什麼是事件檢視器？概念、運作方式

網路百科全書中事件檢視器的定義。

事件檢視器

什麼是事件檢視器？

事件檢視器是 Microsoft 管理主控台 （MMC） 嵌入式管理單元，可讓您瀏覽和管理事件記錄檔。它是監控系統運行狀況和在出現問題時進行故障排除不可或缺的工具。

事件檢視器可讓您執行下列工作：

• 檢視多個事件記錄檔中的事件。

• 將有用的事件篩選器儲存為可重複使用的自訂檢視。

• 使用遠端電腦上的事件記錄檔。

• 排程執行任務以回應事件。

• 建立和管理事件訂用帳戶。

事件是在伺服器或電腦上執行的重要動作，包括下列項目：

• 程式已完成，例如資料庫的重組。

• 服務已啟動、停止或暫停。

• 服務已向用戶端發出非預期的回應。

• 服務無法啟動。

• 發生記憶體違規，導致應用程式終止。

事件檢視器會在許多不同的記錄中記錄事件，例如：

• 系統日誌：記錄有關 Windows NT 服務和裝置的警告、錯誤和資訊事件

• 安全日誌：記錄正在稽核的物件的成功和失敗事件

• 申請日誌：記錄有關伺服器上運行的應用程式的警告、錯誤和資訊事件

應定期監控系統和應用程式日誌，以尋找伺服器上執行的裝置、服務或應用程式出現問題的跡象。發生問題時，事件檢視器是您應該檢查的第一個地方。如果在伺服器上配置稽核，您可以監視安全日誌是否有嘗試未經授權存取的跡象 （失敗稽核） 或資源使用量的指示 （成功稽核）。

檢視多個事件記錄檔中的事件

當您使用事件檢視器來疑難排解問題時，您需要找出與問題相關的事件，無論它們出現在哪個事件記錄檔中。事件檢視器可讓您篩選多個記錄檔中的特定事件，從而輕鬆顯示可能與您正在調查的問題相關的所有事件。若要指定跨越多個記錄的篩選器，您需要建立自訂檢視。

建立自訂檢視

您可以建立篩選器，其中包含來自滿足指定準則的多個事件記錄檔中的事件。然後，您可以命名該過濾器並將其儲存為自訂檢視。若要套用與已儲存自訂檢視相關聯的篩選器，請導覽至主控台樹狀結構中的自訂檢視，然後按一下其名稱。

若要建立自訂檢視：

1. 啟動事件檢視器。

2. 在 [動作] 功能表上，按一下 [建立自訂檢視]。

3. 若要根據事件發生的時間來篩選事件，請從「已記錄」下拉式清單中選取對應的時間段。

4. 在 [事件層級] 中，選取您要包含在自訂檢視中的事件層級旁邊的核取方塊。

5. 您可以指定事件記錄檔或將顯示在自訂檢視中的事件的事件來源。

1. 若要指定事件記錄檔：選取 [事件記錄檔] 選項，然後在 [事件記錄檔] 下拉式清單中，選取您要從中包含事件的事件記錄檔旁的核取方塊。

2. 若要指定事件來源：選取 事件來源 選項，然後在 事件來源 下拉式清單中，選取您要包含在自訂檢視中的下拉式清單中事件來源旁的核取方塊。

6. 在 [事件識別碼] 中，輸入您要自訂檢視顯示的事件識別碼。以逗號分隔多個事件 ID。如果您想要包含一系列 ID，例如 4624 到 4634 （含），請鍵入 4624-4634。如果您想要篩選器顯示具有特定 ID 以外的所有 ID 的事件，請輸入這些例外狀況的 ID，前面加上減號。例如，若要包含 4624 和 4634 之間的所有 ID，但 4630 除外，請鍵入 4624-4634，-4630。

7. 在 [使用者] 中，輸入您要顯示的使用者帳戶名稱。輸入多個使用者，請用逗號 （，） 分隔。

8. 在 [電腦] 中，輸入您要顯示自訂檢視的電腦名稱。輸入多部電腦，以逗號 （，） 分隔，然後按一下確定。

9. 在 [將篩選器儲存至自訂檢視] 對話方塊的 [名稱] 中，輸入自訂檢視的名稱。

10. 在 [描述] 中，輸入自訂檢視的選擇性描述，然後選取您要儲存自訂檢視的資料夾。

11. 您可以讓使用電腦的任何人都可以存取自訂檢視，或只有登入您目前帳戶的人才能存取。

1. 若要儲存自訂檢視，並讓使用電腦的任何人都能存取它：請確定已選取「所有使用者」核取方塊，然後按一下「確定」。

2. 若要儲存自訂檢視，並讓登入您目前帳戶的人員才能存取它：請確定未選取 [所有使用者] 核取方塊，然後按一下 [確定]。

NOTE：將「建立自訂檢視」對話方塊中的欄位保留空白，表示您要篩選器顯示具有對應屬性任何值的項目。

遠端電腦上的事件檢視器

您可以在命令提示字元中使用事件檢視器或 wevtutil 命令來管理遠端電腦上的事件記錄檔。

使用事件檢視器來管理遠端電腦上的事件記錄檔

1. 啟動事件檢視器。

2. 按一下主控台樹狀結構中的根節點，例如 Event Viewer （Local）。

3. 在 [動作] 功能表上，按一下 [連線到另一部電腦]。

4. 在 [另一部電腦] 方塊中，輸入遠端電腦的名稱或 IP 位址。

5. （選用）選取 [以其他使用者身分連線]，按一下 [設定使用者]，輸入 [使用者名稱] 和 [密碼]，然後按一下 [確定]。

6. 按一下確定。

使用 wevtutil 來管理遠端電腦上的事件記錄檔

1. 若要開啟命令提示字元視窗，請按一下 [開始]，在 [開始搜尋] 方塊中，輸入 cmd，然後按 Enter。

2. 在命令提示字元視窗中鍵入下列命令：

 wevtutil <command> /r:<remote_computer_name>

在防火牆中啟用遠端事件日誌管理

您必須在要連線的遠端電腦上的 Windows 防火牆設定中啟用遠端事件記錄檔管理例外狀況。

您可以在命令提示字元視窗中輸入 **eventvwr<remote_computer_name>** 來啟動事件檢視器並連線到遠端電腦。您也可以包含選項，讓事件檢視器能夠從指定的自訂檢視或選取的特定記錄檔啟動。若要深入瞭解 eventvwr 命令，請在命令提示字元視窗中輸入 eventvwr /？。雖然您可以使用 eventvwr 命令來啟動事件檢視器並連線到執行舊版 Windows 的電腦，但會忽略任何指定的選項。

連線到遠端電腦時，事件檢視器所顯示的自訂檢視是儲存在本機電腦上的自訂檢視。如果您按一下其中一個本機自訂檢視，則會針對遠端電腦上的事件記錄檔執行基礎查詢。

排程任務

透過使用「事件檢視器」，您可以輕鬆地自動回應事件。事件檢視器與工作排程器整合，可讓您以滑鼠右鍵按一下大部分事件，以開始排程工作，以便在未來記錄該事件時執行。

執行工作以回應指定事件

1. 啟動事件檢視器。

2. 在主控台樹狀結構中，導覽至包含您要與工作相關聯之事件的記錄檔。

3. 以滑鼠右鍵按一下事件，然後選取 將工作附加至此事件。

4. 執行「建立基本工作精靈」所呈現的每個步驟。

管理事件訂閱

事件檢視器可讓您檢視單一遠端電腦上的事件。不過，針對問題進行疑難排解可能需要您檢查儲存在多部電腦上多個記錄檔中的一組事件。

若要指定要收集的事件，您可以建立事件訂閱。訂閱會確切指定要收集哪些事件，以及它們將儲存在本機的記錄中。一旦訂用帳戶處於作用中狀態並收集事件，您就可以檢視和操作這些轉送的事件，就像處理任何其他本機儲存的事件一樣。

使用事件收集功能需要您同時設定轉遞和收集電腦。此功能取決於 Windows 遠端管理 （WinRM） 服務和 Windows 事件收集器 （Wecsvc） 服務。這兩個服務都必須在參與轉送和收集程式的電腦上執行。若要瞭解設定事件收集和轉送電腦所需的步驟，請參閱 設定電腦以轉送和收集事件。

建立新訂閱

設定電腦之後，您可以建立訂用帳戶來指定要收集的事件。

1. 在收集器電腦上，以管理員身分執行事件檢視器。

2. 按一下主控台樹狀結構中的 訂閱。

3. 在 [動作] 功能表上，按一下 [建立訂閱]。

4. 在 [訂閱名稱] 方塊中，輸入訂閱的名稱。

5. 在 [描述] 方塊中，輸入選用描述。

6. 在「目的地記錄檔」方塊中，選取要儲存收集事件的記錄檔。根據預設，收集的事件會儲存在 ForwardedEvents 記錄檔中。

7. 按一下 新增 ，然後選取要從中收集事件的電腦。

8. 按一下 選取事件 以顯示 查詢篩選器 對話方塊。使用 [查詢篩選] 對話方塊中的控制項，指定事件必須符合才能收集的準則。

9. 按一下 [訂閱內容] 對話方塊上的 [確定]。訂用帳戶會新增至 [訂用帳戶] 窗格，如果作業成功，訂用帳戶的 [狀態] 會為 [作用中]。

在符合訂用帳戶準則的轉寄器電腦上引發的事件，將會複製到步驟 6 中指定的收集器電腦記錄檔。

事件檢視器自 Windows NT 以來就已存在

Windows NT 和 Windows 2000 的舊事件檢視器