Abilitare Raccolta eventi installazione e avvio

  • 6 minuti

È possibile usare Raccolta eventi installazione e avvio per esaminare in un computer di raccolta designato gli eventi di avvio e configurazione da una serie di computer di origine. Una volta raccolti i dati, è possibile analizzarli usando Visualizzatore eventi, Wevutil.exe o Windows PowerShell.

Elementi monitorabili

È possibile monitorare gli eventi seguenti:

  • Caricamento dei moduli del kernel e driver

  • Enumerazione dei dispositivi e l'inizializzazione dei relativi driver

  • Verifica e il montaggio del file System

  • Avvio di file eseguibili

  • Data di inizio e completamento degli aggiornamenti del sistema

  • Punti in cui il sistema:

    • Diventa disponibile per l'accesso
    • Stabilisce la connessione con un controller di dominio
    • Completamento dell'avvio dei servizi
    • Disponibilità delle condivisioni di rete

Installare il servizio di raccolta

È possibile installare il servizio di raccolta usando il comando seguente al prompt dei comandi con privilegi elevati: dism /online /enable-feature /featurename:SetupAndBootEventCollection.

Verificare che l'installazione sia riuscita eseguendo il comando di Windows PowerShell seguente al prompt con privilegi elevati: get-service -displayname *boot*.

Il servizio Agente di raccolta eventi di avvio dovrebbe risultare in esecuzione, come illustrato nello screenshot seguente.

Lo screenshot mostra una sessione PowerShell in esecuzione in una finestra di comando. Il servizio Agente di raccolta eventi di avvio mostra lo stato In esecuzione.

Configurare il servizio di raccolta

Dopo aver installato l'agente di raccolta, è necessario configurarlo. Questa operazione comporta due passaggi:

  • Nei computer di destinazione (quelli da cui si raccolgono gli eventi) è necessario abilitare il trasporto KDNET/EVENT-NET e l'inoltro degli eventi.
  • Nel computer dell’agente di raccolta, specificare da quali computer si accettano gli eventi e definire un percorso di salvataggio per tali eventi.

Per informazioni dettagliate, seguire le istruzioni del documento Raccogliere gli eventi con Raccolta eventi installazione e avvio.

Dopo aver completato la configurazione, è necessario riavviare i computer di destinazione. Una volta riavviati, i computer di destinazione si connettono all'agente di raccolta e gli eventi vengono raccolti.

Esaminare i log

Dopo che è iniziata la raccolta degli eventi, è possibile esaminarli. È possibile trovare il log per il servizio di raccolta in: Microsoft-Windows-BootEvent-Collector/Admin.

È possibile usare Visualizzatore eventi per avere un'interfaccia grafica per gli eventi. A tale scopo, seguire questa procedura:

  1. Crea una nuova visualizzazione.
  2. Espandere Registri applicazioni e servizi, quindi espandere Microsoft e infine Windows.
  3. Trovare Collector BootEvent, espanderla e trovare Admin.

È anche possibile esaminare il log usando Windows PowerShell: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin.

In alternativa, usare il prompt dei comandi: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin.