Что такое просмотр событий в windows — Ваш верный помощник с OS Windows

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

Администрирование Windows для начинающих
Редактор реестра
Редактор локальной групповой политики
Работа со службами Windows
Управление дисками
Диспетчер задач
Просмотр событий (эта статья)
Планировщик заданий
Монитор стабильности системы
Системный монитор
Монитор ресурсов
Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

Имя журнала — имя файла журнала, куда была сохранена информация о событии.
Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
Категория задачи, ключевые слова — обычно не используются.
Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

События, связанные с производительностью системы

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

Источник

Журналы сбоев и ошибок Windows являются важным инструментом для диагностики и решения проблем в операционной системе. Они хранят информацию о различных событиях, включая ошибки, предупреждения и критические сбои, которые происходят на компьютере. Просмотр журналов позволяет пользователям получить более глубокое понимание того, что происходит с их системой и помогает выявить причины возникших проблем.

В этой статье мы рассмотрим, как можно просматривать журналы сбоев и ошибок в Windows, а также какие инструменты можно использовать для этой цели. Мы рассмотрим основные способы доступа к журналам событий, а также дадим обзор инструментов, таких как Средство просмотра событий и Монитор надежности, которые помогут вам анализировать и интерпретировать информацию из журналов.

Основные аспекты

Журналы событий Windows содержат данные о неисправностях, возникших в оборудовании и программном обеспечении, а также об успешных операциях.

Чтобы просмотреть журналы событий разной важности и по разным категориям, можно воспользоваться инструментом просмотра событий (eventvwr.msc) или монитором надежности (Панель управления > Система и безопасность > Безопасность и обслуживание > Обслуживание > Просмотр истории надежности).

Операционная система Windows аккуратно регистрирует и сохраняет информацию о своей деятельности, особенно если произошли какие-либо сбои. Эти данные собираются из различных приложений Windows и компонентов операционной системы.

Эти ошибки сохраняются в каталоге «C:\WINDOWS\system32\config\». Однако при попытке доступа к этому каталогу вы обнаружите файлы, которые невозможно открыть в обычных приложениях, что мешает просмотру журналов ошибок. Для этой цели в операционной системе Windows предусмотрены два полезных инструмента:

Средство просмотра событий Windows
Монитор надежности

Эти инструменты позволяют просматривать и анализировать различные ошибки и предупреждения, возникающие на вашем компьютере. Поэтому, если ваши приложения продолжают выдавать ошибки или вы сталкиваетесь с «синим экраном смерти» (BSoD) и не понимаете причину, вы можете обратиться к этим инструментам, чтобы выяснить причину возникновения ошибки и способы ее устранения.

Этот гайд описывает, как получить доступ к средству просмотра событий и монитору надежности на компьютере с операционной системой Windows, а также как использовать их для анализа различных типов ошибок и их причин.

Что такое журналы событий Windows?

Журналы событий Windows — это встроенный инструмент операционной системы, который записывает информацию о различных событиях, происходящих на компьютере. Эти события могут включать ошибки, предупреждения, информационные сообщения и другие сведения о работе системы.

Просмотр журналов событий Windows может помочь пользователям выявить и исправить различные проблемы, такие как сбои программного обеспечения, аномальное поведение системы, неполадки оборудования и другие ошибки, которые могут возникнуть в процессе работы операционной системы.

Журналы событий Windows содержат разнообразную информацию о различных событиях, происходящих на компьютере. Вот основные типы информации, которые могут содержаться в журналах событий:

Время и дата: Записи в журналах событий содержат информацию о точном времени и дате каждого события.
Идентификатор события: Каждое событие имеет уникальный идентификатор, который помогает идентифицировать его тип и характер.
Уровень критичности: События могут быть отмечены разными уровнями критичности, такими как ошибка, предупреждение или информационное сообщение. Это помогает пользователю определить важность события.
Описание события: Каждое событие сопровождается описанием, которое содержит подробную информацию о произошедшем событии, его причинах и последствиях.
Информация о приложениях и службах: Журналы событий могут содержать информацию о приложениях, службах и компонентах операционной системы, которые вызвали событие или на которые оно повлияло.
Дополнительные данные: В некоторых случаях журналы событий могут содержать дополнительные данные, такие как имена файлов, коды ошибок, сообщения от системных компонентов и другие сведения, которые помогают понять причину возникновения события.

Типы и категории журналов событий Windows

Журналы событий Windows разделены на различные типы и категории, чтобы облегчить организацию и поиск информации о событиях на компьютере.

Вот основные типы журналов событий:

Журналы приложений (Application): Этот тип журналов содержит информацию о событиях, связанных с приложениями, установленными на компьютере. Сюда входят ошибки, предупреждения и информационные сообщения, связанные с работой различных программ.
Журналы системы (System): В этом типе журналов содержится информация о событиях, связанных с работой операционной системы Windows. Сюда входят сообщения о запуске и выключении компьютера, драйверах устройств, системных службах и т. д.
Журналы безопасности (Security): Эти журналы содержат информацию о безопасности компьютера, включая попытки входа в систему, аудит доступа к файлам и папкам, а также другие события, связанные с безопасностью.
Журналы установки (Setup): В этом типе журналов содержится информация о процессе установки и удаления программного обеспечения на компьютере.
Журналы аппаратного обеспечения (Hardware Events): Эти журналы содержат информацию о событиях, связанных с аппаратным обеспечением компьютера, таких как ошибка чтения диска, отказ устройства и т. д.
Журналы служб (Forwarded Events): В этом типе журналов содержится информация о событиях, перенаправленных из других компьютеров в сети.

Вот пять основных категорий журналов событий в Windows:

Информация (Information): Указывает на нормальное функционирование службы или приложения. Например, когда служба Windows успешно запускается, в журнале событий будет зафиксировано информационное сообщение.
Предупреждение (Warning): Эти события указывают на потенциальные проблемы или ненормальные условия, которые могут потенциально привести к ошибкам или нежелательным последствиям.
Ошибка (Error): Эти события указывают на фактические ошибки или неудачные операции, которые произошли в системе, и могут потребовать вмешательства для их исправления.
Аудит успеха (Success Audit): Эти события отображают успешные операции или события, связанные с безопасностью, такие как успешные попытки входа в систему или успешное завершение операций аудита.
Аудит сбоев (Failure Audit): Эти события указывают на неудачные операции или события, связанные с безопасностью, такие как неудачные попытки входа в систему или другие сбои в безопасности.

Как просмотреть журналы событий в Windows

С помощью средства просмотра событий

Чтобы просмотреть журналы событий в Windows с помощью средства просмотра событий, следуйте этим шагам:

Откройте Средство просмотра событий: Нажмите на клавишу Windows, введите «Средство просмотра событий» в строке поиска и выберите соответствующий результат.
Навигация к журналам событий: В левой панели Средства просмотра событий выберите пункт «Журналы Windows». Здесь вы увидите список доступных журналов событий.

Картинка с сайта: bisv.ru
Выбор журнала событий: Выберите нужный журнал событий, например, «Система», «Приложение» или «Безопасность».
Просмотр журнала событий: После выбора журнала событий вы увидите список событий в правой части окна. Прокручивайте этот список для просмотра всех событий.
Фильтрация событий (опционально): Для удобства вы можете фильтровать события по различным критериям, таким как уровень важности, источник или ключевые слова.

Картинка с сайта: bisv.ru
Просмотр подробностей: Чтобы узнать подробности о конкретном событии, щелкните на нем. В нижней части окна появится информация о выбранном событии.
Закрытие Средства просмотра событий: После завершения просмотра журналов событий вы можете закрыть окно Средства просмотра событий.

С помощью монитора надежности

Чтобы просмотреть журналы событий в Windows с помощью монитора надежности, выполните следующие шаги:

Откройте Панель управления: Нажмите на клавишу Windows, введите «Панель управления» в строке поиска и выберите соответствующий результат.
Выберите категорию «Система и безопасность»: В Панели управления найдите и выберите категорию «Система и безопасность».
Откройте монитор надежности: В разделе «Система и безопасность» найдите и выберите опцию «Администрирование». Затем щелкните по ссылке «Техническое обслуживание».

Картинка с сайта: bisv.ru
Навигация к журналам событий: В техническом обслуживании выберите пункт «Просмотреть историю надежности».

Картинка с сайта: bisv.ru
Выбор журнала событий: В списке журналов событий выберите нужный журнал, например, «Система», «Приложение» или «Безопасность».

Картинка с сайта: bisv.ru
Просмотр журнала событий: После выбора журнала событий вы увидите список событий в правой части окна монитора надежности.
Фильтрация событий (опционально): При необходимости вы можете использовать фильтры для отображения определенных типов событий или определенного временного периода.
Просмотр подробностей: Чтобы узнать подробности о конкретном событии, выберите его в списке. Подробная информация об этом событии отобразится в нижней части окна.
Закрытие монитора надежности: После завершения просмотра журналов событий вы можете закрыть окно монитора надежности.

Заключительные слова

Понимание содержания журналов событий и ошибок является не менее важным, чем доступ к ним. Простое просматривание журналов событий не имеет смысла, если вы не способны понять их содержание и значение.

В этом подробном руководстве вы узнаете, как просматривать и интерпретировать журналы системных событий, а также как искать ошибки разной степени серьезности в различных категориях. Кроме того, вы сможете отыскать события за определенные периоды времени, если не знаете точно, когда произошла ошибка.

Источник

Журналы Windows играют ключевую роль в обеспечении безопасности, производительности и стабильности операционной системы. Они позволяют администраторам отслеживать события, выявлять проблемы и проводить анализ работы системы. В этой статье мы подробно рассмотрим, что такое журналы Windows, как они работают, какие виды журналов существуют, а также как их использовать для диагностики и мониторинга.

Ознакомиться с тарифами Windows хостинга можно тут

Что такое журналы Windows?

Журналы Windows — это записи, содержащие информацию о событиях, происходящих в операционной системе. Каждое событие записывается в виде записи журнала, которая включает в себя временную метку, источник события, уровень важности и описание события.

Зачем нужны журналы Windows?

Журналы служат нескольким целям:

Мониторинг безопасности: Журналы помогают отслеживать попытки несанкционированного доступа и другие подозрительные действия.
Диагностика проблем: При возникновении ошибок и сбоев журналы предоставляют информацию, необходимую для их устранения.
Анализ производительности: Журналы могут помочь в выявлении узких мест в производительности системы.
Отчетность: Журналы могут использоваться для создания отчетов о состоянии системы и безопасности.

Виды журналов Windows

Windows предлагает несколько типов журналов, каждый из которых предназначен для записи определенных событий:

1. Журнал приложений

Журнал приложений содержит записи о событиях, связанных с установленными приложениями. Это может включать ошибки, предупреждения и другую информацию, которую приложения отправляют в систему.

2. Журнал системных событий

Системный журнал фиксирует события, происходящие на уровне операционной системы. Это могут быть ошибки драйверов, проблемы с оборудованием и другие системные события.

3. Журнал безопасности

Журнал безопасности отслеживает события, связанные с безопасностью, такие как входы в систему, изменения прав доступа и попытки несанкционированного доступа.

4. Журнал установки

Журнал установки фиксирует события, связанные с установкой и обновлением программного обеспечения и драйверов.

5. Журнал Windows PowerShell

Этот журнал хранит записи о выполнении команд и скриптов в PowerShell, что полезно для администраторов и разработчиков.

Как получить доступ к журналам Windows

Для доступа к журналам Windows используется встроенная утилита «Просмотр событий».

Шаги для открытия «Просмотр событий»:

Нажмите комбинацию клавиш Win + R, чтобы открыть окно «Выполнить».
Введите команду eventvwr и нажмите Enter.
В левой панели вы увидите различные категории журналов, такие как «Журналы Windows» и «Журналы приложений и служб».

Основные операции с журналами

Просмотр и фильтрация событий

Просмотр событий: В правой части окна вы можете видеть список событий. Дважды щелкните на любое событие, чтобы просмотреть его детали.
Фильтрация событий: Чтобы упростить поиск нужных событий, вы можете использовать фильтры. Нажмите на «Фильтр текущего журнала» в правой части окна и задайте параметры фильтрации (например, по уровню важности или источнику).

Экспорт и импорт журналов

Вы можете экспортировать журналы в файл для дальнейшего анализа или архивирования.

Для экспорта: щелкните правой кнопкой на нужном журнале и выберите «Сохранить все события как…».
Выберите формат файла (например, XML или EVTX) и укажите место для сохранения.
Для импорта: используйте опцию «Открыть сохраненный журнал» в меню.

Очистка журналов

С течением времени журналы могут заполняться, и их очистка может быть необходима для управления дисковым пространством.

Щелкните правой кнопкой мыши на журнале и выберите «Очистить журнал».
Подтвердите действие.

Анализ событий в журналах Windows

Анализ журналов Windows может помочь в выявлении проблем и обеспечении безопасности. Рассмотрим несколько важных аспектов анализа:

1. Поиск ошибок

Ошибки и предупреждения в журналах обычно выделяются цветом. Просматривая журнал, обратите внимание на записи с уровнем «Ошибка» или «Предупреждение».

2. Аудит безопасности

Для обеспечения безопасности системы важно отслеживать записи в журнале безопасности. Проверьте, были ли попытки входа в систему с неправильным паролем или изменения прав доступа.

3. Мониторинг производительности

Системный журнал может помочь выявить проблемы с производительностью. Обратите внимание на события, связанные с высоким использованием ресурсов или сбоями оборудования.

4. Использование фильтров

Фильтры позволяют сосредоточиться на конкретных событиях. Вы можете фильтровать события по времени, уровню важности или источнику.

Устранение распространенных проблем

1. Проблемы с приложениями

Если приложение не работает должным образом, проверьте журнал приложений на наличие ошибок, связанных с данным приложением.

2. Проблемы с оборудованием

Журнал системных событий может содержать информацию о проблемах с оборудованием, таких как сбои драйверов или проблемы с жестким диском.

3. Проблемы с безопасностью

Если вы подозреваете, что система была скомпрометирована, проверьте журнал безопасности на наличие подозрительных действий.

4. Перегрузка журналов

Если журнал переполнен, это может привести к проблемам с записью новых событий. Регулярно очищайте и архивируйте журналы, чтобы избежать этой проблемы.

Настройка ведения журналов

1. Изменение параметров журнала

Вы можете настроить параметры ведения журналов, чтобы контролировать, как и когда они записываются. Например, вы можете установить максимальный размер журнала или выбрать, как система будет реагировать на переполнение.

2. Настройка аудита

Вы можете настроить аудит безопасности, чтобы отслеживать определенные действия, такие как вход в систему или изменения в политике безопасности.

Заключение

Журналы Windows являются мощным инструментом для мониторинга и анализа системы. Правильное использование журналов позволяет обеспечить безопасность, производительность и стабильность операционной системы. Надеемся, что эта статья поможет вам эффективно управлять и анализировать журналы Windows, а также быстро устранять проблемы.

Источник

Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем. Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:

- через меню Пуск – Средства администрирования Windows – Просмотр событий (Start – Windows Administrative Tools – Event Viewer);
- в командной строке или в окне Выполнить набрать eventvwr.msc:

В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager –Tools – Event Viewer):

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).

Для удобства просмотра и управления системные журналы разбиты по категориям:

Приложения (Application) – как и гласит название, содержит события и ошибки приложений;

Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);

Система (System) – здесь регистрируются события операционной системы и системных сервисов;

Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.

В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.

Сами события также разделяются на типы:

— Сведения (Information) — информируют о штатной работе приложений.

— Предупреждение (Warning) – событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).

— Ошибка (Error) – проблема, ведущая к деградации приложения или службы, потерям данных.

— Критическое (Critical) – значительная проблема, ведущая к неработоспособности приложения или службы.

— Аудит успеха (Success audit) – событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).

— Аудит отказа (Failure audit) – событие журнала Безопасность (Security), обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).

Работа с журналами

Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:

Правый клик по журналу – Фильтр текущего журнала… (Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:

Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.

Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):

Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):

В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:

В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:

— Переписывать события при необходимости (Overwrite events as needed) – новое событие будет записываться поверх самого старого события в журнале, таким образом будут доступны события только за определенный диапазон времени.

— Архивировать журнал при заполнении (Overwrite the log when full) – заполненный журнал будет сохранен, последующие события будут записываться в новый файл журнала. При необходимости доступа к старым событиям, архивный файл можно будет открыть в приложении Просмотр событий (Event Viewer).

— Не переписывать события (Do not overwrite events) – при заполнении журнала выдается системное сообщение о необходимости очистить журнал, старые события не перезаписываются.

Средняя оценка: 5.0
Оценили: 2

Источник