Windows

Журнал ошибок windows 10: Как посмотреть журнал событий в Windows 10

26.08.2005

Содержание

Где находится файл журнала BSOD в Windows 10?

Когда возникает ошибка «Синий экран смерти», Windows на короткое время отображает ее детали и код и перезагружает компьютер. Даже иногда Windows перезагружается так быстро, что пользователи не могут записать код ошибки. В таких ситуациях могут помочь файлы журнала BSOD. В этом посте мы покажем вам, как найти и просмотреть файлы журнала BSOD в Windows 10.

Windows сохраняет сведения о каждой ошибке BSOD в определенном месте. Эти данные называются журналом BSOD и доступны в файлах журнала BSOD. В Windows 10 есть встроенный инструмент просмотра файлов журнала, Event Viewer. Средство просмотра событий не только перечисляет все журналы ошибок BSOD, но также предоставляет пользователям руководство по устранению неполадок для устранения ошибки.

Расположение файла журнала BSOD в Windows 10

Выполните следующие шаги, чтобы просмотреть журналы BSOD в средстве просмотра событий.

1]Введите «Просмотр событий» в поле поиска Windows 10 и щелкните приложение, чтобы запустить его.

2]Для просмотра журналов ошибок BSOD необходимо создать фильтр. Для этого перейдите в «Действие> Создать настраиваемое представление».

3]Убедитесь, что в окне «Создать настраиваемый вид» вы находитесь на вкладке «Фильтр». Выберите время, когда вы наблюдали ошибку «Синий экран смерти» в вашей системе, в раскрывающемся меню «Зарегистрировано». Если вы знаете точную дату и время ошибки BSOD, вы можете выбрать параметр «Пользовательский диапазон».

В моем случае я не знал дату и время ошибки. Вот почему я оставил настройку по умолчанию «В любое время».

4]Теперь установите флажок «Ошибка» в разделе «Уровень события» и выберите переключатель «По журналу». После этого щелкните раскрывающееся меню Журналы событий и разверните раздел «Журналы Windows». Здесь вы должны установить следующие флажки:

  • Приложение
  • Безопасность
  • Система

Когда вы закончите, нажмите ОК.

5]После этого откроется новое окно, в котором вам нужно будет ввести имя созданного вами фильтра и нажать OK, чтобы сохранить его.

Я сохранил его под названием «Журналы системных ошибок». Вы можете просмотреть его в разделе «Пользовательские просмотры» на левой панели.

6]После выбора только что созданного фильтра вы можете просмотреть все журналы системных ошибок на средней панели средства просмотра событий. Чтобы просмотреть журнал BSOD, вы должны найти ошибку в источнике «BugCheck».

Теперь нажмите «Источник», чтобы расположить все записи под ним в алфавитном порядке. Это упростит вам поиск записи BugCheck.

На вкладке «Общие» вы можете просмотреть код ошибки. Щелкните вкладку «Подробности», чтобы узнать больше об ошибке.

Сообщение «Компьютер перезагрузился из BugCheck» на вкладке «Общие» указывает на то, что это ошибка BSOD.

Теперь вы можете легко находить ошибки BSOD и устранять их.

СОВЕТ: Вы также можете использовать BlueScreenView. Это ориентированная на пользователя утилита, которая автоматически сканирует все файлы минидампа, которые были созданы после сбоя BSOD, в единую таблицу. Для каждого сбоя BlueScreenView предоставляет подробную информацию о драйвере, который был загружен во время сбоя, и другую информацию о сбое, чтобы легко устранить проблемы и найти подозрительные проблемные драйверы.

Читайте дальше: Как найти результаты ChkDsk в журналах просмотра событий.

.

Журнал ошибок Windows 10: как получить доступ к журналам ошибок

Разве вам не нравится Windows, потому что почти для каждой отдельной команды есть хотя бы один способ получить то, что вам нужно? В сегодняшней статье мы покажем вам не менее 3 различных методов доступа к журналам ошибок Windows в Windows 10. Если говорить о нескольких способах, то эта утилита также известна как средство просмотра событий Windows.

Таким образом, у него есть 2 имени и 3 способа доступа. Будь то проблема безопасности, которую вы пытаетесь определить, проблема системы или приложение, которое продолжает генерировать ошибки и замедляет работу системы, если вам нужно найти проблему, она должна там проявиться. Прочитав эту статью, вы получите четкое представление о том, как попасть в журнал ошибок Windows 10.

Но прежде чем мы перейдем к представлению реальных методов, нам нужно указать одну важную деталь: вы можете получить доступ к этим журналам, только если вы используете учетную запись пользователя с правами администратора.

После того, как вы это выяснили, вам нужно сделать следующее:

лучший бесплатный антивирус 2017 для windows 10

Доступ к журналам ошибок Windows через меню питания

Один из способов, который работает как шарм, когда вы хотите войти в средство просмотра событий Windows / журналы ошибок Windows, находится в меню питания. Как вы скоро заметите, это также самый простой способ получить доступ к журналу ошибок Windows 10:

  1. Перейдите на панель задач и щелкните правой кнопкой мыши значок Windows;
  2. В появившемся контекстном меню щелкните Средство просмотра событий.

Доступ к журналам ошибок Windows с помощью команды Выполнить

Возможно, вы хотите попробовать что-то новое или вам больше нравится клавиатура, а не мышь. С помощью команды Выполнить вы должны перейти по тому же пути, но только с несколькими дополнительными шагами и командными строками для журнала ошибок Windows 10:

сколько стоит спасти мир Fortnite
  1. Запустите диалоговое окно «Выполнить», одновременно нажав клавиши Windows и R на клавиатуре;
  2. Во вновь открывшемся окне «Выполнить» введите событие ;
  3. Нажмите Enter, чтобы запустить команду;
  4. И сразу после этого должно автоматически появиться окно просмотра событий.

Доступ к журналам ошибок Windows через панель управления

Мы показали вам один простой и сверхбыстрый метод. Затем мы показали вам другой метод, немного более медленный, но с тем преимуществом, что он полагается только на клавиатуру. Этот последний метод предназначен только для демонстрации. Но кто знает, когда однажды вы окажетесь в Панели управления и поймете, что хотите взглянуть на журнал ошибок Windows?

как появиться офлайн в Steam

Когда эта мысль приходит вам в голову, будьте готовы:

  1. Доступ к элементу «Система и безопасность» из Панели управления;
  2. Определите и нажмите «Администрирование»;
  3. Определите и дважды щелкните средство просмотра событий.

Может показаться, что нужно сделать всего несколько шагов, но они включают просмотр множества других элементов в папках панели управления. Это определенно убьет какое-то время.

Напомним, мы показали вам, как получить доступ к журналам ошибок Windows в Windows 10 из меню «Питание», из команды «Выполнить» и из центра панели управления.

Как зайти в системный журнал windows 10. Как посмотреть логи Windows и когда включали компьютер. Как запустить просмотр событий

05.06.2014 &nbsp windows | для начинающих

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ- данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

  • Администрирование Windows для начинающих
  • Редактор реестра
  • Редактор локальной групповой политики
  • Работа со службами Windows
  • Управление дисками
  • Диспетчер задач
  • Просмотр событий (эта статья)
  • Планировщик заданий
  • Монитор стабильности системы
  • Системный монитор
  • Монитор ресурсов
  • Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc

, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий


Интерфейс данного инструмента администрирования можно условно разделить на три части:

  • В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
  • По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
  • В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

  • Имя журнала — имя файла журнала, куда была сохранена информация о событии.
  • Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
  • Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
  • Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
  • Категория задачи, ключевые слова — обычно не используются.
  • Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.

Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера , для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Win+R и вводите eventvwr.msc

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod , и данные сообщения что тут заносятся помогут вам определить его причину.

Так же есть логи windows для более специфических служб, например DHCP или DNS . Просмотр событий сечет все:).

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Вас попросят указать уровень событий:

  • Критическое
  • Ошибка
  • Предупреждение
  • Сведения
  • Подробности

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

Get-EventLog -Logname «System»

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

Get-EventLog -Logname «Application»

небольшой список абревиатур

  • Код события — EventID
  • Компьютер — MachineName
  • Порядковый номер события — Data, Index
  • Категория задач — Category
  • Код категории — CategoryNumber
  • Уровень — EntryType
  • Сообщение события — Message
  • Источник — Source
  • Дата генерации события — ReplacementString, InstanceID, TimeGenerated
  • Дата записи события — TimeWritten
  • Пользователь — UserName
  • Сайт — Site
  • Подразделение — Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Get-EventLog –Logname ‘System’ –Newest 20

Дополнительные продукты

Так же вы можете автоматизировать сбор событий, через такие инструменты как:

  • Комплекс мониторинга Zabbix
  • Через пересылку событий средствами Windows на сервер коллектор
  • Через комплекс аудита Netwrix
  • Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
  • Любые DLP системы

Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта

Удаленный просмотр логов

Не так давно в появившейся операционной системе Windows Server 2019 , появился компонент удаленного администрирования Windows Admin Center . Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).

Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.

Вот пример фильтрации по событию 19.

Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.

Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же «Просмотр событий». Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню «».

Указываем имя другого компьютера, в моем примере это будет SVT2019S01

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий.если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.

Так же хочу отметить, что есть целые системы агрегации логов, такие как Zabbix или SCOM, но это уже другой уровень задач..

Большинство пользователей персональных компьютеров даже не знают о таком дополнении, как журнал событий. Это специальная функция для просмотра всех событий, которые происходят в установленной на ПК операционной системе. Именно в нем отображаются критические ошибки, предупреждения и прочая немаловажная информация, как для обычных пользователей, так и для владельцев серверов.

В этой статье мы подробно разберем данную тему и узнаем, что это такое, где можно посмотреть журнал событий в Windows 10 и каким образом его использовать.

Для начала стоит сказать, что эта служба регистрирует абсолютно все, что происходит на компьютере. Осуществляется запись сообщений и ошибок, в том числе в работе драйверов, приложений и программ. Путем регулярного просмотра и изучения истории можно легко выявить проблемы и слабые места в защите устройства, что особенно полезно для серверов.

Как открыть?

Найти и открыть журнал событий достаточно просто, для этого необходимо в поиске Windows 10 ввести словосочетание «Просмотр событий» и щелкнуть по нему. Но в случае если у вас деактивировано индексирование, то это попытка не принесет результата.

И как вариант можно:


Вся информация будет разделена на соответствующие группы. Например, открыв журнал приложений, у вас будет возможность просмотреть все сообщения о работе программ. Абсолютно все системные происшествия, связанные с Виндовс 10, отображаются в нем.


Изначально данная служба разрабатывалась исключительно для администраторов, которые постоянно ведут мониторинг состояния серверов, выявляют ошибки и причины появления, и после чего пытаются быстро их устранить.

Не пугайтесь, если ваше устройство работает исправно, но в журнале есть предупреждения об ошибках, ведь это нормальное явление для ОС. Любые сбои, в том числе незначительные, вносятся в реестр, поэтому не стоит переживать.

Как использовать?

Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это вовсе не так, ведь данный инструмент невероятно полезен в отдельных ситуациях.

Например, если появляется синий экран или ваша система сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно быстро узнать в журнале событий системы. Если ошибка связана с обновлением драйверов, то там будет указано оборудование, с которым возникает проблема, и эффективные пути для ее решения.


Для упрощения поиска нужного отчета нужно запомнить время возникновения ситуации и, исходя из временных рамок, искать ошибку.

Также еще одной важной функцией является запись загрузки операционной системы, когда указывается ее начало, окончание и длительность. Более того, к выключению компьютера можно привязать необходимость ввода причины. Она будет отображаться в нашем журнале. Это особенно полезно для администраторов серверов, ведь им важна каждая деталь.


Способы очистки

Существует пять основных способов, с помощью которых можно очистить журнал событий:

  1. Ручной способ.
  2. «Батник» – специальный файл с расширением «*.bat».
  3. Через командную консоль «cmd».
  4. Через «PowerShell».
  5. Утилита CCleaner.

Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.

Очистка ручным способом

В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.

Все что нужно, это:


Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.

Создание и использование bat файла

Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:


Если вам лень создавать этот файл, то готовый вариант можно скачать по ссылке .

Через командную консоль

Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «cmd».

После этого все отчеты удалятся.

Через PowerShell

В операционной системе Windows 10 предусмотрена более подвинутая версия командной строки — «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.

Давайте разберем все по шагам:

Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.

Программа CCleaner

Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.


Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.

Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.

Часто бывает, что компьютер без видимых причин перезагружается, зависает, перестает работать. Если на нем установлена современная операционная система, такая как Windows 10, можно легко выяснить причину неполадок. Для этого необходимо знать, как посмотреть ошибки Windows 10 и что они означают.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как открыть журнал и посмотреть ошибки

Существует несколько способов, как открыть журнал событий.

Панель управления

  1. Открыть Поиск Windows и ввести «Панель управления» .
  2. В появившемся диалоговом окне выбрать меню «Система и безопасность» , «Администрирование» .

  3. Нажать ярлык «Просмотр событий» .

  4. Консоль Выполнить

    Одновременно нажать клавиши «Win» и «R» и во всплывающем окне строки «Открыть» ввести eventvwr.msc и нажать Ввод.


    Меню Пуск

    Нажать правой кнопкой мыши на «Пуск» и выбрать во всплывающем списке «Выполнить» , ввести eventvwr.msc и нажать ввод.

    Поиск Виндовс 10

    Ввести в меню поиска Windows 10 фразу «Просмотр событий» или «Журнал» и нажать Ввод.

    В появившемся окне программы есть вкладка «Обзор и сводка» , ниже которой находится подменю «Сводка административных событий» , содержащее раскрывающиеся списки, содержащие такую информацию: критические события, ошибки, предупреждения, сведения и аудит успеха.


    При раскрытии этих списков появляются строки о том, что происходило в системе. Самыми важными являются критические события и ошибки. В строке, описывающей ошибку, есть ее код, источник и сколько раз она появлялась последние 24 часа и 7 дней. При двойном нажатии строки появляется окно с подробным описанием возникшей проблемы, точным временем, когда она произошла и другие важные сведения.


    Можно также воспользоваться журналами событий Windows 10, меню которых находится в левой колонке программы «Просмотр событий» . Здесь доступны журналы приложений, безопасности и системы. Последний как раз и содержит сведения о наиболее важных сбоях, происходящих в системе, например о проблемах в работе драйверов, системных программ и другие важные сведения.

    Внимательное исследование имеющихся записей в журналах очень полезно для обеспечения бесперебойной работы компьютера. Например, наличие критического события Kernel power 41 может свидетельствовать о проблемах с блоком питания, его перегреве или недостаточной мощности для вашего компьютера. Кроме того, журналы могут помочь и в решении проблем со сбоями в работе отдельных программ благодаря использованию журнала приложений.

    Заключение

    Чтобы ваш компьютер не подводил в самый неподходящий момент, нужно обязательно знать, где находится журнал ошибок Windows 10 и, хотя бы раз в неделю открывать и изучать его.

Facebook

Twitter

Вконтакте

Google+

Эмуляторы

Узнай причины ошибок и событий system, оборудование, программное обеспечение, настройка… Средство просмотра событий [Windows 7 и XP]

Просмотр событий является инструмент операционных систем Microsoft Windows, Мало известна большинству пользователей. Просмотр событий , чтобы войти событий операционной системы. Реестр и сохранить полные отчеты о изменения si ошибки произошло в аппаратные средства, программного обеспечения., настроить, system si безопасность.

С запуском операционной системы Windows перспектива, Event Viewer произошли значительные изменения по сравнению с текущей Windows XP. Изменения, как на МЕ и на уровне управления.

Event Viewer Windows XP.

Event Viewer Windows 7 (похож на тот, что на Windows Vista)

Даже если на Windows 7, Event Viewer — это нечто более сложное, пользователи Windows XP Можно с уверенностью использовать этот инструмент, если вы хотите знать причины, некоторые из которых Приложение дал ошибка во время установки или Во время работы Причины, которые появились подключая устройство ошибками или аппаратные средства (веб-камера, микрофон, аудиосистема, картридер, мобильный телефон и т. д.), причины системных ошибок и журналы безопасность.

Как мы открываем System Event Viewer Windows XP, Vista или Windows 7.

Для всех процессов операционной системы Microsoft то же самое. Откройте окно Выполнить (Win + R) и введите «eventvwr.msc”После чего нажимаем Enter.

Пользователи Windows XP, Event Viewer ведет три журнала:

Заявление События— Журнал, в который записываются события установленных на компьютере программ. Если программа выдает ошибку, она будет занесена в этот журнал, и пользователь сможет найти полезную информацию для ее исправления.

Безопасность события — Журналы безопасности хранятся в этом журнале. Снимок экрана ниже взят из средства просмотра событий. Windows 7.

В этом отчете отображаются в том числе сессии Вход в систему (Успешные и / или неудачной) и подключений к компьютеру с другого компьютера ЛВС или HomeGroup.

System События — Обычно это самый загруженный дневник программы просмотра событий. Здесь хранятся отчеты по каждому событию и изменению, произведенному компонентом операционной системы. Из обновлениеСсылки на ошибок при монтаже и выпуска драйверы, все события можно найти в этом журнале. Если не удается установить драйвер или он несовместим с устройством, для которого он установлен, в средстве просмотра событий на странице «System»Вы найдете полезные детали для решения проблемы.

Операционные системы Windows 7, журнал для обновлений был перемещен в саб Журналы Windows > «Установка».

Интернет Explorer — Журнал важных событий в Интернете Explorer. Ошибки, вызванные скриптами (AJAX, Java, Flash …), ошибками панели инструментов или add-оны и плагины.

В дополнение к Event Viewer на Windows XP, Windows 7 ведите отдельные журналы и для «Журналы приложений и служб«, Где мы находим отчеты о событиях аппаратные средства, Медиа центр, Windows PowerShell si Microsoft Офис.

Есть несколько компьютерных услуг сайты, где техников проверить в первую очередь System Просмотр событий найти историю системы. Вы можете узнать, если они несовместимости между RAM, если ваш жесткий диск имеет ошибки или если есть проблемы контроллеров.

System Просмотр событий в Windows XP, Windows Прицел да Windows 7.

Очищаем просмотр событий в Windows.

«Просмотр событий» — это классическое приложение в Windows, где хранятся журналы с совершившимися событиями (запуск, завершение работы программ, защиты, служб, ошибки системы, приложений и т.д. )

Найти эти данные так:
Нажать на ярлык «Компьютер» и запустить «Управление», где найдем — «Просмотр событий»:Либо, набрать в поиске — «Просмотр событий» и запустить утилиту:
Для любителей чистки, можно все журналы освободить от записей, но придется заходить в каждый и чистить его:Для автоматической очистки всех журналов, есть скрипт:


@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
exit

Для его запуска, нужно:
На рабочем столе нажать правую кнопку мыши и создать текстовый документ:Скопировать и вставить  в него содержимое скрипта:Нажать в левом, верхнем углу — «Файл» и «Сохранить как…»:В открывшемся окне проводника, сменить «Тип файла» на — «Все файлы (*,*)», а где — «Имя файла» — вписать название скрипта с расширением — (.cmd):После — сохранить и нажав на готовый сценарий скрипта правой кнопкой мыши — запустить от имени администратора:Запустится выполнение сценария в командной строке, это может занять некоторое время:Но после завершения, все журналы в приложении — «Просмотр событий», будут чистые:Для тех, кому лень создавать файл запуска скрипта — можно скачать готовый:Нужно извлечь содержимое архива и запустить файл от администратора, как описано выше:

Обзор на видео:

 

P.S.: События в журналах полезны для выявления ошибок и информации по ним, поэтому — такая чистка необязательна, да и данные эти не влияют на работоспособность системы, а только могут помочь специалисту разобраться в возникшей проблеме на компьютере!

«Просмотр событий» в Windows 7 (Часть 1 — Оснастка)

Отслеживание событий — основа безопасности систем

Когда на компьютере происходит какое-либо значимое событие, операционная система записывает это событие в журнал. Входом в журналы служит Event Viewer (eventvwr.exe). Большинство администраторов открывают Event Viewer, только когда пытаются решить какую-нибудь проблему, и многие знакомые администраторы говорят мне, что используют Event Viewer только на серверах.

Оба подхода ошибочны, потому что периодическая проверка системных журналов часто позволяет выявлять неполадки на ранней стадии, до того как они превратятся в серьезную проблему. Уметь пользоваться Event Viewer очень важно, поэтому я хочу предложить читателям краткий обзор по этой теме и представить свои способы работы с Event Viewer.

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

  • Ваша ученая запись ограничена в правах доступа политиками безопасности.
  • В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
  • Некоторые системные компоненты повреждены или заблокированы вредоносной программой.

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

  • Откатом на контрольную точку, созданную, когда всё работало исправно.
  • Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe –scannow в командной строке.
  • Сканированием дисков на предмет вирусного заражения.
  • Восстановлением прав доступа системных учетных записей к папкам WindowsSystem32winevt и System32LogFiles. Рабочие настройки показаны на скриншотах ниже.

Введение

Операционная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов.

Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику.

Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность.

Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок.

Служба Windows, которая управляет протоколированием событий, называется «Журнал событий». В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:

Источники, уровни и коды событий. как понять, что означает конкретный код

Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.

Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:

Активация аналитического и отладочного журнала

Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:

  1. В дереве консоли найдите и выберите аналитический или отладочный журнал, который необходимо активировать;
  2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного аналитического или отладочного журнала;
  3. На вкладке «Общие» установите флажок на опции «Включить ведение журнала»

Архивация журнала

Любой журнал можно заархивировать как отдельный файл — это полезно, если в журнале появляются необычные записи и требуется понаблюдать некоторое время за изменением его содержимого. Иногда в журналах появляются события, которые выглядят угрожающе, но пользователь не ощущает никаких проблем.

Вкладка «общие»

Вкладка «Общие» содержит следующую информацию:

Вкладка «подробности»

Вкладка «Подробности» содержит дополнительную информацию о событии.

Информация разделена на два раздела (расширяется нажатием ):

  • System: содержит общую информацию, общую для каждого экземпляра события, например, некоторые системные параметры, записанные при публикации экземпляра.
  • EventData: содержит структурированную информацию о приложении.

Возьмите за правило

Поместите Event Viewer в свой список задач по обслуживанию и периодически проверяйте сетевые компьютеры. Если вы отвечаете за множество компьютеров, обеспечьте по крайней мере еженедельную проверку серверов (особенно контроллеров доменов), а рабочие станции следует проверять так, чтобы каждая рабочая станция попадала в поле зрения раз в несколько недель.

Выполнить действие в ответ на событие

Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.

Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.

Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.

Где находится журнал событий и как его открыть

Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка Windowssystem32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:

  • Главное меню Windows – «Пуск». Щелкать по его кнопке следует не левой, а правой клавишей мыши. Пункт «Просмотр событий» – четвертый сверху.
  • Системный поиск – кнопка со значком в виде лупы возле «Пуска». Достаточно начать вводить в поисковую строку слово «просм…» – и вот он, нашелся.
  • Виндовая утилита «Выполнить» (Run) просто создана для тех, кто предпочитает горячие клавиши. Нажмите на клавиатуре Windows К (русская), вбейте в строку «Открыть» команду eventvwr (имя файла просмотрщика) и щелкните ОК.
  • Командная строка или консоль Powershell (их тоже удобно открывать через контекстное меню кнопки Пуск). Для запуска журнала событий снова введите eventvwr и щелкните Enter.
  • Системная утилита «Параметры», пришедшая на смену панели управления. Зарываться в ее недра – то еще удовольствие, но можно сделать проще – начать вбивать в строку поиска слово «администрирование». Следом просто перейдите в найденный раздел и щелкните ярлык просмотрщика.
  • НахОдите журнал событий Windows увлекательным чтивом? Тогда, возможно, вам понравится идея держать его всегда под рукой. Чтобы поместить ярлык просмотрщика на рабочий стол, зайдите любым из способов в раздел панели управления «Администрирование», скопируйте ярлык нажатием клавиш Ctrl C, щелкните мышкой по рабочему столу и нажмите Ctrl V.

Журналы приложений и служб

В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.

Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.

Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.

Журналы просмотра событий windows

Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.

Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.

В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».

Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.

Журналы событий в windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском.

А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%System32WinevtLogsApplication.Evtx.

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%System32WinevtLogsSecurity.Evtx

Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%System32WinevtLogsSetup.Evtx.

Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%System32WinevtLogsSystem.Evtx

Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%System32WinevtLogsForwardedEvents.Evtx

Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%System32WinevtLogsInternetExplorer.Evtx

Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%System32WinevtLogsWindowsPowerShwll.Evtx

События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%System32WinevtLogsHardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов.

Как запустить средство просмотра событий windows

Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.

Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.

  1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
  2. Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК.
  3. Откроется оснастка «Просмотр событий».

  4. Разверните её на весь экран.

Как искать в журналах событий интересующие сведения

Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.

Как остановить запись нежелательных событий

По умолчанию Windows настраивает компьютеры как принт-серверы, которые записывают все события, относящиеся к печати на принтерах. Кроме того, системный журнал компьютера делает информационные записи при каждой отправке документа на принтер и повторно — когда файл спулера удален после выполнения задания на печать.

Для меня события, относящиеся к печати на принтерах, не имеют значения, но некоторые администраторы хотят знать, были ли ошибки в работе с принтерами и если были, то когда; возможна также запись уведомлений, когда кто-то добавляет или удаляет принтер.

Можно изменить выбор событий печати, записываемых в системный журнал, в папке Printers компьютера (в Windows 2003 и XP она называется Printers and Faxes). Выберите File, Server Properties и перейдите на вкладку Advanced, показанную на экране 4. Можно просто отменить выбор событий, которые вы не хотите регистрировать в журнале.

Как открыть «просмотр событий» используя «средства администрирования windows»

Откройте «Средства администрирования Windows» любым из способов и в папке “Администрирование” выберите Просмотр событий.

Используя рассмотренные способы, можно открыть оснастку «Просмотр событий» в операционной системе Windows 10.

Как пользоваться функцией фильтрации

Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».

Далее заполняем вкладку «Фильтр»:

  • Из списка «Дата» выбираем последние 7 дней.
  • В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
  • В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
  • Указываем коды событий (event ID), о которых собираем сведения.
  • Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).

Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:

Читать его стало гораздо удобнее.

Как создавать настраиваемые представления

Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.

Чтобы создать настраиваемое представление, сделайте следующее:

  • Выделите в разделе каталогов интересующий журнал.
  • Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
  • Заполните настройки окошка «Фильтр» по примеру выше.
  • Сохраните фильтр под любым именем в выбранный каталог.

В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.

Коды событий выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event IDОписание
41Система была перезагружена без корректного завершения работы.
1074Система была корректного выключена пользователем или процессом.
1076Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008Предыдущее выключение системы было неожиданным.
6009Версия операционной системы, зафиксированная при загрузке системы.
6013Время работы системы (англ. system uptime) в секундах.

Логи выключений в powershell

Журналы выключения/перезагрузки в Windows также можно получить из командной строки с помощью команды

Get-EventLog

в PowerShell.

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Не получается запустить просмотр событий. где находится исполняемый файл приложения просмотр событий?

Приложение Просмотр событий можно запустить через исполняемые файлыC:WindowsSystem32eventvwr.exeилиC:WindowsSystem32eventvwr.msc

Обзор и сводка по событиям

Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.

Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).

Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.

В столбце Тип события можно нажать , чтобы развернуть категорию и просмотреть источник событий того же типа.

Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая .

Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.

Окно свойства события

Чтобы просмотреть детали одного события, мы должны использовать окно Свойства события. Чтобы открыть его, дважды щелкните левой кнопкой мыши на событии в центральной панели.

В окне «Свойства события» мы можем выбрать вкладку Общие или Подробности.

Открытие и закрытие сохраненного журнала

При помощи оснастки «Просмотр событий» можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в «Просмотре событий», может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:

  1. Выберите команду «Открыть сохраненный журнал» в меню «Действие» или из контекстного меню в дереве консоли;
  2. 3. В диалоговом окне «Открыть сохраненный журнал», передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. По умолчанию в диалоговом окне будут выведены все файлы журналов событий. Также при открытии можно выбрать тип файлов, которые нужно отображать в диалоге открытия. Доступные типы файлов: файлы журнала событий (*.evtx, *.evt, *.etl), а также файлы событий (*.evtx), старые файлы событий (*.evt) или файлы журнала трассировки (*.etl). После того, как нужный файл журнала будет найден, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку «Открыть».
  3. В диалоге «Открыть сохраненный журнал», в поле «Имя» введите новое имя, которое будет использоваться для журнала в дереве консоли. Оно используется только для представления журнала в дереве консоли и имя файла журнала при этом не изменяется Можно также использовать существующее имя файла журнала. В поле «Описание» введите описание журнала. Оно будет отображаться в центральной области при выделении родительской папки журнала в дереве консоли;
  4. Для создания папки, в которой будет расположен сохраненный журнал, нажмите на кнопку «Создать папку». В поле «Имя» введите имя папки, в которой будет находиться открытый журнал, а затем нажмите кнопку «ОК». Если родительская папка не выбрана, новая папка будет расположена в папке «Сохраненные журналы».
  5. Для того чтобы открытый журнал событий стал недоступным для других пользователей компьютера, вы можете снять флажок «Все пользователи». В том случае, если этот флажок останется активным, открытый журнал будет доступен всем пользователям, но для его удаления из дерева консоли потребуются права администратора;
  6. Для открытия журнала, нажмите на кнопку «ОК».

Для того чтобы удалить открытый журнал из дерева событий, выполните следующие действия:

  1. В дереве консоли выберите журнал, который следует удалить;
  2. Выберите команду «Удалить» из меню «Действие» или из контекстного меню выбранного журнала;
  3. В диалоге «Просмотр событий» нажмите на кнопку «Да».

Очистка журнала

Любой журнал можно очистить, чтобы освободить дополнительное место для записей. Если выбрана настройка Do not overwrite events (clear log manually) —«Не затирать события (очистка журнала вручную)», необходимо периодически чистить журнал.

Чтобы очистить журнал, следует щелкнуть правой кнопкой на названии журнала в списке консоли Event Viewer и выбрать пункт Clear all Events («Стереть все события»). Система спрашивает, нужно ли сохранить журнал перед тем, как очистить его. Если в журнале есть записи, которые могли бы пригодиться в будущем (например, при длительном отслеживании проблемы), можно выполнить архивацию содержимого журнала.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Просмотр логов и событий

Когда мы выбираем журнал на левой панели средства просмотра событий Windows, на центральной панели отображается список его событий, упорядоченный в обратном хронологическом порядке.

В поле ниже показано содержимое, относящееся к выбранному событию.

Просмотр событий

На следующем скриншоте можно увидеть журнал «Приложения», в котором можно узнать сведения о событиях, недавних представлениях и доступных действиях. Для того чтобы просмотреть события журнала приложений, выполните следующие действия:

  1. В дереве консоли выберите «Журналы Windows»;
  2. Выберите журнал «Приложения».


Увеличить рисунок

Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будущем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.

Панель «Область просмотра» показывает основные данные о событиях на вкладке «Общие», а дополнительные специфические данные – на вкладке «Подробности». Включить и выключить эту панель можно, выбрав меню «Вид», а затем команду «Область просмотра».

Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:

  1. В дереве консоли выберите журнал событий, который нужно сохранить;
  2. Выберите команду «Сохранить события как» из меню «Действие» или из контекстного меню журнала выберите команду «Сохранить все события как»;
  3. В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Тип файла» нужно выбрать желаемый формат файла из доступных: файлы событий – *.evtx, xml-файл – *.xml, текст с разделением табуляции – *.txt, csv с разделением запятыми – *.csv. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить». Для отмены сохранения нажмите на кнопку «Отмена»;
  4. В том случае, если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне «Отображать сведения» оставьте заданный по умолчанию вариант «Не отображать сведения», а если журнал предназначается для просмотра на другом компьютере, то в диалоговом окне «Отображать сведения» выберите вариант «Отображать сведения для следующих языков» и нажмите на кнопку «ОК».

Просмотр событий на удаленном компьютере

Чтобы облегчить себе задачу, администратор может со своей рабочей станции просматривать журналы удаленных компьютеров, на которых у него есть административные привилегии. На удаленном компьютере должна быть установлена Windows 2003, Windows XP, Windows 2000 Professional, Windows 2000 Server, Windows NT Server или NT Workstation.

На локальной консоли просмотра событий нужно щелкнуть правой кнопкой Event Viewer (Local) и выбрать Connect to another computer («Подключиться к другому компьютеру»). Следует ввести имя удаленного компьютера, с которым предстоит работать, или щелкнуть Browse, чтобы открыть диалоговое окно, показанное на экране 2, затем выбрать компьютер.

Кроме того, если имя удаленного компьютера известно, нет необходимости вводить его в виде имени UNC. Вид консоли Event Viewer меняется таким образом, что отображает имя UNC удаленного компьютера. На удаленном компьютере можно производить те же действия, что и на локальном Event Viewer.

Свойства событий

Существует несколько свойств событий оснастки «Просмотр событий», которые подробно описаны немного ниже:

Источник – это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II.

Код события – это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 – это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий».

Уровень – это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:

  • Уведомление – обозначает изменение в приложении или компоненте, такое как возникновение информационного события, связанного с успешным действием, создание ресурса или запуск службы.
  • Предупреждение – обозначает предупреждение общего характера на неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания;
  • Ошибка – обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие;
  • Критическая ошибка – обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически;
  • Аудит успехов – успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
  • Аудит отказов – неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.

Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей.

Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима.

Рабочий код – содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие.

Журнал – имя журнала, в который было записано данное событие.

Категория и задачи – определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.

Ключевые слова – это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден».

Компьютер – идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.

Дата и время – определяет дату и время возникновения данного события в журнале.

ИД процесса – представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс — это непосредственное выполнение этих инструкций

ИД потока – представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени.

ИД процессора – представляет идентификационный номер процессора, обработавшего событие.

Код сеанса – это идентификационный номер сеанса на сервере терминалов, в котором произошло событие.

Время работы в режиме ядра – определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром.

Время работы в пользовательском режиме – определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы вводавывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода.

Загруженность процессора – это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.

Код корреляции – определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция — статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин.

ИД относительной корреляции – определяет относительное действие в процессе, для которого используется событие

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Установка максимального размера журнала

Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%System32WinevtLogs. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:

  1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
  2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;
  3. В поле «Максимальный размер журнала (КБ)» установите требуемое значение при помощи счетчика или установите вручную без использования счетчика. В этом случае значение будет округлено до ближайшего числа, кратного 64 КБ так как размер файла журнала должен быть кратен 64 КБ и не может быть меньше 1024 КБ.

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Переписывать события при необходимости (сначала старые файлы) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;

Архивировать журнал при заполнении; не переписывать события – в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется.

Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически.

Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:

  1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
  2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;
  3. На вкладке «Общие», в разделе «При достижении максимального размера» выберите требуемый параметр и нажмите на кнопку «ОК».

Фильтры

Когда администратор исследует журнал, чтобы решить какую-либо проблему, или проверяет реакцию компьютера на существенное изменение конфигурации, он может ускорить этот процесс, избавившись от не имеющих отношения к делу записей в панели Details. Диалоговое окно Properties каждого журнала имеет вкладку Filter, с помощью которой выбираются типы отображаемых событий.

Например, вы не хотите видеть информационные записи от определенных компьютеров или вы хотите видеть только события, произошедшие в течение недели после внесения системных изменений. Следует просто нужным образом выбрать фильтры (или отменить выбор).

Помните, что фильтры влияют только на то, что отображается в окне; система продолжает записывать в журнал события тех типов, которые были отфильтрованы. Например, если есть основания полагать, что возникла угроза системе безопасности в виде вторжения извне, можно оставить для отображения события только тех типов, быстрый взгляд на которые позволяет обнаружить аномалии в регистрации, такие как события с ID 675 и 681, соответствующие неудачным попыткам аутентификации, или событие с ID 644, означающее блокировку учетной записи вследствие многократного некорректного ввода пароля.

Заключение

В этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows.

Журналы Intune Идентификаторы событий Подробности журналов IME для Windows Устранение неполадок на стороне клиента Блог HTMD

Давайте проверим, чтобы понять журналы Intune для компьютеров с Windows 10 и Windows 11 . Intune — это решение SaaS (программное обеспечение как услуга), и я не видел никаких серверных журналов Intune. Устранение неполадок на стороне сервера в основном осуществляется службой поддержки Microsoft.

Журналы на стороне клиента Intune — это один из вариантов устранения неполадок. Другой вариант устранения неполадок Intune со стороны клиента — использование трассировки сети.По сути, это обратный инжиниринг с использованием трассировок Fiddler и т. д.

Некоторые сведения о сервере Intune доступны через различные узлы отчетов на портале Intune. Вы можете выполнить базовое развертывание пользовательской политики Intune  устранение неполадок на портале центра администрирования MEM.  Вы можете напрямую собирать журналы Intune с портала центра администрирования MEM, используя руководство по сбору журналов Intune из диагностических данных портала MEM.

Один из примеров приведен нижеСледующий уровень устранения неполадок — это средство диагностики MDM для сбора журнала и информации со стороны клиента .

Мы можем разделить журналы Intune на две части. Один из них — это журналы, связанные с расширением управления Intune ( IME ), а другой раздел журналов связан с журналами событий Windows MDM . Более того, вы не можете сравнивать журналы SCCM с параметрами ведения журналов Intune.

Отчет о расширенной диагностике Intune

Я рекомендую начать сбор журналов Intune из приложения Windows 10 или Windows 11 settings .В этом отчете показаны примененные состояния конфигурации вашего устройства, включая политику CSPSettings, сертификаты, источники конфигурации и информацию о ресурсах.

Как собрать отчет расширенной диагностики Intune с ПК с Windows:

  • Перейдите в приложение e Settings из меню «Пуск» или с помощью кнопки.
  • Нажмите на Аккаунты .
  • Нажмите Доступ к школе или работе на странице учетных записей.
  • Щелкните учетную запись Azure AD , для которой вы хотите собрать журналы/отчет.

Диагностический отчет будет сохранен -> C:\Users\Public\Documents\MDMDiagnostics

Журналы Intune Идентификаторы событий Журналы IME Сведения для устранения неполадок на стороне клиента Windows

Журналы Intune в Windows — журналы управления

возможность собирать все журналы, связанные с Intune, с ПК с Windows. Вы можете собрать все журналы управления Intune из настроек -> Accounts -> Access School или Work .

Вы можете нажать Экспорт файлов журнала управления .Файл журналов будет храниться в том же месте, что и диагностические отчеты Intune. Некоторые файлы журналов, собранные в ходе этого процесса, приведены ниже.

C:\Users\Public\Documents\MDMDiagnostics ==> MDMDiagReport.cab (Вы можете извлечь CAB-файл для проверки журналов).

ПРИМЕЧАНИЕ ! – Параметр командной строки для получения журнала диагностики Intune MDM –

mdmdiagnosticstool.exe -area DeviceEnrollment;DeviceProvisioning;Autopilot -zip c:\users\public\documents\MDMDiagReport.почтовый

Intune Журналы в Windows — Управление Логи
 AgentExecutor.log, AutopilotConciergeFile.json, AutopilotDDSZTDFile.json, ClientHealth.log, DeviceHash_DESKTOP-EQI637E.csv, DiagnosticLogCSP_Collector_Autopilot_2020_11_10_16_17_18.etl, DiagnosticLogCSP_Collector_DeviceProvisioning_2021_7_5_17_44_24.etl, IntuneManagementExtension-20210623-103112.log, IntuneManagementExtension -20210630-185736.log, IntuneManagementExtension.log, MDMDiagHtmlReport.html, MdmDiagLogMetadata.json, MDMDiagReport.xml, MdmDiagReport_RegistryDump.reg, MdmLogCollectorFootPrint.txt.microsoft-windows-aad-operational.evtx, microsoft-windows-appxdeploymentserver-operational.evtx, microsoft-windows-assignedaccess-admin.evtx, microsoft-windows-assignedaccess-operational.evtx, microsoft-windows-assignedaccessbroker-admin.evtx, microsoft-windows-assignedaccessbroker-operational.evtx, microsoft-windows-crypto-ncrypt-operational.evtx, microsoft-windows-devicemanagement-enterprise-diagnostics-provider-admin.evtx, microsoft- Windows-DeviceManagement-Enterprise-Diagnostics-Provider-Debug.evtx, microsoft-windows-devicemanagement-enterprise-diagnostics-provider-operational.evtx, microsoft-windows-moderndeployment-diagnostics-provider-autopilot.evtx, microsoft-windows-moderndeployment-diagnostics-provider-managementservice.evtx, microsoft-windows- provisioning-diagnostics-provider-admin.evtx, microsoft-windows-shell-core-operational.evtx, microsoft-windows-user device Registration-admin.evtx, Sensor.log, setupact.log 

Журналы расширений управления Intune Расширение управления

Intune — это облегченный агент, который помогает развертывать сложные приложения, сценарии PowerShell и многие другие службы на устройствах Windows.Журналы IME аналогичны журналам ConfigMgr, и эти журналы расположены по адресу , следующему за адресом . IME — это журналы Intune на ПК с Windows.

C:\ProgramData\Microsoft\IntuneManagementExtension\Logs

Журналы расширения управления Intune

Во время написания этого сообщения у нас было четыре (4) журнала IME внутри папки IntuneManagementExtension\Logs .

  1. AgentExecutor.log
  2. ClientHealth.log
  3. IntuneManagementExtension.log
  4. Sensor.log

AgentExecutor.log

AgentExecutor.log является частью журналов Intune (IME), и этот журнал Intune помогает устранять неполадки сценариев PowerShell и сценариев упреждающего исправления в Windows 11. или ПК с Windows 10.

C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts\50b368da-f63e-4eb2-af9e-13bbd030d62f_cb7f2730-5580-4652-877d-f097c8b4064a. ps1
C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Results\50b368da-f63e-4eb2-af9e-13bbd030d62f_cb7f2730-5580-4652-877d-f097c8b4064a .вывод
строка cmd для запуска powershell -executionPolicy bypass -file «C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts\50b368da-f63e-4eb2-af9e-13bbd030d62f_cb7f2730-5580-4652-877d -f097c8b4064a.ps1»

Журналы расширения управления Intune — AgentExecutor.log

ClientHealth.log — Журналы IME Intune

10 клиентов.

Дополнительные сведения о действиях, связанных с проверкой работоспособности IME , объясняются в разделе Оценка работоспособности расширения управления Intune | Проблема со здоровьем IME | ClientHealthEval.exe | Планировщик задач.

Сводка: правило Проверка/исправление Тип запуска службы расширения управления Intune . с идентификатором 05980f21-0099-4ac4-8ba7-c9f5f0cd0b7f, результат = Pass , детали = N/A
Запуск правила обработки Проверка/исправление состояния службы Intune Management Extension.
Завершить отправку отчета о работоспособности.
Отчет о работоспособности клиента успешно отправлен . Готово.
Оценка состояния клиента завершена .

IntuneManagementExtension.log — файл журнала управления приложениями Intune

Файл журнала IntuneManagementExtension.log — это файл журнала управления приложениями Intune для приложений IntuneWin. Доступны дополнительные сведения об устранении неполадок IME — Intune Management Extension Deep Dive.

[Win32App] ===Шаг=== Обнаружение проверки без существующего AppResult
[StatusService] Невозможно получить код ошибки, поэтому возвращается неизвестное значение.
[StatusService] Сохранен AppInstallStatusReport для пользователя 50b368da-f63e-4eb2-af9e-13bbd030d62f для приложения 389fa8ca-2cee-4431-907d-2802e7c46a0a в реестре StatusServiceReports.
[AppStatusMgr] downloadTime: 01.01.0001 00:00:00

ClientHealth.log — журналы IME Intune IntuneManagementExtension.log — файл журнала управления приложениями Intune

Ключи реестра Intune поиск проблемы. Вам нужно проверить другой путь реестра, чтобы убедиться, что пользовательские политики развернуты. PolicyManager\current\User SID — это одно из мест реестра для пользовательских политик Intune.

Computer \ HKEY_LOCAL_MACHINE \ Software \ Microsoft \ PoliceManager \ Current \ S-1-12-1-3186897695-1137825691-1845872004-278613382 \ Microsoft_edge ~ Microsoft_edge

intune recister keys keys keys keys ~ microsoft_edge

intune keys keys
intuun Путь реестра на основе политики немного отличается от того, который мы используем для устройств. Дополнительные сведения см. в разделе Советы по устранению неполадок пользовательской политики Intune для предотвращения изменения темы.

ПРИМЕЧАНИЕ! — Другой путь реестра со строковым значением — Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ PolicyManager\Providers \D1E11663-BF69-4DD8-974A-BAD47E6EF433\default\S-1-5-21-28661-30252

-2480 \ ADMX_ControlPanelDisplay

Журналы Intune Идентификаторы событий Журналы IME Подробности для устранения неполадок на стороне клиента Windows

Журналы событий Intune

Как упоминалось выше, журналы компонентов, связанных с Intune и Windows MDM, доступны только в журналах событий.Вы можете собрать все необходимые журналы событий из файла MDMDiagReport.cab , как обсуждалось выше. Давайте проверим, какие журналы критических событий могут быть полезны для устранения неполадок при развертывании Intune.

Журналы событий — это расширенный тип журналов Intune в Windows. В большинстве сценариев я использую журналы событий, выделенные жирным шрифтом . Это основные журналы событий MDM, которые очень полезны при устранении неполадок, связанных с развертыванием политик Intune.

Путь к журналу (событию) Intune: Журналы приложений и служб Microsoft — Windows — Devicemanagement-Enterprise-Diagnostics-Provider — Admin .

Intune Журнал событий
  • Microsoft-Windows-AAD-эксплуатационные
  • Microsoft-Windows-appxdeploymentserver-эксплуатационное
  • Microsoft-Windows-assignedaccess-администратор
  • Microsoft-Windows-assignedaccess-эксплуатационное
  • Microsoft-Windows-assignedaccessbroker-админ
  • microsoft-windows-assignedaccessbroker-operational
  • microsoft-windows-crypto-ncrypt-operational
  • microsoft-windows-devicemanagement-enterprise-diagnostics-provider-admin (Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin )
  • microsoft-windows-devicemanagement-enterprise-diagnostics-provider-debug
  • microsoft-windows-devicemanagement-enterprise-diagnostics-provider-operational (Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Operational)
  • microsoft-windows-moderndeployment-diagnostics-provider-autopilot
  • microsoft-windows-moderndeployment-
  • microsoft-windows-provisioning-diagnostics-provider-admin
  • microsoft-windows-shell-core-operational
  • microsoft-windows-user device Registration-admin

Event ID 208 — Intune Server Sync Initiated

Идентификатор события 208 указывает, что политика Windows MDM , инициированная клиентом, синхронизирует с сервером MDM, и в этом сценарии это Intune.Журнал событий ясно показывает, что сеанс OMA-DM начался для определенного enrollmentID.

Это первый идентификатор события , который следует искать при запуске синхронизации политики вручную ( Инициировать ручную синхронизацию политики Intune ) с компьютеров с Windows 10 или Windows 11.

Сеанс MDM: Сеанс OMA-DM запущен для EnrollmentID (FFF6BB6A-4071-4E45-B14B-99DB4FB147BA) с сервером: ( MS DM Server ), версия сервера: (4.0), версия клиента: (1.2), PushRouterOrigin: (0x3), UserAgentOrigin: (0x2), Инициатор: (0x0), Режим: (0x2), SessionID: (0x45), Тип аутентификации: (0x1).

Идентификатор события 208 — инициирована синхронизация сервера Intune

Событие с идентификатором 813 для политики Intune Целое число

Событие с идентификатором 813 указывает, что политика Windows CSP применяется на ПК с Windows 10 или Windows 11. Параметр политики Intune основан на целочисленном значении . Идентификатор события 813 также указывает на то, что этот параметр политики успешно применен на клиентских компьютерах.

ИДЕНТИФИКАТОР СОБЫТИЯ 813 (Целое число)  — MDM PolicyManager:  Установка политики, целое число , Политика: ( DeferQualityUpdatesPeriodInDays ), Область: (обновление), EnrollmentID, запрашивающий слияние: (FFF6BB6A-4071-4E4) Текущий пользователь: (устройство), Int: ( 0x0 ), тип регистрации: (0xD), область действия: (0x0).

Идентификатор события 813 для политики Intune Целое число

Журналы событий Intune — Идентификатор события 814

Давайте рассмотрим некоторые сведения о важных журналах событий в рамках публикации журналов Intune. Идентификатор события 814 означает, что клиент MDM получил обновление политики с сервера и успешно применил его на клиентском ПК с Windows 10 или Windows 11.

Идентификатор события 814 также означает тип полученной политики Intune . Этот идентификатор события указывает, что получена политика STRING . Как вы знаете, в Windows CSP существуют разные типы политик. Строка является одной из таких политик.

ИДЕНТИФИКАТОР СОБЫТИЯ 814 — MDM PolicyManager: Установить строку политики , Политика: ( CPL_Personalization_DisableThemeChange ), Область: (ADMX_ControlPanelDisplay), EnrollmentID, запрашивающий слияние: (D0892524-0SDBCA-193F0), Текущий пользователь: 1-5-21-28661-30252-348095268-1124 ), Строка: (), Тип регистрации: (0x6), Область действия: (0x1).

Журналы событий Intune — идентификатор события 814

идентификатор события — 2900 — предупреждение о несоответствии

Событие с идентификатором 2900 указывает на предупреждение, когда клиент MDM пытается оценить состояние соответствия ПК. В следующем примере Bitlocker CSP проверяет статус соответствия на облачном ПК, и, не обращая внимания на мои лабораторные виртуальные машины, не поддерживает BitLocker .

BitLocker CSP: GetDeviceEncryptionComplianceStatus указывает, что FDV не соответствует с возвращенным статусом 0x200

Журналы Intune — идентификатор события — 2900 — предупреждение не соответствует требованиям

Идентификатор события 809 — неизвестная ошибка Win32

реализация политики на ПК с Windows 10 или Windows 11.Вам придется провести дальнейшую оценку и устранить проблему. Вам нужно будет проверить записи реестра, связанные с этой конкретной политикой, и устранить эту проблему.

Вы можете выполнить поиск в реестре по любому из ключевых слов в журнале событий ниже — AllowTelemetry, FFF6BB6A-4071-4E45-B14B-99DB4FB147BA и т. д., чтобы лучше понять проблему. Некоторые дополнительные советы доступны в разделе Советы по устранению неполадок пользовательской политики Intune для предотвращения изменения темы.

MDM PolicyManager: Установка политики, целое число , политика: (AllowTelemetry), область: (система), набор запросов EnrollmentID: (FFF6BB6A-4071-4E45-B14B-99DB4FB147BA), текущий пользователь: (устройство), целое число: (0x2 ), Тип регистрации: (0xD), Область: (0x0), Результат: (0x86000011) Неизвестный код ошибки Win32: 0x86000011 .

Идентификатор события 820 указывает на ошибку отказа в доступе в следующем примере. Клиент MDM для Windows 10 или Windows 11 пытается проверить состояние RequireRetrieveHealthCertificateOnBoot, , и это недоступно для облачных ПК (?), поэтому он получает следующую ошибку (0x80004005) Unspecified error.

Идентификатор события 820 — MDM PolicyManager: установка вызова предварительной проверки политики. Политика: (Безопасность), Область: ( RequireRetrieveHealthCertificateOnBoot ), значение int: (0x1) Результат: ( 0x80004005 ) Неизвестная ошибка.

Идентификатор события 809 — Неизвестная ошибка Win32 — Журналы Intune

Идентификатор события 404 Неопределенная ошибка

Событие с идентификатором 404 указывает на различные типы ошибок. Один из них можно легко игнорировать, это журнал событий FakePolicy . Это известная ошибка в Windows 11 и Windows 10.

Таким образом, вы можете смело игнорировать эту ошибку Система не может найти файл, указанный для поддельной политики OMA-URI.

MDM ConfigurationManager: состояние ошибки команды.Идентификатор источника конфигурации: (FFF6BB6A-4071-4E45-B14B-99DB4FB147BA), Имя регистрации: (MDMFullWithAAD), Имя поставщика: (Политика), Тип команды: (Добавить: из Заменить или Добавить), URI CSP: (./Device/ Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Receiver/Properties/Policy/ FakePolicy/ Version), Результат: (Системе не удается найти указанный файл.).

Журнал событий 404 Ошибка ( Неопределенная ошибка ) для назначения политики Intune, связанной с безопасной загрузкой, PCHealth и т. д., нельзя было применить на большинстве виртуальных машин Windows 10 и Windows 11.

RequireRetrieveHealthCertificateOnBoot может быть недоступен для виртуальных машин Azure, виртуальных машин AVD или облачных ПК в большинстве сценариев. Таким образом, вам может потребоваться отфильтровать развертывание этих политик на виртуальных машинах или VDI.

MDM ConfigurationManager: состояние ошибки команды. Идентификатор источника конфигурации: (FFF6BB6A-4071-4E45-B14B-99DB4FB147BA), имя регистрации: (MDMFullWithAAD), имя поставщика: (политика), тип команды: (Добавить: из «Заменить» или «Добавить»), URI CSP: (./Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot), Результат: (Неизвестная ошибка).

Идентификатор события 404 Неопределенная ошибка — политика Intune, журналы Intune

Центр отзывов — сбор журналов корпоративного портала

Вы также можете отправить отзыв или записать проблему с помощью интеграции центра отзывов с корпоративным порталом. Я не использовал эту опцию, чтобы дать полный опыт. Тем не менее, кажется, что это собирает много данных, включая скриншоты и записи экрана. Я также не уверен, разрешен ли этот тип сбора данных с точки зрения конфиденциальности всех корпоративных организаций.

Обязательно сохраните локальную копию диагностики и вложений, созданных при отправке отзыва. Путь, по которому он хранится, — C:\Users\Anoop\Documents\FeedbackHub .

Журналы Intune на компьютерах с Windows Сведения о расположении Как собирать диагностические отчеты

Инструмент сообщества для сбора журналов Intune

Этот пакет используется вместе с инструментом Microsoft Support One Data Collector (ODC) для сбора данных с клиентских компьютеров Windows Intune.

XML-файл содержит расположение данных и сценарии для сбора различных файлов, ключей реестра и выходных данных командной строки, чтобы помочь инженерам службы поддержки в устранении неполадок Intune.

markstan/IntuneOneDataCollector: Intune One Data Collector — автоматизированный инструмент для сбора данных по вопросам поддержки Intune. (github.com)

Ресурсы

Автор

Anoop  – это   Microsoft MVP! Он администратор управления устройствами с более чем 20-летним опытом (расчет сделан в 2021 году) в области ИТ. Он является блоггером, спикером и лидером местного сообщества пользователей HTMD. Его основное внимание уделяется технологиям управления устройствами, таким как SCCM 2012, Current Branch и Intune.Он пишет о ConfigMgr, Windows 11, Windows 10, Azure AD, Microsoft Intune, Windows 365, AVD и т. д.

Можно ли получить доступ к журналу событий Windows, если система не загружается?

Можно ли получить доступ к журналу событий Windows, если система не загружается? — Суперпользователь
Сеть обмена стеками

Сеть Stack Exchange состоит из 180 сообществ вопросов и ответов, включая Stack Overflow, крупнейшее и пользующееся наибольшим доверием онлайн-сообщество, где разработчики могут учиться, делиться своими знаниями и строить свою карьеру.

Посетите биржу стека
  1. 0
  2. +0
  3. Войти
  4. Зарегистрироваться

Super User — это сайт вопросов и ответов для компьютерных энтузиастов и опытных пользователей.Регистрация занимает всего минуту.

Зарегистрируйтесь, чтобы присоединиться к этому сообществу

Любой может задать вопрос

Любой может ответить

Лучшие ответы голосуются и поднимаются на вершину

спросил

Просмотрено 37 тысяч раз

Если установка Windows не загружается, можно ли получить доступ к журналу событий с Linux LiveCD?

спросил 28 ноя, 2009 в 13:07

МачаМача

5,1021616 золотых знаков5858 серебряных знаков9090 бронзовых знаков

Возможно, если вы используете Vista или новее.Данные журнала событий теперь записываются в файл XML в %SystemRoot%\System32\winevt\Logs\ .

Предыдущие версии Windows записывали журнал в недокументированном двоичном формате. Эта веб-страница пытается описать этот формат.

GrokEVT, упомянутый на этой странице, представляет собой набор сценариев, созданных для чтения файлов журнала событий Windows NT/2000/XP/2003. GrokEVT выпущен под лицензией GNU GPL и реализован на Python.

Расположение журналов по умолчанию:

  • %SystemRoot%\System32\Config\SysEvent.Evt (системный журнал)
  • %SystemRoot%\System32\Config\AppEvent.Evt (Журнал приложений)
  • %SystemRoot%\System32\Config\SecEvent.Evt (Журнал безопасности)

Одним из его преимуществ является возможность совместного использования информационных панелей и отчетов с другими пользователями. Инструментальные панели включают ряд дисплеев, таких как диаграммы, которые помогают пользователю разобраться в данных журнала. У пользователей также есть возможность настроить временные рамки , на которые они смотрят, чтобы изменить данные, которые они просматривают.

Sumo Logic — это платформа, рекомендуемая тем пользователям, которым нужна платформа управления журналами с первоклассными аналитическими возможностями. Бесплатная версия поддерживает до 4 ГБ хранилища журналов. Пользователи, которым требуется больше, могут приобрести платную версию. Платные версии начинаются с 90 долларов США (72,97 фунтов стерлингов) в месяц за 1 ГБ в день. Вы можете начать бесплатную пробную версию.

Основные характеристики:

  • Пользовательские информационные панели
  • Аналитика в реальном времени
  • Машинное обучение
  • API
  • Совместимость с PCI DSS, SOX и HIPAA

7.Датадог

Datadog — это инструмент облачного мониторинга, который может отслеживать приложения, службы и данные журналов. Вы можете взять данные журнала событий Windows и использовать их для генерации событий в потоке событий . Поток событий отображает список последних событий, произошедших в вашей сети.

Программное обеспечение позволяет вам искать и фильтровать данные журнала в одном месте. Все данные можно архивировать централизованно, чтобы они были доступны, когда вам это нужно.Данные журнала можно просматривать на панели инструментов , которая оснащена такими параметрами визуализации, как диаграммы и диаграммы , чтобы дать вам более полное представление о том, что происходит.

Оповещения на основе машинного обучения уведомляют вас в момент возникновения проблемы. Оповещения можно отправлять непосредственно во внешние службы, такие как Slack, Hangouts Chat, и Microsoft Teams . Вы также можете использовать Webhooks , чтобы добавить пользовательский код для автоматического ответа на проблему.

Существует ряд вариантов ценообразования для Datadog в зависимости от вашего варианта использования. Цены на управление журналами начинаются с 1,27 доллара США (1,03 фунта стерлингов) за миллион событий журнала в месяц с 7-дневным хранением данных или 0,10 доллара США (0,081 фунта стерлингов) за полученный или отсканированный ГБ в месяц. Вы можете начать 14-дневную бесплатную пробную версию.

Основные характеристики:

  • Управление журналом в режиме реального времени
  • Приборная панель
  • Графики и диаграммы
  • Фильтрация
  • Оповещения

8.Системный журнал-NG

Syslog-NG — это решение для управления журналами, которое может собирать и хранить журналы событий Windows . Он может собирать данные из более чем 10 000 источников журналов и использует шифрование TLS для защиты важных сообщений от несанкционированного доступа. Платформа предлагает пользователям фильтрацию для облегчения навигации и хранения данных в двоичных файлах.

Программное обеспечение позволяет пользователю пересылать данные журнала во внешние инструменты. Пользователи могут отправлять журналы в базы данных SQL, MongoDB, и узлы распределенной файловой системы Hadoop .Пользователь также может отправлять журналы через SNMP или SMTP. Пересылка данных журналов упрощает организациям управление журналами в наиболее удобном формате.

Syslog-NG рекомендуется для предприятий, которым требуется простое, но комплексное решение для управления журналами, поддерживающее ряд источников журналов. Вы можете запросить индивидуальное ценовое предложение у отдела продаж на веб-сайте компании. Загрузите 30-дневную бесплатную пробную версию.

Основные характеристики:

  • Сохраняет данные журнала
  • Фильтрация журнала
  • Пересылка журнала
  • TLS-шифрование

Выбор подходящего инструмента для вашей организации

Управление журналами событий Windows — это то, чем должно заниматься каждое предприятие.Наличие видимости для раннего обнаружения отказов служб и проблем с доступностью снижает вероятность нарушения работы сети. Перечисленные нами инструменты управления журналами могут эффективно управлять данными журнала событий Windows и дают вам наилучшие шансы быстро выявить проблемы с производительностью.

Наш редактор выбрал для этой статьи SolarWinds Log Analyzer , поскольку он предлагает пользователям Windows всесторонние возможности мониторинга журнала событий Windows по конкурентоспособной цене. ManageEngine EventLog Analyzer также предлагает пользователям высококачественную альтернативу и рекомендуется для компаний, которым требуется бесплатное решение для управления журналами.

Часто задаваемые вопросы об управлении журналом событий Windows

Что такое управление журналом событий?

События Windows — это система Microsoft для ведения журналов активности. В этих сообщениях содержится информация о состоянии операционной системы, продуктов Microsoft и сторонних программных пакетов. Управление этими сообщениями включает их сбор и хранение в файлах.

Какие существуют пять типов журналов событий?

Сообщения журнала событий Windows имеют коды пяти уровней: Информация, Предупреждение, Ошибка, Аудит успехов и Аудит отказов.Уровень сообщений позволяет легко фильтровать входящие сообщения, чтобы сосредоточиться на определенных событиях серьезности.

Для чего используются журналы событий?

Журналы событий можно использовать для управления ресурсами, обслуживания системы и мониторинга безопасности. Каждое сообщение дает небольшую информацию об операциях ресурса. Объединение этих сообщений может предоставить очень полезную информацию.

Полное руководство по ведению журналов событий Windows

В идеальном мире компьютеры в сети всегда должным образом функционировали бы.Не будет проблем с операционной системой и не будет проблем с приложениями. К сожалению, это не идеальный мир. Системные сбои могут происходить и будут происходить, и когда они случаются, системные администраторы несут ответственность за диагностику и устранение проблем. Но с чего системные администраторы могут начать поиск решений при возникновении проблем? Ответ — журналы событий Windows.

Что такое журналы событий Windows?

По своей сути журналы событий Windows представляют собой записи событий, произошедших на компьютере под управлением операционной системы Windows.Эти записи содержат информацию о действиях, которые произошли с установленными приложениями, компьютером и самой системой. Журналы событий Windows включают как действия, предпринятые пользователями, так и действия, предпринятые процессами, выполняющимися на компьютере. Если есть проблема с системой, они могут предоставить администратору важный контекст для достижения решения.

Представьте на мгновение, что приложение на вашем компьютере с Windows дает сбой, и вы получаете неясное сообщение об ошибке, которое относительно бесполезно для определения причины проблемы.Кроме того, предположим, что для этого приложения нет проприетарных файлов журналов, которые могут помочь вам в выявлении и устранении проблемы. Это пример случая, когда журналы событий Windows могут быть полезны. Просто перейдите к средству просмотра событий (подробнее об этом позже), и у вас, вероятно, будет отправная точка для решения проблемы.

Элементы журнала событий Windows

При устранении неполадок любого инцидента, связанного с компьютером, крайне важно, чтобы вы понимали доступную вам информацию, а чтобы понять информацию, вы должны сначала понять формат, в котором она представлена.Одним из преимуществ работы с журналами событий Windows является то, что все журналы событий (независимо от того, собираются ли они для самой системы, для приложения или для целей аудита) организованы стандартизированным и кратким образом, чтобы сделать их максимально понятными. Давайте рассмотрим основные элементы журналов событий Windows:

  • Имя/ключ журнала — ключ относится к классификации каждого компонента ведения журнала, указывающего имя журнала, в который будут записываться события из этих компонентов.В этой статье мы рассмотрим значения системы, приложения и ключа безопасности. Журналы системных событий будут включать события, зарегистрированные компонентами системного уровня, такими как клиент Центра обновления Windows. Журналы событий приложений немного отличаются; к ним относятся события, связанные с различными службами, а также с приложениями, которые установлены или устанавливаются на компьютере с Windows. Если журнал событий записывается при сбое приложения во время работы или во время настройки, он должен быть привязан к ключу приложения.Наконец, журналы событий безопасности обычно содержат записи аудита, относящиеся как к успешным, так и к неудачным попыткам входа в систему.
  • Уровень — Событие регистрируется исключительно в информационных целях или указывает на критическую ошибку? Уровень события сообщит вам серьезность записываемого события. Уровни событий включают критический, ошибка, предупреждение, информационный и подробный.
  • Дата/время — дата и время записи события. Если вы вошли в систему на компьютере с Windows в 8:05 утра 30 июля 2019 года, то, скорее всего, запись события аудита привязана к этой дате и времени.
  • Источник — это имя компонента, который запускает журнал событий. Во многих случаях это будет имя приложения или процесса, который ведет журнал событий. Например, если событие связано со сбоем приложения базы данных на компьютере, то источником события может быть имя приложения базы данных, в котором произошел сбой.
  • Идентификатор события . Это может быть чрезвычайно полезной частью журнала событий для любого администратора, занимающегося устранением неполадок.Идентификатор события предназначен для использования в качестве идентификатора отдельного зарегистрированного события. Этот идентификатор должен быть привязан к сообщению, указывающему на причину проблемы, что позволит системному администратору принять меры для решения проблемы.
  • Категория задачи — Категория задачи служит дополнительной информацией, помогающей отладить проблему приложения или системы. Разработчики конкретного приложения могут определить категории, чтобы обеспечить контекст для конкретного события.
  • Пользователь — это может относиться к пользователю, вошедшему в систему на определенном компьютере Windows во время записи события. Например, при установке приложения имя пользователя администратора, вошедшего в систему, скорее всего, будет отражено в журнале событий для события установки.
  • Компьютер — имя компьютера, на котором было зарегистрировано событие.

Использование средства просмотра событий Windows

Теперь, когда мы знаем, что такое журналы событий Windows, давайте обсудим средство просмотра событий Windows.Средство просмотра событий Windows — это инструмент, предоставляемый Windows для доступа и управления журналами событий, связанными как с локальными, так и с удаленными компьютерами Windows. Доступ к этому инструменту можно получить, выполнив поиск в меню «Пуск» или перейдя в часть инструментов администрирования панели управления на компьютере с Windows.

Просмотр журналов событий в программе просмотра событий

После открытия программы просмотра событий на вашем компьютере доступ к файлам журнала становится довольно простым. На левой панели навигации вы увидите раскрывающийся список с надписью «Журналы Windows.” Развернув этот раскрывающийся список, вы сможете выбрать файл журнала событий, который хотите просмотреть. Основные файлы журналов, которые, вероятно, будут использоваться для устранения большинства неполадок Windows, — это приложения, безопасность и система. Щелчок левой кнопкой мыши по любой из клавиш под раскрывающимся списком «Журналы Windows» откроет выбранный файл журнала в средстве просмотра событий. Примечание. Если вы хотите просмотреть файлы журнала событий Windows на удаленном компьютере, просто щелкните правой кнопкой мыши ссылку «Просмотр событий» на левой панели и выберите параметр «подключиться к другому компьютеру».”

Отображение файла журнала разделено на две области, расположенные в центре средства просмотра событий. На верхней панели отображаются основные сведения о каждом событии в виде списка. Его можно отсортировать, щелкнув любой из заголовков, расположенных в верхней части верхней панели (см. изображение ниже). На нижней панели отображаются сведения, связанные с любой записью о событии, выбранной из списка журналов событий выше.

Поиск и фильтрация событий в средстве просмотра событий

Как упоминалось ранее, средство просмотра событий обычно используется в ответ на сообщения о проблемах с системой, приложениями и безопасностью.Администратор может случайным образом просматривать журналы в надежде выявить проблему; поэтому средство просмотра событий полезно только в том случае, если администратор может найти журналы событий, связанные с возникшей проблемой. При этом для поиска конкретной записи о событии требуется контекст.

Этот контекст почти наверняка будет включать время возникновения проблемы и приложение или системный процесс, в котором возникла проблема. Кроме того, будут важны имя пользователя и компьютера.Эту информацию можно использовать для поиска события путем выбора правильного файла журнала и прокрутки записей, или ее можно использовать для фильтрации записей о событиях, чтобы более эффективно находить нужную информацию.

После выбора соответствующего файла журнала можно выполнить фильтрацию, щелкнув ссылку «фильтровать текущий журнал» на панели действий, расположенной в правой части средства просмотра событий. Откроется модальное окно фильтра (показано ниже), в котором пользователь может сделать соответствующий выбор для фильтрации записей, которые будут отображаться в выбранном файле журнала.Например, если администратор хочет ограничить результаты «критическими» событиями, инициированными пользователем «jdoe», тогда он / она установит флажок «критический» рядом с уровнем события и введет имя пользователя «jdoe» в текст. область с пометкой «пользователь». После нажатия «ОК» средство просмотра событий соответствующим образом отфильтрует записи о событиях.

Сохранение журналов событий

Еще одна полезная функция средства просмотра событий — возможность сохранять журналы событий для использования вне компонента. Это можно сделать, выбрав соответствующий файл журнала на левой панели, а затем щелкнув ссылку «сохранить все события как» на панели действий справа.Эта ссылка открывает традиционное модальное окно «сохранить как», которое позволяет администратору выбрать местоположение и имя файла для экспортируемых записей о событиях.

Очистка журналов событий

В некоторых случаях имеет смысл очистить журналы событий. Это можно сделать и через Event Viewer. После выбора соответствующего файла журнала для очистки с помощью левой навигации на панели действий справа появится ссылка «очистить журнал». При нажатии на эту ссылку откроется диалоговое окно подтверждения, в котором администратору будет предложено подтвердить решение очистить выбранный файл журнала.Средство просмотра событий дает возможность сохранить журналы событий после очистки или очистить их без сохранения.

Использование подробных сведений о событиях для устранения неполадок с помощью средства просмотра событий

Выше я рассмотрел шаги по идентификации, поиску и фильтрации файлов журнала событий, чтобы попытаться диагностировать проблему с компьютером Windows. Это основной метод устранения неполадок с помощью средства просмотра событий. Не менее важно получать информацию, предоставленную журналом событий, и использовать ее надлежащим образом. Многие записанные события будут иметь соответствующий идентификатор события и сообщение.Сообщения может быть достаточно для решения проблемы; однако, даже если это не так, обычно это хорошее место для начала исследования проблемы. Выполнение поиска в Интернете по идентификатору события, сообщению и соответствующему источнику, скорее всего, даст что-то полезное.

Журналы событий Windows и Sumo Logic

Хотя средство просмотра событий является хорошей отправной точкой для анализа журналов событий Windows, интерфейс может вам не понравиться. В этом случае рассмотрите Sumo Logic как платформу управления журналами для сбора и мониторинга журналов событий Windows, чтобы упростить анализ журналов и расследование проблем.Процесс настройки коллекции журналов событий Windows в Sumo Logic довольно прост. После установки сборщика Sumo Logic вам просто нужно настроить источник журнала событий Windows для удаленного или локального сбора.

Этот процесс не занимает много времени и упрощает получение ценной информации из журналов событий Windows (это обязательно оценят системные администраторы). Это помогает сократить время, необходимое для диагностики и устранения любой ошибки, независимо от того, связана ли она с системой, приложением или безопасностью.Для полного изложения процесса настройки Sumo Logic обязательно посетите документацию Sumo Logic для настройки локальных и удаленных источников журнала событий Windows. Sumo Logic теперь делает начало работы еще проще благодаря бесплатной пробной версии, помогая предприятиям бесплатно протестировать платформу управления журналами для себя.

Полная видимость для DevSecOps

Сокращение времени простоя и переход от реактивного к упреждающему мониторингу.

3 лучших способа исправить edb.войти в Windows 10/8.1/8/7

Одна из самых неприятных проблем при использовании компьютера — когда он зависает посреди важной работы. Существует множество причин, по которым ваш компьютер может остановиться, и одна из них — ошибка edb.log. Этот тип ошибки не то, с чем вы сталкиваетесь очень часто. Чтобы исправить это, вам нужно больше узнать о самом edb.log и возможных причинах ошибки.

Часть 1. Что такое edb.log и в чем причина ошибки?

Короче едб.log — это файл журнала для файла Windows.edb. Поскольку сам Windows.edb является файлом базы данных для службы поиска Windows, которая обеспечивает индексацию содержимого, кэширование свойств и результаты поиска файлов, электронных писем и другого содержимого; файл edb.log будет содержать всю информацию о действиях, выполняемых Windows.edb.

Проблема возникает, когда Windows.edb не удается зарегистрировать процесс записи своего журнала в файл edb.log. Система будет продолжать пытаться достичь цели, многократно выполняя регистрацию.Это создаст цикл процесса, сделает файлы edb.log все больше и больше и, таким образом, замедлит и, наконец, зависнет компьютер.

Часть 2. Как исправить ошибку edb.log в Windows 10/8.1/8/7?

Существует три варианта устранения ошибки edb.log в Windows. Альтернативы перечислены ниже.

Унция профилактики

Прежде чем мы перейдем к этапу исправления, лучше, если мы сможем предотвратить возникновение проблемы. Если вы не используете поиск Windows или не планируете его использовать, ваша жизнь станет лучше, если вы просто отключите эту функцию.

Для этого откройте Панель управления > Все элементы панели управления > Программы и компоненты > Включение или отключение функций Windows . Оттуда вы можете снять флажок Windows Search .

Но если вы должны использовать функцию поиска Windows и, к сожалению, столкнулись с ошибкой edb.log, продолжайте исправлять ошибки.

Вариант № 1: исправить ошибку edb.log, удалив ее вручную

Если ваш файл edb.log стал слишком большим, вы можете удалить его вручную.

Во-первых, необходимо завершить процесс SearchIndexer.exe , чтобы остановить ведение журнала перед удалением файла журнала. Можно попробовать завершить процесс через Диспетчер задач .

Но сам процесс является частью Windows по умолчанию. Так что прекращение может быть не так просто, как вы думали сначала. Если SearchIndexer.exe отказывается закрываться и продолжает перезапускаться через несколько минут, вы можете попробовать выполнить следующее действие.

Открыть службы .msc и перейдите в службу поиска Windows.

Дважды щелкните по нему, чтобы открыть его диалоговое окно, затем выберите Stop .

Теперь перейдите в папку с файлом Windows.edb и удалите его.

Обратите внимание: несмотря на то, что удалить папку Windows.edb безопасно, Windows придется перестроить индекс при следующем выполнении поиска. Эта переиндексация и перестроение индекса замедлит ваш поиск, по крайней мере, до тех пор, пока работа не будет завершена.

Вариант № 2: исправить ошибку edb.log, изменив его расположение

Как мы упоминали ранее, edb.log — это всего лишь симптом. Нельзя вылечить болезнь, леча только симптомы. В конце концов, файл edb.log снова разрастется и займет драгоценное место на жестком диске.

Чтобы файл журнала не занимал место на основном диске, и вы не хотите отключать функцию поиска Windows, вы можете попробовать переместить файл edb.log в другое место. Это решение является временным исправлением, но оно работает до тех пор, пока функция поиска Windows не работает.

Чтобы изменить расположение Windows.edb, откройте Панель управления > Параметры индексирования > Дополнительно > Местоположение индекса > Выберите новый .

Затем найдите место, где вы хотите сохранить файл, и установите его в качестве нового места для папки с файлом.

Вариант № 3: исправить ошибку edb.log, установив обновление

Лучший способ исправить эту ошибку — исходить из самого источника. Microsoft выпустила обновление, устраняющее эту проблему вместе с обновлениями Windows 8/10 или Windows Server.

Обновление устранит проблему, из-за которой служба индексирования Windows перегружает файл Windows.edb, а затем занимает большую часть вашего драгоценного дискового пространства.

Эти обновления должны применяться автоматически ко всем подходящим компьютерам Windows. Если ваш компьютер все еще борется с проблемами, скорее всего, вам нужно установить обновление вручную.

Часть 3. Не позволяйте проблемам с паролем беспокоить вас

После применения любых обновлений к самой операционной системе вам необходимо перезагрузить компьютер. Если вы защищаете свой компьютер безопасным паролем и не перезагружали его некоторое время, есть вероятность, что вы забудете пароль и не сможете снова войти в систему.

Пусть эта простая проблема не будет помехой. Ключ Windows Password для восстановления пароля пользователя. Инструмент также может восстанавливать другие типы паролей, такие как локальный или доменный администратор, учетная запись Microsoft.

Связанные статьи
[решено] Не удается войти в безопасный режим, Windows 10 отвечает сообщением «Неверный пароль»
Взлом пароля ноутбука
Как исправить нехватку виртуальной памяти в Windows 10/8.1/8/7

Включите JavaScript, чтобы просматривать комментарии с помощью Disqus.комментарии на основе

клиентских журналов Intune в Windows 10

Примечание для себя (и всех, кто заинтересован!) о расположении журналов и компонентов управления Intune на стороне клиента на устройстве с Windows 10.

Отчет о диагностике

Диагностический отчет можно создать на стороне клиента, выбрав «Параметры» > «Доступ к работе и учебе» > «Подключение к Azure AD <тенанта>» > «Информация» > «Создать отчет».

Отчет будет сохранен в:

C:\Users\Public\Public Documents\MDMDiagnostics\MDMDiagReport.HTML

Расширение управления Intune

Информацию о параметрах IME можно найти в реестре:

HKLM:\Software\Microsoft\EnterpriseDesktopAppManagement\\MSI\

Сам MSI можно найти здесь вместе с журналом установки:

C:\Windows\System32\config\systemprofile\AppData\Local\mdm

Примечание. Если вы отключите устройство от Azure AD и снова присоединитесь к нему, вам потребуется переустановить IME, так как оно будет иметь другой идентификатор устройства.

Журналы IME

можно найти здесь:

C:\ProgramData\Microsoft\IntuneManagementExtension\Logs

Журналы:

  • АгентИсполнитель
  • Здоровье клиента
  • IntuneManagementExtension

Выполнение сценария

Когда сценарий PowerShell запускается на клиенте из Intune, сценарии и выходные данные сценария будут храниться здесь, но только до завершения выполнения:

C:\Program files (x86)\Microsoft Intune Management Extension\Policies\Scripts

C:\Program files (x86)\Microsoft Intune Management Extension\Policies\Results

Расшифровка выполнения скрипта находится в папке C:_showmewindows (скрытая папка)

Полное содержимое сценария также будет зарегистрировано в IntuneManagementExtension.log (будьте осторожны с конфиденциальными данными в скриптах!)

Код ошибки и вывод результата скрипта также можно найти в реестре:

HKLM:\Software\Microsoft\IntuneManagementExtension\Policies\\

Журналы событий

Есть несколько журналов событий MDM, которые можно найти здесь:

Журналы приложений и служб > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider

Услуги

IME работает как служба под названием «Расширение управления Microsoft Intune».Вы можете перезапустить это, чтобы принудительно проверить наличие новых политик.

Запланированная задача

IME выполняет оценку работоспособности каждый день в качестве запланированной задачи и записывает результаты в ClientHealth.log:

Microsoft > Intune > Оценка работоспособности расширения управления Intune

Если вам известны какие-либо другие места хранения журналов, пожалуйста, дайте мне знать!

Много полезной информации об IME от Оливера Кизельбаха здесь и здесь.

Нравится:

Нравится Загрузка…

Как посмотреть историю запуска и выключения ПК в Windows 10

Бывают случаи, когда пользователь хочет узнать историю запуска и завершения работы компьютера. В основном системным администраторам необходимо знать историю для устранения неполадок. Если компьютером пользуются несколько человек, хорошей мерой безопасности может быть проверка времени запуска и выключения ПК, чтобы убедиться, что ПК используется законно. В этой статье мы обсудим два способа отслеживать время выключения и запуска вашего ПК.

Читайте также: Что делать, если Windows не запускается

Использование журналов событий для извлечения времени запуска и завершения работы

Средство просмотра событий Windows — замечательный инструмент, который сохраняет все, что происходит на компьютере. Во время каждого события средство просмотра событий регистрирует запись. Средство просмотра событий обрабатывается службой журнала событий, которую нельзя остановить или отключить вручную, так как это основная служба Windows. Средство просмотра событий также регистрирует историю запуска и завершения работы службы журнала событий.Вы можете использовать это время, чтобы получить представление о том, когда ваш компьютер был запущен или выключен.

События службы журнала событий регистрируются с двумя кодами событий. Идентификатор события 6005 указывает, что служба журнала событий была запущена, а идентификатор события 6009 указывает, что службы журнала событий были остановлены. Давайте рассмотрим весь процесс извлечения этой информации из средства просмотра событий.

1. Откройте средство просмотра событий (нажмите Win + R и введите eventvwr ).

2. На левой панели откройте «Журналы Windows -> Система».

3. В средней панели вы увидите список событий, произошедших во время работы Windows. Наша забота состоит в том, чтобы увидеть только три события. Давайте сначала отсортируем журнал событий по идентификатору события. Щелкните метку идентификатора события, чтобы отсортировать данные по столбцу идентификатора события.

4. Если у вас большой журнал событий, то сортировка работать не будет. Вы также можете создать фильтр на панели действий справа.Просто нажмите «Фильтровать текущий журнал».

5. Введите 6005, 6006 в поле «Идентификаторы событий», помеченное как <Все идентификаторы событий>. Вы также можете указать период времени в разделе «Зарегистрировано».

  • Событие с идентификатором 6005 будет помечено как «Запущена служба журнала событий». Это синоним запуска системы.
  • Событие с идентификатором 6006 будет помечено как «Служба журнала событий остановлена». Это синоним отключения системы.

Если вы хотите более подробно изучить журнал событий, вы можете просмотреть идентификатор события 6013, который будет отображать время безотказной работы компьютера, а идентификатор события 6009 указывает информацию о процессоре, обнаруженную во время загрузки.Идентификатор события 6008 сообщит вам, что система запустилась после того, как она не была должным образом выключена.

Читайте также: Как запланировать выключение и запуск Windows

Вы также можете настроить пользовательские представления просмотра событий, чтобы просто просматривать эту информацию в будущем. Это экономит ваше время, и вы можете настроить пользовательские представления для определенных событий, которые вы хотите видеть. Вы можете настроить несколько представлений средства просмотра событий в зависимости от ваших потребностей, а не только истории запуска и завершения работы.

Также читайте: Завершение работы, сон, гибернация и быстрый запуск: объяснение параметров питания Windows

Использование TurnedOnTimesView

TurnedOnTimesView — это простой портативный инструмент для анализа журнала событий на предмет истории запуска и завершения работы.Утилита может использоваться для просмотра списка времени выключения и запуска локальных компьютеров или любого удаленного компьютера, подключенного к сети. Поскольку это портативный инструмент, вам нужно будет только разархивировать и запустить файл TurnedOnTimesView.exe. В нем сразу же будет указано время запуска, время завершения работы, продолжительность времени безотказной работы между каждым запуском и завершением работы, причина отключения и код завершения работы.

Причина выключения обычно связана с машинами Windows Server, где мы должны указать причину, если мы выключаем сервер.

Чтобы просмотреть время запуска и выключения удаленного компьютера, перейдите в «Параметры» -> «Дополнительные параметры» и выберите «Источник данных как удаленный компьютер». Укажите IP-адрес или имя компьютера в поле Имя компьютера и нажмите кнопку ОК. Теперь в списке будут отображаться сведения об удаленном компьютере.

Хотя вы всегда можете использовать средство просмотра событий для подробного анализа времени запуска и завершения работы, TurnedOnTimesView служит этой цели благодаря очень простому интерфейсу и точным данным.С какой целью вы отслеживаете время включения и выключения вашего компьютера? Какой метод мониторинга вы предпочитаете?

Читайте также: Как исправить ошибку «Неверная информация о конфигурации системы» в Windows

Подозреваете, что кто-то еще входит в ваш компьютер? Узнайте, как узнать, кто пользуется вашим компьютером, когда вы отсутствуете. Вышеупомянутые методы также могут помочь вам понять, что кто-то может использовать ваш компьютер без вашего разрешения.

Полезна ли эта статья? Да Нет

Подпишитесь на нашу рассылку!

Наши последние учебные пособия доставляются прямо на ваш почтовый ящик

.

Добавить комментарий

Ваш адрес email не будет опубликован.