С помощью просмотра событий в Windows можно ознакомится с историей (журналом) системных сообщений и процессов, которые генерируются программами — ошибок, информационных сообщений и предупреждений. На нормально работающем компьютере в данной службе будут показаны сообщения про все ошибки.

Журнал предназначен для регистрации всех процессов, выполняемых на компьютере. B историю сохраняются сообщения, которые возникают при работе приложений, драйверов. Если время от времени просматривать журнал, можно выявить изъяны в защите, что актуально для серверов.

Просмотр событий Windows помогает следить за состоянием ПК, дает возможность выяснить причины, из-за которых произошли ошибки. Когда компьютер работает без видимых проблем, то, ошибки, которые будут отображаться, не являются столь важными. Наиболее часто там отображаются ошибки про сбои конкретных приложений. Они могли произойти давно даже при однократном включении.

Предупреждения о системных сбоях являются важными для администратора, а не для обычного пользователя. Они являются полезными при решении проблем с настройками сервера.

Как включить просмотр событий

Для этого понадобится нажать сочетание кнопок «Win + R». Откроется окошко «Выполнить», в строку поиска ввести значение «eventvwr.msc». Затем нажать клавишу «Enter».

Журнал событий windows 10 где находится

После нажатия правой кнопкой мыши на кнопку меню Пуск появится контекстное меню. Понадобится нажать по пункту «Панель управления». В открывшемся окошке выбрать раздел «Администрирование».


Затем выбрать соответствующий пункт. Процессы разделены по разным категориям. Именно журнал приложений показывает все сообщения от установленных программ. Журнал Windows показывает системные процессы операционной системы.


С левой стороны окна находиться расширенное меню. Чтобы ознакомиться со всеми ошибками, которые существуют на компьютере, необходимо нажать на маленький треугольник напротив строки «Журналы Windows». Затем выбрать пункт «Система».


В верхнем окне указаны все ошибки. Красными точками обозначены более значимые проблемы, желтыми треугольниками – предупреждения. Первопричины возникновения неисправностей указаны в нижнем окне.

Как открыть просмотр событий

Существует еще один самый простой и короткий путь доступа к журналу событий. Для этого потребуется щелкнуть ПКМ по значку меню «Пуск». Также можно воспользоваться нажатием на клавиатуре сочетание клавиш «Win + X». В контекстном меню избрать пункт под названием «Просмотр событий».

Как пользоваться просмотром событий

Данная утилита Windows может пригодится в случае возникновения различных проблем с ПК. Например, когда каким-то образом случится появление синего экрана смерти. Просматривая журнал, можно найти причину появления данных событий.

Ошибка может показать драйвер какого оборудования спровоцировал нарушение выполнения последующих команд. Понадобится найти ошибку, время возникновения которой совпадает с перезагрузкой компьютера, зависанием ПК или появлением синего экрана. Данная ошибка будет обозначена как критическая.

Если на компьютере располагается сервер, есть возможность включить запись событий, которые будут фиксировать выключения, перезагрузки в любое время. Пользователю придется указывать точную причину запуска такого процесса. Позже будет возможность ознакомится со всеми выключениями и перезагрузками, а также узнать введенную причину события.


Просмотр журнала можно использовать вместе с утилитой «Планировщик задач». Для этого понадобится щелкнуть правой кнопкой мыши по любому событию. Выбрать пункт «Привязать задачу к событию». В любое время, когда будет происходить выполнение конкретного события, операционная система начнет выполнять указанную задачу.

Как почистит журнал событий

Чтобы очистить журнал потребуется кликнуть ПКМ на меню Пуск. В открывшемся контекстном меню выбрать пункт «командная строка (администратор)». В строке поиска прописать значение «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″». Подождав некоторое время, журналы становятся совершенно пустыми.

Очистку можно произвести с помощью утилиты под названием PowerShell. Для этого понадобится запустить утилиту от имени администратора. Затем ввести значение «wevtutil el | Foreach-Object {wevtutil cl «$_»}». Потом нажать «Enter».


Скорее всего, в конце процесса появится ошибка, но это нормально и ничего страшного собой не представляет. При этом журнал событий будет опустошен.

Часто бывает, что компьютер без видимых причин перезагружается, зависает, перестает работать. Если на нем установлена современная операционная система, такая как Windows 10, можно легко выяснить причину неполадок. Для этого необходимо знать, как посмотреть ошибки Windows 10 и что они означают.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как открыть журнал и посмотреть ошибки

Существует несколько способов, как открыть журнал событий.

Панель управления

1. Открыть Поиск Windows и ввести «Панель управления» .



2. В появившемся диалоговом окне выбрать меню «Система и безопасность» , «Администрирование» .




3. Нажать ярлык «Просмотр событий» .




Консоль Выполнить

Одновременно нажать клавиши «Win» и «R» и во всплывающем окне строки «Открыть» ввести eventvwr.msc и нажать Ввод.




Меню Пуск

Нажать правой кнопкой мыши на «Пуск» и выбрать во всплывающем списке «Выполнить» , ввести eventvwr.msc и нажать ввод.



Поиск Виндовс 10

Ввести в меню поиска Windows 10 фразу «Просмотр событий» или «Журнал» и нажать Ввод.



В появившемся окне программы есть вкладка «Обзор и сводка» , ниже которой находится подменю «Сводка административных событий» , содержащее раскрывающиеся списки, содержащие такую информацию: критические события, ошибки, предупреждения, сведения и аудит успеха.




При раскрытии этих списков появляются строки о том, что происходило в системе. Самыми важными являются критические события и ошибки. В строке, описывающей ошибку, есть ее код, источник и сколько раз она появлялась последние 24 часа и 7 дней. При двойном нажатии строки появляется окно с подробным описанием возникшей проблемы, точным временем, когда она произошла и другие важные сведения.




Можно также воспользоваться журналами событий Windows 10, меню которых находится в левой колонке программы «Просмотр событий» . Здесь доступны журналы приложений, безопасности и системы. Последний как раз и содержит сведения о наиболее важных сбоях, происходящих в системе, например о проблемах в работе драйверов, системных программ и другие важные сведения.



Внимательное исследование имеющихся записей в журналах очень полезно для обеспечения бесперебойной работы компьютера. Например, наличие критического события Kernel power 41 может свидетельствовать о проблемах с блоком питания, его перегреве или недостаточной мощности для вашего компьютера. Кроме того, журналы могут помочь и в решении проблем со сбоями в работе отдельных программ благодаря использованию журнала приложений.

Заключение

Чтобы ваш компьютер не подводил в самый неподходящий момент, нужно обязательно знать, где находится журнал ошибок Windows 10 и, хотя бы раз в неделю открывать и изучать его.

Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.

Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера , для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Win+R и вводите eventvwr.msc

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod , и данные сообщения что тут заносятся помогут вам определить его причину.

Так же есть логи windows для более специфических служб, например DHCP или DNS . Просмотр событий сечет все:).

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Вас попросят указать уровень событий:

• Критическое
• Ошибка
• Предупреждение
• Сведения
• Подробности

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

Get-EventLog -Logname "System"

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

Get-EventLog -Logname "Application"

небольшой список абревиатур

• Код события - EventID
• Компьютер - MachineName
• Порядковый номер события - Data, Index
• Категория задач - Category
• Код категории - CategoryNumber
• Уровень - EntryType
• Сообщение события - Message
• Источник - Source
• Дата генерации события - ReplacementString, InstanceID, TimeGenerated
• Дата записи события - TimeWritten
• Пользователь - UserName
• Сайт - Site
• Подразделение - Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Get-EventLog –Logname ‘System’ –Newest 20

Дополнительные продукты

Так же вы можете автоматизировать сбор событий, через такие инструменты как:

• Комплекс мониторинга Zabbix
• Через пересылку событий средствами Windows на сервер коллектор
• Через комплекс аудита Netwrix
• Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
• Любые DLP системы

Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта

Удаленный просмотр логов

• Первый метод

Не так давно в появившейся операционной системе Windows Server 2019 , появился компонент удаленного администрирования Windows Admin Center . Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).

Далее вы выбираете вкладку "События", выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.

Вот пример фильтрации по событию 19.

Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.

• Второй метод

Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же "Просмотр событий". Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню "".

Указываем имя другого компьютера, в моем примере это будет SVT2019S01

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий.если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.

Так же хочу отметить, что есть целые системы агрегации логов, такие как Zabbix или SCOM, но это уже другой уровень задач..

Если у вас появилось подозрение о том, что кто-то из сотрудников офиса заходит под вашей учётной записью, или у вас пропала конфиденциальная информация (пароли, фото и т.д), тогда эта статья для вас.

В любой операционной системе, будь это самые новые версии 10 или 8.1, или старые такие как XP и 7, есть специальная служба, отвечающая за контролем любых действий в системе. Проще говоря это лог компьютера со всеми действиями, выполненные пользователем и программным обеспечением.

Конечно же можно установить пароль на учётную запись , но многие просто ленятся это сделать. Как установить пароль я уже рассказывал ранее. Но сейчас мы будет смотреть, что происходит в логах системы.

Для запуска приложения "Управление компьютером", есть несколько способов:

1. Нажать правой кнопкой мыши по значку Мой компьютер а затем выбрать пункт "Управление"

2. Зайти в панель управления, либо из кнопки Пуск, либо в Мой компьютер, затем в разделе "Система и безопасность", выбрать раздел "Просмотр журнала событий".

После запуска приложения "Управление компьютером", нам нужно выбрать раздел Просмотр событий->Журналы Windows->Система

И вот тут по правую сторону приложения ищем строчку с Источником "Kernel General", именно она отвечает за запуск и выключения компьютера. Если нажать на данную строчка два раза, мы сможем посмотреть подробности события.

А если посмотреть строчку чуть выше, то мы увидим включение компьютера в указанное время.

В логе можно посмотреть абсолютно любые действия со стороны пользователя, а так же ошибки операционной системы и приложений. В общем каждый для себя сможет найти что-то интересное.

Так например на вкладке безопасность, найти включения и выключения компьютера значительно проще.

На вкладке Установка, можно посмотреть ошибки во время установки программ, или обновления Windows.

С этого момента вы будете в курсе всего происходящего на вашем компьютере, и если есть подозрение о вторжение других лиц, установите пароль на учётную запись. Специально для этого я создал обучающее видео, смотрите ниже.

05.06.2014   windows | для начинающих

Тема этой статьи - использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ- данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

• Администрирование Windows для начинающих
• Редактор реестра
• Редактор локальной групповой политики
• Работа со службами Windows
• Управление дисками
• Диспетчер задач
• Просмотр событий (эта статья)
• Планировщик заданий
• Монитор стабильности системы
• Системный монитор
• Монитор ресурсов
• Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 - нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc , после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС - зайти в Панель управления - Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 - кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

• В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
• По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
• В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала - имя файла журнала, куда была сохранена информация о событии.
• Источник - название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код - код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции - как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова - обычно не используются.
• Пользователь и компьютер - сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок - не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например - посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб - Microsoft - Windows - Diagnostics-Perfomance - Работает и посмотрите, есть ли среди событий какие-либо ошибки - они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события - использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать - ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.