد کرد:
در قسمت Keywords باید کلیدواژه مربوط به رفتار رویداد را انتخاب کنید، بهتر است All Keywords انتخاب شود:
در کادرهای User و Computer می‌توانید یک نام کاربر برای زیر نظر گرفتن رویدادهایی که فقط از سوی همان کاربر اتفاق می‌افتد را وارد کنید. همچنین با وارد کردن نام رایانه (ها) به صورت محلی یا شبکه می‌توان رویدادهای صادره از کاربر روی تمام رایانه‌های متصل به یک محدوده (Domain) را تحت نظر گرفت:
با کلیک روی Ok وارد پنجره دیگری برای نام‌گذاری نمای شخصی خود خواهید شد. یک نام و یک توضیح برای نمای خود وارد کرده و روی Ok کلیک کنید (گزینه‌ای به نام All Users را نیز در این پنجره داریم که در صورت روشن کردن باعث می‌شود نمای ما برای همه کاربران قابل رویت باشد و در صورت خاموش بودن منحصر به خودمان شود):
همانطور که مشاهده می‌کنید در بخش Custome Views شاهد نمای شخصی سازی شده برای مشاهده رویدادها هستیم:
تیم وینفون امیدوار است این آموزش مورد توجه شما عزیزان قرار گرفته باشد. نظرات و تجربیات خود را در مورد این آموزش و ابزار Event Viewer با ما در میان بگذارید. در روزهای آینده با قسمت دوم این آموزش در خدمت شما عزیزان خواهیم بود.

منبع : وینفون
51 پست
سیّد محمّد نصری
Sickmind_01 is here, English Translation graduate and one hell of a Microsoft lover
مطالب مرتبط
دیدگاه کاربران
Forza Juventus
💔 0 پاسخ دهید سه شنبه 13 تیر 1396

سلام تلگرام نسخه اصلی آپدیت شد

حیان
💔 0 پاسخ دهید چهارشنبه 14 تیر 1396

خدااااااااااا خیرت بده

حیان
💔 0 پاسخ دهید چهارشنبه 14 تیر 1396

داداش چجوری میتونم رد و بدل شدن فایل تو سیستم رو نظارت کنم؟ (کپی یا دلیت شدن) مثلا دنبال فولدر دیتا یه برنامه هستم که نه توی اپ دیتا هست نه توی فولدر نصبش… مکانشو میخام پیدا کنم… دنباله یه راهیم حتی اگه روشش مخفیانه هم باشه پیداش کنم… الگوریتم دارم واسه این کار ولی خب سرعت سیستم پایین میاد جواب نمیده دنباله یه برنامم که از داخل خود سیستم نظارت داشته باشه من فقط خروجی بگیرم

برای نوشتن دیدگاه می توانید به حساب کاربری خود وارد شوید ورود ارسال نظر به صورت مهمان
برچسب ها: , , , , , , , , , , , , , , , ,