Журнал запуска программ windows 10 — Ваш верный помощник с OS Windows

Для различных событий и ошибок системы и приложений Windows ведёт журналы событий, которые можно просмотреть и получить дополнительную информацию, которая может быть полезной при решении проблем с компьютером.

В этой инструкции для начинающих — способы открыть просмотр событий Windows 11/10 и дополнительная информация на тему, которая может пригодиться. На близкую тему: Как отключить журнал событий в Windows.

Контекстное меню кнопки Пуск и поиск

Самый быстрый способ перейти к просмотру журналов событий в Windows 11 и 10 — нажать правой кнопкой мыши по кнопке «Пуск» или нажать клавиши Win+X на клавиатуре и выбрать пункт «Просмотр событий» в открывшемся меню.

Журнал событий в контекстном меню кнопки Пуск

Ещё один простой и в большинстве случаев работающий способ открыть какой-либо системный инструмент, расположение которого вам неизвестно — использовать поиск в панели задач.

Начните вводить «Просмотр событий» в поиске, после чего запустите найденный результат:

Почему не «Журнал событий» или «Журнал ошибок», которые пользователи обычно ищут? Причина в том, что сами журналы — это файлы на диске в папках

C:\Windows\System32\winevt\Logs
C:\Windows\System32\LogFiles

Пользователи, задавая вопрос о том, где журнал событий в Windows, обычно имеют в виду именно системный инструмент «Просмотр событий» для удобного просмотра соответствующих журналов.

Команда «Выполнить»

Самый быстрый и часто используемый метод запуска просмотра журналов событий Windows — использование команды «Выполнить»:

Нажмите клавиши Win+R на клавиатуре, либо нажмите правой кнопкой мыши по кнопке «Пуск» и выберите пункт «Выполнить».
Введите eventvwr.msc (или просто eventvwr) и нажмите Enter.

Картинка с сайта: remontka.pro
Откроется «Просмотр событий».

Эту же команду можно использовать для создания ярлыка или для открытия журнала событий в командной строке. Возможно, вам пригодится информация о других полезных командах «Выполнить».

Обычно описанных выше вариантов бывает достаточно для открытия просмотра журналов событий и ошибок в Windows, но есть и другие подходы:

Помимо просмотра журнала событий, в Windows присутствует ещё один полезный инструмент — Монитор стабильности системы, позволяющий наглядно получить информацию о работе вашей системы по дням на основании данных из журнала событий.

Источник

Все способы:

Просмотр событий в Виндовс 10
- Способ 1: «Панель управления»
- Способ 2: Окно «Выполнить»
- Способ 3: Поиск по системе
- Создание ярлыка для быстрого запуска
Заключение
Вопросы и ответы: 8

«Просмотр событий» — один из множества стандартных инструментов Виндовс, предоставляющий возможность просмотра всех событий, происходящих в среде операционной системы. В числе таковых всевозможные неполадки, ошибки, сбои и сообщения, связанные как непосредственно с ОС и ее компонентами, так и сторонними приложениями. О том, как в десятой версии Windows открыть журнал событий с целью его дальнейшего использования для изучения и устранения возможных проблем, пойдет речь в нашей сегодняшней статье.

Просмотр событий в Виндовс 10

Существует несколько вариантов открытия журнала событий на компьютере с Windows 10, но в целом все они сводятся к ручному запуску исполняемого файла или его самостоятельному поиску в среде операционной системы. Расскажем подробнее о каждом из них.

Способ 1: «Панель управления»

Как понятно из названия, «Панель» предназначена для того, чтобы управлять операционной системой и входящими в ее состав компонентами, а также быстрого вызова и настройки стандартных инструментов и средств. Неудивительно, что с помощью этого раздела ОС можно вызвать в том числе и журнал событий.

Читайте также: Как открыть «Панель управления» в Виндовс 10

Любым удобным способом откройте «Панель управления». Например, нажмите на клавиатуре «WIN+R», введите в строку открывшегося окна выполнить команду «control» без кавычек, нажмите «ОК» или «ENTER» для запуска.

Ввести в окно Выполнить команду для быстрого вызова Панели управления на компьютере с ОС Windows 10

Найдите раздел «Администрирование» и перейдите в него, кликнув левой кнопкой мышки (ЛКМ) по соответствующему наименованию. Если потребуется, предварительно измените режим просмотра «Панели» на «Мелкие значки».

Перейти к разделу Администрирования Панели управления в Windows 10

Отыщите в открывшейся директории приложение с наименованием «Просмотр событий» и запустите его двойным нажатием ЛКМ.

Открыть Просмотр событий на компьютере с ОС Windows 10

Журнал событий Windows будет открыт, а значит, вы сможете перейти к изучению его содержимого и использованию полученной информации для устранения потенциальных проблем в работе операционной системы либо же банальному изучению того, что происходит в ее среде.

Просмотр журнала событий открыт на компьютере с ОС Windows 10

Способ 2: Окно «Выполнить»

И без того простой и быстрый в своем выполнении вариант запуска «Просмотра событий», который нами был описан выше, при желании можно немного сократить и ускорить.

Вызовите окно «Выполнить», нажав на клавиатуре клавиши «WIN+R».

Окно Выполнить открыто и готово ко вводу команды в Windows 10

Введите команду «eventvwr.msc» без кавычек и нажмите «ENTER» или «ОК».

Ввод специальной команды в окно Выполнить для быстрого перехода к Просмотру событий в Windows 10

Журнал событий будет открыт незамедлительно.

Способ 3: Поиск по системе

Функцию поиска, которая в десятой версии Виндовс работает особенно хорошо, тоже можно использовать для вызова различных системных компонентов, и не только их. Так, для решения нашей сегодняшней задачи необходимо выполнить следующее:

Нажмите по значку поиска на панели задач левой кнопкой мышки или воспользуйтесь клавишами «WIN+S».

Варианты открытия окна поиска на компьютере с ОС Windows 10

Начните вводить в поисковую строку запрос «Просмотр событий» и, когда увидите в перечне результатов соответствующее приложение, кликните по нему ЛКМ для запуска.

Ввод названия и запуск раздела Просмотр событий в ОС Windows 10

Это откроет журнал событий Windows.

Читайте также: Как сделать панель задач в Виндовс 10 прозрачной

Создание ярлыка для быстрого запуска

Если вы планируете часто или хотя бы время от времени обращаться к «Просмотру событий», рекомендуем создать на рабочем столе его ярлык – это поможет ощутимо ускорить запуск необходимого компонента ОС.

Повторите шаги 1-2, описанные в «Способе 1» данной статьи.

Отыскав в списке стандартных приложений «Просмотр событий», кликните по нему правой кнопкой мышки (ПКМ). В контекстном меню выберите поочередно пункты «Отправить» — «Рабочий стол (создать ярлык)».

Создать ярлык Просмотра событий на рабочем столе Windows 10

Сразу же после выполнения этих простых действий на рабочем столе Windows 10 появится ярлык под названием «Просмотр событий», который и можно использовать для открытия соответствующего раздела операционной системы.

Ярлык Просмотра событий успешно создан на рабочем столе Windows 10

Читайте также: Как создать ярлык «Мой компьютер» на рабочем столе Виндовс 10

Заключение

Из этой небольшой статьи вы узнали о том, как на компьютере с Windows 10 можно посмотреть журнал событий. Сделать это можно с помощью одного из трех рассмотренных нами способов, но если к данному разделу ОС приходится обращаться довольно часто, рекомендуем создать ярлык на рабочем столе для его быстрого запуска. Надеемся, данный материал был полезен для вас.

Наша группа в TelegramПолезные советы и помощь

Источник

В этой статье мы рассмотрим, как с помощью политик аудита Windows можно узнать какие программы запускались на компьютере. Довольно часто от администратора требуют предоставить информацию о том, какие приложения запускает пользователь, когда он запускал приложение в последний раз и т.д. Эту информацию можно собрать из журнала событий Windows и преобразовать в удобный отчет с помощью PowerShell.

Сначала нужно включить политику аудита запуска/остановки процессов в Windows.

Откройте редактор локальной групповой политики gpedit.msc ;
Если вы хотите включить политику аудита процессов на компьютерах в домене Active Directory, нужно использовать редактор доменных GPO –
gpmc.msc
.
Перейдите в раздел GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy;
Включите политику Audit process tracking и тип событий Success;

Картинка с сайта: winitpro.ru
Сохраните изменения и обновите локальные политики на клиенте командой:
gpupdate /force

Откройте Event Viewer (
eventvwr.msc
) и разверните раздел Windows Logs -> Security. Теперь при запуске любой программы (процесса) в этом журнале событий появляется событие Process Creation с EventID 4688.

A new process has been created.

В информации о событии указан пользователь, запустивший программу (
Creator Subject
), имя исполняемого файла процесса (
New Process Name
) и родительский процесс, из которого было запущено приложение (
Creator Process Name
).

Обратите внимание, что при включении рассмотренной выше политики Audit process tracking в журнал Security начинают сохранятся все события, связанные с процессами. Если вы хотите уменьшить число событий в Event Viewer и сохранять только информацию о событиях запуска, можно отключить данную политику и включить только расширенную политику аудита Audit Process Creation (Windows Settings -> Security Settings -> Advanced Audit Policy Configurations -> System Audit Policy -> Detailed Tracking).

Политика аудита запуска процессов в Windows - Audit Process Creation

Чтобы в события аудита записывалась информация о параметрах запуска процессов (аргументы, с которыми запускаются программы), включите также параметр GPO Include command line in process creation events в Computer Configuration -> Administrative Templates -> System -> Audit Process Creation.

параметр GPO Include command line in process creation events

После включения этой политики в аргументе Process Command Line видно, с каким аргументом запускался тот или иной процесс.

аргумент, с котороым запускалась программа/процесс в Windows

Не забудьте увеличить размер журнала Security со стандартных 20 Мб. Это позволит хранить история запуска приложения за более длительный период. Для этого откройте свойства журнала Security и увеличьте значение параметра Maximum log size.

Для анализа программ, запущенных пользователем можно использовать фильтры Event Viewer. Но это не очень удобно. Ниже я покажу несколько PowerShell скриптов который позволят вам получить удобные списки событий с историей запуска приложений пользователями. Для получения событий из журнала Event Viewer мы будем использовать команду Get-WinEvent:

$processhistory = @() $today = get-date -DisplayHint date -UFormat %Y-%m-%d $events=Get-WinEvent -FilterHashtable @{ LogName = 'Security' starttime="$today" ID = 4688 } foreach ($event in $events){ $proc = New-Object PSObject -Property @{ ProcessName=$event.Properties[5].Value Time=$event.TimeCreated

CommandLine=$event.Properties[8].Value User=$event.Properties[1].Value ParentProcess=$event.Properties[13].Value } $processhistory += $proc } $processhistory| Out-GridView

Данный PowerShell скрипт выберет все события запуска программ за сегодняшний день и выведет список процессов, времени запуска и пользователях в графическую таблицу Out-GridView.

powershell скрипт выбора события запуска приложения в event viewer

Полученный массив объектов можно использовать для выполнения различных запросов.

Например,

Найти всех пользователей, которые запускали определённое приложение:
$proc_name=”notepad++.exe” $processhistory | where-object {$_.ProcessName –like “*$proc_name*”}|out-gridview

Картинка с сайта: winitpro.ru
Вывести список программ, которые запускал сегодня определенный пользователь:
$username="aivanov" $processhistory | where-object {$_.User –like “*$username*”}|out-gridview

Такие скрипты часто используем для анализа запуска программ пользователей на серверах RDS фермы.

Также история запуска программ в Windows ведется в файле %SystemRoot%\AppCompat\Programs\Amcache.hve. Файл заблокирован Windows и прочитать его можно только, загрузившись с LiveCD или загрузочного/установочного диска. В файле есть метки запуска, установки/удаления программы, контрольные суммы исполняемого файла (SHA1). Для преобразования этого бинарного файла в текстовый формат нужно использовать сторонние утилиты (например, regripper).

Источник

Applies ToPrivacy Windows 11 Windows 10 Панель мониторинга учетной записи Майкрософт

Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на вашем устройстве.

Вы можете управлять параметрами журнала действий, чтобы выбрать, что хранить.

Функции, использующие журнал действий

Журнал действий используется в следующих функциях Windows. Вернитесь на эту страницу после выпусков и обновлений Windows, чтобы узнать о новых службах и функциях, использующих журнал действий.

Временная шкала. Просмотрите временная шкала действий и укажите, следует ли возобновлять эти действия с устройства. Например, предположим, что вы редактируете документ Word на устройстве, но не можете завершить работу до того, как придется прекратить работу в течение дня. Если вы включите параметр Сохранить журнал действий на этом устройстве на странице параметров журнала действий, вы увидите, что Word действия в временная шкала на следующий день( и в течение следующих нескольких дней) и после этого вы сможете возобновить работу с ним.
Microsoft Edge. При использовании устаревшая версия Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действий не будет сохранен при просмотре в окнах InPrivate.

Параметры учетной записи Майкрософт не позволяют отправлять журнал действий в корпорацию Майкрософт, но журнал действий будет храниться на вашем устройстве, чтобы отслеживать действия, которые вы делаете.

Журнал действий для нескольких учетных записей

Для нескольких учетных записей журнал действий собирается и сохраняется локально для каждой локальной учетной записи, учетной записи Майкрософт или рабочей или учебной учетной записи, связанной с устройством, в разделе Параметры > учетные записи > Email & учетных записей. Эти учетные записи также можно просмотреть в Windows 10 в разделе Параметры > журнал действий > конфиденциальности, а в Windows 11 разделе Параметры > конфиденциальность & журнал действий> безопасности, где можно отфильтровать действия из определенных учетных записей, отображаемых в временная шкала. При скрытии учетной записи данные на устройстве не удаляются.

Управление параметрами журнала действий

Журнал действий можно настроить. В любой момент можно остановить сохранение журнала действий.

Остановите локальное сохранение журнала действий на устройстве

Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность & безопасность > журнал действий.
Переключите параметр Сохранить журнал действий на этом устройстве в положение Выкл.

Открытие параметров журнала действий

Примечание: Возможность отправки журнала действий в Корпорацию Майкрософт устарела с Windows 11 23H2 и 22H2, 23 января 2024 г. KB5034204 обновление. Предыдущие версии Windows 11 до этого обновления по-прежнему будут иметь параметр, доступный на странице журнала действий. Если этот параметр включен, данные журнала действий по-прежнему будут отправляться в корпорацию Майкрософт. Этот параметр можно отключить или обновить до последней версии Windows, чтобы получить последние обновления.

Вы можете очистить и удалить журнал действий, хранящийся на устройстве.

Очистка журнала действий

Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность & безопасность > журнал действий.
Рядом с пунктом Очистить журнал действий для этой учетной записи выберите Очистить журнал.

Примечание: Если у вас есть предыдущий журнал действий, хранящийся в облаке до Windows 11 23H2 и 22H2, 23 января 2024 г. KB5034204 обновления, вы можете удалить ранее сохраненные данные в облаке с помощью кнопки Очистить журнал действий. В противном случае журнал действий будет автоматически удален в течение 30 дней с момента последней синхронизации данных с облаком.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Источник

Зачем нужен и как открыть Журнал событий?
Интерфейс Журнала событий
Что можно сделать в Журнале событий?
Заключение

Журнал событий — это одна из стандартных служебных утилит, встроенных в Windows. Программа существует в системе уже давно и поставляется как со старыми, так и с самими последними версиями ОС. Рассмотрим, как открыть и использовать Журнал событий в Windows 10 или 11. Разберем, что в нем можно сделать и чем он полезен.

Зачем нужен и как открыть Журнал событий?

Утилита используется для просмотра произошедших событий, выполненных команд и действий в системе. С ее помощью можно отслеживать возникшие ошибки и выявлять их причины для дальнейшего устранения и предотвращения повторного появления сбоев. Программа позволяет выполнять диагностику ОС и изучать все события, произошедшие внутри Windows. Обычно утилиту используют именно для этого.

Для начала разберем несколько основных способов запустить утилиту в Windows 10 и 11.

1 способ — поиск на панели задач

Наиболее простой метод — найти утилиту в строке поиска на панели задач и запустить ее оттуда. Введите Просмотр событий и дождитесь, пока отобразятся результаты. Найдите среди них программу и кликните на нее левой кнопкой.

2 способ — утилита Выполнить

Распространенный способ — запуск через программу Выполнить. Чтобы воспользоваться им, примените сочетание клавиш Win + R. В появившемся окне введите команду eventvwr.msc и нажмите Enter на клавиатуре.

3 способ — контекстное меню кнопки Пуск

Простой способ открыть приложение в Windows 10 — щелкнуть правой кнопкой по кнопке Пуск и выбрать пункт Просмотр событий в появившемся контекстном меню.

4 способ — Управление компьютером

Попасть в Просмотр событий также можно через Управление компьютером. Для этого запустите его любым методом. Например, кликнув ПКМ по иконке Этот компьютер и выбрав пункт Управление. В левой колонке окна утилиты щелкните на ссылку Просмотр событий, чтобы открыть журнал.

5 способ — поиск файла в Проводнике

Альтернативный вариант — вручную найти запускной файл утилиты в файловом менеджере и открыть его таким способом. Для этого нужно перейти в директорию C:\Windows\System32, найти в ней eventvwr.msc и выполнить его.

Интерфейс Журнала событий

Окно Журнала событий состоит из нескольких основных частей:

Слева находится боковая панель навигации, в которой можно выбрать нужный журнал (категорию). Например, Приложение, Безопасность, Система и т.д.
По центру располагается основной список событий из выбранной в данный момент категории.
Под списком находятся более подробные сведения о выделенном действии.
В правой части окна находится панель инструментов, при помощи которой можно быстро выполнить нужное действие с выбранным событием.

В верхней части окна также присутствует стандартное меню и несколько кнопок для навигации.

Что можно сделать в Журнале событий?

Разберем основной функционал Журнала событий и распространенные сценарии использования программы.

Анализ выполненных действий

Самый простой сценарий использования утилиты — просмотр и анализ произошедших в Windows событий для диагностики возможных неполадок. Для него нужно открыть программу и изучить отображаемые действия в основных журналах (разделах).

Если среди них найдутся ошибки, ничего критичного в этом нет. В работе ОС в любом случае возникают сбои, и это нормально. Поводом для беспокойств может становиться только слишком большое количество ошибок в списке событий.

Выявление причин ошибок

Наиболее часто Журнал событий используют для выявления причин произошедших ошибок. При помощи утилиты можно узнать больше сведений о возникших в системе сбоях, что помогает проще найти и устранить их источник.

Чтобы найти причину произошедшей ошибки, найдите ее в списке событий и кликните по ней дважды. В открывшемся окне просмотрите информацию о неполадке. Главное, на что стоит обратить внимание — строка Код ошибки. В ней указывается кодовый номер сбоя, по которому можно найти причину неисправности через поиск в интернете.

Привязка задачи к событию

Одна из полезных функций — возможность привязать задачу к возникновению действия. Это осуществляется с участием другой служебной программы Windows — Планировщика событий. С помощью этих двух утилит, Журнала и Планировщика, можно задать нужное действие, которое будет автоматически выполняться в тех случаях, когда в системе произойдет определенное событие.

Заключение

Журнал событий — полезная утилита, которая может упростить использование Windows и решение проблем в системе. С ее помощью можно проанализировать работу ОС и быстро выявить причины произошедших сбоев.

Источник