Как найти журнал windows на компьютере

Как найти журнал windows на компьютере

prosmotr-zhurnalov-sobyitiyДоброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

  1. нажать сочетание кнопок Win+R — должно появиться окно “Выполнить”;
  2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню “Файл/новая задача” и ввести ту же команду eventvwr);

    eventvwr — команда для вызова журнала событий

    eventvwr — команда для вызова журнала событий

  3. после этого у вас должно появиться окно “Просмотр событий” — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

    Просмотр событий

    Просмотр событий

Вариант 2

  1. сначала необходимо 👉 открыть панель управления и перейти в раздел “Система и безопасность”;

    Система и безопасность

    Система и безопасность

  2. далее необходимо перейти в раздел “Администрирование”;

    Администрирование

    Администрирование

  3. после кликнуть мышкой по ярлыку “Просмотр событий”.

    Просмотр событий — Администрирование

    Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с “лупой” на панели задач, в поисковую строку написать “событий” и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Win+X — вызов меню

Журналы Windows

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел “Журналы Windows” (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: “Приложение”, “Безопасность”, “Система”. Именно о них пару слов подробнее:

  1. “Приложение” — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
  2. “Система” — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
  3. “Безопасность” — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например “Система”), далее кликнуть в правой колонке по инструменту “Фильтр текущего журнала”.

Система — фильтр текущего журнала

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

  1. открыть “службы” (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

    Открываем службы - services.msc (универсальный способ)

    Открываем службы – services.msc (универсальный способ)

  2. далее нужно найти службу “Журнал событий Windows” и открыть ее;

    Службы — журналы событий

    Службы — журналы событий

  3. после перевести тип запуска в режим “отключена” и нажать кнопку “остановить”. Затем сохранить настройки и перезагрузить компьютер.

    Отключена — остановить

    Отключена — остановить

*

На этом пока всё, удачи!

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

donate

dzen-ya

Полезный софт:

  • видеомонтаж
  • Видео-Монтаж

    • Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
    Видео сделает даже новичок!

  • утилита для оптимизации
  • Ускоритель компьютера

    • Программа для очистки Windows от “мусора” (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

Источник
Журнал ошибок в Windows 10

Если в работе Windows 10 возникают сбои, то записи о них всегда сохраняются в «Журнале ошибок». Этот инструмент не знаком большинству пользователей, и очень зря — с его помощью удобно вылавливать и устранять причины самых разных системных проблем.

Зачем нужен «Журнал событий»

Windows 10 подробно записывает все события, в том числе ошибки. Просматривая сведения о них, можно найти причину сбоя. Неправильно думать, что «Журнал ошибок» — это какой-то один файл. На самом деле, это целый комплекс XML-документов, доступных через единый интерфейс. Сам же «Журнал ошибок» является частью ещё другой системной утилиты, которая называется «Просмотр событий». См. также: как посмотреть журнал событий в Windows 10.

Так выглядит интерфейс «Журналов Windows 10»
Так выглядит интерфейс «Журналов Windows 10»

Сам «Журнал» ничего не исправляет — он только предоставляет информацию. Поэтому всё, что мы можем сделать — это открыть его и изучить сведения о последних событиях. Вооружившись информацией об ошибке из «Журнала», поисковыми системами и инструкциями по устранению сбоев, мы можем вернуть Windows 10 в работоспособное состояние.

Включение записи событий

По умолчанию запись событий на Windows 10 включена. Однако нелишним будет проверить работоспособность соответствующей службы — вдруг она не запускается в автоматическом режиме.

  1. Щёлкаем правой кнопкой по «Пуску» и в контекстном меню выбираем пункт «Диспетчер задач». Можно также использовать сочетание клавиш Ctrl+Shift+Esc.
  2. Переходим на вкладку «Службы».
  3. Кликаем по ссылке «Открыть службы».
Перейти в список служб можно и другим способом, но это один из самых удобных
Перейти в список служб можно и другим способом, но это один из самых удобных

4. Находим в списке «Журнал событий Windows».

5. Открываем свойства службы двойным кликом.

6. Устанавливаем тип запуска «Автоматически».

7. В поле «Состояние» нажимаем «Запустить».

8. Сохраняем конфигурацию, нажимая на кнопку «ОК».

Служба записи событий должна запускаться автоматически при загрузке Windows 10
Служба записи событий должна запускаться автоматически при загрузке Windows 10

Для корректного ведения логов должно быть также включено использование файла подкачки размером не менее 200 Мб.

  1. Нажимаем сочетание клавиш Win+R.
  2. В окне «Выполнить» вводим запрос sysdm.cpl.
Это самый быстрый способ попасть в «Параметры быстродействия» системы
Это самый быстрый способ попасть в «Параметры быстродействия» системы

3. Переходим на вкладку «Дополнительно».

4. В разделе «Быстродействие» нажимаем на кнопку «Параметры».

5. Переходим на вкладку «Дополнительно»

6. В поле «Виртуальная память» смотрим общий объём файла подкачки. Если он менее 200 Мб, нажимаем на кнопку «Изменить».

Файл подкачки должен быть не менее 200 Мб
Файл подкачки должен быть не менее 200 Мб

7. В окне настройки указываем исходный и максимальный размер.

8. Сохраняем конфигурацию

Можно указать размер самостоятельно или оставить его на выбор системы
Можно указать размер самостоятельно или оставить его на выбор системы

После включения ведения логов и настройки размера файла подкачки все события точно будут сохраняться в системную утилиту «Просмотр событий». Это значит, что мы можем переходить к изучению «Журнала ошибок».

Как открыть «Просмотр событий»

Системная утилита «Просмотр событий» доступна в «Панели управления».

  1. Открываем «Панель управления».
  2. Переходим в раздел «Администрирование».
  3. Выбираем утилиту «Просмотр событий».
Внутри интерфейса «Просмотра событий» доступен «Журнал ошибок»
Внутри интерфейса «Просмотра событий» доступен «Журнал ошибок»

Можно не заходить в «Панель управления», а воспользоваться встроенным поиском Windows 10. По запросу «Просмотр событий» без проблем находится одноимённая системная утилита.

Через поиск Windows 10 мы можем найти любую системную утилиту
Через поиск Windows 10 мы можем найти любую системную утилиту

Ещё один способ — использование меню «Выполнить», которое запускается сочетанием клавиш Win+R. Команда для открытия окна «Просмотра событий» — eventvwr.msc.

Зная имя системной утилиты, мы можем вызвать её через меню «Выполнить»
Зная имя системной утилиты, мы можем вызвать её через меню «Выполнить»

Какой бы способы вы ни выбрали, результат будет один — на экране появится интерфейс утилиты «Просмотр событий», внутри которой ведётся журнал ошибок.

Как пользоваться журналом ошибок

В окне «Просмотр событий» есть вкладка «Обзор и сводка». Ниже находится подменю «Сводка административных событий». В нём доступно пять пунктов: критические события, ошибки, предупреждения, сведения и аудит успеха. В первую очередь нужно обращать внимание на содержимое первых трёх разделов.

Все ошибки и возможные сбои хранятся в первых трёх пунктах сводки
Все ошибки и возможные сбои хранятся в первых трёх пунктах сводки

При раскрытии разделов появляется информация о том, что и когда происходило в системе. Например, в сведениях об ошибках есть описание, код, источник и частота повторения за сутки и неделю. Двойным кликом можно открыть подробности. Эта информация поможет найти причину сбоя с помощью поисковых систем — обычно достаточно скопировать код ошибки. Поэтому так важно хотя бы изредка заглядывать в журнал — он не только посодействует в устранении проблем, но и заранее предупредит о возможных неполадках.

Автор материала: Сергей Почекутов

Подписывайтесь на наш канал и ставьте лайки! А еще можете посетить наш официальный сайт.

Источник

Журнал событий — это встроенное в систему средство, с помощью которого можно посмотреть различную информацию о важных действиях, произошедших во время работы ОС. Тут собраны данные о различных ошибках, неполадках и сбоях, которые происходят как в самой системе, так и сторонних приложениях. В этой статье мы подробно расскажем, как запустить журнал событий при помощи нескольких способов в Windows 10.

Варианты запуска приложенияИконка варианты, список

Открыть журнал можно при помощи различных методов. Запускается программа как вручную через программный файл на диске, так и с использованием различных системных инструментов. Рассмотрим более подробно каждый из доступных методов.

Вариант №1: Диалоговое Окно «Выполнить»Иконка Выполнить Windows 10

Самый простой способ запуска журнала — это использование диалогового окна «Выполнить». Чтобы таким образом открыть программу, выполним следующие операции:

  1. Нажимаем клавиатурную комбинацию «WIN+R».
  2. Далее в появившееся окно вписываем команду eventvwr.msc 
  3. Кликаем по кнопке «ОК».

    eventvwr.msc диалоговое окно Выполнить Windows 10

    Запускаем «Журнал событий» из диалогового окна «Выполнить»

После произведенных действий журнал событий сразу запустится на компьютере.

Вариант №2: Используем поиск WindowsИконка поиск, лупа

При помощи системной функции поиска можно запускать различные компоненты Windows, в числе которых находится и журнал событий. Чтобы открыть приложение таким способом, проделаем следующее: 

  1. На панели задач кликаем по иконке поиска или используем клавиатурную комбинацию «WIN+S».
  2. Далее в поисковую строку вписываем текст — Просмотр событий.
  3. Из появившихся результатов запускаем найденную программу.

    Просмотр событий поиск Windows 10

    Открываем «Журнал событий» при помощи поиска

После выполненных операций журнал операционной системы будет сразу же запущен.

Вариант №3: Используем панель управления ОСИконка Панель управления Windows 10

Как можно догадаться из названия компонента, панель управления — это специальный раздел, в котором собраны различные утилиты для настройки функционала Windows, где можно отыскать и журнал событий. Чтобы при помощи этого системного раздела запустить нужное нам предложение, проделаем следующие шаги:

  1. Открываем диалоговое окно «Выполнить», нажав клавиатурную комбинацию «WIN+R».
  2. Далее запускаем «Панель управления», вписав туда команду control и кликнув по кнопке «OK».

    Команда control диалоговое окно «Выполнить»

    Открываем «Панель управления» из диалогового окна «Выполнить»

  3. После этого в появившемся окне нажимаем по разделу «Администрирование».

    Раздел Администрирование контрольная панель Windows 10

    Переходим в раздел «Администрирование»

  4. На экране компьютера отобразится список различных приложений для настройки системы. Ищем среди них программу «Просмотр событий» и запускаем её.

    Просмотр событий Администрирование Windows 10

    Запускаем «Журнал событий» выбрав соответствующую иконку

Окно журнала сразу появится на мониторе.

Вариант №4: Создаем ярлык для быстрого запуска программы Иконка ярлык, стрелка

Если пользователь собирается часто использовать журнал системы, для этого будет целесообразно создать ярлык, чтобы быстро запускать приложение. Осуществить это можно, произведя следующие операции:

  1. Открываем «Панель управления», воспользовавшись диалоговым окном «Выполнить» и вписав туда команду control.
  2. Далее из появившегося списка переходим в раздел «Администрирование».
  3. В новом окне кликаем по пункту «Просмотр событий» правой кнопкой и из контекстного меню выбираем вариант отправки на рабочий стол.

    Просмотр событий Отправить Рабочий стол

    Создаем ярлык для журнала на рабочем столе

После произведенных действий на десктопе появится ярлык, которым можно будет воспользоваться для быстрого запуска приложения.

ЗаключениеИконка заключение, итоги

На этом наша инструкция подошла к концу. Как видите, открыть журнал событий в десятой версии Windows можно разными способами. Для одноразового использования программы удобнее всего будет воспользоваться диалоговым окном «Выполнить», а если программу планируется запускать часто, то удобнее создать ярлык журнала на рабочем столе.

Post Views: 2 619

Источник

В этой статье мы расскажем о простых и доступных способах открыть журнал событий в Windows 10. Это может понадобиться, если возникнут какие-то проблемы с компьютером или потребуется получить полную информацию о том, что происходит в системе, какие ошибки возникают и как часто. В журнале событий сохраняется вся информация, об ошибках, внезапных отключениях питания, зависаниях, установках программ и т.д. По традиции начнём с самых удобных и запоминающихся способов.

С помощью кнопки Пуск

  1. Нажмите правой кнопкой мыши на кнопку Пуск (на панели задач) с логотипом Windows.
  2. Откроется контекстное меню кнопки «Пуск».
  3. Найдите в списке приложение «Просмотр событий» и нажмите на него.
event viewer start
На наш взгляд, это самый простой и удобный способ перейти к журналу событий. Требуется всего два нажатия на клавиши мышки.

С помощью кнопки или строки поиска на панели задач Windows 10

В Windows 10 на панели задач можно увидеть кнопку поиска в виде лупы или строки с текстом «Введите здесь текст для поиска» или «Искать что угодно».

  1. Нажмите на кнопку поиска.
  2. Начните набирать текст Просмотр событий или eventvwr.msc.
  3. Windows установит лучшее соответствие и первым вариантом предложит запустить приложение «Просмотр событий» или eventvwr (в зависимости от того, что вы вводили в поисковой строке).
event viewer search

С помощью списка приложений в меню Пуск

  1. Нажмите на кнопку Пуск с логотипом Windows.
  2. В списке всех приложений найдите папку «Средства администрирования Windows».
  3. Нажмите на папку, чтобы раскрыть список стандартных утилит Windows.
  4. Найдите в списке приложение «Просмотр событий» и нажмите на него.
event viewer all apps in start
Искать журнал событий через список всех приложений довольно проблематично. Чтобы ускорить поиск, нажмите на букву «С» и вас перекинет ко всем приложениям с этой буквы.

С помощью адресной строки в проводнике

Еще один вариант открытия утилиты «Просмотр событий» из любой папки.

  1. Откройте приложение «Проводник» (Explorer) или просто щелкните по ярлыку «Мой компьютер» на рабочем столе.

Как открыть Проводник? 7 разных способов

  1. В адресной строке введите текст eventvwr.msc и нажмите кнопку Enter или кнопку со стрелкой.
event viewer
Так выглядит проводник Explorer. Запустить утилиту для просмотра журнала событий можно из любой папки.

С помощью приложения «Выполнить»

  1. Запустите приложение «Выполнить» (нажмите на клавиатуре кнопку с логотипом Windows + R ).
  2. Введите текст eventvwr.msc
  3. Нажмите кнопку «ОК».
event viewer run

С помощью классической Панели управления

Как открыть классическую Панель управления в Windows 10? Все способы.

Если не знаете, как воспользоваться данным способом и возникает трудность с поиском классической Панели управления

  1. Откройте классическую Панель управления.
  2. Найдите вкладку «Администрирование» и нажмите на неё.
open services control panel1
Если вы не видите в Панели управления вкладку «Администрирование», поменяйте режим просмотра с Категории на крупные или мелкие значки.
  1. Откроется новое окно со списком всех системных утилит.
  2. Найдите в списке приложение «Просмотр событий» и запустите его.
event viewer control panel

А какой вариант открытия утилиты «Просмотр событий» используете вы?

Напишите в комментариях о своих способах 😉

Источник

Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.

Где находится журнал событий в Windows 10.

События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.

Содержание

  • Где находится журнал событий и как его открыть
  • Что делать, если журнал событий не открывается
  • Структура просмотрщика журнала событий
  • Как искать в журналах событий интересующие сведения
    • Как пользоваться функцией фильтрации
    • Как создавать настраиваемые представления
    • Источники, уровни и коды событий. Как понять, что означает конкретный код
  • Get System Info – альтернатива стандартному просмотрщику Windows

Где находится журнал событий и как его открыть

Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка Windowssystem32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:

  • Главное меню Windows – «Пуск». Щелкать по его кнопке следует не левой, а правой клавишей мыши. Пункт «Просмотр событий» – четвертый сверху.

Меню правой кнопки пуск.

  • Системный поиск – кнопка со значком в виде лупы возле «Пуска». Достаточно начать вводить в поисковую строку слово «просм…» – и вот он, нашелся.

Системный поиск.

  • Виндовая утилита «Выполнить» (Run) просто создана для тех, кто предпочитает горячие клавиши. Нажмите на клавиатуре Windows+К (русская), вбейте в строку «Открыть» команду eventvwr (имя файла просмотрщика) и щелкните ОК.

Утилита «Выполнить».

  • Командная строка или консоль Powershell (их тоже удобно открывать через контекстное меню кнопки Пуск). Для запуска журнала событий снова введите eventvwr и щелкните Enter.

Открытие журнала событий через командную строку.

  • Старая добрая Панель управления (кстати, если желаете вернуть ее в контекст Пуска, читайте эту статью). Перейдите в раздел «Система и безопасность», спуститесь вниз окна до пункта «Администрирование» и кликните «Просмотр журналов событий».

Панель управления.

  • Системная утилита «Параметры», пришедшая на смену панели управления. Зарываться в ее недра – то еще удовольствие, но можно сделать проще – начать вбивать в строку поиска слово «администрирование». Следом просто перейдите в найденный раздел и щелкните ярлык просмотрщика.

Утилита «Параметры».

  • НахОдите журнал событий Windows увлекательным чтивом? Тогда, возможно, вам понравится идея держать его всегда под рукой. Чтобы поместить ярлык просмотрщика на рабочий стол, зайдите любым из способов в раздел панели управления «Администрирование», скопируйте ярлык нажатием клавиш Ctrl+C, щелкните мышкой по рабочему столу и нажмите Ctrl+V.

Ярлык журнала событий.

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Открытие служб.

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба «Журнал событий Windows».

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

  • Ваша ученая запись ограничена в правах доступа политиками безопасности.
  • В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
  • Некоторые системные компоненты повреждены или заблокированы вредоносной программой.

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

  • Откатом на контрольную точку, созданную, когда всё работало исправно.
  • Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe —scannow в командной строке.
  • Сканированием дисков на предмет вирусного заражения.
  • Восстановлением прав доступа системных учетных записей к папкам WindowsSystem32winevt и System32LogFiles. Рабочие настройки показаны на скриншотах ниже.

Восстановление прав доступа к папкам.

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Просмотрщик журнала событий.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Как искать в журналах событий интересующие сведения

Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.

Как пользоваться функцией фильтрации

Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».

Далее заполняем вкладку «Фильтр»:

  • Из списка «Дата» выбираем последние 7 дней.
  • В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
  • В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
  • Указываем коды событий (event ID), о которых собираем сведения.
  • Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).

Фильтр журнала событий.

Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:

Журнал событий после фильтрации.

Читать его стало гораздо удобнее.

Как создавать настраиваемые представления

Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.

Чтобы создать настраиваемое представление, сделайте следующее:

  • Выделите в разделе каталогов интересующий журнал.
  • Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
  • Заполните настройки окошка «Фильтр» по примеру выше.
  • Сохраните фильтр под любым именем в выбранный каталог.

Настраиваемое представление.

В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.

Источники, уровни и коды событий. Как понять, что означает конкретный код

Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.

Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:

  • Критическая ошибка указывает на самый серьезный сбой, который привел к отказу породившего его источника без возможности самостоятельного восстановления. Пример внешнего проявления такого сбоя – синий экран смерти Windows (BSoD) или внезапная перезагрузка компьютера.
  • Ошибка тоже указывает на сбой, но с менее критичными последствиями для работы системы. Например, вылет программы без сохранения данных из-за нехватки ресурсов, ошибки запуска служб и т. п.
  • Предупреждение – запись, сообщающая о неполадках, которые негативно влияют на работу системы, но не приводят к сбоям, а также о возможности возникновения ошибок в дальнейшем, если не устранить их причину. Пример: приложение запускалось дольше, чем обычно, что привело к замедлению загрузки системы.
  • Уведомление – обычное информационное сообщение, например, о том, что операционная система приступила к установке обновления.
  • Успешный отчет (аудит) – сообщение, информирующее об успехе какого-либо события. Примеры: программа успешно установлена, пользователь успешно вошел в учетную запись.
  • Неуспешный отчет (аудит) – сообщение о неуспешном завершении операции. Например, установка программы не была завершена из-за отмены действия пользователем.

Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.

Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.

Веб-ресурс eventid.net.

Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.

Код, взятый из журнала событий.

Get System Info – альтернатива стандартному просмотрщику Windows

Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info.

Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.

Преимущество этой утилиты перед  стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.

Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.

Как пользоваться Get System Info:

  • Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «Include Windows event logs».

Запуск Get System Info.

  • После того как на рабочем столе или в папке, которую вы указали, появится архивный файл с именем «GSI6_Имя_ПК_user_дата_ и т.д.», откройте в браузере сайт getsysteminfo.com и загрузите архив туда.

Сайт анализатор Get System Info.

  • После загрузки отчета на getsysteminfo.com зайдите на вкладку «Свойства системы» и откройте раздел «Журнал событий».

Журнал событий на getsysteminfo.

Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.

Просмотр события getsysteminfo.

Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.

Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.

Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением.  Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.

Понравилась статья? Оцените её:

Источник

Добавить комментарий