Włączanie zbierania zdarzeń instalacji i rozruchu

  • 6 minut

Zbieranie zdarzeń instalacji i rozruchu służy do przeglądania zdarzeń uruchamiania i konfigurowania z wielu komputerów źródłowych na wyznaczonym komputerze modułu zbierającego. Po zebraniu danych można je analizować przy użyciu Podgląd zdarzeń, Wevutil.exe lub środowiska Windows PowerShell.

Co można monitorować?

Można monitorować następujące zdarzenia:

  • Ładowanie modułów jądra i sterowniki

  • Wyliczanie urządzeń i inicjowanie ich sterowników

  • Weryfikacja i instalowanie systemów plików

  • Uruchamianie plików wykonywalnych

  • Uruchamianie i ukończenia aktualizacji systemu

  • Punkty, gdy system:

    • Staje się dostępny do logowania
    • Nawiązuje połączenie z kontrolerem domeny
    • Zakończenie uruchamiania usługi
    • Dostępność udziałów sieciowych

Instalowanie usługi modułu zbierającego

Usługę modułu zbierającego można zainstalować przy użyciu następującego polecenia w wierszu polecenia z podwyższonym poziomem uprawnień: dism /online /enable-feature /featurename:SetupAndBootEventCollection.

Sprawdź poprawną instalację, uruchamiając następujące polecenie programu Windows PowerShell w wierszu polecenia z podwyższonym poziomem uprawnień: get-service -displayname *boot*.

Usługa modułu zbierającego zdarzenia rozruchu powinna być wyświetlana jako Uruchomiona, jak pokazano na poniższym zrzucie ekranu.

Zrzut ekranu przedstawia sesję programu PowerShell uruchomioną w oknie polecenia. Usługa modułu zbierającego zdarzenia rozruchu wyświetla stan Uruchomiono.

Konfigurowanie usługi modułu zbierającego

Po zainstalowaniu modułu zbierającego należy go skonfigurować. Obejmuje to dwa kroki:

  • Na komputerach docelowych (zbieranych zdarzeń) należy włączyć transport KDNET/EVENT-NET i włączyć przekazywanie zdarzeń.
  • Na komputerze modułu zbierającego określ, z których komputerów akceptujesz zdarzenia, i zdefiniuj lokalizację zapisywania dla tych zdarzeń.

Postępuj zgodnie z instrukcjami w tym dokumencie, aby uzyskać szczegółowe informacje: Zbieranie zdarzeń przy użyciu zbierania zdarzeń instalacji i rozruchu.

Po zakończeniu konfiguracji należy ponownie uruchomić komputery docelowe. Po ponownym uruchomieniu obiektów docelowych łączą się z modułem zbierającym i są zbierane zdarzenia.

Przeglądanie dzienników

Po rozpoczęciu zbierania zdarzeń można je przejrzeć. Dziennik usługi modułu zbierającego można znaleźć w obszarze: Microsoft-Windows-BootEvent-Collector/Admin.

Można użyć Podgląd zdarzeń dla interfejsu graficznego dla zdarzeń. Postępuj zgodnie z następującą procedurą:

  1. Utwórz nowy widok.
  2. Rozwiń pozycję Dzienniki aplikacji i usług, a następnie rozwiń węzeł Microsoft, a następnie windows.
  3. Znajdź modułu zbierającego BootEvent, rozwiń ją i Znajdź Admin.

Możesz również zapoznać się z użyciem programu Windows PowerShell: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin.

I z wiersza polecenia: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin.