Il registro eventi di Windows è una funzionalità integrata del sistema operativo Microsoft Windows che registra e archivia vari eventi di sistema, sicurezza e applicazioni che si verificano su un computer.
Questi eventi possono includere errori, avvisi e messaggi informativi. Utilizzando questo registro eventi, gli amministratori possono risolvere i problemi, monitorare l’integrità del sistema e tenere traccia dell’attività degli utenti.
Il registro eventi di Windows è organizzato in tre categorie principali:
Sistema, applicazione e sicurezza.
Il registro applicazioni contiene eventi relativi ad applicazioni e servizi, mentre il registro di sistema include eventi associati a componenti e driver di sistema. Le sessioni di accesso, i tentativi di accesso non riusciti e altri incidenti relativi alla sicurezza sono documentati nel registro di sicurezza.
Queste voci del registro eventi di Windows includono informazioni dettagliate come la data e l’ora in cui si è verificato l’evento, l’origine dell’evento ed eventuali codici di errore pertinenti.
Sommario:
Importanza del registro eventi di Windows
Il ruolo del monitoraggio del registro eventi è fondamentale per gli ingegneri di sistema e di rete perché consente loro di rimanere informati su eventuali problemi, attività illegali, interruzioni di rete e altri problemi chiave che potrebbero sorgere all’interno di un computer.
Fornisce dettagli completi su ciascun evento, inclusa la sua origine, il nome utente, il livello di sensibilità e altre informazioni. Queste informazioni possono essere molto utili per identificare e risolvere cedimenti strutturali, nonché per prevedere le sfide imminenti sulla base di modelli di dati.
Gli amministratori di rete possono individuare e gestire efficacemente i problemi prima che diventino seri tenendo d’occhio i registri degli eventi. Ciò potrebbe far risparmiare molto tempo e fatica durante l’indagine e la risoluzione del problema. Ciò può aiutare a garantire che i sistemi continuino a essere sicuri, affidabili e con prestazioni ottimali.
Come accedere al registro eventi di Windows?
#1. Utilizzo dell’interfaccia grafica
Passaggio 1: aprire il menu Start e cercare “Visualizzatore eventi”.
Passaggio 2: fare clic sull’applicazione Visualizzatore eventi per aprirla.
Passaggio 3: nel pannello più a sinistra, vedrai un elenco di registri eventi. Scegliere l’opzione Registri di Windows e quindi fare clic sul registro desiderato per visualizzarlo.
Passaggio 4: nel pannello centrale è possibile visualizzare un elenco di eventi per il registro selezionato. Puoi utilizzare le opzioni di filtro sul lato destro dello schermo per restringere il campo degli eventi che ti interessano.
Passaggio 5: per visualizzare i dettagli di un evento, fai doppio clic su di esso. Verrà aperta la finestra di dialogo Proprietà evento, che contiene informazioni dettagliate su ID evento, origine, livello di gravità, data e ora, nome utente, nome computer e descrizione.
Passaggio 6: è possibile utilizzare le opzioni di menu e la barra degli strumenti nella parte superiore dello schermo per eseguire varie azioni come il salvataggio e la cancellazione dei registri, la creazione di visualizzazioni personalizzate e il filtraggio degli eventi.
#2. Utilizzo del prompt dei comandi
È possibile accedere al registro eventi di Windows utilizzando il prompt dei comandi o PowerShell utilizzando il comando “wevtutil”. Ecco alcuni esempi.
- Per visualizzare tutti gli eventi nel registro di sistema
wevtutil qe System
- Per visualizzare gli eventi nel registro dell’applicazione
wevtutil qe Application
L’output potrebbe essere simile a questo.
- Per visualizzare tutti gli eventi nel registro di sicurezza
wevtutil qe Security
- Per visualizzare gli eventi da una fonte specifica nel registro di sistema.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Qui è necessario sostituire “source_name” con il nome dell’origine dell’evento che si desidera visualizzare.
- Per esportare gli eventi da un registro a un file
wevtutil epl System C:LogsSystemLog.evtx
Sostituisci “Sistema” con il nome del registro che desideri esportare e “C:LogsSystemLog.evtx” con il percorso e il nome del file in cui desideri salvare il registro esportato.
#3. Usando Esegui
È inoltre possibile accedere al registro eventi di Windows utilizzando la finestra di dialogo Esegui in Windows. Ecco come:
Passaggio 1: premere il tasto “Windows + R” sulla tastiera per aprire la finestra di dialogo Esegui.
Passaggio 2: digitare “eventvwr.msc” nella finestra di dialogo Esegui e premere Invio.
Passaggio 3: l’utilità Visualizzatore eventi si aprirà e visualizzerà la finestra principale della console.
Passaggio 4: nella finestra della console sul lato sinistro, è possibile espandere la cartella “Registri di Windows” per visualizzare il sistema, l’applicazione, la sicurezza, l’installazione e altri registri.
Passaggio 5: fare clic sul registro di cui si desidera visualizzare il contenuto nel pannello di destra. Puoi filtrare e ordinare gli eventi, nonché creare visualizzazioni personalizzate e salvarle per un uso futuro.
Quando utilizzare questi registri eventi?
In generale, è possibile utilizzare il registro eventi di Windows ogni volta che è necessario monitorare, risolvere i problemi o controllare gli eventi su un sistema Windows. Ecco alcune situazioni specifiche in cui potresti usarlo.
Monitoraggio dello stato del sistema
Il registro eventi di Windows può fornire informazioni preziose su errori di sistema, avvisi e problemi di prestazioni che consentono di monitorare e mantenere in modo proattivo l’integrità del sistema.
Risoluzione dei problemi
Quando riscontri un problema su un sistema Windows, il registro eventi può fornire un’indicazione della causa e aiutarti a diagnosticare il problema. Analizzando i log degli eventi, puoi identificare facilmente la causa principale di un problema e prendere provvedimenti per risolverlo.
Controllo e monitoraggio dell’attività degli utenti
Il registro di sicurezza nel registro eventi può essere utilizzato per tenere traccia degli accessi degli utenti, della disconnessione, dei tentativi di accesso non riusciti e di altri eventi relativi alla sicurezza, che possono aiutare a identificare potenziali minacce alla sicurezza e intraprendere le azioni appropriate.
Rapporti di conformità
Molti quadri normativi come HIPAA, PCI-DSS e GDPR richiedono alle organizzazioni di conservare registri degli eventi e fornire report regolari. Il registro eventi di Windows può essere utilizzato per soddisfare questi requisiti di conformità.
Come leggere questi registri eventi?
All’inizio può essere un po’ difficile leggere il registro eventi di Windows, ma con sufficiente pratica e familiarità diventa più semplice comprendere i dati che fornisce. Ecco alcuni passaggi generali da seguire durante la lettura del registro eventi di Windows.
#1. Apri il registro eventi
Il primo passo è aprire il registro eventi. Puoi accedervi utilizzando uno dei metodi sopra menzionati.
#2. Passare al registro appropriato
Nel Visualizzatore eventi sono presenti diversi registri, inclusi i registri dell’applicazione, del sistema, della sicurezza e dell’installazione. Ogni registro contiene diversi tipi di eventi. Selezionare il registro che contiene gli eventi che si desidera visualizzare.
#3. Evento filtro
Puoi filtrare gli eventi per livello di gravità, origine evento, intervallo di date e altri criteri. Questo può aiutarti a restringere il campo degli eventi che ti interessano.
#4. Visualizza i dettagli dell’evento
Esamina attentamente ogni evento per visualizzarne i dettagli, inclusi ID evento, origine, livello di gravità, data e ora, nome utente, nome computer e descrizione. Queste informazioni possono aiutarti a identificare la causa dell’evento e intraprendere le azioni appropriate.
#5. Usa le proprietà dell’evento
Molti eventi hanno proprietà aggiuntive che forniscono ulteriori informazioni sull’evento.
Ad esempio, un evento di sicurezza potrebbe avere proprietà quali tipo di accesso, processo di accesso e pacchetto di autenticazione. Queste proprietà possono aiutarti a comprendere il contesto dell’evento e il suo significato.
#5. Analizzare i modelli
Cerca sempre di cercare schemi negli eventi per identificare problemi o tendenze ricorrenti. Ad esempio, se vedi una serie di errori del disco, potrebbe indicare un problema con l’hardware o la configurazione del disco.
Livelli di gravità degli eventi di Windows
Il registro eventi di Windows utilizza i livelli di gravità per classificare gli eventi in base alla loro importanza o impatto sul sistema. Esistono cinque livelli di gravità nel registro eventi di Windows, elencati di seguito dalla gravità più alta a quella più bassa:
- Critico: questo livello di gravità è riservato agli eventi che indicano un sistema critico o un errore dell’applicazione che richiede attenzione immediata. Gli esempi includono arresti anomali del sistema, gravi guasti hardware ed errori critici dell’applicazione.
- Errore: viene utilizzato per eventi che indicano un problema serio che richiede attenzione ma non necessariamente un’azione immediata. Alcuni esempi comuni sono arresti anomali dell’applicazione, errori di connettività di rete ed errori del disco.
- Avviso: indica un potenziale problema che gli amministratori di sistema dovrebbero tenere d’occhio, inclusi avvisi di spazio su disco insufficiente e violazioni dei criteri di sicurezza.
- Verbose: viene utilizzato per eventi che forniscono informazioni dettagliate sull’attività del sistema o dell’applicazione, in genere per la risoluzione dei problemi o il debug.
- Informazioni: mostra che tutto è andato liscio. Quasi tutti i registri includono eventi informativi.
Questi livelli di gravità consentono agli amministratori e agli analisti di sistema di identificare rapidamente i problemi critici che richiedono attenzione e di stabilire la priorità di risposta di conseguenza.
Conclusione ✍️
Spero che questo articolo ti sia stato utile per conoscere il registro eventi di Windows e la sua importanza. Potresti anche essere interessato a conoscere i vari modi per recuperare i dati cancellati in Windows 11.