С помощью просмотра событий в Windows можно ознакомится с историей (журналом) системных сообщений и процессов, которые генерируются программами — ошибок, информационных сообщений и предупреждений. На нормально работающем компьютере в данной службе будут показаны сообщения про все ошибки.
Журнал предназначен для регистрации всех процессов, выполняемых на компьютере. B историю сохраняются сообщения, которые возникают при работе приложений, драйверов. Если время от времени просматривать журнал, можно выявить изъяны в защите, что актуально для серверов.
Просмотр событий Windows помогает следить за состоянием ПК, дает возможность выяснить причины, из-за которых произошли ошибки. Когда компьютер работает без видимых проблем, то, ошибки, которые будут отображаться, не являются столь важными. Наиболее часто там отображаются ошибки про сбои конкретных приложений. Они могли произойти давно даже при однократном включении.
Предупреждения о системных сбоях являются важными для администратора, а не для обычного пользователя. Они являются полезными при решении проблем с настройками сервера.
Для этого понадобится нажать сочетание кнопок «Win + R». Откроется окошко «Выполнить», в строку поиска ввести значение «eventvwr.msc». Затем нажать клавишу «Enter».
После нажатия правой кнопкой мыши на кнопку меню Пуск появится контекстное меню. Понадобится нажать по пункту «Панель управления». В открывшемся окошке выбрать раздел «Администрирование».
Затем выбрать соответствующий пункт. Процессы разделены по разным категориям. Именно журнал приложений показывает все сообщения от установленных программ. Журнал Windows показывает системные процессы операционной системы.
С левой стороны окна находиться расширенное меню. Чтобы ознакомиться со всеми ошибками, которые существуют на компьютере, необходимо нажать на маленький треугольник напротив строки «Журналы Windows». Затем выбрать пункт «Система».
В верхнем окне указаны все ошибки. Красными точками обозначены более значимые проблемы, желтыми треугольниками – предупреждения. Первопричины возникновения неисправностей указаны в нижнем окне.
Существует еще один самый простой и короткий путь доступа к журналу событий. Для этого потребуется щелкнуть ПКМ по значку меню «Пуск». Также можно воспользоваться нажатием на клавиатуре сочетание клавиш «Win + X». В контекстном меню избрать пункт под названием «Просмотр событий».
Данная утилита Windows может пригодится в случае возникновения различных проблем с ПК. Например, когда каким-то образом случится появление синего экрана смерти. Просматривая журнал, можно найти причину появления данных событий.
Ошибка может показать драйвер какого оборудования спровоцировал нарушение выполнения последующих команд. Понадобится найти ошибку, время возникновения которой совпадает с перезагрузкой компьютера, зависанием ПК или появлением синего экрана. Данная ошибка будет обозначена как критическая.
Если на компьютере располагается сервер, есть возможность включить запись событий, которые будут фиксировать выключения, перезагрузки в любое время. Пользователю придется указывать точную причину запуска такого процесса. Позже будет возможность ознакомится со всеми выключениями и перезагрузками, а также узнать введенную причину события.
Просмотр журнала можно использовать вместе с утилитой «Планировщик задач». Для этого понадобится щелкнуть правой кнопкой мыши по любому событию. Выбрать пункт «Привязать задачу к событию». В любое время, когда будет происходить выполнение конкретного события, операционная система начнет выполнять указанную задачу.
Чтобы очистить журнал потребуется кликнуть ПКМ на меню Пуск. В открывшемся контекстном меню выбрать пункт «командная строка (администратор)». В строке поиска прописать значение «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″». Подождав некоторое время, журналы становятся совершенно пустыми.
Очистку можно произвести с помощью утилиты под названием PowerShell. Для этого понадобится запустить утилиту от имени администратора. Затем ввести значение «wevtutil el | Foreach-Object {wevtutil cl «$_»}». Потом нажать «Enter».
Скорее всего, в конце процесса появится ошибка, но это нормально и ничего страшного собой не представляет. При этом журнал событий будет опустошен.
Часто бывает, что компьютер без видимых причин перезагружается, зависает, перестает работать. Если на нем установлена современная операционная система, такая как Windows 10, можно легко выяснить причину неполадок. Для этого необходимо знать, как посмотреть ошибки Windows 10 и что они означают.
Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.
Существует несколько способов, как открыть журнал событий.
Одновременно нажать клавиши «Win» и «R» и во всплывающем окне строки «Открыть» ввести eventvwr.msc и нажать Ввод.
Нажать правой кнопкой мыши на «Пуск» и выбрать во всплывающем списке «Выполнить» , ввести eventvwr.msc и нажать ввод.
Ввести в меню поиска Windows 10 фразу «Просмотр событий» или «Журнал» и нажать Ввод.
В появившемся окне программы есть вкладка «Обзор и сводка» , ниже которой находится подменю «Сводка административных событий» , содержащее раскрывающиеся списки, содержащие такую информацию: критические события, ошибки, предупреждения, сведения и аудит успеха.
При раскрытии этих списков появляются строки о том, что происходило в системе. Самыми важными являются критические события и ошибки. В строке, описывающей ошибку, есть ее код, источник и сколько раз она появлялась последние 24 часа и 7 дней. При двойном нажатии строки появляется окно с подробным описанием возникшей проблемы, точным временем, когда она произошла и другие важные сведения.
Можно также воспользоваться журналами событий Windows 10, меню которых находится в левой колонке программы «Просмотр событий» . Здесь доступны журналы приложений, безопасности и системы. Последний как раз и содержит сведения о наиболее важных сбоях, происходящих в системе, например о проблемах в работе драйверов, системных программ и другие важные сведения.
Внимательное исследование имеющихся записей в журналах очень полезно для обеспечения бесперебойной работы компьютера. Например, наличие критического события Kernel power 41 может свидетельствовать о проблемах с блоком питания, его перегреве или недостаточной мощности для вашего компьютера. Кроме того, журналы могут помочь и в решении проблем со сбоями в работе отдельных программ благодаря использованию журнала приложений.
Чтобы ваш компьютер не подводил в самый неподходящий момент, нужно обязательно знать, где находится журнал ошибок Windows 10 и, хотя бы раз в неделю открывать и изучать его.
Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.
Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера , для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.
Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки
Win+R и вводите eventvwr.msc
Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.
Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.
Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.
Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.
Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod , и данные сообщения что тут заносятся помогут вам определить его причину.
Так же есть логи windows для более специфических служб, например DHCP или DNS . Просмотр событий сечет все:).
Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.
Вас попросят указать уровень событий:
Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.
Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:
Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду
Get-EventLog -Logname "System"
В итоге вы получите список логов журнала Система
Тоже самое можно делать и для других журналов например Приложения
Get-EventLog -Logname "Application"
небольшой список абревиатур
Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:
Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message
Если нужно вывести более подробно, то заменим Format-Table на Format-List
Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message
Как видите формат уже более читабельный.
Так же можно пофильтровать журналы например показать последние 20 сообщений
Get-EventLog –Logname ‘System’ –Newest 20
Так же вы можете автоматизировать сбор событий, через такие инструменты как:
Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта
Не так давно в появившейся операционной системе Windows Server 2019 , появился компонент удаленного администрирования Windows Admin Center . Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).
Далее вы выбираете вкладку "События", выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска
Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.
Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.
Вот пример фильтрации по событию 19.
Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.
Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же "Просмотр событий". Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню "".
Указываем имя другого компьютера, в моем примере это будет SVT2019S01
Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий.если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.
Так же хочу отметить, что есть целые системы агрегации логов, такие как Zabbix или SCOM, но это уже другой уровень задач..
Если у вас появилось подозрение о том, что кто-то из сотрудников офиса заходит под вашей учётной записью, или у вас пропала конфиденциальная информация (пароли, фото и т.д), тогда эта статья для вас.
В любой операционной системе, будь это самые новые версии 10 или 8.1, или старые такие как XP и 7, есть специальная служба, отвечающая за контролем любых действий в системе. Проще говоря это лог компьютера со всеми действиями, выполненные пользователем и программным обеспечением.
Конечно же можно установить пароль на учётную запись , но многие просто ленятся это сделать. Как установить пароль я уже рассказывал ранее. Но сейчас мы будет смотреть, что происходит в логах системы.
Для запуска приложения "Управление компьютером", есть несколько способов:
1. Нажать правой кнопкой мыши по значку Мой компьютер а затем выбрать пункт "Управление"
2. Зайти в панель управления, либо из кнопки Пуск, либо в Мой компьютер, затем в разделе "Система и безопасность", выбрать раздел "Просмотр журнала событий".
После запуска приложения "Управление компьютером", нам нужно выбрать раздел Просмотр событий->Журналы Windows->Система
И вот тут по правую сторону приложения ищем строчку с Источником "Kernel General", именно она отвечает за запуск и выключения компьютера. Если нажать на данную строчка два раза, мы сможем посмотреть подробности события.
А если посмотреть строчку чуть выше, то мы увидим включение компьютера в указанное время.
В логе можно посмотреть абсолютно любые действия со стороны пользователя, а так же ошибки операционной системы и приложений. В общем каждый для себя сможет найти что-то интересное.
Так например на вкладке безопасность, найти включения и выключения компьютера значительно проще.
На вкладке Установка, можно посмотреть ошибки во время установки программ, или обновления Windows.
С этого момента вы будете в курсе всего происходящего на вашем компьютере, и если есть подозрение о вторжение других лиц, установите пароль на учётную запись. Специально для этого я создал обучающее видео, смотрите ниже.
05.06.2014   windows | для начинающих
Тема этой статьи - использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.
Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ- данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.
Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 - нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc , после чего нажать Enter.
Еще один способ, который также подойдет для всех актуальных версий ОС - зайти в Панель управления - Администрирование и выбрать там соответствующий пункт.
И еще один вариант, который подойдет для Windows 8.1 - кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.
Интерфейс данного инструмента администрирования можно условно разделить на три части:
Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:
Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.
Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).
Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок - не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.
Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.
В просмотре событий Windows можно найти достаточное количество интересных вещей, например - посмотреть на проблемы с производительностью компьютера.
Для этого в правой панели откройте Журналы приложений и служб - Microsoft - Windows - Diagnostics-Perfomance - Работает и посмотрите, есть ли среди событий какие-либо ошибки - они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.
Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события - использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать - ошибки, предупреждения, критические ошибки, а также их источник или журнал.
Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».
Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.