Page d'accueil » école » Utilisation de l'observateur d'événements pour résoudre les problèmes

    Utilisation de l'observateur d'événements pour résoudre les problèmes


    Dans l'édition d'aujourd'hui de Geek School, nous allons vous apprendre à utiliser Event Viewer pour résoudre les problèmes sur votre PC et comprendre ce qui se passe sous le capot.

    NAVIGATION SCOLAIRE
    1. Utilisation du planificateur de tâches pour exécuter des processus ultérieurement
    2. Utilisation de l'observateur d'événements pour résoudre les problèmes
    3. Comprendre le partitionnement de disque dur avec la gestion de disque
    4. Apprendre à utiliser l'éditeur de registre comme un pro
    5. Surveiller votre PC avec Resource Monitor et Task Manager
    6. Comprendre le panneau de propriétés système avancées
    7. Comprendre et gérer les services Windows
    8. Utilisation de l'éditeur de stratégie de groupe pour modifier votre PC
    9. Comprendre les outils d'administration Windows

    Le plus gros problème avec Event Viewer est que cela peut être très déroutant - il y a beaucoup d'avertissements, d'erreurs et de messages d'information, et sans savoir ce que tout cela signifie, vous pouvez supposer (à tort) que votre ordinateur est en panne ou infecté lorsqu'il y a rien de mal.

    En fait, les arnaqueurs du support technique utilisent Event Viewer dans le cadre de leur tactique de vente pour convaincre des utilisateurs confus que leur PC est infecté par des virus. Ils vous guident tout au long du filtrage en ne filtrant que les erreurs critiques, puis ils sont surpris que toutes les erreurs visibles soient des erreurs critiques.

    Apprendre à utiliser et à comprendre l'observateur d'événements est une compétence essentielle pour comprendre ce qui se passe sur un PC et résoudre les problèmes.

    Comprendre l'interface

    Lorsque vous ouvrez l'Observateur d'événements pour la première fois, vous remarquerez qu'il utilise la configuration à trois volets, comme beaucoup d'autres outils d'administration de Windows, bien que dans ce cas, il existe plusieurs outils utiles du côté droit..

    Le volet de gauche affiche une vue de dossier dans laquelle vous pouvez trouver tous les différents journaux d'événements, ainsi que les vues pouvant être personnalisées avec des événements provenant de plusieurs journaux à la fois. Par exemple, la vue Événements administratifs des versions récentes de Windows affiche tous les événements d'erreur, d'avertissement et critiques, qu'ils proviennent du journal des applications ou du journal système..

    Le volet du milieu affiche une liste d'événements. Cliquez dessus pour afficher les détails dans le volet de visualisation. Vous pouvez également double-cliquer sur l'un d'entre eux pour l'ouvrir dans une fenêtre séparée, ce qui peut s'avérer utile lorsque vous parcourez le site. un grand nombre d'événements et veulent trouver toutes les choses importantes avant de commencer une recherche sur Internet.

    Le volet de droite vous donne un accès rapide à des actions telles que la création de vues personnalisées, le filtrage ou même la création d'une tâche planifiée basée sur un événement particulier..

    Les événements eux-mêmes sont ce que nous essayons de voir, bien sûr, et leur utilité peut aller de choses très spécifiques et évidentes que vous pouvez facilement corriger à des messages très vagues qui n’ont aucun sens et que vous ne trouvez pas. informations sur Google. Les champs normaux sur l’affichage contiennent:

    • Nom du journal - alors que dans les versions antérieures de Windows, tout était vidé dans le journal de l'application ou du journal système, dans les éditions plus modernes, il existe un choix de dizaines ou de centaines de journaux. Chaque composant Windows aura probablement son propre journal.
    • La source - c'est le nom du logiciel qui génère l'événement de journal. Le nom ne correspond généralement pas directement à un nom de fichier, bien sûr, mais il représente quel composant l'a fait.
    • ID d'événement - L'identifiant d'événement primordial peut être un peu déroutant. Si vous consultiez Google pour «l'ID d'événement 122» que vous voyez dans la capture d'écran suivante, vous ne obtiendriez pas d'informations très utiles, à moins d'inclure également le nom de la source ou de l'application. En effet, chaque application peut définir ses propres ID d’événement uniques..
    • Niveau - Cela vous indique la gravité de l'événement. Les informations vous indiquent simplement que quelque chose a changé, qu'un composant a démarré ou s'est terminé. Avertissement vous indique que quelque chose ne va pas, mais ce n'est pas encore si important. Erreur vous dit que quelque chose s'est passé qui n'aurait pas dû arriver, mais ce n'est pas toujours la fin du monde. Critique, d'autre part, signifie que quelque chose est cassé quelque part et que le composant qui a déclenché cet événement s'est probablement écrasé..
    • Utilisateur - ce champ vous indique s'il s'agit d'un composant du système ou de votre compte d'utilisateur qui exécutait le processus à l'origine de l'erreur. Cela peut être utile quand on regarde à travers les choses.
    • OpCode - théoriquement, ce champ vous indique quelle activité l’application ou le composant faisait lorsque l’événement a été déclenché. En pratique, cependant, il sera presque toujours dit «Info» et est plutôt inutile.
    • Ordinateur - sur votre ordinateur de bureau, il s’agit généralement du nom de votre ordinateur, mais dans le monde informatique, vous pouvez transférer des événements d’un ordinateur ou d’un serveur à un autre. Vous pouvez également connecter l'observateur d'événements à un autre PC ou serveur.
    • Catégorie de tâche - ce champ n'est pas toujours utilisé, mais il finit par être un champ informatif qui vous en dit un peu plus sur l'événement.
    • Mots clés - ce champ n'est généralement pas utilisé et contient généralement des informations inutiles.

    En règle générale, vous devriez essayer de chercher par la description générale, ou l'ID d'événement et la source, ou une combinaison de ces valeurs.

    Rappelez-vous simplement que l'ID d'événement est unique… pour chaque application. Il y a donc beaucoup de chevauchements et vous ne pouvez pas simplement rechercher «ID d'événement 122» car vous obtiendrez beaucoup de bêtises..

    Note importante: Il y aura toujours des erreurs et des avertissements dans le journal des événements, et vous ne pouvez pas tous les résoudre. La chose la plus importante est d'utiliser Event Viewer pour résoudre les problèmes que vous rencontrez déjà, plutôt que d'essayer de trouver des problèmes que vous ne connaissez pas encore..

    Et oui, vous allez devoir utiliser vos compétences Google pour rechercher des événements que vous ne connaissez pas. Il n'y a pas de solution magique facile.

    La seule chose que vous puissiez faire immédiatement lorsque cette boîte de dialogue s’affiche est de cliquer sur le lien Plus d’informations. Le problème est qu’elle ne vous mène actuellement nulle part. Vous venez de finir sur une page d'erreur sur le site de Microsoft.

    Ce qui est effrayant, c'est que 8464 personnes ont jugé la page non trouvée utile..

    Remappage de la recherche d'identifiant d'événement en ligne pour qu'elle fonctionne réellement

    Pour une raison quelconque, le lien "Plus d'informations: Aide en ligne du journal des événements" ne fonctionne tout simplement pas, mais heureusement, il existe un excellent système de registre que vous pouvez utiliser pour résoudre le problème..

    Nous allons simplement modifier l'URL de redirection dans le registre pour qu'elle pointe vers Google ... sauf en raison de la façon dont les arguments sont transmis, nous devrons le faire pointer vers une page intermédiaire qui analysera les arguments et formez l'URL de recherche Google correcte.

    Pour les besoins de cet article, nous mettons en place une page sur notre propre serveur, et vous êtes invités à l'utiliser. Si vous préférez ne pas utiliser notre serveur, la seule ligne de code PHP est répertoriée à la fin de cette section..

    Pour effectuer ce changement, allez à la clé de registre suivante:

    HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

    Recherchez la valeur MicrosoftRedirectionURL sur le côté droit, puis remplacez la valeur par défaut, qui est http://go.microsoft.com/fwlink/events.asp, puis insérez cette valeur:

    https://www.howtogeek.com/eventid

    Une fois que vous avez fait cela, un clic sur le lien dans la fenêtre Propriétés de l'événement vous redirigera immédiatement vers Google, avec les données pertinentes déjà incluses (ID d'événement, nom du journal et "application", qui tend à indiquer simplement Microsoft Windows)..

    Comment cela marche-t-il? C'est assez simple: l'observateur d'événements ajoute un ensemble de paramètres en tant qu'arguments de chaîne de requête à l'URL que nous avons insérée dans le registre. Ensuite, le script extrait ces arguments et les redirige vers Google, en les transmettant comme termes de recherche..

    En utilisant un simple script PHP, voici ce que nous avons imaginé pour gérer la redirection.

    en-tête ('Emplacement: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['NomProd']);

    Vous pouvez héberger la même chose sur votre propre serveur si vous le souhaitez, ou vous pouvez utiliser celui qui est assis sur notre serveur. Dépend de vous.

    Méfiez-vous des sites Internet avec des «solutions» pour les «problèmes» liés à l'ID d'événement

    Il existe une tonne de sites Web qui génèrent automatiquement des pages pour chaque ID d'événement unique, puis les peuplent avec un non-sens. Ce serait très bien, sauf pour beaucoup de ces événements, il n'y a pas beaucoup d'autres bons résultats.

    Ces sites vous proposeront alors de résoudre le problème si vous téléchargez simplement un logiciel pour votre analyse gratuite. Dans tous les cas, il s'agira d'annonces et le logiciel "solution" est une fraude.

    Aucun logiciel ne peut résoudre tous vos problèmes de journal des événements..

    Utilisation de filtres et de vues personnalisées

    Plutôt que de parcourir les millions de dossiers de journaux d'événements personnalisés et d'essayer de trouver tout ce que vous cherchez, vous pouvez créer un affichage personnalisé affichant uniquement les événements que vous souhaitez voir..

    Pour obtenir de meilleurs résultats, vous voudriez filtrer uniquement les éléments spécifiques que vous souhaitez afficher - probablement Critique, Erreur et Avertissement, puis sélectionner les journaux des événements spécifiques que vous souhaitez que cette vue examine. Ne choisissez pas trop, cependant, car cela ne fonctionnera pas.

    Une fois que vous avez sélectionné ce que vous voulez dans la vue, il vous sera demandé de donner un nom à la vue personnalisée, que vous pourrez ensuite utiliser pour afficher uniquement les événements pour lesquels vous avez filtré. C'est un excellent moyen de gérer des journaux volumineux remplis d'événements d'information absurdes..

    Il est peut-être encore plus facile, bien sûr, d’utiliser simplement la vue intégrée des événements administratifs, qui affiche les messages importants de chacun des principaux journaux..

    Rechercher dans le journal de performances de Windows Diagnostics

    Il existe de nombreux journaux intéressants à consulter lors du dépannage, mais l'un des plus intéressants est trouvé en parcourant les dossiers à l'emplacement suivant:

    Microsoft \ Windows \ Diagnostics-Performance

    Cela se traduit par un journal des événements qui montre tout ce que Windows enregistre en interne pour la vérification des performances: si votre ordinateur démarre plus lentement que d'habitude, Windows aura généralement une entrée de journal à cet effet et répertoriera souvent le composant qui a provoqué Windows démarrer plus lentement.

    Il convient de noter que ce n'est pas parce que le message indique une erreur que c'est la fin du monde, à moins que cela ne se produise tout le temps. Ensuite, vous voudrez peut-être y penser.

    Correction de cette erreur de plus tôt

    Curieux de connaître l'événement dans la capture d'écran plus haut dans l'article? Si vous obtenez le message «L'accès aux pilotes sur Windows Update a été bloqué par une stratégie», la solution est vraiment simple. Ouvrez le Panneau de configuration, recherchez «pilote», puis choisissez Modifier les paramètres d'installation du périphérique..

    Vous remarquerez dans la capture d'écran suivante que cet ordinateur a été configuré pour ne pas télécharger automatiquement les pilotes de périphérique à partir de Windows Update. Pour résoudre le problème et faire en sorte que davantage de messages apparaissent dans l'Observateur d'événements, il vous suffit de basculer le bouton radio sur «Oui, le faire automatiquement»..

    Sympa et simple. Problème résolu, message d'avertissement résolu.

    Attacher des tâches à des événements

    Si vous étiez attentif lors de la dernière leçon de la Geek School, vous vous souviendrez peut-être que vous pouvez créer un déclencheur du Planificateur de tâches par ID d'événement. Vous pouvez également faire la même chose dans l'autre sens. Cliquez avec le bouton droit sur n'importe quelle tâche pour attacher facilement une tâche planifiée à exécuter chaque fois qu'un événement se produit.

    Autres caractéristiques dont vous pourriez avoir besoin

    Event Viewer a quelques autres fonctionnalités que vous pourriez être intéressé à utiliser. Pour la plupart des gens, il est important de parcourir la liste et de savoir quoi rechercher.

    Les abonnements, situés dans le menu de gauche, sont une fonctionnalité largement utilisée dans un environnement d'entreprise pour transférer des événements d'un serveur à un autre afin que vous puissiez les gérer tous à un endroit. Cela nécessite l'exécution des services Windows Event Collector et Windows Remote Management. Pour les utilisateurs à domicile, vous ne devriez pas jouer avec cela, sauf pour des raisons d'apprentissage sur votre système de test.

    Si vous cliquez avec le bouton droit sur les éléments du côté gauche, vous verrez une tonne d'actions (les mêmes que celles habituellement trouvées dans le volet de droite)..

    Vous pouvez enregistrer tous les événements d'un journal pour les visionner plus tard ou sur un autre ordinateur. Vous pouvez copier une vue ou l'exporter sous forme de fichier XML à importer sur un autre ordinateur..

    Utiliser Git sur Android - Outils et Guide gratuits
    Utilisation de GParted pour redimensionner votre partition Windows 7 ou Vista
    Utilisation de la mise en forme conditionnelle de cellules dans Excel 2007
    Article suivant
    Vous utilisez Firefox sur Linux? Votre lecteur Flash est ancien et obsolète!
    Article précédent
    Utilisation de la vue de conversation dans Outlook 2010