Как найти журнал событий в windows 10: как просмотреть журналы событий Windows?

Содержание

Журнал работы компьютера windows 10. Где находиться журнал событий windows

Как посмотреть последние действия на компьютере Компьютер – весьма совершенная техника, учитывающая в своей работе массу нюансов. В том числе и такие ситуации, когда очень нужно узнать, как посмотреть историю действий на компьютере. Это бывает нужно в тех случаях, когда вы закрыли нужную вкладку в браузере, или не точно запомнили рабочую процедуру. Или подозреваете, что кроме вас, вашей машиной пользуется кто-то еще. Проще всего это выяснить, узнав, что смотрели на этом компьютере. Журнал просмотров на компьютере Каждая из операционных систем обязательно регистрирует все действия, которые предпринимались пользователем, создавая журналы событий. Чтобы получить нужную информацию или, наоборот, скрыть следы своего пребывания за ПК, нужно знать, где искать такие журналы. Всего их может быть три вида: просмотр последних действий журнал приложений. С его помощью пользователь может узнать, какие приложения были установлены на ПК в последнее время; журнал безопасности.

В нем есть данные о том, каким изменениям подвергалась операционная система; журнал событий. Сюда собираются все сообщения о тех проблемах, с которыми сталкивалась операционная система при загрузке. Чтобы получить максимально точный и полный результат, который являют собой последние просмотры с этого компьютера, разумеется, нужно внимательно изучить все три журнала, однако если вы точно знаете, что искать, то можете ограничиться конкретным одним. Кроме того, есть еще история браузера – список ссылок, которые посещались пользователем, и загрузок. О нем тоже не стоит забывать. просмотр событий Где найти последний запрос с этого компьютера? Три указанных выше журнала найти очень просто. В стандартном меню «Пуск» выбираем вкладку «Панель управления», а затем – «Производительность и обслуживание». Из списка кнопок выбираем «Администрирование» далее «Управление компьютером» далее «Окно просмотра событий». В открывшемся поле нужно выбрать тот журнал, который вам нужен, или переключаться между ними, чтобы изучить все сведения.
В меню «Вид» верхней панели инструментов будет пункт «Найти», который существенно облегчит поиск нужного события или действия. В эту строку нужно ввести характеристики события, чтобы инициировать поиск. Для большего удобства предусмотрен пункт «Фильтр», который позволит максимально уточнить параметры, отсекая всю ненужную или несущественную информацию. Если же вам нужно скрыть следы своего пребывания за машиной, то нужно в соответствующем меню выбрать пункт «Очистить журнал». После нажатия этой кнопки вся информация будет безвозвратно удалена. Вы также сможете скопировать и пересохранить журналы действий в другое место, используя стандартную компьютерную команду «Сохранить файл журнала как». ПК предложит вам на выбор различные форматы: файл журнала, тестовый файл или текстовый файл с запятой в качестве разделителя. Определившись с местом и типом формата, нажмите «Сохранить». Не составит большого труда посмотреть, какие последние сайты с этого компьютера посещались пользователем. Интуитивно понятное меню и вкладка «История» облегчат поиск нужной информации.
Для того чтобы ее удалить, нужно выбрать пункт «Очистить журнал» или «Удалить историю» в соответствующем меню.

Используя журнал событий windows 7 или XP, можно решить большинство проблем компьютера.

В нем не только регистрируется все происходящее, но и указываются причины, почему возникают неполадки.

Единственное что плохо – иногда они предоставлены в кодах и расшифровку приходиться искать по всей сети.

Инстркция: где находится журнал windows

Поскольку как просмотреть журнал событий знают не все, в этой статье опишу именно это. Вначале нажимаем « », потом « ». В ней находим одно слово «администрирование» и кликнем на него.


Что в нем вас должно интересовать. С левой стороны находиться расширенное меню. В нем напротив строки «журналы виндовс», нажмите на маленький треугольничек и выберите система.


Теперь можете ознакомиться со всеми ошибками вашего компьютера. Их найти легко. Они в верхнем окне, обозначены красными точками (кругами), менее важные — желтыми — это предупреждения.

В нижнем окне указываются причины возникновения неполадок. Обычно новичкам самостоятельно в них разобраться невозможно.


Поэтому из того что там указано, сформулируйте логически правильный вопрос и ищите ответ в поисковике.

Теперь зная где журнал событий windows – многие недостатки (ошибки, неисправности), при правильном подходе сможете решить сами, в крайнем случае, обратитесь в сервис, указав специалистам что написано в нижнем окне.

В операционной системе Windows седьмой версии реализована функция отслеживания важных событий, которые происходят в работе системных программ. В «Майкрософт» под понятием «события» подразумеваются любые происшествия в системе, которые фиксируются в специальном журнале и сигнализируют о себе пользователям или администраторам. Это может быть служебная программа, не желающая запускаться, сбой в работе приложений или некорректная установка устройств. Все происшествия регистрирует и сохраняет журнал событий Windows 7. Он также располагает и показывает все действия в хронологическом порядке, помогает производить системный контроль, обеспечивает безопасность операционки, исправляет ошибки и диагностирует всю систему.

Следует периодически просматривать этот журнал на предмет появления поступающей информации и производить настройку системы для сохранения важных данных.

Window 7 — программы

Компьютерное приложение «Просмотр событий» является основной частью служебных утилит «Майкрасофт», которые предназначены для контроля и просмотра журнала событий. Это необходимый инструмент для мониторинга работоспособности системы и ликвидации появляющихся ошибок. Служебная программа «Виндовс», управляющая документированием происшествий, называется «Журналом событий». Если эта служба запущена, то она начинает собирать и протоколировать все важные данные в своем архиве. Журнал событий Windows 7 разрешает совершать следующие действия:

Просмотр данных, записанных в архив;

Использование различных фильтров событий и их сохранение для дальнейшего применения в настройках системы;

Создание подписки по определенным происшествиям и управление ими;

Назначать определенные действия при возникновении каких-либо событий.


Как открыть журнал событий Windows 7?

Программа, отвечающая за регистрацию происшествий, запускается следующим образом:

1. Активируется меню нажатием кнопки «Пуск» в левом нижнем углу монитора, затем открывается «Панель управления». В списке элементов управления выбираем «Администрирование» и уже в этом подменю нажимаем на «Просмотр событий».

2. Есть другой способ, как посмотреть журнал событий Windows 7. Для этого следует перейти в меню «Пуск», в поисковом окошке набрать mmc и отправить запрос на поиск файла. Далее откроется таблица MMC, где нужно выбрать параграф, обозначающий добавление и удаление оснастки. Затем производится добавка «Просмотра событий» на главное окно.


Что представляет собой описываемое приложение?

В операционных системах Widows 7 и Vista установлены два вида журналов событий: системные архивы и служебный журнал приложений. Первый вариант используется для фиксации общесистемных происшествий, которые связаны с производительностью различных приложений, запуском и безопасностью. Второй вариант отвечает за запись событий их работы. Для контроля и управления всеми данными служба «Журнал событий» использует вкладку «Просмотра», которая подразделяется на следующие пункты:

Приложение – здесь хранятся события, которые связаны с какой-то определенной программой. Например, почтовые службы хранят в этом месте историю пересылки информации, различные события в почтовых ящиках и так далее.

Пункт «Безопасность» сохраняет все данные, относящиеся к входам в систему и выходу из нее, использованию административных возможностей и обращению к ресурсам.

Установка – в этот журнал событий Windows 7 заносятся данные, которые возникают при установке и настройке системы и ее приложений.

Система – фиксирует все события операционки, такие как сбой при запуске служебных приложений или при установке и обновлении драйверов устройств, разнообразные сообщения, касающиеся работы всей системы.

Пересылаемые события – если этот пункт настроен, то в нем хранится информация, которая приходит с других серверов.


Другие подпункты основного меню

Также в меню «Администрирование», где журнал событий в Windows 7 и находится, есть такие дополнительные пункты:

Internet Explorer – здесь регистрируются события, которые возникают при работе и настройке одноименного браузера.

Windows PowerShell – в этой папке фиксируются происшествия, имеющие связь с применением оболочки PowerShell.

События оборудования – если этот пункт настроен, то в журнал заносятся данные, которые генерируют устройства.

Вся структура «семерки», которая обеспечивает запись всех событий, основана по типу «Висты» на XML. Но для использования в Window 7 программы журнала событий нет необходимости знать, как применять этот код. Приложение «Просмотр событий» все сделает само, предоставив удобную и простую таблицу с пунктами меню.


Характеристики происшествий

Пользователь, желающий узнать, как посмотреть журнал событий Windows 7, должен также разбираться и в характеристиках тех данных, которые он хочет просмотреть. Ведь существуют различные свойства тех или иных происшествий, описанных в «Просмотре событий». Эти характеристики мы рассмотрим ниже:

Источники – программа, фиксирующая события в журнале. Здесь записываются имена приложений или драйверов, повлиявших на то или иное происшествие.

Код события – набор чисел, определяющих тип происшествия. Этот код и имя источника события используется технической поддержкой системного обеспечения для исправления ошибок и ликвидации программных сбоев.

Уровень – степень важности события. Журнал событий системы имеет шесть уровней происшествий:

1. Сообщение.

2. Предостережение.

3. Ошибка.

4. Опасная ошибка.

5. Мониторинг успешных операций по исправлению ошибок.

6. Аудит неудачных действий.

Пользователи – фиксирует данные учетных записей, от имени которых произошло происшествие. Это могут быть имена различных сервисов, а также реальных пользователей.

Дата и время – регистрирует временные показатели появления события.

Существует масса других событий, которые возникают при работе операционной системы. Все происшествия высвечиваются в «Просмотре событий» с описанием всех сопутствующих информационных данных.


Как работать с журналом событий?

Очень важным моментом в предохранении системы от сбоев и зависаний является периодическое просматривание журнала «Приложение», в котором фиксируются сведения о происшествиях, недавних действиях с той или иной программой, а также предоставляется выбор доступных операций.

Зайдя в журнал событий Windows 7, в подменю «Приложение» можно увидеть список всех программ, вызвавших различные негативные события в системе, время и дату их появления, источник, а также степень проблемности.


Ответные действия пользователя на события

Изучив, как открыть журнал событий Windows 7 и каким образом им пользоваться, следует далее научиться применять с этим полезным приложением «Планировщик задач». Для этого необходимо правой клавишей мыши кликнуть на любое происшествие и в открывшемся окне выбрать меню привязки задачи к событию. В следующий раз, когда произойдет такое происшествие в системе, операционка автоматом запустит установленную задачу на обработку ошибки и ее исправление.

Ошибка в журнале не является поводом для паники

Если, просматривая журнал системных событий Windows 7, вы увидите появляющиеся периодически ошибки системы или предупреждения, то не следует переживать и паниковать по этому поводу. Даже при отлично работающем компьютере могут регистрироваться различные ошибки и сбои, большинство из которых не несут серьезной угрозы работоспособности ПК.

Описываемое нами приложение создано для того, чтобы облегчить системному администратору контроль над компьютерами и устранение появляющихся проблем.

Вывод

Исходя из всего вышесказанного, становится ясно, что журнал событий – способ, позволяющий программам и системе фиксировать и сохранять все события на компьютере в одном месте. В таком журнале хранятся все операционные ошибки, сообщения и предупреждения системных приложений.

Где находится журнал событий в Windows 7, чем его открыть, как им пользоваться, каким образом исправлять появившиеся ошибки – все это мы узнали из этой статьи. Но многие спросят: «А зачем нам это нужно, мы не системные администраторы, не программисты, а обыкновенные пользователи, которым эти знания как бы не нужны?» Но этот подход неправильный. Ведь когда человек чем-то заболевает, перед походом к врачу он пытается сам вылечиться теми или иными способами. И у многих часто это получается. Так и компьютер, являющийся цифровым организмом, может «заболеть», и в этой статье показан один из способов, как диагностировать причину такого «заболевания», по результатам такого «обследования» можно принять правильное решение о методах последующего «лечения».

Так что информация о способе просмотра событий будет полезна не только системщику, но и обыкновенному пользователю.

Как читать журнал событий Windows ?

Как читать журнал событий Windows ?

Думаю, что каждый из пользователей, который работает с компьютером, сталкивался с проблемами и ошибками. Пора вам научиться читать журнал событий Windows , который отображает сообщения приложений и самой системы: ошибки, информационные сообщения, предупреждения. Здесь содержится информация о событиях, кои система посчитала записать для администратора. Просто так, на всякий пожарный.

В нормально работающей системе пользователь сюда дорогу не знает – просто незачем. Однако при появлении ошибок (лагов) в Windows поводов заглянуть сюда появляется немало, благо отсюда есть что почерпнуть.

Где находится Журнал событий?

Самый быстрый способ попасть в него, это набрать в строке поиска после нажатия клавиши WIN слова «журналы событий». И щёлкнуть по соответствующей ссылке:

Или наберите Пуск — команда eventvwr.mscПо умолчанию, Просмотр событий откроет вкладки, в том числе со сводкой административных событий, где перечислена информация по важности для администратора. Важнейшая из них Критический тип события. Погуляйте по разделу Журналы Windows, ключевые директории Приложения и Система. Всё происходящее в системе записывается в нескольких документах. И скорее всего, вы обнаружите там несколько ошибок. Это не значит пока ровным счётом ничего. Если система стабильна, эти ошибки не критичны и не побеспокоят вас никогда. Кстати, можете присмотреться – ошибки сохраняются для программ, которых на компьютере давно уже и нет.

Игра была закрыта с помощью клавиш Alt + F4 – мама, видимо, зашла в комнату.

Теоретически, остальным программам также велено записывать важные и не очень события в Журнал, однако, на моей памяти, они эти почти не занимаются.

Читателю уже может показаться, что внимание к Журналу можно не уделять. Ан нет. Журнал поможет внимательному и думающему пользователю в случаях появления серьёзных сбоев в работе, например, при появлении BSOD или при неожиданных перезагрузках системы. Так, в Журнале легко обнаружиться «погибший» драйвер. Вам нужно лишь внимательно посмотреть на появившиеся красные значки с надписью Критический уровень и удалить указанный драйвер, а может подумать о замене устройства.

ничего страшного ещё не произошло

а здесь уже всё серьёзно: компьютер отключался

Ищем нужные события: процессы и логи результатов

К примеру, после некоторого времени работы мы обнаружили залипание мыши, пропажу некоторых папок и неработающие пути: первый признак появления сбойных секторов на диске. Для работы с ними необходимо последовательно запустить утилиту проверки состояния диска chkdsk /f, которая начнёт работу после перезагрузки, а затем проверим на целостность файловую систему самой Windows sfc /scannow. Так вот, на результаты работы как этих, так и прочих утилит можно посмотреть в том же журнале:

Так как одна из этих утилит запускается системой только перед загрузкой (для тома, который эту систему содержит), есть смысл поискать результаты по флагу Wininit (от Windows Initialisation).

Как научиться читать журнал событий windows ?

Впрочем, можно не гадать. Microsoft имеет официальную страницу поддержки по сообщениям системы. Если вас интересует конкретное событие, вы можете посетить страницу в сети. Однако, по моему мнению, очень хорошим сервисом, который поможет читать журнал событий Windows , является сервис

http://www.eventid.net/

В России ему аналогов нет, однако для владеющих английским и просто любопытствующих я покажу как им пользоваться. Так, для взятого выше примера, на странице сервиса введите в поля код ошибки и службу, которая её вызвала:

Остаётся закинуть наши условия в поиск, щёлкнув по кнопке Search и на странице появятся результаты с объяснением возникновения ошибки. Формально, они будут ненамного подробнее объяснений, даваемых самим Журналом, однако, если вы прокрутите страницу результатов ниже, то в описании на английском увидите ссылку на своеобразный форум с готовыми решениями проблемы или причинами, с которыми уже сталкивались пользователи при возникновении одноимённой ошибки. Всё на английском. Учиться надо было… И, если честно, ваш покорный слуга дальше этого сайта редко уходит: всё нечто похожее где-то когда-то уже происходило.

Как всегда, просмотр журнала событий – это не панацея. Однако от бессмысленных гаданий пользователя может спасти, сэкономив на поиске проблемы кучу времени.

Журнал событий Windows — как очистить?

Итак, с проблемами справились, система стабильна. Тогда давайте избавимся от ненужных в Журнале записей: если вы Журнал посещали, некую захламлённость по числу записей в нём наблюдать могли.

Способов очистки существует несколько. Можно это сделать через PowerShell Windows:

wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}

Можно через консоль:

for /f %x in ('wevtutil el') do wevtutil cl "%x"

Я же предложу вам небольшой скрипт, который вы можете поместить в текстовый документ, сохранить с расширением .bat. Я свой так и назвал Очистка логов (итоговый файл запускайте с правами админа):

Вот скрипт:

@echo off
 FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
 IF (%adminTest%)==(Access) goto noAdmin
 for /F "tokens=*" %%G in ('wevtutil. exe el') DO (call :do_clear "%%G")
 echo.
 echo goto theEnd
 :do_clear
 echo clearing %1
 wevtutil.exe cl %1
 goto :eof
 :noAdmin
 exit

Дождитесь окончания работы скрипта, окно консоли само захлопнется:

Читаем журнал событий самостоятельно.

Прямо сейчас вы сможете обнаружить, например, какие службы или программы тормозят ваш компьютер во время загрузки Windows. Или мешают компьютеру побыстрее выключиться. Из строки Выполнить (WIN + R) запускаем Просмотр событий

eventvwr.msc

Выбираем

Журналы приложений и служб — Microsoft — Windows — Diagnostics-Performance — Работает

Щёлкнем правой мышкой по параметру и выберем в меню пункт Фильтр текущего журнала

В поле Все коды событий введите код 203 (Контроль производительности при выключении):

По выбранному фильтру журнал сгруппирует те события, которые, как посчитала система, привели к задержке при завершении сеанса пользователя…

… с указанием имени службы, точного занимаемого на это времени и т. п. По необходимости вы можете свериться в сети по имени сервиса, за чем он закреплён и по желанию отключить его. Если служба появляется рандомно, беспокоиться, поверьте, оснований нет. Однако в том случае, когда оно и то же имя мелькает частенько и основательно в этом Журнале прописалось, стоит задуматься. Далее. Если предпринятые вами действия возымели результат, проверьте теперь загрузку. Код событий — 103:

Успехов.

Что из перечисленного используется для просмотра журналов Windows?

Как просмотреть журналы Windows?

Поиск в базе знаний

  • Нажмите кнопку «Пуск» в Windows> Введите событие в поле «Поиск программ и файлов».
  • Выберите Просмотр событий.
  • Перейдите в Журналы Windows> Приложение, а затем найдите последнее событие с «Ошибка» в столбце «Уровень» и «Ошибка приложения» в столбце «Источник».
  • Скопируйте текст на вкладке Общие.

Как просмотреть журналы в Windows 10?

Откройте Windows PowerShell с помощью поиска, введите eventvwr. msc и нажмите Enter. Способ 5: Откройте средство просмотра событий на панели управления. Откройте панель управления, введите событие в правом верхнем углу поиска и нажмите «Просмотреть журналы событий» в результате.

Где хранятся журналы Windows?

Тип информации, хранящейся в журналах событий Windows. Операционная система Windows записывает события в пяти областях: приложение, безопасность, настройка, система и перенаправленные события. Windows хранит журналы событий в папке C: \ WINDOWS \ system32 \ config \.

Как просмотреть журнал событий в Windows Server 2008?

Щелкните, чтобы увеличить изображение.

  1. Откройте средство просмотра событий, щелкнув Пуск >> Администрирование >> Просмотр событий.
  2. Щелкните правой кнопкой мыши Custom Views и выберите Create Custom View.
  3. Выберите подходящие критерии фильтрации и убедитесь, что вы выбрали хотя бы один «Уровень события», иначе в вашем пользовательском представлении не будут отображаться никакие события >> ОК.

Как просмотреть журнал безопасности Windows?

Для просмотра журнала безопасности

  • Откройте средство просмотра событий.
  • В дереве консоли разверните Журналы Windows и щелкните Безопасность. На панели результатов перечислены отдельные события безопасности.
  • Если вы хотите просмотреть дополнительные сведения о конкретном событии, в области результатов щелкните событие.

Как просмотреть журналы Bsod?

Сделать это:

  1. Выберите Журналы Windows в левой части окна.
  2. Вы увидите несколько подкатегорий. При выборе любой из этих категорий в центре экрана появится серия журналов событий.
  3. Любые ошибки BSOD помечаются как «Ошибка».
  4. Дважды щелкните любую найденную ошибку, чтобы изучить ее.

Как проверить журнал сбоев Windows 10?

Вот совет, как найти журналы сбоев в Windows 10 (если это то, что вам нужно сделать).

  • Перейдите в область поиска.
  • Введите «Просмотр событий»
  • Настройте параметры поиска.
  • Создать собственный вид.
  • Перемещайтесь по списку записей и / или настраивайте критерии фильтрации, пока не найдете то, что ищете.

Как мне найти историю входов в систему на моем компьютере?

Чтобы получить доступ к средству просмотра событий Windows, нажмите «Win + R» и введите eventvwr.msc в диалоговом окне «Выполнить». Когда вы нажмете Enter, откроется окно просмотра событий. Здесь дважды щелкните кнопку «Журналы Windows», а затем щелкните «Безопасность». На средней панели вы увидите несколько записей для входа в систему с отметками даты и времени.

Как найти журнал событий Windows?

Повторите шаги 5-7, чтобы получить журналы системы и безопасности.

  1. В меню «Пуск» (Windows) выберите «Настройка»> «Панель управления».
  2. В Панели управления дважды щелкните Администрирование.
  3. В «Администрировании» дважды щелкните «Средство просмотра событий».
  4. В диалоговом окне «Просмотр событий» щелкните правой кнопкой мыши «Приложение» и выберите «Сохранить файл журнала как».

Где находится журнал системных событий Windows 7?

Чтобы получить доступ к средству просмотра событий в Windows 7 и Windows Server 2008 R2: нажмите Пуск> Панель управления> Система и безопасность> Администрирование. Дважды щелкните Просмотр событий. Выберите тип журналов, которые вы хотите просмотреть (например, журналы Windows)

Где хранятся журналы аудита?

(с Server 2008 / Vista и выше журналы хранятся в каталоге% SystemRoot% \ system32 \ winevt \ logs.)

Где хранятся файлы EVTX?

По умолчанию файлы журнала находятся в следующем каталоге:% SystemRoot% \ System32 \ Winevt \ Logs \, и они содержат расширение . evtx.

Где хранятся журналы событий Server 2008?

О: На компьютере с сервером 2003 файлы журнала событий по умолчанию находятся в папке% WinDir% \ System32 \ Config. На компьютере Server 2008 по умолчанию используется папка% WinDir% \ System32 \ Winevt \ Logs. Чтобы переместить файлы журнала событий на Server 2003, необходимо изменить путь к файловой системе, хранящийся в параметре реестра «Файл».

Что такое средство просмотра событий в Windows Server 2008?

АДМИНИСТРАЦИЯ СЕТИ: ПРОСМОТР СОБЫТИЙ WINDOWS SERVER 2008. Windows Server 2008 имеет встроенную функцию отслеживания событий, которая автоматически регистрирует множество интересных системных событий. Обычно, когда что-то идет не так с вашим сервером, вы можете найти как минимум одно, а может быть, и десятки событий в одном из журналов.

Как узнать об использовании ЦП в Windows Server 2008?

Чтобы проверить использование ЦП и физической памяти:

  • Щелкните вкладку «Производительность».
  • Щелкните Монитор ресурсов.
  • На вкладке «Монитор ресурсов» выберите процесс, который вы хотите просмотреть, и перейдите по различным вкладкам, например «Диск» или «Сеть».

Как я могу узнать, кто вошел в мой компьютер?

Чтобы узнать, когда он просыпался в последний раз:

  1. Перейдите в меню «Пуск» и введите «Просмотр событий» в поле поиска.
  2. Дважды щелкните Журналы Windows на левой боковой панели, затем щелкните Система.
  3. Щелкните правой кнопкой мыши «Система» и выберите «Фильтровать текущий журнал».
  4. Во всплывающем окне найдите раскрывающийся список «Источники событий».

Как узнать, кто вошел в систему Windows 2012 Server?

Войдите в Windows Server 2012 R2 и следуйте инструкциям ниже, чтобы просмотреть активных удаленных пользователей:

  • Щелкните правой кнопкой мыши панель задач и выберите в меню Диспетчер задач.
  • Перейдите на вкладку Пользователи.
  • Щелкните правой кнопкой мыши один из существующих столбцов, например «Пользователь» или «Состояние», а затем выберите «Сеанс» в контекстном меню.

Как я могу удаленно узнать, кто вошел в мой компьютер?

удаленно

  1. Удерживая нажатой клавишу Windows, нажмите «R», чтобы открыть окно «Выполнить».
  2. Введите «CMD», затем нажмите «Enter», чтобы открыть командную строку.
  3. В командной строке введите следующее и нажмите «Enter»: запросить пользователя / сервер: имя компьютера.
  4. Отображается имя компьютера или домен, за которым следует имя пользователя.

Как просмотреть файл .DMP?

Открытие файлов дампа памяти

  • Откройте меню «Пуск».
  • введите windbg.exe.
  • Щелкните Файл и выберите Открыть аварийный дамп.
  • Перейдите к файлу .dmp, который вы хотите проанализировать.
  • Нажмите Открыть.

Как найти Bsod в средстве просмотра событий?

Как использовать средство просмотра событий для проверки причины синего экрана смерти (BSOD)

  1. Нажмите Windows + X, чтобы открыть меню быстрого запуска, и выберите «Просмотр событий».
  2. В окне просмотра событий нажмите «Открыть журналы системы» в разделе «Журналы Windows» в левом меню.
  3. В окне «Создать настраиваемый вид» выберите «Пользовательский диапазон…».

Где хранятся файлы аварийного дампа Windows?

Расположение файла дампа по умолчанию -% SystemRoot% memory.dmp, то есть C: \ Windows \ memory.dmp, если C: является системным диском. Windows также может создавать небольшие дампы памяти, которые занимают меньше места. Эти дампы создаются в папке% SystemRoot% Minidump.dmp (C: \ Window \ Minidump.dump, если C: системный диск).

Как мне найти файл журнала событий?

Как собрать журналы средства просмотра событий Microsoft для проблем с приложением Box

  • Откройте «Средство просмотра событий», нажав кнопку «Пуск».
  • Щелкните «Панель управления»> «Система и безопасность»> «Администрирование», а затем дважды щелкните «Средство просмотра событий».
  • Щелкните, чтобы развернуть «Журналы Windows» на левой панели, а затем выберите «Приложение».

Как открыть файл журнала?

Поскольку большинство файлов журнала записываются в виде обычного текста, его можно открыть с помощью любого текстового редактора. По умолчанию Windows будет использовать Блокнот, чтобы открыть файл журнала, если вы дважды щелкните по нему. У вас почти наверняка есть приложение, уже встроенное или установленное в вашей системе для открытия файлов LOG.

Что такое файлы журналов Windows?

Журналы — это записи событий, которые происходят на вашем компьютере человеком или запущенным процессом. Они помогают отслеживать, что произошло, и устранять проблемы. Наиболее распространенное место для журналов в Windows — это журнал событий Windows.

Как включить журналы аудита?

Чтобы включить поиск в журнале аудита, вам должна быть назначена роль журналов аудита в Exchange Online.

Включите поиск в журнале аудита

  1. В Центре безопасности и соответствия требованиям выберите Поиск> Поиск в журнале аудита.
  2. Щелкните Начать запись действий пользователей и администраторов.
  3. Щелкните Включить.

Как проверить журналы установки?

Для просмотра журналов событий установки Windows

  • Запустите средство просмотра событий, разверните узел «Журналы Windows» и щелкните «Система».
  • На панели «Действия» щелкните «Открыть сохраненный журнал» и найдите файл Setup.etl. По умолчанию этот файл доступен в каталоге% WINDIR% \ Panther.
  • Содержимое файла журнала отображается в средстве просмотра событий.

Как я могу увидеть события аудита входа в систему?

После включения аудита входа в систему Windows записывает эти события входа вместе с именем пользователя и отметкой времени в журнал безопасности. Вы можете просмотреть эти события с помощью средства просмотра событий. Нажмите «Пуск», введите «событие» и щелкните результат «Средство просмотра событий». На средней панели вы, вероятно, увидите несколько событий «Успешный аудит».

Фото в статье «Википедия» https://en.wikipedia.org/wiki/File:Google_Docs_screenshot.png

Как защитить журнал событий Windows? Защита журнала событий

Что такое журнал событий в Widnows?

Журнал событий (Event Log) в ОС Windows — стандартный метод для программ и операционной системы записи и централизованного хранения данных о важных программных и аппаратных событиях. Служба журналов событий хранит события от разных источников в общем журнале событий, приложение просмотра событий дает возможность пользователю наблюдать за журналом событий, программный интерфейс (API) дает возможность программа вести запись в журнал событий и просматривать имеющиеся там записи.

Как просмотреть журнал событий?

Чтобы просмотреть журнал событий в Windows XP, зайдите в «Панель управления -> Администрирование -> Просмотр событий».

Также для просмотра журнала событий можно использовать 2 программы:

  • Eventlogsourcesview — простая утилита которая отображает все данные из журнала событий.
  • LastActivityView — утилита которая показывает журнал активности пользователя

Защита файлов журнала событий Windows

Операционная система Windows имеет очень мощные возможности протоколирования. Но к сожалению, по умолчанию журнал событий(Event Viewer) не защищен от несанкционированного доступа или изменения. Несмотря на то что события просматриваются с помощью Event Viewer, журнал событий представляет собой обычный файл такой же, как и остальные. Для их защиты от доступа необходимо лишь найти эти файлы и применить к ним соответствующие списки ACL(список контроля доступа).

Все записи журнала событий находятся в ключе реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Данный ключ содержит подключи, которые называются файлами журнала.

  • AppEvent.Evt — файл журнала приложений для событий приложений и служб;
  • SecEvent.Evt — файл журнала безопасности для событий системы аудита;
  • SysEvent.Evt — файл системного журнала для событий драйверов устройств.

Если только расположение файлов не было изменено с помощью реестра, то они должны быть в каталоге %SystemRoot%\system32\config.

Следует отметить, что журналы Windows нее занимают много системного места. Не следует считать, что их надо постоянно чистить.

С журналом приложения, безопасности и системным протоколом сопоставлены файлы SysEvent.Evt, AppEvent.Evt и  соответственно SecEvent.Evt . Для ограничения доступа к ним только с помощью учетной записи администратора примените к ним ACL. Это можно выполнить с помощью диалогового окна свойств файла. Перейдя на вкладку Безопасность (Security), удалите на ней всех пользователей и группы, кроме Administrators и SYSTEM.

Запись собственных событий Windows

Запись собственных событий Windows

При работе с автоматизированными сценариями, заданиями но расписанию или собственными приложениями вам может по­требоваться, чтобы они записывали собственные события в журналы Windows. Например, при нормальном выполнении сценария вы хотите записать событие уведомления в журнал приложе­ния, чтобы в дальнейшем легко определить, выполнен сцена­рий и нормально ли он завершился. И наоборот, если сцена­рий не сработал и в результате его выполнения возникли ошибки, вам может понадобиться сохранить событие ошибки или предупреждения в журнале — тогда вы узнаете, что нуж­но проанализировать сценарий и выяснить, что случилось.

Для создания собственных событий используется утилита Eventcreate. Собственные события можно сохранять в любом доступном журнале за исключением журнала безопасности. Такие события могут содержать источник, код и нужное опи­сание. Синтаксис Eventcreate:

eventcreate /l ИмяЖурнала /so ИсточникСобытия /t ТипСобытия / id КодСобытия /d ОписаниеСобытия

  1. ИмяЖурнала — название журнала для записи события; если оно содержит пробелы, заключите его в кавычки, на­пример «DNS Server».
  2. ИсточникСобытия — указывает источник события и может быть любой строкой. Если строка содержит пробелы, зак­лючите ее в кавычки, например «Event Tracker*. В боль­шинстве случаев источник указывает на приложение, зада­ние или сценарий, вызвавший ошибку.
  3. ТипСобытия — задает тип события. Может принимать зна­чения Information, Warning или Error. Типы событий «Success Audit» и «Failure Audit» неприменимы, так как исполь­зуются в журнале безопасности, в который записывать соб­ственные события нельзя.
  4. КодСобытия — залает числовой код события. Может при­нимать любое значение от 1 до 1000. Чем случайно назна­чать идентификаторы, лучше составить список общих собы­тий, которые могут возникнуть, а затем разбить его на кате­гории. Тогда каждой категории можно присвоить свой диа­пазон кодов событий. Например, события из первой сотни могут быть общими, из второй — событиями состояния, из пятой — предупреждениями, а из девятой — ошибками.
  5. ОписаниеСобытия — задает описание события и может быть любой строкой. Не забудьте заключить строку в кавычки.

Применение Eventcreate на нескольких примерах

  • Создать событие-уведомление в журнале приложения с источником Event Tracker и кодом события 209: eventcreate /l «application» /t information /so «Event Tracker» /id 209 /d «evs.bat script ran without errors.»
  • Создать событие-предупреждение в системном журнале с источником CustApp и кодом события 511: eventcreate /l «system» /t warning /so «CustApp» /id 511 /d «sysck.exe didn’t complete successfully.»
  • Создать событие-ошибку в системном журнале на MAIL с источником SysMon и кодом события 918: eventcreate /s Mail /l «system» /t error /so «SysMon» /id 918 /d «sysmon.exe was unable to verify write operation.»

 


Как заставить заработать системную службу «Журнал событий Windows» в Windows 10? — Хабр Q&A

Внимание, долгое и дотошное описание проблемы!!!
Сразу скажу, я пересмотрел всё что только возможно, в гугле и яндексе. Ситуация такова: служба «Журнал событий Windows» в Windows 10 (Корпоративная версия) напрочь не хочет запускаться. При запуске вручную через «Панель управления» -> «Администрирование» -> «Службы» видим следующее:

Дело в том, что в «Управление компьютером» есть «Просмотр событий», использующий, как мне стало понятно, службу «Журнал событий Windows». Выводится при обращении к просмотру событий следующее:

Это и логично, служба не запускается же. Я начал копать вглубь, нашёл разную информацию. Далее напишу, что я сделал:
  1. Разблокировал учётку встроенного админа через командную строку с помощью команды net user администратор /active:yes. После этого всё оставшееся творил именно в ней, ибо полномочия её нужны.
  2. Проверил зависимости службы «Журнал событий Windows», всё от чего зависит эта служба или от кого она сама зависит — работает из автоматического запуска. Вот эти службы:

    Да и в принципе, все службы, которым указан автоматический запуск — все они запускаются, кроме службы журнала!
  3. Открыл папку C:\Windows\System32\winevt, о которой пишут в многих инструкциях по решению моей проблемы, добавил как для этой папки, так и для подпапки Logs в правах пользователя LOCAL SERVICE, который якобы работает со службой журналов, вот подтверждение:

    Тут же я как для winevt, так и для подпапки Logs добавил группу пользователей «Все», и дал ей полный доступ, на всякий случай. Даже для C:\Windows\Logs и C:\Windows\System32\LogFiles я добавил LOCAL SERVICE в полный доступ, а также по возможности группу «Все».
  4. Проверил на существование файл C:\Windows\System 32\services.exe, он на месте. Не думаю, что в нём проблема, ибо тогда, я уверен, другие критические службы не запустились.
  5. Встречал и бредовый, как мне кажется, совет сбросить таблицы маршрутизации через командную строку с помощью команд route -f и net winsock reset. После перезагружал компьютер.
  6. Обновлял драйвера через Iobit Driver Booster и DriverPack Solution Online (скачивание самых актуальных дров).
  7. Лазил в обновление Windows, ничего дельного там не было, ибо и так обновляюсь периодически, и галочки все установил заранее, чтобы качалось всё, что может быть:

  8. Сменил владельца всех вышеописанных папок с «Система» на группу «Администраторы» по совету Василия — не получилось.

Итог моим мучений — бессоная ночь и отсутствие результата! Проблема всё так же акутальна!
P. S.: Всё это было затеяно по причине установки на компьютер Microsoft Office 2007, который явно указал на проблему полномочий записи по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog, а там ещё и подпапки почти все не открываются с одинаковым вердиктом:

После я уже пробовал Microsoft Office 2016, тоже ставиться не хочет. Даже дошёл до того, что скачал portable версии офиса в отчаянии, так он мне заявил, что services.exe выдаёт ошибку 0x0000007e (довольно общая ошибка, но учитывая, что ранее я узнал о запуске службы журнала с её помощью, думаю, что портативный офис так же лезет к журналу Windows.

Фух, дочитали? 🙂 Что же, прошу помочь, подсказать, может я что-то не так сделал?? Я уже не знаю что ещё предпринять, хоть реально брать и сносить десятку, ставить Windows 7…

UPD: Отдельно задумался, можно ли ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog восстановить/сбросить по умолчанию? Типа, состояние настроек службы как у свежеустановленной операционной системы. Есть какие-то методы на крайний случай?

Как в Windows 10 вернуть оснастке «Журнал событий» классический вид

Если вы интересуетесь администрированием, то наверняка вам более или менее хорошо знаком такой инструмент Windows как «Журнал событий». Со времён Windows 7 он почти не изменился в том смысле, что остался таким же неудобным. Если хотите, можете его упростить, сделав его примерно таким, каким он был в Windows XP. И вот как этого можно добиться в Windows 10.

Начнём с того, что зарегистрируем отвечающую за классический вид журнала событий библиотеку els.dll, расположенную в системном каталоге C:\WINDOWS\system32. Откройте от имени администратора командную строку и выполните в ней вот такую команду:

regsvr32 els.dll

В случае успешной регистрации вы получите соответствующее уведомление.

Не закрывая консоли, выполните ещё одну команду — mmc.

При этом у вас откроется окно с заголовком «Консоль1». Идём в главное меню и выбираем «Файл» -> «Добавить или удалить оснастку».

И в левой колонке открывшегося окошка выбираем «Добавить Классический просмотр событий».

«Готово» -> «OK».

После проделанных манипуляций в окне консоли1 у вас появится древовидный элемент «Классический просмотр событий».

Разверните его и посмотрите — именно так будет выглядеть классический «Журнал событий».

Осталось только создать специальный ярлык, который этот самый журнал будет открывать. Для этого снова идём в главное меню и на этот раз выбираем «Файл» -> «Сохранить как…» и сохраняем настройки в файл формата MSC на рабочий стол или любое другое место.

Да, ещё можно порекомендовать выбрать в том же меню «Файл» пункт «Параметры» и установить в диалоговом окошке настроек режим «Пользовательский — полный доступ».

Как использовать средство просмотра событий в Windows 10

Каждый пользователь Windows 10 должен знать о средстве просмотра событий. В Windows уже почти десять лет есть средство просмотра событий. Об этом мало кто знает. По сути, средство просмотра событий просматривает небольшую группу журналов, которые Windows ведет на вашем ПК. Журналы представляют собой простые текстовые файлы, записанные в формате XML.

Хотя вы можете думать, что Windows имеет один файл журнала событий, на самом деле их много — административный, операционный, аналитический и отладочный, а также файлы журнала приложений.

Журналы просмотра событий

Каждая программа, которая запускается на вашем ПК, публикует уведомление в журнале событий, и каждая программа с хорошим поведением публикует уведомление перед своей остановкой. Каждый доступ к системе, изменение безопасности, подергивание операционной системы, аппаратный сбой и сбой драйвера — все это попадает в тот или иной журнал событий.

Средство просмотра событий сканирует эти текстовые файлы журналов, объединяет их и добавляет симпатичный интерфейс к смертельно скучному, объемному набору машинно-генерируемых данных. Думайте о Event Viewer как о программе создания отчетов для базы данных, в которой базовая база данных представляет собой всего лишь несколько простых текстовых файлов.

Теоретически журналы событий отслеживают «значительные события» на вашем ПК. На практике термин «значительный» находится в глазах смотрящего. Или программист. В обычном ходе событий немногим людям когда-либо приходилось просматривать какие-либо журналы событий. Но если ваш компьютер начинает портиться, средство просмотра событий может дать вам важную информацию об источнике проблемы.

Как найти средство просмотра событий

Следуй этим шагам:
  1. Щелкните поле поиска в левом нижнем углу экрана.Найдите средство просмотра событий. Нажмите «Просмотр событий» в результатах поиска.

    Появится окно просмотра событий.

  2. Слева выберите «Пользовательские представления» и под ним «Административные события».

    Это может занять некоторое время, но в конце концов вы увидите список заметных событий, подобных показанному.

  3. Не волнуйся.

    Даже самая ухоженная система может похвастаться множеством устрашающих сообщений об ошибках — сотни, если не тысячи. Это нормально.Смотрите таблицу для разбивки.

    События регистрируются различными частями Windows.

События и их значение
Событие Что вызвало событие
Ошибка Серьезная проблема, возможно включая потерю данных
Предупреждение Не обязательно важно, но может указывать на наличие проблема с пивоварением
Информация Просто программа звонит домой, чтобы сказать, что все в порядке

Другие журналы для проверки

Вы можете видеть не только журнал административных событий; это квинтэссенция других журналов событий с упором на то, что может захотеть увидеть простой человек.

Другие журналы включают следующее:

  • События приложений: Программы сообщают о своих проблемах.

  • События безопасности: Они называются «аудитами» и показывают результаты действия безопасности. Результаты могут быть успешными или неудачными в зависимости от события, например, когда пользователь пытается войти в систему.

  • События установки: В первую очередь это относится к контроллерам домена, о которых вам не нужно беспокоиться.

  • Системные события: Большинство ошибок и предупреждений, отображаемых в журнале административных событий, связаны с системными событиями. Это отчеты из системных файлов Windows о проблемах, с которыми они столкнулись. Почти все они самовосстанавливаются.

  • Перенаправленные события: Они отправляются на этот компьютер с других компьютеров.

Как получить доступ к средству просмотра событий и журналам наблюдения в Windows 10

 
В наших недавних публикациях мы говорили о многих скрытых функциях Windows 10, в которые также входит средство просмотра событий. Как и было обещано ранее, мы познакомим вас с основами средства просмотра событий, поэтому мы здесь, в этой теме, чтобы выполнить обещание. Возвращаясь к теме, Event Viewer — это приложение, которое является хранилищем всех файлов журналов Windows 10. С момента включения компьютера Windows продолжает отслеживать свои действия и в то же время сохраняет файлы журналов. который предоставляет вам большое количество информации о том, что происходит на вашем компьютере. Итак, с помощью Event Viewer вы можете просматривать все журналы и видеть, какой из них работает правильно, а какой сталкивается с проблемой.

Предоставив краткое введение в средство просмотра событий, мы найдем способы доступа к нему, а также увидим, как оно работает в Windows 10. В последующих разделах этой статьи мы объясним вам основные детали средства просмотра событий. .

В общих чертах вы прочтете здесь В Windows 10, как получить доступ к средству просмотра событий (2 направления) и посмотреть журналы Windows, включая журналы установки, системы, безопасности, приложений, а также журналы переадресации событий.

Как получить доступ к средству просмотра событий в Windows 10

Мы предлагаем вам два направления, следуя любому из которых вы можете открыть средство просмотра событий.Давайте посмотрим на них.

1-й метод

Точно так же, как вы найдете другие инструменты администрирования из Панели управления , к этому также можно получить доступ оттуда. Перейдите в панель управления и щелкните значок «Инструменты администрирования ».

Вышеуказанные действия откроют новое окно инструментов администрирования, где вы увидите средство просмотра событий .

Второй метод

Используйте окно поиска Cortana  в меню «Пуск» , введите журналы событий и выполните поиск.В списке результатов вы увидите Просмотр журналов событий вверху. Дважды щелкните по нему, чтобы открыть.

Таким образом, открывается окно Event Viewer . Потребуется несколько секунд, чтобы вещи полностью отобразились в средстве просмотра событий.

Первый вид средства просмотра событий в Windows 10

Через несколько секунд все появится в средстве просмотра событий. Если внимательно посмотреть, вы увидите три разных сегмента в окне просмотра событий. Крайний левый столбец средства просмотра событий содержит журналы, при нажатии на которые в средней области отобразятся его сведения.Если вы выберете средство просмотра событий (локальное) в левом столбце, центральная область представляет собой обзор и сводку. И крайний правый столбец — это столбец «Действия». В столбце действий представлены такие действия, как создание пользовательского представления, импорт пользовательского представления и т. д.

В этом следующем разделе мы поговорим о журнале Windows и о том, как его можно просмотреть. В средстве просмотра событий есть много других опций для опытных пользователей, которые будут реализованы в наших следующих статьях.

Взгляд на журналы

Как было сказано ранее, в этом разделе мы обсудим вход в Windows, поэтому все, что вам нужно сделать, это щелкнуть журнал Windows, который вы увидите в крайнем левом столбце средства просмотра событий. окно.Ваш щелчок развернет его, и Журналы Windows включают Журналы приложений, безопасности, установки, системы и Журналы событий пересылки .

Мы обсудим все журналы журналов Windows, кроме Forwarded Events, поскольку это очень сложная тема, и она сама по себе составит огромную статью. Теперь для просмотра других журналов необходимы права администратора, особенно обычные пользователи не могут просматривать журнал безопасности, но если они щелкнут его правой кнопкой мыши и выберут «Запуск от имени администратора», они смогут его увидеть.

Журнал приложений

Прежде чем перейти к подробностям, мы просим вас открыть окно просмотра событий на весь экран, чтобы вы могли четко видеть все, что в нем отображается. Щелкните журнал приложений , и вы увидите огромный список информации в центральной области окна средства просмотра событий. Поскольку Windows сохраняет всю информацию о вещах, информация в журнале приложений подразделяется на три категории: информация, ошибка и предупреждение.

Предупреждающие сообщения не так серьезны, как кажутся. Они появляются в случаях, когда у вас не хватает места на флешке или некоторые приложения работают некорректно, так как получили какие-то неправильные параметры. И сообщения об ошибках появляются в серьезных ситуациях. Если некоторые программы не работают правильно, они называются ошибками. Даже если драйвер устройства не загружается должным образом, вы увидите сообщение об ошибке.

Вы увидите, что многие элементы журнала относятся к категории информации.Это говорит о том, что Windows или приложение(я) корректно выполняет возложенную на него работу или даже если оно сталкивается с какой-либо незначительной проблемой (что не означает ошибку) и поскольку оно не является причиной реальных проблем. Верхняя часть центральной области снова состоит из двух сегментов. В верхнем сегменте отображается список элементов журнала, а в нижнем сегменте представлены пояснения к конкретному выбранному журналу. Пояснения, отображаемые в выбранном журнале, чаще всего кажутся запутанными. Если вы видите какие-либо сообщения об ошибках, не паникуйте, так как в большинстве случаев они не означают ничего серьезного.

В правом столбце, который относится к Действиям, вы увидите список действий в его нижнем сегменте, которые вы можете выполнить для выбранного журнала.

Операция правого столбца

Правый столбец средства просмотра событий содержит Действия, и информация, которую вы там видите, аналогична всем журналам Windows . Чтобы узнать больше о правом столбце, сначала нужно выбрать событие. Теперь взгляните на нижнюю часть сегмента «Действия».Вы заметите повторяющееся имя выбранного события, а затем список действий, таких как свойства события, прикрепление задачи к этому событию, копирование, сохранение выбранных событий и обновление. Посмотрим, что можно сделать с помощью этих действий. Только задача присоединения к этому событию не будет описана, так как она содержит более сложные задачи.

Щелкните Свойства события , и появится новое окно Свойства события с подробной информацией. Вы увидите, что здесь отображаются те же элементы, что и в нижнем сегменте.Ну, есть много вещей, которые можно сделать с помощью свойств события . Если вы хотите увидеть больше информации об ошибке, щелкните ссылку Event Log Online Help , и Microsoft поможет вам со своими экспертами. Чтобы увидеть это, вы можете скопировать сообщение об ошибке и посмотреть, что оно означает, вставив его в свою поисковую систему. Вы можете использовать разные поисковые системы, чтобы узнать, что они вам ответят об ошибке.

Теперь в окне Свойства события вы увидите две опции: Копировать и Закрыть .Переходя к Копированию, вы просто не можете скопировать сообщение об ошибке выбранного события, но можете скопировать весь раздел журнала ошибок. Если вы пользуетесь какой-либо технической поддержкой, заинтересованное лицо может запросить у вас сообщение об ошибке. Это превосходный способ отправить ему расшифровку протокола ошибок. Скопируйте его, вставьте в текстовый редактор и отправьте ему документ. Вот как это выглядит, когда вы вставляете его в Блокнот.

Переход к следующему действию Копировать , у вас снова есть два варианта: Копировать таблицу и Копировать детали как текст. Таблица копирования скопирует однострочное сообщение об ошибке, отображаемое в верхнем сегменте. Параметр «Копировать данные как текст» аналогичен параметру «Копировать» в окне «Свойства события».

Сохранить выбранное событие сохранит ваше мероприятие в папке «Документы». Когда вы нажмете «Сохранить выбранное событие», откроется окно с вашей папкой «Документы». Вы можете изменить местоположение и сохранить его в нужном месте. Событие будет сохранено с расширением .evtx .Теперь, когда вы дважды нажмете на него, на вашем экране появится средство просмотра событий.

В Windows 10 дисплей не обновляется сам по себе. Вам нужно нажать на кнопку «Обновить», которую вы найдете в нижней части столбца «Действия».

Журнал безопасности

В левой колонке выберите Журнал безопасности , чтобы увидеть его подробности в центре. В центральной области журнала безопасности будет представлен список сообщений, и в большинстве сообщений вы увидите Audit Success , отмеченный им.Аудит безопасности выполняется каждый раз, когда вы входите в систему, а также каждый раз, когда вы ее создаете, изменяете или даже удаляете. Несанкционированный доступ к ресурсам также будет регистрироваться с пометкой Audit Fail . Целостность системы также проверяется им. Чтобы просмотреть метки каждого события, разверните окно или увеличьте ширину столбца, чтобы просмотреть его четко.

Журналы установки

Новый журнал создается в разделе Журналы установки всякий раз, когда вы устанавливаете новую программу или каждый раз, когда вы обновляете Windows. Вы увидите многочисленные записи каждого элемента Центра обновления Windows. Взгляните на столбцы, и вы найдете один из них с заголовком Event ID. Каждому событию присваивается идентификационный номер события в диапазоне от 1 до 4. Все идентификаторы относятся к разной информации.

Идентификатор события 1 : Windows работает над установкой того, что было запрошено.

Идентификатор события 2 : Установка выполнена успешно.

Идентификатор события 3 : Программе не удалось выполнить установку после попытки.

Идентификатор события 4 : Необходимо выполнить перезагрузку, прежде чем компьютер завершит процесс установки.

Системные журналы

Системный журнал предназначен для системных сообщений, создаваемых программным обеспечением, которое устанавливается, например, драйверами устройств, и Windows 10. Метки предупреждений сохраняются здесь, если они не загружаются должным образом. Здесь также вы найдете идентификаторов событий , связанных с каждым событием, но при просмотре подробностей такая информация не предоставляется.

Закрытие

Мы подошли к концу этой статьи и упомянули все журналы, которые входят в журналы Windows. Средство просмотра событий в основном используется опытными пользователями, но и обычные пользователи могут получить отсюда некоторую полезную информацию. Очень скоро мы выпустим статью, в которой расскажем о расширенных возможностях средства просмотра событий. Попробуйте и посмотрите, сколько полезной информации вы можете почерпнуть отсюда. Кроме того, позвольте нам сообщить, как это сработало для вас.Если у вас есть дополнительная информация об этом, пожалуйста, поделитесь с нами в комментариях ниже.

Как подробно просматривать журналы событий в Windows с помощью полного просмотра журнала событий такой инструмент. И это нормально, потому что большинству людей в любом случае нужна основа, но для нас, которым требуется больше, как насчет просмотра

Full Event Log View ? Что нам нравится в полном просмотре журнала событий, так это то, что он позволяет пользователю просматривать всю информацию, связанную с событиями в Windows 11/10, и она отображается в более удобной обстановке. Это связано с тем, что пользовательский интерфейс легче понять, в большей степени, чем то, что предлагает вариант по умолчанию. Инструмент позволяет просматривать события вашего локального компьютера, события удаленного компьютера в вашей сети и события, хранящиеся в файлах .evtx.

Люди могут использовать эту программу для доступа к подробным сведениям о событиях на локальных или удаленных компьютерах без каких-либо проблем. Даже если события хранятся в файлах .evtx, этот инструмент все равно выполняет свою работу, и это довольно круто. Теперь мы должны отметить, что это портативное программное обеспечение, поэтому для его работы не требуются дополнительные библиотеки DLL.Это также означает, что независимо от того, где вы находитесь и какой компьютер с Windows вы используете, пока рядом находится полный просмотр журнала событий, он будет работать.

Используйте полный просмотр журнала событий для просмотра журналов событий Windows

Использование этого инструмента полного просмотра журнала событий для просмотра журналов Windows очень просто, но если вы все еще не верите, продолжайте читать, пока мы разбиваем его, чтобы все поняли :

  1. Открыть в первый раз
  2. Сохранить и скопировать выбранные элементы
  3. Просмотр
  4. Опции

Поговорим об этом подробнее.

Чтение : Как просмотреть и удалить сохраненные журналы просмотра событий.

1] Открыть в первый раз

Имейте в виду, что после первого открытия инструмента, если в вашей системе Windows 10 уже находится много журналов событий, может потребоваться некоторое время, чтобы он нагрузка. У нас было более 20 000 журналов, что является доказательством того, почему нам нужно всегда очищать нашу систему от нежелательных файлов, поскольку они замедляют работу компьютера.

Чтение : Используйте средство просмотра событий, чтобы проверить несанкционированное использование компьютера Windows.

2] Сохранить и скопировать выбранные элементы

Простой CTRL + A достаточно, чтобы выбрать все элементы, затем CTRL + C для копирования. Для того, чтобы сохранить, просто нажмите CTRL + S, и все. Теперь, если вы человек с мышью, нажмите «Изменить», затем выберите параметр «Выбрать все» и «Копировать выбранные элементы».

Чтобы сохранить, выберите «Файл» в верхнем меню и выберите «Сохранить выбранные элементы». В этом же разделе пользователь может выбрать источник данных, если он того пожелает. В качестве альтернативы они могут нажать F7 на клавиатуре, чтобы перейти в этот раздел.

Читать : Как создать настраиваемые представления в средстве просмотра событий в Windows.

3] Просмотр

В этом разделе полного просмотра журнала событий пользователь может выполнять множество операций. Люди могут отображать линию сетки, всплывающие подсказки и даже столбцы с автоматическим размером. Кроме того, если вы хотите создать HTML-отчет обо всех или только выбранных элементах, это также возможно.

Чтение : Мониторинг файлов журнала событий Windows Проверка с помощью утилиты SnakeTail Windows tail.

4] Параметры

В разделе параметров пользователь может многое сделать. Люди могут изменить способ отображения времени, выполнить автоматическое обновление, выбрать другой шрифт и многое другое. Можно также выбрать запуск дополнительных параметров, где, среди прочего, можно выбрать уровни событий.

В целом нам нравится то, что может предложить полный просмотр журнала событий, и пока это неплохо. Если вы относитесь к тому типу людей, которые заботятся о просмотре журналов событий простым способом, то это для вас.

Скачать полный просмотр журнала событий прямо с официального сайта.

Связанные материалы, которые наверняка вас заинтересуют:

  1. Как очистить журнал событий в Windows
  2. Расширенное средство просмотра событий для Windows от Technet портативное бесплатное приложение, которое позволяет просматривать журналы событий быстрее, чем встроенное средство просмотра событий Windows по умолчанию, а также экспортировать запись в текстовый файл, нажмите кнопку веб-поиска, чтобы найти запись в Интернете, чтобы узнать больше информации или устранить ошибки .

Методы фильтрации журнала событий Windows

Журналы являются вездесущим компонентом ИТ. Они бывают всех форм и размеров из огромного количества источников и возможных мест назначения. Но, в конце концов, все типы журналирования играют фундаментальную роль в технологической инфраструктуре: они позволяют системе записывать информацию о своем поведении на постоянный носитель. Затем люди могут просмотреть эту информацию и восстановить то, что произошло, чтобы они могли обнаружить и исправить любые проблемы, которые они могут обнаружить.

Понятно, что запись в лог-файлы — не единственное, что имеет значение, когда речь идет о логировании. Это только начало истории. По-настоящему ценные части приходят позже, когда приходит время читать, анализировать, анализировать и визуализировать журналы. Когда дело доходит до сред Windows, средство просмотра событий Windows очень помогает на этом этапе. Однако необходимость иметь дело со средством просмотра событий Windows может заставить вас чувствовать себя подавленным. Это нормально — вы не один такой. Некоторые ситуации порождают гигантское количество событий.Чтобы лучше справляться с такими ситуациями, полезно знать, как фильтровать журналы событий по уровню, пользователям и другим критериям.

В этом посте вы познакомитесь с некоторыми базовыми, а затем и более продвинутыми методами, которые можно использовать для фильтрации событий и повышения управляемости ими.

Методы фильтрации журналов

Начнем с некоторых основных параметров фильтрации. Вместо того, чтобы показывать вам все возможные варианты, я просто расскажу об основных, чтобы вы могли понять суть.Убрав основные параметры, мы можем перейти к более продвинутым.

Фильтрация по времени события

В открытом окне Просмотр событий разверните параметр Журналы Windows. Затем щелкните правой кнопкой мыши Application и выберите Filter Current Log .

В открывшемся окне вы увидите параметры, которые можно использовать для фильтрации журнала. Первый вариант — Logged , который относится к метке времени для события. Щелкнув поле со списком рядом с меткой, вы увидите существующие параметры для этого поля:

  • В любое время
  • Последний час
  • Последние 12 часов
  • Последние 24 часа
  • Последние 7 дней
  • Последние 30 дней
  • Пользовательский диапазон…

Поскольку все другие варианты говорят сами за себя, нажмите Пользовательский диапазон .Вы увидите новое окно, подобное этому:

.

Вы заметите, что не можете выбрать дату и время для фильтра. Чтобы иметь возможность выбрать дату и время для метки времени «От», щелкните первое поле со списком и измените его на «Событие включено». Вы также можете сделать то же самое для второй метки времени.

После настройки дат в соответствии с вашими потребностями нажмите OK . Затем вернитесь к предыдущему экрану, нажмите OK и произойдет фильтрация.

Фильтрация по уровню события

Теперь отфильтруем по уровню событий.Вернитесь на главный экран средства просмотра событий, снова разверните параметр Windows и щелкните правой кнопкой мыши один из найденных там журналов. Затем нажмите Фильтровать текущий журнал .

Сразу после параметров фильтрации по времени вы увидите несколько полей, относящихся к уровням событий. Вы можете проверить, сколько уровней вы хотите отфильтровать:

Нажмите OK , когда будете готовы, и начнется фильтрация.

Фильтрация по идентификаторам событий

Перед тем, как рассказать о более продвинутых техниках, я поделюсь последним советом.Вы можете легко включать или исключать идентификаторы событий. Вам просто нужно ввести идентификаторы, разделенные запятыми. Чтобы исключить данный идентификатор, начните со знака минус. Диапазоны также работают: вы можете использовать знак минус, чтобы отделить первый идентификатор от последнего.

Обе стороны включительно, как видно из следующего примера:

Расширенная фильтрация журналов

Разобравшись с основными методами фильтрации, давайте сосредоточимся на более сложных.

Использование пользовательских представлений

Возможностей фильтрации, которые мы обсуждали до сих пор, может быть достаточно, если у вас есть базовые потребности в фильтрации, но они имеют ограничения.Если у вас есть более сложные потребности в фильтрации, вам нужны настраиваемые представления. Пользовательские представления позволяют использовать именно ту информацию, которая вам нужна, комбинируя события из разных журналов или разных источников.

В окне Event Viewer щелкните правой кнопкой мыши Custom Views и выберите Create Custom View :

Для этого примера я выбираю следующие настройки:

  • Зарегистрировано: последние 7 дней
  • Уровень события: критическое и предупреждение
  • Журналы событий: приложение, безопасность

Остальные параметры оставлю со значениями по умолчанию.После нажатия на OK вы должны увидеть следующее:

В качестве имени я буду использовать My Custom View, а описание оставлю пустым. После того, как вы закончите, нажмите OK , и вы должны увидеть свой совершенно новый пользовательский вид:

.

Использование XML-фильтрации

Пользовательское представление, которое вы только что создали, уже является улучшением по сравнению с базовыми возможностями фильтрации. Однако мы можем пойти еще дальше. Давайте посмотрим, как мы можем использовать XML-запросы для более мощной фильтрации.

Начнем с создания нового пользовательского представления. Повторите процесс из предыдущего раздела: перейдите в окно Event Viewer , щелкните правой кнопкой мыши Custom Views и выберите Create Custom View .

Здесь все меняется. Вместо того, чтобы делать то, что вы делали в предыдущий раз, перейдите на вкладку XML и отметьте поле Изменить запрос вручную в левом нижнем углу окна:

После установки этого флажка появится следующее сообщение:

Если вы решите отредактировать запрос вручную, вы больше не сможете изменить запрос с помощью элементов управления на вкладке «Фильтр».Желаете ли вы продолжить?

Нажмите Да . Затем вам будет разрешено написать фильтр, используя синтаксис XML XPath. Скопируйте следующий фрагмент кода и вставьте его в окно:

  <СписокЗапросов>
    <Запрос>
        <Выбрать путь="Безопасность">
            *[EventData[Данные[@Name='SubjectUserName'] и (Данные='testuser')]]
        
    

  

Не забудьте, конечно, заменить «testuser» на фактическое имя пользователя, сохранив кавычки.Щелкните OK и введите имя и описание для своего пользовательского представления. Наконец, нажмите OK , и ваше новое пользовательское представление будет добавлено в список, и вы сможете увидеть его результаты.

Заключение

Журналы

— это уникальное окно в глубины вашей технологической инфраструктуры. Журналы Windows не являются исключением, но иногда они могут быть пугающими. Очень важно иметь способ сделать события Windows более управляемыми. Фильтрация событий — один из таких способов.Используя методы фильтрации, описанные в этом посте, вы сможете быстро найти нужную информацию в соответствии с вашими критериями.

Однако, даже изучив и применив на практике советы, которыми мы поделились сегодня, вы можете чувствовать, что по-прежнему тратите слишком много времени на журналы событий Windows. Если это так, следующим естественным шагом будет рассмотрение имеющихся в вашем распоряжении инструментов и поиск такого, способного обрабатывать как журналы событий Windows, так и журналы других систем. Консолидация данных журналов в одной системе управления журналами может значительно облегчить вашу жизнь, упростив и сократив время, затрачиваемое на устранение неполадок, что позволит вам сосредоточиться на выполнении работы, которая приносит наибольшую пользу вашей организации.

Одним из инструментов, которые вы, возможно, захотите рассмотреть, является SolarWinds ® Papertrail . Papertrail — это облачное решение для управления журналами, которое легко настроить и легко использовать. Он может централизовать журналы из самых разных источников, включая журналы событий Windows. Он объединяет данные вашего журнала и позволяет выполнять поиск в нескольких источниках с помощью одной панели поиска. Благодаря функции «живого хвоста» вы даже можете искать и просматривать данные журнала в реальном времени, что особенно полезно при устранении неполадок и тестировании решения проблем.Как и большинство инструментов управления журналами, Papertrail также предлагает оповещения и уведомления и поддерживает отправку уведомлений в Slack, PagerDuty и другие системы обмена сообщениями. Если вы ищете простое решение для поиска и мониторинга Windows и других журналов, ознакомьтесь с Papertrail.

 

Этот пост был написан Карлосом Шульцем. Карлос — разработчик программного обеспечения для .NET с опытом разработки настольных компьютеров и веб-приложений, а сейчас он пробует свои силы на мобильных устройствах.Он любит писать чистый и лаконичный код, и его интересуют методы, которые могут помочь вам улучшить работоспособность приложения, такие как проверка кода, автоматическое тестирование и непрерывная сборка.

Как очистить все журналы событий в Windows 10

Журналы событий — это именно то, о чем говорит его название. Он хранит записи обо всем, что происходит на компьютере. Когда вы или любой другой пользователь вошли в систему на вашем компьютере, когда приложение было открыто или когда произошла ошибка или сбой приложения, каждое событие записывается в журналы событий.

Доступ к журналам событий

можно легко получить с помощью средства просмотра событий. Таким образом, если на вашем компьютере произошла какая-либо ошибка или какая-либо проблема, вы можете легко проверить ее детали в средстве просмотра событий. Это очень помогает при устранении неполадок, возникших на компьютере.

Многие пользователи могут захотеть удалить событие или все события из журналов событий. Это можно сделать довольно легко. Существует несколько способов удалить событие и все события из журналов событий. Если вы также ищете способ сделать это, просто следуйте методам, упомянутым ниже.

 

Как очистить журналы событий

Очистить события из журналов событий очень просто. Выполните методы, чтобы сделать это.

Примечание: Чтобы получить доступ к журналам событий и удалить их, вы должны войти в систему как администратор на компьютере. Если вы не вошли в систему как администратор, вы не сможете использовать эти методы. Итак, прежде чем следовать методам, убедитесь, что вы вошли в систему как администратор.

 

1.Очистить события вручную

В первом методе мы покажем вам, как удалять события из журналов событий вручную. Здесь мы удалим записи событий прямо из средства просмотра событий. Следуйте инструкциям, чтобы выполнить этот метод.

 

Шаг 1. Откройте панель управления. Для этого перейдите в Cortana и введите Панель управления в области поиска. Выберите Панель управления из результатов поиска.

 

 

Шаг 2. Теперь в Панели управления нажмите Система и безопасность .

 

 

 

Шаг 3. Здесь найдите Инструменты администрирования и откройте его.

 

 

 

Шаг 4. На последней странице откроется окно проводника, полное инструментов администрирования. Теперь найдите Event Viewer и дважды щелкните его, чтобы открыть.

 

 

 

Шаг 5. В окне просмотра событий вы увидите другой набор событий. Если вы хотите удалить событие, просто разверните наборы событий, чтобы найти конкретное событие, а затем щелкните событие правой кнопкой мыши. Теперь выберите Очистить журнал . Когда вы закончите, закройте средство просмотра событий.

 

 

 

Если вы хотите удалить больше событий, просто выполните последний шаг столько раз, сколько хотите.

2. Удалить события из командной строки

В этом методе мы покажем вам, как очистить события из командной строки.Здесь вы сможете очистить событие одно за другим. Следуйте инструкциям, чтобы выполнить этот метод.

 

Шаг 1. Откройте командную строку от имени администратора. Для этого перейдите в Cortana и введите Командная строка в области поиска. Теперь щелкните правой кнопкой мыши Командная строка в результатах поиска и выберите Запуск от имени администратора .

 

 

 

Шаг 2. Теперь в окне командной строки введите следующую команду и нажмите Enter .

ветутил эль

 

Шаг 3. После последнего шага в окне командной строки появится список событий. Здесь найдите те, которые вы хотите удалить.

 

 

Шаг 4. После выбора события, которое вы хотите удалить, введите следующую команду и нажмите Введите , чтобы удалить событие.

wevtutil cl xyz

Здесь «xyz» — это имя события, которое вы хотите удалить.Просто замените «xyz» именем события, которое вы хотите удалить из журналов событий.

 

 

Вот и все. Событие, которое вы хотели удалить, больше не упоминается в журналах событий. Чтобы очистить больше событий, просто повторите последний шаг с этим именем события в команде.

 

 

3. Очистить все события с помощью командной строки

Очистка всех событий с помощью командной строки также проста.В этом методе мы будем использовать файл .cmd. Все объясняется ниже в шагах. Следуйте инструкциям, чтобы выполнить этот метод.

 

Шаг 1. Сначала нам нужно создать файл .cmd с некоторыми командами. Для этого перейдите на рабочий стол и щелкните правой кнопкой мыши на пустом месте. Здесь перейдите к Новый , а затем выберите Текстовый документ из открывшегося списка параметров.

 

 

 

Шаг 2. Теперь вернитесь на рабочий стол и дважды щелкните Новый текстовый документ , чтобы открыть только что созданный файл текстового документа.

 

 

 

Шаг 3. В текстовом документе скопируйте и вставьте следующий текст.

 

@echo off
FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V
IF (%adminTest%)==(Доступ) перейти к noAdmin
для /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (вызов :do_clear «%%G»)
эхо.
Журналы эхо-событий очищены!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
echo Вы должны запустить этот сценарий от имени администратора!
эхо.
:Конец

 

 

Шаг 4. Теперь в левой верхней части окна откройте раскрывающееся меню Файл и выберите Сохранить как… .

 

 

Шаг 5. В разделе Имя файла введите ClearLog.cmd и нажмите Сохранить . Это сохранит файл с расширением .cmd и именем файла ClearLog.

 

Шаг 6. Найдите файл ClearLog на рабочем столе. Вы должны открыть его как администратор. Для этого щелкните его правой кнопкой мыши и выберите Запуск от имени администратора .

 

Теперь вам ничего не нужно. Откроется окно командной строки, и оно автоматически удалит все события из журналов событий.

 

 

4. Очистить все события с помощью PowerShell

Windows PowerShell — еще один мощный инструмент для выполнения команд. В этом методе мы удалим все события с помощью Windows PowerShell. Следуйте инструкциям, чтобы выполнить этот метод.

 

Шаг 1. Откройте Windows PowerShell от имени администратора. Для этого зайдите в Cortana и введите в поиске powershell . Теперь щелкните правой кнопкой мыши Windows PowerShell в результатах поиска и выберите Запуск от имени администратора ..

 

Шаг 2. Теперь в окне Windows PowerShell введите любую из следующих команд и нажмите Enter .

 

wevtutil эль | Foreach-Object {wevtutil cl «$_»}

 

ИЛИ

 

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Журнал }

 

 

Шаг 3. Теперь команда удалит все события из журналов событий. Теперь просто введите Exit и нажмите Введите , чтобы закрыть Windows PowerShell.

 

 

Мы надеемся, что смогли помочь вам удалить события из журналов событий. Если у вас есть какие-либо вопросы или возникли проблемы с выполнением любого из методов, укажите их ниже в комментариях.

Отсутствующие события Windows 10 в журнале событий

Если вы уже давно пользуетесь Windows 10, вам нужно знать о средстве просмотра событий. Это утилита, которая существует уже почти десять лет. К сожалению, об этом знают лишь немногие пользователи.

Хотя это может выглядеть как небольшая утилита, которая содержит несколько журналов, на самом деле программа просмотра событий очень удобна.

Что такое средство просмотра событий и что оно делает?

Каждый процесс или приложение, запускаемое на вашем ПК с Windows 10, отправляет уведомление в журнал событий.На самом деле, даже проблемные программы генерируют уведомление в этой утилите, прежде чем они остановятся.

Чтобы упорядочить эти журналы, в дело вступает средство просмотра событий. Оно сканирует текстовые файлы журналов, упорядочивает их и аккуратно упорядочивает на интерфейсе со всеми другими наборами машинно-генерируемых данных. Проще говоря, средство просмотра событий действует как утилита создания отчетов для базы данных, в которой хранятся текстовые файлы.

Если вы обычный пользователь компьютера, вам может не понравиться средство просмотра событий. Однако, если вы программист или разработчик приложений, эта утилита будет вам полезна.

Как использовать средство просмотра событий

Чтобы использовать средство просмотра событий, выполните следующие действия:

  1. Щелкните правой кнопкой мыши меню «Пуск».
  2. Выберите Средство просмотра событий .
  3. Перейдите к Event Viewer и выберите Custom Views.
  4. Нажмите Административные события . Это может занять некоторое время, но после этого вы должны увидеть список событий на своем экране.

На этом этапе вы также увидите сообщения об ошибках.Их может быть сотни, но это совершенно нормально. Итак, просто расслабьтесь.

Что делать, если в журнале событий отсутствуют события?

Теперь, когда вы знаете, что в средстве просмотра событий Windows 10 отображаются все зарегистрированные события, что вы будете делать, если в журнале событий Windows 10 отсутствуют события или если служба журнала событий Windows остановлена? Наверняка вы пропустите много важных данных. В конце концов, журналы очень удобны, когда вы пытаетесь проверить, работает ли программа должным образом.

Но не беспокойтесь, потому что в этом разделе мы дадим вам советы о том, что делать, если в журнале событий Windows 10 отсутствуют события.

Способ № 1: проверьте, запущено ли приложение или программа

Стоит отметить, что журнал приложения или программы не будет создан, если он не работает должным образом. Если вы считаете, что отсутствует всего несколько журналов, вы можете проверить, не остановилась ли программа или не работает ли она. В этом случае вы определили виновника отсутствия журналов.

Вы также должны знать, что журнал событий может пропасть, если программа работает, но процесс никогда не запускается. Чтобы решить эту проблему, вам, возможно, придется проверить сторону программного обеспечения. Либо вы устанавливаете все ожидающие обновления программного обеспечения, либо пытаетесь переустановить программное обеспечение.

Способ № 2: увеличьте размер журнала событий

Типичный размер журнала событий ограничен 20 МБ. Этого может быть недостаточно для хранения текстовых файлов. Кроме того, этого ограничения размера будет недостаточно, если журналов событий много.Для сохранения новых записей в журнале старые, возможно, придется удалить или удалить.

Если вам необходимо хранить все журналы событий, лучше всего увеличить предельный размер журнала событий. Вот как это сделать:

  1. Откройте средство просмотра событий .
  2. Перейдите к Журналы Windows и выберите Приложение .
  3. Щелкните его правой кнопкой мыши и выберите Свойства .
  4. Перейдите на вкладку Общие и измените Максимальный размер журнала.

Метод № 3: изменение способа обработки размеров журнала событий

Как упоминалось ранее, старые события удаляются, чтобы освободить место для новых. Если вам не нравится эта идея, вы можете изменить этот метод по умолчанию.

Для этого у вас есть два варианта: архивировать журналы событий при заполнении или не перезаписывать журналы событий. Первый вариант обеспечивает сохранение всех журналов событий, а второй требует ручного вмешательства для очистки.

Способ № 4: проверьте, запущен ли журнал событий и зависимые от него службы

Журналы событий могут исчезнуть, если служба журнала событий Windows остановится.Таким образом, вам также может потребоваться проверить, запущена ли эта служба.

См. приведенные ниже инструкции для запуска зависимых служб журнала событий Windows:

  1. Нажмите клавиши Windows + R , чтобы открыть окно Выполнить .
  2. Введите services.msc и нажмите Введите .
  3. Найдите Журнал событий Windows в списке служб.
  4. Проверить, запущен ли статус. Если он пуст, то щелкните по нему правой кнопкой мыши и выберите Start .
  5. Затем откройте Службу журнала событий Windows и выберите Зависимости .
  6. Щелкните Сборщик событий Windows и нажмите OK .
  7. Также убедитесь, что Зависимости под Сборщиком событий Windows запущен.

Способ № 5. Запустите сканер безопасности Microsoft

Microsoft Safety Scanner — это инструмент, разработанный Microsoft для избавления от вредоносных объектов с устройств Windows.Чтобы использовать его, вы должны загрузить его и запустить быстрое сканирование, чтобы определить наличие вредоносного ПО и отменить любые изменения, которые оно могло внести.

Чтобы запустить сканирование с помощью Microsoft Safety Scanner, выполните следующие действия:

  1. Загрузите инструмент, совместимый с вашим устройством.
  2. Выберите тип сканирования, которое вы хотите запустить, и запустите его.
  3. Просмотрите результаты на экране и выполните рекомендуемые действия.

Резюме

Не многие найдут удобную утилиту просмотра событий.Но все же стоит знать, как это исправить в случае пропадания событий. Что ж, вам не стоит сильно беспокоиться, потому что устранить неполадки легко. Вы можете просто обратиться к описанным выше методам, и вы должны решить проблему в кратчайшие сроки.

Если вы считаете, что вам не хватает технических навыков для решения проблемы отсутствия журнала событий в Windows 10, не стесняйтесь обращаться к экспертам. Вы можете проконсультироваться с профессиональным специалистом по Windows или посетить официальный сайт поддержки Microsoft.

Пробовали ли вы использовать любой из вышеперечисленных методов? Кто из них работал на вас? Дайте нам знать об этом в комментариях!

Если вы сталкиваетесь с ошибками и ваша система работает подозрительно медленно, ваш компьютер нуждается в некоторых работах по техническому обслуживанию.Загрузите Outbyte PC Repair для Windows или Outbyte Antivirus для Windows, чтобы решить распространенные проблемы с производительностью компьютера. Устраните проблемы с компьютером, загрузив совместимый инструмент для вашего устройства.

Продолжить чтение

Экспорт журналов событий Windows из средства просмотра событий


Вопрос

Как экспортировать журналы событий Windows из средства просмотра событий?

Ответ

Иногда при устранении неполадок SiteProtector (и других компонентов, работающих в Windows) службе поддержки может потребоваться просмотреть журналы событий Windows.Следуйте инструкциям ниже, чтобы экспортировать эти данные:
  1. Запустите средство просмотра событий, выбрав Пуск > окно поиска (или нажмите клавишу Windows + R , чтобы открыть диалоговое окно «Выполнить») и введите eventvwr .
  2. В средстве просмотра событий разверните Журналы Windows .
  3. Выберите тип журналов, которые необходимо экспортировать.
  4. Щелкните Действие > Сохранить все события как…
  5. Убедитесь, что для параметра Сохранить как тип установлено значение .evtx и сохраните файл журнала в место назначения по вашему выбору.
  6. Если вам будет предложено отобразить информацию, выберите переключатель Показать информацию… и выберите Английский (США) , как показано на снимке экрана ниже (если иное не указано службой поддержки), и нажмите OK .

    Примечание: .evtx не содержит полных текстов большинства событий. Добавление отображаемой информации гарантирует, что все будет захвачено.
  7. Это создает файл .evtx и папку с именем LocaleMetaData в каталоге, указанном на шаге 5. Добавьте этот файл и каталог в сжатый сжатый файл.
  8. Отправьте сжатый файл, содержащий журналы, в службу поддержки с помощью расширенного репозитория данных клиентов (ECuRep).

[{«Продукт»:{«код»:»SSETBF»,»этикетка»:»Система IBM Security SiteProtector»},»Бизнес-подразделение»:{«код»:»BU059″,»этикетка»:»Программное обеспечение IBM с\ /o TPS»},»Компонент»:»Сервер приложений»,»Платформа»:[{«код»:»PF033″,»метка»:»Windows»}],»Версия»:»Независимая от версии»,»Выпуск «:»»,»Направление деятельности»:{«code»:»LOB24″,»label»:»Программное обеспечение для обеспечения безопасности»}}]

.

Leave a comment