Utilizzare Event Viewer Visualizzare lo storico di tutti gli eventi della macchina 1s
2s
1. Cenni Generali 1.1. Cos è Event Viewer Event Viewer (Visualizzatore di eventi) è un tool molto utile di amministrazione di Windows, in cui sono presenti dei log (registri) di tutti gli eventi accaduti nel sistema, dagli errori gravi a semplici informazioni generiche. Questi log consentono di ottenere informazioni sull'hardware, sul software e sui componenti di sistema, di monitorare gli eventi di protezione in un computer locale o remoto, di identificare e diagnosticare l'origine dei problemi di sistema correnti oppure di prevedere eventuali problemi. 1.2. Dove è presente Questo tool è presente in tutti i sistemi operativi della famiglia Microsoft Windows NT, quindi è utilizzabile anche sui più comuni Windows XP e Windows 7. 3s
2. Panoramica di Event Viewer 2.1. Accedere a Event Viewer Possiamo accedere al tool sia tramite pannello di controllo che con scorciatoia dal prompt dei comandi. Da Start 2.1.1. Accesso da pannello di controllo selezionare Pannello di Controllo. Dal menù selezionare la voce Strumenti di amministrazione. 4s
Per aprire Event Viewer cliccare su Visualizzatore eventi. 2.1.2. Accesso da prompt dei comandi Da Start digitare nella barra di ricerca il comando eventvwr.msc : Selezionare quindi la voce eventvwr.exe per aprire Event Viewer. 5s
2.2. Quali eventi vengono registrati In Windows si definisce evento un avvenimento significativo che si verifica nel sistema o in un programma che richiede la notifica agli utenti o l'aggiunta di una voce in un registro. Event Viewer registra gli eventi relativi alle applicazioni, alla protezione e al sistema, di cui abbiamo 3 diversi log: Registro Application: sono contenuti gli eventi registrati dai programmi. Gli eventi che vengono scritti nel registro applicazioni sono stabiliti dagli sviluppatori del programma software; Registro Security: vengono registrati eventi quali i tentativi di accesso validi e non validi, nonché gli eventi correlati all'utilizzo delle risorse, ad esempio la creazione, l'apertura o l'eliminazione di file; Registro System: contiene gli eventi registrati dai componenti di sistema di Windows. In Windows 7 (solo con SP1) esistono due log aggiuntivi: i registri Installazione e Eventi Inoltrati. Il primo è particolarmente utile in quanto è lo storico di tutte le installazioni / disinstallazioni avvenute sul PC. Esistono cinque tipologie di evento: Informazione: evento che descrive la riuscita di un'attività, ad esempio di un'applicazione, un driver o un servizio. Avviso: evento non necessariamente significativo che potrebbe indicare il possibile verificarsi di un problema futuro. Esso viene registrato, ad esempio, quando lo spazio su disco comincia a essere insufficiente. / Errore: evento che descrive un problema significativo, ad esempio la mancata riuscita di un'attività critica. Gli eventi di errore possono includere la perdita di dati o di funzionalità. Controllo riuscito: evento che descrive il completamento di un evento di protezione controllato. Un evento di controllo riuscito viene registrato, ad esempio, quando un utente accede al computer. Controllo non riuscito: descrive un evento di protezione controllato non completato correttamente. Esso potrebbe essere registrato, ad esempio, quando un utente non è in grado di accedere a un'unità di rete. In Windows 7 abbiamo un ulteriore tipologia di evento, il livello Critico. 6s
2.3. Interpretazione degli eventi Ciascuna voce evento viene classificata per tipo e contiene informazioni relative all'intestazione e una descrizione dell'evento. L'intestazione evento contiene le seguenti informazioni sull'evento: Tipo: indica il tipo di evento. L'evento può essere dei cinque tipi elencati sopra; Data; Ora; Origine: indica l origine dell'evento. Può trattarsi del nome di un programma, di un componente di sistema, di un singolo componente o di un programma ampio; Categoria: una classificazione dell'evento in base all'origine evento. Utilizzato principalmente nel registro protezione; ID evento: numero di evento che identifica il tipo di evento. L'ID evento può essere utilizzato dai rappresentanti del supporto tecnico per comprendere l'evento che si è verificato nel sistema; Utente: il nome dell'utente collegato quando si è verificato l'evento; Computer: il nome del computer nel quale si è verificato l'evento. 7s
2.4. La finestra di Event Viewer Per Windows 7 la finestra principale di Event Viewer è stata modificata rispetto alla versione contenuta in Windows XP. Da questa prima finestra di panoramica possiamo osservare un Riepilogo eventi amministrativi più recenti, dove abbiamo una divisione per tipologia di evento. Per accedere ai registri evento (log), dal menù laterale sinistro selezioniamo Registri di Windows. 8s
Qui è possibile visualizzare i diversi registri. Selezionando un registro verranno visualizzati tutti gli eventi ad esso associati. Selezionando nel menù destro Filtro registro corrente.. è possibile filtrare la lista secondo le proprie esigenze. Nella parte inferiore viene visualizzato il dettaglio dell evento (finestra Proprietà Evento), con una descrizione che permette di risalire al contesto che ha creato l evento stesso. Cliccando ogni evento possiamo comunque aprire la finestra Proprietà evento. Di seguito alcuni esempi: 9s
Dalla fig. 4 possiamo notare uno tra gli errori del registro system (sistema) che è utile osservare. Esso si presenta con l ID evento n 6008, ed è derivante da un arresto del sistema non corretto. Questa segnalazione può essere utile per identificare origini di vari problemi derivanti da utilizzi non congrui della macchina. 2.5. Esportare un log di Event Viewer Se si desidera salvare i dati del registro, è possibile archiviare i registri evento in uno dei seguenti formati: File evento (.evtx); File di testo (.txt); File XML (.xml); File CSV (.csv). Per salvare un registro si seleziona dal menù laterale sinistro il registro desiderato, e con un clic destro, dal menù a tendina, selezionare Salva tutti gli eventi con nome... Dalla finestra di salvataggio è possibile scegliere poi il formato di esportazione del registro, a seconda del utilizzo voluto. Fig. 4 10s