Включение службы сбора событий установки и загрузки

  • 6 мин

Службу сбора событий установки и загрузки можно использовать для просмотра событий запуска и установки с нескольких исходных компьютеров на назначенном компьютере-сборщике. После сбора данные можно проанализировать с помощью Просмотра событий, Wevutil.exe или Windows PowerShell.

Что можно отслеживать?

Вы можете отслеживать следующие события:

  • Загрузка модулей ядра и драйверов

  • Перечисление устройств и инициализация их драйверов

  • Проверка и подключение файловых систем

  • Запуск исполняемых файлов

  • Запуск и завершение обновлений системы

  • Точки, когда система:

    • стает доступной для входа;
    • устанавливает подключение к контроллеру домена;
    • запускает процесс завершения службы;
    • предоставляет доступ к сетевым папкам.

Установка службы сборщика

Службу сборщика можно установить, выполнив в командной строке с повышенными привилегиями следующую команду: dism /online /enable-feature /featurename:SetupAndBootEventCollection.

Проверьте, правильно ли установлена служба, выполнив в командной строке с повышенными привилегиями следующую команду Windows PowerShell: get-service -displayname *boot*.

Для службы сборщика событий загрузки должен отображаться статус "Выполняется", как показано на следующем снимке экрана.

Снимок экрана: сеанс PowerShell, запущенный в командном окне. Служба сборщика событий загрузки отображает состояние

Настройка службы сборщика

После установки сборщик необходимо настроить. Данное действие состоит из следующих шагов:

  • На целевых компьютерах (из тех, из которых вы собираете события), необходимо включить транспорт KDNET/EVENT-NET и включить пересылку событий.
  • На компьютере сборщика укажите, какие компьютеры принимают события и определяют расположение сохранения для этих событий.

Следуйте инструкциям в этом документе для получения сведений: сбор событий с помощью коллекции событий установки и загрузки.

Завершив настройку, перезагрузите конечные компьютеры. После перезагрузки конечные компьютеры подключаются к сборщику, и начинается сбор событий.

Просмотр журналов

События можно просматривать сразу после начала сбора. Журнал самой службы сборщика можно найти в разделе: Microsoft-Windows-BootEvent-Collector/Admin.

Вы также можете использовать средство "Просмотр событий", чтобы иметь графический интерфейс для событий. Это можно сделать следующим образом:

  1. Создать новое представление.
  2. Разверните журналы приложений и служб, затем разверните Microsoft и Windows.
  3. Найдите BootEvent-Collector, разверните его и найдите администратора.

Проверку также можно выполнить с помощью Windows PowerShell: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin.

Или с помощью командной строки: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin.