Как использовать просмотр событий Windows для решения проблем с компьютером

Как работать с журналом событий Windows

Что такое Журнал событий Windows и как с ним работать?

Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д. Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.

Для того чтобы система регистрировала события в журнале – на компьютере должна быть запущена одноименная служба “Журнал событий Windows”. Данная служба запускается автоматически после включения компьютера. Не рекомендуется останавливать или выключать службу “Журнал событий Windows” – это может ухудшить стабильность и безопасность системы:

Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”“Панель управления”“Администрирование”“Просмотр событий”:Либо можно нажать на клавиатуре сочетание клавиш Win+R – в открывшемся окошке ввести eventvwr.msc и нажать ОК:


Запущенная утилита “Просмотр событий” имеет следующий вид:

В среднем столбце отображается список событий выбранной категории;

В правом столбце – список доступных действий с выбранным журналом;

Внизу находится панель подробных сведений о конкретной записи (область просмотра).

Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:Область по центру снизу называется Областью просмотра. Здесь представлены общие и подробные сведения о выбранном событии. Ее можно скрыть, если снять соответствующую галку в меню “Вид”, или нажать на крестик в правом верхнем углу области просмотра:

Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?

Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.

Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.

Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.

Система – хранит события операционной системы или ее компонентов (например, неудачи при запусках служб или инициализации драйверов; общесистемные сообщения и прочие сообщения, относящиеся к системе в целом).

Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).

В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:

Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?

В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows”“Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) “Имя сбойного приложения: , Имя сбойного модуля: KERNELBASE.dll.

Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.

Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать.
Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.

Переход в журнал событий в Windows 7

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Читайте также:
Как записать звук с компьютера

Открытие инструмента «Просмотр событий»

Журнал событий хранится в системном инструменте, который имеет название «Просмотр событий». Посмотрим, как с помощью различных способов в него можно перейти.

Способ 1: «Панель управления»

Один из самых распространенных способов запуска описываемого в данной статье инструмента, хотя далеко не самый легкий и удобный, осуществляется с помощью «Панели управления».

  1. Щелкните «Пуск» и перейдите по надписи «Панель управления».

Затем зайдите в раздел «Система и безопасность».

Далее щелкайте по наименованию раздела «Администрирование».

Целевой инструмент активирован. Чтобы конкретно попасть в журнал системы, кликните по пункту «Журналы Windows» в левой области интерфейса окошка.

  • В открывшемся списке выбирайте один из пяти интересующих вас подразделов:
    • Приложение;
    • Безопасность;
    • Установка;
    • Система;
    • Перенаправление события.

    В центральной части окна отобразится журнал событий, соответствующий выбранному подразделу.

  • Аналогичным образом можно раскрыть раздел «Журналы приложений и служб», но там будет больший перечень подразделов. Выбор конкретного из них приведет к отображению в центре окна списка соответствующих событий.
  • Способ 2: Средство «Выполнить»

    Намного проще инициировать активацию описываемого инструмента при помощи средства «Выполнить».

      Задействуйте комбинацию клавиш Win+R. В поле запустившегося средства вбейте:

  • Нужное окно будет открыто. Все дальнейшие действия по просмотру журнала можно производить по тому же алгоритму, который был описан в первом способе.
  • Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

    Способ 3: Поле поиска меню «Пуск»

    Очень похожий метод вызова изучаемого нами инструмента осуществляется с задействованием поля поиска меню «Пуск».

      Щелкните «Пуск». Внизу открывшегося меню расположено поле. Введите туда выражение:

    Или просто напишите:

    В списке выдачи в блоке «Программы» появится наименование «eventvwr.exe» или «Просмотр событий» в зависимости от введенного выражения. В первом случае, скорее всего, результат выдачи будет единственным, а во втором их будет несколько. Кликните по одному из указанных выше названий.

  • Журнал будет запущен.
  • Способ 4: «Командная строка»

    Вызов инструмента через «Командную строку» довольно неудобен, но и такой способ существует, а поэтому он тоже стоит отдельного упоминания. Сначала нам потребуется вызвать окно «Командной строки».

      Щелкайте «Пуск». Далее выбирайте «Все программы».

    Переходите в папку «Стандартные».

    В перечне открывшихся утилит щелкайте по «Командная строка». Активацию с административными полномочиями производить не обязательно.

    Можете выполнить запуск и быстрее, но для этого нужно помнить команду активации «Командной строки». Наберите Win+R, инициировав тем самым запуск инструмента «Выполнить». Введите:

    При любом из двух вышеуказанных действий будет запущено окно «Командной строки». Введите знакомую команду:

  • Окно журнала будет активировано.
  • Способ 5: Прямой старт файла eventvwr.exe

    Можно воспользоваться таким «экзотическим» вариантом решения поставленной задачи, как прямой старт файла из «Проводника». Тем не менее, и данный способ может пригодиться на практике, например, если сбои достигли такого масштаба, что другие варианты запустить инструмент просто недоступны. Такое бывает крайне редко, но вполне возможно.

    Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

      Запустите «Проводник Windows».

    Вбейте в адресное поле тот адрес, который был представлен ранее, и кликните Enter или нажмите по значку справа.

    Выполняется перемещение в каталог «System32». Именно тут хранится целевой файл «eventvwr.exe». Если у вас не включен в системе показ расширений, то объект будет называться «eventvwr». Найдите и произведите по нему двойной клик левой кнопкой мышки (ЛКМ). Чтобы легче осуществлять поиск, так как элементов довольно много, можете отсортировать объекты по алфавиту, кликнув по параметру «Имя» вверху списка.

    Способ 6: Введение пути к файлу в адресной строке

    При помощи «Проводника» можно запустить интересующее нас окно и быстрее. При этом даже не придется искать eventvwr.exe в каталоге «System32». Для этого в адресном поле «Проводника» просто нужно будет указать путь к данному файлу.

      Запустите «Проводник» и введите в адресное поле такой адрес:

    Читайте также:
    Планировщик заданий Windows для начинающих

    Кликните Enter или нажмите по эмблеме стрелки.

  • Окно журнала тут же активируется.
  • Способ 7: Создание ярлыка

    Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

      Перейдите на «Рабочий стол» или запустите «Проводник» в том месте файловой системы, где собираетесь создать иконку доступа. Кликните правой кнопкой мышки по пустой области. В меню переместитесь по «Создать» и далее щелкайте «Ярлык».

    Активируется инструмент формирования ярлыка. В открывшееся окошко внесите тот адрес, о котором уже шла речь:

    Запускается окошко, где нужно указать наименование иконки, по которому юзер будет определять активируемый инструмент. По умолчанию в качестве названия используется имя исполняемого файла, то есть, в нашем случае «eventvwr.exe». Но, конечно, это название мало что может сказать непосвященному пользователю. Поэтому лучше в поле ввести такое выражение:

    В общем, введите любое название, по которому вы будете ориентироваться, какой инструмент данная иконка запускает. После ввода жмите «Готово».

    Иконка запуска появится на «Рабочем столе» или в другом месте, где вы её создали. Для активации инструмента «Просмотр событий» достаточно кликнуть по ней дважды ЛКМ.

  • Необходимое системное приложение будет запущено.
  • Проблемы с открытием журнала

    Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

      Прежде всего, нужно перейти в «Диспетчер служб». Это можно сделать из раздела «Панели управления», который называется «Администрирование». Как в него перейти, подробно описывалось при рассмотрении Способа 1. Попав в данный раздел, ищите пункт «Службы». Кликните по нему.

    В «Диспетчер служб» можете перейти с помощью средства «Выполнить». Вызовите его, набрав Win+R. В область для ввода вбейте:

    Независимо от того, совершили вы переход через «Панель управления» или использовали ввод команды в поле инструмента «Выполнить», запускается «Диспетчер служб». В списке ищите элемент «Журнал событий Windows». Чтобы облегчить поиск, можете выстроить все объекты перечня в алфавитном прядке, кликнув по названию поля «Имя». После того, как нужная строка найдена, взгляните на соответствующее ей значение в колонке «Состояние». Если служба включена, то там должна находиться надпись «Работает». Если же там пусто, то это означает, что служба деактивирована. Также посмотрите на значение в колонке «Тип запуска». В нормальном состоянии там должна находиться надпись «Автоматически». Если там стоит значение «Отключена», то это означает, что служба не активируется при запуске системы.

    Чтобы это исправить, перейдите в свойства службы, кликнув по наименованию дважды ЛКМ.

    Открывается окно. Кликните по области «Тип запуска».

    Из раскрывшегося списка выбирайте «Автоматически».

    Жмите по надписям «Применить» и «OK».

    Возвратившись в «Диспетчер служб», отметьте «Журнал событий Windows». В левой области оболочки кликните по надписи «Запустить».

  • Запуск службы произведен. Теперь в соответствующем ей поле колонки «Состояние» отобразится значение «Работает», а в поле колонки «Тип запуска» появится надпись «Автоматически». Теперь журнал можно открыть любым из тех способов, которые мы описывали выше.
  • Существует довольно много вариантов активировать журнал событий в Виндовс 7. Конечно, самые удобные и популярные способы – это переход через «Панель инструментов», активация при помощи средства «Выполнить» или поля поиска меню «Пуск». Для удобного доступа к описываемой функции можете создать иконку на «Рабочем столе». Иногда возникают проблемы с запуском окна «Просмотр событий». Тогда нужно проверить, активирована ли соответствующая служба.

    Помимо этой статьи, на сайте еще 12582 инструкций.
    Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

    Отблагодарите автора, поделитесь статьей в социальных сетях.

    Читайте также:
    Не устанавливаются приложения из магазина Windows 8.1

    Как использовать просмотр событий Windows для решения проблем с компьютером

    Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

    Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

    Дополнительно на тему администрирования Windows

    • Администрирование Windows для начинающих
    • Редактор реестра
    • Редактор локальной групповой политики
    • Работа со службами Windows
    • Управление дисками
    • Диспетчер задач
    • Просмотр событий (эта статья)
    • Планировщик заданий
    • Монитор стабильности системы
    • Системный монитор
    • Монитор ресурсов
    • Брандмауэр Windows в режиме повышенной безопасности

    Как запустить просмотр событий

    Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

    Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

    И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

    Где и что находится в просмотре событий

    Интерфейс данного инструмента администрирования можно условно разделить на три части:

    • В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
    • По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
    • В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

    Информация о событиях

    Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

    • Имя журнала — имя файла журнала, куда была сохранена информация о событии.
    • Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
    • Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
    • Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
    • Категория задачи, ключевые слова — обычно не используются.
    • Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

    Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

    Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

    Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

    Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

    Читайте также:
    Нет звука по HDMI при подключении ноутбука или ПК к телевизору

    Просмотр журнала производительности Windows

    В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

    Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

    Использование фильтров и настраиваемых представлений

    Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

    Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

    Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

    Журнал событий в Windows: как его открыть и найти информацию об ошибке

    Доброго дня!

    Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

    Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

    В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

    Работа с журналом событий (для начинающих)

    Как его открыть

    Этот вариант универсальный и работает во всех современных версиях ОС Windows.

    1. нажать сочетание кнопок Win+R — должно появиться окно “Выполнить”;
    2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню “Файл/новая задача” и ввести ту же команду eventvwr );

    eventvwr — команда для вызова журнала событий

    после этого у вас должно появиться окно “Просмотр событий” — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

      сначала необходимо открыть панель управления и перейти в раздел “Система и безопасность” ;

    Система и безопасность

    далее необходимо перейти в раздел “Администрирование” ;

    после кликнуть мышкой по ярлыку “Просмотр событий” .

    Просмотр событий — Администрирование

    Актуально для пользователей Windows 10/11.

    1) Нажать по значку с “лупой” на панели задач, в поисковую строку написать “событий” и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

    Windows 10 — события

    2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

    Win+X — вызов меню

    Журналы Windows

    Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел “Журналы Windows” (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

    В нем есть 5 вкладок, из которых 3 основных: “Приложение”, “Безопасность”, “Система”. Именно о них пару слов подробнее:

    1. “Приложение” — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
    2. “Система” — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
    3. “Безопасность” — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

    Как найти и просмотреть ошибки (в т.ч. критические)

    Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

    И так, сначала необходимо выбрать нужный журнал (например “Система”) , далее кликнуть в правой колонке по инструменту “Фильтр текущего журнала” .

    Система — фильтр текущего журнала / Кликабельно

    После указать дату, уровень события (например, ошибки), и нажать OK.

    В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

    Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

    Представлены все ошибки по дате и времени их возникновения / Кликабельно

    Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

    Можно ли отключить журналы событий

    Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

    Для отключения журналов событий нужно:

      открыть “службы” (для этого нажмите Win+R , введите команду services.msc и нажмите OK);

    Открываем службы – services.msc (универсальный способ)

    далее нужно найти службу “Журнал событий Windows” и открыть ее;

    Службы — журналы событий

    после перевести тип запуска в режим “отключена” и нажать кнопку “остановить” . Затем сохранить настройки и перезагрузить компьютер.

    Журнал событий в Windows 7/10 – где находится и как открыть?

    Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

    Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

    Где находится журнал событий Windows

    Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

    Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

    Как открыть журнал

    Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

    В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

    Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

    Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

    Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

    Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

    Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

    Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

    Как использовать содержимое журнала

    Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

    Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

    Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

    Очистка, удаление и отключение журнала

    На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

    Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

    for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

    Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

    wevtutil el | Foreach-Object

    При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

    Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

    Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

    Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

    Как использовать журнал событий системы Windows 10

    Средство просмотра событий Windows является одним из инструментов администрирования операционной системы Microsoft.

    В первой части руководства будет объяснено, для чего используется этот инструмент и какая информация хранится в его регистрах.

    Во второй части руководства мы увидим, как прочитать свойства события и как создать персонализированный вид событий.

    Что такое средство просмотра событий Windows

    Просмотрщик событий – самый мощный диагностический инструмент в Windows. Его использование имеет фундаментальное значение для контроля целостности системы, поскольку предоставляет подробную информацию обо всех событиях, происходящих на ПК. Событие представляет собой явление, которое происходит внутри системы и передается наружу, – к пользователю или к другим программам, и обычно соответствует состоянию или изменениям конфигурации. События регистрируются службой журнала событий Windows, а их история сохраняется в соответствующих системных журналах.

    Средство просмотра событий Windows помогает в анализе проблемы, поскольку позволяет просматривать аппаратные и программные аномалии различной природы (сбой при запуске службы, сбой системы, невозможность установить обновление, повреждение в структуре файловой системы, конфликт IP-адресов).

    Как запустить средство просмотра событий Windows

    Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.

    Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.

    1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
    2. Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК .
    3. Откроется оснастка «Просмотр событий».

  • Разверните её на весь экран.
  • Обзор и сводка по событиям

    Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.

    Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).

    Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.

    В столбце Тип события можно нажать + , чтобы развернуть категорию и просмотреть источник событий того же типа.

    Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая + .

    Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.

    Журналы просмотра событий Windows

    Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.

    Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.

    В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».

    Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.

    Журналы Windows

    В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:

    • Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
      • Ошибка : указывает на критическую проблему, которая могла привести к потере данных или функциональности.
      • Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
      • Информация : описывает правильную работу драйвера, программы или службы.
    • Безопасность. Журнал безопасности содержит события аудита, связанные с попытками пользователя подключиться и использованием защищенных ресурсов (создание, открытие, удаление файлов). Журнал безопасности идентифицирует события, используя два типа значков: значок ключа и значок замка.
      • Ключ: идентифицирует события типа успешная проверка.
      • Замок: идентифицирует события типа проверка не удалась.
    • Установка. Журнал установки содержит события, связанные с установкой приложений.
    • Система. В журнале системы указываются события, создаваемые системными компонентами Windows и установленными функциями, такие как драйвер. Например, если драйвер не загружается во время сеанса загрузки, это событие сохраняется в системном журнале. Также в этом журнале события классифицируются как Ошибка, Предупреждение или Информация.
    • Перенаправленные события. В журнале сохраняются события, произошедшие на удаленных компьютерах.

    Журналы приложений и служб

    В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.

    Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.

    Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.

    Просмотр логов и событий

    Когда мы выбираем журнал на левой панели средства просмотра событий Windows, на центральной панели отображается список его событий, упорядоченный в обратном хронологическом порядке.

    В поле ниже показано содержимое, относящееся к выбранному событию.

    Окно свойства события

    Чтобы просмотреть детали одного события, мы должны использовать окно Свойства события. Чтобы открыть его, дважды щелкните левой кнопкой мыши на событии в центральной панели.

    В окне «Свойства события» мы можем выбрать вкладку Общие или Подробности.

    Вкладка «Общие»

    Вкладка «Общие» содержит следующую информацию:

    • Имя журнала: указывает имя журнала, который заархивировал событие.
    • Источник: Указывает источник события. Может указывать название программы, системного компонента или большой программы.
    • Код события: это число, которое однозначно определяет тип события. Например, число 6005 – это идентификатор события, который всегда будет указывать на начало журнала событий.
    • Уровень: указывает уровень серьезности события. В системном журнале и в журнале приложений у нас могут быть следующие уровни серьезности (представленные символом):
      • Информация: указывает на успех операции, изменение приложения, создание ресурса или запуск службы.
      • Предупреждение: указывает на событие, которое может вызвать проблему в будущем, если не будет предпринято никаких корректирующих действий.
      • Ошибка: указывает на событие, которое описывает проблему, которая может повлиять на правильную функциональность системы или приложения, которое вызвало событие. События ошибок могут включать потерю данных или функциональность.
      • Критичное: указывает на ошибку, которая не позволяет выполнить автоматическое восстановление системы или приложения, которое вызвало событие.
    • Пользователь: указывает имя пользователя, вошедшего в систему, когда произошло событие.
    • Код операции: это 1-байтовое числовое значение, которое идентифицирует действие или точку в действии, выполняемом приложением в момент возникновения события. Используется для представления определенного действия или части действия, выполняемого программным обеспечением, но также и для процессов, основанных на действиях трассировки, таких как веб-службы, где действие представляет собой конкретный запрос, полученный веб-службой.
    • Дата: указывает дату и время, когда событие было записано.
    • Категория задачи: это классификация события, основанная на происхождении события (используется в журнале безопасности).
    • Ключевые слова: указывает категорию или тег, полезные для фильтрации или поиска по событиям.
    • Компьютер: указывает имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но это может быть имя компьютера, который переадресовал событие, или имя локального компьютера до того, как его имя было изменено.

    Вкладка «Подробности»

    Вкладка «Подробности» содержит дополнительную информацию о событии.

    Информация разделена на два раздела (расширяется нажатием + ):

    • System: содержит общую информацию, общую для каждого экземпляра события, например, некоторые системные параметры, записанные при публикации экземпляра.
    • EventData: содержит структурированную информацию о приложении.

    Получить дополнительную информацию о событиях

    Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

    Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

    Выполнить действие в ответ на событие

    Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.

    Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.

    Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.

    Как устранить проблемы Windows с помощью журналов средства просмотра событий

    Windows ведет журналы всех значительных событий, происходящих на вашем компьютере. Большинство этих файлов содержат сведения о действиях программы, изменениях в настройках и других повседневных действиях. Но журналы также записывают, когда что-то не работает должным образом, что делает их полезными для устранения неполадок.

    Есть несколько способов просмотра файлов журнала в Windows, чтобы вы могли диагностировать такие проблемы, как сбои, зависания и неудачные операции. Мы объясним, как лучше всего найти нужные решения.

    Как найти журналы через проводник

    Чтобы просмотреть все файлы журналов, хранящиеся на вашем компьютере, откройте Проводник и выберите свой C: диск (или любая другая буква вашего основного диска). Тип *.журнал в поле поиска и нажмите Войти. Это просканирует весь ваш жесткий диск на наличие Windows и журналов программ. Этот процесс может занять несколько минут.

    Скорее всего, будут тысячи результатов во многих разных папках, поэтому разумно отфильтровать список, чтобы отображались только самые последние события. Щелкните значок Дата изменена на панели инструментов проводника и выберите Сегодня, вчера, или же Эта неделя.

    Дважды щелкните текстовый файл журнала, чтобы открыть его в Блокноте. Большинство журналов содержат технические данные, понятные только разработчикам, но вы можете увидеть простую английскую ссылку на ошибку, с которой вы столкнулись, например, что файл отсутствует или значение неверно.

    Связанный: Как максимально эффективно использовать проводник Windows 10

    Как проверить журналы в средстве просмотра событий

    Windows встроенная Просмотрщик событий позволяет просматривать журналы всех событий на вашем компьютере, в том числе когда что-то пошло не так. Если произошел сбой программы, операция завершилась неудачно или вы запустили синий экран смерти, средство просмотра событий может помочь вам диагностировать проблему.

    Запустите средство просмотра событий, набрав событие в строку поиска меню Пуск и нажав Просмотрщик событий. Важная информация хранится в Журналы Windows, поэтому дважды щелкните этот параметр в дереве папок, чтобы открыть его подпапки.

    Если проблема связана с программой или службой, щелкните заявка. Если это относится к самой Windows, например ошибка запуска или завершения работы, щелкните Система. Любой из вариантов покажет вам длинный список журналов, включая дату и время, когда произошли события.

    Ищите журналы с пометкой Предупреждение (что обычно означает, что произошло что-то неожиданное), ошибка (что-то не удалось) или Критический (что-то срочно требует решения). Чтобы не просматривать весь список, щелкните значок Посмотреть меню и выберите Сортировать по> Уровню размещать журналы, связанные с проблемами, вверху.

    Либо, чтобы отфильтровать журналы по дате и серьезности, щелкните Фильтр текущего журнала в Действия раздел. Выберите вариант из Зарегистрировано меню, например Последние 24 часа или же Последние семь дней. Установите флажки для ошибка и Критический и нажмите Хорошо.

    Вы также можете нажать Пользовательские представления> Административные события в дереве папок, чтобы просмотреть все предупреждения, ошибки и критические события для всех типов журналов. Этот список не включает Информация журналы об успешных операциях, поэтому их быстрее просматривать.

    Чтобы сэкономить еще больше времени, вы можете искать файлы журнала для конкретной программы или функции Windows. Нажмите найти в списке Действия введите имя инструмента и продолжайте нажимать Найти следующее чтобы изучить соответствующие журналы.

    Выберите журнал, чтобы отобразить подробную информацию о событии в разделе ниже. Дважды щелкните журнал, чтобы просмотреть дополнительную информацию в Свойства события окно. В сводке журнала может быть указана причина проблемы, но более вероятно, что вам придется выяснить это самостоятельно. Мы объясним, как через минуту.

    По теме: Почему произошел сбой Windows? Руководство по поиску и устранению неисправностей

    Как просматривать журналы с помощью SnakeTail

    Просмотр событий может быть медленным и сложным в навигации, если вы точно не знаете, что ищете. Для более быстрого и простого просмотра журналов событий вы можете загрузить, извлечь и запустить бесплатную программу. Змеиный хвост. Устанавливать его не нужно. Просто дважды щелкните файл, чтобы запустить его после завершения загрузки.

    Скачать: SnakeTail для Windows 10 (Свободный)

    Идти к Файл> Открыть журнал событий и выберите тип журнала, который нужно открыть, например «Приложение» или «Система». SnakeTail имеет интерфейс с вкладками, поэтому вы можете просматривать несколько списков журналов одновременно.

    SnakeTail не только мгновенно загружает журналы, но и упрощает их фильтрацию. Щелкните правой кнопкой мыши уровень (например, Ошибка), дату или источник и выберите Добавить фильтр чтобы показать только релевантные результаты. Выберите событие, чтобы просмотреть подробности в разделе ниже.

    Как просматривать журналы с FullEvenLogView

    Также стоит посмотреть FullEventLogView от NirSoft. Этот бесплатный инструмент отображает все ваши журналы в одном простом интерфейсе и позволяет сортировать данные по критериям, включая время события, уровень, поставщика и ключевые слова.

    Прокрутите страницу вниз, чтобы найти ссылки для загрузки. Когда загрузка завершится, запустите программу.

    Как просматривать журналы в мониторе надежности

    Вместо того, чтобы пролистывать длинные списки журналов, вы можете использовать встроенный в Windows монитор надежности для визуального просмотра важных из них. Это значительно упрощает точное определение того, когда произошла ошибка или критическое событие и почему.

    Самый быстрый способ получить доступ к монитору надежности — ввести надежность в строку поиска меню Пуск и выберите Просмотр истории надежности. Вы можете просмотреть график надежности, нажав Дней или же Недели, и нажимайте стрелки с обеих сторон, чтобы перемещаться вперед и назад во времени.

    Найдите красные кресты ошибок и желтые предупреждающие треугольники и щелкните один, чтобы просмотреть сводку в поле ниже. Монитор надежности выделяет только проблемы оборудования и программного обеспечения, которые повлияли на стабильность вашей системы, поэтому вы не увидите столько событий, сколько в средстве просмотра событий.

    Нажмите Посмотреть технические детали прочитать объяснение проблемы. Вы также можете выбрать Просмотреть все отчеты о проблемах (который вызывает журналы мониторинга надежности), чтобы просмотреть все проблемы со стабильностью, с которыми недавно столкнулся ваш компьютер.

    Решение конкретных проблем с помощью журналов

    Хотя средство просмотра событий сообщает вам, что вызвало ошибку или критическое событие на вашем компьютере, его журналы не помогут вам решить проблему. Нажав на Онлайн-справка журнала событий в окне свойств события просто отправляет журнал в Microsoft и открывает Служба поддержки Microsoft сайт (на главной, не релевантная статья).

    К счастью, помощь всегда под рукой на отличном сайте под названием EventID.Net. Это не только объясняет, что на самом деле означают конкретные события Windows, но и показывает, насколько они серьезны (или нет), и дает советы по устранению неполадок, которые вам нужны.

    Скопируйте и вставьте журнал ID события номер из средства просмотра событий (или SnakeTail) в поле поиска на домашней странице EventID.Net вместе с Источник (программа или услуга). Например, если вы столкнулись с синим экраном смерти (BSoD), идентификатор события обычно равен 41, но источник может быть другим (часто используется Kernel-Power).

    Поисковая система сайта будет возвращать совпадающие события, сопровождаемые полезными комментариями сообщества EventID.Net. Для ошибок BSoD существует несколько возможных причин и решений, все из которых четко объяснены.

    На момент написания обширная база данных EventID.Net охватывает 11 588 идентификаторов событий Windows и 638 источников событий с 19 234 комментариями. Сайт можно использовать бесплатно, но для некоторых функций, таких как изменение описания событий на простом английском языке, требуется платная подписка.

    Если EventID.Net не помогает или журнал не предоставляет идентификационный номер, лучше всего скопировать и вставить сводку события в Google или Сообщество Microsoft сайт. Кто-то другой, вероятно, столкнулся с той же проблемой.

    Связанный: Исправить ошибку синего экрана Windows 10

    Верьте в силу бревен

    Когда ваш компьютер начинает вести себя странно, журналы Windows могут предоставить вам секретное средство устранения неполадок. Знание того, где искать журналы, как их просматривать и что делать с их информацией, может помочь вам быстро определить причину проблем и, надеюсь, исправить их.

    Если в журналах нет ответа, есть много других бесплатных инструментов для диагностики проблем Windows. Некоторые из них вам нужно будет загрузить, но другие встроены в операционную систему.

    Рейтинг
    ( Пока оценок нет )
    Понравилась статья? Поделиться с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: