Как использовать просмотр событий Windows для решения проблем с компьютером | remontka.pro

Работа с журналами

Описание интерфейса программы

Окно программы состоит из следующих элементов:

• Панель навигации позволяет выбрать конкретный журнал, записи которого вы хотите просмотреть;
• Список событий, содержащихся в выбранном журнале. В столбцах отображается основная информация о событии. Их можно сортировать по дате, типу, категории события и т.д.
• Подробная информация о выбранном событии на второй панели. Вы также можете просмотреть подробную информацию в отдельном окне, дважды щелкнув по событию;
• Панель быстрых действий, которые можно выполнить над этой записью или событием. Действия также доступны в контекстном меню (при нажатии правой кнопкой мыши на записи или событии).

Системные журналы разделены на группы для удобства просмотра:

• Application — как следует из названия, содержит события и ошибки в приложениях;
• Security — если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с мониторингом соответствующих событий (например, аутентификация пользователя или неудачные попытки входа);
• System — здесь регистрируются события в операционной системе и системных службах;
• Configuration — события, связанные с установкой обновлений Windows и дополнительных приложений.

Более подробную информацию о деятельности конкретных служб или приложений, зарегистрированных в операционной системе, можно найти в разделе Журналы приложений и служб.

Сами события делятся на типы:

• Информация — указывает на то, что приложение функционирует нормально.
• Предупреждение — событие, указывающее на возможные проблемы в будущем (например, закончилось место на диске — приложения могут работать нормально, но когда место заканчивается, они не могут работать вообще).
• Ошибка — проблема, которая приводит к ухудшению работы приложения или сервиса и потере данных.
• Критическая — значительная проблема, которая приводит к отказу приложения или сервиса.
• Аудит успеха — событие журнала безопасности, указывающее на успешное действие, для которого включена трассировка (например, успешный вход в систему).
• Аудит неудачи — событие журнала безопасности, указывающее на неудачное действие, которое не было отслежено (например, неудача входа в систему).

Get system info – альтернатива стандартному просмотрщику windows

Не нравится использовать стандартное приложение Windows для просмотра журналов? Альтернативные варианты могут быть более простыми для понимания и логичными. Одна из них — инструмент «Лаборатории Касперского».

Get System Info показывает различные сведения о драйверах, устройствах и операционной системе.

Возможность просмотра и отображения разнообразной информации о компьютере, что упрощает диагностику проблем, дает этой утилите преимущество перед стандартным инструментом Windows. Недостатком является то, что она записывает только самые последние события, а не все.

Get System Info не требует установки на компьютер, но для просмотра результатов необходимо загрузить его из Интернета.

Как пользоваться Get System Info

• Запустите утилиту с правами amin. Прежде чем нажать кнопку «Пуск», укажите папку, в которую следует сохранить журнал (по умолчанию — рабочий стол), и установите флажок «Включить журналы событий Windows».

Информация собирается утилитой из журналов системы и приложений. Каждый уровень выделен другим цветом, а события перечислены в хронологическом порядке. Просто щелкните по строке, чтобы просмотреть подробности конкретной записи.

Имеется поиск записей, но нет настраиваемых представлений или фильтрации.

Выпадающий список «Показать количество элементов» и строка поиска журнала расположены над таблицей. Щелкните в столбце ниже, чтобы отсортировать информацию по типу, дате и времени (источнику), источнику информации или пользователю.

Get System Info собирает данные об инцидентах, связанных с аппаратным или программным обеспечением. Вы должны использовать стандартную программу просмотра, если ищете информацию о конкретном приложении, компоненте системы или безопасности. Более того, теперь вы знаете, как быстро открыть его.

Информация о событиях

Когда вы выбираете событие, как я уже говорил выше, внизу отображается подробная информация о нем.

• Имя журнала — имя файла журнала, в который была записана информация о событии.
• Источник — имя приложения, процесса или системного компонента, сгенерировавшего событие (если вы видите здесь Application Error, то в поле выше вы можете увидеть имя самого приложения.
• Код — код события, может быть полезно найти информацию о нем в Интернете. Однако следует искать в английском сегменте запроса Event ID цифровое название кода программы, вызвавшей ошибку (поскольку коды событий уникальны для каждой программы).
• Код операции — обычно здесь всегда указывается «Details», поэтому это поле не очень полезно.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — указывает, на каком пользователе и компьютере был запущен процесс, вызвавший событие.

Вы видите ссылку на сайт Microsoft, который сообщает о событии в Интернете и должен представить подробную информацию о событии в поле «Подробности». Обычно появляется сообщение о том, что страница не найдена.

Используйте следующую формулу, чтобы найти ошибку в приложении Event ID: Имя приложения elect D Code Source. На снимке экрана — иллюстрация. Более подробная информация доступна на английском языке.

Открытие файла

Журнал регистрации неисправностей позволяет просмотреть последние действия компьютера. Поскольку сообщения об ошибках появляются даже на работающих устройствах, он не может быть пустым. Эту оснастку можно запустить из панели управления Windows или из командной строки. Повторите алгоритм для доступа к журналу событий Windows 7 без использования командной строки:

1. Перейдите в меню Пуск к Панель управления к Система и обслуживание к Администрирование;
2. В открывшемся окне найдите Event Viewer;
3. Дважды щелкните ;

Запуск из командной строки — это второй способ просмотра журнала посещаемости на компьютере. Этот способ работает с любой версией операционной системы, начиная с XP и выше. Нажав Win R и набрав cmd, вы можете запустить командную строку. В качестве альтернативы перейдите в Пуск-Все программы, Стандартные. Введите строку eventvwr в поля командной строки.

Запуск журнала событий с помощью командной строки

Вы можете вручную найти журнал посещаемости на своем компьютере. Это файл Eventvwr.msc. Его можно найти на странице Sustem32 или в поисковой системе ОС. Папку можно найти в каталоге Windows/ProgramFiles% на локальном диске C. Как дважды щелкнуть по файлу, чтобы открыть его?

Логи (журнал событий) windows — как посмотреть?

Что делать, если журнал событий не открывается

Функциональность этого компонента системы обрабатывается службой. Наиболее частой причиной отказа является прерывание работы сервиса.

Откройте оснастку «Службы», чтобы проверить эту версию. Выбрав «Открыть службу» в нижней части окна, вы можете запустить службы через диспетчер задач.

После этого выберите «Журнал событий Windows» из списка служб и нажмите кнопку запуска (воспроизведения), если в данный момент он остановлен.

Не удается ли запустить службу? Причиной того, что журнал недоступен, хотя он недоступен, может быть следующее:

• Ваша учетная запись ограничена в правах доступа политикой безопасности.
• Системная учетная запись Local Service, от имени которой работает журнал событий, имеет ограниченные права.
• Некоторые компоненты системы повреждены или заблокированы вредоносным ПО.

Если ваша учетная запись не имеет прав администратора, ограничения политики безопасности не могут быть остановлены. В других ситуациях проблему можно решить с помощью обычных средств восстановления Windows:

• Путем возврата к контрольной точке, которая была создана, когда все работало правильно.
• Запустите инструмент проверки и восстановления защищенных системных файлов sfc.exe -scannow в командной строке.
• Проверьте диски на наличие вирусных инфекций.
• Восстановите права доступа для системных учетных записей к папкам WindowsSystem32winevt и System32LogFiles. Варианты работы показаны на скриншотах ниже.

Читаем журнал событий самостоятельно.

В настоящее время можно определить, какие службы или приложения являются причиной медленной работы компьютера во время загрузки Windows. альтернативный вариант — остановить выключение компьютера. Запустите Event Viewer из строки Run (WIN R).

eventvwr.msc

Выбираем

Журналы приложений и служб Microsoft — Windows, диагностика-производительность.

Ёлкнем правой мышкой по параметру и выберем в меню пункт Фильтр текущего журнала.

Введите код мониторинга производительности отключения (код 203) в поле, отмеченное «Все коды событий»:

События, вызвавшие задержку сеанса пользователя, будут сгруппированы в журнале на основе выбранного фильтра.

. с названием услуги, точной продолжительностью и т.д. Не стоит беспокоиться, если услуга появляется случайно; вы можете проверить сеть на наличие номера услуги (присвоенного ей) или отключить ее при необходимости.

Успехов.

Где и что находится в просмотре событий

Пользовательский интерфейс этого инструмента состоит из трех разделов:

• На левой панели отображается древовидная структура, в которой события сортируются по различным параметрам. Кроме того, здесь вы можете добавить свои собственные «Пользовательские представления», которые будут отображать только те события, которые вы хотите.
• В центре, выбрав одну из «папок» слева, вы увидите сам список событий, а выбрав одно из них, внизу появится более подробная информация о нем.
• С правой стороны находятся ссылки на действия, позволяющие фильтровать события по параметрам, находить нужные, создавать пользовательские представления, сохранять список и создавать задание в планировщике задач, которое будет связано с конкретным событием.

Как пользоваться функцией фильтрации

Давайте рассмотрим конкретную иллюстрацию. Допустим, вы ищете информацию о критических инцидентах и ошибках за предыдущую неделю. Журнал «System» является первоисточником информации. Выберите каталог Windows из списка, затем нажмите «Фильтровать текущий журнал», чтобы отфильтровать журнал.

Затем заполните вкладку «Фильтр»:

• Выберите последние 7 дней из списка «Дата».
• В разделе «Уровень события» отметьте критический, ошибку и предупреждение.
• Найдите интересующий вас параметр в списке «Источники событий». Если вы не знаете, выберите все.
• Укажите коды событий (идентификаторы событий), о которых вы собираете информацию.
• При необходимости проверьте ключевые слова для уточнения поиска и идентификации пользователя (если вас интересует информация о конкретном счете).

Когда от журнала осталось только то, что мы искали, он выглядел следующим образом:

Нет никаких ограничений на то, как вы можете читать его в этом блоге.

Структура просмотрщика журнала событий

Неопытным пользователям просмотрщик событий будет не очень полезен. Оно не имеет смысла. Несмотря на пугающий внешний вид, его можно использовать для развлечения.

Каталоги журналов, среди которых есть два основных, отображаются в правом окне. Это журналы Windows, которые используются для отслеживания событий операционной системы, и журналы приложений и служб, которые используются для отслеживания того, как все работает. Пользовательские выборки организуются по какому-либо признаку, например, по кодам событий или типу, в каталоге Custom Views.

Выбранный журнал отображается в центре окна. События, их уровни и источники перечислены в верхней части таблицы. Под ним представлена подробная информация о конкретных записях.

Список доступных операций с журналами находится в правом меню.

Ищем нужные события: процессы и логи результатов

Например, поработав некоторое время, мы обнаружили, что мышь застряла, а некоторые папки отсутствуют. Для их устранения сначала запустите утилиту проверки диска chkdsk /f; она будет работать после перезагрузки. Кроме того, вывод этих и других утилит можно увидеть в том же журнале:

Имеет смысл искать результаты с использованием флага WinInit, поскольку одна из этих утилит запускается только один раз, непосредственно перед стартом (для тома, содержащего данную систему).

Как создавать настраиваемые представления

Как уже было сказано, пользовательские представления представляют собой отдельные выборки событий из разных каталогов. Они сохраняются в отдельных файлах и, в отличие от обычных фильтров, постоянно обновляются записями, соответствующими их критериям.

Создайте настраиваемый вид, выполнив следующие действия:

• Выделите интересующую вас запись в разделе каталогов.
• Нажмите на «Создать пользовательское представление» в разделе «Действие».
• Заполните параметры в поле «Фильтр» в соответствии с приведенным выше примером.
• Сохраните фильтр с любым именем в выбранном каталоге.

Вы можете создать журнал событий «evt» или редактировать, копировать и экспортировать пользовательские представления в файл files.xml.

Смотрим журнал ошибок и подробности ошибки

Запустите панель управления, выберите маленькие значки, а затем выберите Просмотр событий.

В появившемся окне просмотра событий можно увидеть ошибки системы и оборудования, а также их описания.

Прочитав о сбоях в работе оборудования или систем, вы, возможно, сможете придумать дополнительные решения возникшей проблемы.

Используйте наш эффективный «инструмент» Интернета, не торопитесь и тщательно все обдумайте.

Вы можете обратиться к специалисту или более опытному пользователю, если не уверены в своих силах.

Всем удачи!

10 декабря 2022

Журнал событий windows — как очистить?

Теоретически проблемы решены. Давайте теперь удалим лишние записи из журнала; если вы посещали его, вы могли заметить некоторый беспорядок из-за объема этих записей.

Воду можно очистить несколькими способами. Windows можно использовать для запуска PowerShell:

wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}

Через консоль:

for /f %x in ('wevtutil el') do wevtutil cl "%x"

Я дам вам быстрый сценарий, который вы можете вставить в текстовый файл с расширением.bat. Он называется Log Cleanup, и вы должны запустить полученный файл с правами администратора:

Вот сценарий:

Подготовка к просмотру журнала ошибок

Журнал ошибок включен по умолчанию, и система регистрирует все действия пользователя на всех устройствах. Советую вам на всякий случай убедиться, что он включен.

Щелкнув левой кнопкой мыши на значке меню, щелкните правой кнопкой мыши, чтобы запустить Диспетчер задач. После выбора вкладки «Службы» щелкните ссылку «Открыть» в нижней части вкладки. Сделав это, вы сможете получить доступ к окну служб и проверить журнал ошибок, чтобы убедиться, что они работают правильно.

Дважды щелкните журнал ошибок и выберите автоматический режим запуска, если он еще не выбран. Примените, затем OK.

Как запустить просмотр событий

Пользователи Windows 7 и Windows 8 могут использовать один и тот же первый прием — нажать Win R, а затем Enter.

Следующий прием, который работает со всеми текущими версиями ОС, заключается в посещении Панели управления и выборе там соответствующего пункта.

Вы можете получить доступ к контекстному меню «Просмотр событий», щелкнув правой кнопкой мыши по кнопкам Пуск. Меню вызывается автоматически при нажатии клавиш Win X.

Как научиться читать журнал событий windows ?

Но не рискуйте угадать. Системные сообщения имеют официальные страницы поддержки от Microsoft. Вы можете перейти на сайт, чтобы узнать подробности о событии. Однако я считаю, что эта служба отлично подходит для чтения журнала событий Windows.

Перед просмотром журнала ошибок

Когда вы убедитесь, что журнал ошибок поддерживается в актуальном состоянии, смоделируйте сбой или проблему в вашей системе.

Вы можете продолжать использовать свой компьютер как обычно, не прилагая особых усилий. Система будет вести учет в случае возникновения проблем с оборудованием или программным обеспечением.

Как искать в журналах событий интересующие сведения

Просмотр всех записей сразу раздражает и не имеет смысла. Используйте инструмент Фильтр текущего журнала, чтобы облегчить поиск только нужных данных, исключив из просмотра все остальное. Когда вы щелкаете по журналу мышью, он отображается в меню Действия.

Источники, уровни и коды событий. как понять, что означает конкретный код

Источниками событий могут быть компоненты ОС, драйверы или программы. Они добавляют записи в журналы операционной системы и даже ее составных частей.

Уровни событий служат косвенными показателями их значимости. Каждая запись журнала относится к одному из следующих шести уровней: