Registro eventi e monitoraggio affidabilità di Windows: a cosa servono

• Utilità di sistema
• Howto

Ogni volta che in Windows accade qualcosa, a livello di sistema, di applicazione, di sicurezza, di installazione dei programmi, viene aggiunta una nuova voce nel registro degli eventi. Ciò avviene sui sistemi Windows degli utenti finali, sulle workstation, sulle macchine server.
Digitando Visualizzatore eventi nella casella di ricerca di Windows oppure premendo Windows+R quindi scrivendo eventvwr.msc si accederà a una finestra (quella del Visualizzatore eventi, appunto) che consente di leggere tutte le annotazioni del sistema operativo nel corso del tempo. Esse sono memorizzate sotto forma di file .evtx nella cartella %systemroot%\system32\winevt\logs.

Gli eventi verificatisi durante ogni sessione di lavoro vengono suddivisi in diverse categorie (vedere la figura) e a ciascuno di essi viene assegnata una diversa icona a seconda che quanto memorizzato sia una semplice un’informazione, un avviso o un errore vero e proprio.

Quando un utente lamentasse malfunzionamenti di vario genere con il suo sistema, uno degli strumenti migliori da utilizzare è proprio il Visualizzatore eventi.
Tale strumento offre la possibilità di cercare solo gli eventi che interessano: basta cliccare su Filtro registro corrente nella colonna di destra quindi, ad esempio, attivare solo le caselle Critico ed Errore per ottenere gli errori più critici (come le schermate blu o BSOD; vedere anche Schermata blu in Windows: che cosa può provocarne la comparsa) e i riferimenti ad altri problemi manifestatisi sul sistema.
Tra gli eventi critici sono annoverabili quelli relativi al funzionamento dei dischi, della CPU, della memoria, delle ventole di dissipazione.

Si possono ovviamente impostare filtri basati sull’ID dell’evento o sul componente software che li ha originati.

Digitando Monitoraggio affidabilità nella casella di ricerca del menu Start di Windows oppure premendo Windows+R quindi perfmon /rel, il sistema operativo mostra in forma grafica gli eventi problemi verificatisi sulla macchina in uso nel corso del tempo.
Cliccando su ciascun giorno, nella parte inferiore della finestra verranno forniti i dettagli circa ciascun errore o avviso.

La finestra Monitoraggio affidabilità è poco conosciuta ma è utile perché si occupa già da sé di estrapolare dal registro degli eventi di Windows le informazioni più importanti. Cliccando su Visualizza dettagli si possono ottenere maggiori dati su ciascuna problematica rilevata.

Le informazioni che vengono salvate nel registro degli eventi di Windows possono anche essere ampliate e personalizzate, come spiegato nell’articolo Verificare quali programmi vengono eseguiti in Windows. Ciò è possibile servendosi delle speciali funzionalità di auditing.
Una volta concluse le verifiche, tuttavia, suggeriamo di disattivare le funzionalità di auditing di Windows per non ritrovarsi con file di log troppo corposi.

Ogni evento è contraddistinto da un identificativo (event ID): in questa pagina, ad esempio, Microsoft ha riassunto gli eventi più interessanti da monitorare lato server.

Gli eventi di proprio interesse possono essere comodamente estratti anche usando una finestra PowerShell. Con il comando seguente, ad esempio, è possibile ottenere l’elenco delle applicazioni (di sistema e di terze parti) che sono andate in crash insieme con la data e l’ora in cui l’evento si è manifestato:

$ErrorActionPreference="SilentlyContinue"; Get-WinEvent -FilterHashtable @{logname='Application';id=1000,1002}

Con $ErrorActionPreference="SilentlyContinue"; si evita semplicemente che PowerShell mostri un errore nel caso in cui non venisse rilevata alcuna occorrenza per gli event ID specificati (in questo caso 1000 e 1002).

Con il comando seguente, invece, si può ottenere l’elenco delle eventuali schermate blu (BSOD):

$ErrorActionPreference="SilentlyContinue"; Get-WinEvent -FilterHashtable @{logname='Application';id=1001}

Al posto di Application deve essere sempre indicato il nome del file di log corretto all’interno del quale si desidera cercare uno specifico evento. Al posto di Application si può quindi scrivere Security per la categoria “sicurezza”, System per “sistema” o Setup per “installazione”.

Ad esempio digitando quanto segue si possono ottenere le situazioni in cui il sistema è stato riavviato in modo anomalo, ad esempio in seguito a un crash o a un black out elettrico:

$ErrorActionPreference="SilentlyContinue"; Get-WinEvent -FilterHashtable @{logname='System';id=41}

Come si vede è stato utilizzato l’evento con ID 41 che appartiene al log System.

Un software gratuito come TurnedOnTimesView di Nirsoft, presentato nell’articolo Come monitorare un PC senza installare nulla, usa proprio l’evento di sistema 41 insieme con altri (ID 42, 1, 1074, 6005, 6006) per stabilire per quanto tempo è rimasto acceso un qualunque dispositivo Windows e se si fosse spento normalmente o per altre cause.