Windows

Лог ошибок windows 10: Как посмотреть журнал событий в Windows 10

21.12.2004

Содержание

Как посмотреть журнал ошибок в windows 10

Как посмотреть журнал событий в Windows 10?

С помощью журнала событий в Windows пользователь может ознакомиться с теми событиями, которые происходили в операционной системе, а это в том числе: ошибки, сбои, неполадки и т.д. Как открыть журнал событий в Windows 10? Ответ на указанный вопрос знают не все пользователи, поэтому мы подготовили эту простую инструкцию.

Окно «Выполнить»

Нужно запустить окно «Выполнить». Как это сделать? Например, можно навести курсор мыши на кнопку «Пуск», нажать ПКМ и выбрать в меню пункт «Выполнить».

Есть и другой путь — нажать Win+R на клавиатуре.

Когда окно будет запущено, укажите команду eventvwr.msc, после чего кликните по кнопке ОК.

Журнал событий был запущен.

Поиск по Windows

Нажмите на иконку поиска, что расположена на панели задач.

Укажите поисковый запрос просмотр событий, после чего появится одноименное приложение. Нажмите по нему левой клавишей мыши для запуска.

Панель управления

Нажмите Win+X на клавиатуре, будет открыто меню быстрого доступа.

В нем выберите строку «Панель управления».

Укажите «Крупные значки», а затем кликните по строке «Администрирование».

Осталось только выбрать пункт «Просмотр событий».

Командная строка

Можно открыть журнал событий и через командую строку.

Наводите курсор на кнопку «Пуск», нажимаете на правую клавишу мыши. Появляется меню, здесь нажимаете «Панель управления» (PowerShell на других версиях Windows).

Командная стока запущена, вам необходимо указать команду eventvwr и нажать Enter на клавиатуре.

Видим запущенный журнал событий.

Какой способ использовать, решать только вам.

Уважаемые пользователи! Если наш сайт вам помог или что-то в нем не понравилось, будем рады, если вы оставите комментарий. Заранее большое спасибо.

Просмотр «Журнала ошибок» в Windows 10

Во время работы операционной системы, как и любого другого программного обеспечения, периодически возникают ошибки. Очень важно уметь анализировать и исправлять подобные проблемы, дабы в будущем они не появлялись снова. В ОС Windows 10 для этого был внедрен специальный «Журнал ошибок». Именно о нем мы и поговорим в рамках данной статьи.

«Журнал ошибок» в Виндовс 10

Упомянутый ранее журнал является лишь небольшой частью системной утилиты «Просмотр событий»

, которая по умолчанию присутствует в каждой версии Windows 10. Далее мы разберем три важных аспекта, которые касаются «Журнала ошибок» — включение логирования, запуск средства «Просмотр событий» и анализ системных сообщений.

Включение логирования

Для того чтобы система могла записывать все события в журнал, необходимо включить его. Для этого выполните следующие действия:

  1. Нажмите в любом пустом месте «Панели задач» правой кнопкой мышки. Из контекстного меню выберите пункт «Диспетчер задач».

В открывшемся окне перейдите во вкладку «Службы», а затем на самой странице в самом низу нажмите кнопку «Открыть службы»

.

Далее в перечне служб нужно найти «Журнал событий Windows». Убедитесь, что она запущена и работает в автоматическом режиме. Об этом должны свидетельствовать надписи в графах «Состояние» и «Тип запуска».

После этого остается проверить, активирован ли на компьютере файл подкачки. Дело в том, что при его выключении система попросту не сможет вести учет всех событий. Поэтому очень важно установить значение виртуальной памяти хотя бы 200 Мб. Об этом напоминает сама Windows 10 в сообщении, которое возникает при полной деактивации файла подкачки.

О том, как задействовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Ознакомьтесь с ней при необходимости.

С включением логирования разобрались. Теперь двигаемся дальше.

Запуск «Просмотра событий»

Как мы уже упоминали ранее, «Журнал ошибок» входит в состав стандартной оснастки «Просмотр событий». Запустить ее очень просто. Делается это следующим образом:

  1. Нажмите на клавиатуре одновременно клавишу «Windows» и «R».
  2. В строку открывшегося окна введите eventvwr.msc и нажмите «Enter» либо же кнопку «OK» ниже.

В результате на экране появится главное окно упомянутой утилиты. Обратите внимание, что существуют и другие методы, которые позволяют запустить «Просмотр событий»

. О них мы в деталях рассказывали ранее в отдельной статье.

Анализ журнала ошибок

После того как «Просмотр событий» будет запущен, вы увидите на экране следующее окно.

В левой его части находится древовидная система с разделами. Нас интересует вкладка «Журналы Windows». Нажмите на ее названии один раз ЛКМ. В результате вы увидите список вложенных подразделов и общую статистику в центральной части окна.

Для дальнейшего анализа необходимо зайти в подраздел «Система». В нем находится большой список событий, которые ранее происходили на компьютере. Всего можно выделить четыре типа событий: критическое, ошибка, предупреждение и сведения. Мы вкратце расскажем вам о каждом из них. Обратите внимание, что описать все возможные ошибки мы не можем просто физически. Их много и все они зависят от различных факторов. Поэтому если у вас не получится что-то решить самостоятельно, можете описать проблему в комментариях.

Критическое событие

Данное событие помечено в журнале красным кругом с крестиком внутри и соответствующей припиской. Кликнув по названию такой ошибки из списка, немного ниже вы сможете увидеть общие сведения происшествия.

Зачастую представленной информации достаточно для того, чтобы найти решение проблемы. В данном примере система сообщает о том, что компьютер был резко выключен. Для того чтобы ошибка не появлялась вновь, достаточно просто корректно выключать ПК.

Для более продвинутого пользователя есть специальная вкладка «Подробности», где все событие представлены с кодами ошибок и последовательно расписаны.

Ошибка

Этот тип событий второй по важности. Каждая ошибка помечена в журнале красным кругом с восклицательным знаком. Как и в случае с критическим событием, достаточно нажать ЛКМ по названию ошибки для просмотра подробностей.

Если из сообщения в поле «Общие» вы ничего не поняли, можно попробовать найти информацию об ошибке в сети. Для этого используйте название источника и код события. Они указаны в соответствующих графах напротив названия самой ошибки. Для решения проблемы в нашем случае необходимо попросту повторно инсталлировать обновление с нужным номером.

Предупреждение

Сообщения данного типа возникают в тех ситуациях, когда проблема не носит серьезный характер. В большинстве случаев их можно игнорировать, но если событие повторяется раз за разом, стоит уделить ему внимание.

Чаще всего причиной появления предупреждения служит DNS-сервер, вернее, неудачная попытка какой-либо программы подключиться к нему. В таких ситуациях софт или утилита попросту обращается к запасному адресу.

Сведения

Этот тип событий самый безобидный и создан лишь для того, чтобы вы могли быть в курсе всего происходящего. Как понятно из его названия, в сообщение содержатся сводные данные о всех инсталлированных обновлениях и программах, созданных точках восстановления и т.д.

Подобная информация будет очень кстати для тех пользователей, которые не хотят устанавливать сторонний софт для просмотра последних действий Windows 10.

Как видите, процесс активации, запуска и анализа журнала ошибок очень прост и не требует от вас глубоких познаний ПК. Помните, что таким образом можно узнать информацию не только о системе, но и о других ее компонентах. Для этого достаточно в утилите «Просмотр событий» выбрать другой раздел.

Мы рады, что смогли помочь Вам в решении проблемы.

Помимо этой статьи, на сайте еще 11912 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Журнал ошибок Windows 10 — как посмотреть отчет

При работе с ОС Windows 10 у пользователей могут возникать аппаратные и программные сбои. Чтобы владельцы персонального компьютера смогли узнать, из-за чего произошли неполадки, разработчиками был создан специальный журнал ошибок Windows 10. В нем фиксируется история ошибок и сбоев, а также источник их возникновения. Зайти в журнал можно с помощью штатных инструментов ОС: командной строки или панели управления. Таким образом, многие пользователи спрашивают, как посмотреть логи в Windows 10?

Журнал событий Windows 10 — что это такое и для чего нужен

Журнал событий представляет собой средство диагностики и устранения неисправностей ОС. При возникновении ошибок, создается специальный лог-файл, куда записывается отчет о проблемном программном обеспечении или системном компоненте ОС.

Журнал событий Виндовс

Благодаря анализу сборщика событий можно узнать причины неправильной работы ОС. Для качественной диагностики персонального компьютера предусмотрено несколько логов: «Приложения», «Установка», «Безопасность» и «Параметры ОС». В каждом из них регистрируются код сбоя, дата и время, а также поврежденные файлы, которые вызывают ошибку.

Какие отчеты можно посмотреть в сборщике системных событий:

  • Отчет об инсталляции приложений, драйверов и утилит.
  • Состояние программных и аппаратных компонентов персонального компьютера.
  • Ошибки в работе системных служб и фоновых процессов ОС.
  • Недействительные ключи редактора реестра или поврежденные бинарные файлы.
  • Изменение параметров настроек сетевого подключения или беспроводной точки доступа.
  • Регистрация входа пользователя в учетную запись или аккаунт Microsoft.
  • Регистрация выхода пользователя из локальной учетной записи или аккаунта Microsoft.
  • Отключение брандмауэра или встроенного защитника Windows.
  • Отчеты о поврежденных системных компонентах критически важных файлов.
  • Установка обновлений и патчей безопасности.
  • Индексирование файлов и папок.
  • Регистрация о включении и отключении служб и фоновых процессов.
  • Регистрация подключения компьютера к беспроводной сети WiFi или WAN Miniport.
  • Регистрация вылетов системы в BSOD (синий экран смерти).

Важно! Журнал ошибок представляет собой лог файл, куда записывается информация о сбоях в работе ОС, которая поможет владельцу персонального компьютера найти и устранить неисправность.

В журнале событий содержится информация обо всех сбоях

Как открыть журнал, посмотреть ошибки и где он находится

Чтобы отыскать журнал, где хранятся отчеты об ошибках нужно выполнить следующие действия:

  1. Требуется перейти на рабочий стол и найти ярлык с наименованием «Компьютер.
  2. После этого откроется «Проводник», где следует выбрать раздел локальных дисков.
  3. Пользователю нужно выбрать системный том и найти директорию «Windows».
  4. В данной папке следует отыскать каталог с наименованием «System32».
  5. Затем требуется прокрутить список вниз и найти папку «Winevt».
  6. В директории «Log» будут находиться отчеты, которые имеют расширение «EVTX».

Чтобы владелец персонального компьютера смог проверить отчеты, необходимо воспользоваться специальной штатной утилитой «eventvwr». Только с помощью данной утилиты можно осуществить просмотр отчетов и узнавать из-за чего произошли неполадки.

К сведению! Открыть файлы с расширением «EVTX» с помощью встроенного текстового редактора невозможно.

При помощи консоли

Открыть журнал сборщика событий можно с помощью консоли системной отладки – PowerShell:

  1. Необходимо зайти в стартовое окно и в поисковой строке ввести исполняемый код «PowerShell».
  2. После этого в диалоговом окне выбрать пункт «Запустить с расширенными правами доступа».
  3. После загрузки консоли отладки следует ввести исполняемую команду с наименованием «eventvwr».
  4. Затем на экране отобразится консоль сборщика событий.

Открытие сборщика производится с помощью PowerShell

Через панель управления

Посмотреть логи в Windows 10 можно через классическую панель управления и сделать это можно следующим образом:

  1. Необходимо войти в стартовое меню и в поисковой строке прописать запрос «Панель управления».
  2. Далее открыть пункт «Безопасность» и прокрутить список вниз.
  3. Затем нужно перейти в пункт «Администрирование».
  4. В списке штатных инструментов найти компонент «События».
  5. Далее откроется окно «Журнал событий», где следует выбрать пункт «Посмотреть события».
  6. В левой колонке появится список из нескольких пунктов: «Программы», «Установка» и «Параметры ОС», «Перенаправленные логи». Чтобы посмотреть отчет, нужно щелкнуть по одному из компонентов и в главном окне выбрать пункт «Подробнее».
Функция поиска через меню «Пуск»

Для запуска процесса необходимо открыть стартовое меню и кликнуть мышкой по поисковой строке. Далее прописать ключевой запрос «Журнал событий», после чего в верхней части экрана появятся результаты поиска.

Где и что находится в просмотре событий

Многие спрашивают, как посмотреть ошибки в Windows 10 и что находится в журнале. Вот ответ на последний вопрос:

  • «Источник события». Здесь находится информация о программном обеспечении или драйвере, из-за которого произошел сбой.
  • «Код». Код системного события, который необходим для устранения неисправностей. Данный код позволит узнать, что послужило тому, что ОС перестала правильно функционировать.
  • «Степень». Здесь появляется информация о том, какой уровень угрозы создала ошибка и является ли она критической.
  • «Дата». Регистрация времени, когда произошел сбой.

Полный отчет о произошедшем сбое, который поможет установить причину неправильной работы ОС

Анализ журнала ошибок

Как анализировать журнал ошибок в ОС Виндовс 10:

  1. После того, как пользователь открыл журнал и выбрал один из подразделов: «Приложения», «Установка» и «Параметры ОС», нужно выбрать определенный отчет. Для ориентира рекомендуется использовать столбец «Дата и время».
  2. Затем нужно выделить определенный отчет, который помечен, как «Сведенья».
  3. Далее требуется кликнуть по нему правой кнопкой мыши и нажать «Свойства».
  4. Здесь будет указана информация об источнике события, уровне опасности и коде операции. В новом диалоговом окне появится информация о том, чтобы произошло с ОС, уровень критической опасности и код операции.
  5. Для того, чтобы увидеть полные сведенья нужно кликнуть по разделу «Подробности».
  6. В пункте «Инициализация служб» будет представлена информация о том, какие файлы программного обеспечения повреждены.

Использование фильтров и настраиваемых представлений

Журнал сборщика событий регистрирует абсолютно все последние неполадки, которые произошли: от неправильного подключения к интернет-сети до удаления ненужного программного обеспечения. Чтобы оптимизировать сбор событий рекомендуется использовать специальные фильтры и настраивать представления.

  1. Необходимо открыть журнал событий через панель управления.
  2. Требуется перейти в стартовое меню и в поисковой строке прописать ключевой запрос.
  3. После того, как консоль будет загружена, в правой колонке нужно щелкнуть по компоненту «Журналы».
  4. Далее открыть один из логов и в левой колонке выбрать пункт «Использовать фильтры представлений».
  5. Далее в диалоговом окне нужно выбрать пункт «Фильтры».
  6. В поле «Дата» указать пункт «Любое время».
  7. В строке «Уровень события» отметить нужные чекбоксы: «Критические», «Важные», «Ошибки» или «Сведенья».
  8. В параметре «Источник» требуется выбрать те компоненты, которые необходимо проверять.
  9. В поле «Ключевые слова» следует задать параметры, которые будет определять сборщик ошибок.
  10. В заключении нажать на кнопку «Применить».

Фильтры представлений помогут получать только важные отчеты

Как почистить журнал событий

Очистка журнала производится с помощью консоли отладки или командной строки. Для этого нужно использовать специальный скрипт, который произведет удаление всех логов.

  1. Нужно запустить консоль отладки или командную строку с расширенными правами доступа.
  2. Когда появится главное окно, нужно прописать исполняемый код с наименованием «Clear-EventLog –LogName (наименование журнала) Install».
  3. Чтобы очистить все логи, нужно использовать исполняемый скрипт: «Get-EventLog -LogName (наименование журнала) | ForEach < Clear-EventLog $_.Log.

Очистка журнала производится через консоль PowerShell

Журнал событий Windows 10 позволяет пользователям персональных компьютеров получить информацию обо всех критически важных системных событиях. С его помощью можно устранить неполадки в работе программного обеспечения и системных компонентов. Открыть журнал можно с помощью консоли отладки или стартового меню. Чтобы получать только важные уведомления, следует настраивать фильтры представлений.

Просмотр и анализ логов RDP подключений в Windows

В этой статье мы рассмотрим, как получить и проанализировать логи RDP подключений в Windows. Логи RDP подключений позволяют администраторам терминальных RDS серверов/ферм получить информацию о том, какие пользователи подключались к серверу, когда был выполнен вход и когда сеанс завершен, с какого устройства (имя или IP адрес) подключался пользователь.

Описанные методики получения и исследования RDP логов применима как к Windows Server 2022/2019/2016/2012R2, так и для десктопных версий Windows 11, 10, 8.1 c.

События RDP подключений в журналах Windows (Event Viewer)

Когда пользователь удаленно подключается к RDS серверу или удаленному столу Windows (RDP), информация об этих событиях сохраняется в журналы Windows. Рассмотрим основные этапы RDP подключения и связанные с ними события в Event Viewer.

  1. Network Connection
  2. Authentication
  3. Logon
  4. Session Disconnect/Reconnect
  5. Logoff

Network Connection: – событие установления сетевого подключение к серверу от RDP клиента пользователя. Событие с EventID – 1149 (Remote Desktop Services: User authentication succeeded). Наличие этого события не свидетельствует об успешной аутентификации пользователя. Этот журнал находится в разделе Applications and Services Logs -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager -> Operational. Включите фильтр по данному событию (ПКМ по журналу-> Filter Current Log -> EventId 1149).

С помощью PowerShell моно вывести список всех попыток RDP подключений:

$RDPAuths = Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath '<QueryList><Query><Select>*[System[EventID=1149]]</Select></Query></QueryList>'
[xml[]]$xml=$RDPAuths|Foreach{$_.ToXml()}
$EventData = Foreach ($event in $xml.Event)
{ New-Object PSObject -Property @{
TimeCreated = (Get-Date ($event.System.TimeCreated.SystemTime) -Format 'yyyy-MM-dd hh:mm:ss K')
User = $event.UserData.EventXML.Param1
Domain = $event.UserData.EventXML.Param2
Client = $event.UserData.EventXML.Param3
}
} $EventData | FT

В результате у вас получится список с историей всех сетевых RDP подключений к данному серверу. В событии содержится имя пользователя, домен (если используется NLA аутентификация, при отключенном NLA текст события выглядит иначе) и IP адрес компьютера пользователя.

Authentication: – успешная или неудачная аутентификация пользователя на сервере. Журнал Windows -> Security. Здесь нас могут интересовать события с EventID – 4624 (успешная аутентификация — An account was successfully logged on) или 4625 (ошибка аутентификации — An account failed to log on). Обратите внимание на значение LogonType в событии.

  • LogonType = 10 или 3 — при входе через терминальную службу RDP —.
  • LogonType = 7, значит выполнено переподключение к уже существующему RDP сеансу.
  • LogonType = 5 – событие RDP подключения к консоли сервера (в режиме mstsc.exe /admin)
Вы можете использовать события с ошибками аутентификации для защиты от удаленного перебора паролей через RDP. СВы можете автоматически блокировать на файерволе IP адреса, с которых выполняется подбор пароля, простым PowerShell скриптом (см. статью).

При этом имя пользователя содержится в описании события в поле Account Name, имя компьютера в Workstation Name, а имя пользователя в Source Network Address.

Обратите внимание на значение поля LogonID – это уникальный идентификатор сессии пользователя, с помощью которого можно отслеживать дальнейшую активность данного пользователя. Но при отключении от RDP сессии (disconnect) и повторного переподключения к той же сессии, пользователю будет выдан новый TargetLogonID (хотя RDP сессия осталась той же самой).

Вы можете получить список событий успешных авторизаций по RDP (событие 4624) с помощью такой команды PowerShell.

Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView

Logon: – RDP вход в систему, EventID – 21 (Remote Desktop Services: Session logon succeeded. Это событие появляется после успешной аутентификации пользователя. Этот журнал находится в разделе Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational. Как вы видите, здесь можно узнать идентификатор RDP сессии для пользователя — Session ID.

Событие с EventID – 21 (Remote Desktop Services: Shell start notification received) означает успешный запуск оболочки Explorer (появление окна рабочего стола в RDP сессии).

Session Disconnect/Reconnect – события отключения и переподключения к сессии имеют разные коды в зависимости от того, что вызвало отключение пользователя (отключение по неактивности, заданному в таймаутах для RDP сессий; выбор пункта Disconnect в сессии; завершение RDP сессии другим пользователем или администратором и т.д.). Эти события находятся в разделе журналов Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational. Рассмотрим RDP события, которые могут быть полезными:

  • EventID – 24 (Remote Desktop Services: Session has been disconnected) – пользователь отключился от RDP сессии.
  • EventID – 25 (Remote Desktop Services: Session reconnection succeeded) – пользователь переподключился к своей имеющейся RDP сессии на сервере.
  • EventID – 39 (Session <A> has been disconnected by session <B>) – пользователь сам отключился от своей RDP сессии, выбрав соответствующий пункт меню (а не просто закрыл окно RDP клиента). Если идентификаторы сессий разные, значит пользователя отключил другой пользователь (или администратор).
  • EventID – 40 (Session <A> has been disconnected, reason code <B>). Здесь нужно смотреть на код причины отключения в событии. Например:
    • reason code 0 (No additional information is available) – обычно говорит о том, что пользователь просто закрыл окно RDP клиента.
    • reason code 5 (The client’s connection was replaced by another connection) – пользователь переподключился к своей старой сессии.
    • reason code 11 (User activity has initiated the disconnect) – пользователь сам нажал на кнопку Disconnect в меню.

Событие с EventID – 4778 в журнале Windows -> Security (A session was reconnected to a Window Station). Пользователь переподключился к RDP сессии (пользователю выдается новый LogonID).

Событие с EventID 4779 в журнале Windows -> Security (A session was disconnected from a Window Station). Отключение от RDP сеанса.

Logoff: – выход пользователя из системы. При этом в журнале Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational регистрируется событие с EventID 23 (Remote Desktop Services: Session logoff succeeded).

При этом в журнале Security нужно смотреть событие EventID 4634 (An account was logged off).

Событие Event 9009 (The Desktop Window Manager has exited with code (<X>) в журнале System говорит о том, что пользователь инициировал завершение RDP сессии, и окно и графический shell пользователя был завершен.

EventID 4647 — User-initiated logoff

Получаем логи RDP подключений в Windows с помощью PowerShell

Ниже представлен небольшой PowerShell скрипт, который выгружает из журналов терминального RDS сервера историю всех RDP подключений за текущий день. В полученной таблице указано время подключения, IP адрес клиента и имя пользователя (при необходимости вы можете включить в отчет другие типы входов).\s]+)\s+.*’,’$1′
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N=’Username’;E={‘{0}\{1}’ -f $_.UserDomain,$_.UserName}} `
, @{N=’LogType’;E={
switch ($_.LogonType) {
2 {‘Interactive — local logon’}
3 {‘Network conection to shared folder)’}
4 {‘Batch’}
5 {‘Service’}
7 {‘Unlock (after screensaver)’}
8 {‘NetworkCleartext’}
9 {‘NewCredentials (local impersonation process under existing connection)’}
10 {‘RDP’}
11 {‘CachedInteractive’}
default {«LogType Not Recognised: $($_.LogonType)»}
}
}}

Можно экспортировать логи RDP подключений из журнала в CSV файл (для дальнейшего анализа в таблице Excel). Экспорт журнала можно выполнить из консоли Event Viewer (при условии что логи не очищены) или через командную строку:

WEVTUtil query-events Security > c:\ps\security_log.txt

Или с помощью PowerShell:

get-winevent -logname "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" | Export-Csv c:\ps\rdp-log.csv  -Encoding UTF8

Если ваши пользователи подключаются к RDS серверам через шлюз удаленных рабочих столов Remote Desktop Gateway, вы можете обрабатывать логи подключений пользователей по журналу Microsoft-Windows-TerminalServices-Gateway по EventID 302. Например, следующий PowerShell скрипт выведет полную историю подключений через RD Gateway указанного пользователя:

$rdpusername="kbuldogov"
$properties = @(
@{n='User';e={$_.Properties[0].Value}},
@{n='Source IP Adress';e={$_.Properties[1].Value}},
@{n='TimeStamp';e={$_.TimeCreated}}
@{n='Target RDP host';e={$_.Properties[3].Value}}
)
(Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-Gateway/Operational';ID='302'} | Select-Object $properties) -match $rdpusername

Другие события, связанные с подключениями пользователей на RD Gateway в журнале Microsoft-Windows-TerminalServices-Gateway:
  • 300The user %1, on client computer %2, met resource authorization policy requirements and was therefore authorized to connect to resource %4
  • 302The user %1, on client computer %2, connected to resource %4
  • 303The user %1, on client computer %2, disconnected from the following network resource: %4. Before the user disconnected, the client transferred %6 bytes and received %5 bytes. The client session duration was %7 seconds.

Список текущих RDP сессий на сервере можно вывести командой:

qwinsta

Команда возвращает как идентификатор сессии (ID), имя пользователя (USERNAME)и состояние (Active/Disconnect). Эту команду удобна использовать, когда нужно определить ID RDP сессии пользователя при теневом подключении.

Список запущенных процессов в конкретной RDP сессии (указывается ID сессии):

qprocess /id:157

Логи RDP подключений на клиентах Windows

Также вы можете изучать логи исходящих подключений на стороне RDP клиента. Они доступны в журнале событий Application and Services Logs -> Microsoft -> Windows -> TerminalServices-ClientActiveXCore -> Microsoft-Windows-TerminalServices-RDPClient -> Operation.

Например, событие с Event ID 1102 появляется, когда компьютер устанавливает подключение с удаленным RDS хостом Windows Server или компьютером с Windows 10/11 с включенной службой RDP (десктопные версии Windows также поддерживают несколько одновременных rdp подключений).

The client has initiated a multi-transport connection to the server 192.168.31.102.

Следующий RDP скрипт выведет историю RDP подключений на указанном компьютере:

$properties = @(
@{n='TimeStamp';e={$_.TimeCreated}}
@{n='LocalUser';e={$_.UserID}}
@{n='Target RDP host';e={$_.Properties[1].Value}}
)
Get-WinEvent -FilterHashTable @{LogName='Microsoft-Windows-TerminalServices-RDPClient/Operational';ID='1102'} | Select-Object $properties

Скрипт возвращает SID пользователей, которые инициировали RDP подключения на этом компьютере и DNS имена/IP адреса серверов, к которым подключались пользователи. Вы можете преобразовать SID в имена пользователей.

Также история RDP подключений пользователя хранится в реестре.

как создать, где находится, как правильно читать

Компания Microsoft в ходе обновления своих операционных систем часто меняет способы активации функций, к которым все пользователи привыкли. Зачастую даже опытным пользователям Windows сложно разобраться, где в Windows 10 включить лог загрузки операционной системы, чтобы после его можно было посмотреть и проанализировать. В рамках данной статьи рассмотрим, как в Windows 10 включить лог загрузки.


Оглавление: 
1. Зачем нужен лог загрузки
2. Где находится лог загрузки в Windows 10
3. Как включить лог загрузки в Windows 10
4. Как читать лог загрузки Windows 10

Зачем нужен лог загрузки

Многие пользователи вовсе не знают, что такое лог (или журнал) загрузки, и зачем он нужен. Если не вдаваться в детали, то лог загрузки — это простой текстовый файл, который содержит в себе информацию для анализа процесса старта компьютера и операционной системы.

Чаще всего лог загрузки необходим системным администраторам, чтобы понять, какие проблемы препятствуют загрузке операционной системы, вызывают те или иные ошибки при запуске программ или в процессе работы Windows. В логе загрузки отображается полный список загружаемых при старте компьютера драйверов и библиотек.

Где находится лог загрузки в Windows 10

В операционной системе Windows 10 лог загрузки располагается на системном диске в папке Windows. Файл называется ntbtlog.txt.

Обратите внимание: Как можно видеть, это обычный текстовый файл. Его можно открыть при помощи стандартного приложения “Блокнот” или других сторонних программ, которые позволяют работать с txt файлами.

Как включить лог загрузки в Windows 10

Чтобы текстовый файл ntbtlog.txt появился в папке Windows, нужно его сгенерировать. По умолчанию в Windows 10 отключен процесс создания данного файла при загрузке компьютера.

Включить создание файла журнала загрузки можно двумя способами:

  • Через настройки конфигурации системы. Чтобы это сделать, необходимо запустить утилиту “Конфигурация системы”. Для запуска этой утилиты нажмите на клавиатуре сочетание Win+R, чтобы открылось окошко “Выполнить”. В нем пропишите команду для запуска утилиты — msconfig. Откроется окно “Конфигурация систему”, где нужно сверху переключиться на вкладку “Загрузка” и далее в разделе “Параметры загрузки” установить галочку у пункта “Журнал загрузки”. После этого нажмите “Применить” и “ОК”, чтобы изменения вступили в силу. Появится сообщение с предложением перезагрузить компьютер. Нажмите “Перезагрузка”, чтобы сразу выполнить создание лога загрузки в папке Windows. В таком случае компьютер перезагрузится. Если нажать “Выход без перезагрузки”, тогда лог загрузки будет создан после следующей перезагрузки компьютера.
  • Через командную строку. Второй способ предлагает использование командной строки. Чтобы создать через нее лог загрузки, запустите командную строку от имени администратора и используйте в ней команду bcdedit. После этой команды в окне консоли командной строки появятся сведения обо всех операционных системах, установленных на компьютере, и их загрузочных записях. Если на компьютере установлена одна операционная система Windows 10 (как на примере на скриншоте), тогда будет отображаться два списка элементов — диспетчер загрузки и загрузка Windows. Необходимо обратиться к загрузке Windows, у которой имеется идентификатор current. Пропишите в командной строке следующее:
    bcdedit /set {current} bootlog Yes

    Важно: Если у вас идентификатор отличный от {current}, необходимо заменить на него часть команды, используемой выше.
    После выполнения этой команды необходимо перезагрузить компьютер, чтобы лог загрузки был создан в папке Windows.

Как читать лог загрузки Windows 10

Несмотря на то что лог загрузки — это текстовый документ исключительно для системных администраторов, что-то полезное из него может вынести и обычный пользователь.

В журнале загрузки указывается перед каждым из компонентов — был он исполнен или нет:

  • BOOTLOG_LOADED — означает, что драйвер был загружен без ошибок.
  • BOOTLOG_NOT_LOADED — указывает, что во время загрузки операционной системы старт данного драйвера был пропущен.

На основании этой информации можно сделать выводы о том, с какими драйверами на компьютере могут быть проблемы.

Загрузка…

Как в Windows 10 включить лог загрузки

При выполнении анализа процедуры загрузки иногда бывает очень важно получить полный список загружающихся и незагружающихся драйверов и библиотек. Использовать для этих целей специальные утилиты необязательно, получить список загружаемых программных компонентов можно средствами самой операционной системы. Список представляет собой обычный текстовый файл ntbtlog.tхt, сохраняемый в корневой системной папке Windows.

Как в Windows 10 включить лог загрузки

Есть два способа создания журнала загрузки Windows. Сначала самый простой. Нажатием Win + R вызовите диалоговое окошко запуска и выполните в нём команду msconfig. В открывшемся окне конфигурации системы переключитесь на вкладку «Загрузка» и установите птичку в чекбоксе «Журнал загрузки». Теперь нажмите «Применить» и «OK».

При этом появится окошко с предложением перезагрузить компьютер. Соглашаемся, выполняем перезагрузку, 

после чего идём в расположение C:/Windows, находим там текстовый файл ntbtlog

и открываем его Блокнотом или иным редактором. 

Второй способ чуть сложнее. Запустите от имени администратора командную строку и выполните в ней команду bcdedit. В консоли появится список всех ваших операционных систем и их загрузочных записей. У нас установлена только одна Windows 10, поэтому элементов списка будет два — диспетчер загрузки и загрузка Windows. Нам нужна вторая запись, а именно её идентификатор со значением {current}.

Тут же в командной строке выполните команду такого вида:bcdedit /set {Идентификатор} bootlog Yes

На место идентификатора подставьте его значение. В нашем примере это current (смотрите скриншот). Теперь выполните перезагрузку. Как и в предыдущем случае, журнал загрузки будет создан в папке Windows. Как понять из содержимого журнала, был ли загружен драйвер или нет? Очень просто. Запись BOOTLOG_LOADED указывает, что драйвер загрузился, запись BOOTLOG_NOT_LOADED будет указывать, что во время старта операционной системы загрузка драйвера была пропущена.


Где хранятся логи Windows 7?

Автор osipoffВремя чтения 4 мин.Просмотры 1Опубликовано

Где в Windows хранятся логи?

После нажатия комбинации “ Win+R и введите eventvwr. msc ” в любой системе Виндовс вы попадаете в просмотр событий. У вас откроется окно, где нужно развернуть Журналы Windows. В данном окне можно просмотреть все программы, которые открывались на ОС и, если была допущена ошибка, она также отобразится.

Как посмотреть отчет об ошибках в Windows 7?

Откройте меню Пуск, введите в поисковую строку gpedit. msc и нажмите Ввод. 3. В левом меню Редактора локальной групповой политики откройте: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Отчеты об ошибках Windows.

Где посмотреть логи ошибок Windows?

Открыть «Пуск»:

  1. Открыть «Средства администрирования» -> «Просмотр событий»
  2. В открывшемся окне выбрать «Просмотр событий» -> «Журналы Windows» -> «Система»
  3. Экспорт журнала …
  4. После нажатия ссылки «Сохранить все события как…» нужно выбрать путь и имя файла для сохраняемого журнала.

Где хранятся логи установки программ?

По умолчанию этот файл находится в каталоге %WINDIR%\Panther. В средстве просмотра событий отображается содержимое файла журнала.

Где найти журнал Windows?

– в строке поиска введите слово Панель;

  1. – в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Панель управления;
  2. – в диалоговом окне Все элементы панели управления нажмите Администрирование;
  3. – в диалоговом окне Администрирование нажмите Просмотр событий;

Как посмотреть логи входа в систему?

Просмотр событий входа в систему Нажмите значок поиска рядом с меню «Пуск», введите «Просмотр событий» и нажмите соответствующий результат в окне поиска. В окне «Просмотр событий» в левой панели перейдите в раздел «Журналы Windows» → «Безопасность». В центральной панели вы, вероятно, увидите ряд событий «Аудит успеха».

Где хранится журнал событий Windows 10?

Где находится журнал событий Windows Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Как посмотреть журнал событий Windows 7?

Приложение «Просмотр событий» можно открыть следующими способами:

  1. Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Администрирование» и из списка административных компонентов стоит выбрать «Просмотр событий»;
  2. Откройте «Консоль управления MMC».

Как посмотреть журнал системных ошибок?

– в строке поиска введите слово Панель;

  1. – в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Панель управления;
  2. – в диалоговом окне Все элементы панели управления нажмите Администрирование;
  3. – в диалоговом окне Администрирование нажмите Просмотр событий;

Где хранятся логи ошибок Windows 10?

Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы». Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Как посмотреть лог ошибок Windows 10?

– в строке поиска введите слово Панель;

  1. – в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Панель управления;
  2. – в диалоговом окне Все элементы панели управления нажмите Администрирование;
  3. – в диалоговом окне Администрирование нажмите Просмотр событий;

Где хранятся журналы событий?

По умолчанию файлы журнала просмотра событий используют расширение . evt и находятся в %SystemRoot%\System32\Config папке. Имя файла журнала и сведения о расположении хранятся в реестре. Эту информацию можно изменить, чтобы изменить расположение файлов журнала по умолчанию.

Как посмотреть журнал событий приложений?

Просмотр журнала приложений Windows

  • На панели поиска введите средство просмотра событий, а затем выберите классическое приложение Просмотр событий.
  • В Просмотре событий разверните папку Журналы Windows и выберите журнал событий Приложение.

Где находится журнал Windows 10?

Перейдите в раздел «Система и безопасность», спуститесь вниз окна до пункта «Администрирование» и кликните «Просмотр журналов событий».

Где посмотреть журнал событий Windows 10?

– в строке поиска введите слово Панель;

  • – в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Панель управления;
  • – в диалоговом окне Все элементы панели управления нажмите Администрирование;
  • – в диалоговом окне Администрирование нажмите Просмотр событий;

Как посмотреть историю действий в Windows 10?

В Windows 10 выберите Начните , а затем выберите Параметры > конфиденциальности > история действий.

Как узнать кто заходил на компьютер по сети?

Делается это с помощью «WIN+R» и команды «eventvwr». В появившемся окне заходим в журналы Windows, пункт Безопасность. Здесь вы увидите огромный список различных событий.

Есть ли в Windows отчет о сбое?

Как найти отчеты о сбоях в Windows 10?

Чтобы просмотреть журналы сбоев Windows 10, такие как журналы ошибок синего экрана, просто нажмите «Журналы Windows».

  1. Затем выберите «Система» в разделе «Журналы Windows».
  2. Найдите и щелкните Ошибка в списке событий. …
  3. Вы также можете создать собственное представление, чтобы быстрее просматривать журналы сбоев. …
  4. Выберите период времени, который вы хотите просмотреть. …
  5. Выберите параметр По журналу.

Есть ли отчет о сбое Windows?

Поиск журналов ошибок Windows 10/11 с помощью средства просмотра событий. Когда ваше аппаратное или программное обеспечение системы дает сбой, зависает или зависает, операционная система создает и поддерживает запись в журнале сбоев, чтобы определить причины сбоев. Операционная система Windows поддерживает этот вход в систему просмотра событий.

Как узнать, почему мой компьютер вышел из строя?

Как узнать причину сбоя компьютера с помощью встроенных инструментов в Windows 10

  1. Введите «Надежность» в строке поиска Cortana и щелкните первый результат.…
  2. В случае сбоя или зависания Windows вы увидите красный крестик, обозначающий период сбоя. …
  3. Внизу вы увидите список с источником сбоя.

Как мне сломать мой компьютер Windows 10?

Выполнив эти шаги, вы можете использовать клавиатуру для преднамеренного сбоя компьютера, удерживая нажатой (правую) клавишу Ctrl и дважды нажимая Scroll Lock . Затем Windows 10 запускает KeBugCheck и генерирует ошибку 0xE2, отображающую BSoD с сообщением «MANUALLY_INITIATED_CRASH».

Почему моя Windows 10 продолжает падать?

Проблема сбоя Windows 10 может быть связана с системными файлами . Когда системные файлы были сломаны или повреждены, это может вызвать проблему с синим экраном. … Восстанавливает и заменяет поврежденные системные файлы с помощью Reimage. Запустите команду sfc/scannow.

Где я могу найти журналы сбоев в Windows 11?

Вот как проверить журнал сбоев:

  1. На клавиатуре нажмите Win+R, чтобы открыть диалоговое окно «Выполнить».Введите eventvwr и нажмите Enter.
  2. На левой панели дважды щелкните Журналы Windows и выберите Система. Затем выберите событие в соответствии со временем сбоя, и вы найдете подробности внизу.

28 декабря 2021 г.

Что происходит, когда ноутбук выходит из строя?

В вычислительной технике сбой или сбой системы происходит, когда компьютерная программа, такая как прикладная программа или операционная система, перестает работать должным образом и завершает работу . … Если программа является критической частью операционной системы, может произойти сбой или зависание всей системы, что часто приводит к панике ядра или фатальной системной ошибке.

Как умышленно вызвать сбой Windows?

Выполнив эти шаги, вы можете использовать клавиатуру для преднамеренного сбоя компьютера, удерживая нажатой (правую) клавишу Ctrl и дважды нажимая Scroll Lock . Затем Windows 10 запускает KeBugCheck и генерирует ошибку 0xE2, отображающую BSoD с сообщением «MANUALLY_INITIATED_CRASH».

Как вызвать синий экран смерти Windows 10?

После перезагрузки вы можете вызвать синий экран, удерживая крайнюю правую клавишу Ctrl и дважды нажимая клавишу Scroll Lock .После этого система запускает KeBugCheck для генерации ошибки 0xE2, и появляется синий экран с сообщением Manullay_INITIATED_CRASH.

Будет ли Windows 11?

Как Microsoft подтвердила месяцем ранее, Windows 11 была официально выпущена 5 октября 2021 года . … Windows 11 должна выйти в конце 2021 года и будет поставляться в течение нескольких месяцев. Развертывание обновления для устройств с Windows 10, которые уже используются сегодня, начнется в 2022 году и продлится до первой половины этого года.

Выводит ли Windows 11 из строя ваш компьютер?

Несколько пользователей недавно сообщили, что их рабочий стол Windows 11 продолжал случайным образом падать. Это может быть связано с проблемами с оперативной памятью или накопителем, устаревшим графическим драйвером, перегревом и наличием вредоносных программ или вирусов.

Нормально ли происходит сбой ПК?

Компьютеры могут выйти из строя из-за того, что разные устройства пытаются использовать один и тот же внутренний идентификатор для работы . Эти типы сбоев чаще встречаются после добавления в систему нового конфликтующего оборудования.Наконец, ОС может выйти из строя, если необходимая ей информация повреждена на диске.

Мой компьютер умирает?

Частые глюки программы классический признак умирающего компьютера. Вы можете заметить, что ваш компьютер замедляется, зависает, дает сбой или отправляет сообщения об ошибках. … Низкая производительность может быть симптомом почти полного заполнения жесткого диска, компьютерного вируса или аппаратной проблемы.

Как вызвать синий экран смерти?

После перезагрузки вы можете вызвать синий экран, удерживая крайнюю правую клавишу Ctrl и дважды нажимая клавишу Scroll Lock .После этого система запускает KeBugCheck для генерации ошибки 0xE2, и появляется синий экран с сообщением Manullay_INITIATED_CRASH.

Как получить BSoD?

Вы можете сделать это, удерживая крайнюю правую клавишу «Control», а затем дважды нажав клавишу «Scroll Lock» . После этого должен появиться синий экран. Если вы используете Windows 8 или более позднюю версию, синий экран немного отличается.

Как я могу навсегда аварийно завершить работу Windows?

Windows включает функцию, которую можно включить для ручного сбоя системы, удерживая правую клавишу CTRL и дважды нажимая клавишу «Scroll Lock» .

Какие файлы удалять при сбое Windows 10?

Чтобы освободить больше места на вашем ПК, вы, возможно, привыкли регулярно удалять бесполезные большие файлы…. 7 файлов и папок, которые вы никогда не должны удалять в Windows

  1. Папка «Program Files». …
  2. Папка «Windows». …
  3. Папка «System32». …
  4. Папка «WinSxS». …
  5. Папка «Информация о системном томе». …
  6. «Файл подкачки. …
  7. «Файл подкачки.

14 июня 2017 г.

Доступна ли сейчас Windows 12?

Microsoft выпустит новую Windows 12 в 2021 году со множеством новых функций. Как ранее говорилось, Microsoft выпустит Windows 12 в ближайшие годы, а именно в апреле и октябре. … В то время как другие способы, которыми вы можете воспользоваться, — это переустановить и установить Windows 12.

Где хранятся журналы Windows? – Расположение журналов Windows

Введение

Журнал событий Windows представляет собой подробный отчет об уведомлениях о платформе, безопасности и приложениях, хранящихся в рабочей среде Windows, которые руководители используют для анализа проблем с платформой и прогнозирования будущих проблем.

Приложения и рабочая среда (ОС) используют эти журналы событий для записи важных операций с оборудованием и программами, которые менеджер может использовать для исследования проблем с рабочей средой. Рабочая среда Windows отслеживает явные события в своих лог-документах, такие как установка приложений, безопасность администраторов, процесс установки платформы при запуске, а также проблемы или ошибки.

Где хранятся журналы Windows?

Журналы Windows расположены в папке C:\WINDOWS\system32\config\.При сбое приложения Windows в журнале событий Windows будет храниться информация об имени приложения, причине сбоя приложения и времени инцидента.

Что такое файл EVTX?

Файл EVTX представляет журналы Microsoft Event Viewer, которые пользователи могут просматривать в Event Viewer. Вы можете запускать журналы Microsoft Event Viewer с помощью команды в Windows «> eventvwr. msc»

Компоненты журнала событий Windows

Каждое событие в журнале содержит следующие данные:

Дата: дата возникновения события.

Время: Время, когда произошло событие.

Клиент: имя пользователя клиента, выполнившего вход на машину в момент возникновения события.

ПК: Имя ПК.

Идентификатор события: Идентификационный номер Windows, определяющий тип события.

Источник: Программа или часть, вызвавшая событие. Тип: вид события, включая данные, предупреждение, ошибку, проверку достижений в области безопасности или проверку разочарования в безопасности.

Например, событие данных может отображаться как:

Данные 19.03.2021 8:21:15 Отслеживание событий ядра службы 1 Ведение журнала 10:29:47

При проверке случай ошибки может отображаться как:

Ошибка 19.03.2021 AM Диспетчер управления услугами 7001 Нет

Базовый случай может выглядеть следующим образом:

Базовый 3/ 19/2021 8:55:02 Kernel-Power 41 (63)

Тип данных, хранящихся в журналах событий Windows

Рабочая среда Windows записывает события в пяти зонах: приложение, безопасность, расположение, структура и отправленные случаи.Windows хранит знаки событий в конверте C:\WINDOWS\system32\config\.

Случаи применения идентифицируются с событиями с продуктом, представленным на соседнем ПК. На случай, если приложение, например, Microsoft Word, выйдет из строя, журнал событий Windows создаст раздел журнала с описанием проблемы, названием приложения и причиной его сбоя.

Хранение данных в случаях безопасности зависит от подходов к проверке платформы Windows, а общие случаи хранения включают в себя попытки входа в систему и доступ к активам.Например, в журнале безопасности сохраняется запись, когда ПК пытается проверить сертификаты учетной записи, когда клиент пытается войти в систему.

Мероприятия по размещению включают в себя мероприятия, связанные с контролем пространств, таких как площадь бревен после установки плиты.

Случаи фреймворка идентифицируются с эпизодами явных для Windows фреймворков, например, с драйверами гаджетов.

Отправленные события появляются с разных компьютеров в одной и той же организации, когда руководителю нужно использовать компьютер, который накапливает множество журналов.

Использование средства просмотра событий

Microsoft запоминает средство просмотра событий для своего Windows Server и клиентской рабочей среды для просмотра журналов событий Windows. Клиенты получают доступ к средству просмотра событий, нажав кнопку «Начать» и введя «Просмотр событий» в поле поиска. После этого клиенты смогут выбрать и изучить идеальный журнал.

Windows заказывает каждый случай с уровнем серьезности. Расположение уровней основано на данных, предупреждении, ошибке и основном.

Большинство журналов содержат события на основе данных.Журналы с этим разделом обычно означают, что событие произошло без эпизода или проблемы. Иллюстрацией события данных на основе фреймворка является событие 42, Kernel-Power, которое показывает, что фреймворк переходит в режим покоя.

Случаи уровня предупреждения зависят от конкретных случаев, например, отсутствия дополнительного места. Предупреждающие сообщения могут быть сосредоточены на потенциальных проблемах, которые, вероятно, не потребуют немедленных действий. Событие 51, Диск иллюстрирует предупреждение на основе платформы, связанное с ошибкой подкачки на диске машины.

Уровень ошибки указывает на то, что устройство могло не совмещаться или работать должным образом. Случай 5719, NETLOGON иллюстрирует ошибку платформы, когда ПК не может организовать безопасную встречу с региональным регулятором.

Случаи базового уровня показывают самые экстремальные проблемы. Случай ID 41, Kernel-Power, иллюстрирует базовую схему, когда машина перезагружается без безупречного закрытия.

Различные устройства для просмотра журналов событий Windows.

Microsoft также предоставляет утилиту строки заказа в органайзере System32, которая восстанавливает журналы событий, запускает вопросы, отправляет журналы, файлы журналов и очищает журналы.

Утилиты Outsider, работающие с журналами событий Windows, включают SolarWinds Log и Event Manager, которые обеспечивают постоянное подключение к событиям и исправление; соблюдение достоверности записи; проверка USB-гаджетов; и место опасности. Следовательно, Log and Event Manager собирает журналы от рабочих процессов, приложений и устройств организации.

ManageEngine EventLog Analyzer создает настраиваемые отчеты на основе информации журнала и отправляет постоянные мгновенные сообщения и оповещения по электронной почте в зависимости от явных событий.

Использование PowerShell для запросов событий

Microsoft создает знаки событий Windows в формате расширяемого языка разметки (XML) с дополнением EVTX. XML обеспечивает более детализированные данные и надежную организацию организованной информации.

Директора могут создавать сложные XML-запросы с помощью командлета PowerShell Get-WinEvent, чтобы добавлять или отклонять события из вопроса. Если вы столкнулись с проблемами, связанными с поврежденными журналами событий, мы рекомендуем сначала попробовать программную очистку журнала событий Windows.Эти программные инструменты, такие как ReconLogger или Software Events Cleaner, автоматически очищают журналы событий Windows, удаляя из них весь мусор, например неиспользуемые файлы, файлы конфигурации и мусор. В качестве альтернативы вы можете попробовать надежность системы; Вы можете искать и фильтровать его по диапазону дат и сервису, чтобы найти конкретные проблемы. Графики в средстве просмотра событий окна могут помочь обнаружить незначительные изменения в поведении вашей системы.

 

 

Как найти журнал Центра обновления Windows в Windows 10

Одно из изменений в Windows 10 касается формата файла журнала Центра обновления Windows.Вместо простого текстового файла журнала, как во всех более ранних выпусках Windows, служба Центра обновления Windows теперь записывает ряд журналов трассировки событий для журналов Windows (файлы ETL) в папке C:\Windows\logs\WindowsUpdate\. Вот как получить старый добрый файл журнала для Центра обновления Windows в Windows 10.


Файлы *.etl создаются подсистемой отслеживания событий для Windows (ETW). В Windows 10 Центр обновления Windows активен почти все время, поскольку это служба, поэтому файл журнала необходимо поддерживать и записывать в него почти непрерывно.Хотя переход на файлы ETL позволил Microsoft снизить нагрузку на диск и не повлиять на дисковый ввод-вывод или производительность операционной системы, этот метод усложняет пользователям чтение журнала. Что еще хуже, эти файлы *.etl кэшируются, поэтому их содержимое не становится доступным мгновенно.

Майкрософт известно об этой проблеме. Чтобы преодолеть это и сделать журнал Центра обновления Windows доступным для чтения, Windows 10 предоставляет два метода чтения журнала. Один из них — это специальный командлет PowerShell, а другой — встроенный инструмент просмотра событий.Давайте посмотрим, как их использовать.

Чтобы найти журнал обновлений Windows в Windows 10 , выполните следующие действия.

  1. Откройте PowerShell.
  2. Введите в консоли PowerShell следующую команду:
     Get-WindowsUpdateLog 

  3. По завершении выполнения командлет создаст классический файл WindowsUpdate.log в папке на рабочем столе.

Вы можете открыть его с помощью Блокнота и прочитать, чтобы устранить любые проблемы, которые могут возникнуть с Центром обновления Windows, например, некоторые обновления не устанавливаются, зависают или выдают загадочные ошибки.

Готово!

Кроме того, вы можете использовать средство просмотра событий для чтения журнала Центра обновления Windows. Вот как.

Чтение журнала обновлений Windows с помощью средства просмотра событий

  1. Нажмите клавиши Win + X или щелкните правой кнопкой мыши кнопку «Пуск» и выберите Средство просмотра событий в контекстном меню.
  2. В средстве просмотра событий перейдите к Applications and Service Logs\Microsoft\Windows\WindowsUpdateClient\Operational .
  3. Выберите события в среднем столбце окна приложения, чтобы прочитать журнал в области сведений ниже.

Совет: возможно, вам будет интересно прочитать следующую статью:

Как просмотреть историю обновлений в Windows 10

Приложение «Настройки» включает специальную страницу, на которой журнал установки отображается в удобном виде. Из истории обновлений вы также можете удалить определенные обновления.

Вот оно!

Поддержите нас

Компания Winaero очень рассчитывает на вашу поддержку. Вы можете помочь сайту и дальше предлагать вам интересный и полезный контент и программное обеспечение, используя эти опции:

Если вам понравилась эта статья, поделитесь ею, используя кнопки ниже.Это не потребует от вас многого, но поможет нам расти. Спасибо за вашу поддержку!

Автор: Сергей Ткаченко

Сергей Ткаченко — разработчик программного обеспечения из России, который основал Winaero еще в 2011 году. В этом блоге Сергей пишет обо всем, что связано с Microsoft, Windows и популярным программным обеспечением. Следите за ним в Telegram, Twitter и YouTube. Просмотреть все сообщения Сергея Ткаченко

Хакеры используют поддельные журналы ошибок Windows, чтобы скрыть вредоносную полезную нагрузку

Хакеры использовали поддельные журналы ошибок для хранения символов ASCII, замаскированных под шестнадцатеричные значения, которые декодируются в вредоносную полезную нагрузку, предназначенную для подготовки почвы для атак на основе сценариев.

Этот трюк является частью более длинной цепочки с промежуточными командами PowerShell, которая в конечном итоге предоставляет сценарий для целей разведки.

Чтение между строк

Поставщик обнаружения угроз MSP Huntress Labs обнаружил сценарий атаки, в котором злоумышленник с постоянным присутствием на целевой машине пытался выполнить необычный трюк, чтобы продолжить свою процедуру атаки.

Злоумышленник уже получил доступ к целевой системе и добился устойчивости.С этой позиции они использовали файл под названием «a.chk», который имитирует журнал ошибок Windows для приложения. Последний столбец показывает то, что кажется шестнадцатеричными значениями.

Однако это десятичные представления символов ASCII. После декодирования они создают сценарий, который связывается с сервером управления и контроля для следующего шага атаки.

Беглый просмотр фиктивного файла журнала, скорее всего, не вызовет каких-либо проблем, поскольку данные содержат временные метки и ссылки на внутренний номер версии Windows, говорится в сегодняшнем отчете Джона Феррелла, вице-президента ThreatOps в Huntress Labs.

«На первый взгляд это похоже на лог какого-то приложения. Он имеет метки времени и включает ссылки на ОС 6.2, внутренний номер версии для Windows 8 и Window Server 2012», — Джон Феррелл

.

При ближайшем рассмотрении выявляется трюк, используемый субъектом для извлечения соответствующего фрагмента данных (числовых символов) и создания закодированной полезной нагрузки. Ниже вы можете увидеть, как числа преобразуются в текст для формирования сценария.

Феррелл объясняет, что полезная нагрузка получается с помощью запланированной задачи, которая выдает себя за законную задачу на хосте (всего одна буква имеет значение) и делится своим описанием.Задействованы два исполняемых файла, оба переименованы в копии законных файлов, чтобы казаться безобидными.

Использование допустимых имен файлов

Один называется «BfeOnService.exe» и является копией «mshta.exe», утилиты, которая запускает приложения Microsoft HTML (HTA), которые были использованы для развертывания вредоносных файлов HTA. В этом случае он выполняет VBScript для запуска PowerShell и выполнения в нем команды.

Другой имеет имя «engine.exe» и является копией «powershell.exe». Его цель — извлечь числа ASCII из поддельного журнала и преобразовать их для получения полезной нагрузки.Вот как они работают:

Феррелл отмечает, что сценарий, декодированный таким образом, применяет исправление в памяти к интерфейсу сканирования на наличие вредоносных программ (AMSI), чтобы обойти его. AMSI помогает антивирусным программам обнаруживать атаки на основе скриптов.

Вторая команда, действующая как загрузчик, выполняется для получения еще одной команды PowerShell с той же функцией. В конце цепочки находится полезная нагрузка, которая собирает информацию о скомпрометированной системе.

Непонятно, что нужно злоумышленнику, но последний скрипт собирает информацию об установленных браузерах, общих и конкретных продуктах для налоговой подготовки и безопасности (Lacerte, ProSeries, Kaspersky, Comodo, Defender) и программном обеспечении для точек продаж.

Хотя это далеко не изощренная атака, она показывает, что киберпреступники изучат все пути, чтобы закрепиться в целевой сети, и разработают свою атаку творчески, что в некоторых случаях может окупиться.

5.4.2.1 Регистрация ошибок в Windows

5.4.2.1 Регистрация ошибок в Windows

В Windows mysqld использует --лог-ошибка , --pid-файл и --console параметры для определения записывает ли mysqld журнал ошибок в консоль или файл, а если в файл, то имя файла:

  • Если указано --console , mysqld записывает журнал ошибок в консоль.( --console принимает приоритет над --log-error если даны оба, и следующие пункты относительно --log-error не применяются. До MySQL 5.7 это было наоборот: --log-error имеет приоритет более --консоль .)

  • Если --log-error не указан, или задается без имени файла, mysqld записывает журнал ошибок в файл с именем имя_хоста .ошибка в каталоге данных, если только --pid-file опция указано. В этом случае имя файла является базой файла PID. имя с суффиксом .err в данных каталог.

  • Если --log-error задан для имя файла, mysqld записывает журнал ошибок в этот файл (с добавленным суффиксом .err если имя не имеет суффикса).Расположение файла находится под каталог данных, если не указан абсолютный путь к указать другое место.

Если сервер записывает журнал ошибок в консоль, он устанавливает log_error системная переменная для stderr . В противном случае сервер пишет журнал ошибок в файл и устанавливает log_error в имя файла.

Кроме того, сервер по умолчанию пишет события и ошибки сообщения в журнал событий Windows в журнале приложений:

  • Записи, отмеченные как Ошибка , Предупреждение и Примечание записываются в журнал событий, но не сообщения, такие как информационные отчеты от отдельных механизмов хранения.

  • Записи журнала событий имеют источник MySQL .

  • Информация, записываемая в журнал событий, контролируется с помощью log_syslog системная переменная, который в Windows включен по умолчанию. Видеть Раздел 5.4.2.3, «Запись ошибок в системный журнал».


Проверка журнала событий Windows на наличие проблем с компьютерной средой

Введение

Программное обеспечение Acronis может выдавать ошибки, зависать или вызывать другие нежелательные эффекты при возникновении проблем с частями компьютерной среды, в которой оно работает:

Аппаратное/микропрограммное обеспечение

Дисковые разделы, файловые системы

Операционная система, программное обеспечение

диски

дисковые контроллеры

RAID-контроллеры

контроллеры сетевого интерфейса

приводы оптических дисков

ленточные устройства

дисковые адаптеры

кабели передачи данных и питания

портов/разъемов

другое физическое и виртуальное оборудование, используемое для хранения, передачи и обработки данных

ОЗУ

прошивка вышеуказанных устройств, BIOS/UEFI

Таблица разделов

(т.грамм. МБР, GPT)

разделов диска

дисковых тома

файловые системы

Драйверы Windows

Служба теневого копирования томов (VSS)

VSS-провайдеры

устройства записи VSS

Конфигурация реестра Windows

учетные записи пользователей Windows

Разрешения для файлов/папок

Интерфейс управления Windows (WMI)

Примеры сообщений об ошибках в программном обеспечении Acronis, когда вы хотите проверить среду:

Невозможно создать снимок тома

Не удалось прочитать снимок

Не удалось прочитать из сектора…

Ошибка чтения с диска…

Не удалось записать том диспетчера моментальных снимков

Различные типы ошибок чтения и записи

Ошибки ввода/вывода (I/O)

Ошибки, ссылающиеся на \\?\GLOBALROOT\Device\…

Ошибка проверки циклическим избыточным кодом (CRC)

Не удалось перечислить каталог

Ошибка ExecQuery WMI

Растровое изображение MFT повреждено

Время ожидания семафора истекло

Решение

Компания Acronis разработала бесплатный инструмент, который автоматизирует процесс проверки среды, в частности, на наличие проблем, связанных со службой теневого копирования томов (VSS): Acronis VSS Doctor.Этот инструмент экономит время на сбор и анализ диагностической информации из различных источников, включая журнал событий Windows, но он не охватывает все возможные основные причины и применим только к проблемам, связанным с VSS.

Более универсальный подход заключается в проверке журнала событий Windows на наличие проблем с компьютерной средой с помощью средства просмотра событий Windows:

1. Откройте меню «Пуск» Windows.

2. Введите Event Viewer и нажмите Введите :

Если Windows Search не находит Event Viewer по названию, нажмите комбинацию кнопки с логотипом Windows на клавиатуре и R и выполните команду evenvwr.мск

3. Откроется средство просмотра событий Windows:

4. Перейдите к Журналы Windows Система :

5. Щелкните Фильтр текущего журнала … на правой панели:

6. Отметьте Critical , Error и Warning галочками в верхней части окна, нажмите OK для применения фильтра:

7.На этом этапе вы можете нажать OK и просмотреть последние предупреждения и ошибки, записанные в журнале системных событий, и найти любую информацию, связанную с проблемой, обнаруженной в программном обеспечении Acronis. Обратите особое внимание на события, зарегистрированные в момент возникновения проблемы или непосредственно перед ней:

8. Поскольку может быть много несвязанных событий, вы можете еще больше сузить область поиска, применив предложенный ниже фильтр. Нажмите Фильтр текущего журнала .. еще раз:

9.Развернуть список источников событий :

10. Прокрутите список и отметьте следующие пункты:

Краткий список (наиболее популярные источники ошибок):

диск

Диск

нтфс

нтфс (Майкрософт-виндовс-нтфс)

нтфс (нтфс)

Расширенный список (нажмите, чтобы развернуть)

Бит-Клиент

Чкдск

CAPI2​​​​​​

диск

Диск

ДискДиагностик

Дискдиагностикдатаколлектор

ДискдиагностикРесолвер

Дисковая квота

ЕСЭ

ЕСЕНТ

ExFAT

ExFAT-SQM

Жир-кв.м.

ХАЛ

iaStorAV

иасторв

Ядро-загрузка

Ядро-BootDiagnostics

Ядро-диск

Файл ядра

Ядро-Генерал

Ядро-IO

Ядро-память

Реестр ядра

нтфс

нтфс (Майкрософт-виндовс-нтфс)

нтфс (нтфс)

Мощность

ВСС

ВССАудит

Резервное копирование Windows

Диагностика диска Windows

WindowsBackup

WMI

11.Щелкните OK и просмотрите отфильтрованный список событий. Ваши дальнейшие действия будут зависеть от того, в каких частях среды были обнаружены проблемы, и от их текущего состояния:

12. При устранении неполадок, связанных с VSS или WMI, полезно также проверять предупреждения, ошибки и критические события в разделе Журналы Windows Приложение . Помимо устранения неполадок в среде Windows, журналы приложений также используются для обнаружения сбоев и зависаний приложений.

Дальнейшее устранение неполадок

Найдите в Интернете подробный текст ошибки/предупреждения, а также идентификационный номер события. Проблемы со средой распространены и, вероятно, имеют решение или обходной путь, уже задокументированный или описанный.

Если вы не уверены, что обнаруженные ошибки и предупреждения могут быть причиной проблемы с программным обеспечением Acronis, обратитесь в центр обслуживания клиентов Acronis с системным отчетом и скриншотами проблемы с Acronis, журналом операции в Acronis (если есть) и найденные записи в журнале событий Windows.

6 способов исправить службу журнала событий недоступна в Windows 10

«Служба журнала событий недоступна» — известная ошибка Windows. Я неоднократно сталкивался с этой проблемой при долгом использовании Windows. В большинстве случаев причиной являются либо испорченные права доступа к файлам, либо невозможность перезапуска службы событий журнала Windows. Вот как вы можете быстро исправить все это.

Служба журнала событий недоступна

Что такое служба журнала событий?

Event Log Service, как следует из названия, является встроенной сервисной программой Windows.Расположение программы журнала событий: C:\Windows\System32\svchost.exe . По сути, он регистрирует всю информацию, а также сообщения об ошибках в текстовом файле. Большинство внутренних системных заданий Windows зависят от службы журнала событий Windows. Несколько приложений Windows, таких как «Расписание задач», «Календарь» или «Почта», не будут работать должным образом без этой службы. Следовательно, важно убедиться, что служба журнала событий Windows запущена и работает.

После этого, прежде чем мы перейдем к шагам по устранению неполадок, я бы порекомендовал вам сначала попробовать старый добрый перезапуск.Если это не сработает, мы можем двигаться вперед с помощью следующих методов.

1. Запустите службу журнала Windows

Прежде всего, мы можем попробовать запустить службу журнала событий Windows вручную. Для этого перейдите в меню «Выполнить», нажав Win + R, введите services.msc и нажмите Enter.

В меню «Службы» перейдите к службе журнала событий Windows.

Щелкните правой кнопкой мыши службу журнала событий Windows и выберите «Пуск». Если служба уже запущена, нажмите «Перезапустить».Вам также может быть предложено ввести пароль администратора, введите его соответственно.

После успешного запуска службы журнала событий Windows ошибка должна быть устранена. Кроме того, убедитесь, что для параметра «Тип запуска» службы установлено значение «Автоматически». Если это Вручную или пусто, вы можете изменить его в свойствах.

2. Редактировать значение

Если вы не можете запустить службу журнала событий Windows, могут быть проблемы с владением службой журнала событий Windows.Чтобы это исправить, нам нужно сначала проверить и убедиться, что владелец программы журнала Windows верен. Это должно быть сделано через редактор реестра.

Чтобы открыть редактор реестра, нажмите Win+R для доступа к меню «Выполнить», введите regedit и нажмите Enter .

В меню редактора реестра скопируйте и вставьте следующий URL-адрес.

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog  

В папке журнала событий вы найдете ключ с именем « Имя объекта ».Убедитесь, что значение ключа равно NL AUTHORITY\LocalService . Если значение пустое или отличается, дважды щелкните его, чтобы изменить значение.

Во всплывающем окне измените значение данных на NL Authority\LocalService . Сделав это, нажмите кнопку ОК.

Теперь вы можете попробовать перезапустить службу журнала событий Windows из меню служб. Если вы все еще сталкиваетесь с проблемами, перейдите к следующему шагу.

3. Проверьте разрешения

Еще одной причиной невозможности запуска службы журнала событий Windows являются неправильные разрешения для каталога журнала.Чтобы это исправить, перейдите в проводник Windows и скопируйте и вставьте следующий URL-адрес.

  C:\Windows\System32\winevt\Журналы  

Щелкните правой кнопкой мыши папку «Журналы» и выберите «Свойства».

В меню «Свойства» перейдите на вкладку «Безопасность».

На вкладке «Безопасность» щелкните профиль «СИСТЕМА» и убедитесь, что у него есть все разрешения на вкладке «Разрешения». После профиля SYSTEM проверьте наличие профилей Administrators и EventLog.

Если для учетной записи не предоставлены полные разрешения, нажмите кнопку «Изменить» и предоставьте необходимые разрешения. Вы все еще сталкиваетесь с ошибкой «Служба журнала событий недоступна» на вашем компьютере с Windows?

4. Проверьте сохранение журнала

Если описанные выше методы не помогли решить проблему, могут возникнуть проблемы с заполнением файлов журнала. Мы можем проверить состояние файлов журнала через собственное приложение просмотра событий Windows.

Перейдите в меню «Пуск» и введите «Просмотр событий ».Когда появятся результаты, нажмите «Запуск от имени администратора».

В окне просмотра событий щелкните Журналы Windows . В Windows вы найдете журналы событий Application, Security, Setup, System и Forwarded. Нужно проверять каждое событие в отдельности. Но сначала давайте проверим журналы приложений.

На правой стороне вы увидите опцию под названием Свойства. Нажмите на него, чтобы открыть свойства журналов приложений.

Убедитесь, что во всплывающем окне «Свойства журнала» установлен флажок « Перезаписывать события по мере необходимости ».Это гарантирует, что при заполнении файлов журнала они будут перезаписаны. Далее нажмите на кнопку ОК.

Как и в свойствах приложения, нам нужно проверить остальные 4 журнала на наличие той же опции. После этого перезагрузите систему Windows. Затем попробуйте перезапустить службу журнала событий Windows. Он должен начать нормально работать.

5. Очистить старые журналы

Даже после предоставления разрешений и полномочий, если служба событий журнала Windows не запускается, мы можем выполнить общую очистку папки RtBackup.Папка RtBackup содержит журналы событий приложений, ядер и системных проблем в реальном времени. Иногда старые журналы могут привести к тому, что служба журнала событий Windows не будет работать.

Однако очистить эту папку непросто. Вам также придется загрузиться в безопасном режиме и изменить пару разрешений. Самый простой способ загрузиться в безопасном режиме — через конфигурацию Windows. Нажмите Win + R, чтобы вызвать меню «Выполнить», введите msconfig и нажмите Enter.

Перейдите на вкладку «Загрузка» и установите флажок «Безопасная загрузка».Далее нажмите кнопку OK .

После этого вы можете перезагрузить систему.

Теперь Windows должна загрузиться в безопасном режиме.

В безопасном режиме перейдите к следующему местоположению файла.

  C:\Windows\System32\LogFiles\WMI\RtBackup  

По умолчанию папка RtBackup принадлежит системе, и вы не можете открыть или удалить эту папку. Следовательно, щелкните правой кнопкой мыши и выберите «Свойства ».

В меню «Свойства» перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».

Когда откроется вкладка «Дополнительная безопасность», щелкните ссылку «Изменить» рядом с разделом «Владелец».

Во всплывающем окне введите свое имя пользователя в текстовое поле «Введите имя объекта для выбора» и нажмите кнопку «Проверить имена» . Как только он обнаружит ваше имя пользователя, нажмите кнопку «ОК».

Если вы не знаете свое имя пользователя, перейдите в командную строку и просто введите whoami.

В меню «Дополнительная безопасность» установите флажок « Заменить владельца подконтейнеров и объектов ». Далее нажмите кнопку ОК, чтобы сохранить изменения.

После этого вы можете щелкнуть правой кнопкой мыши папку RtBackup и удалить ее или даже переименовать.

Затем перезагрузите компьютер с Windows, и проблема должна быть решена.

6. Резервное копирование и переустановка Windows

Если ни один из вышеперечисленных способов не сработал, к сожалению, вам придется переустанавливать Windows.Прежде всего, сделайте резервную копию своей машины с помощью стороннего бесплатного приложения для резервного копирования, прежде чем приступить к переустановке.

Заключительные слова: служба журнала событий недоступна

Это были 5 отличных способов исправить ошибку «Служба журнала событий Windows недоступна».

Добавить комментарий

Ваш адрес email не будет опубликован.