Как найти файл журнал в windows

Синий экран смерти (BSOD) — одна из самых распространенных и известных ошибок в экосистеме Windows. Когда это происходит, на вашем компьютере отображается экран-заставка с подробностями о сбое, которые также сохраняются в заранее определенном месте, прежде чем приступить к перезагрузке компьютера. В этой статье мы обсудим, как найти файлы журнала BSOD в Windows.

Есть много вещей, которые могут вызвать BSOD, например, несовместимое программное обеспечение, перегрев оборудования, переполнение памяти и т. д. Используя данные о сбоях на вашем компьютере, вы можете выяснить, что не так, и исправить это навсегда. Итак, давайте начнем с поиска местоположения файла дампа BSOD на вашем компьютере.

Журнал просмотра событий используется для просмотра файлов журнала, в которых хранится информация о запуске и остановке служб в Windows. Он позволяет вам получить доступ к дампам памяти и собрать все журналы, хранящиеся в вашей системе, которые можно использовать для поиска и чтения файлов журналов BSOD. Вот как.

Шаг 1. Нажмите клавишу Windows на клавиатуре, введите «Просмотр событий» и нажмите «Запуск от имени администратора».

Шаг 2. Перейдите на вкладку «Действие» и выберите «Создать пользовательский вид» в раскрывающемся меню.

Шаг 3: В новом окне выберите «В любое время» в качестве временного диапазона в поле «Зарегистрировано» и выберите «Ошибка» в качестве уровня события.

Шаг 4. В раскрывающемся меню «Журналы событий» выберите «Журналы Windows».

Шаг 5: Теперь нажмите ОК.

Шаг 6: В окне «Сохранить фильтр в пользовательском представлении» переименуйте представление и нажмите «ОК».

При этом вы увидите все события ошибок в средстве просмотра событий. Вы можете щелкнуть любое событие и перейти в раздел «Подробности», чтобы просмотреть журнал BSOD и получить дополнительную информацию.

2. Просмотр файлов журнала BSOD с помощью монитора надежности

Это инструмент, который позволяет пользователям узнать стабильность своего компьютера. Он анализирует поведение приложения и создает диаграмму стабильности системы при выполнении задач. Монитор надежности оценивает стабильность от 1 до 10. Чем выше, тем лучше. Вот как это использовать.

Шаг 1: Нажмите клавишу Windows на клавиатуре, введите Просмотр истории надежностии нажмите Enter.

В окне «Монитор надежности» вы увидите информацию о надежности, отображаемую в виде графика, с нестабильностями и ошибками, отмеченными на графике точками.

Красный кружок обозначает ошибку, а буква «i» (выделена желтым цветом) обозначает предупреждение или заметное событие на вашем ПК.

Шаг 2: Вы можете нажать на символ ошибки или предупреждения, чтобы просмотреть подробную информацию и точное время возникновения ошибки.

Кроме того, вы можете расширить сведения, чтобы узнать больше о сбое, вызвавшем BSOD.

3. Проверьте файлы журнала BSOD с помощью редактора реестра.

Это один из наиболее распространенных способов найти файлы журнала BSOD в Windows. Метод включает в себя некоторые дополнительные этапы по сравнению с вышеуказанными методами. Давайте перейдем к шагам без дальнейших церемоний.

Шаг 1: Нажмите «клавиша Windows + R», введите regedit и нажмите «ОК».

Выберите Да в подсказке.

Шаг 2: Введите следующий адрес в адресную строку.

HKEY_LOCAL_MACHINESystemCurrentControlSetControlCrashControl

Шаг 3: Теперь щелкните правой кнопкой мыши правую панель редактора реестра. Выберите «Создать», а затем «Значение DWORD (32-разрядное)».

Шаг 4: введите имя значения как DisplayParameters и установите для параметра «Значение» значение 1. Теперь нажмите «ОК».

Шаг 5: Перезагрузите компьютер, чтобы изменения вступили в силу. Теперь вы сможете без проблем просматривать файлы журнала BSOD.

4. Доступ к файлам журнала BSOD с помощью стороннего средства просмотра BSOD

Если шаги, упомянутые выше, кажутся слишком сложными для выполнения, вы можете использовать сторонние приложения для просмотра событий, которые делают то же самое, что и средство просмотра событий Windows, с меньшим количеством шагов.

Существует множество приложений, и мы будем использовать BlueScreenView от NirSoft для обнаружения файла сбоя BSOD. Следуйте вместе.

Шаг 1: Загрузите BlueScreenView по ссылке ниже, установите и запустите его.

Скачать BlueScreenView

Шаг 2: Нажмите на любой файл дампа, указанный в приложении.

Это позволит вам просмотреть детали и понять причину BSOD.

Примечание. Изображение предназначено только для представления.

Как правило, информация о BSOD, сохраненная на вашем компьютере, не может быть получена в удобочитаемом формате, но такое приложение, как BlueScreenViewer, также позволяет вам прочитать и понять причину сбоя.

Часто задаваемые вопросы о файлах журнала BSOD

1. Что такое файл DMP?

DMP — это не что иное, как файлы дампа памяти. Это снимки памяти программы, сделанные во время сбоя.

2. Могу ли я удалить файлы аварийного дампа?

Да, вы можете сделать это с помощью таких инструментов, как утилита очистки диска. Удалив дампы памяти, вы сможете освободить больше места на жестком диске.

3. Что нельзя удалять при очистке диска?

Есть только одна категория файлов, которые вы никогда не должны изменять, не говоря уже об удалении, — это установочные файлы Windows ESD. Однако вы можете удалить временные файлы в Windows, чтобы освободить место на диске.

Выявление причины сбоя

Существует много причин, по которым ПК с Windows выходит из строя, но если это приводит к BSOD, код ошибки отображается на экране, чтобы помочь вам понять причину проблемы. Вы можете углубиться в файлы дампа BSOD, чтобы найти и устранить проблему.

Post Views: 98

Где хранятся отчеты об ошибках Windows 10?

Где я могу найти отчеты об ошибках Windows?

Где я могу найти отчеты о сбоях в Windows 10?

Чтобы просмотреть журналы сбоев Windows 10, такие как журналы ошибок синего экрана, просто нажмите Журналы Windows.

В какой папке хранятся журналы событий Windows?

По умолчанию файлы журнала средства просмотра событий используют расширение. evt и находятся в папке% SystemRoot% System32 Config.

Где находятся файлы журнала установки Windows 10?

Для просмотра журналов событий установки Windows

Как мне узнать, почему у меня произошел сбой Windows?

Как узнать, почему ваш компьютер сломался, используя встроенные инструменты в Windows 10

Почему мой компьютер дает сбой в случайном порядке?

Наиболее частой причиной случайных сбоев является перегрев компьютера из-за блокировки воздушного потока или отказа вентилятора. Обратите внимание на то, насколько сильно ваш компьютер работает во время сбоя — высокая загрузка подразумевает проблемы с нагревом. Другие причины включают отказ оборудования, в том числе ОЗУ или дисков, и, что реже, вредоносное ПО.

Как я могу восстановить свою Windows 10?

Как восстановить и восстановить Windows 10

Почему моя Windows 10 продолжает давать сбой?

Отсутствующий или устаревший драйвер на вашем компьютере может привести к сбою системы, поэтому вам следует поддерживать драйверы на вашем компьютере в актуальном состоянии и обновлять те, которые устарели. Есть два способа обновить драйверы: вручную и автоматически. … 2) Запустите Driver Easy и нажмите кнопку Сканировать сейчас.

Как узнать, почему мой компьютер перезагрузился?

Щелкните меню «Пуск» и внизу введите «eventvwr» (без кавычек). Полистайте логи «Система» на тот момент, когда произошла перезагрузка. Вы должны увидеть, чем это вызвано.

Windows ведет журнал скопированных файлов?

По умолчанию ни одна из версий Windows не создает журнал файлов, которые были скопированы на / с USB-накопителей или где-либо еще.

Windows ведет журнал удаленных файлов?

Отслеживайте удаление файлов и изменения разрешений на файловых серверах Windows. Вы можете отслеживать, кто удалил файлы или папки на файловых серверах Windows, а также отслеживать, кто изменил права доступа к файлам и папкам с помощью собственного аудита. … После этого администраторы могут легко отслеживать эти события в журналах безопасности Windows.

Где хранятся файлы EVTX?

evtx файлы. События журнала событий Windows хранятся в файлах. evtx файлы, и вы обычно можете найти их в C: windows system32 winevt Logs.

Что такое файл журнала в Windows?

LOG — это расширение файла для автоматически создаваемого файла, который содержит запись событий из определенного программного обеспечения и операционных систем. Windows хранит всевозможные файлы журналов для различных служб. …

Как просмотреть файлы журнала в Windows 10?

Чтобы получить доступ к средству просмотра событий в Windows 8.1, Windows 10 и Server 2012 R2:

Вы знаете, кто такая Кортана?

Кортана — это персональный помощник Microsoft по продуктивности, который поможет вам сэкономить время и сосредоточить внимание на самом важном.

Источник

Просмотр «Журнала ошибок» в Windows 10

Во время работы операционной системы, как и любого другого программного обеспечения, периодически возникают ошибки. Очень важно уметь анализировать и исправлять подобные проблемы, дабы в будущем они не появлялись снова. В ОС Windows 10 для этого был внедрен специальный «Журнал ошибок». Именно о нем мы и поговорим в рамках данной статьи.

«Журнал ошибок» в Виндовс 10

Упомянутый ранее журнал является лишь небольшой частью системной утилиты «Просмотр событий», которая по умолчанию присутствует в каждой версии Windows 10. Далее мы разберем три важных аспекта, которые касаются «Журнала ошибок» — включение логирования, запуск средства «Просмотр событий» и анализ системных сообщений.

Включение логирования

Для того чтобы система могла записывать все события в журнал, необходимо включить его. Для этого выполните следующие действия:

После этого остается проверить, активирован ли на компьютере файл подкачки. Дело в том, что при его выключении система попросту не сможет вести учет всех событий. Поэтому очень важно установить значение виртуальной памяти хотя бы 200 Мб. Об этом напоминает сама Windows 10 в сообщении, которое возникает при полной деактивации файла подкачки.

О том, как задействовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Ознакомьтесь с ней при необходимости.

С включением логирования разобрались. Теперь двигаемся дальше.

Запуск «Просмотра событий»

Как мы уже упоминали ранее, «Журнал ошибок» входит в состав стандартной оснастки «Просмотр событий». Запустить ее очень просто. Делается это следующим образом:

В результате на экране появится главное окно упомянутой утилиты. Обратите внимание, что существуют и другие методы, которые позволяют запустить «Просмотр событий». О них мы в деталях рассказывали ранее в отдельной статье.

Анализ журнала ошибок

После того как «Просмотр событий» будет запущен, вы увидите на экране следующее окно.

В левой его части находится древовидная система с разделами. Нас интересует вкладка «Журналы Windows». Нажмите на ее названии один раз ЛКМ. В результате вы увидите список вложенных подразделов и общую статистику в центральной части окна.

Для дальнейшего анализа необходимо зайти в подраздел «Система». В нем находится большой список событий, которые ранее происходили на компьютере. Всего можно выделить четыре типа событий: критическое, ошибка, предупреждение и сведения. Мы вкратце расскажем вам о каждом из них. Обратите внимание, что описать все возможные ошибки мы не можем просто физически. Их много и все они зависят от различных факторов. Поэтому если у вас не получится что-то решить самостоятельно, можете описать проблему в комментариях.

Критическое событие

Данное событие помечено в журнале красным кругом с крестиком внутри и соответствующей припиской. Кликнув по названию такой ошибки из списка, немного ниже вы сможете увидеть общие сведения происшествия.

Зачастую представленной информации достаточно для того, чтобы найти решение проблемы. В данном примере система сообщает о том, что компьютер был резко выключен. Для того чтобы ошибка не появлялась вновь, достаточно просто корректно выключать ПК.

Для более продвинутого пользователя есть специальная вкладка «Подробности», где все событие представлены с кодами ошибок и последовательно расписаны.

Ошибка

Этот тип событий второй по важности. Каждая ошибка помечена в журнале красным кругом с восклицательным знаком. Как и в случае с критическим событием, достаточно нажать ЛКМ по названию ошибки для просмотра подробностей.

Если из сообщения в поле «Общие» вы ничего не поняли, можно попробовать найти информацию об ошибке в сети. Для этого используйте название источника и код события. Они указаны в соответствующих графах напротив названия самой ошибки. Для решения проблемы в нашем случае необходимо попросту повторно инсталлировать обновление с нужным номером.

Предупреждение

Сообщения данного типа возникают в тех ситуациях, когда проблема не носит серьезный характер. В большинстве случаев их можно игнорировать, но если событие повторяется раз за разом, стоит уделить ему внимание.

Чаще всего причиной появления предупреждения служит DNS-сервер, вернее, неудачная попытка какой-либо программы подключиться к нему. В таких ситуациях софт или утилита попросту обращается к запасному адресу.

Сведения

Этот тип событий самый безобидный и создан лишь для того, чтобы вы могли быть в курсе всего происходящего. Как понятно из его названия, в сообщение содержатся сводные данные о всех инсталлированных обновлениях и программах, созданных точках восстановления и т.д.

Подобная информация будет очень кстати для тех пользователей, которые не хотят устанавливать сторонний софт для просмотра последних действий Windows 10.

Как видите, процесс активации, запуска и анализа журнала ошибок очень прост и не требует от вас глубоких познаний ПК. Помните, что таким образом можно узнать информацию не только о системе, но и о других ее компонентах. Для этого достаточно в утилите «Просмотр событий» выбрать другой раздел.

Помимо этой статьи, на сайте еще 12348 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник

Где и как посмотреть журнал ошибок Windows 10

Часто бывает, что компьютер без видимых причин перезагружается, зависает, перестает работать. Если на нем установлена современная операционная система, такая как Windows 10, можно легко выяснить причину неполадок. Для этого необходимо знать, как посмотреть ошибки Windows 10 и что они означают.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как открыть журнал и посмотреть ошибки

Существует несколько способов, как открыть журнал событий.

Панель управления

Консоль Выполнить

Одновременно нажать клавиши «Win» и «R» и во всплывающем окне строки «Открыть» ввести eventvwr.msc и нажать Ввод.

Меню Пуск

Нажать правой кнопкой мыши на «Пуск» и выбрать во всплывающем списке «Выполнить», ввести eventvwr.msc и нажать ввод.

Поиск Виндовс 10

Ввести в меню поиска Windows 10 фразу «Просмотр событий» или «Журнал» и нажать Ввод.

В появившемся окне программы есть вкладка «Обзор и сводка», ниже которой находится подменю «Сводка административных событий», содержащее раскрывающиеся списки, содержащие такую информацию: критические события, ошибки, предупреждения, сведения и аудит успеха.

При раскрытии этих списков появляются строки о том, что происходило в системе. Самыми важными являются критические события и ошибки. В строке, описывающей ошибку, есть ее код, источник и сколько раз она появлялась последние 24 часа и 7 дней. При двойном нажатии строки появляется окно с подробным описанием возникшей проблемы, точным временем, когда она произошла и другие важные сведения.

Можно также воспользоваться журналами событий Windows 10, меню которых находится в левой колонке программы «Просмотр событий». Здесь доступны журналы приложений, безопасности и системы. Последний как раз и содержит сведения о наиболее важных сбоях, происходящих в системе, например о проблемах в работе драйверов, системных программ и другие важные сведения.

Внимательное исследование имеющихся записей в журналах очень полезно для обеспечения бесперебойной работы компьютера. Например, наличие критического события Kernel power 41 может свидетельствовать о проблемах с блоком питания, его перегреве или недостаточной мощности для вашего компьютера. Кроме того, журналы могут помочь и в решении проблем со сбоями в работе отдельных программ благодаря использованию журнала приложений.

Заключение

Чтобы ваш компьютер не подводил в самый неподходящий момент, нужно обязательно знать, где находится журнал ошибок Windows 10 и, хотя бы раз в неделю открывать и изучать его.

Источник

Как посмотреть отчеты об ошибках Windows 10?

Где хранятся отчеты об ошибках Windows 10?

Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы». Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Как просмотреть журнал ошибок?

Где хранится журнал событий Windows 10?

По умолчанию файлы журнала просмотра событий используют расширение EVT и находятся в %SystemRoot%System32Config папке. Имя файла журнала и сведения о расположении хранятся в реестре. Эти сведения можно изменить, чтобы изменить расположение файлов журнала по умолчанию.

Как посмотреть историю запуска программ Windows 10?

Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management). Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows».

Как посмотреть старые уведомления Windows 10?

В Windows 10 уведомления и быстрые действия отображаются в центре уведомлений прямо на панели задач, поэтому их легко найти. Щелкните Центр уведомлений на панели задач, чтобы открыть его. (Вы также можете прокрутить экран от правого края экрана или нажать клавишу с логотипом Windows + A.)

Как отключить отправку отчетов об ошибках в Windows 10?

Отключить отчеты об ошибках в Windows 10

Как посмотреть логи перезагрузки Windows?

В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите eventvwr. msc и нажмите клавишу Enter. 2. В левой колонке выберите “Журналы Windows” => “Система” => с правой стороны выберите “Фильтр текущего журнала”.

Как посмотреть журнал событий Windows?

Для запуска программы Просмотр событий, откройте меню Пуск, в строке поиска введите «Просмотр событий» и нажмите Ввод. Также программу Просмотр событий можно открыть через папку Администрирование в меню Пуск.

Как посмотреть свои логи вов?

Для просмотра загруженных вами логов просто перейдите на страницу вашей гильдии и кликните на нужный файл из календаря. Перед вами появится страница, похожая на представленную ниже в картинке.

Где хранятся системные логи Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата.

Где хранится Журнал событий Windows 7?

Журналы событий в Windows 7

По умолчанию помещается в %SystemRoot%System32WinevtLogsApplication. Evtx. Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%System32WinevtLogsSetup.

Как открыть журнал событий через командную строку?

Чтобы запустить программу «Просмотр событий» с помощью командной строки:

Как посмотреть историю работы на компьютере?

Как узнать какие программы были открыты на компьютере?

Чтоб его открыть, находим пункт «Администрирование» в «Панели управления» и выбираем «Управление компьютером». Далее нажмите «Просмотр событий» – «Журналы Windows» – «Приложения».

Как посмотреть последние действия на компьютере?

Чтобы увидеть ее — нажмите сочетание клавиш Win+R, и введите в строку «Открыть» команду shell:recent. ), нажмите правой кнопкой мышки по каталогу «Недавние документы» и выберите функцию «Закрепить на панели быстрого доступа». Теперь, открыв проводник, вы всегда можете найти свои недавние документы (см. скриншот ниже).

Источник

Где посмотреть отчеты об ошибках windows 10

Как понятно из заголовка, речь пойдет о функции, которая входит в состав windows, с помощью нее вы можете узнать подробнее о возникших проблемах в своем ПК — это журнал ошибок.

Статья будет построена на примере windows 10, но данная функция доступна и в более ранних версиях windows.

Работа в ранних версиях ничем не отличается, за исключением не существенных отличий в виде оформления и мелких нюансов интерфейса.

Если вы хотите узнать почему возникает ошибка или сбой в работе устройств или драйверов, то первым делом необходимо ознакомится с записями в журнале ошибок системы. В дальнейшем на основе этих данных строить свои следующие шаги, по решению возникшей затруднительной ситуации.

Подготовка к просмотру журнала ошибок

По умолчанию журнал ошибок как правило включен и система ведет запись действий пользователя, всех устройств и множество других параметров. Для надежности предлагаю убедится, что она включена.

Открываем диспетчер задач по клику правой кнопкой мыши на значке меню. Далее выбираем вкладку службы и внизу нажимаем ссылку Открыть службы. Откроется окно служб, где и можно посмотреть, убедиться, что журнал ошибок работает.

Если журнал ошибок отключен то дважды кликнете по нему и запустите его, в графе тип запуска выберите автоматически. Затем применить и ОК.

Перед просмотром журнала ошибок

Когда вы уверены, что журнал ошибок ведется создаем ситуацию при которой появляется сбой или проблема в работе вашей системы.

Не обязательно усердствовать, можете просто продолжать использовать ваш ПК как обычно. В случае возникновения проблем в устройствах или программном обеспечении система в журнале сделает запись.

Смотрим журнал ошибок и подробности ошибки

Открываем панель управления, в панели управления выбираем мелкие значки, затем пункт Администрирование и далее Просмотр событий.

В открывшемся окне просмотра событий вы можете посмотреть ошибки в работе системы, оборудования и их описание.

Имея подробные данные о сбоях в работе оборудования или системы можно, проанализировав их, спланировать свои дальнейшие шаги в решении возникшей задачи.

Главное не торопиться, все проанализировать и используя наш могучий «инструмент» Интернет, принять правильное решение.

Если не уверены в своих силах по решению той или иной задачи, рекомендую обратится к специалисту или более опытному пользователю.

Источник

Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.

События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.

Где находится журнал событий и как его открыть

Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка Windowssystem32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:

• Главное меню Windows – «Пуск». Щелкать по его кнопке следует не левой, а правой клавишей мыши. Пункт «Просмотр событий» – четвертый сверху.

• Системный поиск – кнопка со значком в виде лупы возле «Пуска». Достаточно начать вводить в поисковую строку слово «просм…» – и вот он, нашелся.

• Виндовая утилита «Выполнить» (Run) просто создана для тех, кто предпочитает горячие клавиши. Нажмите на клавиатуре Windows+К (русская), вбейте в строку «Открыть» команду eventvwr (имя файла просмотрщика) и щелкните ОК.

• Командная строка или консоль Powershell (их тоже удобно открывать через контекстное меню кнопки Пуск). Для запуска журнала событий снова введите eventvwr и щелкните Enter.

• Старая добрая Панель управления (кстати, если желаете вернуть ее в контекст Пуска, читайте эту статью). Перейдите в раздел «Система и безопасность», спуститесь вниз окна до пункта «Администрирование» и кликните «Просмотр журналов событий».

• Системная утилита «Параметры», пришедшая на смену панели управления. Зарываться в ее недра – то еще удовольствие, но можно сделать проще – начать вбивать в строку поиска слово «администрирование». Следом просто перейдите в найденный раздел и щелкните ярлык просмотрщика.

• НахОдите журнал событий Windows увлекательным чтивом? Тогда, возможно, вам понравится идея держать его всегда под рукой. Чтобы поместить ярлык просмотрщика на рабочий стол, зайдите любым из способов в раздел панели управления «Администрирование», скопируйте ярлык нажатием клавиш Ctrl+C, щелкните мышкой по рабочему столу и нажмите Ctrl+V.

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

• Ваша ученая запись ограничена в правах доступа политиками безопасности.
• В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
• Некоторые системные компоненты повреждены или заблокированы вредоносной программой.

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

• Откатом на контрольную точку, созданную, когда всё работало исправно.
• Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe —scannow в командной строке.
• Сканированием дисков на предмет вирусного заражения.
• Восстановлением прав доступа системных учетных записей к папкам WindowsSystem32winevt и System32LogFiles. Рабочие настройки показаны на скриншотах ниже.

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Как искать в журналах событий интересующие сведения

Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.

Как пользоваться функцией фильтрации

Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».

Далее заполняем вкладку «Фильтр»:

• Из списка «Дата» выбираем последние 7 дней.
• В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
• В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
• Указываем коды событий (event ID), о которых собираем сведения.
• Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).

Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:

Читать его стало гораздо удобнее.

Как создавать настраиваемые представления

Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.

Чтобы создать настраиваемое представление, сделайте следующее:

• Выделите в разделе каталогов интересующий журнал.
• Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
• Заполните настройки окошка «Фильтр» по примеру выше.
• Сохраните фильтр под любым именем в выбранный каталог.

В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.

Источники, уровни и коды событий. Как понять, что означает конкретный код

Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.

Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:

• Критическая ошибка указывает на самый серьезный сбой, который привел к отказу породившего его источника без возможности самостоятельного восстановления. Пример внешнего проявления такого сбоя – синий экран смерти Windows (BSoD) или внезапная перезагрузка компьютера.
• Ошибка тоже указывает на сбой, но с менее критичными последствиями для работы системы. Например, вылет программы без сохранения данных из-за нехватки ресурсов, ошибки запуска служб и т. п.
• Предупреждение – запись, сообщающая о неполадках, которые негативно влияют на работу системы, но не приводят к сбоям, а также о возможности возникновения ошибок в дальнейшем, если не устранить их причину. Пример: приложение запускалось дольше, чем обычно, что привело к замедлению загрузки системы.
• Уведомление – обычное информационное сообщение, например, о том, что операционная система приступила к установке обновления.
• Успешный отчет (аудит) – сообщение, информирующее об успехе какого-либо события. Примеры: программа успешно установлена, пользователь успешно вошел в учетную запись.
• Неуспешный отчет (аудит) – сообщение о неуспешном завершении операции. Например, установка программы не была завершена из-за отмены действия пользователем.

Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.

Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.

Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.

Get System Info – альтернатива стандартному просмотрщику Windows

Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info.

Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.

Преимущество этой утилиты перед  стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.

Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.

Как пользоваться Get System Info:

• Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «Include Windows event logs».

• После того как на рабочем столе или в папке, которую вы указали, появится архивный файл с именем «GSI6_Имя_ПК_user_дата_ и т.д.», откройте в браузере сайт getsysteminfo.com и загрузите архив туда.

• После загрузки отчета на getsysteminfo.com зайдите на вкладку «Свойства системы» и откройте раздел «Журнал событий».

Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.

Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.

Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.

Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением.  Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.