KB » Computer » Logboeken (Event Viewer), een tool om gebeurtenissen mee te bekijken

Logboeken (Event Viewer), een tool om gebeurtenissen mee te bekijken

    Tweeten

Introductie

Zowel Windows als geinstalleerde programma's kunnen informatie in logboeken (logs) zetten, zowel puur informatieve (service zus-en-zo is gestart) als fout-informatie (applicatie hang, service kon niet worden gestart, etc.).

Onder Windows 7 zijn veel meer logs dan onder XP. Maar de 2 belangrijkste zijn in beide gevallen die van programma's (maar ook bepaalde Windows-componenten) en die van het systeem (vooral Windows).

Het console van Logboeken (Event Viewer) lijkt in veel opzichten op dat van Verkenner (Explorer). Aan de linkerkant heb je een lijst van mappen, en binnen die mappen heb je bestanden (alleen zijn dat in dit geval alleen maar logs).

Ik beschrijf eerst de soorten logbestanden.
Elk logbestand heeft bepaalde eigenschappen, bv. de grootte ervan, en onder welke condities gebeurtenissen moeten worden overschreven.

De volgende 3 secties gaan allemaal over efficiënt zoeken: het zoeken van fouten (onder Windows 7 wat makkelijker), het instellen van filters zodat je lijst van events krijgt die aan bepaalde criteria voldoen, en tenslotte gewoon zoeken. Eigenlijk is dat hetzelfde als filteren, alleen krijg je de gebeurtenissen nu 1 voor 1 te zien.

Zeer handig is dat je de logs kunt exporteren, zodat je ze op een andere PC kunt bekijken. Je kan dat op een nette manier doen vanuit Logboeken, maar je kan zelfs de logs van een systeem gewoon rechtstreeks naar een ander systeem kopiëren. Maar dan moet je vaak nog een extra truc uithalen.

Voor de volledigheid meld ik nog waar je de logs kunt vinden.


Starten van Logboeken (Event Viewer)

Klik op Start - Uitvoeren (Run), en tik dan in: eventvwr, gevolgd door Enter


Soorten logboeken

Windows XP

Op mijn Windows XP Professional systeem heb ik 1 hoofdcategorie (1 map) en daarbinnen een aantal logs (de echte logbestanden).

Ik heb maar 7 logboeken, en in 3 daarvan heb ik nog nooit informatie gezien: Beveiliging (Security), Internet Explorer en (Microsoft-Windows-Forwarding/Operational)

In Windows PowerShell heb ik nog nooit zinvolle informatie gezien, en ik heb ook nog een speciale log die aan de VPN-verbinding naar mijn werk gerelateerd is, van Cisco.

De 2 enige echt interessante zijn Toepassing (Application) en Systeem (System)

Windows 7

In Windows 7 heb je binnen de hoofdcategorie een aantal submappen, en daarbinnen de echte logboeken of weer nieuwe submappen. De submap die overeenkomt met de Windows XP-situatie is Windows-logboeken (Windows Logs)

Daarbinnen heb je ook de 2 belangrijkste, Toepassing (Application) en Systeem (System)

De categorie Beveiliging (Security) bevat nu wel informatie, vooral over aan- en afmeldingen van gebruikers. Als je een systeem deelt met meerdere mensen, met elk hun eigen gebruikersnaam, dan zou je kunnen zien wie wanneer op het systeem heeft gezeten.

Er is een nieuwe categorie Setup (Setup)
Ik heb de indruk dat daar alleen meldingen in staan over de installatie van Windows updates.

Verder is er nu nog maar 1 lege categorie, Doorgestuurde gebeurtenissen (Forwarded Events)

In Windows 7 zijn er ontelbare, veel meer gespecialiseerde logs bijgekomen. Die vind je in de submap Logboeken Toepassingen en Services (Applications and Services Logs), en dan de meeste in de submap Microsoft en dan in de submap Windows.

De oude XP logs Internet Explorer en Windows PowerShell vallen rechtstreeks onder de submap Logboeken Toepassingen en Services (Applications and Services Logs), maar lijken hier beide leeg te zijn.


Eigenschappen van een logbestand

Windows 7

Klik met rechts op een log, en dan op Eigenschappen (Properties)

Het is verstandig een paar instellingen te controleren.

Achter Max. logboekgrootte (kB): (Maximum log size (KB):) staat waarschijnlijk standaard 32768 kB. Als dat niet zo is, zou ik er iets in die geest van maken.

Onder het kopje
Als maximale grootte van gebeurtenislogboek is bereikt: (When maximum event log size is reached) staan 3 mogelijkheden. Je kan het beste kiezen voor
Gebeurtenissen indien nodig overschrijven (oudste gebeurtenissen eerst) (Overwrite events as needed (oldest events first)) of voor
Het logboek, indien vol, archiveren en geen gebeurtenissen overschrijven (Archive the log when full, do not overwrite events)

Als je om 1 of andere reden met een schone lei wilt beginnen kan je klikken op Logboek wissen (Clear Log)

Windows XP

Klik met rechts op een log, en dan op Eigenschappen (Properties)

Achter Max. logboekgrootte: (Maximum log size:) staat mogelijk een behoorlijk klein getal, 512 kB. Ik zou dat minimaal tot zo'n 20000 kB vergroten. Het kan heel handig zijn om van lang geleden de log-gegevens nog te kunnen bekijken.

Onder het kopje
Wanneer de maximale grootte van het logboek is bereikt: (When maximum log size is reached:) staan 3 mogelijkheden. Je kan het beste kiezen voor
Gebeurtenissen indien nodig overschrijven (Overwrite events as needed)

Als je om 1 of andere reden met een schone lei wilt beginnen kan je klikken op Wissen (Clear Log)


Zoeken op fouten

De meest interessant gebeurtenissen zijn natuurlijk die van alle niveau's (levels) behalve Informatie (Information) (de categorieën Kritiek (Critical) en Uitgebreid (Verbose) bestonden nog niet onder XP).

Onder Windows XP kan je het beste in de logs Toepassing en Systeem kijken.

Onder Windows 7 kan je beter in de submap Aangepaste weergaven (Custom Views) de submap Beheergebeurtenissen (Administrative Events) openen. Daarin staat *bijna* alles wat erger is dan Informatie uit alle andere logs bij elkaar verzameld.

Bijna, want een aantal van de niet-informatie meldingen in de logs in de submap Windows vind je hier niet terug. Ik vond er bv. een paar in de log Operational in de submap Bits-Client
Dat zouden toch interessante kunnen zijn, omdat de BITS-service nauw betrokken is bij Windows Update.

Toch zou ik zeker in probleemsituaties ook in de logs Toepassing en Systeem naar de *informatieve* meldingen kijken. Daar kunnen soms interessante dingen bij zitten, die je anders gemist zou hebben.



Filteren op events

Filteren kan in alle Windows-versies alleen als je links een log geselecteerd hebt (en die verzamellog met foutmeldingen in Windows 7 telt niet als echte log).

Windows 7

Klik op Actie (Action) - Huidig logboek filteren... (Filter Current Log...)

Zwaarte van de melding

Je kan filteren op ernst van de gebeurtenis, door de keuzevakjes Informatie (Information), Waarschuwing (Warning), Uitgebreid (Verbose), Fout (Error) en Kritiek (Critical) al dan niet aan te vinken.

Bron

Verder is de 2e keuzelijst, Bronnen van gebeurtenis (Event sources) een goede keuze om naar informatie te zoeken.

Het verschil met Windows XP is dat je hier meer dan 1 bron kunt selecteren, door de keuzevakjes voor de bron aan te vinken.

Als je bv. problemen met je netwerk hebt zou je naar Tcpip kunnen zoeken. Of bij geluidsproblemen naar Audio (Audio)

Categorie en ID

De Categorie (Task Category) is meestal niet zo interessant, en de gebeurtenis-id's (Event ID's) ken je meestal niet. Wat de Trefwoorden (Keywords) betekenen moet ik nog nader uitzoeken.

Tijdsinterval

Het selecteren van een tijdsperiode gaat heel anders dan onder XP. Je kan hier achter Geregistreerd (Logged) (helemaal bovenin) kiezen voor een aantal uren of dagen, maar ook voor Aangepast bereik... (Custom range...)

Dan krijg je weer iets wat op XP lijkt. Standaard staan hier Eerste gebeurtenis (First Event) en Laatste gebeurtenis (Last Event) ingevuld, m.a.w. de hele log wordt doorzocht. In beide vakjes kan je echter ook kiezen voor Gebeurtenissen op (Events on), en dan kan je een tijd invullen.

Aan te raden strategie

Je kan het beste kijken in de "log" Beheergebeurtenissen (Administrative Events) in de submap Aangepaste weergaven (Custom Views)

Als je daar niet vindt wat je zoekt kan je ook kijken in de logs Toepassing en Systeem

Misschien dat er informatieve gebeurtenissen in staan die je verder kunnen helpen.

Klaar met zoeken

Als je weer terug wilt naar de standaardinstellingen kan je klikken op de knop Wissen (Clear) (in tegenstelling tot de verwarrende naamgeving in vergelijking met die in XP betekent het niet dat je de hele log schoonpoetst).

Windows XP

Klik op Beeld (View) - Filter

Zwaarte van de melding

Je kan filteren op ernst van de gebeurtenis, door links de keuzevakjes Informatie (Information), Waarschuwing (Warning) en Fout (Error) al dan niet aan te vinken.

Succes of niet

Wat de 2 keuzevakjes rechts betekenen weet ik nog niet.

Bron

Verder is de 1e keuzelijst, Bron van gebeurtenis (Event source) een goede keuze om naar informatie te zoeken.

Als je bv. problemen met het maken van backups hebt zou je naar ntbackup kunnen zoeken (als je tenminste dat in Windows ingebouwde programma daarvoor gebruikt).

Categorie en ID

De Categorie (Category) is meestal niet zo interessant, en het Gebeurtenis-id (Event ID) ken je meestal niet.

Tijdsinterval

Tenslotte zou je bij Van (From) en Tot (To) een tijdinterval kunnen kiezen.

Standaard staan hier Eerste gebeurtenis (First Event) en Laatste gebeurtenis (Last Event) ingevuld, m.a.w. de hele log wordt doorzocht. In beide vakje kan je echter ook kiezen voor Gebeurtenissen op (Events on), en dan kan je een tijd invullen.

Aan te raden strategie

Omdat je onder XP geen verzamellog voor fouten hebt kan je het beste gaan zoeken naar waarschuwingen en fouten, door de bijbehorende keuzevakjes aan te vinken (en die van informatieve meldingen niet).

De 2 meest voor de hand liggende logs om in te zoeken zijn Toepassing en Systeem

Klaar met zoeken

Als je weer terug wilt naar de standaardinstellingen kan je klikken op de knop Standaardinstellingen herstellen (Restore Defaults)


I.p.v. met filters een hele lijst van gebeurtenissen te produceren die aan de criteria voldoen, kan je ook gewoon 1 voor 1 zoeken. Onder Windows 7 kan je alle velden tegelijk doorzoeken op een willekeurige tekst. Onder Windows XP is het scherm waarin je de criteria invult bijna gelijk aan dat van de filters.

Een nadeel van deze methode is (zeker onder Windows 7) dat als de logs nogal groot zijn het zoeken erg traag gaat. Wat dat betreft kan je beter een filter gebruiken.

Windows 7

Klik op Actie (Action) - Zoeken (Find)

In het veld Zoeken naar: (Find what:) kan je een willekeurige tekst invullen waarnaar je wilt zoeken.

Je gaat 1 voor 1 door de gebeurtenissen heen door steeds te klikken op Volgende zoeken (Find Next)

Windows XP

Klik op Beeld (View) - Zoeken (Find)

Als je als Zoekrichting (Search direction) Omlaag (Down) hebt ingevuld, krijg je eerst de bovenste in de lijst.

Door steeds te klikken op Volgende zoeken (Find Next) kan je zo de hele lijst doorlopen.


Gebeurtenissen op andere PC bekijken

Belangrijk om te beseffen is dat het programma dat een bepaalde gebeurtenis in de log heeft geschreven misschien niet aanwezig is op de PC waar je de log wilt bekijken. Dat betekent ook dat de beschrijving van het event misschien onvolledig zal zijn.

Verder kan je problemen krijgen omdat de logs die je importeert niet goed zijn afgesloten op de andere PC. Met het programma fixevt.exe, dat je hier kan downloaden, kan je dit kleine euvel verhelpen.

Als je de preciese oorzaak van het probleem wilt begrijpen, of het leuk vindt om met hex editors te spelen, dan kan je dit artikel lezen en/of het probleem handmatig repareren.

Windows 7

Klik op Actie (Action) - Alle gebeurtenissen opslaan als... (Save All Events As...)

Je kan dan de complete log opslaan onder een naam naar keuze en in een map naar keuze.

Vervolgens kan je op een andere computer links in het venster klikken (maakt niet uit waar), en dan op Actie (Action) - Opgeslagen logboek openen... (Open Saved Log...)

Als je in Windows 7 een log uit Windows XP probeert te importeren krijg je de volgende melding:

(Classic, Analytic and Debug event logs are easier to navigate and manipulate when converted to the new event log format. Would you like to create a new event log copy now?)

Ik zou die vraag met Ja (Yes) beantwoorden.

Daarna krijg je een dialoogvenster dat je altijd krijgt. Daarin kan je een naam en beschrijving van de geïmporteerde log invullen, en ook waar de log in de hierarchie van (sub)mappen moet komen te hangen. (Saved Logs) is een voor de hand liggende map, maar je kan ook een nieuwe aanmaken.

Windows XP

Klik op Actie (Action) - Logboekbestand opslaan als... (Save Log File As...)

Je kan dan de complete log opslaan onder een naam naar keuze en in een map naar keuze.

Vervolgens kan je op een andere computer links in het venster klikken (maakt niet uit waar), en dan op Actie (Action) - Logboekbestand openen... (Open Log File...)

Ik denk niet dat je onder Windows XP een Windows 7 log kunt importeren, maar dat heb ik nog niet geprobeerd.


Waar staan de logbestanden?

De logbestanden staan onder Windows XP in \Windows\System32\config, en hebben als extensie Evt
Onder Windows 7 staan ze in \Windows\System32\Winevt\Logs, en hebben als extensie evtx

Die van Windows XP (de 6 die volgens mij op alle systemen voorkomen) heten:

Die van Windows 7 (de 5 die in de submap Windows Logs zitten) heten:


Troubleshooting Microsoft Windows Event Logs (eventid.net)
Veel technische informatie over bijna alle event codes.
Gebruikers vullen hier hun eigen ervaringen in over de omstandigheden waarin zij tegen een bepaalde foutmelding zijn aangelopen. Verder zijn er verwijzingen naar artikelen in de Microsoft kennisdatabase.


    Tweeten

© Henk Dalmolen
Reageer via E-mail (dalmolen@xs4all.nl)

Deze pagina is voor het laatst gewijzigd op: 10-3-2013 12:46:42