Neste guia, demonstraremos como usar o Visualizador de Eventos do Windows para visualizar os logs do Windows e filtrá-los de acordo com vários critérios.
Pré-requisitos:
Para executar as etapas demonstradas neste guia, você precisa dos seguintes componentes:
- Um sistema Windows 10/11 configurado corretamente. Para teste, veja como configurar uma VM do Windows usando o VirtualBox.
- Acesso de administrador
Visualizador de eventos no Windows
Por padrão, vários aplicativos (e partes do sistema operacional) enviam uma notificação ao sistema operacional para uma atividade específica, como peculiaridades de driver, atualizações de segurança, falhas de hardware e muito mais. O Event Viewer é um aplicativo dedicado que agrega essas notificações e atua como hub para registro em log.
Com privilégio de administrador, o Visualizador de Eventos pode mostrar todos os eventos importantes que acontecem no sistema. Pode ser extremamente útil para fins de depuração.
O Visualizador de Eventos também possui recursos de filtragem poderosos que podem mostrar a atividade do sistema em um determinado momento, acionada por um determinado programa, a gravidade do acionador e muito mais.
Iniciando o Visualizador de Eventos
Digite “Visualizador de eventos” no menu iniciar.
Alternativamente, execute a seguinte palavra-chave na janela “Executar”:
$ eventovwr
A janela principal apresentará um resumo de todas as atividades do sistema.
A IU do Visualizador de Eventos
No painel esquerdo, os logs são classificados em várias categorias.
Por exemplo, selecione a subcategoria “Logs do Windows” para ver um resumo dos logs do Windows e dos aplicativos do Windows.
Para visualizar os logs gerados por todos os produtos Microsoft, vá em “Logs de Aplicativos e Serviços” >> “Microsoft”.
Visualizando os registros
No exemplo a seguir, veremos os logs gerados pelo Windows PowerShell. No painel esquerdo, vá para “Logs de aplicativos e serviços” >> “Windows PowerShell”.
Aqui podemos ver todos os eventos acionados pelo PowerShell. No nosso caso, o Visualizador de Eventos registrou cerca de 10.000 eventos do PowerShell. Cada log representa um evento.
Você pode ver os detalhes do log ao selecionar um log.
Para detalhes mais detalhados, vá para a guia “Detalhes”.
Filtrando os logs de eventos
Em vez de navegar pelos logs sem rumo, podemos usar o Visualizador de Eventos para aplicar determinados filtros para obter uma imagem mais precisa. Pode ser extremamente útil sempre que você estiver tentando depurar algum problema, seja um problema de hardware, de driver ou de software.
Para criar um novo filtro, selecione “Criar visualização personalizada” no painel direito.
Podemos aplicar vários filtros na nova janela.
Aqui:
- Registrado : o Visualizador de Eventos hospeda logs desde a instalação do sistema operacional. Pesquisar todos eles não é, na maioria das situações, o ideal. Usando este filtro, podemos limitar o escopo da pesquisa por tempo.
- Nível do evento : Sempre que um evento é registrado, é atribuído um nível de severidade. Existem cinco tipos de eventos: Crítico, Erro, Aviso, Informação e Detalhado.
- Por registro : Limite o escopo da pesquisa por árvore.
- Por fonte : limite o escopo da pesquisa pela origem do acionador de evento. Os gatilhos de eventos podem ser vários aparelhos do sistema operacional ou qualquer programa instalado.
Por exemplo, para listar todos os eventos acionados pelo PowerShell, o formulário de visualização personalizado tem esta aparência:
Por padrão, o Visualizador de Eventos oferece salvar o filtro recém-criado como uma visualização personalizada.
O resultado deve ficar assim:
Fazendo backup dos registros
O Visualizador de Eventos também pode exportar os logs de eventos. Pode ser útil para depurar ou fazer backup de logs importantes para uso posterior.
Neste exemplo, criaremos um backup dos logs do “Windows PowerShell”.
No painel esquerdo, selecione “Windows PowerShell”, clique com o botão direito nele e selecione “Salvar todos os eventos como”.
Você será solicitado a escolher o local onde o arquivo de backup será armazenado.
Finalmente, o Visualizador de Eventos perguntará se você deseja armazenar as informações adicionais de exibição com o arquivo. Recomenda-se incluí-los para que os logs possam ser trabalhados em qualquer outro computador. No entanto, apenas para fins de backup, você pode evitá-lo para reduzir o tamanho do arquivo.
Se você optar por incluir os dados de exibição adicionais, o Visualizador de Eventos criará um diretório “LocaleMetaData” adicional.
Importando os registros
Agora aprendemos como fazer backup dos logs de eventos com sucesso. Agora precisamos aprender como importá-los quando necessário.
Para importar os logs de um arquivo de backup do Visualizador de Eventos, vá para Ação >> Abrir Log Salvo na janela principal.
Agora, procure o arquivo de backup.
Você pode decidir o nome do dump de log e onde ele será armazenado. Por padrão, o Visualizador de Eventos os coloca em “Logs salvos”.
Os logs importados devem estar disponíveis em “Logs salvos”.
Limpando os registros
O Visualizador de Eventos coleta logs desde a instalação do sistema operacional. Com tempo suficiente, um grande número de registros será acumulado. O Visualizador de Eventos também permite limpar todos os logs acumulados atualmente. No entanto, esta ação pode exigir privilégios de administrador.
Para limpar os logs, selecione uma subcategoria no painel esquerdo e selecione “Limpar Log”.
O Visualizador de Eventos emite um aviso antes de decidir limpar os logs.
O resultado deve ficar assim:
Conclusão
Neste guia, demonstramos como usar o Visualizador de Eventos para examinar os logs de eventos do Windows. Também aprendemos como navegar pelos logs, aplicar filtros personalizados, fazer backup e importar os logs, etc.
Feliz computação!