Как найти в журнале по дате

Windows ведет журналы всех значительных событий, происходящих на вашем компьютере. Большинство этих файлов содержат подробные сведения о действиях программы, изменениях настроек и других повседневных действиях. Но журналы также записывают, когда что-то не работает должным образом, что делает их полезными для устранения неполадок.

Есть несколько способов просмотра файлов журнала в Windows, чтобы вы могли диагностировать такие проблемы, как сбои, зависания и неудачные операции. Мы объясним лучшие методы поиска нужных вам решений.

Как найти журналы через проводник

Чтобы просмотреть все файлы журналов, хранящиеся на вашем компьютере, откройте проводник и выберите свой диск C: (или любую другую букву вашего основного диска). Введите * .log в поле поиска и нажмите Enter . Это просканирует весь ваш жесткий диск на наличие Windows и журналов программ. Этот процесс может занять несколько минут.

Скорее всего, будут тысячи результатов во многих разных папках, поэтому разумно отфильтровать список, чтобы отображались только самые последние события. Нажмите кнопку « Дата изменения» на панели инструментов проводника и выберите « Сегодня», «Вчера» или «На этой неделе» .

Дважды щелкните текстовый файл журнала, чтобы открыть его в Блокноте. Большинство журналов содержат технические данные, понятные только разработчикам, но вы можете увидеть простую ссылку на английском языке на ошибку, с которой вы столкнулись, например, что файл отсутствует или значение неверно.

Как проверить журналы в средстве просмотра событий

Встроенное в Windows средство просмотра событий позволяет просматривать журналы всех событий на вашем компьютере, в том числе когда что-то пошло не так. Если программа вылетела из строя, операция завершилась неудачно или вы запустили синий экран смерти , средство просмотра событий может помочь вам диагностировать проблему.

Запустите программу просмотра событий, набрав событие в строке поиска меню «Пуск» и нажав « Просмотр событий» . Важная информация хранится в журналах Windows , поэтому дважды щелкните этот параметр в дереве папок, чтобы открыть его вложенные папки.

Если проблема связана с программой или службой, щелкните Приложение . Если это относится к самой Windows, например, ошибка запуска или завершения работы, щелкните Система . Любой из вариантов покажет вам длинный список журналов, включая дату и время, когда произошли события.

Ищите журналы с пометкой « Предупреждение» (что обычно означает, что произошло что-то непредвиденное), « Ошибка» (что-то не удалось) или « Критическое» (что-то срочно требует решения). Чтобы сохранить просмотр всего списка, щелкните меню « Просмотр» и выберите « Сортировать по> Уровень», чтобы разместить журналы, связанные с проблемами, вверху.

Либо, чтобы отфильтровать журналы по дате и серьезности, нажмите « Фильтровать текущий журнал» в разделе « Действия ». Выберите один из вариантов в меню « Зарегистрированные» , например « Последние 24 часа» или « Последние семь дней» . Установите флажки « Ошибка» и « Критический» и нажмите « ОК» .

Вы также можете щелкнуть Пользовательские представления> Административные события в дереве папок, чтобы просмотреть все предупреждения, ошибки и критические события для всех типов журналов. В этот список не входят информационные журналы об успешных операциях, поэтому его быстрее просматривать.

Чтобы сэкономить еще больше времени, вы можете искать файлы журнала для конкретной программы или функции Windows. Нажмите « Найти» в списке «Действия», введите имя инструмента и продолжайте нажимать « Найти далее», чтобы просмотреть соответствующие журналы.

Выберите журнал, чтобы отобразить подробную информацию о событии в разделе ниже. Дважды щелкните журнал, чтобы просмотреть дополнительную информацию в окне свойств события . Сводка журнала может указывать на причину проблемы, но более вероятно, что вам придется выяснить это самостоятельно. Мы объясним, как через минуту.

Как просматривать журналы с помощью SnakeTail

Просмотр событий может быть медленным и сложным для навигации, если вы точно не знаете, что ищете. Для более быстрого и простого просмотра журналов событий вы можете загрузить, извлечь и запустить бесплатную программу SnakeTail . Устанавливать его не нужно. Просто дважды щелкните файл, чтобы запустить его после завершения загрузки.

Скачать: SnakeTail для Windows 10 (бесплатно)

Перейдите в меню «Файл»> «Открыть журнал событий» и выберите тип журнала, который нужно открыть, например «Приложение» или «Система». SnakeTail имеет интерфейс с вкладками, поэтому вы можете просматривать несколько списков журналов одновременно.

SnakeTail не только мгновенно загружает журналы, но и упрощает их фильтрацию. Щелкните правой кнопкой мыши уровень (например, Ошибка), дату или источник и выберите « Добавить фильтр», чтобы отобразить только релевантные результаты. Выберите событие, чтобы просмотреть подробности в разделе ниже.

Как просматривать журналы с помощью FullEvenLogView

Также стоит обратить внимание на FullEventLogView от NirSoft. Этот бесплатный инструмент отображает все ваши журналы в одном простом интерфейсе и позволяет сортировать данные по критериям, включая время события, уровень, поставщика и ключевые слова.

Прокрутите страницу вниз, чтобы найти ссылки для загрузки. Когда загрузка завершится, запустите программу.

Как просматривать журналы в мониторе надежности

Вместо того, чтобы пролистывать длинные списки журналов, вы можете использовать встроенный в Windows монитор надежности для визуального просмотра важных из них. Это значительно упрощает точное определение того, когда произошла ошибка или критическое событие и почему.

Самый быстрый способ получить доступ к монитору надежности – ввести надежность в строку поиска меню «Пуск» и выбрать « Просмотреть журнал надежности» . Вы можете просматривать график надежности по дням или неделям и щелкать стрелки с обеих сторон, чтобы перемещаться вперед и назад во времени.

Найдите красные кресты ошибок и желтые предупреждающие треугольники и щелкните один, чтобы просмотреть сводку в поле ниже. Монитор надежности выделяет только проблемы оборудования и программного обеспечения, которые повлияли на стабильность вашей системы, поэтому вы не увидите столько событий, сколько в средстве просмотра событий.

Щелкните Просмотреть технические сведения, чтобы прочитать объяснение проблемы. Вы также можете выбрать Просмотреть все отчеты о проблемах (которые вызывает журналы Reliability Monitor), чтобы просмотреть все проблемы со стабильностью, с которыми недавно столкнулся ваш компьютер.

Решение конкретных проблем с помощью журналов

Хотя средство просмотра событий сообщает вам, что вызвало ошибку или критическое событие на вашем компьютере, его журналы не помогут вам решить проблему. Щелчок по ссылке онлайн-справки журнала событий в окне свойств события просто отправляет журнал в Microsoft и открывает сайт поддержки Microsoft (на домашней странице, а не в соответствующей статье).

К счастью, помощь всегда под рукой на отличном веб-сайте под названием EventID.Net . Это не только объясняет, что на самом деле означают конкретные события Windows, но и показывает, насколько они серьезны (или нет), и дает советы по устранению неполадок, которые вам нужны.

Скопируйте и вставьте идентификатор события журнала из средства просмотра событий (или SnakeTrail) в поле поиска на домашней странице EventID.Net вместе с источником (программа или служба). Например, если вы столкнулись с синим экраном смерти (BSoD), идентификатор события обычно 41, но источник может быть другим (часто используется Kernel-Power).

Поисковая система сайта будет возвращать совпадающие события, сопровождаемые полезными комментариями сообщества EventID.Net. Для ошибок BSoD существует несколько возможных причин и решений, все из которых четко объяснены.

На момент написания обширная база данных EventID.Net охватывает 11 588 идентификаторов событий Windows и 638 источников событий с 19 234 комментариями. Сайт можно использовать бесплатно, но для некоторых функций, таких как изменение описания событий на простом английском языке, требуется платная подписка.

Если EventID.Net не помогает или в журнале не указан идентификационный номер, лучше всего скопировать и вставить сводку события в Google или на сайт сообщества Microsoft . Кто-то другой, вероятно, столкнулся с той же проблемой.

Верьте в силу бревен

Когда ваш компьютер начинает вести себя странно, журналы Windows могут предоставить вам секретное средство устранения неполадок. Знание того, где искать журналы, как их просматривать и что делать с их информацией, может помочь вам быстро определить причину проблем и, надеюсь, исправить их.

Если в журналах нет ответа, есть много других бесплатных инструментов для диагностики проблем Windows. Некоторые из них вам нужно будет загрузить, но другие встроены в операционную систему.

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно “Выполнить”;
2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню “Файл/новая задача” и ввести ту же команду eventvwr);

   

   eventvwr — команда для вызова журнала событий

3. после этого у вас должно появиться окно “Просмотр событий” — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

   

   Просмотр событий

Вариант 2

1. сначала необходимо 👉 открыть панель управления и перейти в раздел “Система и безопасность”;

   

   Система и безопасность

2. далее необходимо перейти в раздел “Администрирование”;

   

   Администрирование

3. после кликнуть мышкой по ярлыку “Просмотр событий”.

   

   Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с “лупой” на панели задач, в поисковую строку написать “событий” и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

❷

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел “Журналы Windows” (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: “Приложение”, “Безопасность”, “Система”. Именно о них пару слов подробнее:

1. “Приложение” — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. “Система” — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. “Безопасность” — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например “Система”), далее кликнуть в правой колонке по инструменту “Фильтр текущего журнала”.

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

1. открыть “службы” (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

   

   Открываем службы – services.msc (универсальный способ)

2. далее нужно найти службу “Журнал событий Windows” и открыть ее;

   

   Службы — журналы событий

3. после перевести тип запуска в режим “отключена” и нажать кнопку “остановить”. Затем сохранить настройки и перезагрузить компьютер.

   

   Отключена — остановить

*

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

Журнал событий Windows (Event Log) — это важный инструмент, который позволяет администратору отслеживать ошибки, предупреждения и другие информационные сообщения, которые регистрируются операционной системой, ее компонентами и различными программами. Для просмотра журнала событий Windows можно использовать графическую MMC оснастку Event Viewer (
eventvwr.msc
). В некоторых случаях для поиска информации в журналах событий и их анализа гораздо удобнее использовать PowerShell. В этой статье мы покажем, как получать информацию из журналов событий Windows с помощью командлета Get-WinEvent.

На данный момент в Windows доступны два командлета для доступа к событиям в Event Log: Get-EventLog и Get-WinEvent. В подавляющем большинстве случаев рекомендуем использовать именно Get-WinEvent, т.к. он более производителен, особенно в сценариях обработки большого количества событий с удаленных компьютеров. Командлет Get-EventLog является устаревшим и использовался для получения логов в более ранних версиях Windows. Кроме того, Get-EventLog не поддерживается в современных версиях PowerShell Core 7.x.

Получение логов Windows с помощью Get-WinEvent

Для использования команды Get-WinEvent нужно запустить PowerShell с правами администратора (при запуске Get-WinEvent от имени пользователя вы не сможете получить доступ к некоторым логам, например, к Security).

Для получения списка событий из определенного журнала, нужно указать его имя. В данном примере мы выведем последние 20 событий из журнала System:

Get-WinEvent -LogName Application -MaxEvents 20

Можно выбрать события сразу из нескольких журналов. Например, чтобы получить информацию о ошибках и предупреждениях из журналов System и Application за последние 24 часа (сутки), можно использовать такой код:

$StartDate = (Get-Date) - (New-TimeSpan -Day 1)
Get-WinEvent Application,System | Where-Object {($_.LevelDisplayName -eq "Error" -or $_.LevelDisplayName -eq "Warning") -and ($_.TimeCreated -ge $StartDate )}

Чтобы вывести только определенные поля событий, можно использовать Select-Object или Format-Table:

Get-WinEvent -LogName System | Format-Table Machinename, TimeCreated, Id, UserID

Можно выполнить дополнительные преобразования с полученными данными. Например, в этом примере мы сразу преобразуем имя пользователя в SID:

Get-WinEvent -filterhash @{Logname = 'system'} |
Select-Object @{Name="Computername";Expression = {$_.machinename}},@{Name="UserName";Expression = {$_.UserId.translate([System.Security.Principal.NTAccount]).value}}, TimeCreated

Get-WinEvent: быстрый поиск в событиях Event Viewer с помощью FilterHashtable

Рассмотренный выше способ выбора определенных событий из журналов Event Viewer с помощью Select-Object прост для понимая, но выполняется крайне медленно. Это особенно заметно при выборке большого количества событий. В большинстве случаев для выборки событий нужно использовать фильтрацию на стороне службы Event Viewer с помощью параметра FilterHashtable.

Попробуем сформировать список ошибок и предупреждений за 30 дней с помощью Where-Object и FilterHashtable. Сравнима скорость выполнения этих двух команд PowerShell с помощью Measure-Command:

$StartDate = (Get-Date).AddDays(-30)

Проверим скорость выполнения команды с Where-Object:

(Measure-Command {Get-WinEvent Application,System | Where-Object {($_.LevelDisplayName -eq "Error" -or $_.LevelDisplayName -eq "Warning") -and ($_.TimeCreated -ge $StartDate )}}).TotalMilliseconds

Аналогичная команда с FilterHashtable:

(Measure-Command {Get-WinEvent -FilterHashtable @{LogName = 'System','Application'; Level =2,3; StartTime=$StartDate }})..TotalMilliseconds

В данном примере видно, что команда выборки событий через FilterHashtable выполняется в 30 раз быстрее, чем если бы обычный Where-Object (
2.5
сек vs
76
секунд).

Если вам нужно найти события по EventID, используйте следующую команду с FilterHashtable:

Get-WinEvent -FilterHashtable @{logname='System';id=1074}|ft TimeCreated,Id,Message

В параметре FilterHashtable можно использовать фильтры по следующим атрибутам событий:

• LogName
• ProviderName
• Path
• Keywords (для поиска успешных событий нужно использовать значение 9007199254740992 или для неуспешных попыток 4503599627370496)
• ID
• Level (1=FATAL, 2=ERROR, 3=Warning, 4=Information, 5=DEBUG, 6=TRACE, 0=Info)
• StartTime
• EndTime
• UserID (SID пользователя)
• Data

Пример поиска события за определенный промежуток времени:

Get-WinEvent -FilterHashTable @{LogName='System'; StartTime=(get-date).AddDays(-7); EndTime=(get-date).AddHours(-1); ID=1234}

Если нужно найти определенный текст в описании события, можно использовать такую команду:

Get-WinEvent -FilterHashtable @{logname='System'}|Where {$_.Message -like "*USB*"}

Расширенный фильтры событий Get-WinEvent с помощью FilterXml

Фильтры Get-WinEvent с параметром FilterHashtable являются несколько ограниченными. Если вам нужно использовать для выборки событий сложные запросы с множеством условий, нужно использовать параметр FilterXml, который позволяет сформировать запрос на выбор событий в Event Viewer с помощью XML запроса. Как и FilterHashtable, фильтры FilterXml выполняется на стороне сервера, поэтому результат вы получите довольно быстро.

Например, аналогичный запрос для получения последних ошибок из журнала System за последние 30 дней может выглядеть так:

$xmlQuery = @'
<QueryList>
<Query Id="0" Path="System">
<Select Path="System">*[System[(Level=2 or Level=3) and TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]]</Select>
</Query>
</QueryList>
'@
Get-WinEvent -FilterXML $xmlQuery

Для построения кода сложных XML запросов можно использовать графическую консоль Event Viewer:

1. Запустите
   eventvwr.msc
   ;
2. Найдите журнал для которого вы хотите создать и выберите Filter Current Log;
3. Выберите необходимые параметры запроса в форме. В этом примере я хочу найти события с определенными EventID за последние 7 дней от определенного пользователя;
4. Чтобы получить код XML запроса для параметра FilterXML, перейдите на вкладку XML и скопируйте полученный код (CTRL+A, CTRL+C);
5. Если нужно, вы можете вручную отредактировать данный запрос.

Для экспорта списка событий в CSV файл нужно использовать командлет Export-CSV:

$Events= Get-WinEvent -FilterXML $xmlQuery
$events| Export-CSV "C:psFilterSYSEvents.csv" -NoTypeInformation -Encoding UTF8

Получить логи Event Viewer с удаленных компьютеров

Для получения события с удаленного компьютер достаточно указать его имя в параметре -ComputerName:

$computer='msk-dc01'
Get-WinEvent -ComputerName $computer -FilterHashtable @{LogName="System"; StartTime=(get-date).AddHours(-24)} |   select Message,Id,TimeCreated

Можно опросить сразу несколько серверов/компьютеров и поискать на них определенные события. Список серверов можно получить из текстового файла:

$servers = Get-Content -Path C:psservers.txt

Или из Active Directory:

$servers = (Get-ADComputer -Filter 'operatingsystem -like "*Windows server*" -and enabled -eq "true"').Name
foreach ($server in $servers) {
Get-WinEvent -ComputerName $server -MaxEvents 5 -FilterHashtable @{
LogName = 'System'; ID= 1234
} | Select-Object -Property ID, MachineName
}

Здесь есть другой пример для поиска событий блокировки учетной записи пользователя на всех контроллерах домена:

$Username = 'a.ivanov'
Get-ADDomainController -fi * | select -exp hostname | % {
$GweParams = @{
‘Computername’ = $_
‘LogName’ = ‘Security’
‘FilterXPath’ = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]"
}
$Events = Get-WinEvent @GweParams
$Events | foreach {$_.Computer + " " +$_.Properties[1].value + ' ' + $_.TimeCreated}
}

Windows записывает много информации в журнал событий, что означает, что журнал событий содержит множество полезных сведений для устранения неполадок. Помощь Windows как пользователям, так и системным администраторам, журнал событий позволяет понять, когда что-то идет не так и почему. Конечно, со всей этой информацией может быть сложно найти и понять. Для многих системных администраторов эта проблема усугубляется тем, что часто приходится искать в нескольких системах, и если это делается вручную через пользовательский интерфейс, это может занять много времени.

PowerShell предлагает собственные командлеты, которые позволяют быстро искать именно то, что вы хотите найти в Windows Журнал событий. Возможность фильтровать результаты и возвращать именно то, что необходимо, помогает сосредоточить усилия по устранению неполадок в нужном месте.

Поиск в журнале событий с помощью Get-WinEvent

Командлет PowerShell, который позволяет выполнять поиск в журнале событий, назван так: Get-WinEvent. Это позволит получить записи журнала событий на основе переданных вами параметров. Давайте продемонстрируем базовый поиск в журнале событий приложений – по умолчанию командлет Get-WinEvent возвращает самую новую запись, это можно отменить, передав параметр -Oldest. Как видите, по умолчанию события группируются по провайдеру.

Get-WinEvent -LogName 'Application' -MaxEvents 10

Чтобы просмотреть все доступные журналы для поиска, вы можете использовать -ListLog * параметр, как показано ниже. Учтите, что логов будет много. Вы также можете увидеть журналы с ошибкой, обычно это связано с тем, что эти журналы доступны только для учетной записи администратора. Если вы запустите PowerShell с повышенными привилегиями, вы не должны увидеть эту ошибку.

$ Results = Get-WinEvent -ListLog * $ Результаты | Select-Object -First 15

Сохраняя журналы в переменной, сокращается время, необходимое для последующего поиска правильного журнала, что также исключает журналы, которые могут быть недоступны из-за доступа.

Фильтрация по Hashtable

Что, если мы хотим возвращать записи журнала только между определенной датой? В отличие от старых Get-EventLog командлет, который устарел, нет параметров, зависящих от даты. Есть два способа отфильтровать результаты с помощью командлета с использованием кода XPath или с помощью хэш-таблицы. Самый простой способ – использовать хэш-таблицу, как показано ниже.

$ StartDate = (Get-Date) .AddDays (-3) $ Logs = Get-WinEvent -FilterHashtable @ {LogName = 'Application'; StartTime = $ StartDate; } $ Logs.Count

Даже трехдневное ведение журналов может привести к большому количеству журналов для изучения. Вот почему фильтрация очень важна, чтобы попытаться сузить результаты до того, что необходимо. Перенос дней, возвращенных к предыдущему, сокращает результаты до 940.

Это полезно, но все же слишком, поэтому было бы полезно также ограничить результаты провайдером. Возможно, мы хотим найти Windows Записи в отчетах об ошибках? Мы можем ограничиться только этим поставщиком в поставщике временного окна, используя дополнительные значения ключей.

$ StartDate = (Get-Date) .AddDays (-3) $ ProviderName = 'Windows Отчеты об ошибках '$ Logs = Get-WinEvent -FilterHashtable @ {LogName =' Application '; StartTime = $ StartDate; ProviderName = $ ProviderName; } $ Logs.Count

Как видите, используя фильтры для сужения только того, что мы хотим, мы можем быстро найти нужные нам результаты.

Фильтрация по XPath

Намного более сложный способ фильтровать события в Get-WinEvent использует -FilterXPath параметр, использующий язык XPath. Чтобы продемонстрировать тот же пример, что и выше, давайте покажем, как это выглядит, используя этот язык XML.

Get-WinEvent -FilterXPath "* [System [Provider [@ Name = 'Windows Отчет об ошибках '] и TimeCreated [timediff (@SystemTime) <= 86400000]]] "-LogName' Application '

Еще один параметр, который следует затронуть, – это -FilterXML параметр. Функционально это очень похоже на -FilterXPath параметр, но он немного более подробный. Сюда входит дополнительная структура XML, которая используется журналом событий, если вам действительно нужно настроить запрос. Пример показан ниже. Вы можете заметить, что раздел XPath находится в Select узел, который мы используем для перехода к -FilterXPath Параметр.

* [System [Provider [@ Name = ']Windows Отчет об ошибках '] и TimeCreated [timediff (@SystemTime) <= 86400000]]]

Очень полезный трюк – легко сгенерировать либо XPath, либо полный XML-запрос, вы можете использовать раздел Filter в Windows Графический интерфейс журнала событий. После того, как вы нажмете Фильтр и настроите свой запрос, вы можете щелкнуть вкладку XML и использовать этот результат с Get-WinEvent Командлет.

Заключение

. Get-WinEvent это мощный инструмент для запроса Windows Журнал событий. Используя этот встроенный командлет в Windows PowerShell и PowerShell 7 позволяют вам находить в журнале событий только те записи, которые вы ищете. Это значительно упрощает работу системного администратора по устранению неполадок в системе и поиску потенциальных проблем!

сообщение Как искать Windows Журнал событий с PowerShell Появившийся сначала на Петри.

Как работать с журналом событий Windows

Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д.
Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.

Для того чтобы система регистрировала события в журнале – на компьютере должна быть запущена одноименная служба “Журнал событий Windows”. Данная служба запускается автоматически после включения компьютера. Не рекомендуется останавливать или выключать службу “Журнал событий Windows” – это может ухудшить стабильность и безопасность системы:

Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”– “Панель управления” – “Администрирование” – “Просмотр событий”:Либо можно нажать на клавиатуре сочетание клавиш Win+R – в открывшемся окошке ввести eventvwr.msc и нажать ОК:
Запущенная утилита “Просмотр событий” имеет следующий вид:В левом столбце можно видеть отсортированные по разделам журналы (всего их четыре: Настраиваемые представления, Журналы Windows, Журналы приложений и служб, Подписки);

В среднем столбце отображается список событий выбранной категории;

В правом столбце – список доступных действий с выбранным журналом;

Внизу находится панель подробных сведений о конкретной записи (область просмотра).

Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:Область по центру снизу называется Областью просмотра. Здесь представлены общие и подробные сведения о выбранном событии. Ее можно скрыть, если снять соответствующую галку в меню “Вид”, или нажать на крестик в правом верхнем углу области просмотра:

Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?

Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.

Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.

Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.

Система – хранит события операционной системы или ее компонентов (например, неудачи при запусках служб или инициализации драйверов; общесистемные сообщения и прочие сообщения, относящиеся к системе в целом).

Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).

В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:

Например, мы хотим увидеть только ошибки приложений за последние сутки .
В этом случае выбираем слева раздел “Журналы Windows” – категорию “Приложение”, затем в правом столбце жмем “Фильтр текущего журнала”:В открывшемся окошке сверху в строке “Дата” выбираем “Последние 24 часа”.
Ниже отметьте галками уровни событий: “Критическое” и “Ошибка” – нажмите “ОК”.
После этого в среднем столбце отобразится список событий, которые мы задали в фильтре.

Щелкните по любой строке с ошибкой – снизу по центру в области просмотра вы увидите подробную информацию по данной ошибке. Если вы не понимаете, что означает данная ошибка (а чаще всего так и бывает) – тогда просто скопируйте текст ошибки (Ctrl+C на клавиатуре) и вставьте его в любой поисковик (Ctrl+V). Очень большая вероятность, что там вы найдете причину ошибки и ее решение:

Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?

В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows” – “Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) «Имя сбойного приложения: , Имя сбойного модуля: KERNELBASE.dll.

По данной ошибке я не смог сразу понять, в чем именно заключается проблема. Тогда я скопировал этот текст в Google.
После недолгого поиска оказалось, что такая ошибка свидетельствует о проблемах в работе компонента .Net Framework. На нескольких сайтах предлагалось переустановить Net Framework. Я так и сделал – проблема действительно была решена!

Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.И тогда я смотрю под стол на свой системный блок и вижу, что кабель питания вставлен в него не до конца. Видимо, я просто задел системник ногой и кабель питания отошел. Как видим, в журнале событий не просто отображается код ошибки, а нередко еще и описаны причины ошибки.

Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать.
Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.

Источник

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;

Система и безопасность

далее необходимо перейти в раздел «Администрирование» ;

после кликнуть мышкой по ярлыку «Просмотр событий» .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.

Источник

Журнал событий в Windows 7/10 – где находится и как открыть?

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Источник