Журнал событий в windows: как его открыть и найти информацию об ошибке

Введение

Операционная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок.

Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий». В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:

Работа с файлами и папками из командной строки

Бывают ситуации, когда невозможно запустить стандартный файловый менеджер „Проводник Windows“. Например, из-за действия вирусов-блокировщиков или при системных сбоях. В любом случае все, что можно сделать при помощи „Проводника“, можно сделать и при помощи командной строки. Начнем с самого простого — просмотра содержимого папок.

Просмотр содержимого папки. При запуске командной строки перед мигающим курсором можно увидеть адрес расположения папки учетной записи на жестком диске. В нашем случае — это „C:\Users\vzgn“:

Давайте, выведем на экран список все других объектов (файлов и папок), содержащихся в данной папке. Для этого используйте команду dir:

Объекты, напротив которых написано <DIR> — это папки, все остальное — файлы (напротив них указан размер в байтах).

Команду dir можно применять вообще папкам, расположенным в вообще любом месте на жестком диске. Для этого после команды следует указать путь до каталога. К примеру, для просмотра содержимого папки „Windows“ на диске „C:“ следует ввести команду:

dir c:\windows

Запомните одно простое правило. Если в именах папок/файлов присутствуют пробелы, их следует писать в двойных („имя папки или файла“) кавычках.

Открытие файла из командной строки. Для открытия файла достаточно вписать его полное название вместе с расширением в командную строку. Что не вводить имя файла целиком, используйте клавишу „Tab“ (с ее помощью можно поочередно перебирать имена всех объектов в текущей папке).

В нашем случае был открыт файл  при помощи „Блокнота“. Если бы это был музыкальный файл, запустился бы аудиопроигрыватель, если DOC/DOCX-файл — редактор „MS Word“ и т.д. Таким образом, открытие файла в командной строке равнозначно двойному клику по файлу в „Проводнике Windows“.

Переход в другую папку. Для перехода в папку используется команда cd, после которой следует прописать путь к открываемой папке либо просто ее имя (если она расположена в нашем текущем местоположении на жестком диске).

Перейдем в папку „Music“. Т.к. она находится в текущем каталоге, достаточно ввести в консоль:

cd music

Теперь наше местоположение изменилось на „C:\Users\vzgn\Music“.

Давайте, перейдем в какую-нибудь папку, расположенную на другом локальном диске. Это можно сделать несколькими способами, но воспользуемся самым легким для запоминания.

Для начала перейдем в сам локальный диск (изменим наше местоположение). Для этого достаточно использовать (независимо от текущего местоположения) команду e:. Вместо e можно использовать любую другую букву локального диска (или даже флешки, например):

Допустим, нам известно, что на диске „E“ существует папка „Install“, а в ней — пака „Web“. Перейти в нее можно одной командой:

cd e:\install\web

Запуск/открытие программы/файлы в другой папке или на другом диске. Запустим программу, расположенную где-нибудь глубоко на диске. Для запуска файла или программы можно просто указать полный путь до него. Текущее местоположение в этом случае не имеет значения. Запустим, например, текстовый редактор „Notepad++“ одной командой:

C:\»Program Files»\Notepad++\notepad++.exe

Обратите внимание, что имя папки «Program Files» взято в кавычки, т.к. в нем присутствует пробел

Создание, удаление и переименование файлов и папок. Из командной строки можно выполнить все эти операции над файлами и папками.

Создание простого текстового файла — copy nul простой_текстовый_файл.txt. Перед названием файла можно указать путь до конечной папки, в которой тот будет создан (если не указать, файл создастся в текущей папке).

Создание папки — mkdir папка. Папка также создается в текущем местоположении.

• Удаление файла (или нескольких) — del простой_текстовый_ (если требуется удалить несколько файлов, просто вписываем их имена друг за другом через пробел). Удаляем созданный ранее файл.
• Удаление папки — rmdir папка. Удаляем созданную ранее папку.

Переименование папки/файла — ren простой_текстовый_файл.txt новое_имя_файла.txt или ren папка новое_имя_папки. Переименуем созданный файл и папку.

Как очистить журналы событий в Windows 10, 8, 7

1. Очистить журналы событий с помощью командной строки
2. Очистить журнал событий с помощью PowerShell
3. Очистить журналы событий с помощью VBScript / WMI

Два метода, перечисленных выше, показывают, как очистить определенный журнал событий из Windows 10, 8 или Windows 7. Теперь мы покажем вам, как очистить все журналы событий одновременно. Существует несколько способов очистки всех журналов событий одновременно, поэтому вы можете выбрать тот, который лучше всего соответствует вашим потребностям.

СВЯЗАННЫЕ: Управление каналами журнала событий с выпуском EventLogChannelsView Nirsoft

Метод 1 — Очистить журналы событий с помощью командной строки

Командная строка, вероятно, является наиболее часто используемым инструментом для решения всех системных проблем, а также может использоваться для очистки всех журналов событий. Вот что вам нужно сделать, чтобы очистить все журналы событий с помощью командной строки:

1. Откройте Блокнот и вставьте следующий текст:

   @ эхо выключено FOR / F «токены = 1,2 *» %% V IN (‘bcdedit’) DO SET adminTest = %% V IF (% adminTest%) == (Доступ) Перейти к noAdmin для / F «токены = *» %% G в («wevtutil.exe el») DO (вызов: do_clear «%% G») эхо. Логи событий эха были очищены! Перейти к концу : do_clear очистка эха% 1 wevtutil.exe cl% 1 goto: eof : noAdmin echo Вы должны запустить этот скрипт как администратор! эхо. :конец

2. Сохраните этот текст как файл .bat или .cmd (назовите файл с кавычками, чтобы автоматически сохранить его как файл .cmd, например «ClearLog.cmd»)
3. Запустите .cmd файл, который вы только что сохранили как администратор
4. Просто позвольте команде закончить

Вот и все, все ваши журналы событий теперь очищены. Вероятно, это самый простой способ очистить все журналы событий в Windows 10 или Windows 8.1, но если вы хотите попробовать другие способы, посмотрите, как это сделать, ниже.

Метод 2 — Очистить журнал событий с PowerShell

Чтобы очистить все журналы событий с помощью Windows PowerShell, выполните следующие действия.

1. Перейдите в Поиск, введите powershell, щелкните правой кнопкой мыши PowerShell и выберите Запуск от имени администратора.
2. Введите следующую строку в PowerShell и нажмите Enter:

   Wevtutil El | Foreach-Object {wevtutil cl “$ _”}

3. Теперь просто нажмите Exit, чтобы закрыть окно PowerShell

СВЯЗАННЫЕ: Как исправить ошибку приложения Event 1000 в Windows 10

Метод 3 — Очистить журналы событий с использованием VBScript / WMI

Вот как очистить все журналы событий с помощью VBScript / WMI (но учтите, что вы можете очистить только классические журналы событий):

1. Откройте Блокнот и введите следующий текст:

   strComputer = ”.” Установите objWMIService = GetObject («winmgmts:» _ & ”{ImpersonationLevel = impersonate, (Резервное копирование, Безопасность)}! \” _ & strComputer & ”rootcimv2”) Установите colLogFiles = objWMIService.ExecQuery _ («Выбрать * из Win32_NTEventLogFile») Для каждого objLogfile в colLogFiles objLogFile.ClearEventLog () следующий

2. Сохраните его как VBScript (.VBS), посмотрите на метод 1, как сохранить файл как .vbs напрямую, назовите его, например, ClearEvent.vbs
3. Переместите ClearEvent.vbs, который вы только что создали, в C: / Windows / System32
4. Теперь откройте командную строку от имени администратора и выполните следующую команду:

   CScript ClearEvent.vbs

Вот и все, теперь вы знаете множество способов очистки журнала событий в Windows 10, Windows 8.1 и Windows 7. Очистка журнала событий очень полезна, особенно когда вы пытаетесь точно определить точную причину ошибки, которую вы недавно пережил. Если у вас есть какие-либо вопросы, просто зайдите в раздел комментариев ниже.

СВЯЗАННЫЕ ИСТОРИИ, ЧТОБЫ ПРОВЕРИТЬ:

• Как исправить ошибку входа в систему диспетчера управления службами 7000 в Windows
• Как исправить ошибки mfc100.dll в Windows 10, 8.1
• Как исправить любые ошибки DLL в Windows 10, 8, 8.1

Примечание редактора: этот пост был первоначально опубликован в сентябре 2014 года и с тех пор обновлен для свежести и точности.

Была ли эта страница полезной? Да нет
Спасибо за то, что дали нам знать!

Скажи нам почему!
Недостаточно деталей Трудно понять Другое

Разместить

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Как работать с журналом событий Windows

Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д. Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.

Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”– “Панель управления” – “Администрирование” – “Просмотр событий”:

Win+Reventvwr.msc
утилита “Просмотр событий”

В среднем столбце отображается список событий выбранной категории;

В правом столбце – список доступных действий с выбранным журналом;

Внизу находится панель подробных сведений о конкретной записи (область просмотра).

Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:

Областью просмотра

Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?

Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.

Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.

Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.

Система – хранит события операционной системы или ее компонентов (например, неудачи при запусках служб или инициализации драйверов; общесистемные сообщения и прочие сообщения, относящиеся к системе в целом).

Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).

В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:

Например, мы хотим увидеть только ошибки приложений за последние сутки . В этом случае выбираем слева раздел “Журналы Windows” – категорию “Приложение”, затем в правом столбце жмем “Фильтр текущего журнала”:

“Последние 24 часа”“Критическое”“Ошибка”

Щелкните по любой строке с ошибкой – снизу по центру в области просмотра вы увидите подробную информацию по данной ошибке. Если вы не понимаете, что означает данная ошибка (а чаще всего так и бывает) – тогда просто скопируйте текст ошибки (Ctrl+C на клавиатуре) и вставьте его в любой поисковик (Ctrl+V). Очень большая вероятность, что там вы найдете причину ошибки и ее решение:

Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?

В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows” – “Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) «Имя сбойного приложения: , Имя сбойного модуля: KERNELBASE.dll.

По данной ошибке я не смог сразу понять, в чем именно заключается проблема. Тогда я скопировал этот текст в . После недолгого поиска оказалось, что такая ошибка свидетельствует о проблемах в работе компонента .Net Framework. На нескольких сайтах предлагалось переустановить Net Framework. Я так и сделал – проблема действительно была решена!

Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.

кабель питания вставлен в него не до конца

Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать. Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.

Просмотр журнала событий Windows

В панели справа предлагается три раздела: Настраиваемые представления, Журналы Windows и Журналы приложений и служб.

В разделе Настраиваемые представления перечислены все определенные в текущей системе виды событий (которых более подробно рассматриваются чуть позже). В случае выполнения фильтрации в каком-то из журналов событий или создания нового представления событий, новое представление сохраняется именно в этом разделе.

В разделе Журналы Windows отображается несколько подразделов, четыре из которых представляют основные журналы, которые ведет сама система. 

В журналы событий Приложение и Система следует заглядывать регулярно для своевременного выявления любых существующих проблем и предупреждений о том, что какие-то проблемы могут появиться в будущем. Журнал Безопасность не является важным для каждодневной процедуры обслуживания. В него нужно заглядывать только при наличии подозрений в нарушении безопасности компьютера, например, для выяснения того, кто входит в систему.

В журнале Система фиксируются ошибки драйверов устройств, но в Windows 7 доступны и другие инструменты, позволяющие более простым образом изучать проблемы с устройствами. Например, диспетчер устройств, который, отображает значок для тех устройств, с которыми возникли проблемы, и позволяет просматривать описание этих проблем, открывая ведомости свойств устройств. Также есть утилита Сведения о системе (Msinfo32.exe), которая отражает сведения обо всех неполадках с оборудованием в разделах Сведения о системе > Аппаратные ресурсы > Конфликты и совместное использование и Сведения о системе > Компоненты > Устройства с неполадками.

При выборе того или иного журнала в центральном окне появляется список всех доступных в данном журнале событий вместе с информацией о дате и времени, когда произошло каждое событие, его источнике, типе (Сведения, Предупреждение или Ошибка) и другими подобными сведениями. Ниже перечислены основные интерфейсные изменения и новые функциональные возможности, которые появились в оснастке Просмотр событий в Windows.

• В панели Область просмотра основные данные о событиях теперь отображаются на вкладке Общие, а дополнительные более конкретные — на вкладке Подробности. Эту панель можно включать и выключать, выбирая в меню Вид пункт Область просмотра.
• Данные о событиях теперь хранятся в формате XML. Просматривать их схему можно, выбирая переключатель Режим XML на вкладке Подробности внутри панели Область просмотра.
• Команда Фильтр теперь позволяет генерировать запросы в формате XML.
• Щелчок на ссылке Создать настраиваемое представление теперь позволяет создавать новое представление на основании того или иного журнала событий, конкретного типа событий, идентификатора события и т.д.
• К событиям теперь можно привязывать задачи, выполняя щелчок сначала на интересующем событии, а потом на ссылке Привязать задачу к событию и затем создавая с помощью соответствующего мастера нужную задачу, которая предусматривает либо запуск какой-то программы или сценария, либо отправку электронного сообщения при каждом возникновении данного события.
• Избранные события теперь можно сохранять в файле формата Event File (.elf).

Наиболее распространенные сферы деятельности, специально для которых созданы профильные программные продукты. — это регламентированный учёт, торговый и складской учёт, управленческий учёт и комплексные решения

В разделе Журналы приложений и служб перечисляются программы, компоненты и службы, для которых поддерживается стандартный формат регистрации событий, что является новинкой в Windows 7. Раньше журналы всех элементов в этом разделе сохранялись в отдельных текстовых файлах, к которым нельзя было получать доступ в более старых версиях оснастки Просмотр событий кроме как путем специального открытия журнального файла.

Где найти журнал событий в системе Windows 7

Любая современная ОС с графическим интерфейсом основана на событиях. То же самое касается и программного обеспечения, для таких ОС разработанного. Событие – краеугольный камень этой инфраструктуры. Под событиями понимаются не только интерактивные действия пользователя, но и результаты разнообразных системных процессов, скрытых от глаз нажимающего на кнопки и щелкающего по клавишам оператора системы.

События бывают встроенные, то есть такие, что предопределены архитектурой, и создаваемые администратором или разработчиком. В нашей статье мы рассмотрим классификацию событий в Windows, средства их журналирования и просмотра, а также методы работы с ними.

Например, передвижение мыши хотя бы на один пиксель, уже порождает программное исключение и потенциально может обрабатываться «операционкой», что, в сущности, и происходит – такие действия в журнал не попадают. А вот предупреждения системы безопасности – протоколируются, так как составляют критически важные сведения.

Windows допускает тонкую настройку перечня критически важных системных исключений. До некоторой степени вы сами вольны решать, что именно протоколировать, а без какой информации можно и обойтись. Чтобы дать вам представления об этом, перечислим некоторые из стандартных операций с журналом:

Работа с журналом событий (для начинающих)

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

1. сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность»;

Система и безопасность

далее необходимо перейти в раздел «Администрирование»;

после кликнуть мышкой по ярлыку «Просмотр событий».

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

1. открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr );

eventvwr — команда для вызова журнала событий

1. сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;

Система и безопасность

Просмотр событий — Администрирование

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы просмотра событий Windows

Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.

Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.

В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».

Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.

Журналы Windows

В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:

• Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
  • Ошибка: указывает на критическую проблему, которая могла привести к потере данных или функциональности.
  • Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
  • Информация: описывает правильную работу драйвера, программы или службы.
• Безопасность. Журнал безопасности содержит события аудита, связанные с попытками пользователя подключиться и использованием защищенных ресурсов (создание, открытие, удаление файлов). Журнал безопасности идентифицирует события, используя два типа значков: значок ключа и значок замка.
  • Ключ: идентифицирует события типа успешная проверка.
  • Замок: идентифицирует события типа проверка не удалась.
• Установка. Журнал установки содержит события, связанные с установкой приложений.
• Система. В журнале системы указываются события, создаваемые системными компонентами Windows и установленными функциями, такие как драйвер. Например, если драйвер не загружается во время сеанса загрузки, это событие сохраняется в системном журнале. Также в этом журнале события классифицируются как Ошибка, Предупреждение или Информация.
• Перенаправленные события. В журнале сохраняются события, произошедшие на удаленных компьютерах.

Журналы приложений и служб

В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.

Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.

Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду .

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок

Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Планировщик заданий и привязка задачи к событию

Используя Журналы Windows можно привязать выполнение установленного задания к определённому событию журнала. Например, можно настроить отправку сообщения на вашу электронную почту при каждом входе Windows в учётную запись.

Так, у меня есть событие журнала Безопасность о входе в систему. Код такого события 4624. Чтобы привязать к каждому такому события выполнение задания, кликните на нём правой кнопкой мыши и выберите «Привязать задачу к событию».

Далее идите по пунктам Мастера создания простой задачи, и в пункте Действие выберите функцию «Отправить сообщение электронной почты».

Введите адреса для отправки сообщений, их тему и текст, а также сервер SMTP вашего почтового сервиса.

Аналогичным образом можно создать привязанную к событию журнала задачу используя планировщик заданий. Для этого, перейдите в Планировщик заданий и выберите «Создать простую задачу…».

И настройте её используя тот же Мастер создания простой задачи.

Здесь показано как настроить отправку сообщения на вашу электронную почту при каждом входе Windows в учётную запись. Но таким же образом можно настроить и выполнение других задач, на любое событие из журнала.

Что предпринять если ПК начал работать со сбоями. Появляется Синий экран, ошибки при загрузке системы, непроизвольная перезагрузка? Все такие действия записываются в специальные файлы и сохраняются на ПК. На основе полученных данных устраняются ошибки в работе ОС. Рассмотрим, что такое Журнал событий Windows 7 и как с ним работать.

Примеры

• EmailResults = 1
• EmailTo=my@email.com
• SaveResults = 1
• SaveTo = C: \ EventNotices
• TimeInterval = 3
• TimeValue = 1
• Бревна = System, Application
• Типы = Ошибка, Предупреждение
• Запланированное задание должно выполняться каждый день.

• EmailResults = 1
• EmailTo=my@email.com
• SaveResults = 0
• TimeInterval = 2
• TimeValue = 1
• Бревна = System
• Типы = Ошибка
• Запланированное задание должно запускаться каждый час.

Эта конфигурация сохранит только ошибки и предупреждения из журнала событий приложений за последнюю неделю на рабочий стол пользователя JFaulkner (Windows 7) C: \ Users \ jfaulkner \ Desktop:

• • EmailResults = 0
  • SaveResults = 1
  • SaveTo = C: \ Users \ jfaulkner \ Desktop
  • TimeInterval = 3
  • TimeValue = 7
  • Бревна = Применение
  • Типы = Ошибка, Предупреждение
  • Запланированное задание должно выполняться каждую неделю.