Разное

Журнал событий виндовс: Журнал событий в Windows 7/10 – как открыть и посмотреть системные события

18.08.2020
Журнал событий в Windows 7/10 – как открыть и посмотреть системные события

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Содержание

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs

.

Файлы журнала событий

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

Переход в Журнал событий

Журнал событий Windows — Часто задаваемые вопросы

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10/etc является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате

EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные систем

Как открыть журнал событий Windows 7

Журнал событий в Windows 7

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Открытие инструмента «Просмотр событий»

Журнал событий хранится в системном инструменте, который имеет название «Просмотр событий». Посмотрим, как с помощью различных способов в него можно перейти.

Способ 1: «Панель управления»

Один из самых распространенных способов запуска описываемого в данной статье инструмента, хотя далеко не самый легкий и удобный, осуществляется с помощью «Панели управления».

  1. Щелкните «Пуск» и перейдите по надписи «Панель управления».
  2. Переход в панель управления через кнопку Пуск в Windows 7

  3. Затем зайдите в раздел «Система и безопасность».
  4. Переход в раздел Система и безопасность в Панели управления в Windows 7

  5. Далее щелкайте по наименованию раздела «Администрирование».
  6. Переход в раздел Администрирование в разделе Система и безопасность в Панели управления в Windows 7

  7. Попав в указанный раздел в перечне системных утилит ищите наименование «Просмотр событий». Кликните по нему.
  8. Запуск инструмента Просмотр событий в разделе Администрирование в Панели управления в Windows 7

  9. Целевой инструмент активирован. Чтобы конкретно попасть в журнал системы, кликните по пункту «Журналы Windows» в левой области интерфейса окошка.
  10. Переход в Журналы Windows окне Просмотр событий в Windows 7

  11. В открывшемся списке выбирайте один из пяти интересующих вас подразделов:
    • Приложение;
    • Безопасность;
    • Установка;
    • Система;
    • Перенаправление события.

    В центральной части окна отобразится журнал событий, соответствующий выбранному подразделу.

  12. Подраздел Приложение в Журналах Windows в окне Просмотр событий в Windows 7

  13. Аналогичным образом можно раскрыть раздел «Журналы приложений и служб», но там будет больший перечень подразделов. Выбор конкретного из них приведет к отображению в центре окна списка соответствующих событий.

Раздел Журналы Приложений и служб в окне Просмотр событий в Windows 7

Способ 2: Средство «Выполнить»

Намного проще инициировать активацию описываемого инструмента при помощи средства «Выполнить».

  1. Задействуйте комбинацию клавиш Win+R. В поле запустившегося средства вбейте:

    eventvwr

    Кликните «OK».

  2. Переход в окно Просмотр событий путем введения команды в окно Выполнить в Windows 7

  3. Нужное окно будет открыто. Все дальнейшие действия по просмотру журнала можно производить по тому же алгоритму, который был описан в первом способе.

Окно Просмотр событий открыто в Windows 7

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Способ 3: Поле поиска меню «Пуск»

Очень похожий метод вызова изучаемого нами инструмента осуществляется с задействованием поля поиска меню

«Пуск».

  1. Щелкните «Пуск». Внизу открывшегося меню расположено поле. Введите туда выражение:

    eventvwr

    Переход в окно Просмотр событий путем введения выражения в поле для поиска меню Пуск в Windows 7

    Или просто напишите:

    Просмотр событий

    В списке выдачи в блоке «Программы» появится наименование «eventvwr.exe» или «Просмотр событий» в зависимости от введенного выражения. В первом случае, скорее всего, результат выдачи будет единственным, а во втором их будет несколько. Кликните по одному из указанных выше названий.

  2. Переход в окно Просмотр событий путем введения альтернативного выражения в поле для поиска меню Пуск в Windows 7

  3. Журнал будет запущен.

Способ 4: «Командная строка»

Вызов инструмента через «Командную строку» довольно неудобен, но и такой способ существует, а поэтому он тоже стоит отдельного упоминания. Сначала нам потребуется вызвать окно «Командной строки».

  1. Щелкайте «Пуск». Далее выбирайте «Все программы».
  2. Переход во все программы через кнопку Пуск в Windows 7

  3. Переходите в папку «Стандартные».
  4. Переход в папку Стандартные через кнопку Пуск в Windows 7

  5. В перечне открывшихся утилит щелкайте по «Командная строка». Активацию с административными полномочиями производить не обязательно.

    Запуск командной строки через кнопку Пуск в Windows 7

    Можете выполнить запуск и быстрее, но для этого нужно помнить команду активации «Командной строки». Наберите Win+R, инициировав тем самым запуск инструмента «Выполнить». Введите:

    cmd

    Щелкайте «OK».

  6. Переход в окно Командной строки путем введения команды в окно Выполнить в Windows 7

  7. При любом из двух вышеуказанных действий будет запущено окно «Командной строки». Введите знакомую команду:

    eventvwr

    Жмите Enter.

  8. Ввод команды в окно Командной строки в Windows 7

  9. Окно журнала будет активировано.

Урок: Включение «Командной строки» в Виндовс 7

Способ 5: Прямой старт файла eventvwr.exe

Можно воспользоваться таким «экзотическим» вариантом решения поставленной задачи, как прямой старт файла из «Проводника». Тем не менее, и данный способ может пригодиться на практике, например, если сбои достигли такого масштаба, что другие варианты запустить инструмент просто недоступны. Такое бывает крайне редко, но вполне возможно.

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

C:\Windows\System32

  1. Запустите «Проводник Windows».
  2. Запуск Проводника в Windows 7

  3. Вбейте в адресное поле тот адрес, который был представлен ранее, и кликните Enter или нажмите по значку справа.
  4. Переход в папку System32 путем ввода адреса в адресную строку в Проводнике в Windows 7

  5. Выполняется перемещение в каталог «System32». Именно тут хранится целевой файл «eventvwr.exe». Если у вас не включен в системе показ расширений, то объект будет называться «eventvwr». Найдите и произведите по нему двойной клик левой кнопкой мышки (ЛКМ). Чтобы легче осуществлять поиск, так как элементов довольно много, можете отсортировать объекты по алфавиту, кликнув по параметру «Имя» вверху списка.
  6. Открытие окна Просмотр событий путем прямого запуска исполняемого файла в Проводнике в Windows 7

  7. Произойдет активация окна журнала.

Способ 6: Введение пути к файлу в адресной строке

При помощи «Проводника» можно запустить интересующее нас окно и быстрее. При этом даже не придется искать eventvwr.exe в каталоге «System32». Для этого в адресном поле «Проводника» просто нужно будет указать путь к данному файлу.

  1. Запустите «Проводник» и введите в адресное поле такой адрес:

    C:\Windows\System32\eventvwr.exe

    Кликните Enter или нажмите по эмблеме стрелки.

  2. Открытие окна Просмотр событий путем ввода полного пути к исполняемому файлу в адресной строке в Проводнике в Windows 7

  3. Окно журнала тут же активируется.

Способ 7: Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

  1. Перейдите на «Рабочий стол» или запустите «Проводник» в том месте файловой системы, где собираетесь создать иконку доступа. Кликните правой кнопкой мышки по пустой области. В меню переместитесь по «Создать» и далее щелкайте «Ярлык».
  2. Переход к созданию ярлыка на рабочем столе через контекстное меню в Windows 7

  3. Активируется инструмент формирования ярлыка. В открывшееся окошко внесите тот адрес, о котором уже шла речь:

    C:\Windows\System32\eventvwr.exe

    Кликните «Далее».

  4. Введение полного пути к исполняемому файлу в поле в окне Мастера создания ярлыка в Windows 7

  5. Запускается окошко, где нужно указать наименование иконки, по которому юзер будет определять активируемый инструмент. По умолчанию в качестве названия используется имя исполняемого файла, то есть, в нашем случае «eventvwr.exe». Но, конечно, это название мало что может сказать непосвященному пользователю. Поэтому лучше в поле ввести такое выражение:

    Журнал событий

    Ввод названия ярлыка в окне Мастера создания ярлыка в Windows 7

    Или такое:

    Просмотр событий

    В общем, введите любое название, по которому вы будете ориентироваться, какой инструмент данная иконка запускает. После ввода жмите «Готово».

  6. Ввод альтернативного названия ярлыка в окне Мастера создания ярлыка в Windows 7

  7. Иконка запуска появится на «Рабочем столе» или в другом месте, где вы её создали. Для активации инструмента «Просмотр событий» достаточно кликнуть по ней дважды ЛКМ.
  8. Запуск инструмента Просмотр событий с помощью ярлыка на рабочем столе в Windows 7

  9. Необходимое системное приложение будет запущено.

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

Служба журнала событий недоступна в Windows 7

  1. Прежде всего, нужно перейти в «Диспетчер служб». Это можно сделать из раздела «Панели управления», который называется «Администрирование». Как в него перейти, подробно описывалось при рассмотрении Способа 1. Попав в данный раздел, ищите пункт «Службы». Кликните по нему.

    Запуск инструмента Службы в разделе Администрирование в Панели управления в Windows 7

    В «Диспетчер служб» можете перейти с помощью средства «Выполнить». Вызовите его, набрав Win+R. В область для ввода вбейте:

    services.msc

    Жмите «OK».

  2. Переход в окно Диспетчера служб путем введения команды в окно Выполнить в Windows 7

  3. Независимо от того, совершили вы переход через «Панель управления» или использовали ввод команды в поле инструмента «Выполнить», запускается «Диспетчер служб». В списке ищите элемент «Журнал событий Windows». Чтобы облегчить поиск, можете выстроить все объекты перечня в алфавитном прядке, кликнув по названию поля «Имя». После того, как нужная строка найдена, взгляните на соответствующее ей значение в колонке «Состояние». Если служба включена, то там должна находиться надпись «Работает». Если же там пусто, то это означает, что служба деактивирована. Также посмотрите на значение в колонке «Тип запуска». В нормальном состоянии там должна находиться надпись «Автоматически». Если там стоит значение «Отключена», то это означает, что служба не активируется при запуске системы.
  4. Служба Журнал событий Windows отключена в Диспетчере служб в Windows 7

  5. Чтобы это исправить, перейдите в свойства службы, кликнув по наименованию дважды ЛКМ.
  6. Переход в окно свойств службы Журнал событий Windows в Диспетчере служб в Windows 7

  7. Открывается окно. Кликните по области «Тип запуска».
  8. Открытие поля Тип запуска в окне свойств службы Журнал событий Windows в Windows 7

  9. Из раскрывшегося списка выбирайте «Автоматически».
  10. Выбор автоматического типа запуска в окне свойств службы Журнал событий Windows в Windows 7

  11. Жмите по надписям «Применить» и «OK».
  12. Сохранение изменений в окне свойств службы Журнал событий Windows в Windows 7

  13. Возвратившись в «Диспетчер служб», отметьте «Журнал событий Windows». В левой области оболочки кликните по надписи «Запустить».
  14. Запуск службы Журнал событий Windows в Диспетчере служб в Windows 7

  15. Запуск службы произведен. Теперь в соответствующем ей поле колонки «Состояние» отобразится значение «Работает», а в поле колонки «Тип запуска» появится надпись «Автоматически». Теперь журнал можно открыть любым из тех способов, которые мы описывали выше.

Служба Журнал событий Windows запущена в Диспетчере служб в Windows 7

Существует довольно много вариантов активировать журнал событий в Виндовс 7. Конечно, самые удобные и популярные способы – это переход через «Панель инструментов», активация при помощи средства «Выполнить» или поля поиска меню «Пуск». Для удобного доступа к описываемой функции можете создать иконку на «Рабочем столе». Иногда возникают проблемы с запуском окна «Просмотр событий». Тогда нужно проверить, активирована ли соответствующая служба.

Служба Журнал событий Windows запущена в Диспетчере служб в Windows 7 Мы рады, что смогли помочь Вам в решении проблемы.
Служба Журнал событий Windows запущена в Диспетчере служб в Windows 7 Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ

Основы работы с журналами событий Windows

Что такое журнал событий Windows?

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений. Когда возникают подобные типы событий, система Windows создает записи в журналах событий. В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами. Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей — событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий — управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году. Начиная с этой версии в любой Windows присутствуют 3 основных журнала — журнал Приложения, журнал Система и журнал Безопасность. В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

Преимущества Event Log Explorer для руководителей

Что такое служба «Журнал событий Windows»?

Служба (сервис) «Журнал событий Windows» — это специальная служба (сервис) для управления событиями и журналами событий. Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п. По умолчанию, после установки системы Windows служба «Журнал событий Windows» включена и запускается автоматически. Не стоит останавливать или выключать эту службу. Остановка службы «Журнал событий Windows» может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате. Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой «Журнал событий Windows» и их невозможно непосредственно открыть на живой, работающей системе. Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру. По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге
«C:\Windows\System32\winevt\Logs\»
Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги: 

Запустите приложение Просмотр событий.

Нажмите «Открыть сохраненный журнал» в панели «Действия», расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку «Открыть» и его содержимое отобразиться в области просмотра событий в приложении. 

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем «Просмотр событий». Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой. Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения. Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях возникающих при работе SQL-сервера, таких как «недостаточно памяти», «сбой при резервном копировании базы данных» и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений. Приложения идентифицируются как разные «источники» в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников. Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами. Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий. Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows. Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником. Журнал событий Система — важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д. Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен. Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Подробнее про аудит событий безопасности можно прочесть тут.
Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события. Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

 

Журнал событий Windows 7. Где найти системный журнал

В операционной системе Windows седьмой версии реализована функция отслеживания важных событий, которые происходят в работе системных программ. В «Майкрософт» под понятием «события» подразумеваются любые происшествия в системе, которые фиксируются в специальном журнале и сигнализируют о себе пользователям или администраторам. Это может быть служебная программа, не желающая запускаться, сбой в работе приложений или некорректная установка устройств. Все происшествия регистрирует и сохраняет журнал событий Windows 7. Он также располагает и показывает все действия в хронологическом порядке, помогает производить системный контроль, обеспечивает безопасность операционки, исправляет ошибки и диагностирует всю систему.

Следует периодически просматривать этот журнал на предмет появления поступающей информации и производить настройку системы для сохранения важных данных.

Window 7 — программы

Компьютерное приложение «Просмотр событий» является основной частью служебных утилит «Майкрасофт», которые предназначены для контроля и просмотра журнала событий. Это необходимый инструмент для мониторинга работоспособности системы и ликвидации появляющихся ошибок. Служебная программа «Виндовс», управляющая документированием происшествий, называется «Журналом событий». Если эта служба запущена, то она начинает собирать и протоколировать все важные данные в своем архиве. Журнал событий Windows 7 разрешает совершать следующие действия:

— просмотр данных, записанных в архив;

— использование различных фильтров событий и их сохранение для дальнейшего применения в настройках системы;

— создание подписки по определенным происшествиям и управление ими;

— назначать определенные действия при возникновении каких-либо событий.

журнал событий windows 7

Как открыть журнал событий Windows 7?

Программа, отвечающая за регистрацию происшествий, запускается следующим образом:

1. Активируется меню нажатием кнопки «Пуск» в левом нижнем углу монитора, затем открывается «Панель управления». В списке элементов управления выбираем «Администрирование» и уже в этом подменю нажимаем на «Просмотр событий».

2. Есть другой способ, как посмотреть журнал событий Windows 7. Для этого следует перейти в меню «Пуск», в поисковом окошке набрать mmc и отправить запрос на поиск файла. Далее откроется таблица MMC, где нужно выбрать параграф, обозначающий добавление и удаление оснастки. Затем производится добавка «Просмотра событий» на главное окно.

служба журнал событий

Что представляет собой описываемое приложение?

В операционных системах Widows 7 и Vista установлены два вида журналов событий: системные архивы и служебный журнал приложений. Первый вариант используется для фиксации общесистемных происшествий, которые связаны с производительностью различных приложений, запуском и безопасностью. Второй вариант отвечает за запись событий их работы. Для контроля и управления всеми данными служба «Журнал событий» использует вкладку «Просмотра», которая подразделяется на следующие пункты:

— Приложение – здесь хранятся события, которые связаны с какой-то определенной программой. Например, почтовые службы хранят в этом месте историю пересылки информации, различные события в почтовых ящиках и так далее.

— Пункт «Безопасность» сохраняет все данные, относящиеся к входам в систему и выходу из нее, использованию административных возможностей и обращению к ресурсам.

— Установка – в этот журнал событий Windows 7 заносятся данные, которые возникают при установке и настройке системы и ее приложений.

— Система – фиксирует все события операционки, такие как сбой при запуске служебных приложений или при установке и обновлении драйверов устройств, разнообразные сообщения, касающиеся работы всей системы.

— Пересылаемые события – если этот пункт настроен, то в нем хранится информация, которая приходит с других серверов.

как открыть журнал событий windows 7

Другие подпункты основного меню

Также в меню «Администрирование», где журнал событий в Windows 7 и находится, есть такие дополнительные пункты:

— Internet Explorer – здесь регистрируются события, которые возникают при работе и настройке одноименного браузера.

— Windows PowerShell – в этой папке фиксируются происшествия, имеющие связь с применением оболочки PowerShell.

— События оборудования – если этот пункт настроен, то в журнал заносятся данные, которые генерируют устройства.

Вся структура «семерки», которая обеспечивает запись всех событий, основана по типу «Висты» на XML. Но для использования в Window 7 программы журнала событий нет необходимости знать, как применять этот код. Приложение «Просмотр событий» все сделает само, предоставив удобную и простую таблицу с пунктами меню.

журнал событий системы

Характеристики происшествий

Пользователь, желающий узнать, как посмотреть журнал событий Windows 7, должен также разбираться и в характеристиках тех данных, которые он хочет просмотреть. Ведь существуют различные свойства тех или иных происшествий, описанных в «Просмотре событий». Эти характеристики мы рассмотрим ниже:

— Источники – программа, фиксирующая события в журнале. Здесь записываются имена приложений или драйверов, повлиявших на то или иное происшествие.

— Код события – набор чисел, определяющих тип происшествия. Этот код и имя источника события используется технической поддержкой системного обеспечения для исправления ошибок и ликвидации программных сбоев.

— Уровень – степень важности события. Журнал событий системы имеет шесть уровней происшествий:

1. Сообщение.

2. Предостережение.

3. Ошибка.

4. Опасная ошибка.

5. Мониторинг успешных операций по исправлению ошибок.

6. Аудит неудачных действий.

— Пользователи – фиксирует данные учетных записей, от имени которых произошло происшествие. Это могут быть имена различных сервисов, а также реальных пользователей.

— Дата и время – регистрирует временные показатели появления события.

— Загрузка центрального процессора – время, необходимое для выполнения команд пользователя.

Существует масса других событий, которые возникают при работе операционной системы. Все происшествия высвечиваются в «Просмотре событий» с описанием всех сопутствующих информационных данных.

как посмотреть журнал событий windows 7

Как работать с журналом событий?

Очень важным моментом в предохранении системы от сбоев и зависаний является периодическое просматривание журнала «Приложение», в котором фиксируются сведения о происшествиях, недавних действиях с той или иной программой, а также предоставляется выбор доступных операций.

Зайдя в журнал событий Windows 7, в подменю «Приложение» можно увидеть список всех программ, вызвавших различные негативные события в системе, время и дату их появления, источник, а также степень проблемности.

В этой консоли можно сохранить все события за последние несколько месяцев, очистить журнал от старых записей, изменить размер таблицы и многое другое.

window 7 программы

Ответные действия пользователя на события

Изучив, как открыть журнал событий Windows 7 и каким образом им пользоваться, следует далее научиться применять с этим полезным приложением «Планировщик задач». Для этого необходимо правой клавишей мыши кликнуть на любое происшествие и в открывшемся окне выбрать меню привязки задачи к событию. В следующий раз, когда произойдет такое происшествие в системе, операционка автоматом запустит установленную задачу на обработку ошибки и ее исправление.

журнал системных событий windows 7

Ошибка в журнале не является поводом для паники

Если, просматривая журнал системных событий Windows 7, вы увидите появляющиеся периодически ошибки системы или предупреждения, то не следует переживать и паниковать по этому поводу. Даже при отлично работающем компьютере могут регистрироваться различные ошибки и сбои, большинство из которых не несут серьезной угрозы работоспособности ПК.

Описываемое нами приложение создано для того, чтобы облегчить системному администратору контроль над компьютерами и устранение появляющихся проблем.

Вывод

Исходя из всего вышесказанного, становится ясно, что журнал событий – способ, позволяющий программам и системе фиксировать и сохранять все события на компьютере в одном месте. В таком журнале хранятся все операционные ошибки, сообщения и предупреждения системных приложений.

Где находится журнал событий в Windows 7, чем его открыть, как им пользоваться, каким образом исправлять появившиеся ошибки – все это мы узнали из этой статьи. Но многие спросят: «А зачем нам это нужно, мы не системные администраторы, не программисты, а обыкновенные пользователи, которым эти знания как бы не нужны?» Но этот подход неправильный. Ведь когда человек чем-то заболевает, перед походом к врачу он пытается сам вылечиться теми или иными способами. И у многих часто это получается. Так и компьютер, являющийся цифровым организмом, может «заболеть», и в этой статье показан один из способов, как диагностировать причину такого «заболевания», по результатам такого «обследования» можно принять правильное решение о методах последующего «лечения».

Так что информация о способе просмотра событий будет полезна не только системщику, но и обыкновенному пользователю.

Где находится журнал событий в Windows 10, как его открыть

Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.

Где находится журнал событий в Windows 10.Где находится журнал событий в Windows 10.

События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.

Где находится журнал событий и как его открыть

Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка \Windows\system32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:

  • Главное меню Windows – «Пуск». Щелкать по его кнопке следует не левой, а правой клавишей мыши. Пункт «Просмотр событий» – четвертый сверху.

Меню правой кнопки пуск.Меню правой кнопки пуск.

  • Системный поиск – кнопка со значком в виде лупы возле «Пуска». Достаточно начать вводить в поисковую строку слово «просм…» – и вот он, нашелся.

Системный поиск.Системный поиск.

  • Виндовая утилита «Выполнить» (Run) просто создана для тех, кто предпочитает горячие клавиши. Нажмите на клавиатуре Windows+К (русская), вбейте в строку «Открыть» команду eventvwr (имя файла просмотрщика) и щелкните ОК.

Утилита «Выполнить».Утилита «Выполнить».

  • Командная строка или консоль Powershell (их тоже удобно открывать через контекстное меню кнопки Пуск). Для запуска журнала событий снова введите eventvwr и щелкните Enter.

Открытие журнала событий через командную строку.Открытие журнала событий через командную строку.

Панель управления.Панель управления.

  • Системная утилита «Параметры», пришедшая на смену панели управления. Зарываться в ее недра – то еще удовольствие, но можно сделать проще – начать вбивать в строку поиска слово «администрирование». Следом просто перейдите в найденный раздел и щелкните ярлык просмотрщика.

Утилита «Параметры».Утилита «Параметры».

  • НахОдите журнал событий Windows увлекательным чтивом? Тогда, возможно, вам понравится идея держать его всегда под рукой. Чтобы поместить ярлык просмотрщика на рабочий стол, зайдите любым из способов в раздел панели управления «Администрирование», скопируйте ярлык нажатием клавиш Ctrl+C, щелкните мышкой по рабочему столу и нажмите Ctrl+V.

Ярлык журнала событий.Ярлык журнала событий.

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Открытие служб.Открытие служб.

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба «Журнал событий Windows».Служба «Журнал событий Windows».

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

  • Ваша ученая запись ограничена в правах доступа политиками безопасности.
  • В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
  • Некоторые системные компоненты повреждены или заблокированы вредоносной программой.

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

  • Откатом на контрольную точку, созданную, когда всё работало исправно.
  • Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe –scannow в командной строке.
  • Сканированием дисков на предмет вирусного заражения.
  • Восстановлением прав доступа системных учетных записей к папкам \Windows\System32\winevt и \System32\LogFiles. Рабочие настройки показаны на скриншотах ниже.

Восстановление прав доступа к папкам.Восстановление прав доступа к папкам.

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Просмотрщик журнала событий.Просмотрщик журнала событий.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Как искать в журналах событий интересующие сведения

Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.

Как пользоваться функцией фильтрации

Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».

Далее заполняем вкладку «Фильтр»:

  • Из списка «Дата» выбираем последние 7 дней.
  • В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
  • В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
  • Указываем коды событий (event ID), о которых собираем сведения.
  • Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).

Фильтр журнала событий.Фильтр журнала событий.

Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:

Журнал событий после фильтрации.Журнал событий после фильтрации.

Читать его стало гораздо удобнее.

Как создавать настраиваемые представления

Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.

Чтобы создать настраиваемое представление, сделайте следующее:

  • Выделите в разделе каталогов интересующий журнал.
  • Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
  • Заполните настройки окошка «Фильтр» по примеру выше.
  • Сохраните фильтр под любым именем в выбранный каталог.

Настраиваемое представление.Настраиваемое представление.

В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.

Источники, уровни и коды событий. Как понять, что означает конкретный код

Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.

Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:

  • Критическая ошибка указывает на самый серьезный сбой, который привел к отказу породившего его источника без возможности самостоятельного восстановления. Пример внешнего проявления такого сбоя – синий экран смерти Windows (BSoD) или внезапная перезагрузка компьютера.
  • Ошибка тоже указывает на сбой, но с менее критичными последствиями для работы системы. Например, вылет программы без сохранения данных из-за нехватки ресурсов, ошибки запуска служб и т. п.
  • Предупреждение – запись, сообщающая о неполадках, которые негативно влияют на работу системы, но не приводят к сбоям, а также о возможности возникновения ошибок в дальнейшем, если не устранить их причину. Пример: приложение запускалось дольше, чем обычно, что привело к замедлению загрузки системы.
  • Уведомление – обычное информационное сообщение, например, о том, что операционная система приступила к установке обновления.
  • Успешный отчет (аудит) – сообщение, информирующее об успехе какого-либо события. Примеры: программа успешно установлена, пользователь успешно вошел в учетную запись.
  • Неуспешный отчет (аудит) – сообщение о неуспешном завершении операции. Например, установка программы не была завершена из-за отмены действия пользователем.

Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.

Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.

Веб-ресурс eventid.net.Веб-ресурс eventid.net.

Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.

Код, взятый из журнала событий.Код, взятый из журнала событий.

Get System Info – альтернатива стандартному просмотрщику Windows

Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info.

Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.

Преимущество этой утилиты перед  стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.

Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.

Как пользоваться Get System Info:

  • Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «Include Windows event logs».

Запуск Get System Info.Запуск Get System Info.

  • После того как на рабочем столе или в папке, которую вы указали, появится архивный файл с именем «GSI6_Имя_ПК_user_дата_ и т.д.», откройте в браузере сайт getsysteminfo.com и загрузите архив туда.

Сайт анализатор Get System Info.Сайт анализатор Get System Info.

  • После загрузки отчета на getsysteminfo.com зайдите на вкладку «Свойства системы» и откройте раздел «Журнал событий».

Журнал событий на getsysteminfo.Журнал событий на getsysteminfo.

Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.

Просмотр события getsysteminfo.Просмотр события getsysteminfo.

Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.

Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.

Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением.  Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.

Как открыть журнал событий Windows 7

Любая современная ОС с графическим интерфейсом основана на событиях. То же самое касается и программного обеспечения, для таких ОС разработанного. Событие – краеугольный камень этой инфраструктуры. Под событиями понимаются не только интерактивные действия пользователя, но и результаты разнообразных системных процессов, скрытых от глаз нажимающего на кнопки и щелкающего по клавишам оператора системы.

События бывают встроенные, то есть такие, что предопределены архитектурой, и создаваемые администратором или разработчиком. В нашей статье мы рассмотрим классификацию событий в Windows, средства их журналирования и просмотра, а также методы работы с ними.

Системный журналИнтерфейс для просмотра произошедших в системе событий носит название «системного журнала». Записи в журнале создаются в результате некоторых действий программ или пользователей, зарезервированных ОС в качестве событий. Разумеется, не каждое действие фиксируется в журнале. Для этого их слишком много.

Например, передвижение мыши хотя бы на один пиксель, уже порождает программное исключение и потенциально может обрабатываться «операционкой», что, в сущности, и происходит – такие действия в журнал не попадают. А вот предупреждения системы безопасности – протоколируются, так как составляют критически важные сведения.

Windows допускает тонкую настройку перечня критически важных системных исключений. До некоторой степени вы сами вольны решать, что именно протоколировать, а без какой информации можно и обойтись. Чтобы дать вам представления об этом, перечислим некоторые из стандартных операций с журналом:

  • Просмотр перечня событий.
  • Фильтрация перечня по определенным критериям.
  • Создание «триггеров» реакций на процессы в системе – так называемая «подписка».
  • Назначение типа реакции на то или иное событие.

Как осуществить просмотр?

Чтобы осуществлять просмотр содержимого журнала, нужно запустить соответствующее приложение. Делается это так:

  • Переходим в меню «Пуск» => «Панель управления».
  • Выбираем раздел «Администрирование».
  • В этом разделе щелкаем по имени компоненты «Просмотр событий».
  • Запустится программа с окном характерного вида – так называемая «оснастка». Эта оснастка и есть визуальный интерфейс для нашего протокола.

Того же самого можно добиться, если в окошке «Выполнить» (вызывается из того же меню «Пуск») набрать команду mmc. Эта команда запустит общий интерфейс для всех оснасток, в котором нужно будет перейти в меню «Консоль» => «Добавить или удалить оснастку» и из перечня всех оснасток вызвать нужную. В седьмой версии Windows все это проделывается так же, как и в предыдущей. Окошко «Выполнить» можно вызвать и при помощи клавиатурной комбинации «Win» + «R» — результат будет тем же. По итогу наших манипуляций появится окно такого вида:
Классификация

Классификация событий ОС

Далее мы приведем классификацию записей в журнале по их значению для пользователя. События делятся на те, что генерируются самой операционной системой, и те, что исходят от приложений и служб. Однако такая классификация не учитывает смысла фиксируемых явлений. Более подробная их группировка выглядит следующим образом:

  • Просмотр событийГруппа «Приложение» включает реакции системы на некоторые результаты работы приложений. Например, почтовый сервер может оставлять в журнале записи об отправке и получении электронной почты. Соответствующие данные хранятся в файле %SystemRoot%\System32\Winevt\Logs\Application.Evtx.
  • Группа «Безопасность» не нуждается в комментариях – сюда складируется все, что так или иначе затрагивает подсистему защиты от незаконных вторжений. Например, отмечаются удачные и неудачные попытки пользователя войти в систему. Адрес файла: %SystemRoot%\System32\Winevt\Logs\Security.Evtx.
  • Группа «Установка» — здесь журнал событий Windows 7 логирует успешные и неуспешные попытки инсталлировать те или иные компоненты в процессе установки ОС. Так что если установка не увенчалась успехом или привела к нестабильной работе поставленной системы – анализ этого лога может помочь выявить источник проблемы. Файл хранится тут: %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.
  • Группа «Система» — самая обширная сюда помещаются результаты инициализации драйверов, запуска служб и прочие критически важные для ОС сообщения. Файл %SystemRoot%\System32\Winevt\Logs\System.Evtx – место хранения этих сведений.
  • Группа «Пересылаемые события» — это собрание информации о пересылках данных между серверами. Все результаты таких пересылок накапливаются в файле %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx.
  • Хранилище «Internet Explorer» (%SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx) содержит логи работы браузера.
  • Просмотреть логи взаимодействия пользователя с обновленным интерфейсом командной строки «Power Shell» можно тут: %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx.
  • Регистрация неадекватного поведения оборудования ведется в файле %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx.

Все данные хранятся в популярном формате XML, поэтому для их чтения и обработки необходима оболочка наподобие журнала событий. Непосредственный просмотр событий в системе Windows 7 в файлах хотя и возможен, но крайне затруднителен. Однако заниматься этим нет нужды, так как журнал событий Windows 7 делает это за нас.

Параметры записей

Каждая запись в журнале ОС Windows имеет единообразный набор параметров, характеризующих ее свойства: указатель на источник происхождения, специальный идентифицирующий код, степень критичности и многие другие.

Некоторые параметры имеют смысл для любых событий, другие же относятся только к определенным их типам. Журнал имеет меню с множеством опций, упрощающих работу пользователя с его записями:

Очистить журналТеперь вы знаете, как в Windows 7 открыть журнал событий и что он собой представляет.

Очистить журнал

функций журнала событий Windows — приложения Win32

  • 2 минуты, чтобы прочитать

В этой статье

Журнал событий Windows определяет следующие функции, которые можно использовать для получения событий из канала или журнала событий, а также для получения метаданных для поставщика и генерируемых им событий.

Функция Описание
EVT_SUBSCRIBE_CALLBACK Реализуйте этот обратный вызов, если вы вызываете функцию EvtSubscribe для получения событий, соответствующих вашему запросу.
EvtArchiveExportedLog Добавляет локализованные строки к событиям в указанном файле журнала.
EvtCancel Отменяет все ожидающие операции над дескриптором.
EvtClearLog Удаляет все события из указанного канала и записывает их в целевой файл журнала.
EvtClose Закрывает открытую ручку.
EvtCreateBookmark Создает закладку, которая идентифицирует событие в канале.
EvtCreateRenderContext Создает контекст, который указывает информацию в событии, которое вы хотите визуализировать.
EvtExportLog Копирует события из указанного канала или файла журнала и записывает их в целевой файл журнала.
EvtFormatMessage Форматирует строку сообщения.
EvtGetChannelConfigProperty Получает указанное свойство конфигурации канала.
EvtGetEventInfo Получает информацию, которая идентифицирует структурированный XML-запрос, который выбрал событие, и канал или файл журнала, из которого оно пришло.
EvtGetEventMetadataProperty Получает указанное свойство метаданных события.
EvtGetExtendedStatus Получает текстовое сообщение, которое содержит расширенную информацию об ошибке для текущей ошибки.
EvtGetLogInfo Получает информацию о канале или файле журнала.
EvtGetObjectArrayProperty Получает свойство метаданных поставщика из указанного объекта в массиве.
EvtGetObjectArraySize Получает количество элементов в массиве объектов.
EvtGetPublisherMetadataProperty Получает указанное свойство метаданных провайдера.
EvtGetQueryInfo Получает информацию о выполненном вами запросе, который определяет список каналов или файлов журналов, к которым запрос пытался получить доступ, и список кодов возврата, которые указывают на успешность или неудачу каждого доступа.
EvtNext Получает следующее событие из результатов запроса или подписки.
EvtNextChannelPath Получает название канала от перечислителя.
EvtNextEventMetadata Получает определение события от перечислителя.
EvtNextPublisherId Получает идентификатор поставщика от перечислителя.
EvtOpenChannelConfig Получает дескриптор, который вы используете для чтения или изменения свойства конфигурации канала.
EvtOpenChannelEnum Получает дескриптор, который вы используете для перечисления списка каналов, зарегистрированных на компьютере.
EvtOpenEventMetadataEnum Получает дескриптор, который вы используете для перечисления списка событий, определенных поставщиком.
EvtOpenLog Получает дескриптор канала или файла журнала, который затем можно использовать для получения информации о канале или файле журнала.
EvtOpenPublisherEnum Получает дескриптор, который вы используете для перечисления списка зарегистрированных поставщиков на компьютере.
EvtOpenPublisherMetadata Получает дескриптор, который вы используете для чтения метаданных указанного поставщика.
EvtOpenSession Устанавливает соединение с удаленным компьютером, которое можно использовать при вызове других функций журнала событий Windows.
EvtQuery Запускает запрос для извлечения событий из канала или файла журнала, соответствующих указанным критериям запроса.
EvtRender Рендеринг фрагмента XML на основе заданного вами контекста рендеринга.
EvtSaveChannelConfig Сохраняет изменения, внесенные в конфигурацию канала.
EvtSeek Ищет конкретное событие в наборе результатов запроса.
EvtSetChannelConfigProperty Устанавливает указанное свойство конфигурации канала.
EvtSubscribe Создает подписку, которая будет получать текущие и будущие события из канала или файла журнала, которые соответствуют указанным критериям запроса.
EvtUpdateBookmark Обновляет закладку информацией, идентифицирующей указанное событие.

,

Журнал событий (установщик Windows) — Win32 apps

Установщик Windows Установщик Windows Установщик Windows
1001 Обнаружение продукта «% 1», функция «% 2» не выполнена во время запроса компонента «% 3» Предупреждающее сообщение. Для получения дополнительной информации см. Поиск сломанной функции или компонента.
1002 Неожиданное или отсутствующее значение (имя: «% 1», значение: «% 2») в ключе «% 3» Сообщение об ошибке о непредвиденном или отсутствующем значении.
1003 Неожиданный или отсутствующий подраздел «% 1» в ключе «% 2» Сообщение об ошибке, что произошел неожиданный или отсутствующий подраздел.
1004 Обнаружение продукта «% 1», функция «% 2», ошибка компонента «% 3» Примечание: Начиная с версии Windows Installer 2.0, это сообщение: Обнаружение продукта «% 1», функция «% 2», компонент «% 3» не выполнен. Ресурс «% 4» не существует.
Предупреждающее сообщение. См. Также «Поиск сломанной функции или компонента».
1005 Операция установки инициировала перезагрузку Информационное сообщение о том, что установка инициировала перезагрузку системы.
1006 Проверка цифровой подписи для шкафа «% 1» не может быть выполнена. WinVerifyTrust не доступен на компьютере. Предупреждающее сообщение. Шкаф был создан в таблице MsiDigitalSignature для выполнения проверки WinVerifyTrust . Невозможно выполнить это действие, поскольку на компьютере не установлены надлежащие криптографические библиотеки DLL.
1007 Установка% 1 не разрешена политикой ограниченного использования программ.Установщик Windows позволяет выполнять только неограниченные элементы. Уровень авторизации, возвращенный политикой ограниченного использования программ, был% 2. Сообщение об ошибке, указывающее, что администратор настроил политику ограниченного использования программ, чтобы запретить эту установку.
1008 Установка% 1 не разрешена из-за ошибки в обработке политики ограниченного использования программ. Объекту нельзя доверять. Сообщение об ошибке, указывающее, что возникли проблемы при попытке проверить пакет в соответствии с политикой ограниченного использования программ.
1012 Эта версия Windows не поддерживает развертывание 64-разрядных пакетов. Сценарий «% 1» предназначен для 64-разрядного пакета. Сообщение об ошибке, указывающее, что сценарии для 64-разрядных пакетов могут выполняться только на 64-разрядном компьютере.
1013 {Отчет об необработанных исключениях} Сообщение об ошибке необработанного исключения, это отчет.
1014 Информация прокси установщика Windows не зарегистрирована правильно Сообщение об ошибке, что информация о прокси не была зарегистрирована правильно.
1015 Не удалось подключиться к серверу. Ошибка:% d Информационное сообщение о том, что при установке не удалось подключиться к серверу.
1016 Ошибка определения продукта «% 1», функция «% 2», компонент «% 3». Не удалось найти ресурс «% 4» в компоненте запуска из источника, поскольку не удалось найти допустимый и доступный источник. Предупреждающее сообщение. Для получения дополнительной информации см. Поиск сломанной функции или компонента.
1017 SID пользователя был изменен с «% 1» на «% 2», но управляемое приложение и ключи данных пользователя не могут быть обновлены. Ошибка = «% 3». Сообщение об ошибке, указывающее, что произошла ошибка при попытке обновить регистрацию пользователя после изменения SID пользователя.
1018 Приложение «% 1» не может быть установлено, поскольку оно несовместимо с этой версией Windows. Сообщение об ошибке, указывающее, что установка несовместима с текущей запущенной версией Windows.Обратитесь к производителю устанавливаемого программного обеспечения для обновления.
1019 Продукт:% 1 — обновление «% 2» успешно удалено. Информационное сообщение о том, что установщик удалил обновление. Установщик Windows 2.0: Недоступно.
1020 Продукт:% 1 — обновление «% 2» не может быть удалено. Код ошибки% 3. Дополнительная информация доступна в файле журнала% 4. Сообщение об ошибке, указывающее, что установщик не смог удалить обновление.Дополнительная информация доступна в файле журнала. Установщик Windows 2.0: Недоступно.
1021 Продукт:% 1 — обновление «% 2» не может быть удалено. Код ошибки% 3. Сообщение об ошибке, указывающее, что установщик не смог удалить обновление. Информацию о том, как включить ведение журнала, смотрите в разделе Включение подробного ведения журнала на компьютере пользователя при устранении неполадок при развертывании. Установщик Windows 2.0: Недоступно.
1022 Продукт:% 1 — обновление «% 2» установлено успешно. Информационное сообщение о том, что установщик успешно установил обновление. Установщик Windows 2.0: Недоступно.
1023 Продукт:% 1 — не удалось установить обновление «% 2». Код ошибки% 3. Дополнительная информация доступна в файле журнала% 4. Сообщение об ошибке, указывающее, что установщик не смог установить обновление. Дополнительная информация доступна в файле журнала. Установщик Windows 2.0: Недоступно.
1024 Продукт:% 1 — не удалось установить обновление «% 2». Код ошибки% 3. Сообщение об ошибке, указывающее, что установщик не смог установить обновление. Сведения о том, как включить ведение журнала, см. В разделе «Включение подробного ведения журнала на компьютере пользователя при устранении неполадок при развертывании». Установщик Windows 2.0: Недоступно.
1025 Продукт:% 1. Файл% 2 используется следующим процессом: Имя:% 3, идентификатор% 4. Установщик Windows 2.0: Недоступно.
1026 определил, что его раздел реестра с данными конфигурации не был защищен должным образом. Владельцем ключа должен быть либо Local System, либо Builtin \ Administrators. Существующий ключ будет удален и заново создан с соответствующими настройками безопасности. Предупреждающее сообщение. Установщик Windows 3.1 и более ранние версии: Недоступно.
1027 определил, что раздел реестра% 1 в его данных конфигурации не был защищен должным образом.Владельцем ключа должен быть либо Local System, либо Builtin \ Administrators. Существующий субключ и все его содержимое будут удалены. Предупреждающее сообщение. Установщик Windows 3.1 и более ранние версии: Недоступно.
1028 определил, что его папка кэша данных конфигурации не защищена должным образом. Владельцем ключа должен быть либо Local System, либо Builtin \ Administrators. Существующая папка будет удалена и заново создана с соответствующими настройками безопасности. Предупреждающее сообщение Установщик Windows 3.1 и более ранние версии: Недоступно.
1029 Продукт:% 1. Требуется перезагрузка. Предупреждающее сообщение о том, что для завершения установки требуется перезагрузка системы, а перезапуск отложен на более позднее время. Установщик Windows 3.1 и более ранние версии: Недоступно.
1030 Продукт:% 1. Приложение попыталось установить более новую версию защищенного файла Windows% 2.Вам может потребоваться обновить операционную систему, чтобы это приложение работало корректно. (Версия пакета:% 3, защищенная версия операционной системы:% 4). Предупреждающее сообщение о том, что при установке была предпринята попытка заменить критический файл, защищенный с помощью защиты ресурсов Windows. Для использования этого приложения может потребоваться обновление операционной системы. Установщик Windows 3.1 и более ранние версии: Недоступно.
1031 Продукт:% 1.Сборка «% 2» для компонента «% 3» используется. Предупреждающее сообщение о том, что программа установки пыталась обновить сборку, которая используется в данный момент. Система должна быть перезапущена для завершения обновления этой сборки. Установщик Windows 3.1 и более ранние версии: Недоступно.
1032 Произошла ошибка при обновлении переменных среды, обновленных во время установки «% 1». Предупреждающее сообщение о том, что некоторым пользователям, вошедшим в систему на компьютере, может потребоваться выйти из системы и снова войти в нее, чтобы завершить обновление переменных среды. Установщик Windows 3.1 и более ранние версии: Недоступно.
1033 Продукт:% 1. Версия:% 2. Язык:% 3. Установка завершена со статусом:% 4. Производитель:% 5. Поле 1 — ProductName Поле 2 — ProductVersion
Поле 3 — ProductLanguage
Установщик Windows 3.1 и более ранние версии: Нет в наличии.
Поле 5 — Производитель
Установщик Windows 4.5 и более ранние версии: Поле 5 недоступно.
1034 Продукт:% 1. Версия:% 2. Язык:% 3. Удаление завершено со статусом:% 4. Производитель:% 5. Поле 1 — ProductName Поле 2 — ProductVersion
Поле 3 — ProductLanguage
Установщик Windows 3.1 и более ранние версии: Нет в наличии.
Поле 5 — Производитель
Установщик Windows 4.5 и более ранние версии: Поле 5 недоступно.
1035 Продукт:% 1.Версия:% 2. Язык:% 3. Изменение конфигурации завершено со статусом:% 4. Производитель:% 5. Поле 1 — ProductName Поле 2 — ProductVersion
Поле 3 — ProductLanguage
Поле 5 — Производитель
Windows Installer 4.5 и более ранних версий: Поле 5 недоступно.
1036 Продукт:% 1. Версия:% 2. Язык:% 3. Обновление:% 4. Установка обновления завершена со статусом:% 5.Производитель:% 6. Поле 1 — ProductName Поле 2 — ProductVersion
Поле 3 — ProductLanguage
Поле 4 — Это удобное для пользователя имя, если в пакете исправлений присутствует таблица MsiPatchMetadata. В противном случае это GUID кода патча.
Поле 5 — Состояние установки обновления.
Установщик Windows 3.1 и более ранние версии: Недоступно.
Поле 6 — Производитель
Windows Installer 4.5 и ранее: Поле 6 недоступно.
1037 Продукт:% 1. Версия:% 2. Язык:% 3. Обновление:% 4. Удаление завершено со статусом:% 5. Производитель:% 6. Поле 1 — ProductName Поле 2 — ProductVersion
Поле 3 — ProductLanguage
Поле 4 — Это удобное для пользователя имя, если в пакете исправлений присутствует таблица MsiPatchMetadata. В противном случае это GUID кода патча.
Поле 5 — Состояние удаления обновления.
Установщик Windows 3.1 и более ранние версии: Недоступно.
Поле 6 — Производитель
Установщик Windows 4.5 и более ранние версии: Поле 6 недоступно.
1038 Продукт:% 1. Версия:% 2. Язык:% 3. Требуется перезагрузка. Тип перезагрузки:% 4. Причина перезагрузки:% 5. Производитель:% 6. Поле 1 — ProductName Поле 2 — ProductVersion
Поле 3 — ProductLanguage
Поле 4 — константа, указывающая тип перезагрузки:
msirbRebootImmediate (1) — Произошла немедленная перезагрузка компьютера ,
msirbRebootDeferred (2) — пользователь или администратор отложил требуемый перезапуск компьютера с помощью пользовательского интерфейса или REBOOT = ReallySuppress.
Поле 5 — константа, указывающая причину перезапуска:
msirbRebootUndeterminedReason (0) — перезапуск необходим по неуказанной причине.
msirbRebootInUseFilesReason (1) — для замены используемых файлов требуется перезапуск.
msirbRebootScheduleRebootReason (2) — пакет содержит действие ScheduleReboot.
msirbRebootForceRebootReason (3) — пакет содержит действие ForceReboot.
msirbRebootCustomActionReason (4) — Пользовательское действие, называемое функцией MsiSetMode .
Установщик Windows 3.1 и более ранние версии: Недоступно.
Поле 6 — Производитель
Установщик Windows 4.5 и более ранние версии: Поле 6 недоступно.
10005 Установщик обнаружил непредвиденную ошибку при установке этого пакета.Это может указывать на проблему с этим пакетом. Код ошибки [1]. {{Аргументы: [2], [3], [4]}} Сообщение об ошибке, указывающее на внутреннюю ошибку. Текст этого сообщения основан на тексте, созданном для ошибки 5 в таблице ошибок.
11707 Продукт [2] — Установка успешно завершена Информационное сообщение о том, что установка продукта прошла успешно.
11708 Продукт [2] — Ошибка установки Сообщение об ошибке, что установка продукта не удалась.
11728 Продукт [2] — Настройка успешно завершена. Информационное сообщение о том, что конфигурация продукта прошла успешно.
.
Основы журнала событий Windows — FAQ по журналу событий Windows. Основные объяснения журналов событий Windows.
Что такое журнал событий Windows?

Журналы событий — это специальные файлы, которые записывают важные события на вашем компьютере, например, когда пользователь входит в систему или когда программа обнаруживает ошибку. Когда бы ни происходили события такого типа, Windows записывает это событие в журнал событий. Пользователи могут найти подробности в журналах событий полезными при устранении проблем с Windows и другими программами.

В отличие от системного журнала UNIX, журнал событий Microsoft не является текстовым файлом, и его невозможно просмотреть в простых текстовых редакторах. Журнал событий Microsoft Windows — это двоичный файл, который состоит из специальных записей — событий Windows.

Microsoft Windows запускает службу журнала событий для управления журналами событий, настройки публикации событий и выполнения операций с журналами. Служба журнала событий Windows предоставляет специальный API, который позволяет приложениям вести журналы событий и управлять ими.

Журналирование событий Windows было введено в операционной системе Windows NT (версия 3.1) в 1993 году. Эта редакция Windows поставляется с тремя журналами Windows: журналом событий приложений, журналом системных событий и журналом событий безопасности. Современные версии Windows поставляются с более чем сотней журналов событий Windows, и сторонние приложения могут создавать и интегрировать в Windows протоколирование своих собственных журналов событий.

Как просмотреть журналы событий?

Журналы событий можно просматривать с помощью средства просмотра событий (поставляется с операционной системой Windows) или сторонних средств просмотра событий Windows. Мы рекомендуем использовать наше программное обеспечение Event Log Explorer — оно предоставляет множество расширенных функций для управления журналом событий.

Что такое служба журнала событий Windows?

Служба журнала событий Windows — это служба Windows, которая управляет событиями и журналами событий. Он поддерживает регистрацию событий, запросы событий, подписку на события, архивирование журналов событий и управление метаданными событий. Это помогает отображать события как в XML, так и в текстовом формате. Эта служба включена и запускается автоматически по умолчанию. Вы не должны останавливать или отключать эту услугу. Остановка службы журнала событий Windows может поставить под угрозу безопасность и надежность системы.

Что такое файлы журнала событий Windows?

Служба журналов событий Windows позволяет пользователям сохранять (резервировать) журналы событий в файлы. Windows NT, 2000 и XP / 2003 сохраняют журналы событий в формате EVT. Windows Vista / 2008 и лучше сохранять журналы в формате EVTX. Наличие резервных файлов событий имеет важное значение для расследования инцидентов.

Журналы событий Windows также являются файлами, но они обычно блокируются Windows (Event Log Service), и открыть эти файлы в «живой» системе невозможно. Но если компьютер запускается с другого диска или системный диск с анализируемой машины подключен к другому компьютеру, вы можете читать журналы событий как файлы.Расположение журналов событий по умолчанию в Vista / 2008 и выше — «C: \ Windows \ System32 \ winevt \ Logs \». Средство просмотра событий Windows позволяет открыть файл событий следующим образом:

Нажмите Открыть сохраненный журнал в области действий окна просмотра событий.

Выберите файл журнала событий, и он появится в средстве просмотра событий Windows в виде журнала.

Наше программное обеспечение Event Log Explorer также работает с файлами событий и делает это даже лучше, чем Event Viewer, например это позволяет читать даже поврежденные файлы событий.

Что такое журнал событий приложений Windows?

Журнал приложений содержит события, зарегистрированные приложениями или программами.Например, программа базы данных может записать ошибку файла в журнале приложения. Разработчики программы решают, какие события должны быть зарегистрированы. Например. Microsoft SQL Server регистрирует подробности о важных событиях, связанных с SQL-сервером, например, «Недостаточно памяти», «Ошибка резервного копирования» и т. д. Один журнал приложений обычно содержит события, зарегистрированные из разных источников (приложений), поэтому при анализе журнала приложений нельзя полагаться исключительно на идентификатор события. Вы всегда должны полагаться на идентификатор события вместе с источником события.Некоторые приложения, такие как Internet Explorer, Power Shell, создают собственный журнал событий вместо использования журнала событий приложений Windows. Такие журналы выглядят так же, как стандартные журналы событий Windows, и Event Viewer (а также Event Log Explorer) может читать эти журналы событий. Журналы приложений обычно полезны для групп поддержки приложений.

Что такое журнал системных событий Windows?

Системный журнал содержит события, зарегистрированные системными компонентами Windows. Например, сбой драйвера или другого системного компонента при загрузке записывается в системный журнал.Типы событий, регистрируемые системными компонентами, предопределены Windows. Как и в журнале приложений, в системном журнале событий перечислены события из разных источников (компонентов системы), поэтому не следует полагаться только на идентификатор события при анализе системного журнала, вместо этого вы должны полагаться на идентификатор события вместе с источником события. Системные журналы необходимы системным администраторам и техническим специалистам.

Что такое журнал событий безопасности Windows?

Журнал безопасности содержит такие события, как допустимые и недействительные попытки входа в систему, а также события, связанные с использованием ресурсов, например создание, открытие или удаление файлов или других объектов.Администраторы могут указать, какие события записываются в журнал безопасности. Например, если вы включили аудит входа в систему, попытки войти в систему записываются в журнал безопасности. Будьте осторожны с настройкой политики аудита. Например. Windows позволяет проверять доступ ко всем файлам на дисках NTFS таким образом, что любой доступ к файлу будет регистрироваться как новое событие. Это может генерировать сотни событий в секунду, перегружать журнал событий и снижать производительность системы. Поэтому при настройке политики доступа к аудиту убедитесь, что только определенные файлы и папки будут иметь свойства аудита.Журналы безопасности необходимы системным администраторам и администраторам безопасности, а также судебным экспертам.

,

Eventlog Key — Win32 приложения

  • 6 минут, чтобы прочитать

В этой статье

Журнал событий содержит следующие стандартные журналы, а также пользовательские журналы:

Log Описание
Заявка Содержит события, зарегистрированные приложениями.Например, приложение базы данных может записать ошибку файла. Разработчик приложения решает, какие события записывать.
Безопасность Содержит события, такие как действительные и недействительные попытки входа в систему, а также события, связанные с использованием ресурсов, такие как создание, открытие или удаление файлов или других объектов. Администратор может начать аудит для записи событий в журнале безопасности.
Система Содержит события, зарегистрированные системными компонентами, такие как сбой драйвера или другого системного компонента при загрузке.
CustomLog Содержит события, зарегистрированные приложениями, которые создают пользовательский журнал. Использование настраиваемого журнала позволяет приложению контролировать размер журнала или присоединять списки ACL в целях безопасности, не затрагивая другие приложения.

Служба регистрации событий использует информацию, хранящуюся в разделе реестра Eventlog . Ключ Eventlog содержит несколько подразделов, называемых logs .Каждый журнал содержит информацию, которую служба регистрации событий использует для поиска ресурсов, когда приложение записывает и читает из журнала событий.

Структура ключа Eventlog выглядит следующим образом:

  HKEY_LOCAL_MACHINE
   СИСТЕМА
      CurrentControlSet
         Сервисы
            Журнал событий
               заявка
               Безопасность
               система
               CustomLog
  

Обратите внимание, что контроллеры домена записывают события в службе каталогов , служба репликации файлов и , а журналы DNS-серверов записывают события в DNS-сервере .

Каждый журнал может содержать следующие значения реестра.

Реестр Описание
CustomSD Ограничивает доступ к журналу событий. Это значение имеет тип REG_SZ. Используемый формат: язык определения дескриптора безопасности (SDDL). Создайте ACL, который предоставляет одно или несколько из следующих прав:
Очистить (0x0004)
Чтение (0x0001)
Запись (0x0002)
Чтобы быть синтаксически допустимым SDDL, значение CustomSD должно указывать владельца и владельца группы (для Например, O: BAG: SY), но владелец и владелец группы не используются.Если для CustomSD задано неправильное значение, событие запускается в системном журнале событий при запуске службы журнала событий, и журнал событий получает дескриптор безопасности по умолчанию, который идентичен исходному значению CustomSD для журнала приложений. SACL не поддерживаются.
Для получения дополнительной информации см. Безопасность ведения журнала событий.
Windows Server 2003: поддерживаются SACL.
Windows XP / 2000: Это значение не поддерживается.
DisplayNameFile Это значение не используется. Windows Server 2003 и Windows XP / 2000: Имя файла, в котором хранится локализованное имя журнала событий. Имя, сохраненное в этом файле, отображается в виде журнала в Event Viewer. Если эта запись не отображается в реестре для журнала событий, Event Viewer отображает имя подраздела реестра в качестве имени журнала. Это значение имеет тип REG_EXPAND_SZ. Значением по умолчанию является% SystemRoot% \ system32 \ els.dll.
DisplayNameID Это значение не используется. Windows Server 2003 и Windows XP / 2000: Идентификационный номер сообщения строки имени журнала. Этот номер указывает на сообщение, в котором отображается локализованное отображаемое имя. Сообщение сохраняется в файле, заданном значением DisplayNameFile . Это значение имеет тип REG_DWORD.
Файл Полностью определенный путь к файлу, в котором хранится каждый журнал событий. Это позволяет Event Viewer и другим приложениям находить файлы журнала.Это значение имеет тип REG_SZ или REG_EXPAND_SZ. Это значение не является обязательным. Если значение не указано, по умолчанию используется значение% SystemRoot% \ system32 \ winevt \ logs \, за которым следует имя файла, основанное на имени раздела реестра журнала событий. Конкретный путь к файлу журнала событий должен быть задан с помощью утилиты командной строки wevtutil.exe или с помощью функции EvtSetChannelConfigProperty с EvtChannelLoggingConfigLogFilePath, переданным в параметр PropertyId .
Если задан определенный файл, убедитесь, что служба журнала событий имеет полные разрешения для файла.
Это значение должно быть допустимым именем файла для файла, который находится в локальном каталоге (не удаленный компьютер, не устройство DOS, не дискета и не канал). Если настройка файла неверна, событие запускается в журнале системных событий при запуске службы журнала событий.
Не используйте переменные среды в пути к файлу, которые нельзя развернуть в контексте службы журнала событий.
Windows Server 2003 и Windows XP / 2000: По умолчанию это значение% SystemRoot% \ system32 \ config \, за которым следует имя файла, основанное на имени раздела реестра журнала событий.Если для параметра «Файл» задано недопустимое значение, журнал либо не будет инициализирован должным образом, либо все запросы будут автоматически отправляться в журнал по умолчанию (Приложение).
MaxSize Максимальный размер файла журнала в байтах. Это значение имеет тип REG_DWORD. Значение должно быть кратно 64 КБ для журнала системы, приложения или безопасности. Значение по умолчанию составляет 1 МБ. Windows Server 2003 и Windows XP / 2000: Значение ограничено 0xFFFFFFFF, а значение по умолчанию — 512 КБ.
PrimaryModule Это значение не используется. Windows Server 2003 и Windows XP / 2000: Это значение представляет собой имя подраздела, который содержит значения по умолчанию для записей в подразделе для источника события. Это значение имеет тип REG_SZ.
Сохранение Это значение имеет тип REG_DWORD. Значение по умолчанию равно 0. Если это значение равно 0, записи событий всегда перезаписываются.Если это значение 0xFFFFFFFF или любое ненулевое значение, записи никогда не перезаписываются. Когда файл журнала достигает максимального размера, вы должны очистить журнал вручную; в противном случае новые события отбрасываются. Вы также должны очистить журнал, прежде чем сможете изменить его размер. Windows Server 2003 и Windows XP / 2000: Это значение представляет собой интервал времени в секундах, в течение которого записи событий защищены от перезаписи. Когда возраст события достигает или превышает это значение, его можно перезаписать.
Источники Это значение не используется. Windows Server 2003 и Windows XP / 2000: Имена приложений, служб или групп приложений, которые записывают события в этот журнал. Это значение следует только прочитать и не изменять. Служба журнала событий поддерживает список на основе каждой программы, указанной в подразделе журнала. Это значение имеет тип REG_MULTI_SZ.
AutoBackupLogFiles Это значение имеет тип REG_DWORD и используется службой журнала событий, чтобы определить, следует ли автоматически сохранять журнал событий.Значение по умолчанию 0, что отключает автоматическое резервное копирование. Служба создаст резервную копию файла журнала, только если значение хранения равно -1 (0xFFFFFFFF). Другие значения будут игнорироваться. Windows Server 2003: Срок хранения можно установить равным -1 (0xFFFFFFFF) или 1 (0x00000001) для работы AutoBackupLogFiles. Другие значения будут игнорироваться.
RestrictGuestAccess Это значение не используется. Windows XP / 2000: Это значение имеет тип REG_DWORD, и значение по умолчанию равно 1.Когда значение установлено в 1, оно ограничивает доступ учетной записи «Гость» и «Аноним» к журналу событий, а если это значение равно 0, то разрешает доступ учетной записи «Гость» к журналу событий.
Изоляция Определяет разрешения доступа по умолчанию для журнала. Это значение имеет тип REG_SZ. Вы можете указать одно из следующих значений:
  • Заявка
  • Система
  • Custom
Изоляция по умолчанию — Приложение .Разрешения по умолчанию для Приложения (показаны с использованием SDDL):
  L "O: BAG: SYD:"
            L "(A ;; 0xf0007 ;;; SY)" // локальная система (чтение, запись, очистка)
            L "(A ;; 0x7 ;;; BA)" // встроенные администраторы (чтение, запись, очистка)
            L "(A ;; 0x7 ;;; SO)" // операторы сервера (чтение, запись, очистка)
            L "(A ;; 0x3 ;;; IU)" // ИНТЕРАКТИВНЫЙ ЛОГОН (чтение, запись)
            L "(A ;; 0x3 ;;; SU)" // ВХОД В УСЛУГИ (чтение, запись)
            L "(A ;; 0x3 ;;; S-1-5-3)" // BATCH LOGON (чтение, запись)
            L "(A ;; 0x3 ;;; S-1-5-33)" // запись с ограниченным доступом (чтение, запись)
            L "(A ;; 0x1 ;;; S-1-5-32-573)"; // читатели журнала событий (читай)  
Разрешения по умолчанию для System (показаны с использованием SDDL):
  L "O: BAG: SYD:"
            L "(A ;; 0xf0007 ;;; SY)" // локальная система (чтение, запись, очистка)
            L "(A ;; 0x7 ;;; BA)" // встроенные администраторы (чтение, запись, очистка)
            L "(A ;; 0x3 ;;; BO)" // операторы резервного копирования (чтение, запись)
            L "(A ;; 0x5 ;;; SO)" // операторы сервера (чтение, очистка)
            L "(A ;; 0x1 ;;; IU)" // ИНТЕРАКТИВНЫЙ ЛОГОН (чтение)
            L "(A ;; 0x3 ;;; SU)" // ВХОД В УСЛУГИ (чтение, запись)
            L "(A ;; 0x1 ;;; S-1-5-3)" // BATCH LOGON (чтение)
            L "(A ;; 0x2 ;;; S-1-5-33)" // запись с ограниченным доступом (запись)
            L "(A ;; 0x1 ;;; S-1-5-32-573)"; // читатели журнала событий (читай)  
Разрешения по умолчанию для Пользовательская изоляция такие же, как и для Приложения.
Windows Server 2003 и Windows XP / 2000: Это значение недоступно.

Каждый журнал также содержит источники событий. Для получения дополнительной информации см. Источники событий.

,

Отправить ответ

avatar
  Подписаться  
Уведомление о