Technopat
Yetkili Hesap
- Katılım
- 25 Aralık 2018
- Mesajlar
- 803
- Makaleler
- 17
- Çözümler
- 74
Merhaba değerli üyelerimiz; bu yazımızda, bilgisayarlarımızda karşılaştığımız Mavi Ekran hatalarının çözümlerinde olsun, sistemde gerçekleşen anormal durumlarda olsun hataya dair ipuçları yakalamak için gereken Olay Görüntüleyicisi Raporu'nun ne olduğunu, nasıl incelenebileceğini sizlere anlatacağız.
Hazırsanız, yazımıza başlıyoruz.
Olay Görüntüleyicisi Raporu Nedir, Nasıl İncelenir?
Windows; sistemde yapılan her işlemi loglar halinde belirli günlüklerde toplar. Kaydedilen bu sistem işlemleri/olayları tekrardan incelenebilmektedir. Bu kayıtların tutulduğu Windows işlevine Olay Görüntüleyicisi (Event Viewer) denir. Uzantısı .evtx şeklindedir.
Olay Görüntüleyici kayıtlarını incelemek; döküm alınamayan senaryolarda yüksek oranda çözüm sunabilirken, döküm alınan ancak dökümden net veri elde edilemeyen senaryolarda yardımcı rol niteliği taşımaktadır. Bu nedenle analiz sürecinde önemli bir role sahiptir.
Olay Görüntüleyicisini açmak için arama kısmına Olay Görüntüleyicisi yazabilir veya Win+R tuşlarını kullanıp çıkan ekrana eventvwr yazıp aratabilirsiniz.
Olay Görüntüleyicisi'ni açtığınızda karşınıza belirli log sekmeleri çıkacaktır.
Bu iki log özelinde genel olarak bakılması gereken belirli uyarı/hata belirteçleri bulunmaktadır. Hataya dair ipuçlarını bu belirteçlerde bulabiliriz.
Not: Olay Görüntüleyici'nde her kaydın belirli bir önem seviyesi bulunmaktadır.
Bilgi (Information): Bilgi verici kayıtlardır. Kritik bir veri içermeyebilir.
Uyarı (Warning): Kaydın sistem açısından dikkat edilmesini gerektirdiğini belirtir.
Error (Hata): Kaydın kritik bir önem taşıdığı belirtilir.
Olay Görüntüleyici Raporları incelenirken Uyarı ve Hata düzeyindeki kayıtlara öncelik verilmelidir.
Örnek olarak dikkat edilmesi gereken uyarı/hata belirteçleri:
Schannel: Error veya Warning düzeyinde olabilir. Bazı durumlarda ekran kartı sürücüsüne işaret etmektedir. amdkmdag.sys, nvlddmkm.sys veya igdkmnd64.sys dosyalarını Schannel başlığı altında görüyorsanız ekran kartı sürücüsü ile alakalı sorun taşıma potansiyeli yüksektir. DDU ile sürücünüzü kaldırınız, güncelleme var ve stabil bir sürümse yükleyiniz. Veya güncelleme sonrası bu durum oluşuyorsa DDU kullanarak sistemdeki sürücüyü kaldırınız. Sonrasında eski sürümü kurabilirsiniz.
disk: Warning yani uyarı düzeyindedir. Depolama aygıtları ile ilgili çeşitli tiplerde bilgi tutmaktadır.
Örnek kayıtlar:
Disk 0 üzerinde, 0x43f47ff8 bloğunda G/Ç operasyonunun tekrar denendiği belirtilmiş.
Bunun nedeni; diskte bad sector olan bir kısma veri yerleştirilme girişimi veya yanlış bloğa veri yazma girişimi olmasıdır.
Disk 0'da paging yani eşleme işlemi esnasında hata oluştuğu belirtilmiş. Donanımsal hata olma ihtimali yüksektir.
Disk 0, beklenmeyen şekilden sistemden kaldırılmış. Bir disk; sistemde sürekli olarak aniden gidip geliyor, okuma/yazma hataları meydana geliyorsa diskte ciddi bir donanımsal arıza ihtimali söz konusu olabilir. Acilen bir disk testi yapmanız tavsiye edilir.
Ntfs(Ntfs): Warning veya Error düzeyinde olabilir. NTFS dosya sistemiyle alakalı kayıtlar tutulur.
Örnek kayıtlar:
Steam, disk hatası vermiş.
Error düzeyindeki bir çıktı:
Bozuk dosya dizini hatası; donanımsal arızaya işarettir.
volmgr: Error düzeyindedir. Dump dökümlerinin oluşturulup oluşturulmadığı ile alakalı bilgi tutmaktadır.
Örnek kayıtlar:
Döküm dosyası oluşturma başarılı oldu.
EventLog: Error düzeyindedir. Beklenmeyen, ani olayları tutar.
Örnek kayıt:
Sistem kapatması beklenmiyordu.
Bugcheck: Alınan Mavi Ekran hatasının adıyla alakalı bilgi taşır.
Örnek kayıt:
0x154 Bugcheck'in alındığı görülmektedir.
Kernel-PnP: Sistem bileşenleri (PCIe, PnP) hakkında bilgi tutmaktadır. Warning düzeyindedir.
Çok sık tekrar ediyorsa ve aynı Donanım Kimliği; Kernel-PnP kayıtlarında görünüyorsa hata sebebi yüzde 90 ihtimalle, tekrarlayan bu Donanım Kimliği'ne sahip aygıttır.
Örnek kayıtlar:
PCI\VEN_8086&DEV_7AB8&SUBSYS_7D461462&REV_11\3&11583659&0&E0 kimlikli aygıtın kaldırılması veya çıkarılması nedeniyle durdurulduğu görülmektedir.
HID\VID_03F0&PID_0B92&MI_03&Col02\8&1258ebc2&0&0001 kimlikli aygıtın yüklenemediği görülmektedir.
Kernel-Boot: Error düzeyindedir. Hızlı Başlatma (Fast Startup/Fast Boot) ile ilişkilidir.
Kernel-Power(41): Kullanıcıların en çok şikayet ettiği kayıt olabilir.
Çıktısı bu şekildedir, sistemin düzgünce kapatılmadan tekrar başlatıldığını; sistemin tepki vermediğini, çöktüğünü veya beklenmeyen şekilde güç kaybettiğini belirtir.
Bu kaydın tutulmasının bazı olası nedenleri bulunmaktadır:
Error düzeyinden bir çıktı:
Güncel Secure Boot sertifikalarının cihaz özelinde mevcut olduğu ancak bellenime uygulanmadığı belirtilmektedir. Bu uyarı alınıyorsa çözümü, BIOS güncellemesi yapmaktır.
WinSrvExt: Error veya Warning düzeyinde olabilir.
Warning düzeyinden bir çıktı:
LogiOptionsPlus yazılımına ait bir bileşenin sistem kapanışını 5016 milisaniye geciktirdiği görülmektedir.
DistributedCOM: Error veya Warning düzeyinde olabilir. Genel olarak sistem içi işlemlerle (NT kayıt girdileri vb.) alakalı bilgiler bulunur.
Dipnot: DCOM yani Dağıtılmış Bileşen Nesne Modeli (Distributed Component Object Model); 135 numaralı TCP portu üstünden çalışan, bilgisayarlar arasında ağ bağlantısı aracılığıyla dağıtılmış olan uygulamaların birbiriyle haberleşmesi için kullanılan bir Microsoft teknolojisidir.
Error düzeyinde bir çıktı:
Sunucu, DCOM'a kayıt edilmemiş ve zaman aşımı gerçekleşmiş.
Olay Görüntüleyicisi özelinde genel olarak dikkat edilmesi gereken uyarılar/hata belirteçleri bu şekildedir. Birçok kayıt ve girdi bulunsa da, hata çözümlerinde bizlere fikir verebilecek unsurlar bu şekildedir.
Bu yazımızda; Olay Görüntüleyicisi'nin ne olduğunu, raporunun nasıl incelenmesi gerektiğini ve işlevini sizlere ifade ettik.
Umarız ki açıklayıcı bir rehber olmuştur.
Bu rehber @KojiroHyuga04 tarafından hazırlanmıştır.
Hazırsanız, yazımıza başlıyoruz.
Olay Görüntüleyicisi Raporu Nedir, Nasıl İncelenir?
Windows; sistemde yapılan her işlemi loglar halinde belirli günlüklerde toplar. Kaydedilen bu sistem işlemleri/olayları tekrardan incelenebilmektedir. Bu kayıtların tutulduğu Windows işlevine Olay Görüntüleyicisi (Event Viewer) denir. Uzantısı .evtx şeklindedir.
Olay Görüntüleyici kayıtlarını incelemek; döküm alınamayan senaryolarda yüksek oranda çözüm sunabilirken, döküm alınan ancak dökümden net veri elde edilemeyen senaryolarda yardımcı rol niteliği taşımaktadır. Bu nedenle analiz sürecinde önemli bir role sahiptir.
Olay Görüntüleyicisini açmak için arama kısmına Olay Görüntüleyicisi yazabilir veya Win+R tuşlarını kullanıp çıkan ekrana eventvwr yazıp aratabilirsiniz.
Olay Görüntüleyicisi'ni açtığınızda karşınıza belirli log sekmeleri çıkacaktır.
- Custom Logs yani Özel Kayıtlar'da Yönetimsel Olaylar (Administrative Events) görüntülenebilmektedir. İncelenmesinde açıkçası fayda vardır.
- Windows Logs yani Windows Kayıtları kısmında; Windows işletim sistemi üzerinde gerçekleşen tüm işlem/olayların kaydı tutulur.
- Applications and Services Logs yani Uygulama ve Servis Kayıtları kısmında, Windows üzerindeki uygulama ve servislere ait kayıtlar tutulur.
- Saved Logs yani Kaydedilmiş Kayıtlar kısmında, harici olarak kaydedilmiş ve incelenebilir loglar görüntülenebilir.
- Subscriptions ayrı bir sekmedir; yöneticilerin uzaktan bilgisayarlarla (remote computers), sistem üzerinde gerçekleşen olayları kayıt edebilecekleri ve yerel olarak bilgisayarda depolayabilecekleri bir ortam yaratmaktadır. Event Collector modülüne bağlı çalışır, WEF sunucu kullanımı gerektirmektedir.
Bu iki log özelinde genel olarak bakılması gereken belirli uyarı/hata belirteçleri bulunmaktadır. Hataya dair ipuçlarını bu belirteçlerde bulabiliriz.
Not: Olay Görüntüleyici'nde her kaydın belirli bir önem seviyesi bulunmaktadır.
Bilgi (Information): Bilgi verici kayıtlardır. Kritik bir veri içermeyebilir.
Uyarı (Warning): Kaydın sistem açısından dikkat edilmesini gerektirdiğini belirtir.
Error (Hata): Kaydın kritik bir önem taşıdığı belirtilir.
Olay Görüntüleyici Raporları incelenirken Uyarı ve Hata düzeyindeki kayıtlara öncelik verilmelidir.
Örnek olarak dikkat edilmesi gereken uyarı/hata belirteçleri:
Schannel: Error veya Warning düzeyinde olabilir. Bazı durumlarda ekran kartı sürücüsüne işaret etmektedir. amdkmdag.sys, nvlddmkm.sys veya igdkmnd64.sys dosyalarını Schannel başlığı altında görüyorsanız ekran kartı sürücüsü ile alakalı sorun taşıma potansiyeli yüksektir. DDU ile sürücünüzü kaldırınız, güncelleme var ve stabil bir sürümse yükleyiniz. Veya güncelleme sonrası bu durum oluşuyorsa DDU kullanarak sistemdeki sürücüyü kaldırınız. Sonrasında eski sürümü kurabilirsiniz.
disk: Warning yani uyarı düzeyindedir. Depolama aygıtları ile ilgili çeşitli tiplerde bilgi tutmaktadır.
Örnek kayıtlar:
Kod:
The IO operation at logical block address 0x43f47ff8 for Disk 0 (PDO name: \Device\0000003a) was retried.Bunun nedeni; diskte bad sector olan bir kısma veri yerleştirilme girişimi veya yanlış bloğa veri yazma girişimi olmasıdır.
Kod:
An error was detected on device \Device\Harddisk0\DR0 during a paging operation.
Kod:
Disk 0 has been surprise removed.Ntfs(Ntfs): Warning veya Error düzeyinde olabilir. NTFS dosya sistemiyle alakalı kayıtlar tutulur.
Örnek kayıtlar:
Kod:
{Delayed Write Failed} Windows was unable to save all the data for the file D:\SteamLibrary\steamapps\common\ELDEN RING\Game. The data has been lost. This error may be caused by a failure of your computer hardware or network connection. Please try to save this file elsewhere.Error düzeyindeki bir çıktı:
Kod:
A corruption was discovered in the file system structure on volume D:.
Dosya sistemi dizin yapısında bir bozulma tespit edildi. Dosya başvuru numarası 0x8000000001018. Dosyanın adı: "\Games\Dying Light - The Beast\ph_ft\work\out\logs". Bozuk dizin özniteliği: ":$I30:$INDEX_ALLOCATION".volmgr: Error düzeyindedir. Dump dökümlerinin oluşturulup oluşturulmadığı ile alakalı bilgi tutmaktadır.
Örnek kayıtlar:
Kod:
Dump file generation succeded.EventLog: Error düzeyindedir. Beklenmeyen, ani olayları tutar.
Örnek kayıt:
Kod:
The previous system shutdown at 20:43:58 on 21.01.2026 was unexpected.Bugcheck: Alınan Mavi Ekran hatasının adıyla alakalı bilgi taşır.
Örnek kayıt:
Kod:
The computer has rebooted from a bugcheck. The bugcheck was: 0x00000154 (0xffffae0e7d2b0000, 0xffff93854e87ffe0, 0x0000000000000002, 0x0000000000000000). A dump was saved in: C:\Windows\MEMORY.DMP. Report Id: 034e291f-cacf-4f0e-ba5c-cc2b91257b15.Kernel-PnP: Sistem bileşenleri (PCIe, PnP) hakkında bilgi tutmaktadır. Warning düzeyindedir.
Çok sık tekrar ediyorsa ve aynı Donanım Kimliği; Kernel-PnP kayıtlarında görünüyorsa hata sebebi yüzde 90 ihtimalle, tekrarlayan bu Donanım Kimliği'ne sahip aygıttır.
Örnek kayıtlar:
Kod:
The application \Device\HarddiskVolume4\Windows\servicing\TrustedInstaller.exe with process id 3388 stopped the removal or ejection for the device PCI\VEN_8086&DEV_7AB8&SUBSYS_7D461462&REV_11\3&11583659&0&E0.
Process command line: C:\WINDOWS\servicing\TrustedInstaller.exe
List of affected devices:
STORAGE\Volume\{5da09ee2-b429-11f0-9cbc-806e6f6e6963}#000000000D900000PCI\VEN_8086&DEV_7AB8&SUBSYS_7D461462&REV_11\3&11583659&0&E0 kimlikli aygıtın kaldırılması veya çıkarılması nedeniyle durdurulduğu görülmektedir.
Kod:
The driver \Driver\WUDFRd failed to load.
Device: HID\VID_03F0&PID_0B92&MI_03&Col02\8&1258ebc2&0&0001
Status: 0xC0000365Kernel-Boot: Error düzeyindedir. Hızlı Başlatma (Fast Startup/Fast Boot) ile ilişkilidir.
Kernel-Power(41): Kullanıcıların en çok şikayet ettiği kayıt olabilir.
Kod:
The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly.Çıktısı bu şekildedir, sistemin düzgünce kapatılmadan tekrar başlatıldığını; sistemin tepki vermediğini, çöktüğünü veya beklenmeyen şekilde güç kaybettiğini belirtir.
Bu kaydın tutulmasının bazı olası nedenleri bulunmaktadır:
- Masaüstü bilgisayarlarda güç beslemesinde bir sorun oluştuğunda, güç kaybı meydana gelebilir. Bu da beklenmeyen donma, kasma veya çökmeleri tetikleyebilir. Bu sebeple kayıt tutulabilir.
- İşlemcide kararsızlık nedeniyle oluşabilir.
Error düzeyinden bir çıktı:
Kod:
Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection. This device signature information is included here.
DeviceAttributes: FirmwareManufacturer:Insyde;FirmwareVersion:F.18;OEMModelBaseBoard:8C99;OEMManufacturerName:HP;OSArchitecture:amd64;
BucketId: c2b2da2109a89f1ede94b3cf01542e245710721cafc4fd49067695372aefe279
BucketConfidenceLevel: Under Observation - More Data Needed
UpdateType:
For more information, please see https://go.microsoft.com/fwlink/?linkid=2301018.Güncel Secure Boot sertifikalarının cihaz özelinde mevcut olduğu ancak bellenime uygulanmadığı belirtilmektedir. Bu uyarı alınıyorsa çözümü, BIOS güncellemesi yapmaktır.
WinSrvExt: Error veya Warning düzeyinde olabilir.
Warning düzeyinden bir çıktı:
Kod:
Process C:\Program Files\LogiOptionsPlus\logioptionsplus_agent.exe is delaying system shutdown after 5016 milliseconds.LogiOptionsPlus yazılımına ait bir bileşenin sistem kapanışını 5016 milisaniye geciktirdiği görülmektedir.
DistributedCOM: Error veya Warning düzeyinde olabilir. Genel olarak sistem içi işlemlerle (NT kayıt girdileri vb.) alakalı bilgiler bulunur.
Dipnot: DCOM yani Dağıtılmış Bileşen Nesne Modeli (Distributed Component Object Model); 135 numaralı TCP portu üstünden çalışan, bilgisayarlar arasında ağ bağlantısı aracılığıyla dağıtılmış olan uygulamaların birbiriyle haberleşmesi için kullanılan bir Microsoft teknolojisidir.
Error düzeyinde bir çıktı:
Kod:
The server {6FA05A24-B1DF-4155-909E-7B424F2D2BB5} did not register with DCOM within the required timeout.Sunucu, DCOM'a kayıt edilmemiş ve zaman aşımı gerçekleşmiş.
Olay Görüntüleyicisi özelinde genel olarak dikkat edilmesi gereken uyarılar/hata belirteçleri bu şekildedir. Birçok kayıt ve girdi bulunsa da, hata çözümlerinde bizlere fikir verebilecek unsurlar bu şekildedir.
Bu yazımızda; Olay Görüntüleyicisi'nin ne olduğunu, raporunun nasıl incelenmesi gerektiğini ve işlevini sizlere ifade ettik.
Umarız ki açıklayıcı bir rehber olmuştur.
Bu rehber @KojiroHyuga04 tarafından hazırlanmıştır.
Son düzenleyen: Moderatör:
