Как найти журнал событий windows xp - Исправление недочетов и поиск решений вместе с Examum.ru

Как посмотреть последние действия на компьютере

Последние действия пользователей на компьютере, системные события и все попытки входа в систему фиксируются операционной системой Windows XP в журналах событий. Журналы делятся на журнал приложений, содержащий записи установленных программ, журнал безопасности, сохраняющий сведения о редактировании файлов и журнал системы, отображающий проблемы загрузки.

Вам понадобится

— Windows XP

Инструкция

Используйте кнопку «Пуск» для вызова главного меню системы и перейдите в пункт «Панель управления» для просмотра журналов событий.

Укажите пункт «Производительность и обслуживание» и выберите пункт «Администрирование».

Раскройте ссылку «Управление компьютером» и укажите раздел «Окно просмотра событий» в списке консоли для отображения всех событий.

Укажите журнал, содержащий необходимое событие, и выполните двойной клик мыши на выбранном объекте в списке консоли для просмотра подробностей нужного события. Это действие вызовет открытие диалогового окна свойств выбранного события, хранящего информацию об имени события и описание.

Укажите пункт «Найти» в меню «Вид» верхней панели инструментов окна приложения и введите требуемые характеристики нужного события для выполнения поиска конкретного события.

Нажмите кнопку «Найти далее» для инициации поиска.

Укажите пункт «Фильтр» в меню «Вид» верхней панели инструментов окна приложения и введите требуемые характеристики фильтрации для выполнения поиска по указанным параметрам.

Нажмите кнопку OK для подтверждения выполнения команды и вызовите контекстное меню нужного журнала для определения размера выбранного журнала.

Укажите необходимый размер в поле «Максимальный размер журнала» в разделе «Размер журнала» и введите желаемый вариант перезаписи в разделе «По достижении максимального размера журнала».

Используйте кнопку «Очистить журнал» для удаления всех записей выбранного журнала событий.

Нажмите кнопку OK для применения выбранных изменений и вернитесь в контекстное меню нужного журнала для создания архива информации о событиях.

Укажите пункт «Сохранить файл журнала как» и введите имя файла и место его сохранения в соответствующие поля открывшегося диалогового окна.

Выберите один из трех предлагаемых форматов сохранения — файл журнала, тестовый файл или текстовый файл с запятой в качестве разделителя — в поле «Тип файла» и нажмите кнопку «Сохранить» для выполнения команды.

Видео по теме

Обратите внимание

В нем не только регистрируется все происходящее, но и указываются причины, почему возникают неполадки. Единственное что плохо – иногда они предоставлены в кодах и расшифровку приходиться искать по всей сети. Инстркция: где находиться журнал windows. В нем напротив строки «журналы виндовс», нажмите на маленький треугольничек и выберите система. Теперь можете ознакомиться со всеми ошибками вашего компьютера. Их найти легко.

Полезный совет

Компьютерный журнал — периодическое издание, основной темой которого являются информационные технологии, программное и аппаратное обеспечение. Возможны как традиционные (бумажные), так и электронные формы выпуска. Существуют специальные компьютерные журналы, посвящённые какой-то одной теме: программированию, играм, базам данных, сетевым технологиям — или какой-то одной платформе: компьютерам Apple или операционным системам семейства UNIX и т. д.

Связанная статья

Как поставить таймер на выключение компьютера на Windows 7

Источники:

Просмотр и управление журналами событий Windows XP с помощью окна просмотра событий
где найти журнал компьютере

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Источник

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

eventvwr — команда для вызова журнала событий
после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

Просмотр событий

Вариант 2

сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

Система и безопасность
далее необходимо перейти в раздел «Администрирование»;

Администрирование
после кликнуть мышкой по ярлыку «Просмотр событий».

Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

❷

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

«Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
«Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
«Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

Открываем службы — services.msc (универсальный способ)
далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий
после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

Отключена — остановить

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

donate

dzen-ya

Полезный софт:

Видео-Монтаж

Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
Видео сделает даже новичок!

Ускоритель компьютера

Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

При работе на ПК формируется системный файл – журнал событий Windows, в котором отображаются данные о состоянии системы и ее параметрах. Он создается автоматически и используется для оптимизации работы, устранения сбоев и неполадок.

Журнал событий windows 8, 7, ХР или любой другой версии ОС является оснасткой консоли управления

Содержание

Открытие файла
Использование информации файла

Быстрый запуск его осуществляется путем добавления оснастки на консоль. Он представляет собой историю уведомлений, отчетов об ошибках, предупреждений, генерируемых различными программами. Эти данные можно использовать для оптимизации работы ОС.

Открытие файла

Посмотреть последние действия на компьютере получится с помощью записей о неполадках. Он не может быть пустым, так как сообщения об ошибках возникают даже на нормально функционирующем устройстве. Есть два способа запустить данную оснастку – из Панели управления Windows и с помощью командной строки. Чтобы открыть журнал событий windows 7, не запуская командную строку, повторите алгоритм:

Пройдите по пути Пускà Панель управления à Система и обслуживание à Администрирование;
В открывшемся окне найдите Просмотр событий;
Сделайте двойной клик;

Откроется необходимое окно просмотра событий

Второй способ того, как посмотреть журнал посещений на компьютере – запустить его с помощью командной строки. Способ подходить для любых версий ОС от ХР и выше. Запустите командную строку, зажав Win+R и введя в открывшемся окне cmd. Еще один способ – пройти по пути Пуск à Все программы à Стандартные àКомандная строка. В открывшееся поля командной строки введите комбинацию eventvwr.

Запуск журнала событий с помощью командной строки

Есть способ найти журнал посещений на компьютере вручную. Это файл формата .msc с именем Eventvwr. Его можно найти в поисковике ОС или в папке Sustem32. Папка расположена на локальном диске С, в директории Windows/ProgramFiles/%SYSTEMROOT%. Открывается файл двойным щелчком с помощью стандартных средств Windows.

Использование информации файла

Системный журнал windows 7 позволяет установить причину неполадки при самопроизвольной перезагрузке устройства или появлении «экрана смерти». Программа позволит увидеть файл, ответственный за сбой. При возникновении неполадки необходимо запомнить время, в которое она произошла, а затем просмотреть файл и узнать, какой процесс дал сбой в этот момент. Самые серьезные проблемы отмечены как критические.

Кроме сообщений об ошибках, журнал событий windows xp записывает и другую важную информацию. Это полное время загрузки системы и др. Но данные файла необходимо правильно «читать», тогда его просмотр принесет пользу. В левом блоке расположено дерево разделов, где Вы можете найти необходимый элемент оснастки.

В центре окна просмотра событий расположен список ошибок, а справа перечень действий для фильтрации неполадок и ошибок

Управление простое. Кликните на строку, и в нижней части окна отобразится информация по проблеме. Каждая ошибка содержит атрибуты:

Имя – подраздел данных, в который сохранилась информация;
Источник – программа, ставшая катализатором неполадки;
Код – цифровой шифр, позволяющий найти в Интернете информацию по ошибке;
Пользователь и компьютер – показывают, кем была запущена задача – каким устройством и от имени какого пользователя. Особенно актуально на серверах.

Остальные сведения в просмотре событий не несут полезной информации, потому на них можно не обращать внимание

Другой информации о происходящем за устройством из записи событий узнать нельзя. В нем отображаются не все запущенные программы, а только сбойные. Таким образом, если необходимо просмотреть историю на компьютере, то нужно скачать кейлоггер.

ПОСМОТРЕТЬ ВИДЕО

Удалить информацию из этого файла также легко, как очистить журнал посещений в браузере. Для этого перейдите в раздел одним из указанных способов и найдите в левом блоке с деревом тот подраздел, который хотите очистить.

Нажмите правой клавишей и в контекстном меню выбирайте Очистить журнал

Журнал событий

Подробности: Категория: Очистка системы

Использование и очистка журнала событий
Windows поддерживает несколько журналов событий, содержащих информацию о проблемах, связанных с состоянием системы и приложений, а также с безопасностью. Кроме того, приложения могут создавать специализированные журналы событий. Такие журналы, как правило, описывают события, связанные с конкретным приложением или функцией операционной системы (например, драйвером устройства). Просмотр журнала событий осуществляется при помощи консоли Просмотр событий (Event Viewer) папки Администрирование (Administrative Tools) панели управления. Далее с позиций оптимизации описана работа со стандартными журналами событий Windows: Система (System), Приложение (Application) и Безопасность (Security).
Некоторые приложения после удаления оставляют свои журналы событий на жестком диске. Файл журнала событий имеет расширение EVT, а его название представляет собой сокращенное имя журнала событий. Никогда не удаляйте журналы Система (System), Приложение (Application) и Безопасность (Security).
Просмотр записей журнала событий
Журналы событий поддерживают записи нескольких видов. С точки зрения оптимизации интерес представляют только уведомления, предупреждения и ошибки.
► Уведомления (information) извещают о том, что Windows или приложение удачно завершило выполнение операции, либо изменился статус приложения или службы. Например, служба удаленного доступа создает уведомление в журнале при каждой попытке подключения к Интернету через коммутируемое соединение.
► Предупреждение (warning) указывает на то, что в системе произошла некритическая ошибка. Имеет смысл потратить время на то, чтобы исправить максимальное количество имеющихся ошибок; журнал событий позволяет установить их причины. Тем не менее, иногда проблема оказывается вне вашего контроля, либо носит однократный характер. Например, неполадка в сети может привести к потере связи с сервером в момент выполнения критической операции. Позднее вы получите уведомление о том, что связь восстановлена и нет необходимости тратить усилия на разрешение проблемы.
► Ошибка (error) свидетельствует о том, что система нестабильна или в ней произошел критический сбой. Причину ошибки всегда следует ликвидировать максимально быстро. Систему вполне возможно настроить таким образом, что она не будет генерировать записей об ошибках. Стремитесь достичь подобного результата, поскольку наличие записей об ошибках говорит о серьезных проблемах оптимизации.
Вы можете удалить многочисленные записи, создаваемые в журнале событий службой удаленного доступа, щелкнув правой кнопкой мыши на значке Сетевое окружение (My Network Places) и выбрав в контекстном меню команду Свойства (Properties). На экране появится диалоговое окно Сетевые подключения (Network Connection). Щелкните правой кнопкой мыши на значке, соответствующем коммутируемому подключению, и снова выберите в контекстном меню команду Свойства (Properties). Вы увидите диалоговое окно свойств подключения. Перейдите в нем на вкладку Дополнительно (Advanced) и щелкните на кнопке Параметры (Settings). В диалоговом окне Дополнительные параметры (Advanced Settings) перейдите на вкладку Ведение журнала безопасности (Security Logging) и сбросьте флажки Записывать пропущенные пакеты (Log Dropped Packets) и Записывать успешные подключения (Log Successful Connections). Дважды щелкните на кнопке ОК, чтобы закрыть диалоговые окна Дополнительные параметры (Advanced Settings) и Свойства подключения (Network Connection).
Одна из основных проблем журнала событий состоит в том, что многие пользователи его игнорируют. Возьмите за правило регулярно просматривать журнал событий; при необходимости делайте это ежедневно, например, утром после загрузки компьютера. Если ошибок и предупреждений нет, прочитайте уведомления и удалите записи из журнала событий (см. далее раздел «Удаление устаревших записей»). Ежедневный просмотр журнала событий и его очистка оптимизируют систему в двух аспектах. Во-первых, сокращается количество проблем со стабильностью, что делает вашу работу более продуктивной. Во-вторых, журнал событий занимает меньше места на жестком диске.
Для ежедневного просмотра журнала событий есть еще одна важная причина. Некоторые записи теряют смысл, если их сразу же не прочитать, поскольку их надо читать в контексте текущего окружения. Например, сообщение об ошибке, появляющееся при повреждении компакт-диска. Если вы не прочитаете ее немедленно, позже будет невозможно определить, какой из ваших компакт-дисков поврежден. В какой-то момент компакт-диск может окончательно выйти из строя, что, возможно, вынудит вас восстанавливать его содержимое.
С точки зрения оптимизации и очистки системы журнал событий полезно просматривать для проверки вносимых изменений. Иногда изменение может приводить к неожиданным результатам, и журнал событий способен снабдить вас информацией о них. Например, остановка службы времени Windows (Windows Time) может нарушить синхронизацию клиентского компьютера с сервером. По этой причине некоторые события станут случаться невовремя или перестанут происходить вовсе, что вызовет проблемы с сетью. Windows поместит в журнал все записи о сетевых ошибках. Хотя установка точного времени особой важности не представляет, некоторые ошибки все же могут случаться. Вам необходимо оценить, достаточно ли серьезны сетевые ошибки для того, чтобы снова включить службу времени Windows. Очевидно, что служба времени потребует дополнительной оперативной памяти и мощности процессора, поэтому в данном случае вам придется сделать выбор между локальной оптимизацией компьютера и работоспособностью компьютерной сети в целом.
Настройка журнала событий
Компания Microsoft любит большие журналы событий. Даже если журнал содержит всего одну запись, он занимает все дисковое пространство, которое вы отводите ему. Если вы ежедневно просматриваете журнал событий, нет необходимости содержать журнал большого размера, поэтому вы можете оптимизировать его для эффективного использования дискового пространства. Кроме того, вы можете настроить журнал событий так, чтобы в нем отображалась только нужная вам информация.
Чтобы изменить параметры журнала событий, щелкните на нем правой кнопкой мыши и выберите в контекстном меню команду Свойства (Properties). На экране появится диалоговое окно его свойств. Обратите внимание на то, что все журналы событий для настройки имеют один и тот же набор элементов управления — различие заключается лишь в именах.
На рисунке представлены параметры, установленные для журнала событий Приложение (Application) в моей системе. Объем журнала равен 64 Кбайт вместо 512 Кбайт, предлагаемых Microsoft по умолчанию. Кроме того, записи хранятся в журнале событий не более 7 дней. Если в течение этого времени вы не прочитали запись, скорее всего, вы вообще не будете на нее реагировать. Обратите внимание и на другие параметры. В поле Имя журнала (Log Name) указано местоположение журнала событий, что позволяет удалять из системы устаревшие журналы — напоминаю, никогда не удаляйте журналы Система (System), Приложение (Application) и Безопасность (Security). Кроме того, вы можете удалить все записи из журнала при помощи кнопки Очистить журнал (Clear Log).
Вкладка Фильтр (Filter) также важна для оптимизации. Так, вы можете скрыть уведомления, сбросив флажок Уведомления (Information); при этом уведомления не удаляются из журнала, а просто не отображаются в нем. Это позволяет сконцентрировать внимание на более важных записях — предупреждениях и ошибках. Кроме того, вы можете временно отфильтровать записи журнала по именам пользователя и компьютера. Никогда не сохраняйте эти критерии фильтрации, поскольку в противном случае вы потеряете из виду важные записи журнала событий.

Удаление устаревших записей
Всегда удаляйте записи из журнала событий после разрешения породивших их проблем. Чтобы удалить записи из определенного журнала событий, в консоли Просмотр событий (Event Viewer) щелкните на этом журнале правой кнопкой мыши и выберите в контекстном меню команду Стереть все события (Clear All Events). На экране появится сообщение, предлагающее сохранить журнал перед очисткой. Если у вас нет серьезных причин сохранять журнал, щелкните на кнопке Нет (No).
Нельзя удалить одну или две записи журнала событий. Очистка журнала приводит к удалению из него всех записей. Кроме того, операцию удаления невозможно отменить — очистив журнал, вы безвозвратно теряете его содержимое.

< Назад

Обновлено 23.03.2022

Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.

Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера, для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Win+R и вводите eventvwr.msc

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod, и данные сообщения что тут заносятся помогут вам определить его причину.

Так же есть логи windows для более специфических служб, например DHCP или DNS. Просмотр событий сечет все :).

Фильтрация в просмотре событий

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Вас попросят указать уровень событий:

Критическое
Ошибка
Предупреждение
Сведения
Подробности

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

Как очистить просмотр событий с помощью PowerShell
Как почистить все журналы windows с помощью скрипта

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

Get-EventLog -Logname ‘System’

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

Get-EventLog -Logname ‘Application’

небольшой список абревиатур

Код события — EventID
Компьютер — MachineName
Порядковый номер события — Data, Index
Категория задач — Category
Код категории — CategoryNumber
Уровень — EntryType
Сообщение события — Message
Источник — Source
Дата генерации события — ReplacementString, InstanceID, TimeGenerated
Дата записи события — TimeWritten
Пользователь — UserName
Сайт — Site
Подразделение — Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Get-EventLog –Logname ‘System’ –Newest 20

Или выдать список сообщение позднее 1 ноября 2014

Get-EventLog –LogName ‘System’ –After ‘1 ноября 2014’

Дополнительные продукты

Так же вы можете автоматизировать сбор событий, через такие инструменты как:

Комплекс мониторинга Zabbix
Через пересылку событий средствами Windows на сервер коллектор
Через комплекс аудита Netwrix
Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
Любые DLP системы

Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта pyatilistnik.org

Удаленный просмотр логов

Первый метод

Не так давно в появившейся операционной системе Windows Server 2019, появился компонент удаленного администрирования Windows Admin Center. Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).

Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.

Вот пример фильтрации по событию 19.

Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.

Второй метод

Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же «Просмотр событий». Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню «Подключиться к другому компьютеру«.

Указываем имя другого компьютера, в моем примере это будет SVT2019S01

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий .если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.

Так же хочу отметить, что есть целые системы агрегации логов, такие как Zabbix или SCOM, но это уже другой уровень задач. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Консоль Просмотр событий позволяет отслеживать работу аппаратного и программного обеспечения, а также контролировать события службы безопасности Windows XP.

Событие — это любое значительное происшествие в работе системы. При возникновении многих внутренних системных событий во время работы Windows XP на экран выводятся сообщения об ошибках, вызванных различными причинами. В соответствующих журналах отображаются сведения о том, насколько то или иное событие опасно для системы в целом.

Если вы хотите знать, что на самом деле происходит во внутренней кухне Windows XP, вам непременно нужно просмотреть системные события, которые помогут найти часто зависающие программы, проблемные службы, выявить некоторые проблемы безопасности и т.д.

В Windows XP существуют различные типы файлов журналов, среди которых выделяются три стандартных.

Журнал приложений. Содержит события, зарегистрированные приложениями или программами. Журнал содержит ошибки и прочие события, определяемые разработчиком.

Журнал безопасности. Регистрирует события в работе системы безопасности. Журнал содержит такие события, как попытки входа в систему, использование системных ресурсов, создание, открытие и удаление файлов и прочие, определяемые системным администратором.

Журнал системы. Содержит записи, связанные с системными событиями, такими как запуск или выключение ПК, загрузка драйверов, ошибки и конфликты портов, оптических накопителей и аудиокарт. Регистрируемые события определяются Windows XP и не могут быть изменены пользователями и администратором.

Консоль Просмотр событий используется для выполнения таких задач.

Просмотр файлов журналов.
Сортировка, поиск и фильтрация событий.
Управление параметрами, влияющими на ведение записей в журнале.
Очистка журнала.
Архивирование журналов на диске для дальнейшего просмотра.

Работа с журналами

Для работы с журналами запустите консоль Просмотр событий из папки Администрирование (или раскройте меню Просмотр событий в консоли Управление компьютером).

В левой панели окна консоли выберите журнал для просмотра, содержимое которого будет показано в правой панели. Чтобы обновить содержимое журнала, можно использовать клавишу <F5>. Как правило, событие, которое произошло последним, располагается в верхней части списка.

Для изменения этого порядка на обратный выберите команду меню Вид>>От старых к новым. При необходимости выполните фильтрацию событий. В частности, на экран можно вывести события, произошедшие за определенный период, события, связанные с кодом или типом ошибок либо предупреждений. Для этого выберите команду меню Вид>>Фильтр. Укажите в диалоговом окне Свойства параметры поиска.

Для поиска в журнале того или иного события выберите команду меню Вид>>Найти и укажите в диалоговом окне Поиск-локальный параметры поиска. Для получения дополнительных сведений о каком-либо событии дважды щелкните на нем на правой панели окна консоли. Отобразится диалоговое окно Свойства: Событие, которое содержит сведения о выбранном событии.

Параметры журналов событий

Журналы событий могут принести огромную пользу для обнаружения неисправностей и прогнозирования возможных отказов в работе аппаратного обеспечения и всей системы. Наибольшую помощь журнал может оказать при поиске скрытых дефектов и неполадок в работе программного обеспечения.

Для использования журналов в качестве мощного инструмента предотвращения неполадок следует иметь представление о параметрах, которые отображаются в журналах.

В журналах регистрируется пять следующих видов событий.

Ошибка. Событие высшей категории, отображающее регистрацию серьезного события.
Предупреждение. Не самое серьезное событие, которое со временем может привести к ошибкам и переводу события в высшую категорию.
Уведомление. Несерьезное событие, которое свидетельствует об успешном завершении операции приложением, драйвером или службой.
Аудит успехов. Свидетельствует об успешном выполнении процедуры.
Аудит отказов. Свидетельствует о сбое при выполнении процедуры. Такие события нередко свидетельствуют о попытках доступа к ресурсам системы без соответствующих прав.

Каждый файл журнала представляет собой базу данных, состоящую из восьми столбцов, описанных далее.

Тип. Отображает один из пяти типов события.
Дата. Указывает дату регистрации события.
Время. Сообщает время регистрации события.
Источник. Указывает источник, который привел к регистрации события.
Категория. Отображает классификацию событий. Каждый из трех типов журналов имеет свою категорию.
Событие. Сообщает идентификационный номер события. Идентификатор присваивается событию на основе системы кодирования Microsoft. Каждому идентификатору соответствует определенный файл сообщения, причем это сообщение можно просмотреть в окне описания событий.
Пользователь. Содержит название учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию событий. Многие события связаны с определенными пользователями, и их имена указаны в этом поле. Информация особенно полезна для отслеживания событий в системе безопасности.
Компьютер. Указывает компьютер, на котором зарегистрировано событие. Значения в этом столбце отличаются в тех случаях, когда программа используется для обработки данных, экспортированных из различных журналов. Для экспорта журнала выберите название журнала и воспользуйтесь командой меню ДействиеðЭкспортировать список.

Существует ряд настроек, управляющих параметрами регистрации событий в журнале. Для просмотра или изменения параметров файла журнала щелкните правой кнопкой мыши на значке одного из журналов на левой панели окна консоли и выберите команду Свойства, после чего перейдите на вкладку Общие.

Когда объем журнала достигнет максимального значения, новые события не будут регистрироваться. Поэтому журнал можно периодически очищать с помощью команды меню Действие>>Стереть все события, но в этом обычно нет необходимости, поскольку на вкладке Общие по умолчанию выбрано удаление всех событий, старше 7 дней. Большинство базовых параметров, указанных на этой вкладке, вполне приемлемы для большинства случаев. При наличии особых условий можно изменить некоторые параметры и сохранить зарегистрированные события, выбрав переключатель По достижении максимального размера журнала в положение Не затирать события (очистка журнала вручную).

Консоль Просмотр событий может показаться безмерно скучной, но, если вникнуть в нее как следует, она принесет свои безусловные плоды. Например, вы сможете наповал поразить своими знаниями девушку на первом свидании, после чего она непременно захочет встретиться с вами снова

Содержание:

1 Где находится журнал событий Windows
2 Как открыть журнал
3 Как использовать содержимое журнала
4 Очистка, удаление и отключение журнала

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Содержание

Открытие инструмента «Просмотр событий»
- Способ 1: «Панель управления»
- Способ 2: Средство «Выполнить»
- Способ 3: Поле поиска меню «Пуск»
- Способ 4: «Командная строка»
- Способ 5: Прямой старт файла eventvwr.exe
- Способ 6: Введение пути к файлу в адресной строке
- Способ 7: Создание ярлыка
- Проблемы с открытием журнала
Вопросы и ответы

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Открытие инструмента «Просмотр событий»

Журнал событий хранится в системном инструменте, который имеет название «Просмотр событий». Посмотрим, как с помощью различных способов в него можно перейти.

Способ 1: «Панель управления»

Один из самых распространенных способов запуска описываемого в данной статье инструмента, хотя далеко не самый легкий и удобный, осуществляется с помощью «Панели управления».

Щелкните «Пуск» и перейдите по надписи «Панель управления».

Затем зайдите в раздел «Система и безопасность».

Далее щелкайте по наименованию раздела «Администрирование».

Попав в указанный раздел в перечне системных утилит ищите наименование «Просмотр событий». Кликните по нему.

Целевой инструмент активирован. Чтобы конкретно попасть в журнал системы, кликните по пункту «Журналы Windows» в левой области интерфейса окошка.

В открывшемся списке выбирайте один из пяти интересующих вас подразделов:
- Приложение;
- Безопасность;
- Установка;
- Система;
- Перенаправление события.
В центральной части окна отобразится журнал событий, соответствующий выбранному подразделу.

Аналогичным образом можно раскрыть раздел «Журналы приложений и служб», но там будет больший перечень подразделов. Выбор конкретного из них приведет к отображению в центре окна списка соответствующих событий.

Способ 2: Средство «Выполнить»

Намного проще инициировать активацию описываемого инструмента при помощи средства «Выполнить».

Задействуйте комбинацию клавиш Win+R. В поле запустившегося средства вбейте:
eventvwr

Кликните «OK».

Нужное окно будет открыто. Все дальнейшие действия по просмотру журнала можно производить по тому же алгоритму, который был описан в первом способе.

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Способ 3: Поле поиска меню «Пуск»

Очень похожий метод вызова изучаемого нами инструмента осуществляется с задействованием поля поиска меню «Пуск».

Щелкните «Пуск». Внизу открывшегося меню расположено поле. Введите туда выражение:
eventvwr

Или просто напишите:

Просмотр событий

В списке выдачи в блоке «Программы» появится наименование «eventvwr.exe» или «Просмотр событий» в зависимости от введенного выражения. В первом случае, скорее всего, результат выдачи будет единственным, а во втором их будет несколько. Кликните по одному из указанных выше названий.

Журнал будет запущен.

Способ 4: «Командная строка»

Вызов инструмента через «Командную строку» довольно неудобен, но и такой способ существует, а поэтому он тоже стоит отдельного упоминания. Сначала нам потребуется вызвать окно «Командной строки».

Щелкайте «Пуск». Далее выбирайте «Все программы».

Переходите в папку «Стандартные».

В перечне открывшихся утилит щелкайте по «Командная строка». Активацию с административными полномочиями производить не обязательно.

Можете выполнить запуск и быстрее, но для этого нужно помнить команду активации «Командной строки». Наберите Win+R, инициировав тем самым запуск инструмента «Выполнить». Введите:

cmd

Щелкайте «OK».

При любом из двух вышеуказанных действий будет запущено окно «Командной строки». Введите знакомую команду:
eventvwr

Жмите Enter.

Окно журнала будет активировано.

Урок: Включение «Командной строки» в Виндовс 7

Способ 5: Прямой старт файла eventvwr.exe

Можно воспользоваться таким «экзотическим» вариантом решения поставленной задачи, как прямой старт файла из «Проводника». Тем не менее, и данный способ может пригодиться на практике, например, если сбои достигли такого масштаба, что другие варианты запустить инструмент просто недоступны. Такое бывает крайне редко, но вполне возможно.

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

C:WindowsSystem32

Запустите «Проводник Windows».

Вбейте в адресное поле тот адрес, который был представлен ранее, и кликните Enter или нажмите по значку справа.

Выполняется перемещение в каталог «System32». Именно тут хранится целевой файл «eventvwr.exe». Если у вас не включен в системе показ расширений, то объект будет называться «eventvwr». Найдите и произведите по нему двойной клик левой кнопкой мышки (ЛКМ). Чтобы легче осуществлять поиск, так как элементов довольно много, можете отсортировать объекты по алфавиту, кликнув по параметру «Имя» вверху списка.

Произойдет активация окна журнала.

Способ 6: Введение пути к файлу в адресной строке

При помощи «Проводника» можно запустить интересующее нас окно и быстрее. При этом даже не придется искать eventvwr.exe в каталоге «System32». Для этого в адресном поле «Проводника» просто нужно будет указать путь к данному файлу.

Запустите «Проводник» и введите в адресное поле такой адрес:
C:WindowsSystem32eventvwr.exe

Кликните Enter или нажмите по эмблеме стрелки.

Окно журнала тут же активируется.

Способ 7: Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

Перейдите на «Рабочий стол» или запустите «Проводник» в том месте файловой системы, где собираетесь создать иконку доступа. Кликните правой кнопкой мышки по пустой области. В меню переместитесь по «Создать» и далее щелкайте «Ярлык».

Активируется инструмент формирования ярлыка. В открывшееся окошко внесите тот адрес, о котором уже шла речь:
C:WindowsSystem32eventvwr.exe

Кликните «Далее».

Запускается окошко, где нужно указать наименование иконки, по которому юзер будет определять активируемый инструмент. По умолчанию в качестве названия используется имя исполняемого файла, то есть, в нашем случае «eventvwr.exe». Но, конечно, это название мало что может сказать непосвященному пользователю. Поэтому лучше в поле ввести такое выражение:
Журнал событий

Или такое:

Просмотр событий

В общем, введите любое название, по которому вы будете ориентироваться, какой инструмент данная иконка запускает. После ввода жмите «Готово».

Иконка запуска появится на «Рабочем столе» или в другом месте, где вы её создали. Для активации инструмента «Просмотр событий» достаточно кликнуть по ней дважды ЛКМ.

Необходимое системное приложение будет запущено.

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

Прежде всего, нужно перейти в «Диспетчер служб». Это можно сделать из раздела «Панели управления», который называется «Администрирование». Как в него перейти, подробно описывалось при рассмотрении Способа 1. Попав в данный раздел, ищите пункт «Службы». Кликните по нему.

В «Диспетчер служб» можете перейти с помощью средства «Выполнить». Вызовите его, набрав Win+R. В область для ввода вбейте:

services.msc

Жмите «OK».

Независимо от того, совершили вы переход через «Панель управления» или использовали ввод команды в поле инструмента «Выполнить», запускается «Диспетчер служб». В списке ищите элемент «Журнал событий Windows». Чтобы облегчить поиск, можете выстроить все объекты перечня в алфавитном прядке, кликнув по названию поля «Имя». После того, как нужная строка найдена, взгляните на соответствующее ей значение в колонке «Состояние». Если служба включена, то там должна находиться надпись «Работает». Если же там пусто, то это означает, что служба деактивирована. Также посмотрите на значение в колонке «Тип запуска». В нормальном состоянии там должна находиться надпись «Автоматически». Если там стоит значение «Отключена», то это означает, что служба не активируется при запуске системы.

Чтобы это исправить, перейдите в свойства службы, кликнув по наименованию дважды ЛКМ.

Открывается окно. Кликните по области «Тип запуска».

Из раскрывшегося списка выбирайте «Автоматически».

Жмите по надписям «Применить» и «OK».

Возвратившись в «Диспетчер служб», отметьте «Журнал событий Windows». В левой области оболочки кликните по надписи «Запустить».

Запуск службы произведен. Теперь в соответствующем ей поле колонки «Состояние» отобразится значение «Работает», а в поле колонки «Тип запуска» появится надпись «Автоматически». Теперь журнал можно открыть любым из тех способов, которые мы описывали выше.

Существует довольно много вариантов активировать журнал событий в Виндовс 7. Конечно, самые удобные и популярные способы – это переход через «Панель инструментов», активация при помощи средства «Выполнить» или поля поиска меню «Пуск». Для удобного доступа к описываемой функции можете создать иконку на «Рабочем столе». Иногда возникают проблемы с запуском окна «Просмотр событий». Тогда нужно проверить, активирована ли соответствующая служба.

В операционной системе Windows седьмой версии реализована функция
отслеживания важных событий, которые происходят в работе системных
программ. В «Майкрософт» под понятием «события» подразумеваются любые
происшествия в системе, которые фиксируются в специальном журнале и
сигнализируют о себе пользователям или администраторам. Это может быть
служебная программа, не желающая запускаться, сбой в работе приложений
или некорректная установка устройств. Все происшествия регистрирует и
сохраняет журнал событий Windows 7. Он также располагает и показывает
все действия в хронологическом порядке, помогает производить системный
контроль, обеспечивает безопасность операционки, исправляет ошибки и
диагностирует всю систему.

Следует периодически просматривать этот
журнал на предмет появления поступающей информации и производить
настройку системы для сохранения важных данных.

Window 7 — программы

Компьютерное
приложение «Просмотр событий» является основной частью служебных утилит
«Майкрасофт», которые предназначены для контроля и просмотра журнала
событий. Это необходимый инструмент для мониторинга работоспособности
системы и ликвидации появляющихся ошибок. Служебная программа «Виндовс»,
управляющая документированием происшествий, называется «Журналом
событий». Если эта служба запущена, то она начинает собирать и
протоколировать все важные данные в своем архиве. Журнал событий Windows
7 разрешает совершать следующие действия:

— просмотр данных, записанных в архив;

— использование различных фильтров событий и их сохранение для дальнейшего применения в настройках системы;

— создание подписки по определенным происшествиям и управление ими;

— назначать определенные действия при возникновении каких-либо событий.

Программа, отвечающая за регистрацию происшествий, запускается следующим образом:

1.
Активируется меню нажатием кнопки «Пуск» в левом нижнем углу монитора,
затем открывается «Панель управления». В списке элементов управления
выбираем «Администрирование» и уже в этом подменю нажимаем на «Просмотр
событий».

2. Есть другой способ, как посмотреть журнал событий
Windows 7. Для этого следует перейти в меню «Пуск», в поисковом окошке
набрать mmc и отправить запрос на поиск файла. Далее откроется таблица
MMC, где нужно выбрать параграф, обозначающий добавление и удаление
оснастки. Затем производится добавка «Просмотра событий» на главное
окно.

Что представляет собой описываемое приложение?

В
операционных системах Widows 7 и Vista установлены два вида журналов
событий: системные архивы и служебный журнал приложений. Первый вариант
используется для фиксации общесистемных происшествий, которые связаны с
производительностью различных приложений, запуском и безопасностью.
Второй вариант отвечает за запись событий их работы. Для контроля и
управления всеми данными служба «Журнал событий» использует вкладку
«Просмотра», которая подразделяется на следующие пункты:

— Приложение – здесь хранятся события, которые связаны с
какой-то определенной программой. Например, почтовые службы хранят в
этом месте историю пересылки информации, различные события в почтовых
ящиках и так далее.

— Пункт «Безопасность» сохраняет все данные,
относящиеся к входам в систему и выходу из нее, использованию
административных возможностей и обращению к ресурсам.

— Установка –
в этот журнал событий Windows 7 заносятся данные, которые возникают при
установке и настройке системы и ее приложений.

— Система –
фиксирует все события операционки, такие как сбой при запуске служебных
приложений или при установке и обновлении драйверов устройств,
разнообразные сообщения, касающиеся работы всей системы.

— Пересылаемые события – если этот пункт настроен, то в нем хранится информация, которая приходит с других серверов.

Другие подпункты основного меню

Также в меню «Администрирование», где журнал событий в Windows 7 и находится, есть такие дополнительные пункты:

— Internet Explorer – здесь регистрируются события, которые возникают при работе и настройке одноименного браузера.

— Windows PowerShell – в этой папке фиксируются происшествия, имеющие связь с применением оболочки PowerShell.

— События оборудования – если этот пункт настроен, то в журнал заносятся данные, которые генерируют устройства.

Вся
структура «семерки», которая обеспечивает запись всех событий, основана
по типу «Висты» на XML. Но для использования в Window 7 программы
журнала событий нет необходимости знать, как применять этот код.
Приложение «Просмотр событий» все сделает само, предоставив удобную и
простую таблицу с пунктами меню.

Характеристики происшествий

Пользователь,
желающий узнать, как посмотреть журнал событий Windows 7, должен также
разбираться и в характеристиках тех данных, которые он хочет
просмотреть. Ведь существуют различные свойства тех или иных
происшествий, описанных в «Просмотре событий». Эти характеристики мы
рассмотрим ниже:

— Источники – программа, фиксирующая события в журнале.
Здесь записываются имена приложений или драйверов, повлиявших на то или
иное происшествие.

— Код события – набор чисел, определяющих тип
происшествия. Этот код и имя источника события используется технической
поддержкой системного обеспечения для исправления ошибок и ликвидации
программных сбоев.

— Уровень – степень важности события. Журнал событий системы имеет шесть уровней происшествий:

1. Сообщение.

2. Предостережение.

3. Ошибка.

4. Опасная ошибка.

5. Мониторинг успешных операций по исправлению ошибок.

6. Аудит неудачных действий.

—
Пользователи – фиксирует данные учетных записей, от имени которых
произошло происшествие. Это могут быть имена различных сервисов, а также
реальных пользователей.

— Дата и время – регистрирует временные показатели появления события.

— Загрузка центрального процессора – время, необходимое для выполнения команд пользователя.

Существует
масса других событий, которые возникают при работе операционной
системы. Все происшествия высвечиваются в «Просмотре событий» с
описанием всех сопутствующих информационных данных.

Как работать с журналом событий?

Очень
важным моментом в предохранении системы от сбоев и зависаний является
периодическое просматривание журнала «Приложение», в котором фиксируются
сведения о происшествиях, недавних действиях с той или иной программой,
а также предоставляется выбор доступных операций.

Зайдя в журнал
событий Windows 7, в подменю «Приложение» можно увидеть список всех
программ, вызвавших различные негативные события в системе, время и дату
их появления, источник, а также степень проблемности.

В этой
консоли можно сохранить все события за последние несколько месяцев,
очистить журнал от старых записей, изменить размер таблицы и многое
другое.

Ответные действия пользователя на события

Изучив,
как открыть журнал событий Windows 7 и каким образом им пользоваться,
следует далее научиться применять с этим полезным приложением
«Планировщик задач». Для этого необходимо правой клавишей мыши кликнуть
на любое происшествие и в открывшемся окне выбрать меню привязки задачи к
событию. В следующий раз, когда произойдет такое происшествие в
системе, операционка автоматом запустит установленную задачу на
обработку ошибки и ее исправление.

Ошибка в журнале не является поводом для паники

Если,
просматривая журнал системных событий Windows 7, вы увидите
появляющиеся периодически ошибки системы или предупреждения, то не
следует переживать и паниковать по этому поводу. Даже при отлично
работающем компьютере могут регистрироваться различные ошибки и сбои,
большинство из которых не несут серьезной угрозы работоспособности ПК.

Описываемое
нами приложение создано для того, чтобы облегчить системному
администратору контроль над компьютерами и устранение появляющихся
проблем.

Вывод

Исходя из всего вышесказанного, становится
ясно, что журнал событий – способ, позволяющий программам и системе
фиксировать и сохранять все события на компьютере в одном месте. В таком
журнале хранятся все операционные ошибки, сообщения и предупреждения
системных приложений.

Где находится журнал событий в Windows 7,
чем его открыть, как им пользоваться, каким образом исправлять
появившиеся ошибки – все это мы узнали из этой статьи. Но многие
спросят: «А зачем нам это нужно, мы не системные администраторы, не
программисты, а обыкновенные пользователи, которым эти знания как бы не
нужны?» Но этот подход неправильный. Ведь когда человек чем-то
заболевает, перед походом к врачу он пытается сам вылечиться теми или
иными способами. И у многих часто это получается. Так и компьютер,
являющийся цифровым организмом, может «заболеть», и в этой статье
показан один из способов, как диагностировать причину такого
«заболевания», по результатам такого «обследования» можно принять
правильное решение о методах последующего «лечения».

Так что информация о способе просмотра событий будет полезна не только системщику, но и обыкновенному пользователю.

Доброго дня!

Итак…

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

eventvwr — команда для вызова журнала событий
после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

Просмотр событий

Вариант 2

сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

Система и безопасность
далее необходимо перейти в раздел «Администрирование»;

Администрирование
после кликнуть мышкой по ярлыку «Просмотр событий».

Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

Windows 10 — события

Win+X — вызов меню

❷

Журналы Windows

Журналы Windows

«Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
«Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
«Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

Представлены все ошибки по дате и времени их возникновения / Кликабельно

❹

Можно ли отключить журналы событий

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

Открываем службы — services.msc (универсальный способ)
далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий
после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

Отключена — остановить

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

donate

dzen-ya

Полезный софт:

Видео-Монтаж

Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
Видео сделает даже новичок!

Ускоритель компьютера

Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

На чтение 11 мин Просмотров 1.8к. Опубликовано 10.12.2021

Содержание

Журнал ошибок Windows 10 — как посмотреть отчет
Журнал событий Windows 10 — что это такое и для чего нужен
Как открыть журнал, посмотреть ошибки и где он находится
Как проверить систему на целостность и ошибки
При помощи консоли
Через панель управления
Как посмотреть свои логи вов?
Как открыть журнал и посмотреть ошибки
Как открыть журнал установки?
Как посмотреть логи обновления Windows 10?
Включение логирования
Запуск «Просмотра событий»
Анализ журнала ошибок
Где хранятся системные логи Windows?
Где находится файл журнала событий?
Как просмотреть журнал ошибок виндовс 10?
Как посмотреть системный журнал?
Где находится журнал событий в Windows 7?
Где хранятся логи в Windows?
Для чего нужен журнал событий?

При работе с ОС Windows 10 у пользователей могут возникать аппаратные и программные сбои. Чтобы владельцы персонального компьютера смогли узнать, из-за чего произошли неполадки, разработчиками был создан специальный журнал ошибок Windows 10. В нем фиксируется история ошибок и сбоев, а также источник их возникновения. Зайти в журнал можно с помощью штатных инструментов ОС: командной строки или панели управления. Таким образом, многие пользователи спрашивают, как посмотреть логи в Windows 10?

Журнал событий Windows 10 — что это такое и для чего нужен

Журнал событий представляет собой средство диагностики и устранения неисправностей ОС. При возникновении ошибок, создается специальный лог-файл, куда записывается отчет о проблемном программном обеспечении или системном компоненте ОС.

Благодаря анализу сборщика событий можно узнать причины неправильной работы ОС. Для качественной диагностики персонального компьютера предусмотрено несколько логов: «Приложения», «Установка», «Безопасность» и «Параметры ОС». В каждом из них регистрируются код сбоя, дата и время, а также поврежденные файлы, которые вызывают ошибку.

Какие отчеты можно посмотреть в сборщике системных событий:

Отчет об инсталляции приложений, драйверов и утилит.
Состояние программных и аппаратных компонентов персонального компьютера.
Ошибки в работе системных служб и фоновых процессов ОС.
Недействительные ключи редактора реестра или поврежденные бинарные файлы.
Изменение параметров настроек сетевого подключения или беспроводной точки доступа.
Регистрация входа пользователя в учетную запись или аккаунт Microsoft.
Регистрация выхода пользователя из локальной учетной записи или аккаунта Microsoft.
Отключение брандмауэра или встроенного защитника Windows.
Отчеты о поврежденных системных компонентах критически важных файлов.
Установка обновлений и патчей безопасности.
Индексирование файлов и папок.
Регистрация о включении и отключении служб и фоновых процессов.
Регистрация подключения компьютера к беспроводной сети WiFi или WAN Miniport.
Регистрация вылетов системы в BSOD (синий экран смерти).

Важно! Журнал ошибок представляет собой лог файл, куда записывается информация о сбоях в работе ОС, которая поможет владельцу персонального компьютера найти и устранить неисправность.

Как открыть журнал, посмотреть ошибки и где он находится

Чтобы отыскать журнал, где хранятся отчеты об ошибках нужно выполнить следующие действия:

Требуется перейти на рабочий стол и найти ярлык с наименованием «Компьютер.
После этого откроется «Проводник», где следует выбрать раздел локальных дисков.
Пользователю нужно выбрать системный том и найти директорию «Windows».
В данной папке следует отыскать каталог с наименованием «System32».
Затем требуется прокрутить список вниз и найти папку «Winevt».
В директории «Log» будут находиться отчеты, которые имеют расширение «EVTX».

Чтобы владелец персонального компьютера смог проверить отчеты, необходимо воспользоваться специальной штатной утилитой «eventvwr». Только с помощью данной утилиты можно осуществить просмотр отчетов и узнавать из-за чего произошли неполадки.

К сведению! Открыть файлы с расширением «EVTX» с помощью встроенного текстового редактора невозможно.

Как проверить систему на целостность и ошибки

Операционная система современного компьютера – это сложная архитектура, состоящая из большого количества программ, скриптов, служб, драйверов, инструкций и баз данных. Чем сложнее инструмент, тем больше шанс чему-либо сломаться. Повреждение важного системного файла может привести к сбоям, ухудшению производительности, а также полной поломке компьютера и потере личных или системных файлов.

При помощи консоли

Открыть журнал сборщика событий можно с помощью консоли системной отладки – PowerShell:

Необходимо зайти в стартовое окно и в поисковой строке ввести исполняемый код «PowerShell».
После этого в диалоговом окне выбрать пункт «Запустить с расширенными правами доступа».
После загрузки консоли отладки следует ввести исполняемую команду с наименованием «eventvwr».
Затем на экране отобразится консоль сборщика событий.

Открытие сборщика производится с помощью PowerShell

Через панель управления

Посмотреть логи в Windows 10 можно через классическую панель управления и сделать это можно следующим образом:

Необходимо войти в стартовое меню и в поисковой строке прописать запрос «Панель управления».
Далее открыть пункт «Безопасность» и прокрутить список вниз.
Затем нужно перейти в пункт «Администрирование».
В списке штатных инструментов найти компонент «События».
Далее откроется окно «Журнал событий», где следует выбрать пункт «Посмотреть события».
В левой колонке появится список из нескольких пунктов: «Программы», «Установка» и «Параметры ОС», «Перенаправленные логи». Чтобы посмотреть отчет, нужно щелкнуть по одному из компонентов и в главном окне выбрать пункт «Подробнее».

Как посмотреть свои логи вов?

Просмотр логов
Для просмотра загруженных вами логов просто перейдите на страницу вашей гильдии и кликните на нужный файл из календаря. Перед вами появится страница, похожая на представленную ниже в картинке.

Как открыть журнал и посмотреть ошибки

Существует несколько способов, как открыть журнал событий.

Как открыть журнал установки?

Просмотр журналов событий установки Windows

Запустите средство просмотра событий, разверните узел «Журналы Windows», а затем выберите Система.
На панели Действия выберите команду Открыть сохраненный журнал, а затем выберите файл Setup. etl. …
В средстве просмотра событий отображается содержимое файла журнала.

Как посмотреть логи обновления Windows 10?

Посмотреть журнал обновлений Windows в Windows 10

Откройте PowerShell : один из способов – в строке поиска напишите PowerShell и выберите его из найденных результатов. Ad.
Введите команду Get-WindowsUpdateLog и нажмите клавишу Enter. …
На рабочем столе у вас появился файл с журналом обновлений Windows.

Включение логирования

Для того чтобы система могла записывать все события в журнал, необходимо включить его. Для этого выполните следующие действия:

Нажмите в любом пустом месте «Панели задач» правой кнопкой мышки. Из контекстного меню выберите пункт «Диспетчер задач».

В открывшемся окне перейдите во вкладку «Службы», а затем на самой странице в самом низу нажмите кнопку «Открыть службы».

Далее в перечне служб нужно найти «Журнал событий Windows». Убедитесь, что она запущена и работает в автоматическом режиме. Об этом должны свидетельствовать надписи в графах «Состояние» и «Тип запуска».

Если значение указанных строк отличается от тех, что вы видите на скриншоте выше, откройте окно редактора службы. Для этого кликните два раза левой кнопкой мыши на ее названии. Затем переключите «Тип запуска» в режим «Автоматически», и активируйте саму службу путем нажатия кнопки «Запустить». Для подтверждения нажмите «OK».

После этого остается проверить, активирован ли на компьютере файл подкачки. Дело в том, что при его выключении система попросту не сможет вести учет всех событий. Поэтому очень важно установить значение виртуальной памяти хотя бы 200 Мб. Об этом напоминает сама Windows 10 в сообщении, которое возникает при полной деактивации файла подкачки.

О том, как задействовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Ознакомьтесь с ней при необходимости.

Запуск «Просмотра событий»

Как мы уже упоминали ранее, «Журнал ошибок» входит в состав стандартной оснастки «Просмотр событий». Запустить ее очень просто. Делается это следующим образом:

Нажмите на клавиатуре одновременно клавишу «Windows» и «R».
В строку открывшегося окна введите eventvwr.msc и нажмите «Enter» либо же кнопку «OK» ниже.

В результате на экране появится главное окно упомянутой утилиты. Обратите внимание, что существуют и другие методы, которые позволяют запустить «Просмотр событий». О них мы в деталях рассказывали ранее в отдельной статье.

Анализ журнала ошибок

После того как «Просмотр событий» будет запущен, вы увидите на экране следующее окно.

В левой его части находится древовидная система с разделами. Нас интересует вкладка «Журналы Windows». Нажмите на ее названии один раз ЛКМ. В результате вы увидите список вложенных подразделов и общую статистику в центральной части окна.

Для дальнейшего анализа необходимо зайти в подраздел «Система». В нем находится большой список событий, которые ранее происходили на компьютере. Всего можно выделить четыре типа событий: критическое, ошибка, предупреждение и сведения. Мы вкратце расскажем вам о каждом из них. Обратите внимание, что описать все возможные ошибки мы не можем просто физически. Их много и все они зависят от различных факторов. Поэтому если у вас не получится что-то решить самостоятельно, можете описать проблему в комментариях.

Критическое событие

Данное событие помечено в журнале красным кругом с крестиком внутри и соответствующей припиской. Кликнув по названию такой ошибки из списка, немного ниже вы сможете увидеть общие сведения происшествия.

Зачастую представленной информации достаточно для того, чтобы найти решение проблемы. В данном примере система сообщает о том, что компьютер был резко выключен. Для того чтобы ошибка не появлялась вновь, достаточно просто корректно выключать ПК.

Подробнее: Выключение системы Windows 10

Для более продвинутого пользователя есть специальная вкладка «Подробности», где все событие представлены с кодами ошибок и последовательно расписаны.

Ошибка

Этот тип событий второй по важности. Каждая ошибка помечена в журнале красным кругом с восклицательным знаком. Как и в случае с критическим событием, достаточно нажать ЛКМ по названию ошибки для просмотра подробностей.

Если из сообщения в поле «Общие» вы ничего не поняли, можно попробовать найти информацию об ошибке в сети. Для этого используйте название источника и код события. Они указаны в соответствующих графах напротив названия самой ошибки. Для решения проблемы в нашем случае необходимо попросту повторно инсталлировать обновление с нужным номером.

Предупреждение

Сообщения данного типа возникают в тех ситуациях, когда проблема не носит серьезный характер. В большинстве случаев их можно игнорировать, но если событие повторяется раз за разом, стоит уделить ему внимание.

Чаще всего причиной появления предупреждения служит DNS-сервер, вернее, неудачная попытка какой-либо программы подключиться к нему. В таких ситуациях софт или утилита попросту обращается к запасному адресу.

Сведения

Этот тип событий самый безобидный и создан лишь для того, чтобы вы могли быть в курсе всего происходящего. Как понятно из его названия, в сообщение содержатся сводные данные о всех инсталлированных обновлениях и программах, созданных точках восстановления и т.д.

Подобная информация будет очень кстати для тех пользователей, которые не хотят устанавливать сторонний софт для просмотра последних действий Windows 10.

Как видите, процесс активации, запуска и анализа журнала ошибок очень прост и не требует от вас глубоких познаний ПК. Помните, что таким образом можно узнать информацию не только о системе, но и о других ее компонентах. Для этого достаточно в утилите «Просмотр событий» выбрать другой раздел.

Где хранятся системные логи Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата.

Где находится файл журнала событий?

По умолчанию файлы журнала просмотра событий используют расширение . evt и находятся в %SystemRoot%System32Config папке. Имя файла журнала и сведения о расположении хранятся в реестре. Эту информацию можно изменить, чтобы изменить расположение файлов журнала по умолчанию.

Как просмотреть журнал ошибок виндовс 10?

«Журнал ошибок» в Виндовс 10

Нажмите в любом пустом месте «Панели задач» правой кнопкой мышки. …
В открывшемся окне перейдите во вкладку «Службы», а затем на самой странице в самом низу нажмите кнопку «Открыть службы».
Далее в перечне служб нужно найти «Журнал событий Windows».

Как посмотреть системный журнал?

После нажатия комбинации “ Win+R и введите eventvwr. msc ” в любой системе Виндовс вы попадаете в просмотр событий. У вас откроется окно, где нужно развернуть Журналы Windows. В данном окне можно просмотреть все программы, которые открывались на ОС и, если была допущена ошибка, она также отобразится.

Где находится журнал событий в Windows 7?

Журналы событий в Windows 7

Где хранятся логи в Windows?

Для чего нужен журнал событий?

Журнал событий (англ. Event Log) — в Microsoft Windows стандартный способ для приложений и операционной системы записи и централизованного хранения информации о важных программных и аппаратных событиях.

Источники

https://aristot.ru/zhurnal-oshibok-v-windows-10.html
https://SoftForce.ru/prilozheniya/proverka-reestra-windows-10.html
https://kamin159.ru/gde-posmotret-oshibki-windows-10
https://kodyoshibokk.ru/gde-i-kak-posmotret-zhurnal-oshibok-windows-10-5/
https://kamin159.ru/kak-posmotret-logi-v-windows-10
https://lumpics.ru/error-log-in-windows-10/

Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.

События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.

Содержание

Где находится журнал событий и как его открыть
Что делать, если журнал событий не открывается
Структура просмотрщика журнала событий
Как искать в журналах событий интересующие сведения
- Как пользоваться функцией фильтрации
- Как создавать настраиваемые представления
- Источники, уровни и коды событий. Как понять, что означает конкретный код
Get System Info – альтернатива стандартному просмотрщику Windows

Где находится журнал событий и как его открыть

Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка Windowssystem32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:

Главное меню Windows – «Пуск». Щелкать по его кнопке следует не левой, а правой клавишей мыши. Пункт «Просмотр событий» – четвертый сверху.

Системный поиск – кнопка со значком в виде лупы возле «Пуска». Достаточно начать вводить в поисковую строку слово «просм…» – и вот он, нашелся.

Виндовая утилита «Выполнить» (Run) просто создана для тех, кто предпочитает горячие клавиши. Нажмите на клавиатуре Windows+К (русская), вбейте в строку «Открыть» команду eventvwr (имя файла просмотрщика) и щелкните ОК.

Командная строка или консоль Powershell (их тоже удобно открывать через контекстное меню кнопки Пуск). Для запуска журнала событий снова введите eventvwr и щелкните Enter.

Старая добрая Панель управления (кстати, если желаете вернуть ее в контекст Пуска, читайте эту статью). Перейдите в раздел «Система и безопасность», спуститесь вниз окна до пункта «Администрирование» и кликните «Просмотр журналов событий».

Системная утилита «Параметры», пришедшая на смену панели управления. Зарываться в ее недра – то еще удовольствие, но можно сделать проще – начать вбивать в строку поиска слово «администрирование». Следом просто перейдите в найденный раздел и щелкните ярлык просмотрщика.

НахОдите журнал событий Windows увлекательным чтивом? Тогда, возможно, вам понравится идея держать его всегда под рукой. Чтобы поместить ярлык просмотрщика на рабочий стол, зайдите любым из способов в раздел панели управления «Администрирование», скопируйте ярлык нажатием клавиш Ctrl+C, щелкните мышкой по рабочему столу и нажмите Ctrl+V.

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

Ваша ученая запись ограничена в правах доступа политиками безопасности.
В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
Некоторые системные компоненты повреждены или заблокированы вредоносной программой.

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

Откатом на контрольную точку, созданную, когда всё работало исправно.
Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe —scannow в командной строке.
Сканированием дисков на предмет вирусного заражения.
Восстановлением прав доступа системных учетных записей к папкам WindowsSystem32winevt и System32LogFiles. Рабочие настройки показаны на скриншотах ниже.

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Как искать в журналах событий интересующие сведения

Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.

Как пользоваться функцией фильтрации

Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».

Далее заполняем вкладку «Фильтр»:

Из списка «Дата» выбираем последние 7 дней.
В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
Указываем коды событий (event ID), о которых собираем сведения.
Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).

Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:

Читать его стало гораздо удобнее.

Как создавать настраиваемые представления

Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.

Чтобы создать настраиваемое представление, сделайте следующее:

Выделите в разделе каталогов интересующий журнал.
Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
Заполните настройки окошка «Фильтр» по примеру выше.
Сохраните фильтр под любым именем в выбранный каталог.

В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.

Источники, уровни и коды событий. Как понять, что означает конкретный код

Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.

Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:

Критическая ошибка указывает на самый серьезный сбой, который привел к отказу породившего его источника без возможности самостоятельного восстановления. Пример внешнего проявления такого сбоя – синий экран смерти Windows (BSoD) или внезапная перезагрузка компьютера.
Ошибка тоже указывает на сбой, но с менее критичными последствиями для работы системы. Например, вылет программы без сохранения данных из-за нехватки ресурсов, ошибки запуска служб и т. п.
Предупреждение – запись, сообщающая о неполадках, которые негативно влияют на работу системы, но не приводят к сбоям, а также о возможности возникновения ошибок в дальнейшем, если не устранить их причину. Пример: приложение запускалось дольше, чем обычно, что привело к замедлению загрузки системы.
Уведомление – обычное информационное сообщение, например, о том, что операционная система приступила к установке обновления.
Успешный отчет (аудит) – сообщение, информирующее об успехе какого-либо события. Примеры: программа успешно установлена, пользователь успешно вошел в учетную запись.
Неуспешный отчет (аудит) – сообщение о неуспешном завершении операции. Например, установка программы не была завершена из-за отмены действия пользователем.

Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.

Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.

Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.

Get System Info – альтернатива стандартному просмотрщику Windows

Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info.

Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.

Преимущество этой утилиты перед стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.

Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.

Как пользоваться Get System Info:

Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «Include Windows event logs».

После того как на рабочем столе или в папке, которую вы указали, появится архивный файл с именем «GSI6_Имя_ПК_user_дата_ и т.д.», откройте в браузере сайт getsysteminfo.com и загрузите архив туда.

После загрузки отчета на getsysteminfo.com зайдите на вкладку «Свойства системы» и откройте раздел «Журнал событий».

Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.

Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.

Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.

Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением. Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.

Понравилась статья? Оцените её:

Содержание

— Как открыть журнал ошибок?
— Где хранится журнал событий Windows 10?
— Как проверить компьютер на наличие ошибок Windows 10?
— Как открыть журнал безопасности?
— Как открыть системный журнал?
— Как посмотреть на виндовс 7 Журнал системных ошибок?
— Как посмотреть журнал событий Windows?
— Где хранятся отчеты об ошибках Windows 10?
— Где хранятся Event Log?
— Где хранятся системные логи Windows?
— Как найти в компьютере журнал событий?
— Как узнать есть ли ошибки в реестре?
— Как проверить компьютер на наличие системных ошибок?
— Как проверить операционную систему на наличие ошибок?

Как открыть журнал ошибок?

Открыть «Пуск»:

Открыть «Средства администрирования» -> «Просмотр событий»
В открывшемся окне выбрать «Просмотр событий» -> «Журналы Windows» -> «Система»
Экспорт журнала …
После нажатия ссылки «Сохранить все события как…» нужно выбрать путь и имя файла для сохраняемого журнала.

Как проверить компьютер на наличие ошибок Windows 10?

Проверка системы и системных файлов Windows 10 на ошибки

Чтобы запустить команду, нужно войти в Командную строку от имени Администратора и ввести sfc /scannow – Enter. Далее произойдет соответствующая проверка, при которой автоматически исправятся ошибки в системных файлах.

Как открыть журнал безопасности?

сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность»; Система и безопасность
далее необходимо перейти в раздел «Администрирование»; Администрирование
после кликнуть мышкой по ярлыку «Просмотр событий». Просмотр событий — Администрирование

23 мар. 2019 г.

Как открыть системный журнал?

Для запуска программы Просмотр событий, откройте меню Пуск, в строке поиска введите «Просмотр событий» и нажмите Ввод. Также программу Просмотр событий можно открыть через папку Администрирование в меню Пуск.

Как посмотреть на виндовс 7 Журнал системных ошибок?

Приложение «Просмотр событий» можно открыть следующими способами:

Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Администрирование» и из списка административных компонентов стоит выбрать «Просмотр событий»;
Откройте «Консоль управления MMC».

10 нояб. 2009 г.

Как посмотреть журнал событий Windows?

Приложение «Просмотр событий» можно открыть следующими способами:

Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Администрирование» и из списка административных компонентов стоит выбрать «Просмотр событий»;
Откройте «Консоль управления MMC».

10 нояб. 2009 г.

Где хранятся отчеты об ошибках Windows 10?

Перейдите в раздел «Система и безопасность», спуститесь вниз окна до пункта «Администрирование» и кликните «Просмотр журналов событий».

Где хранятся Event Log?

Где хранятся системные логи Windows?

Как найти в компьютере журнал событий?

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Как узнать есть ли ошибки в реестре?

Как проверить реестр на ошибки и исправить их

Открываем Командную строку (cmd): нажимаем ПКМ на значок Пуск и в появившемся контекстном меню выбираем опцию «Windows PowerShell (администратор)».
Для запуска сканирования системы вводим команду scanreg /fix.
Нажимаем кнопку Enter.

26 февр. 2021 г.

Как проверить компьютер на наличие системных ошибок?

Проверка компьютера на ошибки стандартными средствами

Зайти в раздел «Мой компьютер».
Кликнуть правой кнопкой мышки на значок проверяемого раздела жесткого диска.
Перейти на вкладку «Свойства», а после – «Сервис».
Попав в нужный раздел запустить «Проверку тома на ошибки».

11 янв. 2015 г.

Как проверить операционную систему на наличие ошибок?

На рабочем столе нажмите комбинацию клавиш Win+X и в меню выберите пункт Командная строка (администратор). …
Нажмите «Да» в появившемся окне контроля учетных записей (UAC), после появления мигающего курсора введите SFC /scannow и нажмите клавишу Enter.
Запустится средство проверки системных файлов на целостность.

Интересные материалы:

Как быстро высушить шапку?
Как быть счастливым с самим собой?
Как часто давать курам дрожжи?
Как часто должна выплачиваться заработная плата?
Как часто можно качать мышцы груди?
Как часто можно носить беруши?
Как часто можно проводить инвентаризацию?
Как часто можно тренировать одну группу мышц?
Как часто можно заказывать справку 2 ндфл?
Как часто можно заниматься по системе Табата?

Просмотр событий (Event Viewer) — Это журнал в Windows 11/10, который записывает сведения об ошибках, работы служб, системы, приложений и т.п.

Разберем, как искать ошибки приложений, системы в Просмотре событий Windows 11/10 и, как их можно исправить.

Просмотр событий в Windows 11 и 10

1. Чтобы запустить просмотр событий в Windows, нажмите Win+R и введите eventvwr.

2. Разверните графу Журналы Windows и вы обнаружите нужные вам пункты, где была ошибка. Если это системная ошибка, то нужно выбрать пункт Система. Если ошибка в каком-либо приложении, то нужно выбрать Приложение. Выбрав нужный пункт, отсортируйте по дате или уровню ошибки, нажав на столбик.

3. Нажмите дважды на ошибку и вы откроете свойства данного события. Во вкладке Общие будет показана информация о причине ошибки. В моем случае пропало электричество. Нажмите на вкладку Подробности, где будет показы пути и более подробная информация.

Если вы не смогли идентифицировать ошибку, то напишите в Google поиске «Event ID 41 Kernel Power» и посмотрите, что означает данный код. Обычно сразу в первых рядах поиска будет официальный сайт Microsoft с разъяснением и решением данной ошибки.

4. Если нужно скинуть журнал событий кому-либо для анализа, то нажмите правой кнопкой мыши по нужному пункту, где была ошибка, и выберите Сохранить все события как.

5. Чтобы посмотреть ошибки в производительности компьютера с Windows 11/10, то откройте Журналы приложений и служб > Microosft > Windows > Diagnistics-Performance > Работает.

Отсортируйте ошибки по уровню или примерной дате происхождения, нажав на столбики. В данном случае мы видим ошибку встроенного антивируса, который замедлил работу запуска системы Windows 11/10. Я бы не сказал, что это серьезная проблема, просто антивирусу потребовалось в данный момент больше времени для загрузки и предварительного сканирования при включении ПК.

Вывод: Не паникуйте и не пытайтесь исправить все ошибки, которые обнаружите. Ошибки случаются всегда и они могут не влиять на саму работу системы. Смотрите только те ошибки, которые произошли недавно. К примеру, запуск или установка какого-либо приложения выдала ошибку, или приложение не устанавливается или не запускается. Это касается и синего экрана BSOD системы. Другими словами, если у вас возникла ошибка в Windows 11/10, то открывайте «Просмотр событий», чтобы понять, что за ошибка и как её модно устранить.

Смотрите еще:

Диагностика ошибок синего экрана смерти BSOD Window
Как проверить оперативную память на ошибки в Windows
Проверка плохих драйверов с Windows Driver Verifier
SFC и DISM: Проверка и Восстановление системных файлов в Windows
CHKDSK: Проверка и восстановление жесткого диска в Windows 10

[ Telegram | Поддержать ]

Remove From My Forums

Общие обсуждения
кто то может объяснить где хранятся все логи Windows XP? на загрузку, на ошибку и на другие вещи, хотя бы ориентировочно.
- Изменен тип
  Igor Leyko
  24 сентября 2010 г. 14:05

Все ответы

Правой кнопкой мыши щелкаете по «Мой компьютер», управление. Просмотр событий — это то, что вам нужно.
Разнообразные записи хранятся в папке Windows: ошибки при загрузке ОС, установка IIS, установка факсов и т.д. Если интересует местоположение логов Event Log, то это в папке windowssystem32config*.log. По умолчанию они скрыты.
вы меня не совсем поняли, что такое журнал событий я прекрасно знаю, но толку от него не много.

конечно, тоже не менее удобная вещь, но к примеру когда виндовс не грузится она просто не доступна, а хотелось бы увидеть лог загрузки, какие служби и драйвера загрузились с какими параметрами и если завершились, с каким кодом. Когда винда тупо не грузится даже слону понятно, что не загружается какой то драйвер или служба. но как выяснить какая? чтоб потом выключить её через консоль восстановления?

вот что более точно меня интересует. в этом плане в линухе всё как в аптеке. уверен, что и в виндах всё это есть, просто надо знать где искать.

заранее благодарен
ммм…. F8 при загрузке, там был пункт насчет лога загрузки, потом вроде в корне системного диска будет файл bootlog.txt или boot.log
в boot.ini напротив нежной ОС в конце дописывай /sos
например
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect /sos
и еще раз

Разнообразные записи хранятся в папке Windows: ошибки при загрузке ОС, установка IIS, установка факсов и т.д.
Ищите там.
Если загрузка системы осуществляется в любом безопасном режиме или при загрузке выбран вариант Boot Logging, в этих случаях создаётся файл Ntbtlog.txt и находдится он в каталоге %systemroot% (т.е. windows в большинстве случаев).

Roman Mejtes написано:

вы меня не совсем поняли, что такое журнал событий я прекрасно знаю, но толку от него не много.

конечно, тоже не менее удобная вещь, но к примеру когда виндовс не грузится она просто не доступна, а хотелось бы увидеть лог загрузки, какие служби и драйвера загрузились с какими параметрами и если завершились, с каким кодом. Когда винда тупо не грузится даже слону понятно, что не загружается какой то драйвер или служба. но как выяснить какая? чтоб потом выключить её через консоль восстановления?

Взять другую копию винды и открыть eventlog в ней. Можно на дискету его слить предварительно, чтобы на работе посмотреть. Лежит в c:windowssystem32config*.evt

Драйверы, которые вешают систему на момент загрузки, легко увидеть в safe mode — там список показывается загружаемых драйверов. Какой был последний — тот и глючит.

не кто внятно так и не объяснил.

где искать логи которые ведуться при загрузке компа. комп уходит в рибут хоть вы какие параемтры в бут.ини задавайте, ни чего не сообщает и тупо ребутиться.. файлы типа *.log я не вижу. в событиях ни чего не пишется, потому что служба журналирования не работает еще… нормально кто то может посоветовать что то?
Службу вернуть на место, во-первых.

Во-вторых:

control panel->system->advanced->startup&recovery setting->убрать галку в automatic restart.
В папке Windows лежит файл ntbtlog.txt. Там же лежит setuplog.txt. прочие логи в тех же окрестностях либо в system32. ПОльзуйтесь
в boot.ini пропиши /bootlog
в %systemroot% будет ntbtlog.txt , если перегружаеться по себе в меню при загрузки (F8) выбери «Убрать автоматическую перезагрузку» и посмотри что пишет, если что выложи дамп посмотрим.
вы будите смеяться, но я не просто так эту тему создал, указываю в boot.ini параметр /bootlog, но не обнаруживаю в папке %systemroot% ни каких ntbtlog.txt, не обнаруживаю его и в других местах, он вообще не появляется…. вот такая вот ботва, смысл в том, что падает драйвер какой то и не понятно какой, а журнал…. а журнал не работает, пока винда полностью не прогрузиться )
а не подскажите анализатор логов иис?
и попутно вопрос. на фтп не могут получить доступ юзеры если имя файла длинное. как пофиксить? кодировку на дос меня. может не там копаю?

устранение ошибок windows xp — Энциклопедия ошибок операционной системы Windows

Многие пользователи при появлении серьезных сбоев в Windows XP предпочитают ампутацию: форматирование диска и полную переустановку ОС. Однако столь простой и радикальный хирургический метод не годится, если в системе установлено и настроено много важных программ, переустановка которых невозможна или обойдется слишком дорогой ценой. В этом случае требуется глубокая диагностика Windows.

У каждого типа сбоя Windows XP своя собственная причина, а потому, хоть и известны вполне однозначные рецепты избавления от самых распространенных проблем, для устранения большинства «глюков» невозможно выработать какой-то универсальный метод «лечения». Конфигурация каждой операционной системы, программного обеспечения, драйверов и оборудования уникальна, и чаще всего выяснить причину возникшей проблемы возможно только тщательно препарируя железные и программные внутренности конкретного компьютера. Если сбой не сопровождает ОС прямо с момента ее установки, а появился в какой-то определенный момент (после установки очередной программы или драйвера, изменения настроек Windows, сбоя питания), то избавиться от него легко, достаточно удалить проблемное приложение, либо восстановить реестр или даже все содержимое жесткого диска из резервной копии. Помогут в этом не только стандартная System Restore, но и более интересные программы, например, Norton Ghost (www.symantec.com),Ashampoo Uninstaller (www.ashampoo.com), WinRescue XP (www.superwin.com). Разумеется, это возможно, если пользователь не брезговал профилактикой и регулярно пользовался подобными программами, что совсем не сложно, кстати говоря. Например, полный бекап системного NTFS-раздела объемом 10 Гб в Norton Ghost занимает всего минут 10 (неразумно отводить ОС весь объем диска).

Если же нет возможности ни восстановить систему «малой кровью», ни полностью ее переустановить, то придется самостоятельно искать причину сбоя. Для достижения успеха в столь неблагодарном и нудном деле рекомендуется следовать такой технологии:

Предварительный этап

Перед началом диагностики сделайте резервную копию реестра, конфигурационных файлов или всей системы, чтобы не получить в результате экспериментов еще большие проблемы. Обязательно запоминайте все свои дальнейшие действия, чтобы в случае неполадок их можно было легко отменить.
Удалите все временные файлы, очистите кэш браузера, Корзину, Журнал, очистите папку Program Files Internet Explorer Plugins с плагинами IE (для их восстановления сделайте резервные копии). Очистите папки, из которых производится автозапуск скриптов MS-Office (типа Documents and Settings ПОЛЬЗОВАТЕЛЬ Application Data Microsoft Excel Xlstart, Documents and Settings ПОЛЬЗОВАТЕЛЬ Application Data Microsoft Word Startup), удалите шаблон normal.dot, используемый MS-Office. Очистите папки Windows Downloaded Program Files, Documents and Settings ПОЛЬЗОВАТЕЛЬ NetHood, Documents and Settings ПОЛЬЗОВАТЕЛЬ PrintHood, Documents and Settings ПОЛЬЗОВАТЕЛЬ Recent. Удалите файлы autorun.inf со всех локальных дисков.
Проверьте систему несколькими свежими антивирусами и программой Ad-Aware (www.lavasoft.de), просканируйте жесткий диск утилитами типа ScanDisk, Norton DiskDoctor (с обязательным включением тестирования записи). Проверьте системные файлы с помощью утилиты System File Checker (команда SFC /SCANNOW) и восстановите поврежденные библиотеки из дистрибутива Windows или Service Pack.
Обновите систему: помимо последнего сервис-пака (если он уже установлен, переустановите) установите все свежие «заплатки» на сайте Windows Update (windowsupdate.microsoft.com, учтите только, что некоторые патчи сами могут быть источником проблем). Обновите (переустановите)Internet Explorer (www.microsoft.com/windows/ie/download/default.htm) и виртуальную машину JAVA от Microsoft (www.microsoft.com/java/vm/dl_vm40.htm). Обновите DirectX, используя для этого redist-дистрибутив (объем около 25—30 мегабайт, а в названии файла присутствует слово «REDIST»: DX90b_Redist.exe). Иногда оказывается полезным сначала удалить Internet Explorer или DirectX, а потом поставить его заново — для этого можно использовать утилиту XPLite (www.litepc.com).

Поиск готового решения

Тщательно изучите документацию к сбойной программе или плате расширения, быть может, в ней имеются какие-то специальные указания. Посетите также сайт разработчика сбойной программы или устройства — возможно, служба техподдержки производителя знает о проблеме и предлагает загрузить какой-нибудь патч.
Если сбой сопровождается сообщениями об ошибках (например, ошибками STOP на синем экране), то запишите их точное содержание и зайдите на сайт технической поддержки Microsoft (search.support.microsoft.com/search/?adv=1). На основе сообщения об ошибке необходимо сформулировать запрос для поисковой системы (для максимальной эффективности поиска попробуйте формулировать запрос несколькими разными способами). Найти решение в базе данных Microsoft — самый быстрый способ устранения сбоя. Если в базе Microsoft нет сведений о вашем сбое, то запустите специализированную утилиту поиска в Интернете, например, Copernic (www.copernic.com) или Search Plus (srchplus.chat.ru) и также попытайтесь найти в Сети и в технических конференциях UseNet материалы по схожим проблемам. Либо воспользуйтесь русскими и зарубежными поисковиками типа Yandex, Yahoo или Google.
Учтите только, что если в вашей системе включен режим автоматической перезагрузки при сбоях, то сообщение «синего экрана смерти» отображаться не будет. Поэтому в меню Control Panel — System — Startup and Recovery — Settings заранее снимите флаг Automatically restart.
Для получения максимальной информации о произошедшем сбое обратитесь также к системному журналу ошибок — Event Log (Computer Management — Event Viewer, «Управление компьютером» — «Просмотр событий»). Документация по большинству кодов событий Event ID присутствует на сайтах Microsoft Events and Errors Message Center (www.microsoft.com/technet/support/ee/ee_advanced.aspx) и www.eventid.net. Кое-что можно выжать из системного дебаггера Dr.Watson, которого можно вызвать из окна программы System Information.
Включите в Windows XP режим отправки сообщений об ошибках в Microsoft: Control Panel — Advanced — Error reporting — Enable Error Reporting (Панель управления — Дополнительно — ????). Вы будете смеяться, но отмечены случаи, когда после отправки разработчикам сведени й о произошедшем сбое, пользователю приходил ответ с конкретным решением проблемы.
Загляните на сайты, посвященные всенародной борьбе со сбоями Windows, например на techadvice.com, jsiinc.com, mdgx.com,www.aumha.org,labmice.techtarget.com — на них вы найдете ссылки на статьи, посвященные устранению многих распространенных сбоев.
Посетите популярные веб-конференции и конференции UseNet посвященные операционным системам, программному обеспечению и компьютерному оборудованию. Предельно подробно сформулировав описание сбоя своей системы (и не забыв указать ее версию!), указав точное содержание сообщения об ошибке и описав конфигурацию своей системы, попробуйте попросить помощи других пользователей — возможно, кто-то уже сталкивался с аналогичной проблемой и знает ее решение, либо может подсказать направление дальнейших поисков.

Проверка настроек

В Панели Управления проверьте все настройки системы и оборудования — установите все параметры в положение «По умолчанию». В частности, отмените ограничения размера файла подкачки, проверьте, достаточно ли места на диске, а в настройках переменных окружения временно укажите более короткий путь к папке TEMP (например, C:TEMP). Даже в настройках клавиатуры установите по умолчанию английский язык. Проконтролируйте также все установки в опциях используемых приложений.
Верните в исходное состояние настройки в реестре и в конфигурационных файлах user.ini, system.ini сделанные с помощью утилит-твикеров. Проверьте установки в файлах autoexec.nt, config.nt, _default.pif. Запустите поиск в реестре по слову «Policies» и удалите все параметры в найденных разделах (кроме отвечающих за политики электропитания разделов PowerCfg, а также раздела HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Internet Settings TemplatePolicies, содержащего шаблоны политик безопасности IE) — возможно, сбой — всего лишь следствие ограничения прав пользователя. Тщательно проверьте текущие настройки политик безопасности в Редакторе групповых политик Group Policy Editor (GPEDIT.MSC).
Верните в исходное — Default — состояние настройки в BIOS, поэкспериментируйте с разными опциями CMOS Setup, например, отключите режим DMA для дисков, измените тайминги памяти, отключите все интегрированные устройства, включите «дыру» в районе 15 мегабайта памяти. Отключите в CMOS Setup все, что касается управления питанием, в том числе ACPI. Либо наоборот — включите все эти опции, если они отключены. Аналогично поэкспериментируйте с параметром PnP OS Installed и USB Legacy Support. Обновите BIOS. И откажитесь от разгона: разгон — главный враг Windows XP!

Система и программы

Запустите утилиту msconfig.exe и отключите все программы из автозагрузки. Попробуйте также поэкспериментировать с режимом Selective Startup — возможно, некорректная запись затаилась в system.ini или win.ini, другом рудиментарном конфигурационном файле. С помощью msconfig удобно проверить и системные сервисы, например, сравнив список запущенных сервисов с другим ПК, на котором подобного сбоя не наблюдается. Хорошее описание назначения сервисов Windows XP, которое поможет узнать изначальный и рекомендованный статус их настройки в разных версиях Windows, вы найдете по адресу www.blackviper.com Попробуйте отключить ненужные сервисы, например, WEB Client, а также проверьте зависимости сервисов, используя оснастку «Сервисы».
Попытайтесь вспомнить, после каких действий появился сбой. Удалите несколько программ и драйверов, которые устанавливались последними — возможно какая-то из них вызывает сбой системы или конфликтует с другими программами и оборудованием, вызывая их сбои. Удалите все программы, которые были созданы более двух лет назад и с тех пор не обновлялись. Удалите антивирусы и другой тесно интегрирующийся с системой софт. Обязательно используйте специализированный деинсталлятор типа Ashampoo Uninstaller, причем и при установке и при удалении программ — только так можно полностью очистить систему от всех следов удаляемой программы или драйвера! Кроме того, анализ лога деинсталлятора позволяет узнать, какие файлы на диске и какие параметры в реестре изменялись при установке программы — нередко для устранения сбоя достаточно изменить неверно измененный параметр в реестре. При переустановке программ и драйверов попробуйте не только самую свежую версию (обратите внимание, что к некоторым программам регулярно выходят патчи-обновления), но и более старую — нередко она оказывается более стабильной. Попробуйте переустановить сбойное приложение в другую директорию, с более коротким именем.
Для устаревших программ попробуйте установить специальный режим совместимости. Для этого создайте ярлык к программе, войдите в его свойства и на вкладке «Совместимость» (Compatibility) в пункте «Запустить программу в режиме совместимости» (Run in emulation mode) выберите режим совместимости с другим типом Windows. Кроме того, используйте набор утилит Application Compatibility Toolkit (www.microsoft.com/windows/appcompatibility/default.mspx), предназначенный для значительного расширения возможностей и ручной настройки этого режима.
Попробуйте запустить сбойное приложение под учетной записью администратора. Если программа работает только под ней, то из-под учетной записи Администратора найдите в ветви реестра
HKEY_LOCAL_MACHINE SOFTWARE раздел с настройками нужной программы и щелкните на нем правой кнопкой мыши. Выберите в появившемся меню команду «Разрешения» («Permissions») и установите полный доступ на эту ветвь реестра для пользователя или группы пользователей, которым разрешается с ней работать. Найдите также в ветви HKEY_CURRENT_USER раздел, соответствующий сбойной программе и сделайте его экспорт в REG-файл. Войдите теперь в систему под именем обычного пользователя и импортируйте этот REG-файл обратно в реестр. Иногда избавиться от подобного сбоя можно, если удалить свою учетную запись (и весь профиль пользователя) и затем создать ее заново.
Попробуйте найти и исправить ошибки в реестре с помощью программы типа Norton WinDoctor. Найденные ошибки следует исправлять только в ручном режиме, анализируя каждую из них. Для этого надо попробовать выяснить, к какой программе или системной настройке относится ошибочная запись в реестре, просмотрев в RegEdit ту ветвь, о которой сигнализирует WinDoctor — по названиям файлов, параметров или по прописанным путям несложно установить приложение, породившее ошибку. Попробуйте использовать и другие диагностические утилиты, например, такие как DirectX Diagnostic Tool из состава Windows, она осуществит проверку файлов DirectX, драйверов, настроек некоторых устройств. Некоторые простые сбои устраняет программа Tweak UI, для этого в ней предусмотрена вкладка «Repair».
Некоторые проблемы Windows XP устраняются, если восстановить главную загрузочную запись жесткого диска (MBR) командой «fdisk /mbr» после запуска ПК с дискеты Windows 98 (это нужно для последующей перезаписи идентификатора диска), либо используя команды консоли восстановления «fixboot» и «fixmbr». Загрузите ПК с дискеты Windows 98/Me с поддержкой NTFS (для этого используйте программу NTFS for DOS Pro) или диска ERD Commander (www.winternals.com) и удалите файл PAGEFILE.SYS. ERD Commander, вообще говоря — прекрасная программа, являющаяся своего рода LiveCD для Windows XP. Она позволяет устранить множество проблем и получить доступ к настройкам ОС, даже если сама Windows не загружается в режиме защиты от сбоев. Проверьте наличие ошибок в boot.ini и текущие права доступа к файлам и папкам: группа пользователей «System» и «Administrators» должна иметь полные права доступа к корневой директории системного диска и к файлу виртуальной памяти PAGEFILE.SYS.
Проследите в момент появления сбоя за различными системными событиями, запросами и обращениями к реестру с помощью специальных программ мониторинга. Анализируя обращения к реестру можно, например, определить, какие параметры из реестра запрашиваются программой непосредственно в момент возникновения сбоя — возможно, какой-то из них отсутствует или имеет некорректное значение. А с помощью анализа обращений к файлам легко понять, в каких файлах находятся настройки сбойной программы, а какие необходимые ей файлы отсутствуют. В этом помогут утилиты от компании SysInternals (www.sysinternals.com): Registry Monitor — анализ обращений к реестру, File Monitor — мониторинг обращений к файлам, DllView — информация о библиотеках, используемых текущими процессами, OpenList — сведения обо всех открытых файлах, PortMon — обращения к портам, TCPView — информация о соединениях по протоколу TCP. Отображение информации о всех запущенных программах лучше всего удается программе TaskInfo (www.iarsn.com). Она же покажет, сколько ресурсов центрального процессора потребляет каждое приложение. А выяснить причину затора, возникающего при загрузке, можно с помощью известной диагностической утилиты BootVis (www.microsoft.com/whdc/hwdev/platform/performance/fastboot/BootVis.mspx,однако Microsoft ее более не распространяет, поэтому пользуйтесь поиском). Проверьте также систему комплексным диагностически-информационным пакетом SiSoft Sandra (www.sisoftware.co.uk/index.html?location=pinformation&langx=ru) или AIDA32 (www.aida32.hu/aida32.php).
Удалите лишние шрифты, отключите все счетчики производительности, удостоверьтесь, что на диске отсутствуют папки и файлы с очень длинными именами или расширениями (220 знаков и более), не используйте в работе с программами очень длинные параметры командной строки (220 знаков и более).

Оборудование

Обновите все драйверы всех устройств (или удалите и поставьте заново драйверы проблемного устройства, а также драйвер устройства, к которому оно подключено), в особенности — драйверы чипсета: Intel Chipset Software Installation Utility и Intel Application Accelerator (support.intel.com/support/chipsets/driver.htm) либо VIA-4-in-1 (http://www.viaarena.com/?PageID=66, плюс прочие драйверы и патчи от VIA, такие как VIA IRQ Routing Miniport Driver, VIA IDE Miniport driver и другие, в зависимости от конфигурации системы). Проверьте наличие специальных патчей и обновлений на сайтах производителей оборудования, а главное — материнской платы.
Проверьте исправность оборудования, правильность установки перемычек на нем, протестируйте его с помощью таких утилит, как Memory Test, CPU Stability Test и им подобных. Проверьте всё, вплоть до батарейки, напряжения блока питания и качества крепления материнской платы — никаких спонтанных замыканий или ненадежных контактов нигде не должно быть!
Временно замените все модули памяти — именно она является тем устройством, которое сбоит чаще всего. Если это невозможно, то попробуйте ограничить ее объем, например, первыми 64 мегабайтами. В Windows XP для этого удобно использовать утилиту MSCONFIG.EXE: параметр MAXMEM в файле boot.ini. Попробуйте более мощный блок питания, как ни странно, нехватка мощности очень часто является причиной сбоев Windows.
Проверьте температуру и работоспособность устройств охлаждения всех компонентов системы, даже чипсета (на радиатор чипсета можно даже установить специальный вентилятор). Заземлите ПК, установите сетевой фильтр или источник бесперебойного питания. Проверьте качество телефонного кабеля, сетевого кабеля, электрической разводки.
Удалите все дополнительные устройства из ПК (кроме жесткого диска и видеокарты, хотя, иногда помогает и замена видеокарты), даже внутренний динамик-пищалку, после чего в режиме защиты от сбоев, используя диалог «Свойства Системы» («System Properties») удалите их драйвера и посмотрите — не пропал ли сбой. Если пропал, то по очереди устанавливайте устройства обратно, каждый раз повторяя процедуру, обычно приводящую к появлению сообщения об ошибке — возможно, имеет место какой-то аппаратный конфликт и таким способом вы либо выявите его источник, либо система заново распределит ресурсы и сама его устранит.
Установите проблемное устройство в другой PCI-слот, в свойствах системы и утилите System Information (Program Files Common Files Microsoft Shared MSInfo msinfo32.exe) проверьте отсутствие конфликтов. Очень хороша для получения сведений о системе программа SiSoftware Sandra (www.sisoftware.co.uk/index.html?location=pinformation&langx=ru). Если ACPI отключен, попробуйте переназначить вручную конфликтующие прерывания (или еще и другие ресурсы, например, каналы DMA или диапазоны I/O). Попробуйте заменить проблемное устройство на точно такое же, либо на устройство другой марки — возможно, просто виноват бракованный экземпляр или смена производителя платы расширения устранит конфликт. Для дисков попробуйте другой шлейф, вместо 80-жильного шлейфа попробуйте 40-жильный и наоборот, проверьте правильность установки перемычек Master/Slave, переставьте диск на другой шлейф, установите для него в CMOS Setup либо режим автоопределения, либо задайте его параметры явным образом, либо установите для него «NONE». Не подключайте на один шлейф с проблемным диском другие устройства.
Загляните в свойства проблемного устройства — возможно, там имеются настройки, использование которых устранит сбой, например, для диска отключите или включите режим DMA. Если компьютер не загружается, то доступ к этим меню попытайтесь получить из Режима Защиты от Сбоев (Safe Mode).
В случае проблем с драйверами загрузите ПК в режиме защиты от сбоев, в Диспетчере Устройств удалите проблемное устройство (а также все несуществующие в реальности принтеры и устройства, даже джойстики) и после загрузки ОС в обычном режиме установите самый свежий драйвер. Впрочем, иногда более старый драйвер оказывается и более стабильным, попробуйте разные версии. Учтите, что устранению сбоя иногда способствует использование вместо перезагрузки полного выключения ПК и последующего его включения через несколько минут обесточенного простоя. Если сбой имеет какое-то отношение к сети, то в свойствах Сети удалите все сетевые компоненты и после перезагрузки поставьте все необходимое заново. Удалите все принтеры, если с ними есть проблемы, и тоже после перезагрузки переустановите их драйвера. Удалите все драйверы, не сертифицированные для Windows XP, проверить подписи системных файлов поможет утилита File Signature Verification, вызываемая из окна программы System Information. Если драйвер установился неудачно, то используйте либо загрузку последней удачной конфигурации (вызывается в загрузочном меню Windows), либо в свойствах системы сделайте откат к предыдущей версии драйвера.

Дело плохо

Переустановите Windows поверх предыдущей инсталляции, все файлы при этом восстановят свои исходные версии, однако при этом сохраняются основные установки в реестре, поэтому, если причина сбоя в неверных параметрах реестра, то такая переустановка, возможно, ничего не исправит. В ряде случаев можно непосредственно перед установкой из режима защиты от сбоев в диалоге «Свойства Системы» («System Properties») удалить все оборудование, чтобы Windows заново переустановила все драйвера. Попробуйте также разные диски с дистрибутивом ОС — возможно, исходный диск поврежден.
Полностью стерев папки Windows, Program Files, System Volume Information и Recycler (либо переразбив и отформатировав диск), установите Windows «по-голому». Возможно, более работоспособной окажется Windows 2000 или Windows 98. Иногда требуется отформатировать диск специальной утилитой от производителя винчестера для полного его обнуления. В ряде случаев, например, после некорректной работы программ типа Partition Magic, для устранения сбоя необходимо разбить диск заново с помощью стандартного Fdisk.

winerror.ru

Консоль “Просмотр событий” | Энциклопедия Windows

Событие — это любое значительное происшествие в работе системы. При возникновении многих внутренних системных событий во время работы Windows XP на экран выводятся сообщения об ошибках, вызванных различными причинами. В соответствующих журналах отображаются сведения о том, насколько то или иное событие опасно для системы в целом.

В Windows XP существуют различные типы файлов журналов, среди которых выделяются три стандартных.

Журнал приложений. Содержит события, зарегистрированные приложениями или программами. Журнал содержит ошибки и прочие события, определяемые разработчиком.

Журнал безопасности. Регистрирует события в работе системы безопасности. Журнал содержит такие события, как попытки входа в систему, использование системных ресурсов, создание, открытие и удаление файлов и прочие, определяемые системным администратором.

Журнал системы. Содержит записи, связанные с системными событиями, такими как запуск или выключение ПК, загрузка драйверов, ошибки и конфликты портов, оптических накопителей и аудиокарт. Регистрируемые события определяются Windows XP и не могут быть изменены пользователями и администратором.

Консоль Просмотр событий используется для выполнения таких задач.

Просмотр файлов журналов.
Сортировка, поиск и фильтрация событий.
Управление параметрами, влияющими на ведение записей в журнале.
Очистка журнала.
Архивирование журналов на диске для дальнейшего просмотра.

Работа с журналами

Для работы с журналами запустите консоль Просмотр событий из папки Администрирование (или раскройте меню Просмотр событий в консоли Управление компьютером).

Для изменения этого порядка на обратный выберите команду меню Вид>>От старых к новым. При необходимости выполните фильтрацию событий. В частности, на экран можно вывести события, произошедшие за определенный период, события, связанные с кодом или типом ошибок либо предупреждений. Для этого выберите команду меню Вид>>Фильтр. Укажите в диалоговом окне Свойства параметры поиска.

Для поиска в журнале того или иного события выберите команду меню Вид>>Найти и укажите в диалоговом окне Поиск-локальный параметры поиска. Для получения дополнительных сведений о каком-либо событии дважды щелкните на нем на правой панели окна консоли. Отобразится диалоговое окно Свойства: Событие, которое содержит сведения о выбранном событии.

Параметры журналов событий

В журналах регистрируется пять следующих видов событий.

Ошибка. Событие высшей категории, отображающее регистрацию серьезного события.
Предупреждение. Не самое серьезное событие, которое со временем может привести к ошибкам и переводу события в высшую категорию.
Уведомление. Несерьезное событие, которое свидетельствует об успешном завершении операции приложением, драйвером или службой.
Аудит успехов. Свидетельствует об успешном выполнении процедуры.
Аудит отказов. Свидетельствует о сбое при выполнении процедуры. Такие события нередко свидетельствуют о попытках доступа к ресурсам системы без соответствующих прав.

Каждый файл журнала представляет собой базу данных, состоящую из восьми столбцов, описанных далее.

Тип. Отображает один из пяти типов события.
Дата. Указывает дату регистрации события.
Время. Сообщает время регистрации события.
Источник. Указывает источник, который привел к регистрации события.
Категория. Отображает классификацию событий. Каждый из трех типов журналов имеет свою категорию.
Событие. Сообщает идентификационный номер события. Идентификатор присваивается событию на основе системы кодирования Microsoft. Каждому идентификатору соответствует определенный файл сообщения, причем это сообщение можно просмотреть в окне описания событий.
Пользователь. Содержит название учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию событий. Многие события связаны с определенными пользователями, и их имена указаны в этом поле. Информация особенно полезна для отслеживания событий в системе безопасности.
Компьютер. Указывает компьютер, на котором зарегистрировано событие. Значения в этом столбце отличаются в тех случаях, когда программа используется для обработки данных, экспортированных из различных журналов. Для экспорта журнала выберите название журнала и воспользуйтесь командой меню ДействиеðЭкспортировать список.

Существует ряд настроек, управляющих параметрами регистрации событий в журнале. Для просмотра или изменения параметров файла журнала щелкните правой кнопкой мыши на значке одного из журналов на левой панели окна консоли и выберите команду Свойства, после чего перейдите на вкладку Общие.

Когда объем журнала достигнет максимального значения, новые события не будут регистрироваться. Поэтому журнал можно периодически очищать с помощью команды меню Действие>>Стереть все события, но в этом обычно нет необходимости, поскольку на вкладке Общие по умолчанию выбрано удаление всех событий, старше 7 дней. Большинство базовых параметров, указанных на этой вкладке, вполне приемлемы для большинства случаев. При наличии особых условий можно изменить некоторые параметры и сохранить зарегистрированные события, выбрав переключатель По достижении максимального размера журнала в положение Не затирать события (очистка журнала вручную).

Консоль Просмотр событий может показаться безмерно скучной, но, если вникнуть в нее как следует, она принесет свои безусловные плоды. Например, вы сможете наповал поразить своими знаниями девушку на первом свидании, после чего она непременно захочет встретиться с вами снова

windata.ru

программа ошибки windows xp — Энциклопедия ошибок операционной системы Windows

Предварительный этап

Перед началом диагностики сделайте резервную копию реестра, конфигурационных файлов или всей системы, чтобы не получить в результате экспериментов еще большие проблемы. Обязательно запоминайте все свои дальнейшие действия, чтобы в случае неполадок их можно было легко отменить.
Удалите все временные файлы, очистите кэш браузера, Корзину, Журнал, очистите папку Program Files Internet Explorer Plugins с плагинами IE (для их восстановления сделайте резервные копии). Очистите папки, из которых производится автозапуск скриптов MS-Office (типа Documents and Settings ПОЛЬЗОВАТЕЛЬ Application Data Microsoft Excel Xlstart, Documents and Settings ПОЛЬЗОВАТЕЛЬ Application Data Microsoft Word Startup), удалите шаблон normal.dot, используемый MS-Office. Очистите папки Windows Downloaded Program Files, Documents and Settings ПОЛЬЗОВАТЕЛЬ NetHood, Documents and Settings ПОЛЬЗОВАТЕЛЬ PrintHood, Documents and Settings ПОЛЬЗОВАТЕЛЬ Recent. Удалите файлы autorun.inf со всех локальных дисков.
Проверьте систему несколькими свежими антивирусами и программой Ad-Aware (www.lavasoft.de), просканируйте жесткий диск утилитами типа ScanDisk, Norton DiskDoctor (с обязательным включением тестирования записи). Проверьте системные файлы с помощью утилиты System File Checker (команда SFC /SCANNOW) и восстановите поврежденные библиотеки из дистрибутива Windows или Service Pack.
Обновите систему: помимо последнего сервис-пака (если он уже установлен, переустановите) установите все свежие «заплатки» на сайте Windows Update (windowsupdate.microsoft.com, учтите только, что некоторые патчи сами могут быть источником проблем). Обновите (переустановите)Internet Explorer (www.microsoft.com/windows/ie/download/default.htm) и виртуальную машину JAVA от Microsoft (www.microsoft.com/java/vm/dl_vm40.htm). Обновите DirectX, используя для этого redist-дистрибутив (объем около 25—30 мегабайт, а в названии файла присутствует слово «REDIST»: DX90b_Redist.exe). Иногда оказывается полезным сначала удалить Internet Explorer или DirectX, а потом поставить его заново — для этого можно использовать утилиту XPLite (www.litepc.com).

Поиск готового решения

Тщательно изучите документацию к сбойной программе или плате расширения, быть может, в ней имеются какие-то специальные указания. Посетите также сайт разработчика сбойной программы или устройства — возможно, служба техподдержки производителя знает о проблеме и предлагает загрузить какой-нибудь патч.
Если сбой сопровождается сообщениями об ошибках (например, ошибками STOP на синем экране), то запишите их точное содержание и зайдите на сайт технической поддержки Microsoft (search.support.microsoft.com/search/?adv=1). На основе сообщения об ошибке необходимо сформулировать запрос для поисковой системы (для максимальной эффективности поиска попробуйте формулировать запрос несколькими разными способами). Найти решение в базе данных Microsoft — самый быстрый способ устранения сбоя. Если в базе Microsoft нет сведений о вашем сбое, то запустите специализированную утилиту поиска в Интернете, например, Copernic (www.copernic.com) или Search Plus (srchplus.chat.ru) и также попытайтесь найти в Сети и в технических конференциях UseNet материалы по схожим проблемам. Либо воспользуйтесь русскими и зарубежными поисковиками типа Yandex, Yahoo или Google.
Учтите только, что если в вашей системе включен режим автоматической перезагрузки при сбоях, то сообщение «синего экрана смерти» отображаться не будет. Поэтому в меню Control Panel — System — Startup and Recovery — Settings заранее снимите флаг Automatically restart.
Для получения максимальной информации о произошедшем сбое обратитесь также к системному журналу ошибок — Event Log (Computer Management — Event Viewer, «Управление компьютером» — «Просмотр событий»). Документация по большинству кодов событий Event ID присутствует на сайтах Microsoft Events and Errors Message Center (www.microsoft.com/technet/support/ee/ee_advanced.aspx) и www.eventid.net. Кое-что можно выжать из системного дебаггера Dr.Watson, которого можно вызвать из окна программы System Information.
Включите в Windows XP режим отправки сообщений об ошибках в Microsoft: Control Panel — Advanced — Error reporting — Enable Error Reporting (Панель управления — Дополнительно — ????). Вы будете смеяться, но отмечены случаи, когда после отправки разработчикам сведени й о произошедшем сбое, пользователю приходил ответ с конкретным решением проблемы.
Загляните на сайты, посвященные всенародной борьбе со сбоями Windows, например на techadvice.com, jsiinc.com, mdgx.com,www.aumha.org,labmice.techtarget.com — на них вы найдете ссылки на статьи, посвященные устранению многих распространенных сбоев.
Посетите популярные веб-конференции и конференции UseNet посвященные операционным системам, программному обеспечению и компьютерному оборудованию. Предельно подробно сформулировав описание сбоя своей системы (и не забыв указать ее версию!), указав точное содержание сообщения об ошибке и описав конфигурацию своей системы, попробуйте попросить помощи других пользователей — возможно, кто-то уже сталкивался с аналогичной проблемой и знает ее решение, либо может подсказать направление дальнейших поисков.

Проверка настроек

В Панели Управления проверьте все настройки системы и оборудования — установите все параметры в положение «По умолчанию». В частности, отмените ограничения размера файла подкачки, проверьте, достаточно ли места на диске, а в настройках переменных окружения временно укажите более короткий путь к папке TEMP (например, C:TEMP). Даже в настройках клавиатуры установите по умолчанию английский язык. Проконтролируйте также все установки в опциях используемых приложений.
Верните в исходное состояние настройки в реестре и в конфигурационных файлах user.ini, system.ini сделанные с помощью утилит-твикеров. Проверьте установки в файлах autoexec.nt, config.nt, _default.pif. Запустите поиск в реестре по слову «Policies» и удалите все параметры в найденных разделах (кроме отвечающих за политики электропитания разделов PowerCfg, а также раздела HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Internet Settings TemplatePolicies, содержащего шаблоны политик безопасности IE) — возможно, сбой — всего лишь следствие ограничения прав пользователя. Тщательно проверьте текущие настройки политик безопасности в Редакторе групповых политик Group Policy Editor (GPEDIT.MSC).
Верните в исходное — Default — состояние настройки в BIOS, поэкспериментируйте с разными опциями CMOS Setup, например, отключите режим DMA для дисков, измените тайминги памяти, отключите все интегрированные устройства, включите «дыру» в районе 15 мегабайта памяти. Отключите в CMOS Setup все, что касается управления питанием, в том числе ACPI. Либо наоборот — включите все эти опции, если они отключены. Аналогично поэкспериментируйте с параметром PnP OS Installed и USB Legacy Support. Обновите BIOS. И откажитесь от разгона: разгон — главный враг Windows XP!

Система и программы

Запустите утилиту msconfig.exe и отключите все программы из автозагрузки. Попробуйте также поэкспериментировать с режимом Selective Startup — возможно, некорректная запись затаилась в system.ini или win.ini, другом рудиментарном конфигурационном файле. С помощью msconfig удобно проверить и системные сервисы, например, сравнив список запущенных сервисов с другим ПК, на котором подобного сбоя не наблюдается. Хорошее описание назначения сервисов Windows XP, которое поможет узнать изначальный и рекомендованный статус их настройки в разных версиях Windows, вы найдете по адресу www.blackviper.com Попробуйте отключить ненужные сервисы, например, WEB Client, а также проверьте зависимости сервисов, используя оснастку «Сервисы».
Попытайтесь вспомнить, после каких действий появился сбой. Удалите несколько программ и драйверов, которые устанавливались последними — возможно какая-то из них вызывает сбой системы или конфликтует с другими программами и оборудованием, вызывая их сбои. Удалите все программы, которые были созданы более двух лет назад и с тех пор не обновлялись. Удалите антивирусы и другой тесно интегрирующийся с системой софт. Обязательно используйте специализированный деинсталлятор типа Ashampoo Uninstaller, причем и при установке и при удалении программ — только так можно полностью очистить систему от всех следов удаляемой программы или драйвера! Кроме того, анализ лога деинсталлятора позволяет узнать, какие файлы на диске и какие параметры в реестре изменялись при установке программы — нередко для устранения сбоя достаточно изменить неверно измененный параметр в реестре. При переустановке программ и драйверов попробуйте не только самую свежую версию (обратите внимание, что к некоторым программам регулярно выходят патчи-обновления), но и более старую — нередко она оказывается более стабильной. Попробуйте переустановить сбойное приложение в другую директорию, с более коротким именем.
Для устаревших программ попробуйте установить специальный режим совместимости. Для этого создайте ярлык к программе, войдите в его свойства и на вкладке «Совместимость» (Compatibility) в пункте «Запустить программу в режиме совместимости» (Run in emulation mode) выберите режим совместимости с другим типом Windows. Кроме того, используйте набор утилит Application Compatibility Toolkit (www.microsoft.com/windows/appcompatibility/default.mspx), предназначенный для значительного расширения возможностей и ручной настройки этого режима.
Попробуйте запустить сбойное приложение под учетной записью администратора. Если программа работает только под ней, то из-под учетной записи Администратора найдите в ветви реестра
HKEY_LOCAL_MACHINE SOFTWARE раздел с настройками нужной программы и щелкните на нем правой кнопкой мыши. Выберите в появившемся меню команду «Разрешения» («Permissions») и установите полный доступ на эту ветвь реестра для пользователя или группы пользователей, которым разрешается с ней работать. Найдите также в ветви HKEY_CURRENT_USER раздел, соответствующий сбойной программе и сделайте его экспорт в REG-файл. Войдите теперь в систему под именем обычного пользователя и импортируйте этот REG-файл обратно в реестр. Иногда избавиться от подобного сбоя можно, если удалить свою учетную запись (и весь профиль пользователя) и затем создать ее заново.
Попробуйте найти и исправить ошибки в реестре с помощью программы типа Norton WinDoctor. Найденные ошибки следует исправлять только в ручном режиме, анализируя каждую из них. Для этого надо попробовать выяснить, к какой программе или системной настройке относится ошибочная запись в реестре, просмотрев в RegEdit ту ветвь, о которой сигнализирует WinDoctor — по названиям файлов, параметров или по прописанным путям несложно установить приложение, породившее ошибку. Попробуйте использовать и другие диагностические утилиты, например, такие как DirectX Diagnostic Tool из состава Windows, она осуществит проверку файлов DirectX, драйверов, настроек некоторых устройств. Некоторые простые сбои устраняет программа Tweak UI, для этого в ней предусмотрена вкладка «Repair».
Некоторые проблемы Windows XP устраняются, если восстановить главную загрузочную запись жесткого диска (MBR) командой «fdisk /mbr» после запуска ПК с дискеты Windows 98 (это нужно для последующей перезаписи идентификатора диска), либо используя команды консоли восстановления «fixboot» и «fixmbr». Загрузите ПК с дискеты Windows 98/Me с поддержкой NTFS (для этого используйте программу NTFS for DOS Pro) или диска ERD Commander (www.winternals.com) и удалите файл PAGEFILE.SYS. ERD Commander, вообще говоря — прекрасная программа, являющаяся своего рода LiveCD для Windows XP. Она позволяет устранить множество проблем и получить доступ к настройкам ОС, даже если сама Windows не загружается в режиме защиты от сбоев. Проверьте наличие ошибок в boot.ini и текущие права доступа к файлам и папкам: группа пользователей «System» и «Administrators» должна иметь полные права доступа к корневой директории системного диска и к файлу виртуальной памяти PAGEFILE.SYS.
Проследите в момент появления сбоя за различными системными событиями, запросами и обращениями к реестру с помощью специальных программ мониторинга. Анализируя обращения к реестру можно, например, определить, какие параметры из реестра запрашиваются программой непосредственно в момент возникновения сбоя — возможно, какой-то из них отсутствует или имеет некорректное значение. А с помощью анализа обращений к файлам легко понять, в каких файлах находятся настройки сбойной программы, а какие необходимые ей файлы отсутствуют. В этом помогут утилиты от компании SysInternals (www.sysinternals.com): Registry Monitor — анализ обращений к реестру, File Monitor — мониторинг обращений к файлам, DllView — информация о библиотеках, используемых текущими процессами, OpenList — сведения обо всех открытых файлах, PortMon — обращения к портам, TCPView — информация о соединениях по протоколу TCP. Отображение информации о всех запущенных программах лучше всего удается программе TaskInfo (www.iarsn.com). Она же покажет, сколько ресурсов центрального процессора потребляет каждое приложение. А выяснить причину затора, возникающего при загрузке, можно с помощью известной диагностической утилиты BootVis (www.microsoft.com/whdc/hwdev/platform/performance/fastboot/BootVis.mspx,однако Microsoft ее более не распространяет, поэтому пользуйтесь поиском). Проверьте также систему комплексным диагностически-информационным пакетом SiSoft Sandra (www.sisoftware.co.uk/index.html?location=pinformation&langx=ru) или AIDA32 (www.aida32.hu/aida32.php).
Удалите лишние шрифты, отключите все счетчики производительности, удостоверьтесь, что на диске отсутствуют папки и файлы с очень длинными именами или расширениями (220 знаков и более), не используйте в работе с программами очень длинные параметры командной строки (220 знаков и более).

Оборудование

Обновите все драйверы всех устройств (или удалите и поставьте заново драйверы проблемного устройства, а также драйвер устройства, к которому оно подключено), в особенности — драйверы чипсета: Intel Chipset Software Installation Utility и Intel Application Accelerator (support.intel.com/support/chipsets/driver.htm) либо VIA-4-in-1 (http://www.viaarena.com/?PageID=66, плюс прочие драйверы и патчи от VIA, такие как VIA IRQ Routing Miniport Driver, VIA IDE Miniport driver и другие, в зависимости от конфигурации системы). Проверьте наличие специальных патчей и обновлений на сайтах производителей оборудования, а главное — материнской платы.
Проверьте исправность оборудования, правильность установки перемычек на нем, протестируйте его с помощью таких утилит, как Memory Test, CPU Stability Test и им подобных. Проверьте всё, вплоть до батарейки, напряжения блока питания и качества крепления материнской платы — никаких спонтанных замыканий или ненадежных контактов нигде не должно быть!
Временно замените все модули памяти — именно она является тем устройством, которое сбоит чаще всего. Если это невозможно, то попробуйте ограничить ее объем, например, первыми 64 мегабайтами. В Windows XP для этого удобно использовать утилиту MSCONFIG.EXE: параметр MAXMEM в файле boot.ini. Попробуйте более мощный блок питания, как ни странно, нехватка мощности очень часто является причиной сбоев Windows.
Проверьте температуру и работоспособность устройств охлаждения всех компонентов системы, даже чипсета (на радиатор чипсета можно даже установить специальный вентилятор). Заземлите ПК, установите сетевой фильтр или источник бесперебойного питания. Проверьте качество телефонного кабеля, сетевого кабеля, электрической разводки.
Удалите все дополнительные устройства из ПК (кроме жесткого диска и видеокарты, хотя, иногда помогает и замена видеокарты), даже внутренний динамик-пищалку, после чего в режиме защиты от сбоев, используя диалог «Свойства Системы» («System Properties») удалите их драйвера и посмотрите — не пропал ли сбой. Если пропал, то по очереди устанавливайте устройства обратно, каждый раз повторяя процедуру, обычно приводящую к появлению сообщения об ошибке — возможно, имеет место какой-то аппаратный конфликт и таким способом вы либо выявите его источник, либо система заново распределит ресурсы и сама его устранит.
Установите проблемное устройство в другой PCI-слот, в свойствах системы и утилите System Information (Program Files Common Files Microsoft Shared MSInfo msinfo32.exe) проверьте отсутствие конфликтов. Очень хороша для получения сведений о системе программа SiSoftware Sandra (www.sisoftware.co.uk/index.html?location=pinformation&langx=ru). Если ACPI отключен, попробуйте переназначить вручную конфликтующие прерывания (или еще и другие ресурсы, например, каналы DMA или диапазоны I/O). Попробуйте заменить проблемное устройство на точно такое же, либо на устройство другой марки — возможно, просто виноват бракованный экземпляр или смена производителя платы расширения устранит конфликт. Для дисков попробуйте другой шлейф, вместо 80-жильного шлейфа попробуйте 40-жильный и наоборот, проверьте правильность установки перемычек Master/Slave, переставьте диск на другой шлейф, установите для него в CMOS Setup либо режим автоопределения, либо задайте его параметры явным образом, либо установите для него «NONE». Не подключайте на один шлейф с проблемным диском другие устройства.
Загляните в свойства проблемного устройства — возможно, там имеются настройки, использование которых устранит сбой, например, для диска отключите или включите режим DMA. Если компьютер не загружается, то доступ к этим меню попытайтесь получить из Режима Защиты от Сбоев (Safe Mode).
В случае проблем с драйверами загрузите ПК в режиме защиты от сбоев, в Диспетчере Устройств удалите проблемное устройство (а также все несуществующие в реальности принтеры и устройства, даже джойстики) и после загрузки ОС в обычном режиме установите самый свежий драйвер. Впрочем, иногда более старый драйвер оказывается и более стабильным, попробуйте разные версии. Учтите, что устранению сбоя иногда способствует использование вместо перезагрузки полного выключения ПК и последующего его включения через несколько минут обесточенного простоя. Если сбой имеет какое-то отношение к сети, то в свойствах Сети удалите все сетевые компоненты и после перезагрузки поставьте все необходимое заново. Удалите все принтеры, если с ними есть проблемы, и тоже после перезагрузки переустановите их драйвера. Удалите все драйверы, не сертифицированные для Windows XP, проверить подписи системных файлов поможет утилита File Signature Verification, вызываемая из окна программы System Information. Если драйвер установился неудачно, то используйте либо загрузку последней удачной конфигурации (вызывается в загрузочном меню Windows), либо в свойствах системы сделайте откат к предыдущей версии драйвера.

Дело плохо

Переустановите Windows поверх предыдущей инсталляции, все файлы при этом восстановят свои исходные версии, однако при этом сохраняются основные установки в реестре, поэтому, если причина сбоя в неверных параметрах реестра, то такая переустановка, возможно, ничего не исправит. В ряде случаев можно непосредственно перед установкой из режима защиты от сбоев в диалоге «Свойства Системы» («System Properties») удалить все оборудование, чтобы Windows заново переустановила все драйвера. Попробуйте также разные диски с дистрибутивом ОС — возможно, исходный диск поврежден.
Полностью стерев папки Windows, Program Files, System Volume Information и Recycler (либо переразбив и отформатировав диск), установите Windows «по-голому». Возможно, более работоспособной окажется Windows 2000 или Windows 98. Иногда требуется отформатировать диск специальной утилитой от производителя винчестера для полного его обнуления. В ряде случаев, например, после некорректной работы программ типа Partition Magic, для устранения сбоя необходимо разбить диск заново с помощью стандартного Fdisk.

winerror.ru

как посмотреть системные ошибки windows 7

Здравствуйте Друзья! В этой статье рассмотрим журнал событий Windows 7. Операционная система записывает практически всё, что с ней происходит в этот журнал. Просматривать его удобно с помощью приложения Просмотр событий, которое устанавливается вместе с Windows 7. Сказать что записываемых событий много — ничего не сказать. Их тьма. Но, запутаться в них сложно так как все отсортировано по категориям.

Структура статьи

Запуск и обзор утилиты Просмотр событий
Свойства событий
Журналы событий
Работа с журналами событий Windows 7

Заключение

1. Запуск и обзор утилиты Просмотр событий

Чтобы операционная система успешно заполняла журналы событий необходима чтобы работала служба Журнал событий Windows за это отвечающая. Проверим запущена ли эта служба. В поле поиска главного меню Пуск ищем Службы

Находим службу Журнал событий Windows и проверяем Состояние — Работает и Тип запуска — Автоматически

Если у вас эта служба не запущена — дважды кликаете на ней левой мышкой и в свойствах в разделе Тип запуска выбираете Автоматически. Затем нажимаете Запустить и ОК

Служба запущена и журналы событий начнут заполняться.

Запускаем утилиту Просмотр событий воспользовавшись поиском из меняю Пуск

Утилита по умолчанию имеет следующий вид

Многое здесь можно настроить под себя. Например с помощью кнопок под областью меню можно скрыть или отобразить Дерево консоли слева и панель Действия справа

Область по центру внизу называется Областью просмотра. В ней показываются сведения о выбранном событии. Ее можно убрать сняв соответствующую галочку в меню Вид или нажав на крестик в правом верхнем углу области просмотра

Главное поле находится по центру вверху и представляет из себя таблицу с событиями журнала который вы выбрали в Дереве консоли. По умолчанию отображаются не все столбцы. Можно добавить и поменять их порядок отображения. Для этого по шапке любого столбца жмем правой мышкой и выбираем Добавить или удалить столбцы…

В открывшемся окошке в колонку Отображаемые столбцы добавляете необходимые столбики из левого поля

Для изменения порядка отображения столбцов в правом поле выделяем нужный столбец и с помощью кнопок Вверх и Вниз меняем месторасположение.

2. Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

3. Журналы событий

В операционной системе Windows 7 журналы делятся на две категории:

Журналы Windows
Журналы приложений и служб

В журналы Windows попадает информация связанная только с операционной системой. В журналы приложений и служб соответственно о всех службах и отдельно-установленных приложениях.

Все журналы располагаются по адресу

%SystemRoot%System32WinevtLogs = C:WindowsSystem32winevtLogs

Рассмотрим основные из них

Приложение — записываются события о утилитах которые устанавливаются с операционной системой

Безопасность — записываются события о входе и выходе из Windows и фиксирование доступа к ресурсам. То есть, если пользователь не туда полез это скорее всего запишется в событии

Установка — записываются события о установке и удалении компонентов Windows. У меня этот журнал пуст наверное потому что не изменял никаких компонентов системы

Система — записываются системные события. Например сетевые оповещения или сообщения обновления антивируса Microsoft Antimalware

Перенаправленные события — записываются события перенаправленные с других компьютеров. То есть на одном компьютере администратора сети можно отслеживать события о других компьютерах в сети если сделать перенаправление

ACEEventLog — эта служба появилась сегодня после обновления драйверов от AMD. До этого момента ее не было. Если у вас компьютер на базе процессора AMD или укомплектован видеокартой AMD, то скорее всего у вас она также будет

Internet Explorer — записываются все события связанные со встроенным браузером в Windows

Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.

Media Center, Windows PowerShell и События оборудования — эти три журнала у меня пусты. Соответственно если в системе возникают какие-либо события относящиеся к этим компонентам они будут записаны. Журнал События оборудования необходимо как-то включить (кто знает просьба поделиться в комментариях).

У журналов так же есть свои Свойства. Чтобы их посмотреть жмем правой кнопкой мышки на журнале и в контекстном меню выбираем Свойства

В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт

Так же установлена галочку Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.

В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, чтобы можно было в случае нештатной ситуации отследить когда началась неисправность.

4. Работа с журналами событий Windows 7

Работа заключается в сортировке, группировке, очистке журналов и создании настраиваемых представлений для удобства нахождения тех или иных событий.

Сортировка событий

Выбираем любой журнал. Например Приложение и в таблице по центру кликаем по шапке любого столбца левой кнопкой мышки. Произойдет сортировка событий по этому столбцу

Если вы еще раз нажмете то получите сортировку в обратном направлении. Принципы сортировки такие же как и для проводника Windows. Ограничения в невозможности выполнить сортировку более чем по одному столбцу.

Группировка событий

Для группировки событий по определенному столбцу кликаем по его шапке правой кнопкой мышки и выбираем Группировать события по этому столбцу. В примере события сгруппированы по столбцу Уровень

В этом случае удобна работать с определенной группой событий. Например с Ошибками. После группировки событий у вас появится возможность сворачивать и разворачивать группы. Это можно делать и в самой таблице событий дважды щелкнув по названию группы. Например по Уровень: Предупреждение (74).

Для удаления группировки необходимо снова кликнуть по шапке столбца правой кнопкой мышки и выбрать Удалить группировку событий.

Очистка журнала

Если вы исправили ошибки в системе приводившие к записи событий в журнале, то вероятно вы захотите очистить журнал, чтобы старые записи не мешали диагностировать новые состояния компьютера. Для этого нажимаем правой кнопкой на журнале который нужно очистить и выбираем Очистить журнал…

В открывшемся окошке мы можем просто очистить журнал и можем Сохранить его в файл перед очищением

Сохранить и очистить предпочтительно, так как удалить всегда успеем.

Настраиваемые представления

Настроенные сортировки и группировки пропадают при закрытии окошка Просмотр событий. Если вам приходится часто работать с событиями то можно создать настраиваемые представления. Это определенные фильтры которые сохраняются в соответствующем разделе дерева консоли и никуда не пропадают при закрытии Просмотра событий.

Для создания настраиваемого представления нажимаем на любом журнале правой кнопкой мышки и выбираем Создать настраиваемое представление…

В открывшемся окошке в разделе Дата выбираем из выпадающего списка диапазон времени за который нам нужно выбирать события

В разделе Уровень события ставим галочки для выбора важности событий.

Мы можем сделать выборку по определенному журналу или журналам или по источнику. Переключаем радиобокс в нужное положение и из выпадающего списка устанавливаем необходимые галочки

Можно выбрать определенные коды событий чтобы они показывались или не показывалась в созданном вами представлении.

Когда все параметры представления выбрали жмем ОК

В появившемся окошке задаем имя и описание настраиваемого представления и жмем ОК

Для примера создал настраиваемое представление для Ошибок и критических событий из журналов Приложение и Безопасность

Это представление в последствии можно редактировать и оно никуда не пропадет при закрытии утилиты Просмотр событий. Для редактирования нажимаем на представлении правой кнопкой мышки и выбираем Фильтр текущего настраиваемого представления…

В открывшемся окошке делаем дополнительные настройки в представлении.

Можно провести аналогию Настраиваемого представления с сохраненными условиями поиска в проводнике Windows 7.

Заключение

В этой статье мы рассмотрели журнал событий Windows 7. Рассказали про практически все основные операции с ним для удобства нахождения событий об ошибках и критических событий. И тут возникает закономерный вопрос — «А как же исправлять эти ошибки в системе». Здесь все сильно сложнее. В сети информации мало и поэтому возможно придется затратить уйму времени на поиск информации. Поэтому, если работа компьютера в целом вас устраивает, то можно этим не заниматься. Если же вы хотите попробовать поправить смотрите видео ниже.

Так же с помощью журнала событий можно провести диагностику медленной загрузки Windows 7.

Буду рад любым комментариям и предложениям.

Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!

С уважением, Антон Дьяченко

winerror.ru

Смотрите также

Как посмотреть логи Windows?

Логи — это системные события, который происходят в любой операционной системе. С помощью логов можно легко отследить кто, что и когда делал. Читать логи могут не только системные администраторы, поэтому в данной инструкции рассмотрим, как смотреть логи ОС windows.

Ищете сервер с Windows? Выбирайте наши Windows VDS

Просмотр событий для проверки логов.

После нажатия комбинации “ Win+R и введите eventvwr.msc ” в любой системе Виндовс вы попадаете в просмотр событий. У вас откроется окно, где нужно развернуть Журналы Windows. В данном окне можно просмотреть все программы, которые открывались на ОС и, если была допущена ошибка, она также отобразится.

Аудит журнал поможет понять, что и кто и когда делал. Также отображается информация по запросам получения доступов.

В пункте Установка можно посмотреть логи ОС Виндовс, например, программы и обновления системы.

Система — наиболее важный журнал. С его помощью можно определить большинство ошибок ОС. К примеру, у вас появлялся синий экран. В данном журнале можно определить причину его появления.

Логи windows — для более специфических служб. Это могут быть DHCP или DNS.

Фильтрация событий.

С помощью Фильтра текущего журнала (раздел Действия) можно отфильтровать информацию, которую вы хотите просмотреть.

Обязательно нужно указать уровень Событий:

Критическое
Ошибка
Предупреждение
Сведения
Подробности

Для сужения поиска можно отфильтровать источник событий и код.

Просмотр PowerShell логов.

Открываем PowerShell и вставляем следующую команду Get-EventLog -Logname ‘System’

В результате вы получите логи Системы

Для журнала Приложения используйте эту команду Get-EventLog -Logname ‘Application

Также обязательно ознакомьтесь с перечнем аббревиатур:

Код события — EventID
Компьютер — MachineName
Порядковый номер события — Data, Index
Категория задач — Category
Код категории — CategoryNumber
Уровень — EntryType
Сообщение события — Message
Источник — Source
Дата генерации события — ReplacementString, InstanceID, TimeGenerated
Дата записи события — TimeWritten
Пользователь — UserName
Сайт — Site
Подразделение — Conteiner

Для выведения событий в командной оболочке только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система» используйте:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужна подробная информация, замените Format-Table на Format-List на

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Формат информации станет более легким

Для фильтрации журнала, например, для фильтрации последних 20 сообщений, используйте команду

Get-EventLog –Logname ‘System’ –Newest 20

Если нужен список, позднее даты 1 января 2018 года, команда

Get-EventLog –LogName ‘System’ –After ‘1 января 2018’

Надеемся, данная статья поможет вам быстро и просто читать логи ОС Windows.

Желаем приятной работы!

Как установить свой образ на ВДС сервер с Виндовс, читайте в предыдущей статье.

Источник

Вертим логи как хотим ― анализ журналов в системах Windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

Журналы и командная строка

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

Смотрим за ходом обновления Windows.

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Смотрим, кто пытается пролезть на наш дедик.

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Журналы системы ведутся в формате .evtx, и для работы с ними существуют отдельные командлеты. Для работы с классическими журналами («Приложение», «Система», и т.д.) используется Get-Eventlog. Этот командлет удобен, но не позволяет работать с остальными журналами приложений и служб. Для работы с любыми журналами, включая классические, существует более универсальный вариант ― Get-WinEvent. Остановимся на нем подробнее.

Для получения списка доступных системных журналов можно выполнить следующую команду:

Вывод доступных журналов и информации о них.

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Последние записи в журнале System.

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

0 ― всегда записывать;
1 ― критический;
2 ― ошибка;
3 ― предупреждение;
4 ― информация;
5 ― подробный (Verbose).

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

Ошибки и предупреждения журнала System.

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Работаем с журналами посредством запросов SQL

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

Посмотрим на результат:

Смотрим журнал Windows Firewall.

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManagerOperational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%System32WinevtLogsMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%test.evtx.

Данные будем получать таким запросом:

Смотрим, кто и когда подключался к нашему серверу терминалов.

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.

Выполняем запрос и открываем получившуюся картинку…

Любуемся результатом.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.

Интерфейс Log Parser Studio.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:

Выборка наиболее активных ящиков.

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Источник

Журнал событий windows 8, 7, ХР или любой другой версии ОС является оснасткой консоли управления

Содержание

Открытие файла
Использование информации файла

Быстрый запуск его осуществляется путем добавления оснастки на консоль. Он представляет собой историю уведомлений, отчетов об ошибках, предупреждений, генерируемых различными программами. Эти данные можно использовать для оптимизации работы ОС.

Открытие файла

Пройдите по пути Пускà Панель управления à Система и обслуживание à Администрирование;
В открывшемся окне найдите Просмотр событий;
Сделайте двойной клик;

Откроется необходимое окно просмотра событий

Запуск журнала событий с помощью командной строки

Есть способ найти журнал посещений на компьютере вручную. Это файл формата .msc с именем Eventvwr. Его можно найти в поисковике ОС или в папке Sustem32. Папка расположена на локальном диске С, в директории Windows/ProgramFiles/%SYSTEMROOT%. Открывается файл двойным щелчком с помощью стандартных средств Windows.

Использование информации файла

Имя – подраздел данных, в который сохранилась информация;
Источник – программа, ставшая катализатором неполадки;
Код – цифровой шифр, позволяющий найти в Интернете информацию по ошибке;
Пользователь и компьютер – показывают, кем была запущена задача – каким устройством и от имени какого пользователя. Особенно актуально на серверах.

ПОСМОТРЕТЬ ВИДЕО

Нажмите правой клавишей и в контекстном меню выбирайте Очистить журнал

Источник

В Windows XP существуют различные типы файлов журналов, среди которых выделяются три стандартных.

Журнал приложений. Содержит события, зарегистрированные приложениями или программами. Журнал содержит ошибки и прочие события, определяемые разработчиком.

Журнал безопасности. Регистрирует события в работе системы безопасности. Журнал содержит такие события, как попытки входа в систему, использование системных ресурсов, создание, открытие и удаление файлов и прочие, определяемые системным администратором.

Журнал системы. Содержит записи, связанные с системными событиями, такими как запуск или выключение ПК, загрузка драйверов, ошибки и конфликты портов, оптических накопителей и аудиокарт. Регистрируемые события определяются Windows XP и не могут быть изменены пользователями и администратором.

Консоль Просмотр событий используется для выполнения таких задач.

Просмотр файлов журналов.
Сортировка, поиск и фильтрация событий.
Управление параметрами, влияющими на ведение записей в журнале.
Очистка журнала.
Архивирование журналов на диске для дальнейшего просмотра.

Работа с журналами

Параметры журналов событий

В журналах регистрируется пять следующих видов событий.

Ошибка. Событие высшей категории, отображающее регистрацию серьезного события.
Предупреждение. Не самое серьезное событие, которое со временем может привести к ошибкам и переводу события в высшую категорию.
Уведомление. Несерьезное событие, которое свидетельствует об успешном завершении операции приложением, драйвером или службой.
Аудит успехов. Свидетельствует об успешном выполнении процедуры.
Аудит отказов. Свидетельствует о сбое при выполнении процедуры. Такие события нередко свидетельствуют о попытках доступа к ресурсам системы без соответствующих прав.

Каждый файл журнала представляет собой базу данных, состоящую из восьми столбцов, описанных далее.

Тип. Отображает один из пяти типов события.
Дата. Указывает дату регистрации события.
Время. Сообщает время регистрации события.
Источник. Указывает источник, который привел к регистрации события.
Категория. Отображает классификацию событий. Каждый из трех типов журналов имеет свою категорию.
Событие. Сообщает идентификационный номер события. Идентификатор присваивается событию на основе системы кодирования Microsoft. Каждому идентификатору соответствует определенный файл сообщения, причем это сообщение можно просмотреть в окне описания событий.
Пользователь. Содержит название учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию событий. Многие события связаны с определенными пользователями, и их имена указаны в этом поле. Информация особенно полезна для отслеживания событий в системе безопасности.
Компьютер. Указывает компьютер, на котором зарегистрировано событие. Значения в этом столбце отличаются в тех случаях, когда программа используется для обработки данных, экспортированных из различных журналов. Для экспорта журнала выберите название журнала и воспользуйтесь командой меню ДействиеðЭкспортировать список.

Источник

Доброго дня!

Итак…

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

eventvwr — команда для вызова журнала событий
после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

Просмотр событий

Вариант 2

сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

Система и безопасность
далее необходимо перейти в раздел «Администрирование»;

Администрирование
после кликнуть мышкой по ярлыку «Просмотр событий».

Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

Windows 10 — события

Win+X — вызов меню

❷

Журналы Windows

Журналы Windows

«Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
«Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
«Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

Представлены все ошибки по дате и времени их возникновения / Кликабельно

❹

Можно ли отключить журналы событий

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

Открываем службы — services.msc (универсальный способ)
далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий
после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

Отключена — остановить

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

donate

dzen-ya

Полезный софт:

Видео-Монтаж

Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
Видео сделает даже новичок!

Ускоритель компьютера

Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

Источник

Как посмотреть последние действия на компьютере

Работа с журналом событий (для начинающих)

Открытие файла

Использование информации файла

Журнал событий

Как открыть в просмотр событий

Фильтрация в просмотре событий

Посмотреть логи windows PowerShell

Дополнительные продукты

Удаленный просмотр логов

Работа с журналами

Параметры журналов событий

Как открыть журнал

Как использовать содержимое журнала

Очистка, удаление и отключение журнала

Открытие инструмента «Просмотр событий»

Способ 1: «Панель управления»

Способ 2: Средство «Выполнить»

Способ 3: Поле поиска меню «Пуск»

Способ 4: «Командная строка»

Способ 5: Прямой старт файла eventvwr.exe

Способ 6: Введение пути к файлу в адресной строке

Способ 7: Создание ярлыка

Проблемы с открытием журнала

Window 7 — программы

Что представляет собой описываемое приложение?

Другие подпункты основного меню

Характеристики происшествий

Как работать с журналом событий?

Ответные действия пользователя на события

Ошибка в журнале не является поводом для паники

Вывод

Работа с журналом событий (для начинающих)

Журнал событий Windows 10 — что это такое и для чего нужен

Как открыть журнал, посмотреть ошибки и где он находится

Как проверить систему на целостность и ошибки

При помощи консоли

Через панель управления

Как посмотреть свои логи вов?

Как открыть журнал и посмотреть ошибки

Как открыть журнал установки?

Как посмотреть логи обновления Windows 10?

Включение логирования

Запуск «Просмотра событий»

Анализ журнала ошибок

Где хранятся системные логи Windows?

Где находится файл журнала событий?

Как просмотреть журнал ошибок виндовс 10?

Как посмотреть системный журнал?

Где находится журнал событий в Windows 7?

Где хранятся логи в Windows?

Для чего нужен журнал событий?

Где находится журнал событий и как его открыть

Что делать, если журнал событий не открывается

Структура просмотрщика журнала событий

Как искать в журналах событий интересующие сведения

Как пользоваться функцией фильтрации

Как создавать настраиваемые представления

Источники, уровни и коды событий. Как понять, что означает конкретный код

Get System Info – альтернатива стандартному просмотрщику Windows

Как открыть журнал ошибок?

Как проверить компьютер на наличие ошибок Windows 10?

Как открыть журнал безопасности?

Как открыть системный журнал?

Как посмотреть на виндовс 7 Журнал системных ошибок?

Как посмотреть журнал событий Windows?

Где хранятся отчеты об ошибках Windows 10?

Где хранятся Event Log?

Где хранятся системные логи Windows?

Как найти в компьютере журнал событий?

Как узнать есть ли ошибки в реестре?

Как проверить компьютер на наличие системных ошибок?

Как проверить операционную систему на наличие ошибок?

Просмотр событий в Windows 11 и 10

Общие обсуждения

Все ответы

устранение ошибок windows xp — Энциклопедия ошибок операционной системы Windows

Консоль “Просмотр событий” | Энциклопедия Windows

Работа с журналами

Параметры журналов событий