1. Apri il Visualizzatore eventi:
- Premi il tasto Windows + R per aprire la finestra di dialogo Esegui.
- Digita eventvwr.msc e fai clic su OK per avviare il Visualizzatore eventi.
2. Passare al file di registro:
- Nel Visualizzatore eventi, espandi i Registri di Windows cartella e seleziona il file di registro che desideri confrontare. Ad esempio, se desideri confrontare il registro di sistema, fai clic su Sistema tronco d'albero.
3. Esporta il file di registro:
- Fai clic con il pulsante destro del mouse sul file di registro e seleziona Salva tutti gli eventi con nome… dal menu contestuale.
- In Salva con nome finestra di dialogo, selezionare una posizione in cui salvare il file di registro e fare clic su Salva .
- Il file di registro verrà salvato con estensione *.evtx*.
4. Apri il file di registro esportato:
- Fare doppio clic sul file di registro esportato (*.evtx*) per aprirlo nel Visualizzatore eventi.
5. Seleziona Eventi del registro corrente:
- Nel Visualizzatore eventi, fai clic con il pulsante destro del mouse su Visualizzazioni personalizzate cartella e seleziona Crea visualizzazione personalizzata… dal menu contestuale.
- Nella sezione Crea visualizzazione personalizzata finestra di dialogo, dai un nome adatto alla vista, come Eventi correnti e fai clic su Filtro… pulsante.
- Nel Filtro finestra di dialogo, abilitare Informazioni eventi di livello e seleziona Tutti gli eventi registrati per il livello Evento .
- Fai clic su OK per applicare il filtro e creare la visualizzazione personalizzata.
- La tua visualizzazione corrente personalizzata ora mostrerà gli eventi attualmente elencati nel Visualizzatore eventi.
6. Confronta i file di registro:
- Ora hai due finestre del Visualizzatore eventi aperte:una con il file di registro precedente salvato e l'altra con gli eventi attualmente elencati.
- Confrontando visivamente gli eventi in entrambe le finestre, è possibile identificare eventuali nuovi eventi generati dopo il salvataggio del file di registro precedente.
- Puoi anche utilizzare il Filtro funzionalità nel Visualizzatore eventi per restringere il confronto a ID evento, origini o altri criteri specifici.
7. Esporta gli eventi elencati correnti:
- Se necessario, puoi anche esportare gli eventi attualmente elencati per riferimento futuro.
- Per fare ciò, fai clic con il pulsante destro del mouse sulla visualizzazione personalizzata creata nel passaggio 5 e seleziona Salva tutti gli eventi con nome... dal menu contestuale.
- Salvare gli eventi in un luogo adatto.
Confrontando il file di registro con l'insieme corrente di eventi elencati, è possibile ottenere informazioni dettagliate su eventuali nuovi eventi che si sono verificati o identificare eventi specifici di interesse per ulteriori analisi.
software © www.354353.com