{"id":388382,"date":"2024-12-05T12:40:04","date_gmt":"2024-12-05T12:40:04","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=388382"},"modified":"2025-04-08T15:27:13","modified_gmt":"2025-04-08T15:27:13","slug":"come-leggere-i-log-degli-eventi-di-windows","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/come-leggere-i-log-degli-eventi-di-windows\/","title":{"rendered":"Come leggere i log degli eventi di Windows: Spegnimento e riavvio"},"content":{"rendered":"<p>In questo articolo scoprirai come <strong>leggere i log degli eventi di Windows<\/strong>. Il Visualizzatore eventi di Windows \u00e8 lo strumento principale per esaminare i log dettagliati delle attivit\u00e0 del sistema, compresi gli arresti e i riavvii. Questo strumento \u00e8 disponibile su tutti i sistemi Windows e fornisce un modo semplice per accedere, monitorare e analizzare i dati degli eventi.<\/p>\n<h2>Accedere al Visualizzatore eventi in Windows<\/h2>\n<p>L&#8217;accesso al Visualizzatore eventi \u00e8 il primo passo per capire come leggere i log degli eventi di Windows. Per accedere al Visualizzatore eventi:<\/p>\n<ul>\n<li>Utilizzando la finestra di dialogo Esegui, premi &#8220;Windows + R&#8221;, digita &#8220;eventvwr.msc&#8221; e premi Invio. Questo metodo apre rapidamente il Visualizzatore eventi ed \u00e8 molto utilizzato.<\/li>\n<li>Utilizzando PowerShell: Particolarmente utile per l&#8217;accesso remoto, PowerShell consente di utilizzare il cmdlet &#8220;Get-EventLog&#8221; per estrarre i log da pi\u00f9 sistemi. Questa opzione \u00e8 utile in ambienti pi\u00f9 grandi e distribuiti, dove \u00e8 necessario monitorare pi\u00f9 dispositivi.<\/li>\n<li>Attraverso il menu Strumenti di amministrazione di Windows, clicca con il tasto destro del mouse sul pulsante Start, scegli &#8220;Windows PowerShell (Admin)&#8221; e digita &#8220;eventvwr&#8221; per aprire il Visualizzatore eventi.<\/li>\n<\/ul>\n<p>All&#8217;interno del Visualizzatore eventi, nel riquadro di sinistra verr\u00e0 visualizzata una console ad albero con categorie, tra cui Applicazione, Sicurezza, Impostazione, Sistema ed Eventi inoltrati.<\/p>\n<div class=\"in-context-cta\"><p><span data-sheets-root=\"1\">Traccia, analizza e rispondi agli eventi chiave utilizzando il potente Gestione Endpoint Windows di NinjaOne.<\/span><\/p>\n<p>\u2192 Scopri di pi\u00f9 sulla <a href=\"https:\/\/www.ninjaone.com\/it\/gestione-endpoint\/windows-management\/\">Gestione Endpoint Windows di NinjaOne<\/a><\/p>\n<\/div>\n<h2>Come leggere i log degli eventi di Windows per gli ID degli eventi di spegnimento e riavvio<\/h2>\n<p>Le seguenti istruzioni ti aiuteranno a interpretare correttamente gli ID degli eventi, in modo da poter identificare e distinguere tra arresti o riavvii pianificati e imprevisti.<\/p>\n<h3>Trovare gli eventi di spegnimento del Visualizzatore eventi utilizzando l&#8217;ID evento<\/h3>\n<p>Nel log di sistema, gli ID degli eventi di spegnimento del Visualizzatore eventi sono contrassegnati da numeri distinti, con l&#8217;ID evento 1074 come identificatore pi\u00f9 comune per gli arresti. Questo ID evento registra le informazioni sugli arresti avviati da utenti, aggiornamenti o applicazioni.<\/p>\n<p>L&#8217;ID evento 1074 cattura dettagli come l&#8217;account utente responsabile dell&#8217;arresto, il processo che lo ha attivato e il codice del motivo che indica se l&#8217;arresto \u00e8 stato pianificato o non pianificato.<\/p>\n<p>La comprensione della descrizione dell&#8217;evento permette di capire meglio il contesto dell&#8217;arresto.<\/p>\n<h3>Individuazione degli eventi di riavvio tramite l&#8217;ID dell&#8217;evento<\/h3>\n<p>I riavvii in genere seguono una sequenza a pi\u00f9 fasi nel log degli eventi, iniziando con l&#8217;ID evento 1074 (simile a quello degli arresti) e proseguendo con altri eventi che tengono traccia delle attivit\u00e0 di riavvio.<\/p>\n<ul>\n<li>L&#8217;ID evento 6008 indica un arresto imprevisto, ad esempio a causa di una perdita di potenza o di un arresto anomalo del sistema. Puoi utilizzare questo evento per indagare sui riavvii non pianificati e fare un riferimento incrociato con altri eventi per individuarne la causa.<\/li>\n<li>Gli ID evento 6005 e 6006 rappresentano avviamenti e arresti puliti, che segnano il completamento di una normale sequenza di avviamento o spegnimento. Se abbinati ad altri eventi, possono fornire una cronologia di come e quando si \u00e8 verificato il riavvio.<\/li>\n<\/ul>\n<p>Queste voci offrono una visione dettagliata delle sequenze di riavvio, consentendo di individuare i problemi che potrebbero compromettere la stabilit\u00e0 del sistema.<\/p>\n<h3>Comprensione dei timestamp e dei dettagli nei log degli eventi<\/h3>\n<p>Quando leggi i log degli eventi di Windows, i timestamp vengono inizialmente archiviati in UTC ma visualizzati in ora locale, consentendoti di correlare accuratamente gli eventi tra i vari fusi orari.<\/p>\n<ul>\n<li>L&#8217;origine dell&#8217;evento identifica il componente specifico di Windows che ha generato la voce di registro.<\/li>\n<li>Le categorie di attivit\u00e0 raggruppano gli eventi correlati, aiutandoti a organizzare e comprendere gli eventi in relazione ai diversi componenti del sistema.<\/li>\n<li>I livelli di gravit\u00e0 (Informazione, Avviso, Errore e Critico) aiutano a identificare rapidamente i problemi pi\u00f9 importanti.<\/li>\n<\/ul>\n<h2>ID evento comuni per eventi di spegnimento e riavvio<\/h2>\n<p>Conoscere gli ID degli eventi pi\u00f9 rilevanti per gli arresti e quali eventi di Windows mostrano i riavvii pu\u00f2 semplificare l&#8217;analisi e la risoluzione dei problemi. Questi ID evento contrassegnano diversi tipi di arresto, da eventi di manutenzione previsti a arresti anomali improvvisi del sistema.<\/p>\n<h3>ID evento per arresti imprevisti<\/h3>\n<p>Gli arresti imprevisti sono spesso causati da interruzioni di corrente, problemi hardware o crash del software e lasciano tracce distinte nei registri degli eventi di Windows.<\/p>\n<ul>\n<li>L&#8217;ID evento 41 segnala un riavvio del sistema avvenuto senza un arresto pulito. Ci\u00f2 potrebbe indicare interruzioni di corrente o riavvii forzati e spesso fornisce informazioni sullo stato del sistema prima del suo spegnimento.<\/li>\n<li>L&#8217;ID evento 1001 cattura le informazioni sui problemi di alimentazione del kernel, offrendo una visione di potenziali cause come guasti hardware, surriscaldamento o conflitti di driver che potrebbero aver innescato l\u2019arresto.<\/li>\n<\/ul>\n<h3>ID evento per gli arresti programmati<\/h3>\n<p>Gli arresti programmati generano log degli eventi specifici che aiutano a mantenere la conformit\u00e0 del sistema e a verificare il successo delle attivit\u00e0 di manutenzione.<\/p>\n<ul>\n<li>L&#8217;ID evento 1074 registra gli arresti programmati avviati dagli utenti, dalle attivit\u00e0 pianificate o dagli aggiornamenti del sistema. Negli ambienti gestiti, queste voci confermano che gli arresti si allineano alle finestre di manutenzione e alle pianificazioni degli aggiornamenti.<\/li>\n<li>Gli arresti avviati dai criteri di gruppo producono eventi aggiuntivi che documentano l&#8217;applicazione dei criteri, assicurando la conformit\u00e0 ai protocolli di arresto e verificando che gli utenti ricevano notifiche adeguate.<\/li>\n<\/ul>\n<h3>ID evento per i riavvii del sistema<\/h3>\n<p>I riavvii legati agli aggiornamenti o ad altre attivit\u00e0 di manutenzione pianificate creano modelli specifici nei log degli eventi:<\/p>\n<ul>\n<li>L&#8217;ID evento 1033 \u00e8 associato al riavvio di Windows Update, seguito dalla consueta sequenza di arresto e avvio.<\/li>\n<li>La modalit\u00e0 di avvio rapido pu\u00f2 bypassare gli eventi di arresto tradizionali, creando una voce di spegnimento ibrida che differisce dai normali registri di arresto.<\/li>\n<\/ul>\n<h3>Altri ID evento rilevanti<\/h3>\n<p>Gli ID evento aggiuntivi forniscono un contesto prezioso per l&#8217;analisi dell&#8217;arresto, soprattutto quando si risolvono problemi complessi.<\/p>\n<ul>\n<li>L&#8217;ID evento 1076 indica un tentativo di riavvio fallito, spesso dovuto a conflitti o errori.<\/li>\n<li>Gli ID evento 42\u201344 registrano le transizioni agli stati di sospensione o ibernazione, che possono influire sugli eventi di alimentazione del sistema e potrebbero correlarsi con i comportamenti di arresto.<\/li>\n<\/ul>\n<p>Vedrai anche frequentemente eventi del Service Control Manager (ID 7000\u20137040) relativi agli spegnimenti.<\/p>\n<h2>Interpretare i dettagli del log degli eventi per la risoluzione dei problemi<\/h2>\n<p>Per una risoluzione efficace dei problemi \u00e8 necessario analizzare sistematicamente i dettagli del log degli eventi. Inizia a stabilire una linea di base per gli eventi di Windows che mostreranno gli eventi di arresto e riavvio, compresi i tempi medi di spegnimento del sistema, le sequenze comuni e i comportamenti previsti.<\/p>\n<p>Quando stai esaminando i problemi di arresto o riavvio, segui questi passaggi:<\/p>\n<ol>\n<li>Costruisci una cronologia degli eventi immediatamente prima e dopo l\u2019arresto, includendo eventuali eventi di avviso, errori delle applicazioni o avvisi sulle risorse che potrebbero aver contribuito.<\/li>\n<li>Esegui un incrocio dei log nelle categorie Sistema e Applicazione per ottenere una visione completa dello stato del sistema che ha portato all&#8217;evento. Ci\u00f2 \u00e8 particolarmente utile se l&#8217;arresto sembra legato a errori dell&#8217;applicazione o ad avvisi di sicurezza.<\/li>\n<li>Monitora i dati di prestazione e rivedi gli eventi di sistema per individuare segnali di esaurimento delle risorse, avvisi di timeout dei driver o errori del disco. Questi schemi possono rivelare le cause sottostanti, come risorse insufficienti o guasti hardware.<\/li>\n<\/ol>\n<h2>Best practice per il monitoraggio e la gestione dei log degli eventi di Windows<\/h2>\n<p>L&#8217;implementazione di pratiche efficienti di gestione dei log \u00e8 essenziale per mantenere l&#8217;affidabilit\u00e0 del sistema e soddisfare i requisiti di conformit\u00e0. Ecco alcune best practice fondamentali:<\/p>\n<ul>\n<li>Imposta limiti di dimensione dei log in base alle risorse del sistema e ai requisiti di conservazione, bilanciando la necessit\u00e0 di log dettagliati con i vincoli di archiviazione.<\/li>\n<li>Archivia regolarmente i log per conservare i dati cronologici ai fini dell&#8217;analisi delle tendenze, della conformit\u00e0 e dell\u2019audit.<\/li>\n<li>La centralizzazione dei log degli eventi semplifica la gestione degli ambienti multisistema, consentendo ricerche, correlazioni e avvisi efficienti.<\/li>\n<li>Windows Event Forwarding raccoglie i log da pi\u00f9 dispositivi in un repository centrale, consentendo di semplificare il monitoraggio e la risoluzione dei problemi nella tua intera infrastruttura.<\/li>\n<li>Le visualizzazioni personalizzate in base a specifici ID evento ti consentono di monitorare in modo efficiente gli eventi di arresto e riavvio. Queste visualizzazioni permettono una pi\u00f9 rapida risoluzione dei problemi grazie alla visualizzazione degli eventi rilevanti in base ai livelli di gravit\u00e0 e alle categorie.<\/li>\n<\/ul>\n<div class=\"in-context-cta\"><p><span data-sheets-root=\"1\">Dalle intuizioni del registro eventi alla gestione dei punti finali, NinjaOne fornisce ai team IT gli strumenti di cui hanno bisogno per avere successo.<\/span><\/p>\n<p>Inizia la tua <a href=\"https:\/\/www.ninjaone.com\/it\/endpoint-management-free-trial\/\">prova gratuita<\/a> di Gestione Punti Finali NinjaOne<\/p>\n<\/div>\n<h3>Policy di automazione e conservazione<\/h3>\n<p>L&#8217;automazione pu\u00f2 aiutare in modo significativo l&#8217;analisi dei log, soprattutto in ambienti con numerosi client o dispositivi. Puoi utilizzare gli script <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/gestione-degli-endpoint\/cos-e-powershell\/\">PowerShell<\/a> per analizzare i log di pi\u00f9 client, identificare schemi ricorrenti e generare report che forniscono informazioni sullo stato del sistema.<\/p>\n<p>Inoltre, \u00e8 necessario stabilire chiare policy di conservazione per bilanciare i costi di archiviazione con le tue esigenze analitiche, tenendo conto dei requisiti normativi e dei livelli di servizio. Documenta le procedure di gestione dei log per garantire pratiche coerenti in tutta la tua organizzazione.<\/p>\n<p>Implementando queste best practice ti aiuter\u00e0 a capire meglio come leggere i log degli eventi di Windows e a monitorare, gestire e analizzare efficacemente i log degli eventi, mantenendo i tuoi sistemi in funzione senza problemi e riducendo al minimo i potenziali problemi.<\/p>\n<p>Con la\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/gestione-endpoint\/\">piattaforma di gestione degli endpoint di NinjaOne<\/a>, avrai a disposizione gli strumenti per ottimizzare il monitoraggio dei log, risolvere i problemi di arresto e garantire una supervisione proattiva del sistema, il tutto in un&#8217;unica soluzione centralizzata.\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/prova-gratuita\/\">Inizia oggi stesso una prova gratuita<\/a>\u00a0di\u00a0<a href=\"https:\/\/ninjaone.com\/it\/\" target=\"_blank\" rel=\"noopener\">NinjaOne<\/a>\u00a0per migliorare la tua gestione degli endpoint e mantenere il funzionamento dei tuoi sistemi senza problemi.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In questo articolo scoprirai come leggere i log degli eventi di Windows. Il Visualizzatore eventi di Windows \u00e8 lo strumento principale per esaminare i log dettagliati delle attivit\u00e0 del sistema, compresi gli arresti e i riavvii. Questo strumento \u00e8 disponibile su tutti i sistemi Windows e fornisce un modo semplice per accedere, monitorare e analizzare [&hellip;]<\/p>\n","protected":false},"author":89,"featured_media":384948,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4354],"tags":[],"class_list":["post-388382","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-operazioni-it"],"acf":[],"modified_by":"Marq DuUntivero","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/388382","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/89"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=388382"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/388382\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/384948"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=388382"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=388382"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=388382"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}