Windows 10

Де знаходиться журнал події у Windows 10, як його переглянути та знайти помилки

Де знаходиться журнал події у Windows 10, як його переглянути та знайти помилки

Windows знає, що ви зробили минулого літа. І вчора і сьогодні, і прямо зараз. Ні, вона не мстива, вона просто пише все - веде журнал подій.

Події - це будь -які дії, які відбуваються на комп’ютері: увімкнення, відключення, вхід до системи, запуск додатків, клавіші тощо. D. А журнал «Віконні події» - це сховище, де накопичується інформація про найзначніші дії. Перегляд подій допомагає адміністраторам та розробникам знайти причини невдач у роботі обладнання, компонентів системи та програм, а також контролювати безпеку в корпоративних мережах. Отже, ми розберемося, де знаходиться журнал подій у Windows 10, як відкрити, переглянути та проаналізувати його.


Зміст

  • Де журнал події та як його відкрити
  • Що робити, якщо журнал події не відкривається
  • Структура глядача журналу подій
  • Як виглядати в журналах, що цікавлять події
    • Як використовувати функцію фільтрації
    • Як створити власні виступи
    • Джерела, рівні та коди подій. Як зрозуміти, що означає конкретний код
  • Отримайте інформацію про систему - альтернатива стандартному вікнах перегляду Windows

Де журнал події та як його відкрити

Постійна "реєстрація" файлу оглядового файлу файлу - EventVwr.MSC, - Папка \ Windows \ System32. Але заради доступу до нього ніхто в цій папці, звичайно, не піднімається, тому що є простіші способи. Ось вони:

  • Головне меню Windows - "ПочатиЩо. Клацніть на його кнопку, не слід ліворуч, а з правою клавішею миші. Абзац "Переглянути події" - четверта зверху.

  • Пошук системи - кнопка з значком у вигляді лупи поблизу "ПочатиЩо. Достатньо, щоб почати представляти слово "погляд ..." - і ось він, знайдено.

  • Утиліта Windows "Виконувати"(Run) просто створено для тих, хто віддає перевагу гарячим клавішам. Клацніть на клавіатурі Windows+K (російська), заїжджайте в лінію "ВІДЧИНЕНО"Команда EventVwr (Ім'я файлу перегляду) та натисніть кнопку ОК.

  • Командний рядок або консоль PowerShell (також зручно відкрити їх через контекстне меню кнопки запуску). Введіть ще раз, щоб запустити журнал подій EventVwr І натисніть кнопку Enter.

  • Панель управління старим родом (до речі, якщо ви хочете повернути її до контексту старту, прочитайте цю статтю). Перейдіть до розділу "Система та безпека", спустіться вниз до вікна"Адміністрація"і натисніть"Переглянути події подійЩо.

  • Системна утиліта "Варіанти"Панель управління замінена. Ще приємно поховати в кишечнику, але ви можете полегшити почати забивати слово "адміністрація" у пошуковій лінії. Потім просто перейдіть до знайденого розділу та натисніть на мітку пензля -екрана.

  • Знайдіть журнал подій Windows із захоплюючим читанням? Тоді, можливо, вам сподобається ідея, щоб вона завжди була під рукою. Щоб розмістити пензлику -desktop, перейдіть на будь -який методи на панелі управління "Адміністрація", скопіюйте мітку, натиснувши клавіші Ctrl+C, натисніть мишу на робочому столі та натисніть Ctrl+V.

Що робити, якщо журнал події не відкривається

Однойменна служба відповідає за роботу цього системного компонента. І найпоширенішою причиною проблем із його відкриттям є зупинка послуги.

Щоб перевірити цю версію та відновити роботу глядача, відкрийте обладнання "ПослугиЩо. Найпростіший спосіб зробити це через менеджера завдань: перейдіть на вкладку "Послуги"І натисніть на нижню частину вікна"Відкриті послугиЩо.

Потім знайдіть у списку послуг "Журнал подій Вікна"І, якщо він зупиниться, натисніть кнопку запуску на верхній панелі вікна.

Послуга не починається? Або він запускається, але журнал все ще недоступний? Це може бути викликано наступним:

  • Ваш науковий запис обмежений у правах політиків безпеки.
  • Обліковий запис локальної системи обслуговування обмежений, від імені якого працює журнал подій.
  • Деякі компоненти системи пошкоджені або заблоковані зловмисною програмою.

Щоб обійти обмеження щодо політики безпеки, якщо ваш обліковий запис не має адміністративних повноважень, швидше за все, він не спрацює. В інших випадках проблема, як правило, може бути вирішена за допомогою стандартних інструментів відновлення Windows:

  • Відкриття до контрольної точки, створеної, коли все працювало належним чином.
  • Запуск утиліти для перевірки та відновлення захищених системних файлів SFC.Витягувати -Сканувати зараз У командному рядку.
  • Сканування дисків для вірусної інфекції.
  • Відновлення прав доступу до системних облікових записів у папки \Windows \ system32 \ winevt І \ System32 \ logfiles. Робочі налаштування показані на скріншотах нижче.

Структура глядача журналу подій

Корисність перегляду подій не надто доброзичлива для недосвідченого користувача. Ви не можете називати це інтуїтивно зрозумілим. Але, незважаючи на страхітливий погляд, цілком можливо використовувати.

Ліва сторона вікна містить каталоги журналів, серед яких є 2 основні. Це журнали Windows, де зберігаються записи про події операційної системи; та журнали та послуги додатків, де записи - це поточні послуги та встановлені програми. Каталог "Спеціальні виступи"Містить зразки користувачів - групи подій, відсортовані за будь -яким атрибутом, наприклад, за кодом, типом, побаченням або всім відразу.

У середині вікна відображається вибраний журнал. У верхній частині є таблиця подій, де вказуються їхні рівні, дати, джерела, коди та категорія завдань. Під ним - розділ детальної інформації про конкретні записи.

Правий бік містить меню доступних операцій з журналами.

Як виглядати в журналах, що цікавлять події

Перегляд усіх записів поспіль є незручним та неінформативним. Щоб полегшити пошук лише тих, хто цікавить, вони використовують інструмент "Фільтр поточного журналу", Що дозволяє виключити все додаткове з шоу. Він стає доступним у меню "Дії"Коли миша ізолювала будь -який журнал.

Як використовувати функцію фільтрації

Розглянемо певним прикладом. Припустимо, вас цікавить помилки, критичні події та попередження за останній тиждень. Джерело інформації - журнал "СистемаЩо. Виберіть його в каталозі Windows і натисніть "Фільтр поточного журналуЩо.

Далі заповніть вкладку "Фільтрувати":

  • З списку "дата"Вибір останніх 7 днів.
  • В розділі "Рівень події"Ми відзначаємо критичну, помилку та попередження.
  • В списку "Джерела подій"Ми знаходимо інтерес до параметра. Якщо він невідомий, ми вибираємо все.
  • Ми вказуємо коди подій (ідентифікатор події), про які ми збираємо інформацію.
  • Якщо необхідно, відзначаємо ключові слова для звуження кола пошуку та визначення користувача (якщо ви зацікавлені в інформації про певний обліковий запис).

Ось так виглядає журнал лише після того, як ми шукали в ньому в ньому:

Це стало набагато зручніше читати.

Як створити власні виступи

Спеціальні представлення, як було сказано вище, є зразками користувачів подій, що зберігаються в окремому каталозі. Їх відмінність від звичайних фільтрів полягає лише в тому, що вони зберігаються в окремих файлах і продовжують поповнювати записи, які підпадають під їх критерії.

Щоб створити користувацьку продуктивність, зробіть наступне:

  • Виділіть журнал, що цікавить розділ Каталоги.
  • Натисніть елемент "Створіть користувальницький вигляд" в розділі "ДіяЩо.
  • Заповніть налаштування вікна "Фільтрувати"Дотримуючись наведеного прикладу.
  • Збережіть фільтр під будь -яким іменем у вибраному каталозі.

Надалі, виготовлені на замовлення -представлення можна редагувати, копіювати, видалити, експортувати у файли .XML, заощаджуйте як журнали форматних подій .Evtx і прив’язати до них проблеми планувальника.

Джерела, рівні та коди подій. Як зрозуміти, що означає конкретний код

Джерелами подій є компоненти ОС, драйвери, програми або навіть їх окремі компоненти, які створюють нотатки в журналах.

Рівень подій є показниками їх значущості. Усі нотатки журналу приписуються одному з шести рівнів:

  • Критична помилка вказує на найсерйознішу невдачу, що призвело до відмови від джерела, яке породжувало його без можливості незалежної відновлення. Прикладом зовнішнього прояву такої невдачі є синій екран смерті вікон (BSOD) або раптове перезавантаження комп'ютера.
  • Помилка також вказує на збій, але з менш критичними наслідками для роботи системи. Наприклад, відхід програми без збереження даних через відсутність ресурсів, помилок запуску послуг тощо. С.
  • УВАГА - Запис, який повідомляє про проблеми, які негативно впливають на роботу системи, але не призводять до невдач, а також до можливостей помилок у майбутньому, якщо вони не усунуть свою причину. Приклад: Додаток був запущений довше, ніж зазвичай, що призвело до уповільнення завантаження системи.
  • повідомлення - Наприклад, звичайне інформаційне повідомлення про те, що операційна система почала встановлювати оновлення.
  • Успішний звіт (аудит) - Повідомлення про інформування про успіх будь -якої події. Приклади: Програма успішно встановлена, користувач успішно ввів рахунок.
  • Афективний звіт (аудит) - Повідомлення про невдале завершення операції. Наприклад, установка програми не була завершена через скасування користувача.

Кодування (Ідентифікатор події) - це номер, який вказує на категорію подій. Наприклад, записи, пов’язані з завантаженням Windows, позначаються 100-110 кодами, а до кінця його роботи-з кодами 200-210.

Для пошуку додаткової інформації про певний код разом із джерелом події зручно використовувати веб -ресурс EventId.Сітка Це, хоча це є англійською мовою, він простий у його користуванні.

Код, взяті з журналу подій (на скріншоті нижче), ми входимо в поле "Увійти Вікна Подія Ідентифікатор", Джерело - B"Подія ДжерелоЩо. Натисніть кнопку "Обшук" - і нижче є знак з декодуванням події та коментарями користувачів, в яких люди діляться порадами щодо усунення пов'язаних проблем.

Отримайте інформацію про систему - альтернатива стандартному вікнах перегляду Windows

Я не люблю переглядати журнали через стандартний додаток Windows? Є альтернативи, які представляють інформацію в більш візуальній та зручній формі для аналізу. Один з них - корисність лабораторії Касперського Отримати Система Інформація.

Отримайте інформацію про систему відображає різну інформацію про операційну систему, встановлені програми, налаштування мережі, пристрої, драйвери тощо. D. Записи журналу подій - лише один із його показників.

Перевага цієї утиліти перед стандартними засобами Windows - це зручність перегляду та проявлення всебічної інформації про комп'ютер, що полегшує діагноз несправностей. І недоліком є ​​те, що він записує не все, а лише останні та найзначніші події.

Отримати інформацію про систему не потребує встановлення на ПК, але для читання результатів його потрібно буде завантажити на сайт аналізатора, тобто вам потрібен доступ до Інтернету.

Як використовувати інформацію про систему:

  • Запустіть утиліту Amin Prices. Перш ніж натиснути кнопку "Почати"Вкажіть папку збереження журналу (за замовчуванням це робочий стіл) і позначте точку"Включати Вікна Подія ЖурналиЩо.

  • Після архівного файлу з іменем з’явиться на робочому столі або в папці, яку ви вказалиGsi6_mya_pk_user_data_ і t.D.", Відкрийте сайт у браузері GetSysteminfo.Com і завантажте там архів.

  • Після завантаження звіту про getSysteminfo.Com перейдіть на вкладку "Властивості системи"І відкрийте розділ"Журнал подійЩо.

Утиліта збирає інформацію з журналів "Система"І"ЗаявкиЩо. Події відображаються в хронологічному порядку, кожен рівень підкреслюється своїм кольором. Щоб переглянути інформацію про конкретний запис, просто натисніть на рядок на рядку.

Тут немає спеціальних виступів та фільтрації, але є пошук та функція сортування записів.

Пошуковий рядок за журналами та списком падіння "Покажіть кількість елементів"Розташований над столом. А також сортувати дані за типом, датою та часом, джерелом, категорією, кодом, файлом чи користувачем, просто натисніть на заголовок потрібного стовпця.

Інформація про події, зібрані інформацією про систему GET, допомагає знайти джерело проблеми з комп'ютером, якщо вона пов'язана з обладнанням, Windows або програмним забезпеченням.  Якщо ви зацікавлені в даних про певну програму, компонент системного або безпеку, вам доведеться використовувати стандартний переглядач. Більше того, тепер ви знаєте, як відкрити його без зайвих зусиль.