Página principal » colegio » Uso del Visor de sucesos para solucionar problemas

    Uso del Visor de sucesos para solucionar problemas


    En la edición de hoy de Geek School, vamos a enseñarte cómo usar el Visor de eventos para solucionar problemas en tu PC y comprender lo que sucede debajo del capó..

    NAVEGACION ESCOLAR
    1. Usando el programador de tareas para ejecutar procesos más tarde
    2. Uso del Visor de sucesos para solucionar problemas
    3. Entendiendo la partición del disco duro con la administración de discos
    4. Aprendiendo a usar el editor de registro como un profesional
    5. Monitoreo de su PC con el Monitor de recursos y el Administrador de tareas
    6. Comprender el panel de propiedades avanzadas del sistema
    7. Entender y administrar servicios de Windows
    8. Usando Group Policy Editor para modificar tu PC
    9. Entendiendo las herramientas de administración de Windows

    El mayor problema con el Visor de eventos es que puede ser realmente confuso: hay muchas advertencias, errores y mensajes informativos, y sin saber lo que significa, puede asumir (incorrectamente) que su computadora está rota o infectada cuando hay nada realmente mal.

    De hecho, los estafadores de soporte técnico están utilizando el Visor de eventos como parte de su táctica de ventas para convencer a los usuarios confundidos de que su PC está infectada con virus. Lo guían a través del filtrado solo por errores críticos y luego actúan sorprendidos de que todo lo que está viendo son errores críticos..

    Aprender a usar y entender el Visor de eventos es una habilidad crítica para descubrir qué está pasando con una PC y para solucionar problemas.

    Entendiendo la interfaz

    Cuando abre el Visor de eventos por primera vez, notará que utiliza la configuración de tres paneles como muchas otras herramientas administrativas en Windows, aunque en este caso, en realidad hay bastantes herramientas útiles en el lado derecho..

    El panel de la izquierda muestra una vista de carpeta, donde puede encontrar todos los diferentes registros de eventos, así como las vistas que se pueden personalizar con eventos de muchos registros a la vez. Por ejemplo, la vista Eventos administrativos en las versiones recientes de Windows muestra todos los eventos de Error, Advertencia y Crítico, ya sea que se hayan originado en el registro de la aplicación o en el registro del sistema.

    El panel central muestra una lista de eventos, y al hacer clic en ellos se mostrarán los detalles en el panel de vista previa, o puede hacer doble clic en cualquiera de ellos para abrirlos en una ventana separada, que puede ser útil cuando está mirando. un gran conjunto de eventos y desea encontrar todas las cosas importantes antes de comenzar una búsqueda en Internet.

    El panel de la derecha le brinda acceso rápido a acciones como crear vistas personalizadas, filtrar o incluso crear una tarea programada basada en un evento en particular.

    Los eventos en sí mismos son lo que estamos tratando de ver, por supuesto, y su utilidad puede variar desde cosas realmente específicas y obvias que puedes corregir fácilmente hasta mensajes muy vagos que no tienen ningún sentido y no puedes encontrar ninguno. información en Google. Los campos regulares en la pantalla contienen:

    • Nombre de registro - mientras que en las versiones anteriores de Windows todo se volcaba en el Registro de la aplicación o del Sistema, en las ediciones más modernas hay docenas o cientos de registros diferentes para elegir. Cada componente de Windows probablemente tendrá su propio registro.
    • Fuente - este es el nombre del software que genera el evento de registro. El nombre generalmente no coincide directamente con un nombre de archivo, por supuesto, pero es una representación de qué componente lo hizo.
    • ID de evento - El ID de evento de suma importancia puede ser un poco confuso. Si estuviera en Google para el "evento ID 122" que ve en la siguiente captura de pantalla, no terminará con información muy útil a menos que también incluya la Fuente o el nombre de la aplicación. Esto se debe a que cada aplicación puede definir sus propios ID de eventos únicos.
    • Nivel - Esto le indica qué tan grave es el evento. La información simplemente le dice que algo ha cambiado o que un componente ha comenzado o que algo se ha completado. La advertencia le dice que algo podría salir mal, pero aún no es tan importante. El error te dice que sucedió algo que no debería haber ocurrido, pero que no siempre es el fin del mundo. Crítico, por otro lado, significa que algo está roto en algún lugar, y el componente que desencadenó este evento probablemente se estrelló.
    • Usuario - este campo le dice si fue un componente del sistema o su cuenta de usuario que ejecutó el proceso que causó el error. Esto puede ser útil al mirar a través de las cosas..
    • OpCode - este campo teóricamente te dice qué actividad estaba haciendo la aplicación o el componente cuando se activó el evento. En la práctica, sin embargo, casi siempre dirá "Info" y es bastante inútil.
    • Computadora - en el escritorio de tu hogar, este solo será el nombre de tu PC, pero en el mundo de TI, puedes reenviar eventos de una computadora o servidor a otra. También puede conectar el Visor de eventos a otra PC o servidor.
    • Categoría de tarea - este campo no siempre se usa, pero termina siendo básicamente un campo informativo que le brinda un poco más de información sobre el evento.
    • Palabras clave - Este campo no se usa generalmente, y generalmente contiene información inútil..

    Como regla general, debe intentar buscar por la descripción general, el Id. De evento y la Fuente, o una combinación de esos valores..

    Solo recuerda que el ID de evento es único ... para cada aplicación. Por lo tanto, hay mucha superposición y no puedes simplemente buscar el "Id. De evento 122" porque obtendrás muchas tonterías..

    Nota IMPORTANTE: Siempre habrá errores y advertencias en el registro de eventos, y no podrá resolverlos todos. Lo más importante es usar el Visor de eventos para solucionar problemas que ya tiene, en lugar de tratar de encontrar problemas que aún no conoce..

    Y sí, necesitarás usar tus habilidades de Google para investigar los eventos que no conoces. No hay una solución mágica fácil.

    Lo único que puede hacer inmediatamente al ver este cuadro de diálogo es hacer clic en el enlace Más información ... el problema es que actualmente no lo lleva a ningún lado útil. Usted acaba de terminar en una página de error en el sitio de Microsoft.

    Lo que da miedo es que 8464 personas calificaron la página no encontrada como útil.

    Reasignando la búsqueda de ID de evento en línea para trabajar realmente

    Por alguna razón, el enlace "Más información: registro de eventos en línea" simplemente no funciona para nosotros, pero afortunadamente hay un gran truco de registro que puede usar para solucionar el problema..

    Lo que vamos a hacer es simplemente cambiar la URL de redirección en el registro para que apunte hacia Google ... excepto por la forma en que se pasan los argumentos, tendremos que apuntar hacia una página intermedia que analizará los argumentos y formar la URL de búsqueda de Google correcta.

    A los efectos de este artículo, colocamos una página en nuestro propio servidor y le invitamos a utilizarla. Si prefiere no usar nuestro servidor, la única línea de código PHP aparece al final de esta sección..

    Para hacer este cambio, diríjase a la siguiente clave de registro:

    HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ EventViewer

    Encuentre el valor de MicrosoftRedirectionURL en el lado derecho y luego cambie el valor del valor predeterminado, que es http://go.microsoft.com/fwlink/events.asp e inserte este valor en su lugar:

    https://www.howtogeek.com/eventid

    Una vez que haya hecho eso, al hacer clic en el enlace en la ventana de Propiedades del evento, se le redirigirá inmediatamente a Google, con los datos relevantes ya incluidos (ID de evento, nombre de registro y "aplicación", que tiende a decir simplemente Microsoft Windows).

    ¿Como funciona esto? Es bastante simple: el Visor de eventos agrega un conjunto de parámetros como argumentos de cadena de consulta a la URL que colocamos en el registro. Luego, el script extrae esos argumentos y los redirige a Google, pasando los argumentos como términos de búsqueda en su lugar..

    Usando un simple script PHP, esto es lo que se nos ocurrió para manejar la redirección.

    encabezado ('Ubicación: http://google.com/search?q=Event ID'. $ _GET ['EvtID']. ". $ _GET ['EvtSrc'].". $ _GET ['ProdName']));

    Si lo desea, puede alojar lo mismo en su propio servidor o puede usar el que está en nuestro servidor. Depende de usted.

    Cuidado con los sitios de Internet con "Soluciones" para los "Problemas" de ID de evento

    Hay una tonelada de sitios web que generan automáticamente páginas para cada ID de evento y luego las llenan con tonterías. Eso estaría bien, excepto por muchos de estos eventos, no hay muchos otros buenos resultados..

    Esos sitios se ofrecerán para resolver el problema si solo descarga alguna pieza de software para su análisis gratuito. En todos los casos, estos serán anuncios, y la "solución" de software es un fraude..

    NO hay paquete de software que pueda resolver todos sus problemas de registro de eventos.

    Usando filtros y vistas personalizadas

    En lugar de revisar las miles de carpetas de registros de eventos personalizados y tratar de encontrar todo lo que está buscando, puede crear una vista personalizada que muestre solo los eventos que desea ver..

    Para obtener los mejores resultados, desearía filtrar solo las cosas específicas que desea ver, probablemente críticas, de error y de advertencia, y luego seleccionar los registros de eventos específicos que desea que analice esta vista. Sin embargo, no seleccione demasiados, porque simplemente no funcionará..

    Una vez que haya seleccionado lo que desea en la vista, se le pedirá que asigne un nombre a la vista personalizada, y luego puede usarlo para ver solo los eventos que ha filtrado. Es una forma increíblemente excelente de lidiar con registros masivos llenos de eventos de información sin sentido..

    Tal vez incluso más fácil, por supuesto, es simplemente usar la vista de Eventos administrativos incorporada, que muestra los mensajes importantes de cada uno de los registros principales.

    Mira a través del registro de rendimiento de diagnóstico de Windows

    Hay una gran cantidad de registros interesantes para ver cuando está resolviendo problemas, pero uno de los más interesantes se encuentra al navegar por las carpetas a la siguiente ubicación:

    Microsoft \ Windows \ Diagnóstico-Rendimiento

    Esto da como resultado un registro de eventos que muestra todas las cosas que Windows registra internamente para verificar el rendimiento. Si su computadora arranca más lento de lo normal, Windows generalmente tendrá una entrada de registro para ella y, a menudo, mostrará una lista del componente que causó que Windows arrancar más lentamente.

    Vale la pena señalar que solo porque el mensaje muestre un error no significa que sea el fin del mundo, a menos que aparezca todo el tiempo. Entonces podrías querer pensarlo.

    Arreglando ese error desde antes

    ¿Tiene curiosidad por el evento en la captura de pantalla anterior en el artículo? Si aparece el mensaje "El acceso a los controladores en Windows Update fue bloqueado por la política", la solución es realmente simple. Abra el Panel de control, busque “controlador” y luego elija Cambiar la configuración de instalación del dispositivo.

    Notará en la siguiente captura de pantalla que esta computadora en particular estaba configurada para no descargar automáticamente los controladores de dispositivo de la actualización de Windows. Para resolver el problema y hacer que aparezcan más mensajes en el Visor de eventos, todo lo que tiene que hacer es cambiar el botón de opción a "Sí, haga esto automáticamente".

    Agradable y sencillo. Problema resuelto, mensaje de advertencia resuelto.

    Adjuntar tareas a eventos

    Si estuvo prestando atención en la última lección de Geek School, puede recordar que puede crear un activador del Programador de tareas por ID de evento, y también puede hacer lo mismo al contrario. Haga clic derecho en cualquier tarea y puede adjuntar fácilmente una tarea programada para que se ejecute cada vez que ocurre un evento.

    Otras características que puede necesitar

    El Visor de eventos tiene un par de otras funciones que le pueden interesar. Para la mayoría de las personas, solo es importante repasar la lista y saber qué buscar..

    Las suscripciones, que se encuentran en el menú de la izquierda, son una función que se usa en gran medida en un entorno empresarial para reenviar eventos de un servidor a otro, de modo que pueda administrarlos en un solo lugar. Esto requiere que se ejecuten los servicios de Windows Event Collector y Windows Remote Management. Para usuarios domésticos, no debe meterse con él, excepto para fines de aprendizaje en su sistema de prueba.

    Si hace clic con el botón derecho en los elementos del lado izquierdo, verá una tonelada de acciones (las mismas que se encuentran generalmente en el panel de la derecha).

    Puede guardar todos los eventos en un registro para verlos más tarde o en otra PC, puede copiar una vista o exportarla como un archivo XML para importar a otra computadora.