Системный журнал windows 10: как просмотреть журналы событий Windows?

Как открыть журнал событий и ошибок в Windows 10: инструкция по работе

Журнал событий предназначен для просмотра всех действий, которые выполнила операционная система компьютера. В нем отображаются критические ошибки, предупреждения и сведения о работе драйверов и программ. Используется в целях диагностики, выявления и устранения неполадок.

Путем регулярного просмотра и изучения истории выявляются неисправности и слабые места в защите устройства. Полезен обычным пользователям, системным администраторам и владельцам серверов.

Варианты запуска

Существует четыре основных метода запуска на любой случай.

Значок «Пуск»

Просмотрщик вызывается с помощью правого нажатия по кнопке меню «Пуск» из контекстного меню. Пожалуй, это самый простой и быстрый вариант запуска.

Через поиск

Чтобы найти и открыть журнал событий, нужно в поисковике (знак лупы) ввести фразу «Просмотр событий» и щелкнуть по нему. Правда, этот способ не работает при выключенном индексировании.

С помощью специальной команды

Инструмент работает как отдельное приложение, потому легко вызывается комбинацией через окно выполнить «Win + R — eventvwr.msc — Ок».

Через командную строку — Win + R — CMD — Ctrl + Shift + Alt + Enter (для открытия консоли с правами администратора) — eventvwr.msc — Enter.

Через интерфейс

Еще один вариант — использование панели управления. Покажу, как это сделать на примере.

1. Вызываем инструмент «Выполнить» и вводим в строку фразу «control».
2. В открывшемся окне выставляем отображение мелких значков и перемещаемся в «Администрирование».
3. Дважды щелкаем по «Просмотру событий» для открытия.

Способы применения (краткий инструктаж по работе)

Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это не так.  Данный инструмент невероятно полезен в отдельных ситуациях.

Например, если появляется синий экран (BSOD) или ОС сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно узнать в журнале событий. Если ошибка связана с обновлением драйверов, то будет указано оборудование, с которым возникла проблема, и эффективные пути для ее решения.

Знакомство

Коротко разберем интерфейc журнала событий, чтобы не потеряться и понимать, где и что находится.

В левой части — навигационное меню с категориями. Наиболее интересны:

• Журналы Windows.
  • Приложение. Отображает информацию об установленном программном обеспечении.
  • Безопасность. В основном здесь находятся данные о времени и дате входа в Windows, а также важных изменениях безопасности.
  • Установка. Перечисляются сведения об установленных программах, драйверах и обновлениях.
  • Система. Общая информация о состоянии винды. Критические ошибки (в том числе синие экраны), предупреждения, загрузки, перезагрузки — все располагается здесь.
• Журналы приложений и служб. Располагаются сведения об установленном софте.

В центральной части можно просмотреть список событий за последнее время и подробную информацию о каждом из них.

Правая часть окна — область действий. Доступны опции удаления, сохранения, копирования и другие.

Для упрощения поиска отчета нужно запомнить время возникновения сбоя и, исходя из временных рамок, искать его.

Предлагаю войти в «Систему», найти интересующее нас событие и щелкнуть по нему мышкой.

Снизу появятся общие сведения о неполадке. Читаем описание, запоминаем значение из поля «Источник» и «Код». Открываем «Google» или «Yandex» и по имеющимся данным ищем способы исправления неполадки.

Изначально данная служба разрабатывалась исключительно для администраторов, которые постоянно ведут мониторинг состояния серверов, выявляют сбои и причины их появления, и после чего пытаются быстро их устранить.

Не пугайтесь, если устройство работает исправно, но выводятся предупреждения об ошибках. Это нормальное явление. Любые сбои, в том числе незначительные, записываются и сохраняются, переживать не стоит.

Методы очистки

Существует пять основных способов, с помощью которых можно очистить журнал событий.

• Ручной.
• «Батник» – специальный файл с расширением «*.bat».
• Через консоль «CMD».
• Через «PowerShell».
• Утилиту CCleaner.

Подробно рассмотрим каждый из них и узнаем, как их применить на практике.

Ручной

В первую очередь предлагаю разобрать вариант самостоятельной очистки. Он достаточно простой и не требует использования специальных команд и установки стороннего софта.

Нужно лишь:

1. Открыть журнал событий (как? — рассказано в самом начале).
2. Нажать по нужному разделу правой кнопкой мыши и выбрать пункт «Очистить».

Создание и использование «.bat»

Пожалуй, это еще один достаточно простой метод. Разберем более подробно.

1. Создаем обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
2. Вставляем в него специальный код.
3. В верхнем меню выбираем «Файл – Сохранить как».
4. Указываем любое имя. В конце имени выставляем расширение «.bat». В графе «Тип» выбираем «Все» и нажимаем «Сохранить».
5. Готово. Щелкаем по нему правой кнопкой мыши и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.

Если вам лень создавать этот файл, то вот готовый вариант. Используйте спокойно, вирусов нет.

Командная строка

Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «CMD».

1. Заходим в консоль.
2. Копируем и вставляем следующий код: for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1». Жмем «Enter» и дожидаемся окончания процесса.

После этого все отчеты удалятся.

PowerShell

В Windows 10 предусмотрена более подвинутая версия стандартной консоли — PowerShell. Воспользуемся ей.

Действуем по шагам:

1. Жмем по клавишам — вводим PowerShell и выбираем «От имени администратора».
2. В появившееся окно вводим: Wevtutil el | ForEach {wevtutil cl «$_»}.

Не обращайте внимания на возможные ошибки, на результат они не влияют. Разделы очистятся.

CCleaner

Специализированный софт по очистке ОС и исправлению проблем в реестре. Распространяется бесплатно. Поддерживает Windows 10 – 8 – 7.

1. Скачиваем с официального сайта, устанавливаем и открываем.
2. Переходим во вкладку «Стандартная очистка». В «Windows» устанавливаем галочку напротив нужного пункта. Галочки с остальных пунктов снимать необязательно (дополнительно оптимизируется работа ОС).
3. Жмем по кнопке «Очистка»

Отвечаю на популярные вопросы

Что делать, если просмотрщик отключен? Как его включить?

1. Для начала необходимо войти в ОС под учетной записью с правами администратора. Затем открыть раздел служб через клавиши (Win + S).
2. Найти в списке модуль «Журнал событий» и через правый клик открыть «Свойства».
3. Выставите автоматический тип запуска, кликните «Применить», а затем «Запустить».

Можно ли отключить службу просмотра событий?

Да, можете остановить средство ведения журнала. Это никак не повлияет на работу ОС. Но вы лишитесь отличного инструмента для проведения диагностики и аудита неполадок компьютера.

Как проще всего просмотреть график включений и выключений компьютера? Чтобы не искать в общем списке из тысячи строк.

Обзаведитесь бесплатной утилитой «TurnedOnTimesView». Ссылка на официальный сайт разработчика «NirSoft».

Также следует войти в конфигурацию и включить опцию «Журнал загрузки». Жмем на клавиатуре Win + R — msconfig — Enter.

Перемещаемся в «Загрузка». Выставляем галочку напротив нужного пункта. Сохраняем параметры, кликнув «Применить» и «Ок». После этого начнется запись логов.

Грузит диск, процессор (загружены все ядра) и пожирает оперативную память. Как это исправить?

Иногда, служба узла журнала событий создает немалую нагрузку на комплектующие, что затрудняет пользование компьютером. Чаще всего это связано со сбоями Windows 10 и исправляется следующим образом.

1. Зайдите в командную строку.
2. Введите chkdsk C: /f и кликните «Enter».
3. Следом dism /online /cleanup-image /restorehealth.
4. Далее sfc /scannow.
5. Перезапустите службу журнала событий.

Дополнительно попробуйте отключить обновления.

Видео по теме

Как посмотреть журнал событий в Windows 10

Журнал событий опытные пользователи зачастую используют для решения проблем возникших в операционной системе Windows 10. В журнал событий вносятся данные о всех происходящих событиях в операционной системе. До таких событий относятся информационные сообщения, предупреждения программ, данные о работе пользователей.

Данная статья расскажет как посмотреть, открыть, очистить журнал событий Windows 10. Журнал событий был разработан для опытных пользователей с целью получения возможности полноценного управления операционной системой. Именно поэтому новичкам будет немного сложно разобраться, а системные администраторы легко используют данный инструмент.

Как открыть журнал событий Windows 10

Большинство действий пользователя в системе попадают в журнал событий операционной системы. Многие пользователи даже не догадываются о таком инструменте, который также позволяет исправлять множество ошибок. Файлы журнала сохраняются на системном диске по пути: C:\ Windows\ System32\ winevt\ Logs. Но не достаточно знать где хранятся данные журнала, поскольку для их просмотра нужно использовать классическое приложение просмотра событий.

1. Открываем стандартную панель управления выполнив команду control panel в окне Win+R.
2. Дальше переходим в Администрирование и выбираем Просмотр событий.

К альтернативным способам открытия журнала событий можно отнести запуск классического приложения eventvwr.exe или eventvwr.msc просмотра событий на системном диске по пути: C:\ Windows\ system32, а также поиск приложения просмотр событий в окне поиска Windows 10 или же простое выполнение команды 

eventvwr.msc в окне Win+R.

Как очистить журнал событий в Windows 10

Очистить журнал событий в Windows 10 можно несколькими эффективными способами. До таких способов отнесем выполнение одной команды в командной стройке или же в оболочке Windows PowerShell, а также простое удаление событий прямо с журнала. Новичкам рекомендуем использовать только классическое приложение просмотр событий.

После открытия журнала достаточно нажать правой кнопкой мыши на категорию, журнал которой необходимо очистить и в контекстном меню выбираем пункт Очистить журнал… В открывшемся окне подтверждаем очистку журнала нажав кнопку Очистить.

Командная строка

1. Запускаем командную строку от имени администратора любым из способов рассмотренных нами ранее.
2. Копируем, вставляем и выполняем следующую команду: or /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Windows PowerShell

1. Запускаем оболочку Windows PowerShell от имени администратора.
2. Выполняем следующую команду: wevtutil el | Foreach-Object {wevtutil cl «$_»}

Как отключить журнал событий Windows 10

Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.

1. Открываем окно служб выполнив команду services.msc в окне Win+R.
2. Среди списка доступных служб находим Журнал событий Windows и в контекстном меню которого выбираем Свойства.
3. В открывшемся окне изменяем типу запуска службы EventLog на Отключена и нажмите ОК.

Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу. А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом.

Заключение

Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.

где найти, как зайти и как очистить

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Как зайти в журнал событий в Windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «

Выполнить». Для этого необходимо:

1. Зажатием клавиш «Win» + «R» вызвать окно.
2. Прописать команду «eventvwr».
3. Нажать «OK».

А второй требует использования панели управления, где требуется:

1. Выбрать раздел «Система и безопасность».
2. Проследовать в подраздел «Администрирование».
3. Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

• Приложение (основная) — записи, созданные программами.
• Безопасность (основная) — сведения о безопасности системы.
• Установка (дополнительная).
• Система (основная) — сведения о работе системных компонентов.
• Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате

EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Нюансы работы в журнале

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

• важности;
• времени;
• источнику;
• имени компьютера и пользователя;
• коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Вручную

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

1. Открыть журнал событий.
2. Нажать правой кнопкой мыши на необходимый раздел.
3. Выбрать команду «Очистить журнал…».

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Создание файла .bat

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Его необходимо использовать в следующем алгоритме:

1. Создайте текстовый документ.
2. Скопируйте в него код, указанный выше.
3. Сохраните документ с расширением .bat (подробнее о расширениях можно прочесть в статье «Расширения файлов Windows. Как открыть и изменить расширения файлов»)
4. Запустите полученный файл от имени администратора.

После этого все отчеты будут удалены.

Через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

1. Нажать клавишу «Win».
2. Вести «Командная строка».
3. Запустить утилиту от имени администратора.
4. Ввести указанную ниже команду и нажать «Enter».

for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1″

Через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

Вертим логи как хотим ― анализ журналов в системах Windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

findstr «Fail» *.log >> fail.txt

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Get-Content -Path ‘C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log’ | Out-Host -Paging

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

>Get-Content -Path «C:\Windows\WindowsUpdate.log» -Tail 5 -Wait

Смотрим за ходом обновления Windows.

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Select-String -Path «C:\Windows\System32\LogFiles\Firewall\pfirewall.log» -Pattern ‘Drop’ | Select-Object -Last 20 | Format-Table Line

Смотрим, кто пытается пролезть на наш дедик.

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Select-String ‘C:\Windows\Cluster\Reports\Cluster.log’ -Pattern ‘ err ‘ ‑Context 3

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Get-Content ‘C:\Windows\debug\netlogon.log’ | Select-Object -First 30 -Skip 45

Журналы системы ведутся в формате .evtx, и для работы с ними существуют отдельные командлеты. Для работы с классическими журналами («Приложение», «Система», и т.д.) используется Get-Eventlog. Этот командлет удобен, но не позволяет работать с остальными журналами приложений и служб. Для работы с любыми журналами, включая классические, существует более универсальный вариант ― Get-WinEvent. Остановимся на нем подробнее.

Для получения списка доступных системных журналов можно выполнить следующую команду:

Get-WinEvent -ListLog *

Вывод доступных журналов и информации о них.

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Get-WinEvent -LogName ‘System’ -MaxEvents 20

Последние записи в журнале System.

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

Get-WinEvent -FilterHashTable @{LogName=’System’;ID=’1′,’6013′}

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

• 0 ― всегда записывать;
• 1 ― критический;
• 2 ― ошибка;
• 3 ― предупреждение;
• 4 ― информация;
• 5 ― подробный (Verbose).

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

Get-WinEvent -FilterHashtable @{LogName=’system’} | Where-Object -FilterScript {($_.Level -eq 2) -or ($_.Level -eq 3)}

Ошибки и предупреждения журнала System.

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

• Get-EventLog.
• Get-WinEvent.

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

SELECT extract_token(text, 0, ‘ ‘) as date, extract_token(text, 1, ‘ ‘) as time, extract_token(text, 2, ‘ ‘) as action, extract_token(text, 4, ‘ ‘) as src-ip, extract_token(text, 7, ‘ ‘) as port FROM ‘C:\Windows\System32\LogFiles\Firewall\pfirewall.log’ WHERE action=’DROP’ AND port=’3389′ ORDER BY date,time DESC

Посмотрим на результат:

Смотрим журнал Windows Firewall.

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManager\Operational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%\test.evtx.

Данные будем получать таким запросом:

SELECT timegenerated as Date, extract_token(strings, 0, ‘|’) as user, extract_token(strings, 2, ‘|’) as sourceip FROM ‘%temp%\test.evtx’ WHERE EventID = 21 ORDER BY Date DESC

Смотрим, кто и когда подключался к нашему серверу терминалов.

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

SELECT TO_LOCALTIME(TO_TIMESTAMP(EXTRACT_PREFIX(TO_STRING([#Fields: date-time]),0,’T’), ‘yyyy-MM-dd’)) AS Date, COUNT(*) AS FROM ‘C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG’ WHERE (event-id=’RECEIVE’) GROUP BY Date ORDER BY Date ASC

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.

Выполняем запрос и открываем получившуюся картинку…

Любуемся результатом.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

$LogQuery = New-Object -ComObject «MSUtil.LogQuery» $InputFormat = New-Object -ComObject «MSUtil.LogQuery.FileSystemInputFormat» $InputFormat.Recurse = -1 $OutputFormat = New-Object -ComObject «MSUtil.LogQuery.CSVOutputFormat» $SQLQuery = «SELECT Top 20 Path, Size INTO ‘%temp%\output.csv’ FROM ‘C:\*.*’ ORDER BY Size DESC» $LogQuery.ExecuteBatch($SQLQuery, $InputFormat, $OutputFormat) $CSV = Import-Csv $env:TEMP’\output.csv’ $CSV | fl Remove-Item $env:TEMP’\output.csv’ $LogQuery=$NULL $InputFormat=$NULL $OutputFormat=$NULL

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.

Интерфейс Log Parser Studio.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:

Выборка наиболее активных ящиков.

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Как открыть

Для запуска нажмите «Win+R», пропишите «control». Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

Откроется окно утилиты. Слева расположены журналы:

• приложений;
• служб;
• подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

Работа происходит с разделом «Журналы», в который входят такие категории:

1. Система. Содержит действия, которые созданы драйверами и модулями ОС;
2. Установка;
3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
5. Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Отметьте пункты как на скриншоте:

Утилита отфильтрует записи.

Просмотрите сообщение:

Как использовать просмотр событий Windows для решения проблем с компьютером

05.06.2014 windows | для начинающих
Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

• Администрирование Windows для начинающих
• Редактор реестра
• Редактор локальной групповой политики
• Работа со службами Windows
• Управление дисками
• Диспетчер задач
• Просмотр событий (эта статья)
• Планировщик заданий
• Монитор стабильности системы
• Системный монитор
• Монитор ресурсов
• Брандмауэр Windows в режиме повышенной безопасности

Как запустить программу Просмотра событий

Чтобы осуществить запуск программы Просмотр событий нужно:

1. Открыть меню Пуск.
2. Ввести в строке поиска «Просмотр событий».
3. Нажать Ввод.

Также данная программа открывается через папку Администрирование в меню Пуск.

Важно знать, что все события распределены по категориям – к примеру, в категории Приложения размещены события приложений, в категории Система находятся системные новости. Если же на ПК настроен анализ событий безопасности (аудит событий входа в систему), то сообщения аудита поступают в категорию Безопасность.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Как очистить журнал событий в Windows 10, 8, 8.1, 7

• 8поделились
• 0Facebook
• 8Twitter
• 0VKontakte
• 0Odnoklassniki

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Как открыть

Для запуска нажмите «Win+R», пропишите «control».

Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

Откроется окно утилиты. Слева расположены журналы:

• приложений;
• служб;
• подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

Работа происходит с разделом «Журналы», в который входят такие категории:

1. Система. Содержит действия, которые созданы драйверами и модулями ОС;
2. Установка;
3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
5. Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Отметьте пункты как на скриншоте:

Утилита отфильтрует записи.

Просмотрите сообщение:

Активное использование системных журналов

Отслеживание событий — основа безопасности систем

Когда на компьютере происходит какое-либо значимое событие, операционная система записывает это событие в журнал. Входом в журналы служит Event Viewer (eventvwr.exe). Большинство администраторов открывают Event Viewer, только когда пытаются решить какую-нибудь проблему, и многие знакомые администраторы говорят мне, что используют Event Viewer только на серверах. Оба подхода ошибочны, потому что периодическая проверка системных журналов часто позволяет выявлять неполадки на ранней стадии, до того как они превратятся в серьезную проблему. Уметь пользоваться Event Viewer очень важно, поэтому я хочу предложить читателям краткий обзор по этой теме и представить свои способы работы с Event Viewer.

Общие сведения

Event Viewer открывается через меню Administrative Tools (если это меню добавлено в Programs) или через приложение Administrative Tools панели управления. Консоль программы Event Viewer содержит список доступных журналов. На компьютерах Windows по умолчанию имеются следующие журналы:

• Application (журнал приложе-ний) — содержит события, записываемые программами. Приложение определяет типы записываемых событий и язык сообщения.
• Security (журнал безопасности) — содержит события, относящиеся к безопасности компьютера, такие как попытки регистрации в системе или манипуляции с файлами.
• System (журнал системы) — содержит события, записываемые компонентами Windows.

В системах Windows Server 2003 и Windows 2000 Server в зависимости от роли сервера можно также использовать следующие журналы:

• Directory Service — содержит события, имеющие отношение к Active Directory (AD), и доступен только на контроллерах домена (DC).
• File Replication Service — содержит события, записываемые во время репликации между DC, и доступен только на DC.
• DNS Server — содержит события, относящиеся к разрешению имен DNS, и доступен только на серверах DNS.

Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:

• Error (ошибка) — сигнализирует об актуальной проблеме, которая может касаться потери функциональности, такой как нарушение корректного запуска служб и драйверов.
• Warning (предупреждение) — указывает на проблему, которая впоследствии может стать серьезной, если не обращать внимания на предупреждение. Предупреждения сугубо информативны и не свидетельствуют о наличии проблемы в настоящем или обязательном ее появлении в будущем.
• Success Audit (аудит успехов) — это событие, имеющее отношение к системе безопасности, которое произошло и записывается потому, что система или администратор включили аудит данного события.
• Failure Audit (аудит отказов) — это событие, имеющее отношение к системе безопасности, которое не произошло, но запись о нем делается потому, что система или администратор включили аудит данного события.

Информация, отображаемая в Event Viewer, включает дату и время, когда произошло событие, источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал), категорию события, ID события, имя пользователя, который был зарегистрирован в системе, когда событие произошло (не обязательно) и имя компьютера, на котором произошло событие. Для того чтобы просматривать журнал Security, необходимо иметь права администратора.

Настройка Event Viewer

Системные журналы начинают функционировать автоматически при запуске операционной системы. Размеры журнальных файлов ограничены, и система записывает события, удаляя старые записи в соответствии с выбором параметров журнала. Чтобы просмотреть или изменить конфигурацию, нужно щелкнуть правой кнопкой на имени журнала в списке Event Viewer и выбрать в раскрывающемся меню пункт Properties. Должно появиться соответствующее диалоговое окно свойств, как показано на экране 1.

Экран 1. Настройка размеров и режима перезаписи журнала System

Менять конфигурацию следует в зависимости от ситуации. Если вы не вносите существенных изменений в конфигурацию журнала или не видите необходимости в аудите событий, то работа настроек по умолчанию должна вас устроить. Настройка по умолчанию для максимального размера файла журнала составляет 512 Кбайт, и когда журнал заполнен, система автоматически заменяет старые записи новыми через 7 дней. Однако, если в систему вносятся существенные изменения или вводится в действие подробный аудит, журналы, скорее всего, начнут заполняться многочисленными записями. Если журнал оказывается заполненным и не содержит записей, хранящихся более 7 дней, утилите Event Viewer будет нечего удалить, чтобы освободить место для новых записей, и система прекратит записывать события. В этой ситуации нужно увеличить размер журнального файла или выполнить настройку журнала на затирание старых записей по мере необходимости (вариант Overwrite events — as needed).

Фильтры

Когда администратор исследует журнал, чтобы решить какую-либо проблему, или проверяет реакцию компьютера на существенное изменение конфигурации, он может ускорить этот процесс, избавившись от не имеющих отношения к делу записей в панели Details. Диалоговое окно Properties каждого журнала имеет вкладку Filter, с помощью которой выбираются типы отображаемых событий. Например, вы не хотите видеть информационные записи от определенных компьютеров или вы хотите видеть только события, произошедшие в течение недели после внесения системных изменений. Следует просто нужным образом выбрать фильтры (или отменить выбор). Помните, что фильтры влияют только на то, что отображается в окне; система продолжает записывать в журнал события тех типов, которые были отфильтрованы. Например, если есть основания полагать, что возникла угроза системе безопасности в виде вторжения извне, можно оставить для отображения события только тех типов, быстрый взгляд на которые позволяет обнаружить аномалии в регистрации, такие как события с ID 675 и 681, соответствующие неудачным попыткам аутентификации, или событие с ID 644, означающее блокировку учетной записи вследствие многократного некорректного ввода пароля.

Сортировка журнала

Погружаясь в решение какой-нибудь проблемы, я предпочитаю сортировать журналы, чтобы иметь возможность находить нужные записи непосредственно по типу события, идентификационному номеру (ID) события или по предполагаемому источнику сообщения. Например, я могла бы задаться целью найти событие Userenv, если проблема касается некоторого пользователя, имеющего проблемы с доступом в сети.

Общее событие Userenv имеет ID 1000 в журнале приложений и его описание гласит, что Windows не смогла определить имя пользователя или компьютера. Это означает, что конфигурация TCP/IP компьютера для обращения к DNS-серверу установлена некорректно. Администраторы сплошь и рядом используют неправильные адреса при настройке DNS на клиентских компьютерах; я часто нахожу IP-адрес шлюза в поле для адреса DNS. Проверку журнала компьютера-«обидчика» со своей рабочей станции обычно выполнить проще, чем идти к клиентскому компьютеру и проверять настройки TCP/IP.

Чтобы сосредоточиться на событиях конкретных типов, нужно выбрать подходящий журнал в консоли, раскрыть его содержимое, затем щелкнуть область заголовка столбца, по которому предстоит выполнить сортировку. По умолчанию журналы отсортированы по дате, а затем по времени.

Очистка журнала

Любой журнал можно очистить, чтобы освободить дополнительное место для записей. Если выбрана настройка Do not overwrite events (clear log manually) —«Не затирать события (очистка журнала вручную)», необходимо периодически чистить журнал.

Чтобы очистить журнал, следует щелкнуть правой кнопкой на названии журнала в списке консоли Event Viewer и выбрать пункт Clear all Events («Стереть все события»). Система спрашивает, нужно ли сохранить журнал перед тем, как очистить его. Если в журнале есть записи, которые могли бы пригодиться в будущем (например, при длительном отслеживании проблемы), можно выполнить архивацию содержимого журнала.

Архивация журнала

Любой журнал можно заархивировать как отдельный файл — это полезно, если в журнале появляются необычные записи и требуется понаблюдать некоторое время за изменением его содержимого. Иногда в журналах появляются события, которые выглядят угрожающе, но пользователь не ощущает никаких проблем. Если проблемы возникнут позже, сотрудникам службы поддержки Microsoft, возможно, будет полезно изучить историю этого события.

Чтобы создать архивную копию журнала, нужно щелкнуть правой кнопкой мыши по названию журнала в консоли и выбрать в меню Save Log File As («Сохранить файл журнала как…»). По умолчанию Windows сохраняет файл в папке Administrative Tools, расположенной в папке C:documentssettingsusernamestart menuprograms. Можно указать другую папку или создать отдельную папку для хранения архивных копий журналов. Я обычно присваиваю журналам имя в формате имя_журнала-дата (например, apps-dec012003). Windows добавляет расширение .evt.

Архивные копии журналов являются отдельными файлами на жестком диске, но открывать их можно только через программу просмотра событий Event Viewer. Для этого следует выбрать пункт Open Log File («Открыть файл журнала») в меню Action (или щелкнуть правой кнопкой по любому объекту в консоли и выбрать Open Log File). В диалоговом окне открытия файла требуется выбрать нужный архив, указать тип журнала (т. е. Application, Security) в меню со списком Log Type, затем щелкнуть Open.

Чтобы удалить архив из консоли, следует щелкнуть правой кнопкой по его названию в списке и выбрать Delete. Это действие не удаляет файл с жесткого диска — только из консоли. Удаление архивной копии журнала с жесткого диска выполняется так же, как и удаление любого другого файла.

Просмотр событий на удаленном компьютере

Чтобы облегчить себе задачу, администратор может со своей рабочей станции просматривать журналы удаленных компьютеров, на которых у него есть административные привилегии. На удаленном компьютере должна быть установлена Windows 2003, Windows XP, Windows 2000 Professional, Windows 2000 Server, Windows NT Server или NT Workstation.

На локальной консоли просмотра событий нужно щелкнуть правой кнопкой Event Viewer (Local) и выбрать Connect to another computer («Подключиться к другому компьютеру»). Следует ввести имя удаленного компьютера, с которым предстоит работать, или щелкнуть Browse, чтобы открыть диалоговое окно, показанное на экране 2, затем выбрать компьютер. Кроме того, если имя удаленного компьютера известно, нет необходимости вводить его в виде имени UNC. Вид консоли Event Viewer меняется таким образом, что отображает имя UNC удаленного компьютера. На удаленном компьютере можно производить те же действия, что и на локальном Event Viewer. Чтобы вернуться на локальный компьютер, следует щелкнуть правой кнопкой Event Viewer (имя компьютера), выбрать Connect to another computer, а затем Local computer.

Экран 2. Доступ к удаленному компьютеру из Event Viewer

Что искать при просмотре событий

Большинство реальных и потенциальных проблем проявляют себя посредством записи событий в тот или иной журнал. Когда вы видите запись с пометкой Error или Warning, будьте внимательны. Поищите информацию об этом событии в Microsoft Knowledge Base или на Web-сайте Windows & .NET Magazine. Если медлить с просмотром журналов, вы упустите возможность предотвратить проблему. Приведу пример. Во время периодических просмотров журналов на всех компьютерах своей сети я обнаруживаю запись в системном журнале, которая показана на экране 3. Никаких видимых признаков неполадок на компьютере не было.

Экран 3. Обнаружение надвигающегося сбоя в Event Viewer

Я быстро выполняю резервное копирование данных компьютера и запускаю программу Chkdsk, которая перемещает файлы (это были системные файлы) из испорченной области и помечает ее как испорченную, чтобы предотвратить дальнейшую запись в эту часть диска. Затем я начинаю ежедневно проверять системный журнал в течение нескольких недель и, только убедившись, что никаких новых сообщений об ошибках не появляется, возвращаюсь к еженедельному просмотру Event Viewer. Увидев дополнительные сообщения об ошибках, я бы заменила диск. Если бы я периодически не проверяла журналы компьютера, диск мог бы продолжать разваливаться и резервное копирование оказалось бы бесполезным из-за порчи файлов.

Кстати, когда я проверяю Event Viewer, я выполняю сортировку событий по типу и сначала просматриваю сообщения об ошибках, а затем предупреждения. В этот раз я также обнаружила предупреждение, датированное днем раньше, чем появилось сообщение об ошибке, и в этом предупреждении говорилось, что при записи в файл подкачки Windows обнаружила ошибку на диске. Если бы я проверила системный журнал днем раньше, я бы, возможно, нашла меньшее количество испорченных фрагментов для исправления программой Chkdsk.

Следует также просматривать все события в журнале безопасности. Этот журнал будет оставаться пустым до тех пор, пока вы не установите аудит событий безопасности. Если аудит событий безопасности установлен, ищите значительные события в зависимости от настроек аудита. Журнал безопасности — единственный журнал в Event Viewer, для просмотра которого необходимы административные полномочия. Более подробную информацию об аудите событий безопасности можно найти в статье «Мониторинг событий безопасности» (Windows & .NET Magazine/RE, №7 за 2003 год, и на Web-странице ).

Как остановить запись нежелательных событий

По умолчанию Windows настраивает компьютеры как принт-серверы, которые записывают все события, относящиеся к печати на принтерах. Кроме того, системный журнал компьютера делает информационные записи при каждой отправке документа на принтер и повторно — когда файл спулера удален после выполнения задания на печать.

Для меня события, относящиеся к печати на принтерах, не имеют значения, но некоторые администраторы хотят знать, были ли ошибки в работе с принтерами и если были, то когда; возможна также запись уведомлений, когда кто-то добавляет или удаляет принтер. Сомневаюсь, что администраторы убеждены в необходимости пополнять журнал уведомлений каждый раз, когда задание на печать отправляется спулеру, а потом удаляется.

Можно изменить выбор событий печати, записываемых в системный журнал, в папке Printers компьютера (в Windows 2003 и XP она называется Printers and Faxes). Выберите File, Server Properties и перейдите на вкладку Advanced, показанную на экране 4. Можно просто отменить выбор событий, которые вы не хотите регистрировать в журнале.

Экран 4. Выбор событий печати, записываемых в журнал System

Возьмите за правило

Поместите Event Viewer в свой список задач по обслуживанию и периодически проверяйте сетевые компьютеры. Если вы отвечаете за множество компьютеров, обеспечьте по крайней мере еженедельную проверку серверов (особенно контроллеров доменов), а рабочие станции следует проверять так, чтобы каждая рабочая станция попадала в поле зрения раз в несколько недель. Хотя на первый взгляд может показаться, что эта задача очень трудоемкая, устранение серьезной проблемы отнимает намного больше времени и сил, чем проверка журналов для получения дополнительной информации о текущих неполадках.

Кэти Ивенс ([email protected]

) — редактор Windows & .NET Magazine. Является соавтором более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference»

Как работать

Пока ПК работает без сбоев Журнал событий в Windows 10 не нужен. Используется при появлении проблем с ПК: перезагрузка, Синий экран. Журнал в (Windows) 10 информирует о причинах сбоев. Выберите ошибку. Посмотрите информацию о нее. Например: «Активация для приложения COM-сервера с CLSID {D64B11C6-BB46-4980-A93F-E41B9D520250}».

Скопируйте ее, посмотрите информацию в интернет. В этом примере ошибка говорит о необходимости обновления.

Как очистить

Утилита записывает мегабайты информации о работе ОС, отправляет их на сервер Microsoft не удаляя из системы. Они сохраняются на HDD. Чтобы удалить, используются такие способы:

1. Выборочное удаление;
2. Удалить используя Командную строку;
3. Использование стороннего софта.

Рассмотрим их подробнее.

Выборочная очистка

Откройте утилиту, выполните действия как на скриншоте:

Очищаем Журнал событий Windows 10 через cmd (командную строку)

Нажмите «Win+X», далее: Пропишите команду:

Приложение CCleaner

Откройте программу. В разделе «Очистка» о. Нажмите кнопки «Анализ», потом «Очистка».

Подробнее о работе приложения смотрите в статье: «Очистка ПК».

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

Get-EventLog -Logname «System»

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

Get-EventLog -Logname «Application»

небольшой список абревиатур

• Код события — EventID
• Компьютер — MachineName
• Порядковый номер события — Data, Index
• Категория задач — Category
• Код категории — CategoryNumber
• Уровень — EntryType
• Сообщение события — Message
• Источник — Source
• Дата генерации события — ReplacementString, InstanceID, TimeGenerated
• Дата записи события — TimeWritten
• Пользователь — UserName
• Сайт — Site
• Подразделение — Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Get-EventLog –Logname ‘System’ –Newest 20

Очистить журналы событий в Windows

В сегодняшней статье рассмотрим различные способы очистки всех журналов событий в Windows.

Открыв “Просмотр событий” вы можете увидеть различные журналы Windows, в которых находятся разные предупреждения, ошибки приложений и системы, информационные сообщения. Бывало, что обычный пользователь не мог войти в систему из-за того, что журнал безопасности переполнен. В таком случае можно было войти в систему пользователем с правами администратора, очистить журнал и в его свойствах поставить затирание по необходимости.

 Очистить все журналы просмотра событий в командной строке

1. Откройте командную строку от имени администратора: один из способов – нажать на меню “Пуск” правой клавишей мыши и выбрать “Командная строка (администратор)” из открывшегося меню.

2. Введите команду for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1” и нажмите клавишу Enter. По завершению очистки закройте командную строку.

Очистить все журналы просмотра событий в PowerShell

1. Откройте PowerShell: один из способов – в строке поиска ввести powershell и выбрать его из найденных результатов.

2. Введите команду Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log } и нажмите клавишу Enter.

Очистить журнал событий в “Просмотр событий”

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду eventvwr.msc и нажмите клавишу Enter.

2. Нажмите на журнал, который вы хотите очистить, правой клавишей мыши и выберите “Очистить журнал”.

3. Вы можете просто очистить журнал нажав на “Очистить” и очистить его, предварительно куда-то сохранив копию – нажав на “Очистить и сохранить”.

На сегодня всё, если вы знаете другие способы пишите комментарии! Удачи Вам 🙂

Журнал событий Windows 10. Зачем нужен и как пользоваться | Блог системного администратора

В десятой версии Виндоуз предусмотрен журнал событий. Этот компонент присутствует в системе уже очень давно, но очень немногие о нем знают. Хотя нужен он каждому для того, чтобы понимать, что происходит с системой вашего компьютера, найти причину сбоев, определив некорректно работающие софт или устройства.

Не один, а много разных журналов

Выглядит он как небольшая подборка логов, которые система записывает в ходе работы компьютера. Эти журналы являются обычными текстовыми файлами, записанными в формате XML.

Неправильно считать, что речь только об одном файле. Их несколько — администрирования, операционный, аналитический и отладки, не говоря уже о лог-файлах отдельных приложений. Их также называют еще и файлами регистрации.

Какие события записываются в системном журнале?

При запуске определенной программы на компьютере он отправляет сообщение в журнал событий. Кроме того, перед своим закрытием хорошо отлаженная программа также отправляет об этом уведомление.

Каждый осуществляемый доступ, изменения конфигурации безопасности, сбой операционной системы, аппаратных компонентов или драйверов оставляет след в том или ином логе событий.

Интерфейс

Таким образом, окно журнала событий является просто предназначенным для вас интерфейсом, в котором собраны данные из различных текстовых файлов регистрации. Правильнее всего рассматривать Журнал событий в качестве программы управления базами данных, в удобной форме показывающей вам информацию, накапливаемую в файлах, просматривать которые при помощи текстового редактора или просмотрщика текстов вам было бы некомфортно.

Как в него войти?

Щелкните правой кнопкой мыши по значку главного системного меню. Второй вариант, предназначенный преимущественно для сенсорных экранов, тапните по нему и некоторое время удерживайте до появления на дисплее контекстного меню. Отсюда предстоит перейти к просмотру событий.

Когда журнал откроется, вы увидите в левой верхней части окна строку меню и панель. Слева располагается вложенное окошко, в котором вы сможете выбирать, какие именно события хотите просмотреть. В их числе — относящиеся к определенными приложениям, системе в целом и ее безопасности.

И, впервые открыв это полезнейший инструмент, не спешите огорчаться и начинать считать, что ваш компьютер функционирует некорректно. Дело в том, что вы увидите огромное множество — исчисляемое сотнями, а, вероятно, и тысячами — сообщений об ошибках. И это вполне в пределах нормы. Даже в стабильно выполняющей свои задачи компьютерной системе бывает немало различных незначительных сбоев.

Что означают записи лога различных типов?

Ошибка означает, что наблюдалась существенная проблема, в том числе и такая, которая могла привести к потере данных. Предупреждение — обычно не значит ничего важного, но может указывать на существование определенных проблем. Информационное сообщение является всего лишь уведомлением программы о том, что все в порядке.

На большинство событий не надо обращать внимания

В событиях приложений софт отмечает возникшие в его работе проблемы. События безопасности рассматривают определенные действия, произведенные на компьютере, результат которых был или не был успешен. В качестве примера можно привести попытку входа пользователя. На события установки пользователю в большинстве случаев не следует никак реагировать. Ведь касаются они преимущественно управления контроллерами.

В системных событиях собраны поступившие от файлов Виндовз уведомления и касаются они тех сбоев, которые возникли в ходе функционирования системы. Почти все они исправляются усилиями самой системы и в вашем вмешательстве не нуждаются.

Читайте другие мои статьи на Дзен-канале.

Или подписывайтесь на группу Вконтакте.

Пакетное отключение и очистка событий системного журнала одним щелчком (например, Windows 10 1803 Enterprise Edition)

Авторские права принадлежат мне [имя пользователя CsDn: ingino, псевдоним: температура сорок] и не могут быть воспроизведены без разрешения.

【Аннотация】 Очистка некритических событий системного журнала и отключение ненужных записей системного журнала может еще больше повысить эффективность работы Windows и освободить дисковое пространство. Для страданияЧистота, обсессивно-компульсивное расстройствоДля пользователей Windows выполнение этой операции также может удовлетворить стремление этих пользователей к аккуратной и эффективной психологии. В этой статье предлагается «двухэтапная» стратегия очистки событий системного журнала, то есть Cmd сначала отключает ведение журнала, а затем Cmd очищает ведение журнала. Таким образом, вы можете быстро очистить все системные журналы и быстро отключить записи системного журнала, указанные пользователем, чтобы гарантировать, что эти записи не будут генерировать какие-либо записи событий в будущем, чтобы достичь цели тщательной очистки.

Введение

Хотя в сети существует множество учебных пособий по очистке событий системного журнала Windows для достижения снижения веса и ускорения, эти учебные пособия часто игнорируют тот факт, что если некоторые записи журнала не отключены, действия пользователя будут проходить со временем. При увеличении система также сгенерирует большое количество записей журнала, а затем будет очищена, что доставит массу неудобств пользователям. Таким образом, автор считает, что по сравнению с частой очисткой журналов одноразовое отключение журналирования может в принципе обеспечить чистоту системного журнала, потому что, как только запись журнала отключена, запись журнала не будет создавать никаких записей о событиях, и Это также избавляет пользователей от необходимости постоянно очищать их логи.

2. Анализ событий системного журнала Windows

Откройте средство просмотра событий Windows 10 1803 Enterprise Edition, вы можете обнаружить, что журнал событий Windows разделен на две части, первая часть — «Журнал Windows», вторая — «Журнал приложений и служб». (Как показано ниже)

---

из их,«Журнал Windows»В основном регистрирует сетевое подключение операционной системы, ключевые процессы, безопасность системы, информацию о работе системной службы, предупреждения, ошибки и др. Записи в этой части журнала более важны. Эти записи могут помочь пользователям определить ключевую информацию операционной системы и Проблема, поэтому, щелкнув правой кнопкой мыши эти записи, есть только опция для очистки журнала, и нет возможности отключить журнал (как показано ниже).

---

«Журнал приложений и услуг»В основном запишите информацию, предупреждения, ошибки и другие журналы каждого элемента модуля, элемента службы, элемента приложения текущей операционной системы, разверните запись «журнал приложения и службы», найдите Microsoft → Windows, эта часть журнала поддерживает отключение и очистку (как показано ниже) ). Можно обнаружить, что проект содержит большое количество записей журнала. Автор насчитывает в общей сложности 300 вложенных записей. Поэтому, если эта часть журнала не очищена или не отключена, она будет занимать большой объем дискового пространства и оказывать определенное влияние на эффективность работы системы. Эта статья посвящена очистке и отключению этой части журнала одним нажатием кнопки.

---

Windows 10 1803 Enterprise EditionФайл событий системного журнала,роды

【C:\Windows\System32\winevt\Logs】

Далее, то есть для файлов с суффиксом evtx, размер этих файлов зависит от количества записанных событий журнала.

---

Windows 10 1803 Enterprise EditionКонфигурация событий системного журналаНаходится в реестре

【Компьютер \ HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ WINEVT \ Каналы】

Выберите любое количество элементов ниже, вы можете найти, что каждый элемент содержит одно и то же строковое значение и DWORD (32-битное значение), мы сосредоточимся на [Enabled] DWORD (32-битное значение), дважды щелкнув значение, вы можете Измени это.
изменено на 0, это означает отключение журнала;
изменено на 1, это означает включение журнала (как показано ниже).

Три, один ключ, чтобы отключить ведение журнала

Чтобы отключить ведение журнала одним щелчком, нам нужно использовать команду wemtutil Cmd (также можно использовать метод импорта реестра, но в этой статье он не представлен). Официально опубликовано Microsoft, оно является авторитетным и надежным, и в отличие от скопированного и вставленного кода, найденного Baidu, его надежность крайне низка.

[Ссылка на документ Microsoft:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc732848(v=ws.11)】

Обратитесь к документации по синтаксису команды Cmd, чтобы отключить указанный элемент системного журнала.

wevtutil sl «Полное имя записи в журнале» /e:false

Например,
Если вы хотите отключить запись журнала Microsoft-Windows-Application Server-Applications через Cmd, вам нужно развернуть папку и щелкнуть правой кнопкой мыши «операционная«с»управление«, Во всплывающем диалоговом окне мы фокусируемся на поле ввода» полное имя «, имя, отображаемое в поле ввода, представляет собой полное имя элемента журнала (как показано).

Мы выбираем все и копируем это имя вместе с синтаксисом команды Cmd, чтобы отключить системный журнал, затем вы можете ввести следующую команду в Cmd, нажать Enter для выполнения, а затем снова открыть средство просмотра событий, то есть Вы можете просмотреть эффект.

wevtutil sl "Microsoft-Windows-Application Server-Applications/Operational" /e:false
wevtutil sl "Microsoft-Windows-Application Server-Applications/Admin" /e:false

Однако,
Как упоминалось ранее, Microsoft → Windows содержит 300 записей журнала, одну за другой с помощью мыши, что неизбежно приводит к потере времени. Поэтому вам необходимо получить имена этих записей одним щелчком мыши. Файл журнала, то есть файл evtx, расположенный в C: \ Windows \ System32 \ winevt \ Logs, нам нужно получить Txt-список имен событий журнала, содержащихся в этой папке,
1. Запустите Cmd от имени администратора.
2. Введите

Cd C:\Windows\System32\winevt\Logs

3. Введите
4. Введите снова

Dir *.* /B >D:\List.txt

5. Введите
Затем в корневом каталоге диска D. будет дополнительный файл List.txt. Этот файл List.txt содержит имена всех файлов в папке C: \ Windows \ System32 \ winevt \ Logs ,
6. Откройте List.txt
Ради страховки выберите только элементы из Microsoft → Windows, из Microsoft-Windows-AAD% 4Operational.evtx в Microsoft-Windows-WWAN-SVC-Events% 4Operational.evtx и остальные удалять.
Поскольку путь к файлу не может содержать символы /, Microsoft заменяет / на% 4. Нам нужно заменить все% 4 в List.txt на / и удалить имя суффикса.
Затем мы также вставляем wevtutil sl ”и” / e: false в начале и конце каждой строки.
Окончательный результат показан ниже.

Вы также можете сохранить файл как файл cmd и запустить его от имени администратора, чтобы отключить выполнение журнала одним щелчком мыши.

4. Очистить журнал одним щелчком

Обратитесь к документации по синтаксису команды Cmd, чтобы отключить указанный элемент системного журнала.

wevtutil cl «Полное имя записи в журнале»

1. Запустите Cmd от имени администратора.
2. Введите

Cd C:\Windows\System32\winevt\Logs

3. Введите
4. Введите снова

Dir *.* /B >D:\List.txt

5. Введите
Затем в корневом каталоге диска D будет дополнительный файл List.txt, замените все% 4 в List.txt на / и равномерно удалите имя суффикса. Поскольку журнал очищен, мы можем включить все evtx.
Затем мы также вставляем wevtutil cl ”и” в начале и конце каждой строки соответственно
Окончательный результат показан ниже.

V. Вывод

С помощью следующих трех команд Cmd в статье реализовано отключение одним ключом и удаление одного ключа из системного журнала, что имеет преимущества удобной работы и эффективной работы.

Получить записи журнала:
Cd C:\Windows\System32\winevt\Logs
Dir *.* /B >D:\List.txt

Отключить ведение журнала:
wevtutil sl «Полное имя записи в журнале» /e:false

Очистить журнал событий:
wevtutil cl «Полное имя записи в журнале»

Event Viewer — Как получить доступ к журналу активности Windows 10

Windows 10 Event Viewer — это приложение, которое отображает журнал с подробной информацией о важных событиях на вашем компьютере. Эта информация включает автоматически загружаемые обновления, ошибки и предупреждения.

Из этой статьи вы узнаете, что такое программа просмотра событий, какие у нее есть журналы и, что наиболее важно, как получить к ней доступ на компьютере с Windows 10.

Что такое программа просмотра событий?

Каждая программа, которую вы открываете на компьютере с Windows 10, отправляет уведомление в определенный журнал активности в средстве просмотра событий.

Все остальные действия, такие как изменения ОС, обновления безопасности, причуды драйверов, сбой оборудования и т. Д., Также заносятся в отдельный журнал. Таким образом, вы можете думать о средстве просмотра событий как о базе данных, которая записывает все действия на вашем компьютере.

Средство просмотра событий позволяет устранять различные проблемы с Windows и приложениями.

Если вы внимательно изучите средство просмотра событий, вы увидите различную информацию, предупреждения и множество ошибок. Не волнуйтесь — это нормально.Даже на самых хорошо обслуживаемых компьютерах отображается множество ошибок и предупреждений.

Как получить доступ к журналу активности Windows 10

Есть 3 основных способа получить доступ к средству просмотра событий в Windows 10 — через меню «Пуск», диалог «Выполнить» и командную строку.

Шаг 1 : Щелкните Пуск или нажмите клавишу WIN (Windows) на клавиатуре
Шаг 2 : Найдите «Средство просмотра событий»
Шаг 3 : Щелкните по первому результату поиска или нажмите ENTER

Вас встретят на этой странице:

Как получить доступ к журналу активности Windows 10 через диалог запуска

Шаг 1 : Щелкните правой кнопкой мыши «Пуск» (журнал Windows) и выберите «Выполнить» или нажмите WIN (клавиша Windows) + R на клавиатуре

Шаг 2 : Введите «eventvwr» в редактор и нажмите «ОК» или нажмите ENTER

Как получить доступ к журналу активности Windows 10 через командную строку

Шаг 1 : Нажмите Пуск (логотип Windows) и найдите «cmd».
Шаг 2 : Нажмите Enter или щелкните первый результат поиска (должен быть командной строкой), чтобы запустить командную строку

Шаг 3 : Введите «eventvwr» и нажмите ENTER

Журналы активности средства просмотра событий

Когда вы открываете программу просмотра событий для просмотра журналов активности вашего компьютера, вам автоматически открывается вкладка Просмотр событий (локальная).Но это может не содержать необходимых вам деталей, так как это просто страница, с которой вас приветствуют, когда вы открываете средство просмотра событий.

Средство просмотра событий — это гораздо больше, чем это.

Журнал административных событий

Вы можете развернуть вкладку Custom Views, чтобы увидеть административные события вашего компьютера, например:

Журналы активности Windows

Вы также можете развернуть журналы Windows, чтобы отобразить различные действия, например:

• События приложений: информация, сообщения об ошибках и предупреждения о действиях программы
  

• События безопасности: показывает результаты различных действий безопасности.Они называются аудитами, и каждый из них может быть успешным или неудачным
  

• Setup Event: это связано с контроллерами домена, которые представляют собой сервер, проверяющий пользователей в компьютерных сетях. Вы не должны беспокоиться о них изо дня в день.
  

• Системные события: это отчеты из системных файлов с подробным описанием ошибок, с которыми они столкнулись.
  

• Перенаправленные события: они отправляются на ваш компьютер с других компьютеров в той же сети.Они помогают вам отслеживать журналы событий других компьютеров в той же работе.
  

Кроме того, существуют журналы приложений и служб, которые показывают действия оборудования и Internet Explorer, а также действия приложений Microsoft Office.

Вы можете дважды щелкнуть ошибку, чтобы проверить ее свойства, и найти идентификатор события ошибки в Интернете. Это может помочь вам найти больше информации об ошибке, чтобы вы могли исправить ее при необходимости.

Заключение

Из этой статьи вы узнали о средстве просмотра событий Windows 10, которое является очень мощным инструментом, которым пользователи Windows должны знать, как использовать.

Помимо просмотра различных журналов активности, он также помогает вам быть в курсе того, что происходит на вашем компьютере.

Спасибо за внимание. Если вы считаете эту статью полезной, поделитесь ею со своими друзьями и семьей.

Проверка журналов событий Windows

Проверять события, связанные с M-файлами, в журнале событий Windows на на регулярной основе по любым вопросам, особенно связанным с резервным копированием. Вы можете захотеть также рассмотреть возможность использования сценария PowerShell или стороннего приложения для отправки уведомления по электронной почте при возникновении вышеупомянутых событий.

1. Нажмите ⊞ Win + R на компьютере-сервере M-Files.

   Результат: открывается диалоговое окно «Выполнить».

2. В поле «Открытый текст» введите eventvwr и нажмите ОК.

   Результат: открывается программа просмотра событий.

3. Разверните узел Журналы Windows.
4. Выберите узел Application.Результат: Отобразится журнал приложения:
5. Щелкните Фильтр текущего журнала … на Панель действий в приложении раздел, чтобы перечислить только записи, относящиеся к M-файлам.

   Результат: откроется диалоговое окно «Фильтр текущего журнала». открыт.

6. В раскрывающемся меню Источники событий выберите все приложения, связанные с M-Files, такие как M-Files, Комплект соответствия M-Files, и MFClient.
7. Нажмите ОК, чтобы закрыть текущую фильтрацию. Диалог журнала.

Журнал событий приложения теперь должен отображать только записи которые относятся к M-Files.

Примечание. Если свободное место на диске серверный компьютер позволяет, мы рекомендуем увеличить максимальный размер журнала Журнал приложений, например, до 200000 КБ, чтобы охватить больше Мероприятия. В некоторых случаях ошибки в журнал может записываться большое количество событий, таким образом, очень быстро заполняется журнал по умолчанию размером около 20 МБ.Это может сделать это невозможно отследить источник проблемы. Вы можете изменить размер журнала с помощью щелкнув правой кнопкой мыши узел «Приложение» в левом дереве. а затем выберите в контекстном меню пункт «Свойства». Увеличение размера журнала клиентских компьютеров требуется редко, но может быть полезно в некоторых случаях.

Что такое программа просмотра событий и как ее использовать в Windows 10

Введение — Что такое программа просмотра событий?

Windows 10 предоставляет нам функцию, которая помогает нам просматривать подробный журнал всех наших приложений.Эта функция известна как средство просмотра событий . Он дает подробный анализ работы всех приложений в Windows 10. Он также предоставляет нам список всех ошибок, которые произошли при запуске любого приложения. Этот список помогает нам определить первопричину всех проблем.

Это помогает нам отслеживать те приложения, которые вызывают проблемы во время работы. После просмотра подробного отчета об этих проблемах вы легко сможете их решить. Это не только увеличивает эффективность вашей компьютерной системы, но и избавляет вас в будущем от некоторых из наиболее часто возникающих проблем.В этой статье мы объясним вам метод использования средства просмотра событий в Windows 10.

Использование средства просмотра событий в Windows 10

Чтобы использовать средство просмотра событий в Windows 10, вам необходимо выполнить следующие шаги:

Средство просмотра событий Windows

Введите Средство просмотра событий в разделе поиска на панели задач и щелкните результат поиска, чтобы открыть окно средства просмотра событий. Недавно открывшееся окно средства просмотра событий показано на следующем изображении:

Для просмотра различных типов журналов событий вам необходимо развернуть вкладку Windows Logs, как показано на изображении ниже:

Я выделили наиболее важные типы журналов событий на изображении, показанном выше.Журнал приложений записывает те события, которые связаны с интерфейсом и другими важными компонентами, которые необходимы для запуска приложения. Журнал безопасности связан с событиями, связанными с попытками входа в систему и другими функциями безопасности Windows 10. Системный журнал отслеживает те события, которые связаны с предустановленными программами Windows 10. Мы рассмотрим все эти типы журналов событий один за другим.

События приложения

Щелкните вкладку Приложение , чтобы просмотреть журналы приложений.

Как только вы нажмете на нее, правая панель окна изменится, как показано на следующем изображении:

Есть три уровня всех событий, которые записываются в журнал приложений, то есть информация , ошибка и Предупреждение . Информационные события — это те события, которые информируют о нормальной активности приложения, то есть приложение работает без каких-либо проблем. События Error информируют о возникновении ошибки при запуске приложения.События предупреждения сообщают о любых возможных проблемах, которые могут возникнуть при работе приложения. Более того, идентификаторы событий помогут вам найти решение любой конкретной ошибки, выполнив поиск в Интернете.

Средство просмотра событий — Безопасность

Теперь щелкните вкладку «Безопасность» , чтобы просмотреть журналы безопасности.

Как только вы нажмете на нее, правая панель окна изменится, как показано на изображении ниже:

Есть два ключевых слова, которые представляют тип событий, записываемых журналом безопасности i.е. Успех аудита и неудача аудита . Ключевое слово Audit Success используется для идентификации успешных попыток входа в систему, тогда как ключевое слово Audit Failure используется для указания неудачных попыток входа в систему.

Теперь щелкните вкладку «Система», чтобы просмотреть системные журналы.

Как только вы нажмете на нее, правая панель окна изменится, как показано на следующем изображении:

Как и события журнала приложений, события системного журнала также имеют те же три уровня i.е. Информация, ошибка и предупреждение . Мы уже обсуждали детали уровней выше.

Журналы Windows

Кроме того, если вы хотите просмотреть количество событий каждого типа и размер, занимаемый этими событиями, в журналах Windows, вы можете просто щелкнуть журналы Windows и просмотреть эту информацию на правой панели окна. как показано на изображении ниже:

Заключение

Таким образом, вы можете использовать средство просмотра событий для анализа журнала событий, чтобы узнать обо всех событиях, которые происходят в вашей компьютерной системе с использованием Windows 10.Журнал событий не только помогает нам отслеживать проблемы и проблемы, возникающие при выполнении определенных действий, но также помогает нам в решении наиболее часто встречающихся проблем с использованием соответствующих идентификаторов событий.

Средство просмотра журнала событий для Windows 10/8/7 / Vista

FullEventLogView v1.67 — средство просмотра журнала событий для Windows 10/8/7 / Vista Copyright (c) 2016-2021 Нир Софер См. Также Описание FullEventLogView — это простой инструмент для Windows 10/8/7 / Vista, который отображает в таблице сведения обо всех событиях из журналов событий Windows, включая описание события.Он позволяет вам просматривать события вашего локального компьютера, события удаленного компьютера в вашей сети, а также события, хранящиеся в файлах .evtx. Он также позволяет экспортировать список событий в файл text / csv / tab-delimited / html / xml из графического интерфейса пользователя и из командной строки. Системные требования Эта утилита работает с любой версией Windows, начиная с Windows Vista и заканчивая Windows 10. Поддерживаются как 32-битные, так и 64-битные системы. Для Windows XP и более старых систем вы можете использовать инструмент MyEventViewer. FullEventLogView против MyEventViewer MyEventViewer — очень старый инструмент, изначально разработанный для Windows XP / 2000/2003. Начиная с Windows Vista, Microsoft создала новую систему регистрации событий с совершенно новыми интерфейсами программирования. Старый Интерфейс программирования по-прежнему работает даже в Windows 10, но он не может получить доступ к новым журналам событий, добавленным в Windows Vista и более новых системах. MyEventViewer использует старый интерфейс программирования, поэтому он не может отображать многие журналы событий, добавленные в Windows 10/8/7 / Vista.FullEventLogView использует новый интерфейс программирования, поэтому он отображает все события. История версий Версия 1.67: Исправлен параметр командной строки / srawxml, чтобы сохранять необработанный xml намного быстрее, чем в предыдущих версиях. Версия 1.66: Параметр «Показать строки событий в столбцах» — теперь вы можете изменить количество отображаемых столбцов строки событий, когда этот параметр включен. Вы можете сделать это, отредактировав следующую строку в FullEventLogView.cfg (значение по умолчанию 10): EventStringColumns = 10 Вы должны изменить это значение, пока FullEventLogView не запущен. Версия 1.65: Добавлен параметр для сохранения выбранных событий в виде необработанного XML-файла события (в параметре «Сохранить выбранные элементы»), который представляет собой тот же XML-код, который вы видите в нижней панели при выборе «Параметры» -> «Режим отображения нижней панели» -> «Показать XML-код события». Добавлен параметр командной строки / srawxml для сохранения необработанного XML события из командной строки. Обновлена ​​функция экспорта HTML в HTML5. Добавлена ​​возможность изменить столбец сортировки из меню (Вид -> Сортировать по). Как и при сортировке по щелчку заголовка столбца, если вы снова щелкните тот же пункт меню сортировки, он переключится между возрастающим и убывающим порядком. Кроме того, если вы удерживаете клавишу Shift при выборе пункта меню сортировки, вы получите вторичную сортировку. Версия 1.62: Добавлена ​​возможность указать имя пользователя и пароль для подключения к удаленному компьютеру (в окне «Выбрать источник данных»).Вы должны использовать эту опцию, если вы получаете сообщение об ошибке «Доступ запрещен» при попытке подключения к удаленному компьютеру. Версия 1.61: Исправлены некоторые проблемы с режимом высокого разрешения. Версия 1.60: Добавлена ​​опция «Поднос воздушного шара при новом событии». Эта функция активна, только если включены параметры «Поместить значок в лоток» и «Автообновление». Когда он активен, FullEventLogView отображает каждое новое событие во всплывающем окне в трее. Добавлен параметр «Начать как скрытый».Когда этот параметр и параметр «Поместить значок в лоток» включены, главное окно FullEventLogView будет невидимым при запуске. Версия 1.58: Добавлен «Новый экземпляр FullEventLogView» в меню «Файл» для открытия нового окна FullEventLogView. Версия 1.57: Добавлен столбец «Файл журнала», в котором отображается имя файла журнала, если событие было загружено непосредственно из файла .evtx или .etl. Версия 1.56: В полях канала и провайдера окна «Дополнительные параметры» теперь вы можете выбрать желаемый канал / провайдера из выпадающего списка. Версия 1.55: При чтении файлов .etl, которые хранят данные событий внутри элемента EventPayload XML, FullEventLogView теперь автоматически преобразует EventPayload из шестнадцатеричной строки в читаемый текст и отображает его как описание события. Например, вы можете использовать эту функцию для просмотра журналов Центра обновления Windows из C: \ windows \ logs \ WindowsUpdate в Windows 10. В контекстное меню, вызываемое щелчком правой кнопкой мыши, добавлена ​​опция «Копировать нажатую ячейку», которая копирует в буфер обмена текст ячейки, по которой вы щелкнули правой кнопкой мыши. Версия 1.53: Исправлена ​​ошибка: подстановочные знаки не работали при использовании опции «Искать в строке полного описания». Исправлено для сохранения опции «Учитывать регистр» быстрого фильтра в файле .cfg. Версия 1.52: В окно «Настройки столбца» добавлены «Выбрать все» и «Отменить все». Версия 1.51: В контекстное меню добавлена ​​опция «Очистить все события выбранного канала». Увеличить максимальный размер строки фильтра описания. Версия 1.50: Исправлена ​​ошибка: FullEventLogView оставался в памяти, если вы закрывали главное окно во время сканирования событий. Добавлена ​​опция «Очистить все события выбранного канала» (в меню «Файл»). Например: если вы выбираете событие, его канал «Система» при использовании этой опции удаляются все системные события. Добавлен параметр командной строки / ClearChannelEvents, который очищает все события указанного канала, например: FullEventLogView.exe / RunAsAdmin / ClearChannelEvents «Microsoft-Windows-Bits-Client / Operational» В фильтр описания добавлено 2 режима: «Искать в параметрах описания» и «Искать в строке полного описания». В предыдущих версиях поиск производился по параметрам описания, но некоторые люди сообщили, что это ошибка. Теперь поиск по умолчанию выполняется внутри строки полного описания, но этот режим поиска работает медленнее, поскольку требует загрузки метаданных и форматирования строка описания перед процессом фильтрации. Версия 1.38: Исправлена ​​ошибка: при попытке экспорта событий удаленного компьютера из командной строки FullEventLogView загружал события с локального компьютера. Версия 1.37: В окно быстрого фильтра добавлена ​​опция «С учетом регистра». Версия 1.36: Добавлен параметр командной строки / RunAsAdmin для запуска FullEventLogView от имени администратора. Версия 1.35: Добавлены новые параметры в функцию «Быстрый фильтр», включая возможность фильтрации списка по идентификатору события. Версия 1.32: При выборе загрузки только определенных идентификаторов событий (из окна «Дополнительные параметры») процесс загрузки выполняется намного быстрее. Версия 1.31: Исправлена ​​ошибка: при подключении удаленного компьютера отображалась следующая ошибка — Ошибка 50: запрос не поддерживается. Версия 1.30: Исправлена ​​ошибка: FullEventLogView не отображал строки событий в нижней панели (режим «Показать данные о событии + описание») и в столбцах (опция «Показать строки событий в столбцах»). Теперь вы можете изменить размер окна свойств, и последний размер / положение этого окна сохраняется в файле .cfg. Теперь вы можете отправить данные на стандартный вывод, указав пустую строку в качестве имени файла, например: FullEventLogView.exe / scomma «» | более Версия 1.28: В нижней панели исправлено использование правильного размера шрифта в режиме высокого разрешения. Добавлена ​​возможность выбора другого шрифта (названия и размера) для отображения в главном окне. Версия 1.27: При экспорте элементов с многострочным описанием в файл с разделителями табуляции (включая параметр «Копировать выбранные элементы») FullEventLogView теперь помещает описание в кавычки, чтобы убедитесь, что экспортированные данные будут правильно отображаться в Excel и других программах. Версия 1.26: Добавлена ​​поддержка сохранения в формате JSON. Версия 1.25: Добавлен параметр «Показывать строки событий в столбцах» (в меню «Параметры»). Когда он включен, в основную таблицу добавляются 10 новых столбцов строки событий (‘String 1’, ‘String 2’, ‘String 3’…). В этих столбцах отображаются строки из описания событий, и вы можете щелкнуть заголовок столбца, чтобы отсортировать события по строкам событий. Версия 1.22: Исправлена ​​ошибка: в некоторых системах FullEventLogView пропускал некоторые события при использовании временного фильтра. Версия 1.21: Добавлен параметр командной строки / cfg, который указывает FullEventLogView использовать файл конфигурации в другом месте вместо файла конфигурации по умолчанию, например: FullEventLogView.exe / cfg «% AppData% \ FullEventLogView.cfg» Версия 1.20: Добавлена ​​возможность фильтрации по строкам описания события (в окне «Дополнительные параметры»). Добавлена ​​функция «Быстрый фильтр» («Просмотр» -> «Использовать быстрый фильтр» или Ctrl + Q). Когда он включен, вы можете ввести строку в текстовое поле, добавленное под панелью инструментов, и FullEventLogView мгновенно отфильтрует таблицу событий, показывая только строки, содержащие введенную вами строку. Исправлена ​​нижняя панель для переключения фокуса при нажатии клавиши табуляции. Версия 1.12: Добавлена ​​возможность указать временной диапазон в GMT (окно «Дополнительные параметры»). Исправить ошибку: при использовании параметра командной строки / SaveDirect файл всегда сохранялся в соответствии с кодировкой по умолчанию, вместо использования кодировки, выбранной в «Параметры» -> «Сохранить кодировку файла». Версия 1.11: Исправлена ​​ошибка: процесс экспорта большого количества элементов журнала событий из командной строки был очень медленным, даже при использовании / SaveDirect. Версия 1.10: Добавлена ​​возможность автоматического чтения файлов архивных журналов (в окне «Выбор источника данных»). Этот параметр работает только при запуске FullEventLogView от имени администратора. Версия 1.06: Исправлен FullEventLogView для правильного отображения описания события при чтении файлов .evtx из теневой копии (например: \\? \ GLOBALROOT \ Device \ HarddiskVolumeShadowCopy3 \ Windows \ System32 \ winevt \ Logs) Исправлена ​​ошибка: FullEventLogView отображал сообщение об ошибке при попытке чтения.etl файлы. Версия 1.05: FullEventLogView теперь отображает сообщение об ошибке, если не удается загрузить события из внешнего файла evtx или с удаленного компьютера. На панель инструментов добавлен значок «Выбрать источник данных». Версия 1.00 — Первый выпуск. Начать использование FullEventLogView FullEventLogView не требует никакого процесса установки или дополнительных файлов DLL. Чтобы начать им пользоваться, просто запустите исполняемый файл — FullEventLogView.EXE После запуска FullEventLogView главное окно загружается и отображает все события за последние 7 дней. Вы можете изменить 7-дневный временной фильтр по умолчанию и установить другие фильтры, используя окно «Дополнительные параметры» (F9). Если вы хотите загрузить события с удаленного компьютера в вашей сети или из файлов журнала событий (.evtx), вам следует использовать окно «Выбрать источник данных» (F7). Режим отображения нижней панели Когда вы выбираете событие на верхней панели, на нижней панели отображаются подробные сведения о выбранном событии, в зависимости от выбранного вами режима отображения (Параметры -> Режим отображения нижней панели): Показать описание события: Отображает полное описание события.Некоторые описания событий слишком длинные для просмотра в столбце «Описание», поэтому вы можете просмотреть подробное описание события на нижней панели. Показать данные о событии + Описание: Отображает полное описание события и дополнительные данные, хранящиеся в этом событии. Показать XML события: Отображает полный XML-код события. Обновить (F5) и плавно обновить (F8) FullEventLogView предоставляет 2 типа действий обновления: Обновить (F5): перезагружает весь журнал событий. Плавное обновление (F8): FullEventLogView добавляет только новые элементы событий, которые были созданы с момента предыдущего обновления. Режим автоматического обновления Когда режим автоматического обновления включен (Параметры -> Автообновление -> Каждые x секунд), FullEventLogView автоматически выполняет плавное обновление в соответствии с выбранным интервалом обновления, чтобы вы могли видеть, когда создается новый элемент журнала событий. Показать строки событий в столбцах Вы можете включить параметр «Показывать строки событий в столбцах», если хотите просматривать все строки событий в таблице на верхней панели. По умолчанию FullEventLogView отображает 10 столбцов строки событий (String 1, String 2, String 3 ,…). Если вам нужно более 10 столбцов строки событий, вы можете сделать это, отредактировав следующую строку в FullEventLogView.cfg: EventStringColumns = 10 Вы должны изменить это значение, пока FullEventLogView не запущен. Запуск от имени администратора По умолчанию FullEventLogView не запрашивает повышение прав (запуск от имени администратора). Если вы хотите наблюдать за событиями, которые доступны только с правами администратора (например, журнал безопасности), вы должны запустить FullEventLogView от имени администратора, нажав Ctrl + F11. Параметры командной строки / ChannelFilter [1–3] / EventIDFilter [1–3] / ProviderFilter [1–3] / ChannelFilterStr [строка фильтра] / EventIDFilterStr [строка фильтра] / ProviderFilterStr [строка фильтра] . . . Вы можете использовать любую переменную внутри файла .cfg, чтобы задать конфигурацию из командной строки, вот несколько примеров: Чтобы отображать только события с идентификатором 8000 и 8001: FullEventLogView.exe / EventIDFilter 2 / EventIDFilterStr «8000,8001» Чтобы показывать только события из канала Microsoft-Windows-Dhcp-Client / Admin: FullEventLogView.exe / ChannelFilter 2 / ChannelFilterStr «Microsoft-Windows-Dhcp-Client / Admin» Чтобы читать события из файлов .evtx, хранящихся в c: \ temp \ logs: FullEventLogView.exe / DataSource 3 / LogFolder «c: \ temp \ logs» / LogFolderWildcard «*» Чтобы прочитать события с удаленного компьютера: FullEventLogView.exe / DataSource 2 / ComputerName «192.168.0.70» Чтобы экспортировать события с удаленного компьютера в файл .csv: FullEventLogView.exe / scomma «c: \ temp \ remote_events.csv» / DataSource 2 / ComputerName «192.168.0.50» Вы можете найти больше примеров командной строки на следующих веб-страницах: Как экспортировать события Windows удаленного компьютера в CSV-файл из командной строки Как экспортировать события Windows, хранящиеся в файле .evtx, в файл csv из командной строки / ClearChannelEvents <имя канала> Очистить все события указанного канала, например: FullEventLogView.exe / RunAsAdmin / ClearChannelEvents «Microsoft-Windows-WLAN-AutoConfig / Operational» / cfg <Имя файла> Запустите FullEventLogView с указанным файлом конфигурации. Например: FullEventLogView.exe / cfg «c: \ config \ felv.cfg» FullEventLogView.exe / cfg «% AppData% \ FullEventLogView.cfg» / RunAsAdmin Запустите FullEventLogView от имени администратора. / stext <Имя файла> Сохраните элементы журнала событий в простой текстовый файл. / stab <Имя файла> Сохраните элементы журнала событий в текстовый файл с разделителями-табуляциями. / scomma <Имя файла> Сохраните элементы журнала событий в текстовый файл с разделителями-запятыми (csv). / stabular <Имя файла> Сохраните элементы журнала событий в табличный текстовый файл. / shtml <Имя файла> Сохраните элементы журнала событий в файл HTML (горизонтально). / sverhtml <Имя файла> Сохраните элементы журнала событий в файл HTML (вертикально). / sxml <имя файла> Сохраните элементы журнала событий в файл XML. / sjson <имя файла> Сохраните элементы журнала событий в файл JSON. / srawxml <имя файла> Сохраните элементы журнала событий в необработанном XML-файле событий. / SaveDirect Сохраните элементы журнала событий в режиме SaveDirect.Для использования с другими параметрами командной строки сохранения (/ scomma, / stab, / sxml и т. Д.). Когда вы используете режим SaveDirect, элементы журнала событий сохраняются непосредственно на диск, без предварительной загрузки их в память. Имейте в виду, что функция сортировки не поддерживается в режиме SaveDirect. / sort <столбец> Этот параметр командной строки можно использовать с другими параметрами сохранения для сортировки по нужному столбцу. Параметр может указывать индекс столбца (0 для первого столбца, 1 для второго столбца и т. Д.) Или имя столбца, например «Идентификатор записи» и «Идентификатор события».Вы можете указать префиксный символ ‘~’ (например: «~ Channel»), если хотите отсортировать по убыванию. Вы можете указать несколько / sort в командной строке, если хотите сортировать по нескольким столбцам. Перевод FullEventLogView на другие языки Чтобы перевести FullEventLogView на другой язык, следуйте инструкциям ниже: Запустите FullEventLogView с параметром / savelangfile: FullEventLogView.exe / savelangfile Файл с именем FullEventLogView_lng.ini будет создан в папке утилиты FullEventLogView. Откройте созданный языковой файл в Блокноте или в любом другом текстовом редакторе. Перевести все строковые записи на нужный язык. При желании вы также можете добавить свое имя и / или ссылку на свой веб-сайт. (Значения TranslatorName и TranslatorURL) Если вы добавите эту информацию, она будет используется в окне «О программе». После того, как вы закончите перевод, запустите FullEventLogView, и все переведены строки будут загружены из языкового файла. Если вы хотите запустить FullEventLogView без перевода, просто переименуйте языковой файл или переместите его в другую папку. Лицензия Эта утилита выпущена как бесплатное ПО. Вы можете свободно распространять эту утилиту через дискеты, CD-ROM, Интернет или любым другим способом, если вы ничего за это не берете и не продавать или распространять как часть коммерческого продукта. Если вы распространяете эту утилиту, вы должны включить все файлы в дистрибутив, без каких-либо модификаций! Заявление об ограничении ответственности Программное обеспечение предоставляется «КАК ЕСТЬ» без каких-либо явных или подразумеваемых гарантий, включая, но не ограничиваясь, подразумеваемые гарантии товарной пригодности и пригодности для определенной цели.Автор не несет ответственности за какие-либо особые, случайные, косвенный или косвенный ущерб из-за потери данных или по любой другой причине. Обратная связь Если у вас есть какие-либо проблемы, предложения, комментарии или вы обнаружили ошибку в моей утилите, вы можете отправить сообщение на [email protected] FullEventLogView также доступен на других языках. Чтобы изменить язык FullEventLogView, загрузите zip-файл на соответствующем языке, извлеките файл fulleventlogview_lng.ini, и поместите его в ту же папку, в которой вы установили утилиту FullEventLogView.

Экспорт журналов событий Windows из средства просмотра событий

Вопрос

Как экспортировать журналы событий Windows из средства просмотра событий?

Ответ

Иногда при устранении неполадок SiteProtector (и других компонентов, работающих в Windows) службе поддержки может потребоваться просмотреть журналы событий Windows.Следуйте инструкциям ниже, чтобы экспортировать эти данные:

1. Запустите средство просмотра событий, перейдя в строку Пуск > поле поиска (или нажмите клавишу Windows + R , чтобы открыть диалоговое окно «Выполнить») и введите eventvwr .
2. В средстве просмотра событий разверните Журналы Windows .
   
3. Щелкните тип журналов, которые необходимо экспортировать.
4. Нажмите Действие > Сохранить все события как …
5. Убедитесь, что для параметра Сохранить как тип установлено значение .evtx и сохраните файл журнала в указанном вами месте.
6. Если вам будет предложено отобразить информацию, выберите радиокнопку Показать информацию … и выберите Английский (США) , как показано на снимке экрана ниже (если иное не указано службой поддержки), и нажмите OK .
   
   Примечание: .evtx не содержит полного текста большинства событий. Добавление отображаемой информации гарантирует, что все будет захвачено.
7. Это создает файл .evtx и папку с именем LocaleMetaData в каталоге, указанном на шаге 5. Добавьте этот файл и каталог в сжатый сжатый файл.
8. Отправьте сжатый файл, содержащий журналы, в службу поддержки с помощью расширенного репозитория данных клиентов (ECuRep).

[{«Продукт»: {«код»: «SSETBF», «ярлык»: «IBM Security SiteProtector System»}, «Бизнес-подразделение»: {«код»: «BU059», «ярлык»: «Программное обеспечение IBM w \ / o TPS «},» Компонент «:» Сервер приложений «,» Платформа «: [{» код «:» PF033 «,» метка «:» Windows «}],» Версия «:» Независимая от версии «,» Редакция » «:» «,» Сфера деятельности «: {» code «:» LOB24 «,» label «:» Программное обеспечение безопасности «}}]

Основы журнала событий

Windows — Часто задаваемые вопросы о журнале событий Windows.Базовое объяснение журналов событий Windows.

Что такое журнал событий Windows?

Журналы событий — это специальные файлы, в которых записываются важные события на вашем компьютере, например, когда пользователь входит в систему или когда программа обнаруживает ошибку. Когда бы ни происходили события такого типа, Windows записывает событие в журнал событий. Пользователи могут найти сведения в журналах событий полезными при устранении проблем с Windows и другими программами.

В отличие от системного журнала UNIX, журнал событий Microsoft не является текстовым файлом, и его невозможно просмотреть с помощью простых текстовых редакторов.Журнал событий Microsoft Windows представляет собой двоичный файл, который состоит из специальных записей — событий Windows.

Microsoft Windows запускает службу журнала событий для управления журналами событий, настройки публикации событий и выполнения операций с журналами. Служба журнала событий Windows предоставляет специальный API, который позволяет приложениям вести журналы событий и управлять ими.

Журнал событий Windows был введен в операционной системе Windows NT (версия 3.1) в 1993 году. В этом выпуске Windows было три журнала Windows: журнал событий приложений, журнал системных событий и журнал событий безопасности.Современные версии Windows поставляются с более чем сотней журналов событий Windows, а сторонние приложения могут создавать и интегрировать в Windows, регистрируя свои собственные журналы событий.

Как просмотреть журналы событий?

Вы можете просматривать журналы событий с помощью средства просмотра событий (поставляется с операционной системой Windows) или сторонних средств просмотра событий Windows. Мы рекомендуем использовать наше программное обеспечение Event Log Explorer — оно предоставляет множество расширенных функций для управления журналами событий.

Что такое служба журнала событий Windows?

Служба журнала событий Windows — это служба Windows, которая управляет событиями и журналами событий.Он поддерживает регистрацию событий, запросы событий, подписку на события, архивирование журналов событий и управление метаданными событий. Это помогает отображать события как в XML, так и в текстовом формате. Эта служба включена и запускается автоматически по умолчанию. Вы не должны останавливать или отключать эту службу. Остановка службы журнала событий Windows может поставить под угрозу безопасность и надежность системы.

Что такое файлы журнала событий Windows?

Служба журнала событий Windows

позволяет пользователям сохранять (резервировать) журналы событий в файлы.Windows NT, 2000 и XP / 2003 сохраняют журналы событий в формате EVT. Windows Vista / 2008 и более поздние версии сохраняют журналы в формате EVTX. Наличие резервных файлов событий необходимо для расследования инцидентов.

Журналы событий

Windows также являются файлами, но обычно они блокируются Windows (службой журнала событий), и эти файлы невозможно открыть в «живой» системе. Но если компьютер запускается с другого диска или системный диск анализируемой машины подключен к другому компьютеру, вы можете читать журналы событий в виде файлов.Расположение журналов событий по умолчанию в Vista / 2008 и более поздних версиях — «C: \ Windows \ System32 \ winevt \ Logs \». Средство просмотра событий Windows позволяет открывать файл событий следующим образом:

Щелкните «Открыть сохраненный журнал действий» на панели «Действия» в средстве просмотра событий.

Выберите файл журнала событий, и он появится в средстве просмотра событий Windows в виде журнала.

Наше программное обеспечение Event Log Explorer также работает с файлами событий и делает это даже лучше, чем Event Viewer, например он позволяет читать даже поврежденные файлы событий.

Что такое журнал событий приложений Windows?

Журнал приложений содержит события, зарегистрированные приложениями или программами.Например, программа базы данных может записать файловую ошибку в журнал приложения. Разработчики программы решают, какие события следует регистрировать. Например. Microsoft SQL Server регистрирует сведения о важных событиях, связанных с SQL-сервером, например «нехватка памяти», «сбой резервного копирования» и т. д. Один журнал приложения обычно содержит события, зарегистрированные из разных источников (приложений), поэтому при анализе журнала приложений неправильно полагаться только на идентификатор события. Вы всегда должны полагаться на идентификатор события вместе с источником события.Некоторые приложения, такие как Internet Explorer, Power Shell, создают собственный журнал событий вместо использования журнала событий приложений Windows. Такие журналы выглядят точно так же, как стандартные журналы событий Windows, и средство просмотра событий (а также проводник журналов событий) может читать эти журналы событий. Журналы приложений обычно полезны для групп поддержки приложений.

Что такое журнал системных событий Windows?

Системный журнал содержит события, зарегистрированные системными компонентами Windows. Например, в системный журнал записывается сбой при загрузке драйвера или другого компонента системы во время запуска.Типы событий, регистрируемых системными компонентами, предопределены Windows. Как и в журнале приложений, в журнале событий системы перечислены события из разных источников (компонентов системы), поэтому при анализе журнала системы не следует полагаться только на идентификатор события, вместо этого следует полагаться на идентификатор события вместе с источником событий. Системные журналы необходимы системным администраторам и техническим специалистам.

Что такое журнал событий безопасности Windows?

Журнал безопасности содержит такие события, как допустимые и недопустимые попытки входа в систему, а также события, связанные с использованием ресурсов, такие как создание, открытие или удаление файлов или других объектов.Администраторы могут указать, какие события записываются в журнал безопасности. Например, если вы включили аудит входа в систему, попытки входа в систему записываются в журнал безопасности. Будьте осторожны с настройкой политики аудита. Например. Windows позволяет выполнять аудит доступа ко всем файлам на дисках NTFS таким образом, чтобы любой доступ к файлу регистрировался как новое событие. Это может привести к возникновению сотен событий в секунду, переполнению журнала событий и снижению производительности системы. Поэтому при настройке политики доступа к аудиту убедитесь, что только определенные файлы и папки будут иметь свойства аудита.Журналы безопасности необходимы системным администраторам, администраторам безопасности и судебным экспертам.

Как найти или проверить историю входа пользователей Windows 10?

Знаете ли вы, что мы можем узнать, кто входил в нашу систему Windows 10, когда нас нет? Когда кто-то вошел в систему, его зарегистрированная информация будет храниться в системе Windows 10.

В Windows 10 существует политика « Аудит событий входа в систему, » для отслеживания как локальных, так и сетевых успешных и неудачных попыток входа в систему и информации о доступе к ресурсам.Информацию о попытках пользователя войти в систему можно увидеть с помощью средства просмотра событий.

Перед тем, как перейти к проверке истории входа пользователя в Window 10, давайте узнаем о средстве просмотра событий.

Event Viewer — это функции аудита, которые позволяют администраторам настраивать системы Windows для записи повседневной активности операционной системы в журнал безопасности. Короче говоря, Event Viewer особенно полезен для устранения неполадок Windows, ошибок приложений и безопасности.

Категории событий, которые могут регистрироваться:

• Доступ к службе каталогов
• События входа в учетную запись
• Управление учетной записью
• Использование привилегий
• Доступ к объектам
• События входа в систему
• Системные события
• Изменение политики
• Отслеживание процессов (источник: Википедия)

Обратите внимание, что:

a) Аудит входа в систему будет работать только на вашем Windows Professional, поэтому, если у вас есть домашняя версия Windows, вы не можете ее использовать.В этой статье я использую Windows 10 Professional Edition.

b) Мы не можем сказать вам, «кто» на самом деле вошел в систему, но можем сказать вам, в какое время и дату был выполнен вход.

Итак, не теряя времени, давайте проверим историю входа пользователя в Windows 10 шаг за шагом:

1. История входа пользователя в Windows 10 с помощью средства просмотра событий

Шаг 1) Откройте средство просмотра событий

Нажмите кнопку «Пуск» и введите » Event Viewer «в поле поиска, и вы увидите Event Viewer вверху списка.Затем нажмите «Просмотр событий».

Вы получите окна просмотра событий, как показано ниже.

2) Доступ к списку истории журналов

Затем на левой панели дважды щелкните « Windows Logs ». Там вы найдете 5 списков. Среди них просто нажмите на « Security », который находится на второй позиции сверху.

3) Поиск фактической информации для входа в систему ID

Затем на средней панели вы получите список событий, связанных с зарегистрированным пользователем и информацией о доступе к ресурсам.Этот список отсортирован по Дата / время . Оттуда начните поиск события с идентификатором события 4624 , который на самом деле является идентификатором события входа пользователя в систему. Если вы обнаружите несколько идентификаторов 4624, это означает, что ваша система входила в систему много раз.

4) Поиск деталей информации для входа в систему

Просто щелкните эту строку (строки с идентификатором события 4624), вы найдете информацию для входа в систему внизу того же окна.

Отображение основной информации в общем разделе, как показано ниже:

Предмет:
Идентификатор безопасности: SYSTEM
Имя учетной записи: DESKTOP-9SHPG17 $
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3E7

Информация для входа:
Тип входа: 5
Ограниченный режим администратора: -
Виртуальный счет: Нет
Повышенный жетон: Да

 

Пользователь, который вошел в систему, может узнать из Имя учетной записи и Домен учетной записи .

Идентификатор безопасности: Это SID учетной записи.

Имя учетной записи: Имя для входа в систему.

Домен учетной записи: Доменное имя учетной записи. В случае локальных учетных записей это просто имя компьютера.

Идентификатор входа в систему: Это помогает идентифицировать сеанс входа в систему.

Тип входа: Тип входа показывает, как пользователь входит в систему. Всего существует 9 различных типов входа в систему. Здесь Тип входа равен 5, что представляет собой просто вход в систему , который происходит, когда службы и учетные записи служб входят в систему для запуска службы.

Ограниченный режим администратора: Здесь у нас есть «-». Мы найдем «да» вместо «-» только для типа входа: 10 ( RemoteInteractive logon) это когда выполняется подключение к удаленному рабочему столу. В нашей общей локальной системе есть «-». Ограниченный режим администратора предназначен для защиты от атак типа « передайте хэш ».

Идентификаторы важности событий и их назначение

469 Попытка входа в систему с использованием явных учетных данных 6005

Идентификатор события	Цель
4624	Событие успешного входа в учетную запись
4625	Не удалось войти в учетную запись
4634	Учетная запись была отключена
4647	Инициированный пользователем выход из системы
4694	Для нового входа в систему были назначены специальные группы
Событие запуска

Подробная информация показана ниже:

- Система

  - Провайдер

   [Имя] Microsoft-Windows-Security-Auditing
   [Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
   EventID 4624
   Версия 2
   Уровень 0
   Задача 12544
   Код операции 0
   Ключевые слова 0x8020000000000000
  - TimeCreated
   [SystemTime] 2019-12-17T15: 45: 48.
1500Z
   EventRecordID 934340
  - Корреляция
   [ActivityID] {3b9a6bd1-b09b-0000-846c-9a3b9bb0d501}
  - Исполнение
   [ProcessID] 776
   [ThreadID] 15784
   Безопасность канала
   Компьютер DESKTOP-9SHPG17
   Безопасность
- EventData
  SubjectUserSid S-1-5-18
  Тема Имя пользователя DESKTOP-9SHPG17 $
  SubjectDomainName WORKGROUP
  SubjectLogonId 0x3e7
  TargetUserSid S-1-5-18
  СИСТЕМА TargetUserName
  TargetDomainName NT АВТОРИТЕТ
  TargetLogonId 0x3e7
  Тип входа 5
  LogonProcessName Advapi
  AuthenticationPackageName Negotiate
  WorkstationName -
  LogonGuid {00000000-0000-0000-0000-000000000000}
  TransmittedServices -
  LmPackageName -
  KeyLength 0
  ProcessId 0x2f4
  Имя процесса C: \ Windows \ System32 \ services.EXE
  Айпи адрес -
  IPPort -
  ImpersonationLevel %% 1833
  RestrictedAdminMode -
  TargetOutboundUserName -
  TargetOutboundDomainName -
  VirtualAccount %% 1843
  TargetLinkedLogonId 0x0
  ElevatedToken %% 1842
 

Использование настраиваемого фильтра

Как вы видели, средство просмотра событий хранит большие записи журнала, и трудно найти конкретный идентификатор события. Но не волнуйтесь, есть функции фильтрации, с помощью которых мы можем перечислить только определенные данные Event ID.

• Чтобы создать фильтр, щелкните правой кнопкой мыши « Custom Views » и выберите из списка опцию « Create Custom View ».

• Когда откроется окно создания настраиваемого вида, посмотрите раздел « Logged » и выберите временной диапазон .
• Затем отметьте опцию By log и используйте нижнее меню « Event logs » и выберите « Security » в « Windows Logs ».
• Затем введите 4624 в « Все идентификаторы событий ».
• Щелкните « Ok ».

В следующем окне укажите имя вашего настраиваемого фильтра , имя и щелкните Ok .Здесь мы дали имя: «».

• Затем на следующем экране посмотрите на свое имя фильтра в разделе « Custom Views ». Нажмите на него, и вы получите свои попытки входа в систему ( Id: 4624 только ), которые вы установили ранее. шаги.

2. Проверка истории входа пользователей в Windows 10 с помощью Powershell

Мы можем искать определенный журнал событий с помощью Powershell. Чтобы это работало, вы должны запустить PowerShell с правами администратора.

Шаги:

1. Запустите Powershell с правами администратора.
2. Затем вставьте приведенный ниже код в PowerShell.

Get-EventLog безопасность | Where-Object {$ _. TimeGenerated -gt ' 2/10/20 '} | Where-Object {($ _. InstanceID -eq  4634 ) -or ($ _. InstanceID -eq  4624 )} | Select-Object Index, TimeGenerated, InstanceID, Message 
 

💡 Где , — Get-EventLog : позволяет получить доступ к журналу событий как на локальных, так и на удаленных компьютерах.
— Первый Where-Object : использует переменную $ .EventID для сравнения свойства Event ID с указанным значением. Здесь мы указываем дату.
— Первый Where-Object : укажите два идентификатора события, которые вы хотите. Здесь значение = 4634 (EventId для входа в систему)
— Select-Object : Позволяет нам возвращать только те выходные столбцы, которые мы хочу иметь.

3. Проверьте историю входа пользователя в Windows 10 с помощью сторонних инструментов

Собственные журналы аудита трудно понять и слишком сложно проводить вручную. данные журнала аудита конкретных пользователей в определенное время.Таким образом, используя эти нижеприведенные инструменты, вы можете регистрировать сотни событий входа и выхода из системы. Поэтому без промедления попробуйте эти инструменты.

a) TurnedOnTimesView: (Загрузить: щелкните здесь)

Это инструмент, который показывает пользователям Windows 10/8/7 2008 / Vista время входа / выхода из системы. Его разработал Нир Софер.

b) LastActivityView: (Загрузите: щелкните здесь)
Это простой инструмент для анализа журнала операционной системы и определения временного диапазона, в который включен компьютер.Его разработал Нир Софер.

c) Обозреватель журнала событий: (Загрузить: щелкните здесь)

Обозреватель журнала событий — это программное решение, позволяющее просматривать и отслеживать события, зарегистрированные в журналах событий Microsoft Windows. Обозреватель журнала событий значительно упрощает и ускоряет просмотр журнала событий (безопасность, программа, устройство, установка, служба каталогов, DNS и другие).

d) ADAudit Plus

Это программное обеспечение может выполнять аудит активного каталога, аудит входа / выхода пользователей, аудит файлового сервера.Он проводит аудит в масштабах всего предприятия.

e) LepideAuditor (Посетите здесь)

В отчете подробно описаны события входа в систему и выхода из системы, в том числе, когда с какого компьютера и когда пользователи входят в систему. Вы также получаете надежные и немедленные отчеты с подробностями входа для сетевых пользователей.

f) UserLock (посетите здесь)

UserLock отслеживает, записывает и сообщает обо всех событиях пользовательских подключений для обеспечения централизованного аудита всей сетевой системы — далеко за пределами того, что Microsoft включает в аудит Windows Server и Active Directory.

g) WinLogOnView

WinLogOnView — это программа для регистрации событий Windows для ОС Windows 7 / Vista / 8/10, которая анализирует события безопасности ОС и определяет, кто вошел и вышел из системы на основе данных / времени. Регистрируется такая информация, как идентификатор входа, имя пользователя, компьютер, домен, время входа / выхода, продолжительность и сетевой адрес. Эта информация позже может быть экспортирована в файлы CSV, HTML, XML, разделенные табуляцией.

Проверить историю входа в Windows, если все журналы очищены

Если кто-то, кто входит в вашу систему, знает о средстве просмотра событий, он / она очистит весь журнал просмотра событий, и вы не сможете узнать, кто входил в систему раньше.В этом случае вы можете указать данные последнего входа в систему при запуске системы.

Предупреждение: используйте реестр на свой страх и риск.

Шаги:

1 Нажмите Win + комбинацию клавиш R с клавиатуры и введите: regedit и нажмите Введите .

2 Щелкните « Да, »

Откроется редактор реестра.

3 Вставьте указанный ниже путь в поле поиска в реестре

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

4 Щелкните правой кнопкой мыши System > New > DWORD (32-bit ) Значение

5 Переименуйте это новое значение в « DisplayLastLogonInfo »

6 Дважды щелкните « DisplayLastLoginInfo » и установите значение « 1 ».

7 Закройте реестр

Если вы хотите увидеть эффект, просто перезагрузите компьютер, и сразу после успешного входа в систему вы увидите сообщение, как показано ниже.