วิธีทำงานกับ Event Viewer ใน Windows

ผู้อ่านของเราบางคนถามตัวเองว่า"ตัวแสดงเหตุการณ์คืออะไร และเหตุใดฉันจึงต้องการทำงานด้วย" ("What on Earth is the Event Viewer, and why would I want to work with it?" )Windows จะเริ่มติดตามสิ่งที่กำลังทำทันทีที่คุณเริ่มต้น และบันทึกไฟล์บันทึกอย่างต่อเนื่องซึ่งสามารถให้ข้อมูลมากมายเมื่อมีบางอย่างผิดพลาด และแม้เมื่อทุกอย่างเรียบร้อยดี Event Viewerช่วยให้คุณดูบันทึกเหล่านั้นได้ง่ายๆ ในบทช่วยสอนนี้ เราจะพิจารณาบันทึกของWindowsและข้อมูลEvent Viewerเกี่ยวกับสิ่งที่เกิดขึ้นกับระบบของคุณ:

สแน็ปอิน Event Viewer(Event Viewer snap-in)คืออะไรและเหตุการณ์ที่แสดงคืออะไร

ในแง่เทคนิคMicrosoftเรียกสิ่งต่าง ๆ เช่นการติดตั้งแอพ การดำเนิน การจัดการความปลอดภัย(security management)และการดำเนินการตั้งค่าระบบว่าเป็น "เหตุการณ์" Event Viewerเป็นแอปพลิเคชัน Windows(Windows application) ในตัว ที่ให้คุณตรวจสอบเหตุการณ์ที่เกิดขึ้นบนคอมพิวเตอร์ของคุณ โดยให้คุณเข้าถึงบันทึกเกี่ยวกับโปรแกรม ความปลอดภัย และเหตุการณ์ของระบบ ด้วยข้อมูลที่พบในEvent Viewerคุณสามารถแก้ไขปัญหาคอมพิวเตอร์ Windows(Windows computer) ของคุณ และดูว่ามีปัญหาด้านฮาร์ดแวร์หรือซอฟต์แวร์หรือ(hardware or software problems)ไม่ Microsoftยังอ้างถึงEvent Viewerว่าเป็น"Microsoft Management Console Snap-In"คำที่คุณอาจเคยพบมาก่อน เราไม่แน่ใจว่าทำไมMicrosoftเลือกที่จะเรียกมันว่า "สแน็ปอิน" แต่แล้วโปรแกรมเมอร์ก็คิดในแง่ที่แตกต่างจากผู้ใช้ซอฟต์แวร์ของตน

โปรแกรมดูเหตุการณ์, Windows

เพื่อสรุป Microsoft เรียกมันว่าการดูเหตุการณ์ด้วย snap-in(viewing events with a snap-in)และพวกเราที่เหลือเรียกมันว่าการดูบันทึกด้วย Event(looking at logs with Event Viewer) Viewer เหตุการณ์มีห้าประเภทหลักที่บันทึกโดยEvent Viewerใน Windows:

  • แอปพลิเคชัน(Application) : แสดงกิจกรรมที่เกี่ยวข้องกับซอฟต์แวร์ที่ติดตั้งบนคอมพิวเตอร์ของคุณ
  • ความปลอดภัย(Security) : มีเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของคอมพิวเตอร์ของคุณ
  • ตั้งค่า:(Setup:)หมายถึงเหตุการณ์การควบคุมโดเมน ซึ่งเป็นสิ่งที่(something home)ผู้ใช้ตามบ้านไม่ได้ใช้ แต่องค์กรต่างๆ ใช้
  • ระบบ:(System:)แสดงเหตุการณ์ที่เกี่ยวข้องกับเหตุการณ์ไฟล์ระบบ Windows(Windows system)
  • กิจกรรมที่ ส่ง(Forwarded Events)ต่อคือกิจกรรมจากคอมพิวเตอร์เครื่องอื่นในเครือข่ายของคุณ ซึ่งส่งต่อไปยังคอมพิวเตอร์ของคุณ

แต่ละเหตุการณ์ในแต่ละประเภทของเหตุการณ์สามารถมีระดับใดระดับหนึ่งเหล่านี้:

  • ข้อผิดพลาด:(Error:)หมายถึงข้อมูลอาจสูญหายหรือบางโปรแกรมทำงานไม่ถูกต้อง หรือไม่สามารถโหลดไดรเวอร์อุปกรณ์ ได้ (device driver)เหตุการณ์มีความสำคัญ และคุณควรตรวจสอบสาเหตุ
  • คำเตือน:(Warning:)มีความรุนแรงน้อยกว่า ข้อความแสดง ข้อผิดพลาด(Error) (ศัพท์โปรแกรมเมอร์ที่ทำงานอีกครั้ง) คุณอาจได้รับ ข้อความ เตือน(Warning)หากคุณไม่มีพื้นที่ว่างในแฟลชไดรฟ์ เป็นต้น อีกตัวอย่างหนึ่งคือ เมื่อมีการส่งพารามิเตอร์ที่ไม่ถูกต้องไปยังแอปพลิเคชัน และไม่สามารถใช้พารามิเตอร์เหล่านี้ในทางที่เป็นประโยชน์ได้ ข้อความเตือน(Warning )จะแจ้งเตือนคุณเกี่ยวกับเหตุการณ์ใดเหตุการณ์หนึ่ง แต่ไม่จำเป็นต้องหมายความว่ามีสิ่งเลวร้ายเกิดขึ้นเสมอไป
  • ข้อมูล:(Information:)แสดงรายละเอียดเกี่ยวกับสิ่งที่เกิดขึ้นบนคอมพิวเตอร์ของคุณ รายการบันทึกส่วนใหญ่จัดอยู่ในประเภทInformationซึ่งหมายความว่าWindowsหรือแอปพลิเคชันกำลังทำในสิ่งที่ควรทำ หรือหากมีข้อผิดพลาด (ไม่ใช่สิ่งที่โปรแกรมเมอร์เรียกว่า "ข้อผิดพลาด") บางอย่าง มันไม่ได้ทำให้เกิดปัญหาใด ๆ

มาดูวิธีการเปิดEvent ViewerในWindowsและวิธีใช้งานเพื่อรวบรวมข้อมูลและแก้ไขปัญหาคอมพิวเตอร์หรือแท็บเล็ต(computer or tablet) ของคุณ :

วิธีเปิด Event Viewer

ในWindowsวิธีที่เร็วที่สุดในการเริ่มEvent Viewerคือการค้นหา พิมพ์"ตัวแสดงเหตุการณ์"("event viewer")ลงในช่องค้นหา(search box)จากทาสก์บาร์ของคุณ (ในWindows 10 ) หรือเมนูเริ่ม(Start Menu) (ในWindows 7 ) หรือโดยตรงบนหน้าจอเริ่ม(Start Screen) (ในWindows 8.1 ) จากนั้นคลิกหรือกด(click or tap) เลือก ที่ผลการค้นหาEvent Viewer

โปรแกรมดูเหตุการณ์, Windows

นอกจากนี้ยังมีวิธีอื่นๆ ในการเปิดEvent ViewerในWindowsแต่เราได้แสดงไว้แล้วในบทช่วยสอนนี้: วิธีเริ่มEvent ViewerในWindows (ทุกเวอร์ชัน)

เมื่อคุณเปิดใช้ งาน Event Viewer(Event Viewer)อาจใช้เวลาสองสามวินาทีเนื่องจากจำเป็นต้องเริ่มต้นก่อนที่คุณจะใช้งานเป็นครั้งแรก ควรมีลักษณะดังนี้:

โปรแกรมดูเหตุการณ์, Windows

มาดูวิธีต่างๆ ที่คุณสามารถดูและแสดง บันทึกของ Windowsและวิธีตรวจสอบความหมายของบันทึกเพื่อให้คุณสามารถแก้ไขปัญหาบนคอมพิวเตอร์ของคุณ:

วิธีใช้Event Viewerเพื่อตรวจสอบApplication events

ขยายรายการเมนูที่เรียกว่าWindows Logsในแผงด้านซ้าย เพื่อดูบันทึกแอปพลิเคชัน ความปลอดภัย การตั้งค่า ระบบ(Application, Security, Setup, System,)และเหตุการณ์ที่ส่ง(Forwarded Events)ต่อที่เราพูดถึงในส่วนก่อนหน้าของบทช่วยสอนนี้

โปรแกรมดูเหตุการณ์, Windows

โปรดทราบว่า บันทึกการ รักษาความปลอดภัย(Security)เป็นบันทึกเดียวที่ไม่พร้อมใช้งานสำหรับผู้ใช้มาตรฐาน คุณสามารถดูเนื้อหาได้ก็ต่อเมื่อคุณเข้าสู่ระบบโดยใช้บัญชีผู้ดูแลระบบ(administrator account)หรือโดยการคลิกขวาและเลือกRun As Administrator เมื่อ คุณเริ่มEvent Viewer

โปรแกรมดูเหตุการณ์, Windows

ขยาย หน้าต่าง Event Viewer ให้ใหญ่สุด เพื่อให้คุณเห็นสิ่งที่เกิดขึ้นได้ชัดเจนยิ่งขึ้น จากนั้น คลิกที่หมวดหมู่เหตุการณ์จากบานหน้าต่างด้านซ้าย สำหรับตอนนี้ คลิก/แตะที่Applications ที่กึ่งกลางของ หน้าต่าง Event Viewerคุณควรเห็นข้อความจำนวนมาก

โปรแกรมดูเหตุการณ์, Windows

Windowsจะคอยติดตามทุกสิ่งที่เกิดขึ้นและจัดประเภทข้อมูลด้วยวิธีใดวิธีหนึ่งจากสามวิธี: ข้อผิดพลาด คำเตือน(Error, Warning)หรือข้อมูล (Information)คุณสามารถคลิกหรือแตะที่รายการใดก็ได้ (คลิกครั้งเดียว) เพื่อดูคำอธิบายที่แสดงในแผงด้านล่าง คุณยังดูกิจกรรมที่แสดงในแผงด้านขวาได้ด้วยเมนูการดำเนินการที่คุณทำได้

โปรแกรมดูเหตุการณ์, Windows

คำอธิบายที่ปรากฏมักจะคลุมเครือ และข้อความแสดงข้อผิดพลาดบางข้อความก็ดูเป็นลางไม่ดี โปรดจำไว้ว่าข้อความส่วนใหญ่เป็นเพียงข้อความเท่านั้น พวกเขาไม่ได้หมายความว่ามีอะไรผิดปกติ แต่ละเหตุการณ์ยังมีID เหตุการณ์(Event ID)และมีจำนวนมาก ในการรับข้อมูลเกี่ยวกับEvent ID(Event IDs) เหล่านั้น ให้ค้นหาบนเว็บไซต์นี้: EventIDNet เมื่อคุณพบกิจกรรม อย่าลืมตรวจสอบความคิดเห็นที่ด้านล่างของหน้าเว็บแรกด้วย นี่คือที่ที่ผู้ใช้รายอื่นอธิบายสิ่งที่เกิดขึ้น และตำแหน่งที่คุณมักจะเห็นคำอธิบายที่ผู้ใช้ทั่วไปสามารถเข้าใจได้เช่นกัน

เมื่อคุณเลือกกิจกรรมแล้ว คุณจะเห็นชื่อซ้ำและไฮไลต์อยู่ที่ครึ่งล่างของบานหน้าต่างด้านขวา ลองคลิกที่เหตุการณ์ต่างๆ เพื่อดูการเปลี่ยนแปลงการแสดงผล(display change)นี้

โปรแกรมดูเหตุการณ์, Windows

โปรดทราบว่าข้อมูลในบานหน้าต่างด้านขวาจะเหมือนกันสำหรับบันทึกของ Windows(Windows Logs) ทั้งหมด ในบานหน้าต่างด้านซ้าย สิ่งที่ปรากฏในบานหน้าต่างด้านขวาบางส่วนจะซ้ำกับสิ่งที่คุณเห็นในบานหน้าต่างด้านล่าง ตัวอย่างเช่น หากคุณคลิกที่คุณสมบัติของเหตุการณ์(Event Properties)ในบานหน้าต่างด้านขวา หน้าต่างจะปรากฏขึ้นพร้อมกับข้อความแสดงข้อผิดพลาด(error message) เดียวกับ ที่คุณเห็นในบานหน้าต่างด้านล่าง อย่างไรก็ตาม คุณสามารถทำสิ่งต่างๆ ได้มากขึ้นด้วยข้อมูลจากหน้าต่างคุณสมบัติของเหตุการณ์(Event Properties)

โปรแกรมดูเหตุการณ์, Windows

หากคุณคลิกที่Copyจะไม่เพียงแค่คัดลอกข้อความแสดงข้อผิดพลาด(error message)แต่จะคัดลอกทั้งส่วนของบันทึกข้อผิด(error log)พลาด หากคุณกำลังหารือเกี่ยวกับปัญหากับการสนับสนุนทางเทคนิค เจ้าหน้าที่ฝ่ายสนับสนุนด้านเทคนิคอาจขอให้คุณส่งสำเนาบันทึก ข้อ ผิดพลาด (error log)นี่เป็นวิธีที่เร็วและง่ายที่สุดในการรับ คลิก ปุ่ม (Click)คัดลอก(Copy)นั้นแล้วใช้Ctrl+Vเพื่อวางผลลัพธ์ นี่คือสิ่งที่ดูเหมือนเมื่อคุณวางข้อความดังกล่าวลงในNotepad

โปรแกรมดูเหตุการณ์, Windows

นอกจากนี้ยังมีรายการเมนู(menu item)คัดลอก(Copy) แยกต่างหาก ในบานหน้าต่างด้านขวา ซึ่งให้สองตัวเลือกแก่คุณ: "คัดลอกตาราง"("Copy Table")และ"คัดลอกรายละเอียดเป็นข้อความ"("Copy Details as Text") :

  • "คัดลอกตาราง" คัดลอก("Copy Table" )ข้อความแสดงข้อผิดพลาด(error message)บรรทัดเดียวที่ปรากฏในบานหน้าต่างด้านบน
  • "คัดลอกรายละเอียดเป็นข้อความ"("Copy Details as Text")ทำงานเหมือนกับ ปุ่ม คัดลอก(Copy)ในหน้าต่างคุณสมบัติของเหตุการณ์(Event Properties)

โปรแกรมดูเหตุการณ์, Windows

ในการรับคำอธิบายที่สมบูรณ์ของข้อผิดพลาด จาก หน้าต่าง คุณสมบัติของเหตุการณ์(Event Properties)คุณสามารถคลิกวิธีใช้ Event Log Online(Event Log Online Help)เพื่อไปยังเว็บไซต์TechNet(TechNet website)ของMicrosoft อย่างไรก็ตาม ดูเหมือนว่าพวกเขาจะไม่ได้ออนไลน์อีกต่อไป อย่างไรก็ตาม เนื่องจากTechNetได้รับการออกแบบโดยคำนึงถึงผู้ใช้ที่เชี่ยวชาญอยู่แล้ว คำอธิบายที่คุณอาจพบว่าไม่มีคำแนะนำใดๆ มากไปกว่าข้อความที่คลุมเครือเดิม ดังนั้น ตัวเลือกที่น่าจะดีกว่าคือให้คุณเน้นข้อความ คัดลอก แล้ววางลงในเครื่องมือค้นหา(search engine) ที่คุณชื่น ชอบ เราพบว่าการใช้Bingมีแนวโน้มที่จะแสดงรายการMicrosoftหน้า แต่ประสบการณ์ของคุณอาจแตกต่างกัน คุณควรลองใช้ เครื่องมือค้นหา(search engine)มากกว่าหนึ่ง ตัว เพื่อให้ได้ผลลัพธ์ที่เข้าใจได้ โดยปกติสิ่งที่คุณพบคือฟอรัมที่มีคนถามเกี่ยวกับข้อความนั้น คำตอบสำหรับคำถามอาจหรือไม่มีประโยชน์ คงจะดีถ้าMicrosoftให้หน้าเว็บบางหน้าเพื่ออธิบายสิ่งเหล่านี้แก่ผู้ใช้ทั่วไป

โปรแกรมดูเหตุการณ์, Windows

หากคุณคลิกที่บันทึกเหตุการณ์(Save Selected Event)ที่เลือก หน้าต่างจะปรากฏขึ้นพร้อมกับโฟลเดอร์เอกสาร ของคุณ (Documents)หากคุณเก็บเอกสารไว้ที่อื่น คุณสามารถใช้หน้าต่างนี้ในลักษณะเดียวกับที่คุณใช้File ExplorerหรือWindows Explorerเพื่อค้นหาโฟลเดอร์ที่คุณต้องการสำหรับจัดเก็บ เหตุการณ์จะถูกบันทึกเป็นไฟล์เหตุการณ์(event file)โดยมีคำต่อท้าย".EVTX " หากคุณดับเบิลคลิกที่ไฟล์นั้น ไฟล์นั้นจะเปิดEvent Viewer : อินสแตนซ์ที่สองของโปรแกรมหากคุณได้เปิดไฟล์นั้นไว้แล้ว

โปรแกรมดูเหตุการณ์, Windows

วิธีใช้Event Viewerเพื่อตรวจสอบเหตุการณ์ความปลอดภัย(Security)

คลิกที่ เมนู ความปลอดภัย(Security)ในบานหน้าต่างด้านซ้าย คุณจะพบรายการข้อความอื่นๆ ได้ที่นี่ ซึ่งส่วนใหญ่ควรมีป้ายกำกับว่าAudit Success (Audit Success)Windows จะทำการตรวจสอบความปลอดภัย(security audit)ทุกครั้งที่คุณเข้าสู่ระบบ และทุกครั้งที่คุณสร้าง แก้ไข หรือลบไฟล์ นอกจากนี้ยังบันทึกความพยายามในการใช้ทรัพยากรที่คุณไม่มีสิทธิ์เข้าถึง ซึ่งในกรณีนี้ป้ายกำกับจะเป็นAudit Fail (Audit Fail)นอกจากนี้ยังตรวจสอบความสมบูรณ์ของระบบ(system integrity) ของ คุณ เลื่อน(Scroll)จอภาพไปทางขวา หากจำเป็น หรือลากและวางความกว้างของคอลัมน์เพื่อให้คุณเห็นป้ายกำกับสำหรับแต่ละเหตุการณ์

โปรแกรมดูเหตุการณ์, Windows

วิธีใช้Event Viewerเพื่อตรวจสอบเหตุการณ์ การ ตั้งค่า(Setup)

ทุกครั้งที่คุณตั้งค่าซอฟต์แวร์ใหม่และทุกครั้งที่คุณติดตั้งการอัปเดตWindows Event Viewerจะสร้างบันทึกในเมนู การ ตั้งค่า (Setup )แต่ละ รายการ Windows Updateอาจสร้างหลายรายการในบันทึก จะเห็นได้ว่าหลายสิ่งหลายอย่างเกิดขึ้นพร้อมกันในวันที่ 14 กุมภาพันธ์(February 14) 2561

โปรแกรมดูเหตุการณ์, Windows

แต่ละเหตุการณ์ยังมี รหัส รหัสเหตุการณ์ (Event ID )มีดังต่อไปนี้ (คำอธิบายแบบง่ายของเรามากกว่าคำศัพท์ทางการของ Microsoft(Microsoft terminology) ):

  1. มีการขอให้ Windows 10 ติดตั้งบางอย่างและกำลังทำงานอยู่
  2. การติดตั้งสำเร็จ
  3. ซอฟต์แวร์พยายามเตรียมตัวเองสำหรับการติดตั้งแต่ไม่สำเร็จ
  4. ต้องรีบูตคอมพิวเตอร์ก่อนการติดตั้งจะเสร็จสิ้น ซึ่งมักพบในกรณีของการอัปเดตWindows

วิธีใช้Event Viewerเพื่อตรวจสอบเหตุการณ์ของระบบ(System)

บันทึกของระบบ(System)เป็นไปตามที่คุณคาดหวังสำหรับข้อความระบบที่สร้างโดยWindowsและโดยซอฟต์แวร์ที่ติดตั้งอื่นๆ เช่น ไดรเวอร์อุปกรณ์ หากมีบางอย่างล้มเหลวในการโหลด จะมีรายการบันทึกสำหรับสิ่งนี้ ซึ่งทำเครื่องหมายว่าเป็นคำเตือน (Warning)ในภาพหน้าจอด้านล่าง คุณสามารถดูคำเตือน(Warning )เกี่ยวกับไดรเวอร์ที่โหลดไม่สำเร็จในครั้งแรก

โปรแกรมดูเหตุการณ์, Windows

แต่ละเหตุการณ์เหล่านี้มีรหัสเหตุการณ์ แต่การค้นหาอาจเป็นข้อมูลหรือไม่ก็ได้

บทสรุป

บทแนะนำนี้ครอบคลุมการใช้งานเบื้องต้นของEvent Viewerและเราดูที่บันทึกแต่ละรายการเท่านั้น แทนที่จะดำเนินการใดๆ แม้ว่าEvent Viewerเป็นโปรแกรมที่มุ่งเป้าไปที่ผู้ใช้ขั้นสูง ทุกคนสามารถค้นหาข้อมูลที่เป็นประโยชน์ได้โดยใช้โปรแกรมนี้ คุณใช้Event Viewerเพื่อแก้ไขปัญหาบนคอมพิวเตอร์หรือแท็บเล็ต Windows(Windows computer or tablet) ของคุณหรือ ไม่ แบ่งปัน(Share)ความคิดของคุณในส่วนความคิดเห็นด้านล่าง



ขวัญแก้ว กำธรเจริญ

About the author

ฉันเป็นผู้ตรวจทานมืออาชีพและเพิ่มประสิทธิภาพการทำงาน ฉันชอบใช้เวลาออนไลน์เล่นวิดีโอเกม สำรวจสิ่งใหม่ ๆ และช่วยเหลือผู้คนเกี่ยวกับความต้องการด้านเทคโนโลยีของพวกเขา ฉันมีประสบการณ์กับ Xbox มาบ้างแล้วและได้ช่วยเหลือลูกค้าในการรักษาระบบของพวกเขาให้ปลอดภัยมาตั้งแต่ปี 2552


Related posts