实时或通过磁盘查看原始日志
此视图显示实时日志或磁盘上日志文件中的原始日志行。
您可以对数据集进行排序、筛选、分组、搜索和格式化,以便显示相关信息。
以粗体显示的日志行有多行未在视图中显示。要显示数据,请将鼠标悬停在该行上,或选择选项 > 自动行高。
启用日志
要在端点上启用日志记录,请选择选项 > 设置 > 启用日志记录。无需重新启动系统或代理。可使用 Environment Manager 日志记录设置工具启用日志记录。
有关详细信息,请参阅启用日志记录。要实时查看实时日志,请参阅加载实时日志。
更改日志记录设置
Environment Manager 监视器中提供了更多日志记录设置。使用这些设置可对名称、位置、详细信息级别、组件和性能进行定义。
-
选择选项 > 设置 > 日志记录设置。
“ETW 设置”对话框随即打开。
-
设置日志记录所需的选项。可以使用以下设置:
设置 说明 启用 ETW 日志记录 启用或禁用本地端点上的日志记录。 日志文件名 写入日志文件的位置和名称。 事件跟踪会话名称 事件跟踪会话的名称。此名称用于性能监视器。 日志详细信息 日志记录的详细程度。可以使用以下选项: - 严重
- 错误
- 警告
- 信息
- 跟踪
除非支持部门另有建议,否则建议将“日志详细信息”滑块设置为“跟踪”。
要启用的组件 记录的组件。可以使用以下组件: - EmCoreService
- EmUser
- EmSystem
- EmCredentialManager
- EmUserLogoff
- EmLoggedOnUser
- EmExit
- EmAuthenticationManager
- Winlogon notify package
- Winlogon detour
- EmWOW64
- EmLogoffUiApp
文件大小限制 启用“循环日志记录”或“实时日志记录”的情况下,日志文件的最大大小 (Mb)。 最大缓冲区数 最大的缓冲区数量。 缓冲区大小 每个缓冲区的大小 (Kb)。 最小缓冲区数 最小的缓冲区数量。 日志文件模式 设置日志文件模式。可以使用以下选项: - 滚动日志 - 日志文件增长到指定的大小限制。达到限制后,系统将创建一个新的日志文件,并在文件名后附加版本号。
- 实时日志 - 可以使用 Environment Manager 监视器实时查看日志。这相当于 Windows 事件跟踪中的实时日志记录。
- 循环日志 - 日志文件增长到指定的大小限制。达到限制后,日志文件将自动覆盖最早的条目。
- 无限制日志 - 日志文件会无限增长,与大小限制无关。
-
单击确定。
日志记录设置应用成功。无需重新启动系统或代理。
加载日志文件
加载实时日志
如果在当前端点上的“实时日志”模式下启用了日志记录,则可以实时查看实时日志文件。要查看实时日志,请选择文件 > 实时日志。
要在收到新日志条目时停止视图自动滚动,请取消选择选项 > 自动滚动。
从磁盘加载日志文件
-
选择文件 > 打开日志文件。
文件浏览对话框随即打开。
-
选择 ETL 日志文件,然后单击打开。
Environment Manager 监视器会加载该日志文件。加载进度显示在对话框底部。日志文件可能需要几分钟才能加载完毕,具体取决于其大小、事件类型和事件详细信息
加载最近使用的日志文件
-
选择文件 > 最近的日志文件。
此时将显示最近使用的日志文件列表。
-
选择要打开的日志文件。
Environment Manager 监视器会加载该日志文件。加载进度显示在对话框底部。日志文件可能需要几分钟才能加载完毕,具体取决于其大小、事件类型和事件详细信息。
导出日志文件
- 选择文件 > 导出。
- 选择导出后的格式。可以使用以下选项:
- Excel
- CSV
- 文本
- 富文本
- 网页
PDF
文件保存对话框随即打开。
-
选择一个导出位置,然后单击保存。
当前数据集即会导出到所选位置。
操作数据视图
添加列
- 右键单击列标题
-
选择列选择器。
“自定义”对话框随即打开。
- 将列从“自定义”对话框中拖放到标题行上的所需位置。
对列排序
- 右键单击列标题。
- 选择排序顺序:
- 升序排序 - 按升序对数据进行排序。
- 降序排序 - 按降序对数据进行排序。
- 要清除排序,请右键单击列标题,然后选择“清除排序”。
按现有值对列进行筛选
此选项显示打开的日志文件中字段的所有唯一值,例如所有会话 ID。可按数据集中的特定值对列进行筛选。
-
将鼠标悬停在列标题上,然后单击筛选器图标。
列中随即显示唯一值的列表。
-
选择一个用于对所选列进行筛选的值。
系统即会对数据进行筛选,以仅显示符合条件的条目。
使用“自动筛选行”对列进行筛选
“自动筛选行”显示在数据集上方,可通过输入基本筛选条件来筛选列。
-
选择视图 > 筛选器 > 自动筛选行。
“自动筛选行”显示在列标题下方。
-
要对列进行筛选,请在“自动筛选行”中输入文本。
系统即会对数据进行筛选,以仅显示符合“自动筛选行”中输入条件的条目。
- 要清除筛选,请选择视图 > 筛选器 > 清除。
使用“筛选器编辑器”对列进行筛选
筛选器编辑器允许创建条件,以便找到数据集中的特定数据。可以使用多个表达式和嵌套的布尔运算符来创建复杂条件。
- 选择视图 > 筛选器 > 筛选器编辑器。
-
根据需要编辑条件:
- 单击红色布尔运算符(例如 And)可编辑运算符或添加新条件组。
- 单击蓝色字段名称(例如 [Time Stamp])可更改要匹配的字段。
- 单击绿色运算符(例如 Equals)可编辑运算符。
- 单击 <enter a value> 或黑色值可输入一个值。
-
单击
可向条件添加新表达式。
- 单击应用以预览筛选器。
-
单击确定。
系统即会对数据进行筛选,以仅显示符合“筛选器编辑器”中输入条件的条目。
- 要清除筛选,请选择视图 > 筛选器 > 清除。
列分组
-
选择视图 > 组 > 分组依据框。
“分组依据”框显示在列标题上方。
- 将列标题拖放到“分组依据”框中。要创建嵌套分组,可以将更多列拖放到“分组依据”框中。
数据按“分组依据”框中指定的字段进行分组。
- 要清除分组,请右键单击“分组依据”框,然后选择清除分组。
搜索日志条目
-
选择编辑 > 查找面板。“查找”面板显示在列标题上方。
输入搜索词。
- 单击查找。系统即会显示相应的行,其中应包含任何列中与输入的搜索词匹配的文本。
- 要清除搜索,请单击“查找”窗格中的清除,或者关闭“查找”窗格。
添加条件格式
通过条件格式,可基于一个或多个字段内的数据设置行或文本的格式。
-
选择工具 > 视图 > 格式编辑器。
“格式编辑器”对话框随即打开。
- 单击添加以添加一个新条件。根据需要编辑条件:
- 单击红色布尔运算符(例如 And)可编辑运算符或添加新条件组。
- 单击蓝色字段名称(例如 [Time Stamp])可更改要匹配的字段。
- 单击绿色运算符(例如 Equals)可编辑运算符。
- 单击 <enter a value> 或黑色值可输入一个值。
- 单击 可向条件添加新表达式。
-
构建条件后,为与条件匹配的行设置格式化属性。可用选项包括行背景颜色、行边框颜色和文本格式。
- 单击应用以预览条件格式。
- 单击确定。
- 系统将为符合格式编辑器中指定条件的行应用格式。
- 要清除格式,请选择视图 > 格式 > 清除。
查看页脚
页脚允许显示一个或多个字段的统计信息。每个字段可以使用总和、最小值、最大值、计数和平均值选项。
-
选择视图 > 页脚。
页脚显示在状态栏上方。
- 在列下方,右键单击页脚。从以下选项中选择统计信息:
- 总和
- 最小值
- 最大值
- 计数
平均
统计信息显示在页脚中,并在添加或删除数据时自动更新。
将日志行复制到新选项卡
可以将一个或多个日志行复制到新选项卡,以便独立分析数据。您也可以重命名选项卡,方便您更轻松地使用多个选项卡。
- 从日志文件中选择一个或多个日志行。可以使用 Ctrl 或 Shift 键选择多行。
- 选择编辑 > 复制到新选项卡
- 系统即会创建一个包含所选日志行的新选项卡。
- 要重命名创建的选项卡,请右键单击该选项卡,然后选择重命名。
合并和比较选项卡
可以合并两个选项卡中的数据,然后在单个视图中进行比较。这些行采用颜色编码,方便在两个来源之间加以区分。
- 选择要比较的第一个选项卡。
-
选择工具 > 比较对象。
此时将显示打开的选项卡的列表。
-
选择一个要与当前选项卡进行比较的选项卡。
“比较选项卡”对话框随即打开。
两个选项卡中的日志行显示为白色,仅来自第一个选项卡的日志行显示为红色,而仅来自第二个选项卡的日志行显示为黄色。
-
单击
查看合并和比较选项。
- 根据需要更改选项,然后单击刷新。可以使用以下选项:
- 可见 - 更改比较结果中显示的列。
已计算 - 更改用于比较的列。
合并的数据随即显示,并可看到指定的列。
查找错误代码
使用内置工具从日志文件中查找系统错误代码。
-
单击工具 > 错误代码查找。
“错误代码查找”对话框随即打开。
- 输入错误代码。
-
单击
。此时将显示所输入错误代码的错误信息。
查看会话信息
“会话信息”对话框提供所加载日志文件中每个用户会话的相关信息。
下拉列表列出了会话编号以及登录和注销时间。选择会话后,系统将显示有关该会话的详细信息。
