Как читать журнал событий windows ?
Содержание:
- Как отключить журнал событий Windows 10
- Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows
- События
- Просмотр событий в Виндовс 10
- Проблема № 6 (критическая). Будь проклят «Новый текстовый документ.txt…, а также Новый точечный рисунок.bmp»
- Способы очистки
- Настройка браузера
- Просмотр журнала производительности Windows
- Как открыть
- Где и что находится в просмотре событий
- Поиск по Windows
- Проблема № 1. Неудачная система управления параметрами аудита
- Обзор и сводка по событиям
- Как научиться читать журнал событий windows ?
- Ищем нужные события: процессы и логи результатов
- Как очистить журналы событий в Windows 10, 8, 7
- Как использовать просмотр событий Windows для решения проблем с компьютером
- Как осуществить просмотр?
- Bevel Text Logos
- Журналы событий
- Рейтинг внешних жестких дисков
- Запуск просмотра событий
- Информация о событиях
- Читаем журнал событий самостоятельно.
- Как открыть журнал, посмотреть ошибки и где он находится
Как отключить журнал событий Windows 10
Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.
- Открываем окно служб выполнив команду services.msc в окне Win+R.
- Среди списка доступных служб находим Журнал событий Windows и в контекстном меню которого выбираем Свойства.
- В открывшемся окне изменяем типу запуска службы EventLog на Отключена и нажмите ОК.
Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу
А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом
Заключение
Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.
Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows
Наличие проблемы подтверждено на русских редакциях Windows 7/10/Server 2019.
Причины
- Использование прав —> Аудит использования прав, затрагивающих конфиденциальные данные. GUID: {0cce9228-69ae-11d9-bed3-505054503030}.
- Использование прав —> Аудит использования прав, не затрагивающих конфиденциальные данные. GUID: {0cce9229-69ae-11d9-bed3-505054503030}.
- Доступ к объектам —> Аудит событий, создаваемых приложениями. GUID:{ 0cce9222-69ae-11d9-bed3-505054503030}.
Рекомендации по решению проблемы
- Из каталога доменной групповой политики удалить файл \Machine\microsoft\windows nt\Audit\audit.csv
- Со всех компьютеров, на которых были выявлены проблемы с аудитом, удалить файлы: %SystemRoot%\security\audit\audit.csv, %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv
События
Записи журнала событий хранятся в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
Данный ключ содержит подключи, называемые файлами журнала. По умолчанию имеются:
- файл журнала приложений — для событий приложений и служб;
- файл журнала безопасности — для событий системы аудита;
- файл системного журнала — для событий драйверов устройств.
Имеется возможность создавать дополнительные журналы. Для каждого источника событий в журнале создаётся отдельный подключ. События от каждого источника могут включаться в определяемые отдельно для каждого источника категории. События должны принадлежать к одному из пяти предопределённых типов.
Тип | Описание |
---|---|
Информация | События указывают редкие и важные успешные операции. |
Предупреждение | События указывают проблемы, которые не требуют немедленного вмешательства, но могут привести к ошибкам в будущем. Примером такого рода событий может служить исчерпание ресурсов. |
Ошибка | События указывают существенные проблемы, обычно приводящие к потере функциональности или данных. Примером может служить невозможность запуска службы при загрузке. |
Успешный аудит | События безопасности, которые происходят при успешном обращении к аудируемым ресурсам. Примером может служить успешный вход в систему. |
Не успешный аудит | События безопасности, которые происходят при неуспешном обращении к аудируемым ресурсам. Примером может служить попытка открыть файл, не имея соответствующих прав доступа. |
Запись о событии включает в себя: идентификатор события, тип события, категорию события, массив строк и дополнительные, специфичные для события, двоичные данные.
Каждый источник событий должен зарегистрировать свой файл сообщений, в котором хранятся строки описания идентификаторов сообщений, категорий и параметров. Строка описания может содержать места для вставки строк из массива, указанного при записи события, например:
Невозможно открыть %1, ошибка %2
Дополнительные данные никак не интерпретируются программой просмотра событий и отображаются в шестнадцатеричном и текстовом формате.
Просмотр событий в Виндовс 10
Существует несколько вариантов открытия журнала событий на компьютере с Windows 10, но в целом все они сводятся к ручному запуску исполняемого файла или его самостоятельному поиску в среде операционной системы. Расскажем подробнее о каждом из них.
Способ 1: «Панель управления»
Как понятно из названия, «Панель» предназначена для того, чтобы управлять операционной системой и входящими в ее состав компонентами, а также быстрого вызова и настройки стандартных инструментов и средств. Неудивительно, что с помощью этого раздела ОС можно вызвать в том числе и журнал событий.
- Любым удобным способом откройте «Панель управления». Например, нажмите на клавиатуре «WIN+R», введите в строку открывшегося окна выполнить команду «control» без кавычек, нажмите «ОК» или «ENTER» для запуска.
Найдите раздел «Администрирование» и перейдите в него, кликнув левой кнопкой мышки (ЛКМ) по соответствующему наименованию. Если потребуется, предварительно измените режим просмотра «Панели» на «Мелкие значки».
Отыщите в открывшейся директории приложение с наименованием «Просмотр событий» и запустите его двойным нажатием ЛКМ.
Журнал событий Windows будет открыт, а значит, вы сможете перейти к изучению его содержимого и использованию полученной информации для устранения потенциальных проблем в работе операционной системы либо же банальному изучению того, что происходит в ее среде.
Способ 2: Окно «Выполнить»
И без того простой и быстрый в своем выполнении вариант запуска «Просмотра событий», который нами был описан выше, при желании можно немного сократить и ускорить.
- Вызовите окно «Выполнить», нажав на клавиатуре клавиши «WIN+R».
Введите команду «eventvwr.msc» без кавычек и нажмите «ENTER» или «ОК».
Журнал событий будет открыт незамедлительно.
Способ 3: Поиск по системе
Функцию поиска, которая в десятой версии Виндовс работает особенно хорошо, тоже можно использовать для вызова различных системных компонентов, и не только их. Так, для решения нашей сегодняшней задачи необходимо выполнить следующее:
Создание ярлыка для быстрого запуска
Если вы планируете часто или хотя бы время от времени обращаться к «Просмотру событий», рекомендуем создать на рабочем столе его ярлык – это поможет ощутимо ускорить запуск необходимого компонента ОС.
Проблема № 6 (критическая). Будь проклят «Новый текстовый документ.txt…, а также Новый точечный рисунок.bmp»
Наличие проблемы подтверждено на Windows 7. Проблема отсутствует в Windows 10/Server 2019.
Описание проблемы
Подготовительная часть:
- Возьмем свежеустановленную Windows 7.
- Сбросим все настройки аудита с помощью команды . Данный пункт необязательный и служит только для удобства анализа журналов.
- Установим аудит файловой системы, выполнив команду .
- Создадим каталог C:\TEST и назначим ему параметры аудита для учетной записи «Все»: «Создание файлов / Запись данных», «Создание папок / Дозапись данных», «Запись атрибутов», «Запись дополнительных атрибутов», «Удаление вложенных папок и файлов», «Удаление», «Смена разрешений», «Смена владельца», то есть все, что связано с записью данных в файловую систему.
Эксперимент 1.Делаем:Наблюдаем:Эксперимент 2.Делаем:Наблюдаем:Эксперимент 3.Делаем:Наблюдаем:
Способы очистки
Существует пять основных способов, с помощью которых можно очистить журнал событий:
- Ручной способ.
- «Батник» – специальный файл с расширением «*.bat».
- Через командную консоль «cmd».
- Через «PowerShell».
- Утилита CCleaner.
Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.
Очистка ручным способом
В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.
Все что нужно, это:
- Открыть журнал событий, как мы это делали ранее в начале статьи.
- Нажать по нужному разделу правой мышкой и выбрать пункт «Очистить…».
Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.
Создание и использование bat файла
Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:
- Для начала нужно создать обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
- Вставляем в него специальный код.
- В верхнем меню выбираем «Файл – Сохранить как».
- Указываем любое имя. В конце имени указываем расширение «.bat». В графе «Тип файла» выбираем «Все файлы» и нажимаем «Сохранить».
- Теперь наш файл полностью готов к запуску. Щелкаем по нему правой мышкой и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.
Через командную консоль
Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «cmd».
- Щелкам по значку поиска и в открывшуюся строку вводим фразу «командная».
- В результатах поиска видим «Командная строка», нажимаем по ней правой мышкой и запускаем от имени администратора.
- Далее в консоль вставляем код, который находится внутри кавычек «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″», нажимаем «Enter» и ждем окончания процесса.
После этого все отчеты удалятся.
Через PowerShell
В операционной системе Windows 10 предусмотрена более подвинутая версия командной строки — «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.
Давайте разберем все по шагам:
- Нажать на «поиск» и ввести фразу «power». В результатах поиска отобразиться «PowerShell», нужно нажать на него правой мышкой и запускаем с правами администратора.
- В появившееся окно вводим команду внутри кавычек «wevtutil el | Foreach-Object {wevtutil cl «$_»}», жмем «Enter» и ожидаем окончание процесса.
Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.
Программа CCleaner
Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.
- В первую очередь ее нужно скачать, установить и запустить.
- Переходим в раздел «Очистка» и во вкладке «Windows» устанавливаем галочку напротив нужного нам пункта.
- Начинаем процесс.
Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.
Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.
Настройка браузера
Если нет желания устанавливать дополнительное ПО и другие веб-проводники, можно отключить рекламу на телефоне Самсунг в Андроиде на уже установленном браузере. Такое действие рекомендуется осуществлять в любом случае, чтобы разгрузить и ускорить работу ПК. Принцип выполнения зависит от типа браузера.
Для Гугл Хром сделайте такие шаги:
- Запустите программу и жмите три точки справа верху.
- Выберите раздел Настройки.
Войдите в секцию Настройки сайтов, а там в раздел Уведомления.
- Откройте перечень ресурсов, которым разрешено отправлять уведомления.
- Жмите на кнопку Блокировать в появившемся окне.
Для Опера:
- Войдите в Настройки.
- Выберите раздел Блокировать всплывающие окна.
По аналогичному принципу можно отключить уведомления и для других браузеров, установленных на телефоне Самсунг с Андроид.
Просмотр журнала производительности Windows
Как открыть
Для запуска нажмите «Win+R», пропишите «control».
Далее:
Другой способ
Нажмите (Win+R), пропишите «eventvwr.msc».
Откроется окно утилиты. Слева расположены журналы:
- приложений;
- служб;
- подписки.
Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.
Работа происходит с разделом «Журналы», в который входят такие категории:
- Система. Содержит действия, которые созданы драйверами и модулями ОС;
- Установка;
- Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
- Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
- Перенаправление.
Отметьте пункты как на скриншоте:
Утилита отфильтрует записи.
Просмотрите сообщение:
Где и что находится в просмотре событий
Многие спрашивают, как посмотреть ошибки в Windows 10 и что находится в журнале. Вот ответ на последний вопрос:
- «Источник события». Здесь находится информация о программном обеспечении или драйвере, из-за которого произошел сбой.
- «Код». Код системного события, который необходим для устранения неисправностей. Данный код позволит узнать, что послужило тому, что ОС перестала правильно функционировать.
- «Степень». Здесь появляется информация о том, какой уровень угрозы создала ошибка и является ли она критической.
- «Дата». Регистрация времени, когда произошел сбой.
Полный отчет о произошедшем сбое, который поможет установить причину неправильной работы ОС
Анализ журнала ошибок
Как анализировать журнал ошибок в ОС Виндовс 10:
- После того, как пользователь открыл журнал и выбрал один из подразделов: «Приложения», «Установка» и «Параметры ОС», нужно выбрать определенный отчет. Для ориентира рекомендуется использовать столбец «Дата и время».
- Затем нужно выделить определенный отчет, который помечен, как «Сведенья».
- Далее требуется кликнуть по нему правой кнопкой мыши и нажать «Свойства».
- Здесь будет указана информация об источнике события, уровне опасности и коде операции. В новом диалоговом окне появится информация о том, чтобы произошло с ОС, уровень критической опасности и код операции.
- Для того, чтобы увидеть полные сведенья нужно кликнуть по разделу «Подробности».
- В пункте «Инициализация служб» будет представлена информация о том, какие файлы программного обеспечения повреждены.
Поиск по Windows
Проблема № 1. Неудачная система управления параметрами аудита
Наличие проблемы подтверждено на Windows 7/10/Server 2019.
Объяснение
Наименование базовых политик аудита | Наименование расширенной политики аудита |
Аудит доступа к службе каталогов | Доступ к службе каталогов (DS) |
Аудит доступа к объектам | Доступ к объектам |
Аудит использования привилегий | Использование прав |
Аудит входа в систему | Вход/выход |
Аудит событий входа в систему | Вход учетной записи |
Аудит изменения политики | Изменение политики |
Аудит системных событий | Система |
Аудит управления учетными записями | Управление учетными записями |
Аудит отслеживания процессов | Подробное отслеживание |
- Эффективные политики аудита — информация, хранящаяся в оперативной памяти и определяющая текущие параметры работы модулей операционной системы, реализующих функции аудита.
- Сохраненные политики аудита — информация, хранящаяся в реестре по адресу HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv и используемая для определения эффективных политик аудита после перезагрузки системы.
Наименование средства | Отображаемые политики аудита | Сохраняемые политики аудита |
«Базовые политики аудита» оснастки «Локальные политики безопасности» | Эффективные политики аудита | Эффективные политики аудита, сохраненные политики аудита |
«Расширенные политики аудита» оснастки «Локальные политики безопасности» | Файл | |
Утилита auditpol | Сохраненные параметры аудита | Эффективные параметры аудита, сохраненные параметры аудита |
Пример 1Пример 2Пример 3Пример 4
В чем суть проблемы?
Рассмотрим вероятный сценарий4719 «Аудит изменения политики»
- На атакуемой рабочей станции предоставили себе права на запись к ключу реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv и экспортировали этот ключ в файл c именем «+fs.reg».
- На другом компьютере импортировали данный файл, перезагрузились, а затем с помощью auditpol отключили аудит файловой системы, после чего экспортировали указанный выше ключ реестра в файл «-fs.reg».
- На атакуемой машине импортировали в реестр файл «-fs.reg».
- Создали резервную копию файла %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv, расположенного на атакуемой машине, а затем удалили из него подкатегорию «Файловая система».
- Перезагрузили атакуемую рабочую станцию, а затем подменили на ней файл %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv ранее сохраненной резервной копией, а также импортировали в реестр файл «+fs.reg»
Обзор и сводка по событиям
Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.
Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).
Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.
В столбце Тип события можно нажать +, чтобы развернуть категорию и просмотреть источник событий того же типа.
Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая +.
Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.
Как научиться читать журнал событий windows ?
Впрочем, можно не гадать. Microsoft имеет официальную страницу поддержки по сообщениям системы. Если вас интересует конкретное событие, вы можете посетить страницу в сети. Однако, по моему мнению, очень хорошим сервисом, который поможет читать журнал событий Windows , является сервис
В России ему аналогов нет, однако для владеющих английским и просто любопытствующих я покажу как им пользоваться. Так, для взятого выше примера, на странице сервиса введите в поля код ошибки и службу, которая её вызвала:
Остаётся закинуть наши условия в поиск, щёлкнув по кнопке Search и на странице появятся результаты с объяснением возникновения ошибки. Формально, они будут ненамного подробнее объяснений, даваемых самим Журналом, однако, если вы прокрутите страницу результатов ниже, то в описании на английском увидите ссылку на своеобразный форум с готовыми решениями проблемы или причинами, с которыми уже сталкивались пользователи при возникновении одноимённой ошибки. Всё на английском. Учиться надо было… И, если честно, ваш покорный слуга дальше этого сайта редко уходит: всё нечто похожее где-то когда-то уже происходило.
Как всегда, просмотр журнала событий – это не панацея. Однако от бессмысленных гаданий пользователя может спасти, сэкономив на поиске проблемы кучу времени.
Ищем нужные события: процессы и логи результатов
К примеру, после некоторого времени работы мы обнаружили залипание мыши, пропажу некоторых папок и неработающие пути: первый признак появления сбойных секторов на диске. Для работы с ними необходимо последовательно запустить утилиту проверки состояния диска chkdsk /f, которая начнёт работу после перезагрузки, а затем проверим на целостность файловую систему самой Windows sfc /scannow. Так вот, на результаты работы как этих, так и прочих утилит можно посмотреть в том же журнале:
Так как одна из этих утилит запускается системой только перед загрузкой (для тома, который эту систему содержит), есть смысл поискать результаты по флагу Wininit (от Windows Initialisation).
Как очистить журналы событий в Windows 10, 8, 7
- Очистить журналы событий с помощью командной строки
- Очистить журнал событий с помощью PowerShell
- Очистить журналы событий с помощью VBScript / WMI
Два метода, перечисленные выше, показывают, как очистить определенный журнал событий из Windows 10, 8 или Windows 7. Теперь мы покажем вам, как очистить все журналы событий одновременно. Существует несколько способов очистки всех журналов событий одновременно, поэтому вы можете выбрать тот, который лучше всего соответствует вашим потребностям.
Метод 1 — Очистить журналы событий с помощью командной строки
Командная строка, вероятно, является наиболее часто используемым инструментом для решения всех системных проблем, а также может использоваться для очистки всех журналов событий. Вот что вам нужно сделать, чтобы очистить все журналы событий с помощью командной строки:
- Откройте Блокнот и вставьте следующий текст:
- Сохраните этот текст как файл .bat или .cmd (назовите файл с кавычками, чтобы автоматически сохранить его как файл .cmd, например «ClearLog.cmd»)
-
Запустите .cmd файл, который вы только что сохранили как администратор
-
Просто позвольте команде закончить
Вот и все, все ваши журналы событий теперь очищены. Вероятно, это самый простой способ очистить все журналы событий в Windows 10 или Windows 8.1, но если вы хотите попробовать другие способы, посмотрите, как это сделать, ниже.
Способ 2 — Очистить журнал событий с PowerShell
Чтобы очистить все журналы событий с помощью Windows PowerShell, выполните следующие действия.
- Перейдите в Поиск, введите powershell, щелкните правой кнопкой мыши PowerShell и выберите Запуск от имени администратора.
- Введите следующую строку в PowerShell и нажмите Enter:
- Теперь просто нажмите Exit, чтобы закрыть окно PowerShell
Метод 3 — Очистить журналы событий с помощью VBScript / WMI
Вот как очистить все журналы событий с помощью VBScript / WMI (но учтите, что вы можете очистить только классические журналы событий):
- Откройте Блокнот и введите следующий текст:
- Сохраните его как VBScript (.VBS), посмотрите на метод 1, как сохранить файл как .vbs напрямую, назовите его, например, ClearEvent.vbs
- Переместите ClearEvent.vbs, который вы только что создали, в C: / Windows / System32
- Теперь откройте командную строку от имени администратора и выполните следующую команду:
Вот и все, теперь вы знаете множество способов очистки журнала событий в Windows 10, Windows 8.1 и Windows 7. Очистка журнала событий очень полезна, особенно если вы пытаетесь точно определить точную причину ошибки, которую вы недавно пережил. Если у вас есть какие-либо вопросы, просто зайдите в раздел комментариев ниже.
Примечание редактора: этот пост был первоначально опубликован в сентябре 2014 года и с тех пор обновлен для свежести и точности.
Как использовать просмотр событий Windows для решения проблем с компьютером
05.06.2014   windows | для начинающих
Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.
Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.
Дополнительно на тему администрирования Windows
- Администрирование Windows для начинающих
- Редактор реестра
- Редактор локальной групповой политики
- Работа со службами Windows
- Управление дисками
- Диспетчер задач
- Просмотр событий (эта статья)
- Планировщик заданий
- Монитор стабильности системы
- Системный монитор
- Монитор ресурсов
- Брандмауэр Windows в режиме повышенной безопасности
Как осуществить просмотр?
Чтобы осуществлять просмотр содержимого журнала, нужно запустить соответствующее приложение. Делается это так:
- Переходим в меню «Пуск» => «Панель управления».
- Выбираем раздел «Администрирование».
- В этом разделе щелкаем по имени компоненты «Просмотр событий».
- Запустится программа с окном характерного вида – так называемая «оснастка». Эта оснастка и есть визуальный интерфейс для нашего протокола.
Того же самого можно добиться, если в окошке «Выполнить» (вызывается из того же меню «Пуск») набрать команду mmc. Эта команда запустит общий интерфейс для всех оснасток, в котором нужно будет перейти в меню «Консоль» => «Добавить или удалить оснастку» и из перечня всех оснасток вызвать нужную. В седьмой версии Windows все это проделывается так же, как и в предыдущей. Окошко «Выполнить» можно вызвать и при помощи клавиатурной комбинации «Win» + «R» — результат будет тем же. По итогу наших манипуляций появится окно такого вида:
Bevel Text Logos
Журналы событий
В операционной системе Windows 7 журналы делятся на две категории:
- Журналы Windows
- Журналы приложений и служб
В журналы Windows попадает информация связанная только с операционной системой. В журналы приложений и служб соответственно о всех службах и отдельно-установленных приложениях.
Все журналы располагаются по адресу
%SystemRoot%\System32\Winevt\Logs\ = C:\Windows\System32\winevt\Logs\
Рассмотрим основные из них
Приложение — записываются события о утилитах которые устанавливаются с операционной системой
Безопасность — записываются события о входе и выходе из Windows и фиксирование доступа к ресурсам. То есть, если пользователь не туда полез это скорее всего запишется в событии
Установка — записываются события о установке и удалении компонентов Windows. У меня этот журнал пуст наверное потому что не изменял никаких компонентов системы
Система — записываются системные события. Например сетевые оповещения или сообщения обновления антивируса Microsoft Antimalware
Перенаправленные события — записываются события перенаправленные с других компьютеров. То есть на одном компьютере администратора сети можно отслеживать события о других компьютерах в сети если сделать перенаправление
ACEEventLog — эта служба появилась сегодня после обновления драйверов от AMD. До этого момента ее не было. Если у вас компьютер на базе процессора AMD или укомплектован видеокартой AMD, то скорее всего у вас она также будет
Internet Explorer — записываются все события связанные со встроенным браузером в Windows
Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.
У журналов так же есть свои Свойства. Чтобы их посмотреть жмем правой кнопкой мышки на журнале и в контекстном меню выбираем Свойства
В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт
Так же установлена галочку Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.
В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, чтобы можно было в случае нештатной ситуации отследить когда началась неисправность.
Рейтинг внешних жестких дисков
Запуск просмотра событий
Для того, чтобы запустить просмотр событий Windows, наберите это самое словосочетание в поиске или же зайдите в «Панель управления» — «Администрирование» — «Просмотр событий»
События распределены по различным категориям. Например, журнал приложений содержит сообщения установленных программ, а журнал Windows — системных событий операционной системы.
Вы гарантированно обнаружите ошибки и предупреждения в просмотре событий, даже если с Вашим компьютером все в полном порядке. Просмотр событий Windows разработан для того, чтобы помочь системным администраторам следить за состоянием компьютеров и выяснять причины возникновения ошибок. Если с Вашим компьютеров нет видимых проблем, то скорее всего, отображаемые ошибки не являются важными. Например, часто можно увидеть ошибки о сбое определенных программ, которые произошли недели назад при однократном их запуске.
Системные предупреждения также обычно не являются важными для рядового пользователя. Если Вы решаете проблемы, связанные с настройкой сервера, то они могут оказаться полезными, в противном случае — скорее всего, нет.
Информация о событиях
Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:
- Имя журнала — имя файла журнала, куда была сохранена информация о событии.
- Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
- Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
- Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
- Категория задачи, ключевые слова — обычно не используются.
- Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.
Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.
Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).
Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.
Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.
Читаем журнал событий самостоятельно.
Прямо сейчас вы сможете обнаружить, например, какие службы или программы тормозят ваш компьютер во время загрузки Windows. Или мешают компьютеру побыстрее выключиться. Из строки Выполнить (WIN + R) запускаем Просмотр событий
eventvwr.msc
Выбираем
Журналы приложений и служб – Microsoft – Windows – Diagnostics-Performance – Работает
Щёлкнем правой мышкой по параметру и выберем в меню пункт Фильтр текущего журнала
В поле Все коды событий введите код 203 (Контроль производительности при выключении):
По выбранному фильтру журнал сгруппирует те события, которые, как посчитала система, привели к задержке при завершении сеанса пользователя…
… с указанием имени службы, точного занимаемого на это времени и т.п. По необходимости вы можете свериться в сети по имени сервиса, за чем он закреплён и по желанию отключить его. Если служба появляется рандомно, беспокоиться, поверьте, оснований нет. Однако в том случае, когда оно и то же имя мелькает частенько и основательно в этом Журнале прописалось, стоит задуматься. Далее. Если предпринятые вами действия возымели результат, проверьте теперь загрузку. Код событий – 103:
Успехов.
Как открыть журнал, посмотреть ошибки и где он находится
Чтобы отыскать журнал, где хранятся отчеты об ошибках нужно выполнить следующие действия:
- Требуется перейти на рабочий стол и найти ярлык с наименованием «Компьютер.
- После этого откроется «Проводник», где следует выбрать раздел локальных дисков.
- Пользователю нужно выбрать системный том и найти директорию «Windows».
- В данной папке следует отыскать каталог с наименованием «System32».
- Затем требуется прокрутить список вниз и найти папку «Winevt».
- В директории «Log» будут находиться отчеты, которые имеют расширение «EVTX».
Чтобы владелец персонального компьютера смог проверить отчеты, необходимо воспользоваться специальной штатной утилитой «eventvwr». Только с помощью данной утилиты можно осуществить просмотр отчетов и узнавать из-за чего произошли неполадки.
К сведению! Открыть файлы с расширением «EVTX» с помощью встроенного текстового редактора невозможно.
При помощи консоли
Открыть журнал сборщика событий можно с помощью консоли системной отладки – PowerShell:
- Необходимо зайти в стартовое окно и в поисковой строке ввести исполняемый код «PowerShell».
- После этого в диалоговом окне выбрать пункт «Запустить с расширенными правами доступа».
- После загрузки консоли отладки следует ввести исполняемую команду с наименованием «eventvwr».
- Затем на экране отобразится консоль сборщика событий.
Открытие сборщика производится с помощью PowerShell
Через панель управления
Посмотреть логи в Windows 10 можно через классическую панель управления и сделать это можно следующим образом:
- Необходимо войти в стартовое меню и в поисковой строке прописать запрос «Панель управления».
- Далее открыть пункт «Безопасность» и прокрутить список вниз.
- Затем нужно перейти в пункт «Администрирование».
- В списке штатных инструментов найти компонент «События».
- Далее откроется окно «Журнал событий», где следует выбрать пункт «Посмотреть события».
- В левой колонке появится список из нескольких пунктов: «Программы», «Установка» и «Параметры ОС», «Перенаправленные логи». Чтобы посмотреть отчет, нужно щелкнуть по одному из компонентов и в главном окне выбрать пункт «Подробнее».
Функция поиска через меню «Пуск»
Для запуска процесса необходимо открыть стартовое меню и кликнуть мышкой по поисковой строке. Далее прописать ключевой запрос «Журнал событий», после чего в верхней части экрана появятся результаты поиска.