Для различных событий и ошибок системы и приложений Windows ведёт журналы событий, которые можно просмотреть и получить дополнительную информацию, которая может быть полезной при решении проблем с компьютером.
В этой инструкции для начинающих — способы открыть просмотр событий Windows 11/10 и дополнительная информация на тему, которая может пригодиться. На близкую тему: Как отключить журнал событий в Windows.
Контекстное меню кнопки Пуск и поиск
Самый быстрый способ перейти к просмотру журналов событий в Windows 11 и 10 — нажать правой кнопкой мыши по кнопке «Пуск» или нажать клавиши Win+X на клавиатуре и выбрать пункт «Просмотр событий» в открывшемся меню.
Ещё один простой и в большинстве случаев работающий способ открыть какой-либо системный инструмент, расположение которого вам неизвестно — использовать поиск в панели задач.
Начните вводить «Просмотр событий» в поиске, после чего запустите найденный результат:
Почему не «Журнал событий» или «Журнал ошибок», которые пользователи обычно ищут? Причина в том, что сами журналы — это файлы на диске в папках
C:\Windows\System32\winevt\Logs C:\Windows\System32\LogFiles
Пользователи, задавая вопрос о том, где журнал событий в Windows, обычно имеют в виду именно системный инструмент «Просмотр событий» для удобного просмотра соответствующих журналов.
Команда «Выполнить»
Самый быстрый и часто используемый метод запуска просмотра журналов событий Windows — использование команды «Выполнить»:
- Нажмите клавиши Win+R на клавиатуре, либо нажмите правой кнопкой мыши по кнопке «Пуск» и выберите пункт «Выполнить».
- Введите eventvwr.msc (или просто eventvwr) и нажмите Enter.
- Откроется «Просмотр событий».
Эту же команду можно использовать для создания ярлыка или для открытия журнала событий в командной строке. Возможно, вам пригодится информация о других полезных командах «Выполнить».
Обычно описанных выше вариантов бывает достаточно для открытия просмотра журналов событий и ошибок в Windows, но есть и другие подходы:
Помимо просмотра журнала событий, в Windows присутствует ещё один полезный инструмент — Монитор стабильности системы, позволяющий наглядно получить информацию о работе вашей системы по дням на основании данных из журнала событий.
Все способы:
- Просмотр событий в Виндовс 10
- Способ 1: «Панель управления»
- Способ 2: Окно «Выполнить»
- Способ 3: Поиск по системе
- Создание ярлыка для быстрого запуска
- Заключение
- Вопросы и ответы: 8
«Просмотр событий» — один из множества стандартных инструментов Виндовс, предоставляющий возможность просмотра всех событий, происходящих в среде операционной системы. В числе таковых всевозможные неполадки, ошибки, сбои и сообщения, связанные как непосредственно с ОС и ее компонентами, так и сторонними приложениями. О том, как в десятой версии Windows открыть журнал событий с целью его дальнейшего использования для изучения и устранения возможных проблем, пойдет речь в нашей сегодняшней статье.
Просмотр событий в Виндовс 10
Существует несколько вариантов открытия журнала событий на компьютере с Windows 10, но в целом все они сводятся к ручному запуску исполняемого файла или его самостоятельному поиску в среде операционной системы. Расскажем подробнее о каждом из них.
Способ 1: «Панель управления»
Как понятно из названия, «Панель» предназначена для того, чтобы управлять операционной системой и входящими в ее состав компонентами, а также быстрого вызова и настройки стандартных инструментов и средств. Неудивительно, что с помощью этого раздела ОС можно вызвать в том числе и журнал событий.
Читайте также: Как открыть «Панель управления» в Виндовс 10
- Любым удобным способом откройте «Панель управления». Например, нажмите на клавиатуре «WIN+R», введите в строку открывшегося окна выполнить команду «control» без кавычек, нажмите «ОК» или «ENTER» для запуска.
- Найдите раздел «Администрирование» и перейдите в него, кликнув левой кнопкой мышки (ЛКМ) по соответствующему наименованию. Если потребуется, предварительно измените режим просмотра «Панели» на «Мелкие значки».
- Отыщите в открывшейся директории приложение с наименованием «Просмотр событий» и запустите его двойным нажатием ЛКМ.
Журнал событий Windows будет открыт, а значит, вы сможете перейти к изучению его содержимого и использованию полученной информации для устранения потенциальных проблем в работе операционной системы либо же банальному изучению того, что происходит в ее среде.
Способ 2: Окно «Выполнить»
И без того простой и быстрый в своем выполнении вариант запуска «Просмотра событий», который нами был описан выше, при желании можно немного сократить и ускорить.
- Вызовите окно «Выполнить», нажав на клавиатуре клавиши «WIN+R».
- Введите команду «eventvwr.msc» без кавычек и нажмите «ENTER» или «ОК».
- Журнал событий будет открыт незамедлительно.
Способ 3: Поиск по системе
Функцию поиска, которая в десятой версии Виндовс работает особенно хорошо, тоже можно использовать для вызова различных системных компонентов, и не только их. Так, для решения нашей сегодняшней задачи необходимо выполнить следующее:
- Нажмите по значку поиска на панели задач левой кнопкой мышки или воспользуйтесь клавишами «WIN+S».
- Начните вводить в поисковую строку запрос «Просмотр событий» и, когда увидите в перечне результатов соответствующее приложение, кликните по нему ЛКМ для запуска.
- Это откроет журнал событий Windows.
Читайте также: Как сделать панель задач в Виндовс 10 прозрачной
Создание ярлыка для быстрого запуска
Если вы планируете часто или хотя бы время от времени обращаться к «Просмотру событий», рекомендуем создать на рабочем столе его ярлык – это поможет ощутимо ускорить запуск необходимого компонента ОС.
- Повторите шаги 1-2, описанные в «Способе 1» данной статьи.
- Отыскав в списке стандартных приложений «Просмотр событий», кликните по нему правой кнопкой мышки (ПКМ). В контекстном меню выберите поочередно пункты «Отправить» — «Рабочий стол (создать ярлык)».
- Сразу же после выполнения этих простых действий на рабочем столе Windows 10 появится ярлык под названием «Просмотр событий», который и можно использовать для открытия соответствующего раздела операционной системы.
Читайте также: Как создать ярлык «Мой компьютер» на рабочем столе Виндовс 10
Заключение
Из этой небольшой статьи вы узнали о том, как на компьютере с Windows 10 можно посмотреть журнал событий. Сделать это можно с помощью одного из трех рассмотренных нами способов, но если к данному разделу ОС приходится обращаться довольно часто, рекомендуем создать ярлык на рабочем столе для его быстрого запуска. Надеемся, данный материал был полезен для вас.
Наша группа в TelegramПолезные советы и помощь
- Зачем нужен и как открыть Журнал событий?
- Интерфейс Журнала событий
- Что можно сделать в Журнале событий?
- Заключение
Журнал событий — это одна из стандартных служебных утилит, встроенных в Windows. Программа существует в системе уже давно и поставляется как со старыми, так и с самими последними версиями ОС. Рассмотрим, как открыть и использовать Журнал событий в Windows 10 или 11. Разберем, что в нем можно сделать и чем он полезен.
Зачем нужен и как открыть Журнал событий?
Утилита используется для просмотра произошедших событий, выполненных команд и действий в системе. С ее помощью можно отслеживать возникшие ошибки и выявлять их причины для дальнейшего устранения и предотвращения повторного появления сбоев. Программа позволяет выполнять диагностику ОС и изучать все события, произошедшие внутри Windows. Обычно утилиту используют именно для этого.
Для начала разберем несколько основных способов запустить утилиту в Windows 10 и 11.
1 способ — поиск на панели задач
Наиболее простой метод — найти утилиту в строке поиска на панели задач и запустить ее оттуда. Введите Просмотр событий и дождитесь, пока отобразятся результаты. Найдите среди них программу и кликните на нее левой кнопкой.
2 способ — утилита Выполнить
Распространенный способ — запуск через программу Выполнить. Чтобы воспользоваться им, примените сочетание клавиш Win + R. В появившемся окне введите команду eventvwr.msc и нажмите Enter на клавиатуре.
3 способ — контекстное меню кнопки Пуск
Простой способ открыть приложение в Windows 10 — щелкнуть правой кнопкой по кнопке Пуск и выбрать пункт Просмотр событий в появившемся контекстном меню.
4 способ — Управление компьютером
Попасть в Просмотр событий также можно через Управление компьютером. Для этого запустите его любым методом. Например, кликнув ПКМ по иконке Этот компьютер и выбрав пункт Управление. В левой колонке окна утилиты щелкните на ссылку Просмотр событий, чтобы открыть журнал.
5 способ — поиск файла в Проводнике
Альтернативный вариант — вручную найти запускной файл утилиты в файловом менеджере и открыть его таким способом. Для этого нужно перейти в директорию C:\Windows\System32, найти в ней eventvwr.msc и выполнить его.
Интерфейс Журнала событий
Окно Журнала событий состоит из нескольких основных частей:
- Слева находится боковая панель навигации, в которой можно выбрать нужный журнал (категорию). Например, Приложение, Безопасность, Система и т.д.
- По центру располагается основной список событий из выбранной в данный момент категории.
- Под списком находятся более подробные сведения о выделенном действии.
- В правой части окна находится панель инструментов, при помощи которой можно быстро выполнить нужное действие с выбранным событием.
В верхней части окна также присутствует стандартное меню и несколько кнопок для навигации.
Что можно сделать в Журнале событий?
Разберем основной функционал Журнала событий и распространенные сценарии использования программы.
Анализ выполненных действий
Самый простой сценарий использования утилиты — просмотр и анализ произошедших в Windows событий для диагностики возможных неполадок. Для него нужно открыть программу и изучить отображаемые действия в основных журналах (разделах).
Если среди них найдутся ошибки, ничего критичного в этом нет. В работе ОС в любом случае возникают сбои, и это нормально. Поводом для беспокойств может становиться только слишком большое количество ошибок в списке событий.
Выявление причин ошибок
Наиболее часто Журнал событий используют для выявления причин произошедших ошибок. При помощи утилиты можно узнать больше сведений о возникших в системе сбоях, что помогает проще найти и устранить их источник.
Чтобы найти причину произошедшей ошибки, найдите ее в списке событий и кликните по ней дважды. В открывшемся окне просмотрите информацию о неполадке. Главное, на что стоит обратить внимание — строка Код ошибки. В ней указывается кодовый номер сбоя, по которому можно найти причину неисправности через поиск в интернете.
Привязка задачи к событию
Одна из полезных функций — возможность привязать задачу к возникновению действия. Это осуществляется с участием другой служебной программы Windows — Планировщика событий. С помощью этих двух утилит, Журнала и Планировщика, можно задать нужное действие, которое будет автоматически выполняться в тех случаях, когда в системе произойдет определенное событие.
Заключение
Журнал событий — полезная утилита, которая может упростить использование Windows и решение проблем в системе. С ее помощью можно проанализировать работу ОС и быстро выявить причины произошедших сбоев.
The Windows 10 Event Viewer is an app that shows a log detailing information about significant events on your computer. This information includes automatically downloaded updates, errors, and warnings.
In this article, you’ll learn what the event viewer is, the different logs it has, and most importantly, how to access it on a Windows 10 computer.
What is the Event Viewer?
Each program you open on your Windows 10 computer sends a notification to a particular activity log in the Event Viewer.
All other activity such as OS changes, security updates, driver quirks, hardware failure, and so on are also posted to a particular log. So you can think of the event viewer as a database that records every activity on your computer.
With the event viewer, you can troubleshoot different Windows and application issues.
If you explore the event viewer in-depth, you will see different information, warnings, and plenty of errors. Don’t freak out – this is normal. Even the best-maintained computers show plenty of errors and warnings.
There are 3 main ways you can gain access to the event viewer on Windows 10 – via the Start menu, Run dialogue, and the command line.
Step 1: Click on Start or press the WIN (Windows) key on your keyboard
Step 2: Search for “Event Viewer”
Step 3: Click on the first search result or press ENTER
You will be greeted with this page:
How to Access the Windows 10 Activity Log through the Run Dialogue
Step 1: Right-click on Start (Windows log) and select “Run”, or press WIN (Windows key) + R on your keyboard
Step 2: Type in “eventvwr” to the editor and click “Ok” or hit ENTER
How to Access the Windows 10 Activity Log through the Command Prompt
Step 1: Click on Start (Windows logo) and search for “cmd”
Step 2: Hit Enter or click on the first search result (should be the command prompt) to launch the command prompt
Step 3: Type in “eventvwr” and hit ENTER
Event Viewer Activity Logs
When you open the event viewer to see your computer’s activity logs, you are automatically shown the Event Viewer (Local) tab. But this might not contain the details you need, as it’s just a page you are greeted with when you open the Event Viewer.
There is lots more to the Event Viewer than this.
The Administrative Events Log
You can expand the Custom Views tab to see your computer’s administrative events, like this:
The Windows Activity Logs
You can also expand the Windows Logs to show various activities such as:
-
Application Events: Information, errors, and warning reports of program activities
-
Security Events: This shows the results of various security actions. They are called audits and each of them can be a success or a failure
-
Setup Event: this has to do with domain controllers, which is a server that verifies users on computer networks. You shouldn’t worry about them day-to-day.
-
System Events: these are reports from system files detailing the errors they have encountered
-
Forwarded Events: these are sent to your computer from other computers in the same network. They help you keep track of the event logs of other computers in the same newtwork.
In addition, there are the Application and Service logs, which show hardware and Internet Explorer activities, alongside Microsoft Office apps activities.
You can double click on an error to check its properties, and look up the event ID of the error online. This can help you discover more information on the error so you can fix it if you need to.
Conclusion
In this article, you learned about the Windows 10 Event Viewer, which is a very powerful tool Windows users should know how to use.
Apart from viewing various activity logs, it also helps you be aware of what’s happening on your computer.
Thank you for reading. If you consider this article helpful, please share it with your friends and family.
Learn to code for free. freeCodeCamp’s open source curriculum has helped more than 40,000 people get jobs as developers. Get started
Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров22K
Журналирование событий информационной безопасности является важным элементом системы защиты информации. Нам необходимо знать какое событие когда произошло, когда какой пользователь пытался зайти в систему, с какого узла, удачно или нет, и так далее. Конечно, некоторые события ИБ сохраняются в журналах ОС при использовании настроек по умолчанию, например, не/удачные входы в систему, изменения прав доступа и т. д. Однако, настроек по умолчанию и локального хранения логов недостаточно для эффективного мониторинга и реагирования на события ИБ.
В этой статье мы посмотрим, как можно организовать эффективный аудит узлов под управлением ОС Windows, а в следующей статье настроим централизованный сбор событий с нескольких узлов и попробуем с помощью Powershell автоматизировать обработку собранных событий.
Зачем нужно централизованное хранение
Локальное хранение журналов событий имеет целый ряд недостатков, не позволяющих использовать этот механизм для мониторинга событий ИБ. С точки зрения безопасности локальные журналы хранят все события только на данной машине. Пока злоумышленник пытается получить доступ и поднять привилегии на данной машине, некоторые события обличающие его действия, возможно будут сохраняться в логах, но как только он получит необходимые права, он сможет почистить журнал событий, затем заполнить его фиктивными логами, в результате чего мы не увидим событий, связанных с компрометацией узла.
Да, при очистке лога будет создано событие ‘1102 Журнал аудита был очищен’, но от этого события тоже можно избавиться, просто заполнив лог большим количеством фиктивных событий.
Так как, обычно EventLog пишется по принципу циклической записи, более старые события удаляются, и их заменяют более новые.
Ну а создать поддельные события можно с помощью того же PowerShell, используя командлет Write-EventLog.
Таким образом, локальное хранение событий это не самый лучший вариант работы с логами с точки зрения безопасности. Ну а кроме того, нам не слишком удобно анализировать журналы событий, если они хранятся только локально. Тогда необходимо подключаться к журналам событий каждой локальной машины и работать с ними локально.
Гораздо удобнее пересылать логи на отдельный сервер, где их можно централизованно хранить и анализировать. В таком случае, в процессе выполнения атаки мы можем получать события от атакуемого узла, которые точно не будут потеряны. Кроме того, даже если злоумышленник сможет очистить лог на локальной машине, на удаленном сервере все события сохраняться. Ну и если события от нескольких узлов сохраняются централизованно на одном сервере, то с ними гораздо удобнее работать, что тоже не маловажно при анализе логов.
Эффективный аудит
Мы разобрались с необходимостью централизованного мониторинга событий. Однако, еще необходимо разобраться с тем, какие именно события должны присутствовать в наших логах. С одной стороны в логах должны присутствовать важные события с точки зрения ИБ, а с другой, в нем не должно быть слишком много неинтересных событий, например постоянных обращений к каким-либо файлам или сообщений о запуске каких-либо процессов, не представляющих никакого интереса для ИБ. Таким образом, чтоб нам не потонуть в большом объеме ненужных событий и не потерять что-то действительно важное, нам необходимо грамотно настроить политики аудита.
Для настройки откроем Политики аудита (Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Локальные политики / Политика аудита (Computer Configuration / Windows Settings / Security Settings / Local Policies / Audit Policy).
Также нам потребуются расширенные политики аудита, которые можно открыть здесь: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Конфигурация расширенной политики аудита (Computer Configuration / Windows Settings / Security Settings / Advanced Audit Policy Configuration).
Отличием политики расширенного аудита является наличие подкатегорий и теперь мы можем управлять аудитом на уровне не только категорий, но и подкатегорий. Если сравнить Политики аудита и Расширенные политики аудита, то можно заметить, что разделы в обычных политиках в свою очередь разделены на подразделы в расширенных политиках, что позволяет нам настраивать более подробные категории аудита. Так, для группы Вход учётной записи (Account Logon) мы можем настроить четыре проверки -Аудит проверки учётных данных, Аудит службы проверки подлинности Kerberos, Аудит операций с билетами службы Kerberos, Аудит других событий входа учётных записей.
Для каждого типа аудита мы можем настроить аудит событий успеха или отказа. С событиями успеха нужно быть аккуратными. Так, для того же аудита входов в систему мы рискуем получить большое количество событий успешного входа, которые по факту не будут представлять никакой ценности. Также, не стоит включать в аудите доступа к объектам, аудит событий «платформы фильтрации Windows», потому что он генерирует крайне большое количество событий (всё сетевое взаимодействие хоста). В результате мы снова рискуем получить большое количество ненужных событий. В результате срабатывания настроек политик аудита, в журнале создаются события, каждое из которых имеет собственный код.
Для эффективного аудита нам необходим сбор следующих типов событий: 4624 (Успешный вход в систему), 4647 (Выход из системы), 4625 (Неудачный вход в систему), 4778/4779 (Соединение/разъединение по RDP), 4800/4801 (Блокировка/Разблокировка рабочей станции) и некоторые другие.
При анализе событий нам важно понимать, как именно был осуществлен вход в систему или с каким кодом мы получили событие о неудачном входе в систему.
Посмотрим типы входа в систему:
2 – интерактивный
3 – сетевой (через сетевой диск)
4 – запуск по расписанию
5 – запуск сервиса
7 – разблокировка экрана
8 – сетевой (Basic Authentication в IIS)
10 – подключение по RDP
11 – вход по закешированным учетным данным
В приведенном ниже скриншоте у нас представлен вход в систему при запуске сервиса
И посмотрим, как мы можем узнать причину неудачного входа в систему
0xC0000064 — такого пользователя не существует
0xC000006A — неверный пароль
0xC0000234 — пользователь заблокирован
0xC0000072 — пользователь отключен
0xC000006F — пользователь попытался войти в систему вне установленных для него ограничений по дням недели или времени суток
0xC0000070 — ограничение рабочей станции или нарушение изолированной политики аутентификации (найдите идентификатор события 4820 на контроллере домена)
0xC0000193 — срок действия учетной записи истек
0xC0000071 — истек пароль
0xC0000133 — часы между DC и другим компьютером слишком сильно рассинхронизированы
0xC0000224 — пользователю необходимо сменить пароль при следующем входе в систему
0xc000015b Пользователю не был предоставлен запрошенный тип входа в систему (он же право входа в систему) на этом компьютере
Таким образом, по значениям данных кодов в соответствующих событиях мы можем понять, что стало причиной неудачного входа в систему или каким образом пользователь или сервис осуществили вход.
На картинке ниже представлен неудачный интерактивный вход в систему, причиной которого стало указание неверного пароля.
В следующей статье мы посмотрим, как средствами PowerShell можно извлекать различные значения из событий и делать обработку логов более “человеко-удобной.
Заключение
В этой статье мы рассмотрели виды аудита в современных версиях ОС Windows, поговорили о том, какие именно события должны собираться в системе и что означают некоторые поля в этих событиях. В следующей статье мы настроим централизованный сбор событий с нескольких источников и попробуем с помощью PowerShell настроить автоматический анализ собираемых событий.
Напоследок приглашаю вас на бесплатный вебинар, где мы узнаем, зачем нужны бэкапы и как их организовать путем сервисов в Windows.