Журнал событий Windows 10 – что это и как его открыть
Большинство пользователей персональных компьютеров даже не знают о таком дополнении, как журнал событий. Это специальная функция для просмотра всех событий, которые происходят в установленной на ПК операционной системе. Именно в нем отображаются критические ошибки, предупреждения и прочая немаловажная информация, как для обычных пользователей, так и для владельцев серверов.
В этой статье мы подробно разберем данную тему и узнаем, что это такое, где можно посмотреть журнал событий в Windows 10 и каким образом его использовать.
Для начала стоит сказать, что эта служба регистрирует абсолютно все, что происходит на компьютере. Осуществляется запись сообщений и ошибок, в том числе в работе драйверов, приложений и программ. Путем регулярного просмотра и изучения истории можно легко выявить проблемы и слабые места в защите устройства, что особенно полезно для серверов.
Как открыть?
Найти и открыть журнал событий достаточно просто, для этого необходимо в поиске Windows 10 ввести словосочетание «Просмотр событий» и щелкнуть по нему. Но в случае если у вас деактивировано индексирование, то это попытка не принесет результата.
И как вариант можно:
- Войти в «Панель управления» и зайти в раздел «Администрирование». Здесь и будет находиться нужный нам пункт.
Вся информация будет разделена на соответствующие группы. Например, открыв журнал приложений, у вас будет возможность просмотреть все сообщения о работе программ. Абсолютно все системные происшествия, связанные с Виндовс 10, отображаются в нем.
Изначально данная служба разрабатывалась исключительно для администраторов, которые постоянно ведут мониторинг состояния серверов, выявляют ошибки и причины появления, и после чего пытаются быстро их устранить.
Не пугайтесь, если ваше устройство работает исправно, но в журнале есть предупреждения об ошибках, ведь это нормальное явление для ОС. Любые сбои, в том числе незначительные, вносятся в реестр, поэтому не стоит переживать.
Как использовать?
Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это вовсе не так, ведь данный инструмент невероятно полезен в отдельных ситуациях.
Например, если появляется синий экран или ваша система сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно быстро узнать в журнале событий системы. Если ошибка связана с обновлением драйверов, то там будет указано оборудование, с которым возникает проблема, и эффективные пути для ее решения.
Для упрощения поиска нужного отчета нужно запомнить время возникновения ситуации и, исходя из временных рамок, искать ошибку.
Также еще одной важной функцией является запись загрузки операционной системы, когда указывается ее начало, окончание и длительность. Более того, к выключению компьютера можно привязать необходимость ввода причины. Она будет отображаться в нашем журнале. Это особенно полезно для администраторов серверов, ведь им важна каждая деталь.
Способы очистки
Существует пять основных способов, с помощью которых можно очистить журнал событий:
- Ручной способ.
- «Батник» – специальный файл с расширением «*.bat».
- Через командную консоль «cmd».
- Через «PowerShell».
- Утилита CCleaner.
Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.
Очистка ручным способом
В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.
Все что нужно, это:
- Открыть журнал событий, как мы это делали ранее в начале статьи.
- Нажать по нужному разделу правой мышкой и выбрать пункт «Очистить…».
Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.
Создание и использование bat файла
Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:
- Для начала нужно создать обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
- Вставляем в него специальный код.
- В верхнем меню выбираем «Файл – Сохранить как».
- Указываем любое имя. В конце имени указываем расширение «.bat». В графе «Тип файла» выбираем «Все файлы» и нажимаем «Сохранить».
- Теперь наш файл полностью готов к запуску. Щелкаем по нему правой мышкой и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.
Если вам лень создавать этот файл, то готовый вариант можно скачать по ссылке.
Через командную консоль
Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «cmd».
- Щелкам по значку поиска и в открывшуюся строку вводим фразу «командная».
- В результатах поиска видим «Командная строка», нажимаем по ней правой мышкой и запускаем от имени администратора.
- Далее в консоль вставляем код, который находится внутри кавычек «for /F «tokens=*» %1 in (‘wevtutil. exe el’) DO wevtutil.exe cl «%1″», нажимаем «Enter» и ждем окончания процесса.
После этого все отчеты удалятся.
Через PowerShell
В операционной системе Windows 10 предусмотрена более подвинутая версия командной строки — «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.
Давайте разберем все по шагам:
- Нажать на «поиск» и ввести фразу «power». В результатах поиска отобразиться «PowerShell», нужно нажать на него правой мышкой и запускаем с правами администратора.
- В появившееся окно вводим команду внутри кавычек «wevtutil el | Foreach-Object {wevtutil cl «$_»}», жмем «Enter» и ожидаем окончание процесса.
Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.
Программа CCleaner
Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.
- В первую очередь ее нужно скачать, установить и запустить.
- Переходим в раздел «Очистка» и во вкладке «Windows» устанавливаем галочку напротив нужного нам пункта.
- Начинаем процесс.
Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.
Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.
Видео по теме
Идентификатор событияEvent ID | СообщениеMessage | ОписаниеDescription | ActionAction |
---|---|---|---|
11 | Запущена служба Microsoft Defender для конечной точки variable (Версия). Microsoft Defender for Endpoint service started (Version variable ). | Происходит во время запуска системы, отключения и во время включаемой.Occurs during system startup, shut down, and during onboarding. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
22 | Отключение службы Microsoft Defender для конечных точек.Microsoft Defender for Endpoint service shutdown. | Происходит, когда устройство отключено или отключено.Occurs when the device is shut down or offboarded. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
33 | Не удалось запустить службу Microsoft Defender для конечной точки.Microsoft Defender for Endpoint service failed to start. Код отказа: variable .Failure code: variable . | Служба не началась.Service didn’t start. | Просмотрите другие сообщения, чтобы определить возможные действия по устранению причин и неполадок. Review other messages to determine possible cause and troubleshooting steps. |
4 4 | Служба Microsoft Defender для конечной точки связалась с сервером в variable variable . | Переменная = URL-адрес серверов обработки конечных точек Defender.Variable = URL of the Defender for Endpoint processing servers. Этот URL-адрес будет совпадать с тем, что видно в брандмауэре или сетевой активности.This URL will match that seen in the Firewall or network activity. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
5 5 | Служба Microsoft Defender для конечных точек не смогла подключиться к серверу по variable данным .Microsoft Defender for Endpoint service failed to connect to the server at . | Переменная = URL-адрес серверов обработки конечных точек Defender. Variable = URL of the Defender for Endpoint processing servers. Служба не смогла связаться с внешними серверами обработки по этому URL-адресу.The service couldn’t contact the external processing servers at that URL. | Проверьте подключение к URL-адресу.Check the connection to the URL. См. в перенастройке прокси-серверов и подключения к Интернету.See Configure proxy and Internet connectivity. |
6 6 | Служба Microsoft Defender для конечной точки не установлена на борт, и параметры бортового параметров не найдены.Microsoft Defender for Endpoint service is not onboarded and no onboarding parameters were found. | Устройство не было правильно на борту и не будет сообщать на портал.The device didn’t onboard correctly and won’t be reporting to the portal. | Перед запуском службы необходимо запустить бортовую службу.Onboarding must be run before starting the service. Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. |
7 7 | Служба Microsoft Defender для конечной точки не считыла параметры бортовой записи.Microsoft Defender for Endpoint service failed to read the onboarding parameters. Сбой: variable .Failure: variable . | Переменная = подробное описание ошибки.Variable = detailed error description. Устройство не было правильно на борту и не будет сообщать на портал.The device didn’t onboard correctly and won’t be reporting to the portal. | Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. |
8 8 | Служба Microsoft Defender для конечной точки не смогла очистить конфигурацию.Microsoft Defender for Endpoint service failed to clean its configuration. Код отказа: variable .Failure code: variable . | Во время бортового октагона: Службе не удалось очистить конфигурацию во время бортовой работы.During onboarding: The service failed to clean its configuration during the onboarding. Процесс вмеяния продолжается.The onboarding process continues. | Onboarding: Никаких действий не требуется.Onboarding: No action required. Offboarding: Перезагрузка системы.Offboarding: Reboot the system. |
9 9 | Служба Microsoft Defender для конечной точки не смогла изменить тип запуска.Microsoft Defender for Endpoint service failed to change its start type. Код отказа: variable .Failure code: variable . | Во время бортового октагона: Устройство не было правильно на борту и не будет сообщать на портал.During onboarding: The device didn’t onboard correctly and won’t be reporting to the portal. Во время offboarding: Не удалось изменить тип запуска службы.During offboarding: Failed to change the service start type. Процесс offboarding продолжается.The offboarding process continues. | Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройства.See Onboard Windows 10 devices. |
10 10 | Служба Microsoft Defender для конечных точек не смогла сохранить сведения о взимаемой информации.Microsoft Defender for Endpoint service failed to persist the onboarding information. Код отказа: variable variable . | Устройство не было правильно на борту и не будет сообщать на портал.The device didn’t onboard correctly and won’t be reporting to the portal. | Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройства.See Onboard Windows 10 devices. |
1111 | Заполнена или выполнена перенастройка службы Defender для конечной точки.Onboarding or re-onboarding of Defender for Endpoint service completed. | Устройство правильно вошел в борт. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. Для появления устройства на портале может потребоваться несколько часов.It may take several hours for the device to appear in the portal. |
12 12 | Microsoft Defender для конечной точки не смог применить конфигурацию по умолчанию.Microsoft Defender for Endpoint failed to apply the default configuration. | Служба не смогла применить конфигурацию по умолчанию.Service was unable to apply the default configuration. | Эта ошибка должна устраниться после короткого периода времени.This error should resolve after a short period of time. |
1313 | Вычисляется ID устройства Microsoft Defender для конечных точек: variable .Microsoft Defender for Endpoint device ID calculated: variable . | Нормальный операционный процесс.Normal operating process. | Нормальное операционное уведомление; никаких действий. Normal operating notification; no action required. |
1515 | Microsoft Defender для конечной точки не может запустить командный канал с URL-адресом: variable .Microsoft Defender for Endpoint cannot start command channel with URL: . | Переменная = URL-адрес серверов обработки конечных точек Defender.Variable = URL of the Defender for Endpoint processing servers. Служба не смогла связаться с внешними серверами обработки по этому URL-адресу.The service couldn’t contact the external processing servers at that URL. | Проверьте подключение к URL-адресу.Check the connection to the URL. См. в перенастройке прокси-серверов и подключения к Интернету.See Configure proxy and Internet connectivity. |
17 17 | Служба Microsoft Defender для конечных точек не смогла изменить расположение службы подключенных пользователей и службы телеметрии.Microsoft Defender for Endpoint service failed to change the Connected User Experiences and Telemetry service location. Код отказа: variable .Failure code: variable . | Ошибка произошла в службе Windows телеметрии.An error occurred with the Windows telemetry service. | Убедитесь, что служба диагностических данных включена.Ensure the diagnostic data service is enabled. Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройства.See Onboard Windows 10 devices. |
18 18 | OOBE (Windows Welcome) завершен.OOBE (Windows Welcome) is completed. | Служба начнется только после Windows после завершения установки обновлений.Service will only start after any Windows updates have finished installing. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
1919 | OOBE (Windows Welcome) еще не завершен. OOBE (Windows Welcome) has not yet completed. | Служба начнется только после Windows после завершения установки обновлений.Service will only start after any Windows updates have finished installing. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. Если эта ошибка сохраняется после перезапуска системы, убедитесь, что Windows обновления полностью установлены.If this error persists after a system restart, ensure all Windows updates have full installed. |
2020 | Не удается дождаться завершения OOBE (Windows Welcome).Cannot wait for OOBE (Windows Welcome) to complete. Код отказа: variable .Failure code: variable . | Внутренняя ошибка.Internal error. | Если эта ошибка сохраняется после перезапуска системы, убедитесь, что Windows обновления полностью установлены.If this error persists after a system restart, ensure all Windows updates have full installed. |
2525 | Службе Microsoft Defender для конечных точек не удалось сбросить состояние здоровья в реестре. Microsoft Defender for Endpoint service failed to reset health status in the registry. Код отказа: variable .Failure code: variable . | Устройство не было правильно на борту.The device didn’t onboard correctly. Он будет сообщать на портал, однако служба не может отображаться как зарегистрированная в SCCM или реестре.It will report to the portal, however the service may not appear as registered in SCCM or the registry. | Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройства.See Onboard Windows 10 devices. |
2626 | Службе Microsoft Defender для конечных точек не удалось установить в реестре состояние onboarding.Microsoft Defender for Endpoint service failed to set the onboarding status in the registry. Код отказа: variable . Failure code: variable . | Устройство не было правильно на борту.The device didn’t onboard correctly. Он будет сообщать на портал, однако служба не может отображаться как зарегистрированная в SCCM или реестре.It will report to the portal, however the service may not appear as registered in SCCM or the registry. | Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройства.See Onboard Windows 10 devices. |
2727 | Служба Microsoft Defender для конечных точек не смогла включить режим sense aware в антивирусная программа в Microsoft Defender.Microsoft Defender for Endpoint service failed to enable SENSE aware mode in Microsoft Defender Antivirus. Сбой в процессе onboarding.Onboarding process failed. Код отказа: variable . Failure code: variable . | Как правило, антивирусная программа в Microsoft Defender вступает в специальное пассивное состояние, если на устройстве правильно работает другой антивирусный продукт в режиме реального времени, и устройство сообщается в Defender for Endpoint.Normally, Microsoft Defender Antivirus will enter a special passive state if another real-time antimalware product is running properly on the device, and the device is reporting to Defender for Endpoint. | Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройства.See Onboard Windows 10 devices. Убедитесь, что защита от антивирусных программ в режиме реального времени работает должным образом.Ensure real-time antimalware protection is running properly. |
2828 | В Microsoft Defender для подключенных к конечной точке пользовательских интерфейсов и регистрации службы телеметрии не удалось. Microsoft Defender for Endpoint Connected User Experiences and Telemetry service registration failed. Код отказа: variable .Failure code: variable . | Ошибка произошла в службе Windows телеметрии.An error occurred with the Windows telemetry service. | Убедитесь, что служба диагностических данных включена.Ensure the diagnostic data service is enabled. Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройства.See Onboard Windows 10 devices. |
2929 | Не удалось прочитать параметры offboarding.Failed to read the offboarding parameters. Тип ошибки: %1, код ошибки: %2, Описание: %3Error type: %1, Error code: %2, Description: %3 | Это событие происходит, когда система может’не читать параметры offboarding.This event occurs when the system can’t read the offboarding parameters. | Убедитесь, что устройство имеет доступ к Интернету, затем запустите весь процесс offboarding снова.Ensure the device has Internet access, then run the entire offboarding process again. Убедитесь, что срок действия пакета offboarding не истек.Ensure the offboarding package hasn’t expired. |
3030 | Служба Microsoft Defender для конечной точки не смогла отключить режим зная SENSE в антивирусная программа в Microsoft Defender.Microsoft Defender for Endpoint service failed to disable SENSE aware mode in Microsoft Defender Antivirus. Код отказа: variable .Failure code: variable . | Как правило, антивирусная программа в Microsoft Defender вступает в специальное пассивное состояние, если на устройстве правильно работает другой антивирусный продукт в режиме реального времени, и устройство сообщается в Defender for Endpoint.Normally, Microsoft Defender Antivirus will enter a special passive state if another real-time antimalware product is running properly on the device, and the device is reporting to Defender for Endpoint. | Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом.Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройстваSee Onboard Windows 10 devices Убедитесь, что защита от антивирусных программ в режиме реального времени работает должным образом.Ensure real-time antimalware protection is running properly. |
3131 | Сбой в работе Microsoft Defender для подключенных к конечным точкам пользователей и регистрации службы телеметрии.Microsoft Defender for Endpoint Connected User Experiences and Telemetry service unregistration failed. Код отказа: variable .Failure code: variable . | Ошибка произошла в службе Windows телеметрии во время бортовой работы.An error occurred with the Windows telemetry service during onboarding. Процесс offboarding продолжается.The offboarding process continues. | Проверьте ошибки в службе Windows телеметрии.Check for errors with the Windows telemetry service. |
3232 | Служба Microsoft Defender для конечных точек не смогла попросить остановиться после процесса offboarding.Microsoft Defender for Endpoint service failed to request to stop itself after offboarding process. Код отказа: %1Failure code: %1 | Ошибка произошла во время offboarding.An error occurred during offboarding. | Перезагрузка устройства.Reboot the device. |
3333 | Служба Microsoft Defender для конечной точки не смогла сохранить GUID SENSE.Microsoft Defender for Endpoint service failed to persist SENSE GUID. Код отказа: variable .Failure code: variable . | Уникальный идентификатор используется для представления каждого устройства, отчитывающееся на портале.A unique identifier is used to represent each device that is reporting to the portal. Если идентификатор не сохраняется, одно и то же устройство может дважды отображаться на портале. If the identifier doesn’t persist, the same device might appear twice in the portal. | Проверьте разрешения реестра на устройстве, чтобы убедиться, что служба может обновлять реестр.Check registry permissions on the device to ensure the service can update the registry. |
3434 | Служба Microsoft Defender для конечных точек не смогла добавить себя в зависимость от службы подключенных пользователей и службы телеметрии, из-за чего процесс подключения не удалось.Microsoft Defender for Endpoint service failed to add itself as a dependency on the Connected User Experiences and Telemetry service, causing onboarding process to fail. Код отказа: variable .Failure code: variable . | Ошибка произошла в службе Windows телеметрии.An error occurred with the Windows telemetry service. | Убедитесь, что служба диагностических данных включена.Ensure the diagnostic data service is enabled. Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Check that the onboarding settings and scripts were deployed properly. Попробуйте передиплоять пакеты конфигурации.Try to redeploy the configuration packages. См. Windows 10 устройства.See Onboard Windows 10 devices. |
3535 | Служба Microsoft Defender для конечных точек не смогла удалить себя в качестве зависимости от службы подключенных пользователей и службы телеметрии.Microsoft Defender for Endpoint service failed to remove itself as a dependency on the Connected User Experiences and Telemetry service. Код отказа: variable .Failure code: variable . | Во время отключения в службе Windows телеметрии произошла ошибка.An error occurred with the Windows telemetry service during offboarding. Процесс offboarding продолжается.The offboarding process continues. | Проверьте ошибки в службе диагностических Windows данных.Check for errors with the Windows diagnostic data service. |
3636 | Microsoft Defender для подключенных к конечной точке пользователей и регистрации службы телеметрии успешно. Microsoft Defender for Endpoint Connected User Experiences and Telemetry service registration succeeded. Код завершения: variable .Completion code: variable . | Успешно завершена регистрация Defender для конечной точки с помощью службы подключенных пользователей и телеметрии.Registering Defender for Endpoint with the Connected User Experiences and Telemetry service completed successfully. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
3737 | Модуль Microsoft Defender для конечной точки A будет превышать квоту.Microsoft Defender for Endpoint A module is about to exceed its quota. Модуль: %1, Квота: {%2} {%3}, Процент использования квот: %4.Module: %1, Quota: {%2} {%3}, Percentage of quota utilization: %4. | Устройство почти использовало выделенную квоту текущего 24-часового окна.The device has almost used its allocated quota of the current 24-hour window. Его вот-вот перенабьют. It’s about to be throttled. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
3838 | Подключение к сети определено как низкое.Network connection is identified as low. Microsoft Defender для конечной точки будет связываться с сервером каждые 1 минуту.Microsoft Defender for Endpoint will contact the server every %1 minutes. Дозное подключение: %2, доступ к Интернету: %3, доступная бесплатная сеть: %4.Metered connection: %2, internet available: %3, free network available: %4. | Устройство использует дозную/платную сеть и будет реже обращаться к серверу.The device is using a metered/paid network and will be contacting the server less frequently. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
3939 | Подключение к сети определено как обычное.Network connection is identified as normal. Microsoft Defender для конечной точки будет связываться с сервером каждые 1 минуту. Microsoft Defender for Endpoint will contact the server every %1 minutes. Дозное подключение: %2, доступ к Интернету: %3, доступная бесплатная сеть: %4.Metered connection: %2, internet available: %3, free network available: %4. | Устройство не использует дозное/платное подключение и будет связываться с сервером в обычном режиме.The device isn’t using a metered/paid connection and will contact the server as usual. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
4040 | Состояние батареи определено как низкое.Battery state is identified as low. Microsoft Defender для конечной точки будет связываться с сервером каждые 1 минуту.Microsoft Defender for Endpoint will contact the server every %1 minutes. Состояние батареи: %2.Battery state: %2. | Устройство имеет низкий уровень батареи и реже контактировать с сервером.The device has low battery level and will contact the server less frequently. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
4141 | Состояние батареи определено как нормальное.Battery state is identified as normal. Microsoft Defender для конечной точки будет связываться с сервером каждые 1 минуту.Microsoft Defender for Endpoint will contact the server every %1 minutes. Состояние батареи: %2.Battery state: %2. | Устройство не имеет низкого уровня батареи и будет связываться с сервером, как обычно.The device doesn’t have low battery level and will contact the server as usual. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
4242 | Компонент Microsoft Defender для конечной точки не выполнил действий.Microsoft Defender for Endpoint component failed to perform action. Компонент: %1, Действие: %2, Тип исключения: %3, Сообщение об исключении: %4Component: %1, Action: %2, Exception Type: %3, Exception message: %4 | Внутренняя ошибка. Internal error. Не удалось запустить службу.The service failed to start. | Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
4343 | Компонент Microsoft Defender для конечной точки не выполнил действий.Microsoft Defender for Endpoint component failed to perform action. Компонент: %1, Действие: %2, Тип исключения: %3, Ошибка исключения: %4, Сообщение об исключении: %5Component: %1, Action: %2, Exception Type: %3, Exception Error: %4, Exception message: %5 | Внутренняя ошибка.Internal error. Не удалось запустить службу.The service failed to start. | Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
4444 | Отключение службы Defender для конечной точки завершено.Offboarding of Defender for Endpoint service completed. | Служба была отключена.The service was offboarded. | Нормальное операционное уведомление; никаких действий. Normal operating notification; no action required. |
4545 | Не удалось зарегистрировать и запустить сеанс трассировки событий [%1].Failed to register and to start the event trace session [%1]. Код ошибки: %2Error code: %2 | Ошибка произошла при запуске службы при создании сеанса ETW.An error occurred on service startup while creating ETW session. Это привело к сбою запуска службы.This caused service start-up failure. | Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
4646 | Не удалось зарегистрировать и запустить сеанс трассировки событий [%1] из-за нехватки ресурсов.Failed to register and start the event trace session [%1] due to lack of resources. Код ошибки: %2.Error code: %2. Это, скорее всего, потому, что существует слишком много активных сеансов трассировки событий.This is most likely because there are too many active event trace sessions. Служба будет повторить в течение 1 минуты. The service will retry in 1 minute. | Ошибка произошла при запуске службы при создании сеанса ETW из-за нехватки ресурсов.An error occurred on service startup while creating ETW session due to lack of resources. Служба запущена и запущена, но не будет сообщать о событии датчика до запуска сеанса ETW.The service started and is running, but won’t report any sensor event until the ETW session is started. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. Служба будет пытаться начинать сеанс каждую минуту.The service will try to start the session every minute. |
4747 | Успешно зарегистрировался и начал сеанс трассировки событий , восстановленный после предыдущих неудачных попыток.Successfully registered and started the event trace session — recovered after previous failed attempts. | Это событие следует за предыдущим событием после успешного начала сеанса ETW.This event follows the previous event after successfully starting of the ETW session. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
4848 | Не удалось добавить поставщика [%1] в сеанс трассировки событий [%2].Failed to add a provider [%1] to event trace session [%2]. Код ошибки: %3.Error code: %3. Это означает, что события от этого поставщика не будут отчитаться.This means that events from this provider will not be reported. | Не удалось добавить поставщика в сеанс ETW.Failed to add a provider to ETW session. В результате события поставщика не сообщаются.As a result, the provider events aren’t reported. | Проверьте код ошибки.Check the error code. Если ошибка сохраняется, обратитесь в службу поддержки.If the error persists contact Support. |
4949 | Команда конфигурации недействительных облаков получена и проигнорирована.Invalid cloud configuration command received and ignored. Версия: %1, состояние: %2, код ошибки: %3, сообщение: %4Version: %1, status: %2, error code: %3, message: %4 | Получил недействительный файл конфигурации из облачной службы, которая была проигнорирована. Received an invalid configuration file from the cloud service that was ignored. | Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
5050 | Новая конфигурация облака успешно применяется.New cloud configuration applied successfully. Версия: %1.Version: %1. | Успешно применена новая конфигурация облачной службы.Successfully applied a new configuration from the cloud service. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
5151 | Новая конфигурация облака не применялась, версия: %1.New cloud configuration failed to apply, version: %1. Успешно применена последняя известная хорошая конфигурация версии %2.Successfully applied the last known good configuration, version %2. | Получен плохой файл конфигурации из облачной службы.Received a bad configuration file from the cloud service. Последняя известная хорошая конфигурация была применена успешно. Last known good configuration was applied successfully. | Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
5252 | Новая конфигурация облака не применялась, версия: %1.New cloud configuration failed to apply, version: %1. Также не удалось применить последнюю хорошую конфигурацию версии %2.Also failed to apply last known good configuration, version %2. Успешно применена конфигурация по умолчанию.Successfully applied the default configuration. | Получен плохой файл конфигурации из облачной службы.Received a bad configuration file from the cloud service. Не удалось применить последнюю хорошую конфигурацию , и была применена конфигурация по умолчанию.Failed to apply the last known good configuration — and the default configuration was applied. | Служба попытается скачать новый файл конфигурации в течение 5 минут.The service will attempt to download a new configuration file within 5 minutes. Если вы не видите события #50 — обратитесь в службу поддержки.If you don’t see event #50 — contact Support. |
5353 | Облачная конфигурация, загруженная из сохраняемого хранилища, версия: %1.Cloud configuration loaded from persistent storage, version: %1. | Конфигурация загружалась из сохраняемого хранилища при запуске службы.The configuration was loaded from persistent storage on service startup. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
5555 | Не удалось создать автологгер Secure ETW.Failed to create the Secure ETW autologger. Код отказа: %1Failure code: %1 | Не удалось создать безопасный регистратор ETW.Failed to create the secure ETW logger. | Перезагрузка устройства.Reboot the device. Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
5656 | Не удалось удалить автологгер Secure ETW. Failed to remove the Secure ETW autologger. Код отказа: %1Failure code: %1 | Не удалось удалить безопасный сеанс ETW при отключении.Failed to remove the secure ETW session on offboarding. | Поддержка контактов.Contact Support. |
5757 | Захват снимка компьютера для устранения неполадок.Capturing a snapshot of the machine for troubleshooting purposes. | В настоящее время собираются пакеты расследований, также известные как пакет судебно-медицинской экспертизы.An investigation package, also known as forensics package, is being collected. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
5959 | Начальная команда: %1Starting command: %1 | Запуск выполнения командной команды ответа.Starting response command execution. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
6060 | Не удалось выполнить команду %1, ошибка: %2. Failed to run command %1, error: %2. | Не удалось выполнить команду ответа.Failed to execute response command. | Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
6161 | Параметры командного сбора данных недействительны: SasUri: %1, compressionLevel: %2.Data collection command parameters are invalid: SasUri: %1, compressionLevel: %2. | Не удалось прочитать или размыть аргументы команд сбора данных (недействительные аргументы).Failed to read or parse the data collection command arguments (invalid arguments). | Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
6262 | Не удалось запустить службу подключенных пользователей и телеметрии.Failed to start Connected User Experiences and Telemetry service. Код отказа: %1Failure code: %1 | Не удалось запустить службу подключенных пользовательских интерфейсов и телеметрии (diagtrack). Connected User Experiences and Telemetry (diagtrack) service failed to start. Телеметрия не microsoft Defender для конечной точки не будет отправлена с этого компьютера.Non-Microsoft Defender for Endpoint telemetry won’t be sent from this machine. | Дополнительные подсказки по устранению неполадок в журнале событий: Microsoft-Windows-UniversalTelemetryClient/Operational.Look for more troubleshooting hints in the event log: Microsoft-Windows-UniversalTelemetryClient/Operational. |
6363 | Обновление типа запуска внешней службы.Updating the start type of external service. Имя: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3, код выхода: %4Name: %1, actual start type: %2, expected start type: %3, exit code: %4 | Обновленный тип запуска внешней службы.Updated start type of the external service. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
6464 | Запуск остановленной внешней службы. Starting stopped external service. Имя: %1, код выхода: %2Name: %1, exit code: %2 | Запуск внешней службы.Starting an external service. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
6565 | Не удалось загрузить драйвер компонента событий microsoft Security Component Minifilter.Failed to load Microsoft Security Events Component Minifilter driver. Код отказа: %1Failure code: %1 | Не удалось загрузить MsSecFlt.sys файлосистемы.Failed to load MsSecFlt.sys filesystem minifilter. | Перезагрузка устройства.Reboot the device. Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
6666 | Обновление политики: режим задержки — %1Policy update: Latency mode — %1 | Политика частоты C&C была обновлена.The C&C connection frequency policy was updated. | Нормальное операционное уведомление; никаких действий. Normal operating notification; no action required. |
6868 | Тип запуска службы является неожиданным.The start type of the service is unexpected. Имя службы: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3Service name: %1, actual start type: %2, expected start type: %3 | Неожиданный внешний тип запуска службы.Unexpected external service start type. | Исправление внешнего типа запуска службы.Fix the external service start type. |
6969 | Служба остановлена.The service is stopped. Имя службы: %1Service name: %1 | Внешняя служба остановлена.The external service is stopped. | Запустите внешнюю службу.Start the external service. |
7070 | Обновление политики: Разрешить выборку коллекции — %1Policy update: Allow sample collection — %1 | Обновлена политика сбора образцов.The sample collection policy was updated. | Нормальное операционное уведомление; никаких действий. Normal operating notification; no action required. |
7171 | Успешное запуск команды: %1Succeeded to run command: %1 | Команда выполнена успешно.The command was executed successfully. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
7272 | Попытался отправить первый полный отчет профиля машины.Tried to send first full machine profile report. Код результата: %1Result code: %1 | Только информационная.Informational only. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
7373 | Чувство, начиная с платформы: %1Sense starting for platform: %1 | Только информационная.Informational only. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
7474 | Тег устройства в реестре превышает ограничение длины. Device tag in registry exceeds length limit. Имя тега: %2.Tag name: %2. Ограничение длины: %1.Length limit: %1. | Тег устройства превышает ограничение длины.The device tag exceeds the length limit. | Используйте более короткий тег устройства.Use a shorter device tag. |
8181 | Не удалось создать автологгер Microsoft Defender для конечной точки ETW.Failed to create Microsoft Defender for Endpoint ETW autologger. Код отказа: %1Failure code: %1 | Не удалось создать сеанс ETW.Failed to create the ETW session. | Перезагрузка устройства.Reboot the device. Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
8282 | Не удалось удалить автологгер Microsoft Defender для конечной точки ETW.Failed to remove Microsoft Defender for Endpoint ETW autologger. Код отказа: %1Failure code: %1 | Не удалось удалить сеанс ETW.Failed to delete the ETW session. | Поддержка контактов. Contact Support. |
8484 | Установите антивирусная программа режим работы.Set Windows Defender Antivirus running mode. Пассивный режим force: %1, код результатов: %2.Force passive mode: %1, result code: %2. | Установите режим работы защитника (активный или пассивный).Set defender running mode (active or passive). | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
8585 | Не удалось вызвать Microsoft Defender для конечной точки, исполняемой.Failed to trigger Microsoft Defender for Endpoint executable. Код отказа: %1Failure code: %1 | Выполнение SenseIR в главной роли не удалось.Starring SenseIR executable failed. | Перезагрузка устройства.Reboot the device. Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
8686 | При запуске снова остановлена внешняя служба, которая должна быть вверх. Starting again stopped external service that should be up. Имя: %1, код выхода: %2Name: %1, exit code: %2 | Запуск внешней службы снова.Starting the external service again. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
8787 | Не удается запустить внешнюю службу.Cannot start the external service. Имя: %1Name: %1 | Не удалось запустить внешнюю службу.Failed to start the external service. | Поддержка контактов.Contact Support. |
8888 | Повторное обновление типа запуска внешней службы.Updating the start type of external service again. Имя: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3, код выхода: %4Name: %1, actual start type: %2, expected start type: %3, exit code: %4 | Обновлен тип запуска внешней службы.Updated the start type of the external service. | Нормальное операционное уведомление; никаких действий. Normal operating notification; no action required. |
8989 | Не удается обновить начните тип внешней службы.Cannot update the start type of external service. Имя: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3Name: %1, actual start type: %2, expected start type: %3 | Не может обновить тип запуска внешней службы.Can’t update the start type of the external service. | Поддержка контактов.Contact Support. |
9090 | Не удалось настроить system Guard Runtime Monitor для подключения к облачной службе в geo-region %1.Failed to configure System Guard Runtime Monitor to connect to cloud service in geo-region %1. Код отказа: %2Failure code: %2 | System Guard Runtime Monitor не будет отправлять данные проверки в облачную службу.System Guard Runtime Monitor won’t send attestation data to the cloud service. | Проверьте разрешения на пути регистрации: «HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm». Check the permissions on register path: «HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm». Если проблем не обнаружено, обратитесь в службу поддержки.If no issues spotted, contact Support. |
9191 | Не удалось удалить сведения о георегиране System Guard Runtime Monitor.Failed to remove System Guard Runtime Monitor geo-region information. Код отказа: %1Failure code: %1 | System Guard Runtime Monitor не будет отправлять данные проверки в облачную службу.System Guard Runtime Monitor won’t send attestation data to the cloud service. | Проверьте разрешения на пути регистрации: «HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm».Check the permissions on register path: «HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm». Если проблем не обнаружено, обратитесь в службу поддержки.If no issues spotted, contact Support. |
9292 | Прекращение отправки квоты кибер-данных датчика из-за превышения квоты данных.Stopping sending sensor cyber data quota because data quota is exceeded. Возобновит отправку после того, как пройдет период квоты.Will resume sending once quota period passes. Маска состояния: %1State Mask: %1 | Превышение лимита регулирования.Exceed throttling limit. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
9393 | Повторное отправка данных кибер-датчика.Resuming sending sensor cyber data. Маска состояния: %1State Mask: %1 | Возобновление отправки кибер-данных.Resume cyber data submission. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
9494 | Начался microsoft Defender для исполняемой конечной точкиMicrosoft Defender for Endpoint executable has started | Начался исполняемый SenseCE.The SenseCE executable has started. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
9595 | Microsoft Defender для исполняемой конечной точки завершиласьMicrosoft Defender for Endpoint executable has ended | Исполняемый SenseCE завершился.The SenseCE executable has ended. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
9696 | Microsoft Defender для endpoint Init вызвал.Microsoft Defender for Endpoint Init has called. Код результата: %2Result code: %2 | Исполняемый SenseCE вызвал инициализацию MCE.The SenseCE executable has called MCE initialization. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
9797 | Существуют проблемы с подключением к облаку для сценария DLPThere are connectivity issues to the Cloud for the DLP scenario | Существуют проблемы сетевого подключения, влияющие на поток классификации DLP.There are network connectivity issues that affect the DLP classification flow. | Проверьте подключение к сети.Check the network connectivity. |
9898 | Подключение к облаку для сценария DLP восстановленоThe connectivity to the Cloud for the DLP scenario has been restored | Подключение к сети восстановлено, и поток классификации DLP может продолжаться.The connectivity to the network was restored and the DLP classification flow can continue. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
9999 | Sense столкнулась со следующей ошибкой при общении с сервером: (%1).Sense has encountered the following error while communicating with server: (%1). Результат: (%2)Result: (%2) | Произошла ошибка связи.A communication error occurred. | Дополнительные сведения о следующих событиях в журнале событий.Check the following events in the event log for further details. |
100100 | Не удалось запустить Microsoft Defender для конечной точки. Microsoft Defender for Endpoint executable failed to start. Код отказа: %1Failure code: %1 | Не удалось запустить исполняемый SenseCE.The SenseCE executable has failed to start. | Перезагрузка устройства.Reboot the device. Если эта ошибка сохраняется, обратитесь в службу поддержки.If this error persists, contact Support. |
102102 | Начался microsoft Defender для обнаружения конечных точек сети и выполнения ответных действийMicrosoft Defender for Endpoint Network Detection and Response executable has started | Начался исполняемый SenseNdr.The SenseNdr executable has started. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
103103 | Microsoft Defender для обнаружения конечных точек сети и выполнения ответов завершенMicrosoft Defender for Endpoint Network Detection and Response executable has ended | Выполнение SenseNdr завершено. The SenseNdr executable has ended. | Нормальное операционное уведомление; никаких действий.Normal operating notification; no action required. |
«Журнал ошибок» в Windows 10
Во время работы операционной системы, как и любого другого программного обеспечения, периодически возникают ошибки. Очень важно уметь анализировать и исправлять подобные проблемы, дабы в будущем они не появлялись снова. В ОС Windows 10 для этого был внедрен специальный «Журнал ошибок». Именно о нем мы и поговорим в рамках данной статьи.
«Журнал ошибок» в Виндовс 10
Упомянутый ранее журнал является лишь небольшой частью системной утилиты «Просмотр событий», которая по умолчанию присутствует в каждой версии Windows 10. Далее мы разберем три важных аспекта, которые касаются «Журнала ошибок» — включение логирования, запуск средства «Просмотр событий» и анализ системных сообщений.
Включение логирования
Для того чтобы система могла записывать все события в журнал, необходимо включить его. Для этого выполните следующие действия:
- Нажмите в любом пустом месте «Панели задач» правой кнопкой мышки. Из контекстного меню выберите пункт «Диспетчер задач».
- В открывшемся окне перейдите во вкладку «Службы», а затем на самой странице в самом низу нажмите кнопку «Открыть службы».
- Далее в перечне служб нужно найти «Журнал событий Windows». Убедитесь, что она запущена и работает в автоматическом режиме. Об этом должны свидетельствовать надписи в графах «Состояние» и «Тип запуска».
- Если значение указанных строк отличается от тех, что вы видите на скриншоте выше, откройте окно редактора службы. Для этого кликните два раза левой кнопкой мыши на ее названии. Затем переключите «Тип запуска» в режим «Автоматически», и активируйте саму службу путем нажатия кнопки «Запустить». Для подтверждения нажмите «OK».
После этого остается проверить, активирован ли на компьютере файл подкачки. Дело в том, что при его выключении система попросту не сможет вести учет всех событий. Поэтому очень важно установить значение виртуальной памяти хотя бы 200 Мб. Об этом напоминает сама Windows 10 в сообщении, которое возникает при полной деактивации файла подкачки.
О том, как задействовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Ознакомьтесь с ней при необходимости.
Подробнее: Включение файла подкачки на компьютере с Windows 10
С включением логирования разобрались. Теперь двигаемся дальше.
Запуск «Просмотра событий»
Как мы уже упоминали ранее, «Журнал ошибок» входит в состав стандартной оснастки «Просмотр событий». Запустить ее очень просто. Делается это следующим образом:
- Нажмите на клавиатуре одновременно клавишу «Windows» и «R».
- В строку открывшегося окна введите
eventvwr.msc
и нажмите «Enter» либо же кнопку «OK» ниже.
В результате на экране появится главное окно упомянутой утилиты. Обратите внимание, что существуют и другие методы, которые позволяют запустить «Просмотр событий». О них мы в деталях рассказывали ранее в отдельной статье.
Подробнее: Просмотр журнала событий в ОС Windows 10
Анализ журнала ошибок
После того как «Просмотр событий» будет запущен, вы увидите на экране следующее окно.
В левой его части находится древовидная система с разделами. Нас интересует вкладка «Журналы Windows». Нажмите на ее названии один раз ЛКМ. В результате вы увидите список вложенных подразделов и общую статистику в центральной части окна.
Для дальнейшего анализа необходимо зайти в подраздел «Система». В нем находится большой список событий, которые ранее происходили на компьютере. Всего можно выделить четыре типа событий: критическое, ошибка, предупреждение и сведения. Мы вкратце расскажем вам о каждом из них. Обратите внимание, что описать все возможные ошибки мы не можем просто физически. Их много и все они зависят от различных факторов. Поэтому если у вас не получится что-то решить самостоятельно, можете описать проблему в комментариях.
Критическое событие
Данное событие помечено в журнале красным кругом с крестиком внутри и соответствующей припиской. Кликнув по названию такой ошибки из списка, немного ниже вы сможете увидеть общие сведения происшествия.
Зачастую представленной информации достаточно для того, чтобы найти решение проблемы. В данном примере система сообщает о том, что компьютер был резко выключен. Для того чтобы ошибка не появлялась вновь, достаточно просто корректно выключать ПК.
Подробнее: Выключение системы Windows 10
Для более продвинутого пользователя есть специальная вкладка «Подробности», где все событие представлены с кодами ошибок и последовательно расписаны.
Ошибка
Этот тип событий второй по важности. Каждая ошибка помечена в журнале красным кругом с восклицательным знаком. Как и в случае с критическим событием, достаточно нажать ЛКМ по названию ошибки для просмотра подробностей.
Если из сообщения в поле «Общие» вы ничего не поняли, можно попробовать найти информацию об ошибке в сети. Для этого используйте название источника и код события. Они указаны в соответствующих графах напротив названия самой ошибки. Для решения проблемы в нашем случае необходимо попросту повторно инсталлировать обновление с нужным номером.
Подробнее: Устанавливаем обновления для Windows 10 вручную
Предупреждение
Сообщения данного типа возникают в тех ситуациях, когда проблема не носит серьезный характер. В большинстве случаев их можно игнорировать, но если событие повторяется раз за разом, стоит уделить ему внимание.
Чаще всего причиной появления предупреждения служит DNS-сервер, вернее, неудачная попытка какой-либо программы подключиться к нему. В таких ситуациях софт или утилита попросту обращается к запасному адресу.
Сведения
Этот тип событий самый безобидный и создан лишь для того, чтобы вы могли быть в курсе всего происходящего. Как понятно из его названия, в сообщение содержатся сводные данные о всех инсталлированных обновлениях и программах, созданных точках восстановления и т.д.
Подобная информация будет очень кстати для тех пользователей, которые не хотят устанавливать сторонний софт для просмотра последних действий Windows 10.
Как видите, процесс активации, запуска и анализа журнала ошибок очень прост и не требует от вас глубоких познаний ПК. Помните, что таким образом можно узнать информацию не только о системе, но и о других ее компонентах. Для этого достаточно в утилите «Просмотр событий» выбрать другой раздел.
Мы рады, что смогли помочь Вам в решении проблемы.Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТГде находится журнал событий в Windows 10, как его открыть
Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.
События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.
Где находится журнал событий и как его открыть
Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка \Windows\system32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:
- Главное меню Windows – «Пуск». Щелкать по его кнопке следует не левой, а правой клавишей мыши. Пункт «Просмотр событий» – четвертый сверху.
- Системный поиск – кнопка со значком в виде лупы возле «Пуска». Достаточно начать вводить в поисковую строку слово «просм…» – и вот он, нашелся.
- Виндовая утилита «Выполнить» (Run) просто создана для тех, кто предпочитает горячие клавиши. Нажмите на клавиатуре Windows+К (русская), вбейте в строку «Открыть» команду eventvwr (имя файла просмотрщика) и щелкните ОК.
- Командная строка или консоль Powershell (их тоже удобно открывать через контекстное меню кнопки Пуск). Для запуска журнала событий снова введите eventvwr и щелкните Enter.
- Системная утилита «Параметры», пришедшая на смену панели управления. Зарываться в ее недра – то еще удовольствие, но можно сделать проще – начать вбивать в строку поиска слово «администрирование». Следом просто перейдите в найденный раздел и щелкните ярлык просмотрщика.
- НахОдите журнал событий Windows увлекательным чтивом? Тогда, возможно, вам понравится идея держать его всегда под рукой. Чтобы поместить ярлык просмотрщика на рабочий стол, зайдите любым из способов в раздел панели управления «Администрирование», скопируйте ярлык нажатием клавиш Ctrl+C, щелкните мышкой по рабочему столу и нажмите Ctrl+V.
Что делать, если журнал событий не открывается
За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.
Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».
Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.
Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:
- Ваша ученая запись ограничена в правах доступа политиками безопасности.
- В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
- Некоторые системные компоненты повреждены или заблокированы вредоносной программой.
Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:
- Откатом на контрольную точку, созданную, когда всё работало исправно.
- Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe –scannow в командной строке.
- Сканированием дисков на предмет вирусного заражения.
- Восстановлением прав доступа системных учетных записей к папкам \Windows\System32\winevt и \System32\LogFiles. Рабочие настройки показаны на скриншотах ниже.
Структура просмотрщика журнала событий
Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.
Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.
Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.
Правая сторона содержит меню доступных операций с журналами.
Как искать в журналах событий интересующие сведения
Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.
Как пользоваться функцией фильтрации
Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».
Далее заполняем вкладку «Фильтр»:
- Из списка «Дата» выбираем последние 7 дней.
- В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
- В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
- Указываем коды событий (event ID), о которых собираем сведения.
- Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).
Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:
Читать его стало гораздо удобнее.
Как создавать настраиваемые представления
Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.
Чтобы создать настраиваемое представление, сделайте следующее:
- Выделите в разделе каталогов интересующий журнал.
- Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
- Заполните настройки окошка «Фильтр» по примеру выше.
- Сохраните фильтр под любым именем в выбранный каталог.
В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.
Источники, уровни и коды событий. Как понять, что означает конкретный код
Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.
Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:
- Критическая ошибка указывает на самый серьезный сбой, который привел к отказу породившего его источника без возможности самостоятельного восстановления. Пример внешнего проявления такого сбоя – синий экран смерти Windows (BSoD) или внезапная перезагрузка компьютера.
- Ошибка тоже указывает на сбой, но с менее критичными последствиями для работы системы. Например, вылет программы без сохранения данных из-за нехватки ресурсов, ошибки запуска служб и т. п.
- Предупреждение – запись, сообщающая о неполадках, которые негативно влияют на работу системы, но не приводят к сбоям, а также о возможности возникновения ошибок в дальнейшем, если не устранить их причину. Пример: приложение запускалось дольше, чем обычно, что привело к замедлению загрузки системы.
- Уведомление – обычное информационное сообщение, например, о том, что операционная система приступила к установке обновления.
- Успешный отчет (аудит) – сообщение, информирующее об успехе какого-либо события. Примеры: программа успешно установлена, пользователь успешно вошел в учетную запись.
- Неуспешный отчет (аудит) – сообщение о неуспешном завершении операции. Например, установка программы не была завершена из-за отмены действия пользователем.
Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.
Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.
Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.
Get System Info – альтернатива стандартному просмотрщику Windows
Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info.
Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.
Преимущество этой утилиты перед стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.
Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.
Как пользоваться Get System Info:
- Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «Include Windows event logs».
- После того как на рабочем столе или в папке, которую вы указали, появится архивный файл с именем «GSI6_Имя_ПК_user_дата_ и т.д.», откройте в браузере сайт getsysteminfo.com и загрузите архив туда.
- После загрузки отчета на getsysteminfo.com зайдите на вкладку «Свойства системы» и откройте раздел «Журнал событий».
Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.
Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.
Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.
Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением. Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.
Журнал событий в Windows 7/10 – как открыть и посмотреть системные события
Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.
Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.
Где находится журнал событий Windows
Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.
Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.
Как открыть журнал
Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr. msc.
В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.
Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».
Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.
Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.
Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.
Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.
Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».
Как использовать содержимое журнала
Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?
Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.
Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.
Очистка, удаление и отключение журнала
На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».
Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:
for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»
Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:
wevtutil el | Foreach-Object {wevtutil cl «$_»}
При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.
Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.
Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».
Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.
Где найти журнал событий в Windows 10
Многие не знают о просмотре событий ОС. А ведь именно они отображают критические ошибки и другую важную информацию как для владельцев серверов, так и для обычных пользователей. Рекомендую ознакомиться с этой важной темой и узнать, где найти журнал событий в Windows 10, как им пользоваться.
Данная служба предназначена для регистрации всего происходящего на ПК. В журнал записываются сообщения, предупреждения, ошибки в работе приложений, драйверов. Регулярный просмотр истории позволит выявить «дыры» в защите, что особенно актуально для серверов.
СОДЕРЖАНИЕ СТАТЬИ:
Как запустить?
Самый простой способ – ввести в поиске Windows фразу «просмотр событий». Но если у Вас отключено индексирование, то результата не будет. Тогда следует открыть «Панель управления» и перейти к разделу «Администрирование», в котором и находится нужный пункт.
Все данные разделены на группы. К примеру, в журнале приложений можно просмотреть сообщения, исходящие от установленного софта. А знаете, как посмотреть системные происшествия ОС? Они отображаются в журнале Windows, что вполне логично.
Изначально, этот инструмент разрабатывался для администраторов, которым нужно постоянно вести мониторинг за состоянием серверов, выявлять ошибки, причины их проявления.
Не стоит пугаться, если с Вашим ноутбуком всё хорошо, но в событиях числится определенное количество предупреждений. Это вполне нормальное явление даже для оптимизированного ПК. Даже незначительные сбои, которые Вы могли не заметить, будут внесены в «реестр». Так что, не стоит переживать по этому поводу.
Как пользоваться?
Многие компьютерные «гуру» считают, что не стоит обычным юзерам погружаться в тему, которая им не пригодится. Лично я уверен, что этот инструмент может оказаться полезным в некоторых ситуациях. Например, перед Вами возникает «синий экран смерти» или система самостоятельно уходит на перезагрузку. Почему так происходит? Ответ можно найти в журнале событий. Если сбой вызван обновлением драйвера, то будет указано проблемное оборудование и пути «выхода из кризиса».
Чтобы проще было искать нужный отчет, следует запомнить точное время возникновения критической ситуации.
Еще одним важным моментом является запись процесса загрузки ОС (указывается длительность, начало и время окончания). Кроме того, можно привязать к выключению ПК необходимость ввода причины, которая потом будет отображаться в журнале. Это хорошая практика для владельцев серверов, которым важны любые детали.
Как почистить журнал событий
Для чистки журнала я знаю три способа, через созданный исполняемый *.bat (называем его «батник») файл или через консоль cmd или через консоль PowerShell.
Привиду все три примера в реализации.
Метод 1: через bat файл.
Создаем текстовый файл и вставляем в него код, который расположен ниже. Затем переименовываем расширение txt в bat, и все готово к запуску.
@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit')
DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto theEnd
for /F "tokens=*" %%G in ('wevtutil. exe el')
DO (call :do_clear "%%G")
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:theEnd
Важно помнить, что запускать файл надо от имени администратора, для этого нажимать на файл правый кнопкой и выбрать «запустить как администратор».
Для тех, кому лень создавать такой файл, то можно его скачать ниже.
Скачать
Метод 2: через командую строку cmd
Запускаем командную строку — для этого ждем клавиши правой кнопкой мыши на меню пуск и выбираем запустить консоль от имени администратора.
В консоль вставляем следующий код:for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Ждем не много и все отчеты становятся пустыми.
Метод 3: через PowerShell
Запускаем PowerShell от имени администратора и вводим следующую команду:wevtutil el | Foreach-Object {wevtutil cl "$_"}
Смотрим как у меня:
И жмем: Enter
В конце выйдет ошибка, не пугайтесь. Это нормально. Журнал событий будет очищен.
На скрине показано, как можно привязать определенную задачу к событию. То есть, если что-то происходит, то включается обработчик и начинается выполнение указанной задачи. Описаны методы очистки событий. Не знаю, пригодится ли Вам это?
Согласен, тема не такая динамичная и захватывающая, как борьба с вирусами или восстановление системы с флешки. Но даже если этот материал хотя бы раз окажется полезным для Вас, значит, не зря я старался!
Как посмотреть логи Windows?
Alla Rud 04.08.2018 11 161664 на прочтение 5 минутЛоги — это системные события, который происходят в любой операционной системе. С помощью логов можно легко отследить кто, что и когда делал. Читать логи могут не только системные администраторы, поэтому в данной инструкции рассмотрим, как смотреть логи ОС windows.
Ищете сервер с Windows? Выбирайте наши Windows VDS
Просмотр событий для проверки логов.
После нажатия комбинации “Win+R и введите eventvwr.msc
” в любой системе Виндовс вы попадаете в просмотр событий. У вас откроется окно, где нужно развернуть Журналы Windows. В данном окне можно просмотреть все программы, которые открывались на ОС и, если была допущена ошибка, она также отобразится.
Аудит журнал поможет понять, что и кто и когда делал. Также отображается информация по запросам получения доступов.
В пункте Установка можно посмотреть логи ОС Виндовс, например, программы и обновления системы.
Система — наиболее важный журнал. С его помощью можно определить большинство ошибок ОС. К примеру, у вас появлялся синий экран. В данном журнале можно определить причину его появления.
Логи windows — для более специфических служб. Это могут быть DHCP или DNS.
Фильтрация событий.
С помощью Фильтра текущего журнала (раздел Действия) можно отфильтровать информацию, которую вы хотите просмотреть.
Обязательно нужно указать уровень Событий:
- Критическое
- Ошибка
- Предупреждение
- Сведения
- Подробности
Для сужения поиска можно отфильтровать источник событий и код.
Просмотр PowerShell логов.
Открываем PowerShell и вставляем следующую команду Get-EventLog -Logname 'System'
В результате вы получите логи Системы
Для журнала Приложения используйте эту команду Get-EventLog -Logname 'Application
Также обязательно ознакомьтесь с перечнем аббревиатур:
- Код события — EventID
- Компьютер — MachineName
- Порядковый номер события — Data, Index
- Категория задач — Category
- Код категории — CategoryNumber
- Уровень — EntryType
- Сообщение события — Message
- Источник — Source
- Дата генерации события — ReplacementString, InstanceID, TimeGenerated
- Дата записи события — TimeWritten
- Пользователь — UserName
- Сайт — Site
- Подразделение — Conteiner
Для выведения событий в командной оболочке только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система» используйте:
Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message
Если нужна подробная информация, замените Format-Table на Format-List на
Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message
Формат информации станет более легким
Для фильтрации журнала, например, для фильтрации последних 20 сообщений, используйте команду
Get-EventLog –Logname ‘System’ –Newest 20
Если нужен список, позднее даты 1 января 2018 года, команда
Get-EventLog –LogName ‘System’ –After ‘1 января 2018’
Надеемся, данная статья поможет вам быстро и просто читать логи ОС Windows.
Желаем приятной работы!
Как установить свой образ на ВДС сервер с Виндовс, читайте в предыдущей статье.
Как использовать средство просмотра событий в Windows 10
Источник: Windows Central
В Windows 10 средство просмотра событий представляет собой удобный устаревший инструмент, предназначенный для объединения журналов событий из приложений и компонентов системы в легко усваиваемую структуру, которую затем можно анализировать для поиска и устранения проблем программного или аппаратного обеспечения вашего компьютера.
Как правило, большинство пользователей не используют или не знают о средстве просмотра событий. Тем не менее, это должно быть первое место для проверки для устранения проблем, поскольку практически каждый отказ оборудования, сбой приложения, сбой драйвера, системная проблема, безопасный доступ и события от приложений и служб, работающих без проблем, будут записываться в эту базу данных.
Если ваше устройство внезапно перезагружается без причины, зависает, драйверы работают не так, как ожидалось, или вы испытываете синий экран смерти (BSoD), средство просмотра событий в Windows 10 может содержать журналы с информацией, которую необходимо устранить. проблема или, по крайней мере, найти подсказки, которые помогут вам найти решение.
VPN-предложения: пожизненная лицензия за 16 долларов, ежемесячные планы за 1 доллар и более
В этом руководстве по Windows 10 мы проведем вас через шаги по навигации и использованию средства просмотра событий на вашем устройстве.
Как использовать средство просмотра событий в Windows 10
В Windows 10 существует средство просмотра событий, помогающее отслеживать приложения и системные компоненты, а также устранять проблемы.
Интерфейс навигации
Чтобы открыть средство просмотра событий в Windows 10, просто откройте «Пуск» и выполните поиск Средство просмотра событий и щелкните верхний результат, чтобы запустить консоль.
Интерфейс разделен на четыре основные группы, включая «Пользовательские представления», «Журналы Windows», «Журналы приложений и служб» и «Подписки», и в каждой группе хранятся связанные журналы.
Источник: Windows CentralХотя каждая группа может хранить разные журналы приложений и системные журналы, в большинстве случаев вы будете анализировать журналы Application , Security и System внутри группы «Журналы Windows», чтобы исследовать проблему.
Источник: Windows CentralВнутри «Приложения» вы найдете события об интерфейсе и других важных компонентах для запуска приложения. В категории «Безопасность» сгруппированы журналы событий, связанных с попытками входа в систему и функциями безопасности, а в категории «Система» записываются журналы, связанные с приложениями, установленными в Windows 10.
Средство просмотра событий может отслеживать три типа уровней событий, включая Ошибка , Предупреждение и Информация . Журналы «ошибок», как следует из названия, указывают на проблемы, требующие немедленного внимания. Журналы «Предупреждений» не обязательно важны. Однако они могут сигнализировать, что что-то работает не так, как ожидалось, а журналы «Информация» — это просто события, которые фиксируют нормальную работу приложений и служб.
Обычно все приложения должны регистрировать события в этой базе данных, но это не всегда верно для многих сторонних приложений.
Если устройство работает нормально, вы все равно будете видеть ошибки и предупреждения, но они, скорее всего, не будут иметь никакого отношения к этому. Например, иногда вы можете увидеть ошибку, если служба не может загрузиться при запуске, но обычно перезапускается позже. Служба времени не могла правильно синхронизироваться, Windows 10 не могла получить доступ к файлу в общей сетевой папке, потому что возникла проблема с подключением, или приложение внезапно вылетело, но затем вы открыли его снова, и оно продолжало работать без проблем.
Находясь в консоли, вы можете выбрать одну из основных групп для просмотра дополнительной информации, такой как количество событий и размер на диске для каждого просмотра. Или вы можете выбрать «Средство просмотра событий» в верхнем левом углу, чтобы получить обзор и сводку событий, недавние заметки и сводку журнала.
Источник: Windows CentralЕсли вы выберете одну из групп, с правой стороны, вы увидите все события с их информацией «Уровень», «Дата и время» создания, «Источник», «Идентификатор события» и «Категория задачи». .»Если вы хотите увидеть более подробную информацию, вы можете выбрать событие, и информация будет отображаться в нижней части консоли, или вы можете дважды щелкнуть событие, чтобы получить более подробную информацию.
Источник: Windows CentralВ окне свойств события вкладка «Общие» содержит понятное описание ошибки, предупреждения или информации.
Источник: Windows CentralОбычно описание должно содержать достаточно информации, чтобы понять и решить проблему.Однако «идентификатор события» также является важной частью информации, поскольку вы можете использовать его для поиска в Интернете, чтобы найти дополнительную информацию и возможные инструкции по устранению проблемы.
Поиск конкретных журналов
Если вы ищете конкретное событие, консоль предоставляет как минимум два способа поиска событий с помощью фильтров или поиска по ключевым словам.
Расширенный поиск
Чтобы использовать фильтры для поиска определенного типа журнала, выполните следующие действия:
- Открыть Старт .
- Найдите Event Viewer и выберите верхний результат, чтобы открыть консоль.
- Разверните группу событий.
Щелкните категорию правой кнопкой мыши и выберите параметр Фильтровать текущий журнал .
Источник: Windows CentralКраткое примечание: Вы также можете получить доступ к фильтру и другим общим параметрам на панели Action , доступной в правой части консоли.
- Щелкните вкладку Фильтр .
Используйте раскрывающееся меню «Зарегистрировано» и выберите временной диапазон, когда событие могло произойти, в том числе:
- В любое время.
- Последний час.
- Последние 12 часов.
- Последние 24 часа.
- Последние 7 дней.
- Последние 30 дней.
- Произвольный ассортимент.
Выберите интересующий уровень события, в том числе:
- Критическое.
- Предупреждение.
- Verbose.
- Ошибка.
- Информация.
- (Необязательно) Выберите источники событий. Это может быть одно или несколько приложений и служб.
- (Необязательно) Выберите категорию задач .
- (Необязательно) Выберите или подтвердите ключевое слово, чтобы сузить журнал.
- Используйте значения по умолчанию для User и Computers .
- Нажмите кнопку ОК .
После того, как вы выполните эти шаги, соответствующие журналы появятся отфильтрованными в консоли.Если вы хотите очистить текущий фильтр, щелкните группу правой кнопкой мыши и выберите опцию Очистить фильтр .
Базовый поиск
Чтобы использовать ключевое слово для поиска ошибки, предупреждения или информационного события с помощью средства просмотра событий, выполните следующие действия:
- Открыть Старт .
- Найдите Event Viewer и выберите верхний результат, чтобы открыть консоль.
- Разверните группы событий.
Щелкните категорию правой кнопкой мыши и выберите вариант Найти .
Источник: Windows CentralВведите ключевое слово и нажмите кнопку Найти следующий .
Источник: Windows Central
После того, как вы выполните шаги, событие будет выделено в списке, если будет найдено совпадение.
Создание пользовательских ракурсов
В случае, если вы часто ищете события одного и того же типа, в средстве просмотра событий также есть возможность создавать настраиваемые представления для быстрой фильтрации журналов и просмотра только тех, которые имеют отношение к вам.
Чтобы создать настраиваемое представление в средстве просмотра событий, выполните следующие действия:
- Открыть Старт .
- Найдите Event Viewer и выберите верхний результат, чтобы открыть консоль.
- Разверните группу событий.
Щелкните категорию правой кнопкой мыши и выберите Создать пользовательский вид .
Источник: Windows Central- Щелкните вкладку Фильтр .
- Используйте раскрывающееся меню «В журнале» и выберите временной диапазон.
- Выберите опцию По журналу .
Используйте раскрывающееся меню «Журналы событий» и выберите категорию событий, которую нужно отфильтровать. Например, Система .
Источник: Windows Central- (Необязательно) Выберите категорию задач .
- Выберите или подтвердите ключевое слово, чтобы сузить журнал.
- Используйте значения по умолчанию для User и Computers .
- Нажмите кнопку ОК .
Подтвердите имя для пользовательского представления.
Источник: Windows Central- (Необязательно) Составьте описание для настраиваемого представления.
Выберите место для сохранения обзора.
Краткое примечание: Всегда рекомендуется расположение по умолчанию, но вы всегда можете создать новую папку для их хранения.
- Нажмите кнопку ОК .
После выполнения этих шагов, в следующий раз, когда вам потребуется просмотреть определенные журналы, вы можете развернуть папку «Пользовательские представления» и выбрать созданное представление.
Очистить журнал
В Windows 10 журналы помогают отслеживать состояние вашего устройства и устранять проблемы, и вам следует хранить их как можно дольше. Однако вы можете очистить журнал журнала, чтобы освободить место или упростить отслеживание существующей проблемы.
Чтобы очистить историю журнала определенной категории, выполните следующие действия:
- Открыть Старт .
- Найдите Event Viewer и выберите верхний результат, чтобы открыть консоль.
- Разверните группу событий.
Щелкните категорию правой кнопкой мыши и выберите опцию Очистить журнал .
Источник: Windows CentralНажмите кнопку Очистить .
Краткое примечание: Если вы хотите заархивировать журнал журнала в файле вне средства просмотра событий, вы также можете нажать кнопку Сохранить и очистить .
После того, как вы выполните шаги, события будут удалены, и консоль начнет запись новых событий.
Дополнительные ресурсы по Windows 10
Чтобы получить дополнительные полезные статьи, статьи и ответы на распространенные вопросы о Windows 10, посетите следующие ресурсы:
Проверка журналов событий Windows
Проверять события, связанные с M-файлами, в журнале событий Windows на на регулярной основе по любым вопросам, особенно связанным с резервным копированием. Вы можете захотеть также рассмотреть возможность использования сценария PowerShell или стороннего приложения для отправки уведомления по электронной почте при возникновении вышеупомянутых событий.
- Нажмите ⊞ Win + R
на компьютере-сервере M-Files.
Результат: открывается диалоговое окно «Выполнить».
- В поле «Открытый текст» введите eventvwr и нажмите ОК.
Результат: открывается программа просмотра событий.
- Разверните узел Журналы Windows.
- Выберите узел Application.Результат: Отобразится журнал приложения:
- Щелкните Фильтр текущего журнала … на
Панель действий в приложении
раздел, чтобы перечислить только записи, относящиеся к M-файлам.
Результат: откроется диалоговое окно «Фильтр текущего журнала». открыт.
- В раскрывающемся меню Источники событий выберите все приложения, связанные с M-Files, такие как M-Files, Комплект соответствия M-Files, и MFClient.
- Нажмите ОК, чтобы закрыть текущую фильтрацию. Диалог журнала.
Примечание. Если свободное место на диске серверный компьютер позволяет, мы рекомендуем увеличить максимальный размер журнала Журнал приложений, например, до 200000 КБ, чтобы охватить больше События. В некоторых случаях ошибки в журнал может записываться большое количество событий, таким образом, очень быстро заполняется журнал по умолчанию размером около 20 МБ.Это может сделать это невозможно отследить источник проблемы. Вы можете изменить размер журнала с помощью щелкнув правой кнопкой мыши узел «Приложение» в левом древовидном представлении а затем выберите в контекстном меню пункт «Свойства». Увеличение размера журнала клиентских компьютеров требуется редко, но может быть полезно в некоторых случаях.
Как использовать средство просмотра событий в Windows 10
В этом руководстве мы расскажем, как использовать средство просмотра событий Windows 10, чтобы помочь в устранении проблем с приложениями или узнать, что ваш компьютер делал в последнее время.
Как открыть средство просмотра событий Windows 10
Самый простой способ получить доступ к средству просмотра событий Windows 10 — это найти его. Введите Event Viewer в поле поиска Windows 10 и выберите соответствующий результат. Он откроет новое окно для средства просмотра событий, предоставив вам доступ к его параметрам и журналам событий Windows 10.
Использование средства просмотра событий Windows для чтения журналов
Если вы хотите увидеть, что делает приложение, его конкретные журналы событий Windows 10 предоставляют вам целый ряд информации, с которой можно работать.Чтобы получить к ним доступ, выберите Журналы Windows > Приложение на левой панели.
В качестве альтернативы, если вы хотите просмотреть журналы безопасности, выберите Журналы Windows> Безопасность, чтобы просмотреть системные журналы, перейдите в Журналы Windows > Система .
В центральном окне будут показаны все последние журналы, которые были зарегистрированы Windows и сторонними приложениями. Вы сможете узнать, какому приложению соответствует каждая запись, просмотрев столбец Source .
Столбец Уровень расскажет, что это за журнал. Наиболее распространенный тип — Информация , , когда приложение или служба просто регистрируют событие. Некоторые из них будут указаны как Предупреждение или Ошибка и означать, что что-то пошло не так. Эти ярлыки обычно не являются катастрофическими, а некоторые просто подчеркивают, что служба не может связаться с сервером — даже если это может произойти при следующей попытке — или приложение выйдет из строя — даже если вы снова открыли его после этого, и оно работало нормально.
Столбец Дата и время позволяет точно узнать, когда произошло событие, помогая определить, что это могло быть. Кроме того, если вы выберете событие, вы можете получить дополнительную информацию в нижней панели о том, что это было, и дополнительные примечания, которые помогут объяснить дальнейшие действия.
Если вам нужна дополнительная информация, обратите внимание на идентификатор события . Поиск его в Интернете может дать вам дополнительную информацию, которая может быть полезной, если вы считаете, что событие предполагает, что проблема требует решения.
Как найти определенные журналы Windows 10
Если вы ищете конкретный журнал, в средстве просмотра событий Windows есть надежный инструмент поиска, который вы можете использовать.
Щелкните правой кнопкой мыши или коснитесь и удерживайте определенную категорию журнала и выберите Найти .
В поле Найти найдите то, что вы ищете. Это может быть имя приложения
, идентификатор события, уровень события или что-то еще.
Как использовать систему фильтрации для поиска журналов Windows 10
Для более детальной функции поиска, которая дает вам гораздо больше параметров, вы хотите вместо этого использовать систему Filter .
Щелкните правой кнопкой мыши или коснитесь и удерживайте определенную категорию журнала ( Application , Security , Setup , System , или Forwarded Events ) и выберите Фильтровать текущий журнал . В качестве альтернативы выберите Фильтр текущего журнала на правой панели Действия .
Выберите вкладку Фильтр , если это еще не сделано.
Используйте доступные параметры для точной настройки журналов просмотра событий.Меню Logged помогает фильтровать по дате или времени, когда инструмент его создал. Уровень события позволяет выделить тип события журнала, которое вы ищете, например Предупреждение , Ошибка или Информация . А Source позволяет фильтровать по конкретному приложению или услуге, а также по Keyword , конкретным устройствам Users или Computer .
Как очистить историю журнала событий Windows 10
Если вы хотите начать с нуля и удалить все существующие журналы, чтобы сосредоточиться на новых, которые поступают, очистка журналов средства просмотра событий — отличный способ сделать это.
Щелкните правой кнопкой мыши или коснитесь и удерживайте группу событий, которую вы хотите очистить, на левой панели.
Выберите Очистить журнал .
Чтобы сделать резервную копию существующих журналов перед их удалением, выберите Сохранить и очистить . Выберите место для сохранения и имя, а затем выберите Сохранить . В качестве альтернативы, если вы хотите полностью удалить их без какой-либо резервной копии, выберите Очистить .
При необходимости повторите для любых других категорий журналов, которые вы хотите очистить.
Спасибо, что сообщили нам!
Расскажите, почему!
Другой Недостаточно подробностей Сложно понятьСредство просмотра событий Windows 10: простое руководство
Это руководство поможет вам понять, как использовать средство просмотра событий Windows 10 для устранения проблем в вашей системе и быстрого поиска их причины.
Средство просмотра событий Windows 10 — это первое место, где вы должны искать сообщения, ошибки и предупреждения о вашей системе, ее безопасности и запущенных в ней приложениях.Когда в вашей системе что-то начинает идти не так, это отличное первое место, чтобы выяснить причину.
Однако имейте в виду, что вы почти всегда будете видеть предупреждения или ошибки в средстве просмотра событий Windows. Это нормально даже на отлично работающем компьютере. Вы можете игнорировать большинство предупреждений и ошибок, если знаете, что искать.
Это руководство поможет вам понять, как использовать средство просмотра событий Windows 10 для устранения проблем в вашей системе и быстрого поиска их причины.
Запуск средства просмотра событий Windows 10
Средство просмотра событий предназначено для использования в качестве средства устранения неполадок при возникновении конкретной проблемы. Например, если приложение продолжает давать сбой или вы не можете подключиться к Интернету. Средство просмотра событий может показать вам проблемы безопасности, системы или приложения, которые могут вызывать эту проблему.
Чтобы открыть средство просмотра событий в Windows 10:
1. Щелкните правой кнопкой мыши Пуск и выберите Средство просмотра событий . Это откроет инструмент просмотра событий.
2. На левой навигационной панели выберите Пользовательские представления , а затем выберите Административные события .
Вы увидите длинный список сообщений, многие из которых являются предупреждениями и ошибками. Не о чем беспокоиться. Даже системы, в которых вообще нет проблем, будут отображать ошибки в этом журнале.
Журнал административных событий — это фильтр журнала по умолчанию, который показывает общий список событий для всех трех категорий — Система, Безопасность и Приложения.
События Windows приложений
Вы можете увидеть только события для каждого из этих отдельных журналов, выбрав Журналы Windows на левой панели навигации. Затем выберите Приложения .
Эти журналы содержат информацию, предупреждения и ошибки для любых приложений, запущенных в вашей системе. Поскольку в этих приложениях редко возникает много серьезных ошибок, если нет реальной проблемы, это отличный журнал для устранения неполадок конкретных приложений.
Ошибки в этом списке обычно гораздо более значимы, чем в других журналах. Например, если у вас возникли проблемы с продуктами Office в вашей системе, возможно, стоит прокрутить этот список и найти конкретные ошибки, связанные с Office.
В этом примере вы можете увидеть ошибку лицензирования Office 2016 от 02.05.2021. На вкладке Общие ниже показан конкретный источник ошибки приложения, дата возникновения и регистрации ошибки и т. Д.
Чтобы увидеть более конкретную информацию, выберите вкладку Подробности .
Убедитесь, что выбран Friendly View . В разделе сведений о EventData должна быть указана конкретная ошибка вместе с кодом ошибки. Обычно вы можете найти код ошибки в Google и найти конкретные решения на различных форумах, посвященных Windows, в Интернете.
Вот почему журнал ошибок Windows — отличное место для начала, когда вы устраняете проблемы с приложениями или вашей системой.
События безопасности Windows
Журнал событий безопасности Windows покажет вам все системные события, связанные с безопасностью вашего компьютера.Обычно это попытки входа в систему или запросы доступа к различным системным ресурсам, таким как доступ к сети и т. Д. Вы не увидите здесь ничего особенного, если не включите журнал безопасности.
В корпоративных сетях вы, скорее всего, увидите здесь множество предупреждений или ошибок из-за гораздо более высокой степени сетевого трафика, чем ваш компьютер видит в домашней сети.
Системные события Windows
Если вы выберете System в левом меню навигации, вы увидите последнюю категорию журналов событий Windows.Системные события — это уведомления системы Windows о таких компонентах, как драйверы, системные процессы и т. Д. Здесь будет перечислено большинство наиболее серьезных ошибок.
Вам не нужно сильно беспокоиться об этом, потому что большинство из этих ошибок устраняются сами собой. В Windows есть встроенные процессы, которые отвечают на большинство проблем и проблем в других компонентах системы и устраняют их. Например, большинство драйверов обновляются автоматически, или последующий Центр обновления Windows устранит многие ошибки.
Однако, если у вас возникли серьезные системные проблемы, такие как ошибка BSOD или ошибка черного экрана, системный журнал может стать отличным способом найти коды ошибок, которые могут помочь вам решить проблему.
Дополнительные функции журнала событий Windows
Помимо прокрутки списка информационных, предупреждающих сообщений и сообщений об ошибках в журнале для выявления проблем, есть другие служебные функции журнала событий, которые вы можете использовать, которые значительно упрощают эту задачу.
Например, если вы выберете Create Custom View в разделе Actions справа, появится окно, которое позволит вам настроить вид журнала.
Вы можете выбрать фильтрацию по конкретным типам уровня событий (например, «Критическое», «Ошибка» или «Предупреждение») и с несколькими журналами событий, такими как «Приложение» и «Система».
Далее в этой форме вы можете выбрать добавление дополнительных фильтров, таких как ключевые слова, имена пользователей или компьютеры (если вы отслеживаете другие компьютеры в сети).
Вам также не нужно фильтровать по всему типу журнала событий, но также по отдельным источникам. Вы можете выбрать любое количество процессов и приложений Windows.Ваше пользовательское представление будет содержать только события, связанные с ними, и ничего больше.
Помимо создания настраиваемого журнала событий, вы также можете выполнить поиск в любом из выбранных журналов событий, выбрав Найти на правой панели действий.
Появится небольшое окно поиска, которое можно использовать для поиска по любому из полей на панели списка журнала событий. Каждый раз, когда вы выбираете Найти следующий , происходит переход к следующему событию в списке, соответствующему этому поиску.
Это особенно полезно, когда в журнале содержится много тысяч событий.Прокрутка всего этого займет много времени, поэтому использование инструмента «Найти» может очень помочь.
Вы также можете отсортировать журнал событий по любому полю, выбрав это поле. Это поле будет отсортировано в алфавитном порядке.
Использование средства просмотра событий Windows 10
Когда люди впервые начинают пытаться использовать средство просмотра событий в Windows 10, это может показаться немного подавляющим. При таком большом количестве событий в журнале и нескольких типах журналов нелегко понять, где искать, чтобы начать устранение неполадок.Но как только вы узнаете, что означают типы журналов и где найти конкретные ошибки, использовать средство просмотра событий на самом деле довольно просто.
Как подробно просмотреть журналы событий в Windows 10 с помощью полного просмотра журнала событий
Программа просмотра журнала событий по умолчанию в Windows 10 очень эффективна в том, что она намеревается делать, но не делает все, что может потребоваться от такого орудие труда. И это нормально, потому что в основе лежит то, что в любом случае нужно большинству людей, но для нас, которым требуется больше, как насчет проверки Full Event Log View ? Что нам нравится в представлении полного журнала событий, так это то, что он позволяет пользователю просматривать всю информацию, относящуюся к событиям в Windows 10, и отображается в более удобной настройке.Это потому, что пользовательский интерфейс легче понять, в большей степени, чем то, что вариант по умолчанию приносит в таблицу. Инструмент позволяет вам просматривать события вашего локального компьютера, события удаленного компьютера в вашей сети, а также события, хранящиеся в файлах .evtx.
Люди могут использовать эту программу для доступа к подробным сведениям о событиях на локальных или удаленных машинах без каких-либо проблем. Даже если события хранятся в файлах .evtx, этот инструмент выполняет свою работу независимо, и это довольно круто. Теперь мы должны указать, что это портативное программное обеспечение, поэтому оно не требует дополнительных DLL для работы.Это также означает, что независимо от того, где вы находитесь и какую бы машину Windows вы ни использовали, она будет работать до тех пор, пока поблизости находится полный журнал событий.
Использование полного просмотра журнала событий для просмотра журналов событий Windows
Использование этого инструмента просмотра полного журнала событий для просмотра журналов Windows очень просто, но если вы все еще не верите, продолжайте читать, поскольку мы разбиваем его, чтобы все понимали :
- Открыть в первый раз
- Сохранить и скопировать выбранные элементы
- Просмотр
- Опции
Поговорим об этом подробнее.
Читать : Как просмотреть и удалить сохраненные журналы средства просмотра событий в Windows 10.
1] Открыть в первый раз
Имейте в виду, что после первого открытия инструмента, если есть в вашей системе Windows 10 уже есть много журналов событий, загрузка может занять некоторое время. У нас было более 20 000 журналов, что является доказательством того, почему нам нужно всегда очищать нашу систему от нежелательных файлов, поскольку они замедляют работу компьютера.
Прочтите : используйте средство просмотра событий для проверки несанкционированного использования компьютера с Windows 10.
2] Сохранение и копирование выбранных элементов
Простого CTRL + A достаточно для выбора всех элементов, затем CTRL + C для копирования. Чтобы сохранить, просто нажмите CTRL + S, и все. Теперь, если вы человек-мышь, нажмите «Изменить», затем выберите вариант «Выбрать все» и «Копировать выбранные элементы».
Для сохранения выберите «Файл» в верхнем меню и выберите «Сохранить выбранные элементы». Из того же раздела пользователь может выбрать источник данных, если пожелает. Кроме того, они могут нажать F7 с клавиатуры, чтобы перейти в этот раздел.
Прочтите : Как создать пользовательские представления в средстве просмотра событий в Windows 10.
3] Просмотр
В этом разделе полного журнала событий пользователь может многое сделать. Пользователи могут отображать линию сетки, всплывающие подсказки и даже столбцы с автоматическим размером. Более того, если вы хотите создать HTML-отчет по всем или только выбранным элементам, это тоже возможно.
Чтение : Мониторинг файлов журнала событий Windows, проверка с помощью утилиты SnakeTail Windows tail.
4] Опции
В разделе опций пользователь может многое сделать. Люди могут изменить способ просмотра времени, автообновление, выбрать другой шрифт и многое другое. Можно также выбрать запуск дополнительных параметров, в которых, среди прочего, можно выбрать уровни событий.
В целом нам нравится то, что предлагает полный журнал событий, и пока что это неплохо. Если вы относитесь к тому типу людей, которые заботятся о легком просмотре журналов событий, то это для вас.
Скачать полный журнал событий прямо с официального сайта.
Связанные материалы, которые обязательно вас заинтересуют:
- Как очистить журнал событий в Windows 10
- Расширенный просмотрщик событий для Windows из Technet
- Диспетчер журнала событий и программное обеспечение проводника журнала событий.
Как получить журналы устройств Windows с компьютера Windows
Журналы устройств Windows представляют собой подробные отчеты о важных аппаратных и программных действиях, которые создаются и сохраняются Windows и некоторыми специальными приложениями.Журналы устройств Windows можно получить с ПК и телефона с Windows с помощью таких инструментов, как Event Viewer и Field Medic.
Он используется администраторами для диагностики любых проблем на устройстве или в установленных приложениях. Это могут быть полезные данные для будущих событий устранения неполадок, таких как сбой приложения или ошибки системы и безопасности Windows.
Получение журналов ПК с Windows с помощью средства просмотра событий Windows
Windows Event Viewer — это инструмент мониторинга, который показывает информацию о приложениях, системе, настройках и событиях, связанных с безопасностью, которые можно использовать для устранения неполадок и прогнозирования любых будущих проблем.Журналы устройств Windows 8.1 и Windows 10 можно собирать с помощью средства просмотра событий.
Вы можете открыть программу просмотра событий через командную строку,
- Открыть окно «Выполнить» с помощью ярлыка Windows + R.
- Введите «cmd» и нажмите Enter, чтобы открыть окно командной строки.
- Введите в командной строке «eventvwr» и нажмите «Ввод».
Или можно получить доступ через,
Пуск> Панель управления> Система и безопасность> Администрирование> Просмотр событий.
В средстве просмотра событий выберите тип журнала, который вы хотите просмотреть. Windows хранит пять типов журналов событий: приложение, безопасность, настройка, система и перенаправленные события.
- Приложение: регистрирует события, связанные с приложениями, установленными на устройстве.
- Безопасность: регистрирует данные на основе политики аудита устройства, таких событий, как попытки входа в систему и доступ к ресурсам. Установка
- : регистрирует события во время установки Windows. Система
- : регистрирует информацию о системных изменениях, изменениях устройств, драйверах устройств и т. Д.
- Перенаправленные события: это журналы других компьютеров в той же сети, что и «компьютер-сборщик». эти журналы находятся на компьютере-сборщике.
Средство просмотра событий регистрирует такие данные, как ошибка, предупреждение, информация, аудит успеха и аудит отказов.
журналов MDM в средстве просмотра событий Windows
Выберите «Журнал приложений и служб> Microsoft> Windows> DeviceManagement-Enterprise-Diagnostics-Provider».
Примечание: Чтобы включить журналы отладки в средстве просмотра событий, установите флажок «Показать журналы аналитики и отладки» в меню «Просмотр».
Для сбора журналов администратора
- Щелкните правой кнопкой мыши узел «Администратор» и выберите «Сохранить все события как».
- Выберите расположение и имя файла и нажмите «Сохранить».
- Выберите «Показать информацию для этих языков» и выберите «Английский (США)».
- Щелкните «ОК».
Для сбора журналов отладки
Щелкните правой кнопкой мыши узел «Отладка» и выберите «Включить журнал», чтобы включить ведение журнала отладки.
- Щелкните правой кнопкой мыши узел «Отладка» и выберите «Сохранить все события как».
- Выберите расположение и имя файла и нажмите «Сохранить».
- Выберите «Показать информацию для этих языков» и выберите «Английский (США)».
- Щелкните «ОК».
Журналы MDM хранятся в этом месте для устройств под управлением Windows 10 (v1511 +)
Журналы событий Windows Phone с ПК с Windows
В отличие от ПК с Windows, нет такого сложного инструмента, как Event Viewer, для сбора журналов Windows phone, но его можно создать вручную с помощью приложения «Field Medic» в Windows Phone 10 и 8.1.
- Загрузите и установите приложение «Field Medic» из Microsoft Store.
- Откройте приложение, нажмите «Дополнительно» и настройте способ регистрации события.
- Щелкните «Начать ведение журнала», и после его запуска запустите приложения, в которых вы хотите устранить неполадки. События регистрируются в новом отчете. Например, воспроизвести сбой приложения после начала записи в средстве просмотра событий.
- Нажмите «Остановить ведение журнала» после завершения операции.
- Добавьте подходящий «Заголовок отчета» и в поле «Добавьте сюда шаги воспроизведения» укажите все шаги, которые вы выполнили между запуском и остановкой регистрации.Щелкните значок дискеты, чтобы сохранить отчет.
- Нажмите «Просмотр отчетов», чтобы просмотреть отчеты, созданные с помощью этого приложения.
- Используйте USB-кабель для подключения телефона к ПК.
- На ПК выберите Windows Phone> Телефон> Документы> Врач> Отчеты.
- Скопируйте нужные отчеты и сделайте их zip-файлом на случай, если вы захотите передать этот документ. Или вы можете перенести логи прямо с телефона. Журналы можно найти в: Это устройство> Документы> Полевой врач> отчеты> папка.
На ПК должна быть установлена та же ОС, что и на телефоне, к которому он подключен.
Windows — Полное руководство по ведению журнала
Журналы — это записи событий, которые происходят на вашем компьютере человеком или запущенным процессом. Они помогают отслеживать, что произошло, и устранять проблемы.
Журнал событий Windows содержит журналы из операционной системы и приложений, таких как SQL Server или Internet Information Services (IIS).Журналы используют структурированный формат данных, что упрощает их поиск и анализ. Некоторые приложения также записывают файлы журналов в текстовом формате. Например, журналы доступа IIS.
В этой статье исследуются интерфейс и функции программы просмотра событий , а также представлены журналы других основных приложений и служб. Примеры предоставлены, чтобы дать вам полное представление о том, как события мониторинга могут помочь вам управлять вашими системами для обеспечения работоспособности и безопасности.
Журналы событий Windows
Средство просмотра событий Windows отображает журналы событий Windows.Используйте это приложение для просмотра журналов и навигации по ним, поиска и фильтрации определенных типов журналов, экспорта журналов для анализа и многого другого. Мы покажем вам, как получить доступ к средству просмотра событий Windows, и продемонстрируем доступные функции.
Запуск программы просмотра событий Windows
Доступ к средству просмотра событий Windows Server 2019можно получить несколькими способами:
- Панель управления Windows
- Диспетчер сервера
- Центр администрирования Windows
- Управление компьютером
- Услуги для компонентов
- Командная строка
Панель управления Windows
Панель управления— это стандартный компонент Windows для просмотра и изменения настроек системы.Его можно найти в версиях Windows Server и Windows для настольных ПК. Для доступа к средству просмотра событий:
- Открыть Панель управления
- Нажмите Администрирование
- Дважды щелкните Средство просмотра событий
Диспетчер сервера
Консоль Server Manager позволяет управлять настройками на локальном сервере и на удаленных серверах. Для доступа к средству просмотра событий из диспетчера сервера:
- Открыть Диспетчер сервера
- Открыть Инструменты > Средство просмотра событий
Центр администрирования Windows
Windows Admin Center — это приложение на основе браузера для управления серверами, кластерами, настольными компьютерами и другими компонентами инфраструктуры.Чтобы получить доступ к средству просмотра событий из центра администрирования Windows:
- Откройте Windows Admin Center в поддерживаемом браузере.
- Нажмите События
Управление компьютером
Консоль управления компьютером обеспечивает доступ к административным задачам на локальном или удаленном сервере. Чтобы открыть средство просмотра событий из управления компьютером:
- Открыть Управление компьютером
- Нажмите Средство просмотра событий
Служба компонентов Windows
Еще одно встроенное приложение — диспетчер служб компонентов Windows, который позволяет нам настраивать приложения DCOM, работающие в Windows.Средство просмотра событий Windows также доступно из диспетчера служб компонентов:
- Открыть Службы компонентов
- Нажмите Средство просмотра событий
Командная строка
Наконец, вы можете открыть программу просмотра событий прямо из командной строки. Для этого:
- Откройте командную строку
- Тип: eventvwr
Использование интерфейса средства просмотра событий Windows
Event Viewer имеет интуитивно понятный пользовательский интерфейс.Главный экран разделен на три части:
- Панель навигации
- Панель деталей
- Панель действий
Вы можете создавать сводные и настраиваемые представления. Мы поможем вам выбрать эти варианты.
Панель навигации
Панель навигации — это место, где вы выбираете журнал событий для просмотра. По умолчанию существует пять категорий журналов Windows:
- Приложение — информация, регистрируемая приложениями, размещенными на локальном компьютере.
- Безопасность — Информация, связанная с попытками входа в систему (успешными и неудачными), повышенными привилегиями и другими контролируемыми событиями.
- Setup — Сообщения, генерируемые при установке и обновлении операционной системы Windows. Если система Windows является контроллером домена, эти сообщения также регистрируются здесь. Система
- — сообщения, генерируемые операционной системой Windows.
- Перенаправленные события — события, перенаправленные другими компьютерами, когда локальный компьютер работает как центральный подписчик.
Существует также раздел для журналов приложений и служб, включая категории для событий оборудования, событий Internet Explorer и Windows PowerShell.
Панель навигации средства просмотра событий:
Панель деталей
Когда открыто средство просмотра событий, на панели сведений отображаются обзор и сводка. Сводные обзоры мы обсудим позже. Выберите элемент на панели навигации, чтобы просмотреть список событий.
Записи событий перечислены по умолчанию в хронологическом порядке, а самые последние события находятся вверху. Щелкните заголовок любого столбца, чтобы отсортировать события по этому полю в порядке возрастания или убывания. При втором щелчке по заголовку того же столбца порядок сортировки меняется на противоположный.Символ или обратная вставка указывает поле сортировки и направление сортировки.
Каждое событие имеет серьезность Уровень :
Панель подробностей средства просмотра событий, показывающая ошибки и предупреждения:
Щелкните событие, чтобы просмотреть подробную информацию. В этом примере мы можем видеть источник выделенного события (TerminalServices-Printers), а также дату и время, когда оно произошло. На вкладке Общие отображается дополнительная информация: необходимо установить драйвер принтера.
Панель сведений средства просмотра событий Вкладка Общие:
Откройте вкладку Details , чтобы просмотреть необработанные данные о событии. Вы можете переключаться между Friendly View и XML View .
Вы можете щелкнуть событие правой кнопкой мыши и выбрать Копировать > Копировать детали как текст , а затем вставить результаты в текстовый редактор. Перечисляются системные поля, за которыми следует все событие в формате XML.
Для этой критической ошибки мы видим, что система неожиданно завершила работу.
Панель действий
Панель «Действия» обеспечивает быстрый доступ к действиям, доступным для текущего выбора. Панель действий разделена на две части:
- Действия, доступные для выбранного журнала области навигации
- Действия, доступные для выбранного события панели подробностей
В этом примере мы выбрали журнал приложения и событие 9027, Диспетчер окон рабочего стола :
Как видите, существует ряд возможных действий, когда активен конкретный журнал событий.Например, щелкните Фильтровать текущий журнал для поиска определенного события или группы событий. Всплывающее окно позволяет указать критерии запроса. Когда вы нажимаете OK , отфильтрованные результаты отображаются на панели «Подробности».
Вырубка больших бревен
Вы можете выполнить некоторую уборку в выбранном журнале с помощью действия Очистить журнал , если он становится слишком большим. Это удаляет все события, хранящиеся в журнале. Чтобы проверить размер файлов журнала, выберите Журналы Windows или Журналы приложений и служб на панели навигации. Число событий и Размер показаны на панели сведений.
Экспорт событий
Вы можете нажать Сохранить все события как или Сохранить все события в пользовательском представлении как (выбранные события) или Сохранить все события как (все события), чтобы экспортировать события из текущего журнала в файл событий. Файл событий имеет расширение EVTX.
Где бы вы использовали такую функциональность? Предположим, вы хотите отправить состояние работоспособности вашей системы стороннему поставщику — вы можете предоставить им экспортированный файл событий.Или вы можете заархивировать свои журналы перед их удалением или отправить сохраненные журналы на централизованный резервный носитель. Пригодится сохранение журналов событий в файл событий. Администраторы щелкают Открыть сохраненный журнал и переходят к местоположению журнала, чтобы открыть сохраненный журнал.
Пользовательские просмотры
Event Viewer позволяет легко создавать собственные представления. Это обеспечивает быстрый доступ, если вас интересуют определенные типы событий или событий в зависимости от уровня серьезности.
Создать пользовательский вид:
- Выберите Пользовательские представления на панели навигации.
- Щелкните Создать настраиваемый вид на панели «Действия».
- Введите критерии для событий, которые будут включены в настраиваемый вид. В этом примере показано создание настраиваемого представления для сбора критических событий и событий ошибок для служб среды выполнения .NET, работающих на локальном компьютере.
- Нажмите ОК
- Введите имя и Описание и выберите место для пользовательского представления.
- Нажмите ОК
Ваш пользовательский вид теперь доступен.
Подобно сохранению журналов в файле событий, вы можете экспортировать пользовательские представления.
- Выберите пользовательский вид на панели навигации.
- Щелкните Экспорт пользовательского представления на панели «Действия».
- Введите имя XML-файла, который нужно создать для пользовательского представления.
XML-файл можно импортировать в программу просмотра событий в другой системе, щелкнув Импортировать настраиваемый вид и перейдя к местоположению файла.
Сводные просмотры
Средство просмотра событий (локальное) — это верхний узел на панели навигации.Если этот параметр выбран, Обзор и Сводка отображаются на панели сведений.
- Сводка событий администрирования отображает итоги для всех типов событий в течение недели.
- Недавно просмотренные узлы отображает историю просмотренных узлов в хронологическом порядке. Дважды щелкните узел, чтобы открыть местоположение.
- Сводка журнала отображает основные свойства каждого файла журнала. Дважды щелкните, чтобы открыть события для журнала.
Рассматривая этот пример, за последний час было обнаружено шесть ошибок, а количество ошибок за последнюю неделю составило 18.Щелкните + , чтобы развернуть список Ошибка :
Дважды щелкните ошибку, чтобы открыть ее на панели сведений.
Журналы других приложений
В Windows есть и другие журналы с собственными механизмами просмотра событий:
- DNS-менеджер
- Менеджер отказоустойчивого кластера
- Доступ к IIS
- История планировщика заданий
- Служба компонентов Windows
Менеджер DNS
Если Windows Server настроен как сервер службы доменных имен (DNS), устанавливается DNS Manager .В небольших сетях это обычно сервер домена Active Directory.
DNS Manager имеет собственный список событий:
Менеджер отказоустойчивого кластера
Windows Server Failover Clustering Служба позволяет двум или более серверам Windows работать как кластер — отказоустойчивая конфигурация, в которой отказ физического оборудования одного сервера автоматически обнаруживается и заменяется другим сервером. Служба отказоустойчивой кластеризации Windows Server автоматически перенаправляет весь сетевой трафик на работоспособный экземпляр, создавая высокодоступную среду.В кластере приложения подключаются к общей точке доступа — виртуальному IP-адресу или имени кластера — и Windows направляет весь трафик на правильный узел. Когда все же происходит сбой, приложения продолжают работать в обычном режиме. Отказоустойчивая кластеризация Windows Server используется в качестве основы современных решений высокой доступности для SQL Server, таких как AlwaysOn Availability Groups .
Диспетчер отказоустойчивого кластера — это встроенное приложение Windows со своим собственным средством просмотра событий. С помощью этого средства просмотра событий системные администраторы могут устранять неполадки, когда их кластер выходит из строя или перестает функционировать должным образом.На следующем снимке экрана показан узел средства просмотра событий диспетчера кластеров на панели навигации. При выборе этого узла будут отображаться события, связанные с кластером.
Журналы доступа IIS
Журналы доступа Internet Information Services содержат информацию о запрошенных URI и статусе, показывающем, был ли успешно доставлен ответ. Он записывает эти журналы в виде файлов в расширенном формате журнала W3C. Этот формат представляет собой тип значений, разделенных запятыми (CSV). Местоположение файла журнала указывается в параметрах ведения журнала диспетчера IIS.По умолчанию это расположение:
% SystemDrive% \ inetpub \ logs \ LogFiles
Например, вот файл журнала на C: с W3SVC1 в качестве виртуального хоста и u_ex150428 в качестве имени файла, закодированного с датой 2015-04-28:
.C: \ inetpub \ logs \ LogFiles \ W3SVC1u_ex150428.log
Вот выдержка из файла журнала. Определение столбца находится в комментарии. Запрос / manager / html вернул код статуса 404 , поскольку страница не существует.
# Программное обеспечение: Microsoft Internet Information Services 7.5 # Версия: 1.0 # Дата: 2015-04-28 12:12:05 # Поля: дата время s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip 2015-04-28 02:51:38 10.211.14.109 GET / manager / html - 80 - 222.186.56.21 Mozilla / 5.0 + (совместимый; + MSIE + 10.0; + Windows + NT + 6.2; + WOW64; + Trident / 6.0) ) - 404 0 64 4850
Журналы истории планировщика заданий
Планировщик задач запускает фоновые задачи и приложения по расписанию, как и подсистема cron в Linux.Примером может служить сценарий ночного резервного копирования, который выполняет резервное копирование локальных баз данных SQL Server.
С каждой задачей связаны исторические события, которые можно просмотреть на панели сведений планировщика заданий:
Вкратце
Windows и связанные приложения записывают различные события в несколько журналов.