Come interpretare i registri del Visualizzatore eventi in Windows 11

Quando Windows 11 inizia ad avviarsi lentamente, si blocca senza motivo apparente o si riavvia da soloIl primo impulso è solitamente quello di reinstallare il sistema operativo, eseguire una scansione antivirus o dare la colpa all'ultimo gioco installato. Tuttavia, il sistema stesso tiene un registro molto dettagliato di tutto ciò che accade: il Visualizzatore eventi. Se si sa come leggere questi registri, si può capire cosa succede quando si accende o si spegne il PC, perché Microsoft Defender for Endpoint (MDE) non funziona o cosa si cela dietro a un problema... schermo blu.

Lo scopo di questa guida è insegnarti come interpretare i registri del Visualizzatore eventi in Windows 11 in modo pratico.Il libro si concentra su tre aree principali: gli eventi di avvio e arresto del sistema, l'utilizzo di filtri e visualizzazioni personalizzate per individuare problemi specifici e la lettura di eventi avanzati relativi a Microsoft Defender for Endpoint (inclusi errori ETW, telemetria, autenticazione e connettività cloud). Tutto viene spiegato in uno stile semplice e colloquiale, senza però tralasciare i dettagli tecnici davvero importanti.

Cos'è il Visualizzatore eventi e quali tipi di registri contiene?

Il Visualizzatore eventi è la console centrale in cui Windows registra praticamente tutto ciò che accade al sistema.Può diagnosticare avvii e arresti anomali, errori di servizio, problemi di rete, vulnerabilità di sicurezza, arresti anomali delle applicazioni e altro ancora. Non è lo strumento più elegante del mondo, ma è uno dei più potenti per diagnosticare i problemi in Windows 11.

La finestra principale del Visualizzatore eventi è divisa in tre pannelliA sinistra, una struttura ad albero con le categorie; al centro, l'elenco degli eventi; e a destra, le azioni disponibili (filtra, salva visualizzazione, crea attività, ecc.). Questa struttura è stata mantenuta fin dalle versioni precedenti, come Windows NT 3.1, sebbene in Windows 11 la sezione dei registri di applicazioni e servizi sia stata notevolmente ampliata.

All'interno del "Registro di sistema di Windows" troverai tre voci chiave del registro.: Applicazione, Sicurezza e Sistema; nella sezione Applicazione è possibile rivedere registri di installazioneÈ lì che si concentrano la maggior parte degli eventi da controllare quando il PC si comporta in modo anomalo, in particolare il registro di sistema per tutto ciò che riguarda avvii, arresti ed errori hardware o dei driver.

Informazioni più avanzate compaiono nella sezione "Registri di applicazioni e servizi".Traccia eventi per i provider di Windows (ETW). Qui, ogni componente importante (ad esempio, Microsoft Defender for Endpoint, telemetria, diagnostica delle prestazioni, ecc.) può avere il proprio registro. È il luogo ideale per eseguire il debug di problemi molto specifici relativi a un servizio o a una funzionalità di sicurezza.

Come aprire il Visualizzatore eventi in Windows 11 e navigare nell'interfaccia

In Windows 11 è possibile accedere al Visualizzatore eventi in diversi modi.Tuttavia, il modo più rapido è solitamente quello di utilizzare la finestra di dialogo Esegui: premi Win + R, digita eventvwr.msc e conferma con Invio. Dopo alcuni secondi, la console si aprirà con l'albero delle categorie sulla sinistra.

Se preferisci navigare tramite menu grafici, puoi aprirlo anche dagli strumenti di amministrazione.Ad esempio, puoi aprire il menu Start, cercare "Strumenti di Windows" e, all'interno della finestra che si apre, individuare il collegamento "Pannello di controllo". Da lì, vai su "Sistema e sicurezza" per accedere al Visualizzatore eventi. È un procedimento un po' più lungo, ma può essere utile se stai guidando qualcuno meno esperto.

Una volta entrati, cercate la voce "Visualizzatore eventi (locale)" nel pannello di sinistra.Da lì è possibile selezionare sia i classici "Registri di Windows" che i "Registri di applicazioni e servizi", nonché la sezione "Visualizzazioni personalizzate", dove in seguito salveremo i filtri in modo da non doverli configurare ogni volta.

Quando fai clic su uno qualsiasi dei record (ad esempio, "Sistema")Il pannello centrale si riempie di eventi: ogni riga include la data e l'ora, il livello (informazione, avviso, errore, critico), la fonte, l'ID dell'evento e una breve descrizione. Facendo doppio clic su un evento si apre una finestra con maggiori dettagli e due schede utili: "Generale", con un testo esplicativo chiaro, e "Dettagli", con dati strutturati.

I quattro tipi di avvio che Windows 11 registra

Prima di interpretare gli eventi di avvio e arresto, è importante capire che Windows 11 non si avvia sempre allo stesso modo.Il sistema gestisce diverse modalità di avvio e arresto, e ciò influisce sia sulle prestazioni sia sui problemi che potrebbero persistere tra una sessione e l'altra.

La modalità "Avvio rapido" si attiva quando si utilizza l'opzione "Arresta il sistema" con le impostazioni predefinite.Non si tratta di uno spegnimento completo: Windows salva lo stato del kernel su disco e lo ricarica al successivo avvio. Questo metodo è più veloce, ma può comportare la mancata installazione di alcune modifiche ai driver o impedire la corretta applicazione di determinati aggiornamenti.

La funzione "Riavvio" esegue un ciclo completo di arresto e avvio da zero.In questa fase, vengono scaricati tutti i driver e i processi, e il sistema viene inizializzato come se fosse un avvio pulito. Se il computer si comporta in modo anomalo (rallentamenti, cali di prestazioni, piccoli problemi grafici), un riavvio completo spesso risolve i problemi che un arresto rapido all'avvio non riesce a risolvere.

La funzione "Ibernazione" salva su disco non solo lo stato del kernel, ma anche quello delle applicazioni aperte.All'avvio, Windows ripristina tutto allo stato precedente. Questo è utile sui portatili per evitare di perdere lunghe sessioni, ma se c'è un problema di fondo, può persistere per diversi cicli.

Lo "spegnimento completo" si verifica solo se si disabilita l'avvio rapido o si utilizzano comandi specifici. come shutdown / s / f / t 0In questo caso, tutto si arresta completamente e il prossimo avvio sarà pulito. Sapere che tipo di avvio si è verificato è fondamentale per interpretare determinati eventi, in particolare quelli relativi all'ID 27 nel registro di sistema, e per esaminare il file di registro di avvio.

Come filtrare il Visualizzatore eventi per vedere ciò che conta davvero durante l'avvio e l'arresto

Quando noti che il tuo PC impiega molto tempo ad avviarsi, si spegne in modo anomalo o si riavvia inaspettatamente, la prima cosa da fare è controllare il Registro di sistema.Nell'albero a sinistra, espandi "Registri di Windows" e fai clic su "Sistema". Quindi, nel riquadro a destra, fai clic su "Filtra registro corrente..." per mantenere solo gli eventi principali.

Nella finestra del filtro, nella casella "ID evento", inserisci questi numeri separati da virgole.12, 13, 27, 41. Questi sono i numeri che forniscono maggiori informazioni sui cicli di alimentazione in Windows 11:

• ID 12Questo indica che il sistema operativo è stato avviato. Include l'ora esatta e la versione di Windows che si è avviata.
• ID 13Ciò indica che il sistema si è arrestato correttamente. Se l'ID 13 non compare prima dell'ID 12, significa che l'arresto precedente è stato anomalo.
• ID 27: specifica il tipo di avvio. Nei dettagli vedrai un valore numerico: 0 è un avvio completo, 1 è un avvio rapido, 2 è un ripristino dall'ibernazione e 3 è un riavvio.
• ID 41Windows rileva che il computer è stato riavviato senza essere stato spento correttamente. Ciò di solito corrisponde a blocchi di sistema, schermate blu di errore (BSOD) o interruzioni di corrente.

Per analizzare un problema, ripassa la sequenza degli eventi 13 → 12 → 27 → 41Ad esempio, se vedi un ID 41 seguito da un ID 12, significa che il sistema si è riavviato dopo aver rilevato che l'arresto precedente non era corretto. Se non trovi un ID 13 immediatamente prima nello stesso intervallo di tempo, sai che qualcosa ha interrotto bruscamente il ciclo precedente.

Se fai doppio clic su un evento qualsiasi nell'elenco, la scheda "Generale" mostrerà la descrizione in testo semplice.Questo permette, senza entrare ancora nei dettagli tecnici, di verificare se l'avvio è avvenuto normalmente o se Windows sta già segnalando un errore più grave (ad esempio, un errore critico del kernel o del gestore dell'alimentazione).

Visualizza la cronologia di avvio e arresto con PowerShell

Se preferisci lavorare con un elenco più ordinato e facile da organizzare, che puoi salvare in un file, PowerShell è il tuo alleato.Dalla sua console è possibile visualizzare gli stessi eventi che si vedono nel Visualizzatore eventi, ma filtrati e presentati in una tabella.

Apri PowerShell con privilegi normali (non è necessario essere amministratore) ed esegui questo comando Per ottenere gli ID 12, 13, 27 e 41 dal record di sistema:

Get-WinEvent -LogName System | Where-Object {$_.Id -in 12,13,27,41} | Select-Object TimeCreated, Id, Message | Format-Table -AutoSize

Se desideri salva quel file in un file di testo per rivederlo con calma o per condividerlo, aggiungere alla fine: | Out-File C:\arranques.txtOtterrai una cronologia chiara che ti permetterà di vedere a che ora l'apparecchiatura è stata accesa e spenta, e se si sono verificati errori critici nel frattempo.

Diagnosticare gli avvii lenti utilizzando gli eventi di performance

Quando il problema non è tanto il blocco del computer, quanto il fatto che l'accesso richieda un tempo infinito, esiste un altro registro molto utile.: lo strumento di diagnostica delle prestazioni. Microsoft lo utilizza per misurare il tempo di avvio del sistema e individuare i servizi o le applicazioni che ne rallentano il processo.

Nell'albero del Visualizzatore eventi, vai a "Registri applicazioni e servizi" → "Microsoft" → "Windows" → "Diagnostica-Prestazioni" → "Operativo"Una volta lì, usa di nuovo l'opzione "Filtra record corrente..." e in ID evento digita 100.

L'evento con ID 100 registra il tempo totale di avvio in millisecondi...oltre a specificare quali applicazioni e servizi hanno impiegato più tempo per l'inizializzazione. Se visualizzi valori superiori a... 60000 ms (60 secondi)Ora puoi considerare che l'avvio è anormalmente lento ed è consigliabile verificare quale componente sta causando il blocco.

Nei dettagli dell'evento 100 troverai le singole voci relative a processi specifici.Se un'applicazione di terze parti si avvia sempre con tempi di caricamento molto lunghi, è possibile disabilitarne l'avvio automatico o aggiornarla. Lo stesso vale per i servizi di sicurezza, i driver hardware non ottimizzati o gli strumenti di sincronizzazione cloud che si avviano all'avvio del sistema.

Utilizza filtri avanzati e visualizzazioni personalizzate nel Visualizzatore eventi

Quando si indaga su un problema specifico (ad esempio, tentativi di accesso non riusciti o errori provenienti da un servizio specifico), i filtri di base risultano insufficienti.È qui che entrano in gioco le "Viste personalizzate", che consentono di salvare criteri molto precisi per riutilizzarli ogni volta che lo si desidera.

Per cercare, ad esempio, tentativi di autenticazione non riusciti nel registro di sicurezzaÈ importante sapere che l'ID di questi eventi è il 4625Nel pannello di sinistra, assicurati di selezionare "Visualizzatore eventi (locale)" e nel pannello di destra scegli "Crea vista personalizzata...".

Nella finestra che appare, è possibile definire diversi parametri chiave.:

• Intervallo di tempo: seleziona un intervallo predefinito oppure utilizza "Intervallo personalizzato" per impostare la data e l'ora di inizio e fine.
• Livello dell'eventoPuoi limitarti a critiche, errori, avvertenze, ecc., oppure lasciare il campo vuoto per includere tutti i livelli.
• Per registro o Per origineSe si sceglie "Per registro", è possibile selezionare registri specifici all'interno di "Registri di Windows" o "Registri di applicazioni e servizi". Se si sceglie "Per origine", si seleziona direttamente il componente che genera l'evento (ad esempio, lo spooler di stampa); il registro appropriato verrà selezionato automaticamente.

Nella casella "ID evento" è possibile sperimentare diverse combinazioni molto utili:

• Un singolo identificatore: ad esempio, 4625 per tentativi di accesso non riusciti.
• ID multipli: separati da virgole, come 4624, 4625.
• Intervalli: utilizzando un trattino, ad esempio 4650-4655.
• Misto di gradi e identikit informali: 4698, 4700-4702, 4650-4655.
• Esclusioni all'interno di un intervallo: è possibile rimuovere un ID specifico anteponendovi un segno meno, ad esempio 4698-4702, -4699.

Oltre all'ID, la visualizzazione personalizzata consente di filtrare per categoria di attività, parole chiave, utenti o team specifici.Questa funzionalità è molto utile in ambienti con più utenti o in reti aziendali, dove è necessario isolare gli eventi che interessano una particolare macchina o un account.

Dopo aver accettato il filtro, il sistema ti chiederà di salvare la visualizzazione personalizzata.Dovrai fornire un nome (ad esempio, "Errori di avvio") e, facoltativamente, una descrizione. Puoi scegliere se salvarlo nella cartella principale "Viste personalizzate", in una sottocartella o persino crearne una nuova. Puoi anche scegliere se la vista sarà disponibile per tutti gli utenti o solo per il tuo account.

Una volta salvata, la visualizzazione rimarrà nel pannello di sinistra del Visualizzatore eventi.Ogni volta che ci clicchi sopra, verrà caricato l'elenco degli eventi che corrispondono a quei criteri. Tieni presente che la visualizzazione è sempre aggiornata: se dall'ultima volta sono stati generati nuovi eventi che corrispondono al filtro, appariranno automaticamente nell'elenco.

Interpretazione degli eventi di Microsoft Defender for Endpoint (MDE)

Oltre agli eventi generici di Windows, molte organizzazioni si affidano a Microsoft Defender per la protezione degli endpoint. (Microsoft Defender for Endpoint, MDE) per proteggere i computer. Questo servizio genera un'enorme quantità di eventi che registrano il suo stato, i processi di onboarding e offboarding, la connettività al cloud e gli errori interni.

Gli eventi MDE indicano in genere se il servizio è stato avviato, arrestato, connesso o non connesso ai server di elaborazione.Ad esempio, durante l'avvio del sistema o la configurazione iniziale, verranno visualizzati messaggi del tipo "Il servizio Microsoft Defender for Endpoint è stato avviato", così come eventi di arresto del servizio quando il dispositivo viene spento o rimosso. Questi eventi operativi normali in genere indicano che "non è richiesta alcuna azione".

Quando si verificano errori, gli eventi includono codici dettagliati per facilitare la risoluzione dei problemi.Ad esempio, il messaggio "Errore durante l'avvio del servizio Microsoft Defender for Endpoint" con un codice di errore variabile indica che il servizio non è stato avviato e in genere consiglia di esaminare altri messaggi correlati. Altri eventi segnalano problemi di connessione a server di elaborazione esterni (specificando l'URL specifico) e suggeriscono di verificare la connettività, le impostazioni del proxy e la configurazione di Internet.

L'inserimento e l'uscita dal mercato generano molti eventi specificiQuesti errori spaziano da "il servizio non è stato configurato e non sono stati trovati parametri di configurazione" a errori di lettura di tali parametri, di conservazione delle informazioni di configurazione o di modifica del tipo di avvio del servizio. Nella quasi totalità dei casi, l'azione consigliata è verificare che la configurazione e gli script di configurazione siano stati distribuiti correttamente e, se necessario, ridistribuire i pacchetti di configurazione.

Troverai anche degli eventi che indicano che la procedura di onboarding è stata completata con successo e che il dispositivo ora invia i dati al portale.Avverte inoltre che potrebbero essere necessarie diverse ore prima che il dispositivo venga visualizzato nella console di gestione. Altri eventi riguardano il calcolo dell'ID del dispositivo Defender per l'endpoint e l'applicazione delle impostazioni predefinite (che potrebbero non riuscire temporaneamente).

Telemetria, ETW e servizi ausiliari coinvolti in Defender

Una parte significativa dei log MDE riguarda i servizi di telemetria e le sessioni ETW. (Tracciamento eventi per Windows). Defender deve registrare e inviare al cloud gli eventi di sicurezza e comportamentali e, per fare ciò, si affida a diversi componenti di sistema.

Vedrai, ad esempio, eventi relativi al "Servizio di telemetria e di esperienza utente associato" (diagtrack)Se questo servizio non si avvia, i dati di telemetria non vengono inviati da quel computer e gli eventi suggeriranno di controllare il registro Microsoft-Windows-UniversalTelemetryClient/Operational. Sono presenti anche eventi che indicano errori durante la registrazione o la cancellazione della registrazione di questo servizio, con codici di errore specifici e il suggerimento di assicurarsi che il servizio dati diagnostici sia abilitato.

Per quanto riguarda ETW, gli eventi di errore si verificano durante la creazione o l'avvio delle sessioni di tracciamento degli eventi.Questo vale sia per i logger MDE automatici che per i logger "sicuri". Alcuni errori indicano una mancanza di risorse (dovuta a un eccesso di sessioni ETW attive) e di solito si risolvono da soli: il servizio rientra nella sessione ogni minuto e, in caso di successo, viene generato un evento di ripristino. I problemi più gravi richiedono il riavvio del dispositivo e, se persistono, è consigliabile contattare l'assistenza.

Ci sono anche eventi relativi a problemi nell'aggiunta di provider a una specifica sessione ETW.In questi casi, gli eventi provenienti dal provider interessato non vengono segnalati al servizio finché l'errore non viene risolto. Se visualizzi ripetutamente questi messaggi, dovresti controllare il codice di errore e, se non si tratta di un problema temporaneo, segnalare il problema a un livello superiore.

Infine, alcuni eventi menzionano il controller del minifiltro degli eventi di sicurezza (MsSecFlt.sys).Se il sistema non riesce a caricarlo, si consiglia di riavviare il dispositivo e, se il problema persiste, di contattare l'assistenza tecnica, poiché senza tale componente la raccolta di alcuni eventi di sicurezza potrebbe risultare incompleta.

Connettività cloud, quote e problemi di rete in Defender

Microsoft Defender for Endpoint si basa su una comunicazione costante con i server cloud. per inviare dati di telemetria, ricevere comandi di risposta, applicare configurazioni cloud e gestire scenari come la classificazione DLP.

Nei log troverai eventi che indicano che il servizio si è connesso correttamente a uno specifico URL sui server di elaborazione.Questi eventi in genere indicano che l'indirizzo corrisponde a quello visualizzato nel firewall o nell'attività di rete e non richiedono alcuna azione. Quando la connessione fallisce, vengono registrati eventi che specificano l'URL e consigliano di verificare la connettività, le impostazioni del proxy e la configurazione di Internet.

Anche la gestione delle tariffe di comunicazione è riflessaAlcuni eventi segnalano l'aggiornamento delle quote di spazio su disco e di upload giornaliero in MB, mentre altri avvertono che un modulo di Defender sta per superare la sua quota giornaliera e potrebbe essere temporaneamente limitato. Ci sono persino eventi che indicano che l'invio di "dati informatici" è stato interrotto perché la quota è stata superata e riprenderà automaticamente al termine del periodo di validità della quota.

Lo stato della rete e della batteria influisce sulla frequenza con cui Defender comunica con il cloud.Alcuni eventi indicano che la connessione di rete è stata identificata come "debole" (ad esempio, su una rete a pagamento o a consumo) e che, di conseguenza, la comunicazione con il server sarà meno frequente. Lo stesso accade quando la batteria è scarica: Windows riduce la frequenza di comunicazione per risparmiare energia. Altri eventi indicano che la connessione o la batteria sono tornate a uno stato "normale" e che la frequenza di comunicazione abituale riprende.

Per quanto riguarda la prevenzione della perdita di dati (DLP), esistono eventi specifici che segnalano problemi di connettività cloud per tale scenario.Quando la connessione necessaria viene persa, viene registrato un errore che suggerisce di verificare la connettività di rete; una volta ripristinata, un altro evento notifica e conferma che il flusso di classificazione DLP può proseguire normalmente.

Comandi di configurazione e risposta di Defender Cloud

Defender for Endpoint non solo invia dati al cloud, ma riceve anche istruzioni e configurazioni.I log riflettono molto bene ciò che accade con quelle configurazioni "push" e con i comandi che vengono eseguiti sul dispositivo.

Verranno visualizzati degli eventi che indicano la ricezione di una configurazione cloud non valida.Questo di solito include la versione, lo stato, il codice di errore e il messaggio. In questi casi, il file viene ignorato e, se il problema persiste, si consiglia di contattare l'assistenza. Quando la nuova configurazione viene applicata correttamente, viene generato un evento che conferma la versione applicata e indica che non sono necessarie ulteriori azioni.

Se la nuova configurazione cloud non riesce ma è possibile applicare l'ultima configurazione valida notaIl sistema registra anche la versione errata e la versione valida che è stata recuperata. Nel peggiore dei casi, quando non è possibile applicare né la nuova né l'ultima configurazione valida, il servizio ripristina la configurazione predefinita e pianifica un nuovo tentativo di download della configurazione dopo alcuni minuti. Se dopo tale periodo non compare l'evento che indica l'avvenuta applicazione (di solito il numero 50 in quella sequenza), si consiglia di contattare l'assistenza.

Per quanto riguarda i comandi di risposta remota, esistono eventi che segnalano l'inizio dell'esecuzione del comando. e altri che confermano la corretta esecuzione. Se si verifica un errore durante l'esecuzione di tale comando, l'evento include l'identificativo del comando e il codice di errore e, di solito, suggerisce che, se il problema persiste, è opportuno segnalarlo all'assistenza tecnica.

Sono previste anche delle convalide sui parametri di alcuni comandi, come quelli per la raccolta dei dati.Se gli argomenti (ad esempio, un URI SAS o un livello di compressione) non sono validi, viene registrato un evento che indica che gli argomenti per il comando di raccolta non possono essere letti o analizzati. Anche in questo caso, se visualizzi frequentemente questo messaggio, è consigliabile rivedere i criteri che generano tali comandi e, se necessario, aprire una richiesta di assistenza.

Autenticazione, chiavi e CSP in Microsoft Defender for Endpoint

Un'altra parte corposa dei log di Defender riguarda l'autenticazione dei servizi e la gestione delle chiavi crittografiche.Per inviare e ricevere dati in modo sicuro, Defender deve registrarsi presso un servizio di autenticazione, generare chiavi, firmare messaggi e mantenere uno stato persistente.

Ci sono eventi che indicano che il servizio non è stato in grado di generare o aprire una chiave crittografica.oppure che non sia stato in grado di mantenere il proprio stato di autenticazione. Se un dispositivo smette di inviare report al portale di sicurezza e si verificano questi eventi, è un chiaro segnale che il problema risiede nel livello di autenticazione e, se il problema persiste dopo un riavvio o un nuovo accesso, si consiglia spesso di contattare l'assistenza tecnica.

Altri eventi confermano che la registrazione al servizio di autenticazione è stata completata con successo.Ciò indica che la chiave crittografica è stata generata correttamente o che il caricamento dei dati di telemetria informatica è ripreso dopo l'aggiornamento di un token scaduto. Questi eventi informativi generalmente non richiedono alcun intervento.

Anche il componente CSP (Configuration Service Provider) lascia una traccia nel Visualizzatore eventi.Troverai eventi con identificatori compresi tra 1800 e 1840 che descrivono operazioni "Get" e "Set" di vari valori: stato di onboarding, hash del blob di onboarding e offboarding, frequenza di segnalazione della telemetria, condivisione dei campioni, identificatori di gruppo, parametri di tagging del dispositivo, ecc.

Molti di questi eventi indicano semplicemente che un'operazione di lettura o scrittura è stata completata con successo.Ad esempio, ottenere l'ID dell'organizzazione durante l'onboarding, verificare se il servizio è in esecuzione o scrivere il blob di onboarding nel registro. Altri segnalano errori nelle operazioni "Get" o "Set", soprattutto quando i valori richiesti sono al di fuori degli intervalli consentiti (come nel caso della condivisione di campioni, della frequenza di reporting o dei parametri di tagging dei dispositivi). In questi casi, se l'errore persiste, di solito è necessario rivedere la policy o la configurazione MDM che invia tali valori.

Cosa fare quando Windows 11 si blocca e si riavvia da solo

Un caso molto comune è quello del computer che occasionalmente si blocca, si riavvia ed entra in un ciclo di ripristino automatico. che quasi mai risolve il problema. Può succedere mentre si gioca (ad esempio a Fortnite) o semplicemente mentre si è seduti al computer senza fare nulla di particolare.

Se si desidera utilizzare il Visualizzatore eventi per analizzare questi arresti anomali in Windows 11, la prima cosa da fare è individuare l'ID 41 nel registro di sistema.Come abbiamo visto in precedenza, questi eventi indicano che il sistema si è riavviato senza essere stato arrestato correttamente. A questo punto, è consigliabile esaminare gli eventi immediatamente precedenti nei registri di sistema e delle applicazioni per individuare driver difettosi, errori del disco, problemi di alimentazione o servizi critici che si arrestano.

In molti casi l'origine del problema risiede nell'hardware o nei driver.Questi possono includere picchi di temperatura, alimentatori instabili, moduli RAM difettosi o controller GPU che si bloccano. Tuttavia, gli eventi stessi possono fornire indizi chiari: se si riscontrano molti errori provenienti dallo stesso controller poco prima dell'ID 41, si ha già un principale sospettato.

Da lì, combina le informazioni del Visualizzatore eventi con strumenti aggiuntivi. Eseguire controlli periodici (come verifiche del disco, test della memoria o aggiornamenti dei driver) è solitamente l'approccio più efficace. Il valore del Visualizzatore eventi non sta nel fatto che "risolva" il problema da solo, ma piuttosto nel fatto che aiuta a circoscrivere l'area di ricerca, a identificare il servizio che non funziona correttamente e a capire in quale preciso momento si verifica il problema.

Padroneggia il Visualizzatore eventi di Windows 11, comprendi i diversi tipi di processi di avvio, impara a filtrare per ID chiave e a leggere i log avanzati di Microsoft Defender Endpoint. Ti mette in una posizione molto più vantaggiosa per diagnosticare quasi qualsiasi comportamento anomalo del sistema. Sebbene la quantità di informazioni possa inizialmente sembrare eccessiva, una volta familiarizzato con gli schemi (ID 12, 13, 27 e 41 per gli avvii; 100 per le prestazioni; e i vari eventi di onboarding e telemetria di Defender), diventa uno strumento indispensabile che ti fa risparmiare tempo, reinstallazioni inutili e un sacco di grattacapi.

Articolo correlato:

Come risolvere la schermata blu di errore (BSOD) in Windows 11 e riparare gli errori di sistema.

Isaac

Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.