Come leggere i log degli eventi di Windows: Spegnimento e riavvio

  • Ultimo aggiornamento
Come leggere i log degli eventi di Windows: Spegnimento e riavvio
  • Ultimo aggiornamento

In questo articolo scoprirai come leggere i log degli eventi di Windows. Il Visualizzatore eventi di Windows è lo strumento principale per esaminare i log dettagliati delle attività del sistema, compresi gli arresti e i riavvii. Questo strumento è disponibile su tutti i sistemi Windows e fornisce un modo semplice per accedere, monitorare e analizzare i dati degli eventi.

Accedere al Visualizzatore eventi in Windows

L’accesso al Visualizzatore eventi è il primo passo per capire come leggere i log degli eventi di Windows. Per accedere al Visualizzatore eventi:

  • Utilizzando la finestra di dialogo Esegui, premi “Windows + R”, digita “eventvwr.msc” e premi Invio. Questo metodo apre rapidamente il Visualizzatore eventi ed è molto utilizzato.
  • Utilizzando PowerShell: Particolarmente utile per l’accesso remoto, PowerShell consente di utilizzare il cmdlet “Get-EventLog” per estrarre i log da più sistemi. Questa opzione è utile in ambienti più grandi e distribuiti, dove è necessario monitorare più dispositivi.
  • Attraverso il menu Strumenti di amministrazione di Windows, clicca con il tasto destro del mouse sul pulsante Start, scegli “Windows PowerShell (Admin)” e digita “eventvwr” per aprire il Visualizzatore eventi.

All’interno del Visualizzatore eventi, nel riquadro di sinistra verrà visualizzata una console ad albero con categorie, tra cui Applicazione, Sicurezza, Impostazione, Sistema ed Eventi inoltrati.

Come leggere i log degli eventi di Windows per gli ID degli eventi di spegnimento e riavvio

Le seguenti istruzioni ti aiuteranno a interpretare correttamente gli ID degli eventi, in modo da poter identificare e distinguere tra arresti o riavvii pianificati e imprevisti.

Trovare gli eventi di spegnimento del Visualizzatore eventi utilizzando l’ID evento

Nel log di sistema, gli ID degli eventi di spegnimento del Visualizzatore eventi sono contrassegnati da numeri distinti, con l’ID evento 1074 come identificatore più comune per gli arresti. Questo ID evento registra le informazioni sugli arresti avviati da utenti, aggiornamenti o applicazioni.

L’ID evento 1074 cattura dettagli come l’account utente responsabile dell’arresto, il processo che lo ha attivato e il codice del motivo che indica se l’arresto è stato pianificato o non pianificato.

La comprensione della descrizione dell’evento permette di capire meglio il contesto dell’arresto.

Individuazione degli eventi di riavvio tramite l’ID dell’evento

I riavvii in genere seguono una sequenza a più fasi nel log degli eventi, iniziando con l’ID evento 1074 (simile a quello degli arresti) e proseguendo con altri eventi che tengono traccia delle attività di riavvio.

  • L’ID evento 6008 indica un arresto imprevisto, ad esempio a causa di una perdita di potenza o di un arresto anomalo del sistema. Puoi utilizzare questo evento per indagare sui riavvii non pianificati e fare un riferimento incrociato con altri eventi per individuarne la causa.
  • Gli ID evento 6005 e 6006 rappresentano avviamenti e arresti puliti, che segnano il completamento di una normale sequenza di avviamento o spegnimento. Se abbinati ad altri eventi, possono fornire una cronologia di come e quando si è verificato il riavvio.

Queste voci offrono una visione dettagliata delle sequenze di riavvio, consentendo di individuare i problemi che potrebbero compromettere la stabilità del sistema.

Comprensione dei timestamp e dei dettagli nei log degli eventi

Quando leggi i log degli eventi di Windows, i timestamp vengono inizialmente archiviati in UTC ma visualizzati in ora locale, consentendoti di correlare accuratamente gli eventi tra i vari fusi orari.

  • L’origine dell’evento identifica il componente specifico di Windows che ha generato la voce di registro.
  • Le categorie di attività raggruppano gli eventi correlati, aiutandoti a organizzare e comprendere gli eventi in relazione ai diversi componenti del sistema.
  • I livelli di gravità (Informazione, Avviso, Errore e Critico) aiutano a identificare rapidamente i problemi più importanti.

ID evento comuni per eventi di spegnimento e riavvio

Conoscere gli ID degli eventi più rilevanti per gli arresti e quali eventi di Windows mostrano i riavvii può semplificare l’analisi e la risoluzione dei problemi. Questi ID evento contrassegnano diversi tipi di arresto, da eventi di manutenzione previsti a arresti anomali improvvisi del sistema.

ID evento per arresti imprevisti

Gli arresti imprevisti sono spesso causati da interruzioni di corrente, problemi hardware o crash del software e lasciano tracce distinte nei registri degli eventi di Windows.

  • L’ID evento 41 segnala un riavvio del sistema avvenuto senza un arresto pulito. Ciò potrebbe indicare interruzioni di corrente o riavvii forzati e spesso fornisce informazioni sullo stato del sistema prima del suo spegnimento.
  • L’ID evento 1001 cattura le informazioni sui problemi di alimentazione del kernel, offrendo una visione di potenziali cause come guasti hardware, surriscaldamento o conflitti di driver che potrebbero aver innescato l’arresto.

ID evento per gli arresti programmati

Gli arresti programmati generano log degli eventi specifici che aiutano a mantenere la conformità del sistema e a verificare il successo delle attività di manutenzione.

  • L’ID evento 1074 registra gli arresti programmati avviati dagli utenti, dalle attività pianificate o dagli aggiornamenti del sistema. Negli ambienti gestiti, queste voci confermano che gli arresti si allineano alle finestre di manutenzione e alle pianificazioni degli aggiornamenti.
  • Gli arresti avviati dai criteri di gruppo producono eventi aggiuntivi che documentano l’applicazione dei criteri, assicurando la conformità ai protocolli di arresto e verificando che gli utenti ricevano notifiche adeguate.

ID evento per i riavvii del sistema

I riavvii legati agli aggiornamenti o ad altre attività di manutenzione pianificate creano modelli specifici nei log degli eventi:

  • L’ID evento 1033 è associato al riavvio di Windows Update, seguito dalla consueta sequenza di arresto e avvio.
  • La modalità di avvio rapido può bypassare gli eventi di arresto tradizionali, creando una voce di spegnimento ibrida che differisce dai normali registri di arresto.

Altri ID evento rilevanti

Gli ID evento aggiuntivi forniscono un contesto prezioso per l’analisi dell’arresto, soprattutto quando si risolvono problemi complessi.

  • L’ID evento 1076 indica un tentativo di riavvio fallito, spesso dovuto a conflitti o errori.
  • Gli ID evento 42–44 registrano le transizioni agli stati di sospensione o ibernazione, che possono influire sugli eventi di alimentazione del sistema e potrebbero correlarsi con i comportamenti di arresto.

Vedrai anche frequentemente eventi del Service Control Manager (ID 7000–7040) relativi agli spegnimenti.

Interpretare i dettagli del log degli eventi per la risoluzione dei problemi

Per una risoluzione efficace dei problemi è necessario analizzare sistematicamente i dettagli del log degli eventi. Inizia a stabilire una linea di base per gli eventi di Windows che mostreranno gli eventi di arresto e riavvio, compresi i tempi medi di spegnimento del sistema, le sequenze comuni e i comportamenti previsti.

Quando stai esaminando i problemi di arresto o riavvio, segui questi passaggi:

  1. Costruisci una cronologia degli eventi immediatamente prima e dopo l’arresto, includendo eventuali eventi di avviso, errori delle applicazioni o avvisi sulle risorse che potrebbero aver contribuito.
  2. Esegui un incrocio dei log nelle categorie Sistema e Applicazione per ottenere una visione completa dello stato del sistema che ha portato all’evento. Ciò è particolarmente utile se l’arresto sembra legato a errori dell’applicazione o ad avvisi di sicurezza.
  3. Monitora i dati di prestazione e rivedi gli eventi di sistema per individuare segnali di esaurimento delle risorse, avvisi di timeout dei driver o errori del disco. Questi schemi possono rivelare le cause sottostanti, come risorse insufficienti o guasti hardware.

Best practice per il monitoraggio e la gestione dei log degli eventi di Windows

L’implementazione di pratiche efficienti di gestione dei log è essenziale per mantenere l’affidabilità del sistema e soddisfare i requisiti di conformità. Ecco alcune best practice fondamentali:

  • Imposta limiti di dimensione dei log in base alle risorse del sistema e ai requisiti di conservazione, bilanciando la necessità di log dettagliati con i vincoli di archiviazione.
  • Archivia regolarmente i log per conservare i dati cronologici ai fini dell’analisi delle tendenze, della conformità e dell’audit.
  • La centralizzazione dei log degli eventi semplifica la gestione degli ambienti multisistema, consentendo ricerche, correlazioni e avvisi efficienti.
  • Windows Event Forwarding raccoglie i log da più dispositivi in un repository centrale, consentendo di semplificare il monitoraggio e la risoluzione dei problemi nella tua intera infrastruttura.
  • Le visualizzazioni personalizzate in base a specifici ID evento ti consentono di monitorare in modo efficiente gli eventi di arresto e riavvio. Queste visualizzazioni permettono una più rapida risoluzione dei problemi grazie alla visualizzazione degli eventi rilevanti in base ai livelli di gravità e alle categorie.

Policy di automazione e conservazione

L’automazione può aiutare in modo significativo l’analisi dei log, soprattutto in ambienti con numerosi client o dispositivi. Puoi utilizzare gli script PowerShell per analizzare i log di più client, identificare schemi ricorrenti e generare report che forniscono informazioni sullo stato del sistema.

Inoltre, è necessario stabilire chiare policy di conservazione per bilanciare i costi di archiviazione con le tue esigenze analitiche, tenendo conto dei requisiti normativi e dei livelli di servizio. Documenta le procedure di gestione dei log per garantire pratiche coerenti in tutta la tua organizzazione.

Implementando queste best practice ti aiuterà a capire meglio come leggere i log degli eventi di Windows e a monitorare, gestire e analizzare efficacemente i log degli eventi, mantenendo i tuoi sistemi in funzione senza problemi e riducendo al minimo i potenziali problemi.

Con la piattaforma di gestione degli endpoint di NinjaOne, avrai a disposizione gli strumenti per ottimizzare il monitoraggio dei log, risolvere i problemi di arresto e garantire una supervisione proattiva del sistema, il tutto in un’unica soluzione centralizzata. Inizia oggi stesso una prova gratuita di NinjaOne per migliorare la tua gestione degli endpoint e mantenere il funzionamento dei tuoi sistemi senza problemi.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Scopri di più su NinjaOne Endpoint Management, fai un tour dal vivoinizia la tua prova gratuita della piattaforma NinjaOne.

Inizia una prova gratuita

Ti potrebbe interessare anche

Assegnare o modificare le lettere delle unità in Windows 10

Come modificare e assegnare le lettere delle unità in Windows 10

Come chiudere tutte le attività che non rispondono nel menu contestuale di Windows 10 Immagine banner del blog

Come chiudere tutte le attività che non rispondono nel menu contestuale di Windows 10

Come abilitare o disabilitare l'accesso con PIN per gli utenti di dominio su Windows 10 immagine banner

Come abilitare o disabilitare l’accesso con PIN per gli utenti di dominio su Windows 10

I migliori software di monitoraggio hardware immagine in evidenza

I 10 migliori software di monitoraggio hardware 

configurare i log di avvio di Windows

Come configurare i log di avvio di Windows, comprese le attivazioni e le disattivazioni

How to Import or Export Google Chrome Bookmarks as HTML in Windows blog banner image

Come importare o esportare i preferiti di Google Chrome come HTML in Windows

Vuoi diventare un Ninja dell’IT?

Scopri come NinjaOne può aiutarti a semplificare le operazioni IT.
Prova NinjaOne gratuitamente
Guarda una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto