Visualizzatore eventi di Windows

9858
Visualizzatore eventi di Windows

Il visualizzatore eventi di Windows (in inglese Event Viewer) è uno degli strumenti di amministrazione dei sistemi operativi Microsoft.
Nella prima parte della guida verrà spiegato a cosa serve questo strumento e quali sono le informazioni che vengono archiviate nei suoi registri.
Nella seconda parte della guida vedremo invece come leggere le proprietà di un evento e come creare una visualizzazione personalizzata degli eventi.
La procedura descritta può essere utilizzata in tutti i computer con Windows 10, Windows 8.1/8, Windows 7 e Windows Vista (→ quale versione di Windows è installata nel PC).

Cos’è il visualizzatore eventi di Windows


Il visualizzatore eventi è lo strumento di diagnostica più potente di Windows. Il suo utilizzo risulta di fondamentale importanza per monitorare l’integrità del sistema perché fornisce informazioni dettagliate su tutti gli eventi che si verificano nel PC.
Un evento è un fenomeno che accade dentro il sistema e viene comunicato all’esterno, ovvero all’utente o ad altri programmi, e corrisponde solitamente a uno stato o a una modifica della configurazione.
Gli eventi vengono registrati dal servizio registro eventi di Windows e la loro cronologia viene mantenuta nei rispettivi registri di sistema.

Il visualizzatore eventi di Windows viene in aiuto nella fase di analisi di un problema perché consente di visualizzare anomalie hardware e software di diversa natura (il mancato avvio di un servizio, un arresto anomalo del sistema, l’impossibilità di installare un aggiornamento, il danneggiamento nella struttura del file system, un conflitto di indirizzi IP).

Come avviare il visualizzatore eventi di Windows

Iniziamo la guida sul visualizzatore eventi di Windows spiegando come avviarlo.
Importante: il visualizzatore eventi può essere avviato sia da un utente standard che da un utente amministratore (→ differenza fra utente standard e administrator). Nel primo caso però il registro Sicurezza non sarà disponibile.

Premiamo sulla tastiera del computer i tasti Windows (è il tasto con il logo di Windows) e R contemporaneamente.
Si aprirà la finestra Esegui (→ cos’è il comando Esegui di Windows).
Nella casella Apri: digitiamo eventvwr
Facciamo clic su OK.
Si aprirà lo snap-in Visualizzatore eventi.
Ingrandiamo la finestra a tutto schermo.

Panoramica e riepilogo

Quando apriamo il visualizzatore eventi il riquadro dei dettagli mostrerà delle informazioni di riepilogo degli eventi amministrativi.
Queste informazioni possono essere visualizzate in qualsiasi momento facendo clic sulla voce Visualizzatore eventi (computer locale) dell’albero console (il riquadro sinistro).
Questo riquadro consente di visualizzare se nell’ultima ora, giorno o settimana sono accaduti degli eventi significativi divisi per tipologia.
Nella colonna Tipo evento facciamo clic sul + per espandere una categoria e visualizzare la fonte degli eventi dello stesso tipo.

Per ottenere l’elenco completo degli errori provenienti dalla stessa origine, nel riquadro Riepilogo eventi amministrativi estendiamo il Tipo evento facendo clic sul +.
Posizioniamo il puntatore del mouse sull’ID evento o sull’Origine e facciamo clic con il pulsante destro del mouse.
Facciamo clic su Visualizza tutte le istanze di questo evento.
Verrà visualizzato un elenco di eventi preso da più registri che eviterà di dover ricercare l’evento in più posizioni.

Registri del visualizzatore eventi di Windows

Il visualizzatore eventi di Windows gestisce diversi tipi di registri divisibili in due categorie principali: registri di Windows e registri applicazioni e servizi.

Per visualizzare le informazioni di questi registri, nell’albero console del visualizzatore eventi (il riquadro sinistro) facciamo clic sulla freccia a fianco della categoria del registro che vogliamo visualizzare.
Facciamo clic sul Registro che ci interessa.
Nel riquadro centrale identifichiamo l’evento che vogliamo analizzare.
Facciamo clic sull’evento per ottenere la descrizione dell’evento e le sue proprietà più comuni (visibili nella scheda Generale), oppure facciamo doppio clic sull’evento per aprire la finestra Proprietà evento.
Vediamo nel dettaglio cosa contengono i registri del visualizzatore eventi di Windows.

Registri di Windows

I Registri di Windows archiviano eventi che si applicano all’intero sistema. Si dividono nelle seguenti categorie:

  • Applicazione
    Nel registro Applicazione sono contenuti gli eventi relativi ai programmi e alle applicazioni. Sono gli sviluppatori dei software che decidono quali eventi registrare nel registro Applicazione e quali invece in un registro specifico, in Registri applicazioni e servizi.
    Gli eventi sono classificati in base alla loro gravità:
    Errore: indica un problema critico che può aver provocato la perdita di dati o funzionalità.
    Avviso: indica un problema meno significativo che potrebbe causare un problema in futuro.
    Informazioni: descrive la corretta esecuzione di un driver, programma o servizio.
  • Sicurezza (chiamato Protezione in Windows Vista)
    Nel registro Sicurezza sono contenuti gli eventi di controllo relativi ai tentativi di connessione da parte di un utente e all’utilizzo delle risorse protette (creazione, apertura, cancellazione di file).
    Il registro Sicurezza identifica gli eventi utilizzando due tipi di icone: l’icona a forma di chiave e l’icona a forma di lucchetto.
    Chiave: identifica gli eventi di tipo Controllo riuscito.
    Lucchetto: identifica gli eventi di tipo Controllo fallito.
  • Installazione (chiamato Setup in Windows Vista)
    Nel registro Istallazione sono contenuti gli eventi relativi all’installazione delle applicazioni.
  • Sistema
    Nel registro Sistema sono contenuti gli eventi che vengono registrati dai componenti di sistema di Windows e dalle funzionalità installate come i driver. Ad esempio se un driver non riesce a caricarsi nella sessione di avvio questo evento viene salvato nel registro Sistema.
    Anche in questo registro gli eventi sono classificati come Errore, Avviso o Informazioni.
  • Eventi inoltrati
    Nel registro Eventi inoltrati sono contenuti gli eventi raccolti da computer remoti.

Registri applicazioni e servizi

I Registri applicazioni e servizi contengono registri relativi ai singoli programmi, alle app in esecuzione e ai servizi specifici di Windows.
La differenza fra questi registri e i Registri di Windows consiste nel fatto che i Registri applicazioni e servizi si riferiscono a un preciso programma oppure a una funzionalità, mentre gli altri riguardano l’intero sistema.

Se espandiamo il nodo Microsoft vedremo la cartella Windows. Questa cartella contiene una cartella per ognuna delle moltissime funzionalità di Windows.

Visualizzazione dei registri e degli eventi

Quando selezioniamo un registro nel riquadro sinistro del visualizzatore eventi di Windows, nel riquadro centrale viene visualizzato un elenco dei relativi eventi disposti in ordine cronologico inverso.
Il riquadro sottostante mostra invece il contenuto relativo all’evento selezionato.

Finestra Proprietà evento

Per visualizzare i dettagli di un singolo evento dobbiamo utilizzare la finestra Proprietà evento.
Per aprirla facciamo doppio clic con il pulsante sinistro del mouse su un evento nel riquadro centrale.
Nella finestra Proprietà evento possiamo selezionare la scheda Generale o la scheda Dettagli.

Scheda Generale

La scheda Generale contiene le seguenti informazioni:

  • Nome registro: indica il nome del registro che ha archiviato l’evento.
  • Origine: indica l’origine dell’evento. Può indicare il nome di un programma, un componente di sistema o un programma di grandi dimensioni.
  • ID evento: è un numero che identifica in modo univoco il tipo di evento. Ad esempio il numero 6005 è l’ID evento che indicherà sempre l’avvio del Registro eventi.
  • Livello: indica il livello di gravità dell’evento. Nel registro Sistema e nel registro Applicazione possiamo avere i seguenti livelli di gravità (rappresentati da un simbolo):
    Informazioni: indica la riuscita di una attività, la modifica di una applicazione, la creazione di una risorsa o l’avvio di un servizio.
    Avviso: indica un evento che potrebbe causare un problema futuro nel caso in cui non si intraprenda nessuna azione correttiva.
    Errore: indica un evento che descrive un problema che potrebbe influire sulle corretta funzionalità del sistema o dell’applicazione che ha attivato l’evento. Gli eventi errore possono includere la perdita di dati o di funzionalità.
    Critico: indica un errore che non permette il ripristino automatico del sistema o dell’applicazione che ha attivato l’evento.
  • Utente: indica il nome dell’utente collegato quando si è verificato l’evento.
  • Opcode: è un valore numerico di 1 byte che identifica l’attività o il punto all’interno di un’attività eseguito dall’applicazione nel momento in cui l’evento si è verificato. È utilizzato per rappresentare un’azione o una parte di azione specifica eseguita dal software ma anche per processi basati su attività di traccia, come ad esempio servizi Web in cui l’attività è una richiesta specifica ricevuta dal servizio Web. Esistono pochi valori predefiniti, i più comuni sono 1 Start e 2 Stop.
  • Registrato: indica la data e l’ora in cui l’evento è stato registrato.
  • Categoria attività: è una classificazione dell’evento in base all’origine dell’evento (utilizzato principalmente nel registro Sicurezza).
  • Parole chiave: indica una categoria o un tag utili per filtrare o eseguire una ricerca sugli eventi.
  • Computer: indica il nome del computer in cui l’evento si è verificato. Solitamente è il nome del computer locale, ma potrebbe essere il nome di un computer che ha inoltrato l’evento o il nome del computer locale prima che il suo nome sia stato modificato.

Scheda Dettagli

La scheda Dettagli contiene ulteriori informazioni sull’evento.

Le informazioni sono divise in due sezioni (estendibili facendo clic su +):

  • System: contiene informazioni generali comuni a ogni istanza dell’evento, come ad esempio alcuni parametri di sistema registrati quando l’istanza è stata pubblicata.
  • EventData: contiene informazioni strutturate dell’applicazione.

Vediamo alcuni tipi di informazioni visualizzabili nella scheda Dettagli:

  • EventID e Version: ogni evento è identificato in modo univoco, in base alla combinazione dei relativi EventID (un numero di 2 byte) e Version (un numero di 1 byte). Gli eventi dello stesso provider di eventi che condividono EventID e Version hanno una struttura identica.
  • Level: è un valore che indica il livello di gravità dell’evento. I valori predefiniti sono i seguenti:
    1 Critico
    2 Errore
    3 Avviso
    4 Informazioni
    5 Dettagliato
    I valori sono personalizzabili fino a un massimo di 255 (numeri più elevati corrispondono a eventi più dettagliati).
  • Task: identifica un’area generale della funzionalità del provider di eventi (stampa, rete o interfaccia utente) ma può anche fare riferimento a un sottocomponente del programma. È utilizzata soprattutto per gli eventi del controllo di protezione.
  • Keywords: è una maschera con 56 flag (variabili) che possono essere impostati dal programma per facilitare il raggruppamento di eventi simili.

Ottenere informazioni supplementari sugli eventi

Se vogliamo ottenere informazioni supplementari a quelle fornite dal visualizzatore eventi di Windows, possiamo visitare il sito EventID.net. EventID.net mette a disposizione un database work in progress contenente migliaia di eventi con i relativi commenti o articoli forniti dagli ingegneri del sito ma anche da collaboratori esterni.
La ricerca può essere effettuata digitando l’ID evento, l’Origine oppure una o più parole chiave.

Creare una visualizzazione personalizzata

Vediamo adesso come utilizzare il visualizzatore eventi di Windows per creare una visualizzazione personalizzata degli eventi.

Le visualizzazioni personalizzate permettono di filtrare gli eventi, specificando delle regole che vengono utilizzate per determinare quali eventi del registro vogliamo visualizzare e quali invece vogliamo tenere nascosti. In questo modo potremo ad esempio scegliere di visualizzare soltanto gli eventi con livello errore o avviso provenienti dal registro sistema, ignorando tutti gli altri.
Per creare una visualizzazione personalizzata avviamo il visualizzatore eventi di Windows.
Nel riquadro azioni (il riquadro a destra) destro facciamo clic su Crea visualizzazione personalizzata…
Nella finestra Crea visualizzazione personalizzata avremo a disposizione i seguenti filtri:

  • Registrato: (chiamato Accesso in Windows Vista): consente di filtrare gli eventi in base al giorno o all’ora in cui sono verificati.
  • Livello evento: consente di filtrare gli eventi in base al livello di gravità.
  • Per registro: consente di filtrare gli eventi in base al tipo di registro.
  • Per origine: consente di filtrare gli eventi in base all’origine.
  • Tutti gli ID evento: in questa casella possiamo digitare gli ID degli eventi che vogliamo visualizzare.
    Se ad esempio scegliamo un intervallo di ID eventi da 7000 a 7020 incluso, dobbiamo digitare 7000-7020.
    Se invece vogliamo che il filtro visualizzi tutti gli ID eventi ad eccezione di alcuni, digitiamo gli ID delle eccezioni preceduti dal segno . Ad esempio, per includere tutti gli ID tra 7000 e 7020 ad eccezione di 7002, digitiamo 7000-7020,-7002.
  • Categoria attività: consente di filtrare gli eventi in base alle categorie di attività che scegliamo nell’elenco a discesa.
  • Parole chiave: consente di filtrare gli eventi in base alle parole chiave che scegliamo nell’elenco a discesa.
  • Utente: in questa casella possiamo digitare il nome degli account utente che desideriamo visualizzare. Possiamo immettere più utenti separati da una virgola (,).
  • Computer: in questa casella possiamo digitare il nome dei computer che desideriamo visualizzare. Possiamo immettere più nomi di computer separati da una virgola (,).

Dopo aver selezionato i filtri che vogliamo utilizzare facciamo clic su OK.
Si aprirà la finestra di dialogo Salva filtro in una visualizzazione personalizzata.

In Nome digitiamo il nome per la visualizzazione personalizzata che abbiamo creato.
Selezioniamo la cartella dove vogliamo archiviare la visualizzazione personalizzata.
Infine possiamo decidere se rendere la visualizzazione personalizzata accessibile a tutti gli utenti del computer o soltanto agli utenti connessi all’account corrente (in questo caso deselezioniamo la casella di controllo Tutti gli utenti).
Facciamo clic su OK.
Nell’albero console del visualizzatore eventi facciamo clic sulla freccia a fianco della voce Visualizzazioni personalizzate per accedere alla visualizzazione personalizzata che abbiamo creato.
Le visualizzazioni personalizzate possono essere esportate in un file con estensione .xml. facendo clic su Esporta visualizzazione personalizzata… nel riquadro azioni.

Eseguire un’attività in risposta a un evento

Il visualizzatore eventi di Windows offre la possibilità di configurare un’attività (come ad esempio l’avvio di un programma) da eseguire automaticamente ogni volta che viene registrato un evento specifico.
Per utilizzare questa funzionalità avviamo il visualizzatore eventi.
Nell’albero console selezioniamo il registro che contiene l’evento che vogliamo associare a un’attività.
Facciamo clic con il pulsante destro del mouse sull’evento e selezioniamo Associa attività all’evento…
Si aprirà la finestra Creazione guidata attività di base.
Seguiamo la procedura per creare un’attività di base.