Windows журнал событий: как его открыть и найти информацию об ошибке

Содержание

Просмотр событий и ошибок с помощью viewer событий

1 Запущена служба Microsoft Defender для конечной точки variable (Версия). Происходит во время запуска системы, отключения и во время включаемой. Нормальное операционное уведомление; никаких действий.
2 Отключение службы Microsoft Defender для конечных точек. Происходит, когда устройство отключено или отключено. Нормальное операционное уведомление; никаких действий.
3 Не удалось запустить службу Microsoft Defender для конечной точки. Код отказа: variable . Служба не началась. Просмотрите другие сообщения, чтобы определить возможные действия по устранению причин и неполадок.
4 Служба Microsoft Defender для конечной точки связалась с сервером в variable . Переменная = URL-адрес серверов обработки конечных точек Defender.

Этот URL-адрес будет совпадать с тем, что видно в брандмауэре или сетевой активности.

Нормальное операционное уведомление; никаких действий.
5 Служба Microsoft Defender для конечных точек не смогла подключиться к серверу по variable данным . Переменная = URL-адрес серверов обработки конечных точек Defender.

Служба не смогла связаться с внешними серверами обработки по этому URL-адресу.

Проверьте подключение к URL-адресу. См. в перенастройке прокси-серверов и подключения к Интернету.
6 Служба Microsoft Defender для конечной точки не установлена на борт, и параметры бортового параметров не найдены. Устройство не было правильно на борту и не будет сообщать на портал. Перед запуском службы необходимо запустить бортовую службу.

Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

7 Служба Microsoft Defender для конечной точки не считыла параметры бортовой записи. Сбой: variable . Переменная = подробное описание ошибки. Устройство не было правильно на борту и не будет сообщать на портал. Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

8 Служба Microsoft Defender для конечной точки не смогла очистить конфигурацию. Код отказа: variable . Во время бортового октагона: Службе не удалось очистить конфигурацию во время бортовой работы. Процесс вмеяния продолжается.

Во время offboarding: Служба не смогла очистить конфигурацию во время отключения. Процесс offboarding завершен, но служба продолжает работать.

Onboarding: Никаких действий не требуется.

Offboarding:

Перезагрузка системы.

См. Windows 10 устройства.

9 Служба Microsoft Defender для конечной точки не смогла изменить тип запуска. Код отказа: variable . Во время бортового октагона: Устройство не было правильно на борту и не будет сообщать на портал.

Во время offboarding: Не удалось изменить тип запуска службы. Процесс offboarding продолжается.

Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

10 Служба Microsoft Defender для конечных точек не смогла сохранить сведения о взимаемой информации. Код отказа: variable . Устройство не было правильно на борту и не будет сообщать на портал. Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

11 Заполнена или выполнена перенастройка службы Defender для конечной точки. Устройство правильно вошел в борт. Нормальное операционное уведомление; никаких действий.

Для появления устройства на портале может потребоваться несколько часов.

12 Microsoft Defender для конечной точки не смог применить конфигурацию по умолчанию. Служба не смогла применить конфигурацию по умолчанию. Эта ошибка должна устраниться после короткого периода времени.
13 Вычисляется ID устройства Microsoft Defender для конечных точек: variable . Нормальный операционный процесс. Нормальное операционное уведомление; никаких действий.
15 Microsoft Defender для конечной точки не может запустить командный канал с URL-адресом: variable . Переменная = URL-адрес серверов обработки конечных точек Defender.

Служба не смогла связаться с внешними серверами обработки по этому URL-адресу.

Проверьте подключение к URL-адресу. См. в перенастройке прокси-серверов и подключения к Интернету.
17 Служба Microsoft Defender для конечных точек не смогла изменить расположение службы подключенных пользователей и службы телеметрии. Код отказа: variable . Ошибка произошла в службе Windows телеметрии. Убедитесь, что службадиагностических данных включена «>убедитесь, что служба диагностических данных включена.

Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

18 OOBE (Windows Welcome) завершен. Служба начнется только после Windows после завершения установки обновлений. Нормальное операционное уведомление; никаких действий.
19 OOBE (Windows Welcome) еще не завершен. Служба начнется только после Windows после завершения установки обновлений. Нормальное операционное уведомление; никаких действий.

Если эта ошибка сохраняется после перезапуска системы, убедитесь, что Windows обновления полностью установлены.

20 Не удается дождаться завершения OOBE (Windows Welcome). Код отказа: variable . Внутренняя ошибка. Если эта ошибка сохраняется после перезапуска системы, убедитесь, что Windows обновления полностью установлены.
25 Службе Microsoft Defender для конечных точек не удалось сбросить состояние здоровья в реестре. Код отказа: variable . Устройство не было правильно на борту. Он будет сообщать на портал, однако служба не может отображаться как зарегистрированная в SCCM или реестре.
Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

26 Службе Microsoft Defender для конечных точек не удалось установить в реестре состояние onboarding. Код отказа: variable . Устройство не было правильно на борту.

Он будет сообщать на портал, однако служба не может отображаться как зарегистрированная в SCCM или реестре.

Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

27 Служба Microsoft Defender для конечных точек не смогла включить режим sense aware в антивирусная программа в Microsoft Defender. Сбой в процессе onboarding. Код отказа: variable . Как правило, антивирусная программа в Microsoft Defender вступает в специальное пассивное состояние, если на устройстве правильно работает другой антивирусный продукт в режиме реального времени, и устройство сообщается в Defender for Endpoint. Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

Убедитесь, что защита от антивирусных программ в режиме реального времени работает должным образом.

28 В Microsoft Defender для подключенных к конечной точке пользовательских интерфейсов и регистрации службы телеметрии не удалось. Код отказа: variable . Ошибка произошла в службе Windows телеметрии. Убедитесь, что служба диагностических данных включена.

Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

29 Не удалось прочитать параметры offboarding. Тип ошибки: %1, код ошибки: %2, Описание: %3 Это событие происходит, когда система не может считыть параметры offboarding. Убедитесь, что устройство имеет доступ к Интернету, затем запустите весь процесс offboarding снова. Убедитесь, что срок действия пакета offboarding не истек.
30 Служба Microsoft Defender для конечной точки не смогла отключить режим зная SENSE в антивирусная программа в Microsoft Defender. Код отказа: variable . Как правило, антивирусная программа в Microsoft Defender вступает в специальное пассивное состояние, если на устройстве правильно работает другой антивирусный продукт в режиме реального времени, и устройство сообщается в Defender for Endpoint. Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

Убедитесь, что защита от антивирусных программ в режиме реального времени работает должным образом.

31 Сбой в работе Microsoft Defender для подключенных к конечным точкам пользователей и регистрации службы телеметрии. Код отказа: variable . Ошибка произошла в службе Windows телеметрии во время бортовой работы. Процесс offboarding продолжается. Проверьте ошибки в службе Windows телеметрии.
32 Служба Microsoft Defender для конечных точек не смогла попросить остановиться после процесса offboarding. Код отказа: %1 Ошибка произошла во время offboarding. Перезапустите устройство.
33 Служба Microsoft Defender для конечной точки не смогла сохранить GUID SENSE. Код отказа: variable . Уникальный идентификатор используется для представления каждого устройства, отчитывающееся на портале.

Если идентификатор не сохраняется, одно и то же устройство может дважды отображаться на портале.

Проверьте разрешения реестра на устройстве, чтобы убедиться, что служба может обновлять реестр.
34 Служба Microsoft Defender для конечных точек не смогла добавить себя в зависимость от службы подключенных пользователей и службы телеметрии, из-за чего процесс подключения не удалось. Код отказа: variable . Ошибка произошла в службе Windows телеметрии. Убедитесь, что служба диагностических данных включена.

Убедитесь, что параметры и сценарии бортовой установки были развернуты должным образом. Попробуйте передиплоять пакеты конфигурации.

См. Windows 10 устройства.

35 Служба Microsoft Defender для конечных точек не смогла удалить себя в качестве зависимости от службы подключенных пользователей и службы телеметрии. Код отказа: variable . Во время отключения в службе Windows телеметрии произошла ошибка. Процесс offboarding продолжается. Проверьте ошибки в службе диагностических Windows данных.
36 Microsoft Defender для подключенных к конечной точке пользователей и регистрации службы телеметрии успешно. Код завершения: variable . Успешно завершена регистрация Defender для конечной точки с помощью службы подключенных пользователей и телеметрии. Нормальное операционное уведомление; никаких действий.
37 Модуль Microsoft Defender для конечной точки A будет превышать квоту. Модуль: %1, Квота: {%2} {%3}, Процент использования квот: %4. Устройство почти использовало выделенную квоту текущего 24-часового окна. Его вот-вот перенабьют. Нормальное операционное уведомление; никаких действий.
38 Подключение к сети определено как низкое. Microsoft Defender для конечной точки будет связываться с сервером каждые 1 минуту. Дозное подключение: %2, доступ к Интернету: %3, доступная бесплатная сеть: %4. Устройство использует дозную/платную сеть и будет реже обращаться к серверу. Нормальное операционное уведомление; никаких действий.
39 Подключение к сети определено как обычное. Microsoft Defender для конечной точки будет связываться с сервером каждые 1 минуту. Дозное подключение: %2, доступ к Интернету: %3, доступная бесплатная сеть: %4. Устройство не использует дозное/платное подключение и будет связываться с сервером в обычном режиме. Нормальное операционное уведомление; никаких действий.
40 Состояние батареи определено как низкое. Microsoft Defender для конечной точки будет связываться с сервером каждые 1 минуту. Состояние батареи: %2. Устройство имеет низкий уровень батареи и реже контактировать с сервером. Нормальное операционное уведомление; никаких действий.
41 Состояние батареи определено как нормальное. Microsoft Defender для конечной точки будет связываться с сервером каждые 1 минуту. Состояние батареи: %2. Устройство не имеет низкого уровня батареи и будет связываться с сервером, как обычно. Нормальное операционное уведомление; никаких действий.
42 Компонент Microsoft Defender для конечной точки не выполнил действий. Компонент: %1, Действие: %2, Тип исключения: %3, Сообщение об исключении: %4 Внутренняя ошибка. Не удалось запустить службу. Если эта ошибка сохраняется, обратитесь в службу поддержки.
43 Компонент Microsoft Defender для конечной точки не выполнил действий. Компонент: %1, Действие: %2, Тип исключения: %3, Ошибка исключения: %4, Сообщение об исключении: %5 Внутренняя ошибка. Не удалось запустить службу. Если эта ошибка сохраняется, обратитесь в службу поддержки.
44 Отключение службы Defender для конечной точки завершено. Служба была отключена. Нормальное операционное уведомление; никаких действий.
45 Не удалось зарегистрировать и запустить сеанс трассировки событий [%1]. Код ошибки: %2 Ошибка произошла при запуске службы при создании сеанса ETW. Это привело к сбою запуска службы. Если эта ошибка сохраняется, обратитесь в службу поддержки.
46 Не удалось зарегистрировать и запустить сеанс трассировки событий [%1] из-за нехватки ресурсов. Код ошибки: %2. Это, скорее всего, потому, что существует слишком много активных сеансов трассировки событий. Служба будет повторить в течение 1 минуты. Ошибка произошла при запуске службы при создании сеанса ETW из-за нехватки ресурсов. Служба запущена и запущена, но не будет сообщать о событии датчика до запуска сеанса ETW. Нормальное операционное уведомление; никаких действий. Служба будет пытаться начинать сеанс каждую минуту.
47 Успешно зарегистрировался и начал сеанс трассировки событий , восстановленный после предыдущих неудачных попыток. Это событие следует за предыдущим событием после успешного начала сеанса ETW. Нормальное операционное уведомление; никаких действий.
48 Не удалось добавить поставщика [%1] в сеанс трассировки событий [%2]. Код ошибки: %3. Это означает, что события от этого поставщика не будут отчитаться. Не удалось добавить поставщика в сеанс ETW. В результате события поставщика не сообщаются. Проверьте код ошибки. Если ошибка сохраняется, обратитесь в службу поддержки.
49 Команда конфигурации недействительных облаков получена и проигнорирована. Версия: %1, состояние: %2, код ошибки: %3, сообщение: %4 Получил недействительный файл конфигурации из облачной службы, которая была проигнорирована. Если эта ошибка сохраняется, обратитесь в службу поддержки.
50 Новая конфигурация облака успешно применяется. Версия: %1. Успешно применена новая конфигурация облачной службы. Нормальное операционное уведомление; никаких действий.
51 Новая конфигурация облака не применялась, версия: %1. Успешно применена последняя известная хорошая конфигурация версии %2. Получен плохой файл конфигурации из облачной службы. Последняя известная хорошая конфигурация была применена успешно. Если эта ошибка сохраняется, обратитесь в службу поддержки.
52 Новая конфигурация облака не применялась, версия: %1. Также не удалось применить последнюю хорошую конфигурацию версии %2. Успешно применена конфигурация по умолчанию. Получен плохой файл конфигурации из облачной службы. Не удалось применить последнюю хорошую конфигурацию , и была применена конфигурация по умолчанию. Служба попытается скачать новый файл конфигурации в течение 5 минут. Если вы не видите события #50 , обратитесь в службу поддержки.
53 Облачная конфигурация, загруженная из сохраняемого хранилища, версия: %1. Конфигурация загружалась из сохраняемого хранилища при запуске службы. Нормальное операционное уведомление; никаких действий.
55 Не удалось создать автологгер Secure ETW. Код отказа: %1 Не удалось создать безопасный регистратор ETW. Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки.
56 Не удалось удалить автологгер Secure ETW. Код отказа: %1 Не удалось удалить безопасный сеанс ETW при отключении. Поддержка контактов.
57 Захват снимка компьютера для устранения неполадок. В настоящее время собираются пакеты расследований, также известные как пакет судебно-медицинской экспертизы. Нормальное операционное уведомление; никаких действий.
59 Начальная команда: %1 Запуск выполнения командной команды ответа. Нормальное операционное уведомление; никаких действий.
60 Не удалось выполнить команду %1, ошибка: %2. Не удалось выполнить команду ответа. Если эта ошибка сохраняется, обратитесь в службу поддержки.
61 Параметры командного сбора данных недействительны: SasUri: %1, compressionLevel: %2. Не удалось прочитать или размыть аргументы команд сбора данных (недействительные аргументы). Если эта ошибка сохраняется, обратитесь в службу поддержки.
62 Не удалось запустить службу подключенных пользователей и телеметрии. Код отказа: %1 Не удалось запустить службу подключенных пользовательских интерфейсов и телеметрии (diagtrack). Телеметрия не microsoft Defender для конечной точки не будет отправлена с этого компьютера. Дополнительные подсказки по устранению неполадок в журнале событий: Microsoft-Windows-UniversalTelemetryClient/Operational.
63 Обновление типа запуска внешней службы. Имя: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3, код выхода: %4 Обновленный тип запуска внешней службы. Нормальное операционное уведомление; никаких действий.
64 Запуск остановленной внешней службы. Имя: %1, код выхода: %2 Запуск внешней службы. Нормальное операционное уведомление; никаких действий.
65 Не удалось загрузить драйвер компонента событий microsoft Security Component Minifilter. Код отказа: %1 Не удалось загрузить MsSecFlt.sys файлосистемы. Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки.
66 Обновление политики: режим задержки — %1 Политика частоты C&C была обновлена. Нормальное операционное уведомление; никаких действий.
68 Тип запуска службы является неожиданным. Имя службы: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3 Неожиданный внешний тип запуска службы. Исправление внешнего типа запуска службы.
69 Служба остановлена. Имя службы: %1 Внешняя служба остановлена. Запустите внешнюю службу.
70 Обновление политики: Разрешить выборку коллекции — %1 Обновлена политика сбора образцов. Нормальное операционное уведомление; никаких действий.
71 Успешное запуск команды: %1 Команда выполнена успешно. Нормальное операционное уведомление; никаких действий.
72 Попытался отправить первый полный отчет профиля машины. Код результата: %1 Только информационная. Нормальное операционное уведомление; никаких действий.
73 Чувство, начиная с платформы: %1 Только информационная. Нормальное операционное уведомление; никаких действий.
74 Тег устройства в реестре превышает ограничение длины. Имя тега: %2. Ограничение длины: %1. Тег устройства превышает ограничение длины. Используйте более короткий тег устройства.
81 Не удалось создать автологгер Microsoft Defender для конечной точки ETW. Код отказа: %1 Не удалось создать сеанс ETW. Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки.
82 Не удалось удалить автологгер Microsoft Defender для конечной точки ETW. Код отказа: %1 Не удалось удалить сеанс ETW. Поддержка контактов.
84 Установите антивирусная программа режим работы. Пассивный режим force: %1, код результатов: %2. Установите режим работы защитника (активный или пассивный). Нормальное операционное уведомление; никаких действий.
85 Не удалось вызвать Microsoft Defender для конечной точки, исполняемой. Код отказа: %1 Выполнение SenseIR в главной роли не удалось. Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки.
86 При запуске снова остановлена внешняя служба, которая должна быть вверх. Имя: %1, код выхода: %2 Запуск внешней службы снова. Нормальное операционное уведомление; никаких действий.
87 Не удается запустить внешнюю службу. Имя: %1 Не удалось запустить внешнюю службу. Поддержка контактов.
88 Повторное обновление типа запуска внешней службы. Имя: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3, код выхода: %4 Обновлен тип запуска внешней службы. Нормальное операционное уведомление; никаких действий.
89 Не удается обновить начните тип внешней службы. Имя: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3 Не может обновить тип запуска внешней службы. Поддержка контактов.
90 Не удалось настроить system Guard Runtime Monitor для подключения к облачной службе в geo-region %1. Код отказа: %2 System Guard Runtime Monitor не будет отправлять данные проверки в облачную службу. Проверьте разрешения на пути регистрации: «HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm». Если проблем не обнаружено, обратитесь в службу поддержки.
91 Не удалось удалить сведения о георегиране System Guard Runtime Monitor. Код отказа: %1 System Guard Runtime Monitor не будет отправлять данные проверки в облачную службу. Проверьте разрешения на пути регистрации: «HKLM\Software\Microsoft\Windows\CurrentVersion\Sgrm». Если проблем не обнаружено, обратитесь в службу поддержки.
92 Прекращение отправки квоты кибер-данных датчика из-за превышения квоты данных. Возобновит отправку после того, как пройдет период квоты. Маска состояния: %1 Превышение лимита регулирования. Нормальное операционное уведомление; никаких действий.
93 Повторное отправка данных кибер-датчика. Маска состояния: %1 Возобновление отправки кибер-данных. Нормальное операционное уведомление; никаких действий.
94 Начался microsoft Defender для исполняемой конечной точки Начался исполняемый SenseCE. Нормальное операционное уведомление; никаких действий.
95 Microsoft Defender для исполняемой конечной точки завершилась Исполняемый SenseCE завершился. Нормальное операционное уведомление; никаких действий.
96 Microsoft Defender для endpoint Init вызвал. Код результата: %2 Исполняемый SenseCE вызвал инициализацию MCE. Нормальное операционное уведомление; никаких действий.
97 Существуют проблемы с подключением к облаку для сценария DLP Существуют проблемы сетевого подключения, влияющие на поток классификации DLP. Проверьте подключение к сети.
98 Подключение к облаку для сценария DLP восстановлено Подключение к сети восстановлено, и поток классификации DLP может продолжаться. Нормальное операционное уведомление; никаких действий.
99 Sense столкнулась со следующей ошибкой при общении с сервером: (%1). Результат: (%2) Произошла ошибка связи. Дополнительные сведения о следующих событиях в журнале событий.
100 Не удалось запустить Microsoft Defender для конечной точки. Код отказа: %1 Не удалось запустить исполняемый SenseCE. Перезапустите устройство. Если эта ошибка сохраняется, обратитесь в службу поддержки.
102 Начался microsoft Defender для обнаружения конечных точек сети и выполнения ответных действий Начался исполняемый SenseNdr. Нормальное операционное уведомление; никаких действий.
103 Microsoft Defender для обнаружения конечных точек сети и выполнения ответов завершен Выполнение SenseNdr завершено. Нормальное операционное уведомление; никаких действий.

Средство просмотра событий Windows – как использовать

Средство просмотра событий Windows является одним из инструментов администрирования операционной системы Microsoft.

В первой части руководства будет объяснено, для чего используется этот инструмент и какая информация хранится в его регистрах.

Во второй части руководства мы увидим, как прочитать свойства события и как создать персонализированный вид событий.

Что такое средство просмотра событий Windows

Просмотрщик событий – самый мощный диагностический инструмент в Windows. Его использование имеет фундаментальное значение для контроля целостности системы, поскольку предоставляет подробную информацию обо всех событиях, происходящих на ПК. Событие представляет собой явление, которое происходит внутри системы и передается наружу, – к пользователю или к другим программам, и обычно соответствует состоянию или изменениям конфигурации. События регистрируются службой журнала событий Windows, а их история сохраняется в соответствующих системных журналах.

Средство просмотра событий Windows помогает в анализе проблемы, поскольку позволяет просматривать аппаратные и программные аномалии различной природы (сбой при запуске службы, сбой системы, невозможность установить обновление, повреждение в структуре файловой системы, конфликт IP-адресов).

Как запустить средство просмотра событий Windows

Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.

Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.

  1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
  2. Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК.
  3. Откроется оснастка «Просмотр событий».

  4. Разверните её на весь экран.

Обзор и сводка по событиям

Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.

Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).

Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.

В столбце Тип события можно нажать +, чтобы развернуть категорию и просмотреть источник событий того же типа.

Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая +.

Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.

Журналы просмотра событий Windows

Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.

Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.

В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».

Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.

Журналы Windows

В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:

  • Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
    • Ошибка: указывает на критическую проблему, которая могла привести к потере данных или функциональности.
    • Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
    • Информация: описывает правильную работу драйвера, программы или службы.
  • Безопасность. Журнал безопасности содержит события аудита, связанные с попытками пользователя подключиться и использованием защищенных ресурсов (создание, открытие, удаление файлов). Журнал безопасности идентифицирует события, используя два типа значков: значок ключа и значок замка.
    • Ключ: идентифицирует события типа успешная проверка.
    • Замок: идентифицирует события типа проверка не удалась.
  • Установка. Журнал установки содержит события, связанные с установкой приложений.
  • Система. В журнале системы указываются события, создаваемые системными компонентами Windows и установленными функциями, такие как драйвер. Например, если драйвер не загружается во время сеанса загрузки, это событие сохраняется в системном журнале. Также в этом журнале события классифицируются как Ошибка, Предупреждение или Информация.
  • Перенаправленные события. В журнале сохраняются события, произошедшие на удаленных компьютерах.

Журналы приложений и служб

В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.

Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.

Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.

Просмотр логов и событий

Когда мы выбираем журнал на левой панели средства просмотра событий Windows, на центральной панели отображается список его событий, упорядоченный в обратном хронологическом порядке.

В поле ниже показано содержимое, относящееся к выбранному событию.

Окно свойства события

Чтобы просмотреть детали одного события, мы должны использовать окно Свойства события. Чтобы открыть его, дважды щелкните левой кнопкой мыши на событии в центральной панели.

В окне «Свойства события» мы можем выбрать вкладку Общие или Подробности.

Вкладка «Общие»

Вкладка «Общие» содержит следующую информацию:

  • Имя журнала: указывает имя журнала, который заархивировал событие.
  • Источник: Указывает источник события. Может указывать название программы, системного компонента или большой программы.
  • Код события: это число, которое однозначно определяет тип события. Например, число 6005 – это идентификатор события, который всегда будет указывать на начало журнала событий.
  • Уровень: указывает уровень серьезности события. В системном журнале и в журнале приложений у нас могут быть следующие уровни серьезности (представленные символом):
    • Информация: указывает на успех операции, изменение приложения, создание ресурса или запуск службы.
    • Предупреждение: указывает на событие, которое может вызвать проблему в будущем, если не будет предпринято никаких корректирующих действий.
    • Ошибка: указывает на событие, которое описывает проблему, которая может повлиять на правильную функциональность системы или приложения, которое вызвало событие. События ошибок могут включать потерю данных или функциональность.
    • Критичное: указывает на ошибку, которая не позволяет выполнить автоматическое восстановление системы или приложения, которое вызвало событие.
  • Пользователь: указывает имя пользователя, вошедшего в систему, когда произошло событие.
  • Код операции: это 1-байтовое числовое значение, которое идентифицирует действие или точку в действии, выполняемом приложением в момент возникновения события. Используется для представления определенного действия или части действия, выполняемого программным обеспечением, но также и для процессов, основанных на действиях трассировки, таких как веб-службы, где действие представляет собой конкретный запрос, полученный веб-службой.
  • Дата: указывает дату и время, когда событие было записано.
  • Категория задачи: это классификация события, основанная на происхождении события (используется в журнале безопасности).
  • Ключевые слова: указывает категорию или тег, полезные для фильтрации или поиска по событиям.
  • Компьютер: указывает имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но это может быть имя компьютера, который переадресовал событие, или имя локального компьютера до того, как его имя было изменено.

Вкладка «Подробности»

Вкладка «Подробности» содержит дополнительную информацию о событии.

Информация разделена на два раздела (расширяется нажатием +):

  • System: содержит общую информацию, общую для каждого экземпляра события, например, некоторые системные параметры, записанные при публикации экземпляра.
  • EventData: содержит структурированную информацию о приложении.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Выполнить действие в ответ на событие

Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.

Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.

Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.

Исправление ошибки «Журнал событий заполнен» в Windows XP

НЕКЕШЕРОВАННЫЙ КОНТЕНТ

Я работал над рабочим проектом, когда внезапно получил странную ошибку: «Журнал событий заполнен». Шутки в сторону? Я не помнил, что Windows XP не перезаписывает автоматически события, произошедшие менее 7 дней назад, из журнала событий, поэтому, когда он заполнен, большинство приложений, которые пытаются записать в журнал событий, ломаются.

Вы можете легко решить эту проблему, изменив журналы событий, чтобы перезаписать старые события независимо от даты, или просто увеличив размер, до которого журнал может увеличиваться.

Примечание. Если в течение 7 дней ваш журнал событий настолько огромен, что вы получаете эту ошибку, вероятно, что-то серьезно не так. Вы должны проверить свой журнал событий, чтобы понять, что вызывает все ошибки… подробнее об этом в будущей статье.

Увеличение размера журнала событий

Откройте средство просмотра событий, введя eventvwr в поле Пуск \ Выполнить или найти его в разделе «Администрирование» Панели управления.

Вы заметите в правой части окна, что текущий размер моих журналов событий приложений и системных событий составляет 512 КБ …

Теперь вы можете щелкнуть правой кнопкой мыши один из журналов событий в списке и выбрать в меню «Свойства».

В этом диалоговом окне вы можете сделать несколько вещей … вы можете очистить журнал, увеличить размер или просто настроить систему на перезапись событий по мере необходимости.

Я решил увеличить максимальный размер журнала событий, а затем при необходимости перезаписать события.

Те из вас, кто использует Windows Vista, заметят, что настройки по умолчанию в Vista — перезапись по мере необходимости, а максимальный размер намного больше. Думаю, тогда мой выбор настроек имеет смысл …

Опять же, если ваши журналы событий приложения или системы становятся настолько огромными, что вы получаете эту ошибку, вам действительно следует изучить основную причину, внимательно изучив записи в журналах.

События Kaspersky Security в журнале событий Windows

В этом разделе собрана информация о базовых событиях в работе программы, которые записываются в журнал событий Windows. События, связанные с работой Kaspersky Security, регистрируются в журнале событий Windows источником KSHSecurityService (службой Kaspersky Security). Такие события имеют фиксированный код события. События в таблице отсортированы по возрастанию кода события.

Код события

Категория задачи

Уровень важности события

Описание

1011

AntivirusScanner;

Dlp;

TextCategorizer.

Ошибка

Событие записывается, если программа зафиксировала ошибки в работе компонента. В записи о событии указывается название компонента и описание ошибки.

Предупреждение

Событие записывается, если программа зафиксировала выключение компонента. В записи о событии указывается название компонента.

Сведения

Событие записывается, если программа зафиксировала включение компонента. В записи о событии указывается название компонента.

1015

OAS

Предупреждение

Событие записывается, если программа обнаружила зараженный файл во время проверки при обращении.

1019

OAS

Предупреждение

Событие записывается, если программа обнаружила нежелательный контент во время проверки при обращении.

1020

OAS

Предупреждение

Событие записывается, если программа обнаружила фишинговую ссылку во время проверки при обращении.

1021

ODS

Сведения

Событие записывается, если задача проверки по требованию была запущена вручную или автоматически по расписанию. В записи о событии указывается имя задачи и тип запуска.

1022

ODS

Сведения

Событие записывается, если задача проверки по требованию была остановлена. В записи о событии указывается имя задачи и причина остановки задачи.

1023

ODS

Сведения

Событие записывается, если пользователь запросил запуск задачи проверки по требованию. В записи о событии указывается учетная запись пользователя.

1024

ODS

Сведения

Событие записывается, если пользователь запросил остановку задачи проверки по требованию. В записи о событии указывается учетная запись пользователя.

1041

Updates

Ошибка

Событие записывается, если базы программы не удалось обновить. В записи о событии указывается описание ошибки.

1042

Updates

Сведения

Событие записывается, если ошибка обновления баз программы устранена и базы обновлены успешно. В записи о событии указывается дата выпуска баз.

1091

Updates

Ошибка

Событие записывается, если программа обнаруживает, что базы устарели более чем на сутки. В записи о событии указывается дата выпуска баз.

1092

Updates

Сведения

Событие записывается, если базы программы были обновлены до последней версии. В записи о событии указывается дата выпуска баз.

6200

Infrastructure

Ошибка

Событие записывается, если компонент программы перешел в режим ограниченной проверки. В записи о событии указывается название компонента и время его перехода в режим ограниченной проверки

7114

Backup

Сведения

Событие записывается, если пользователь удалил файл из резервного хранилища. В записи о событии указывается учетная запись пользователя и подробная информация о файле.

7115

Backup

Сведения

Событие записывается, если пользователь сохранил файл из резервного хранилища на диск. В записи о событии указывается учетная запись пользователя и подробная информация о файле.

7116

Backup

Сведения

Событие записывается, если пользователь восстановил файл из резервного хранилища. В записи о событии указывается учетная запись пользователя и подробная информация о файле.

10200

Licensing

Предупреждение

Событие записывается, если активный ключ не обнаружен.

10201

Licensing

Ошибка

Событие записывается, если срок действия лицензии истек. В записи о событии указывается ключ и дата окончания срока действия лицензии.

10202

Licensing

Предупреждение

Событие записывается, если настроен параметр Уведомить заранее об истечении срока действия лицензии (дни). В записи о событии указывается ключ, дата окончания срока действия лицензии и количество дней, оставшихся до окончания этого срока.

11010

Infrastructure

Сведения

Событие записывается, если Консоль управления была запущена. В записи о событии указывается учетная запись пользователя, запустившего Консоль управления.

11011

Infrastructure

Сведения

Событие записывается, если Консоль управления была закрыта. В записи о событии указывается учетная запись пользователя, закрывшего Консоль управления.

16000

Dlp

Предупреждение

Событие записывается, если в политике или в задаче Поиска настроен параметр Вести запись событий в журнал событий Windows и Kaspersky Security Center и программа обнаружила файл, нарушающий политику безопасности.

16012

Dlp

Предупреждение

Событие записывается, если специалист по информационной безопасности запросил сохранение на диск объекта, приложенного к инциденту.

16013

Dlp

Предупреждение

Событие записывается, если специалист по информационной безопасности выполнил архивирование инцидентов.

16100

Dlp

 

Событие записывается, если настроен параметр Уведомлять при добавлении категорий «Лаборатории Касперского» и во время обновления баз программы были обновлены категории «Лаборатории Касперского». В записи о событии указываются названия обновленных категорий и краткие описания категорий.

30000

Configuration

Сведения

Событие записывается, если параметры программы были изменены. В записи о событии указывается учетная запись пользователя, изменившего параметры, область изменений (например, Content Filtering), значение измененного параметра.

31000

Licensing

Сведения

Событие записывается, если статус ключа, дата окончания срока действия лицензии, количество пользователей или тип лицензии изменились. В записи о событии указывается ключ, тип лицензии, дата окончания срока действия лицензии и количество пользователей лицензии.

31022

Licensing

Сведения

Событие записывается, если пользователь выполнил действия с ключом Сервера безопасности или ключом Модуля DLP. В записи о событии указывается учетная запись пользователя.

WMI и журнал событий Windows

При получения данных из журнала событий Windows с помощью WMI (Windows Management Instrumentation), вы стакнетесь с проблемой, ограниченным числом журналов событий Windows. Тем не менее, этот список является неполным другие журналы событий, которые доступны в рамках приложений и служб (например, Print Service) не отображаются по следующей причине. WMI использует реестр, чтобы определить, какие журнала событий Windows он может получить и представить пользователю. Поскольку реестр не содержит записи для источника, что вам требуется, вы не увидите его в списке.

Решение

Создать запись в реестре, чтобы инстумент WMI смог увидеть наличие других журналов событий Windows:

  1. Проверьте фактическое имя журнала событий. Например, PrintServer.
  2. В системе Windows, откройте окно просмотра событий и расширения для Windows Log, Журналы приложений и служб, Microsoft, Windows, PrintService, Microsoft-Windows-PrintService/Operational.
  3. Перейти к свойствам и скопировать Полное имя поля.
  4. Нажмите кнопку Пуск, Выполнить, введите команду regedit и нажмите кнопку ОК.
  5. Перейдите к следующему разделу: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ EventLog.
  6. Создайте новый ключ, используя полное имя, скопированный ранее — например, Microsoft-Windows-PrintService/Operational.
  7. Закройте редактор реестра.
  8. Создать источник данных WMI и использовать Получить Журналы таким же образом, что вы делали ранее. На этот раз, вы можете увидеть и выбрать соответствующий источник (в данном примере, Microsoft-Windows-PrintService/Operational).

 

Похожие записи
Уязвимость CVE-2017-0263 в Windows позволяла получить максимальные привилегии

Уязвимость CVE-2017-0263 в Windows позволяла получить максимальные привилегии Специалисты Positive Technologies проанализировали ранее неизвестную уязвимость в операционной системе Windows и уведомили о ней корпорацию Microsoft. Изначально ошибка позволяла злоумышленнику получить максимальные привилегии на рабочих станциях…

Китайские ученые продвинулись в создании квантового интернета

Китайские ученые продвинулись в создании квантового интернета Группа китайских ученых при помощи первого в мире спутника квантовой связи «Мо-цзы» смогла разнести так называемые запутанные фотоны на рекордное расстояние в 1200 километров, тем самым сделав…

Новая версия JavaScript 7th Edition

Вышла новая версия JavaScript 7th Edition, опубликованная организацией Ecma International, отвечающая за стандарт ECMAScript. ECMAScript — это встраиваемый расширяемый не имеющий средств ввода-вывода язык программирования, используемый в качестве основы для построения других…

Точность определения координат GPS

Точность определения координат GPS GPS — спутниковая система навигации, обеспечивающая измерение расстояния, времени и определяющая местоположениe. Позволяет в любом месте Земли (не включая приполярные области), почти при любой погоде, а…

Не удается найти страницу | Autodesk Knowledge Network

(* {{l10n_strings.REQUIRED_FIELD}})

{{l10n_strings.CREATE_NEW_COLLECTION}}*

{{l10n_strings.ADD_COLLECTION_DESCRIPTION}}

{{l10n_strings.COLLECTION_DESCRIPTION}} {{addToCollection.description.length}}/500 {{l10n_strings.TAGS}} {{$item}} {{l10n_strings.PRODUCTS}} {{l10n_strings.DRAG_TEXT}}  

{{l10n_strings.DRAG_TEXT_HELP}}

{{l10n_strings.LANGUAGE}} {{$select.selected.display}}

{{article.content_lang.display}}

{{l10n_strings.AUTHOR}}  

{{l10n_strings.AUTHOR_TOOLTIP_TEXT}}

{{$select.selected.display}} {{l10n_strings.CREATE_AND_ADD_TO_COLLECTION_MODAL_BUTTON}} {{l10n_strings.CREATE_A_COLLECTION_ERROR}}

где найти, как зайти и как очистить

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Как зайти в журнал событий в Windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

  1. Зажатием клавиш «Win» + «R» вызвать окно.
  2. Прописать команду «eventvwr».
  3. Нажать «OK».

А второй требует использования панели управления, где требуется:

  1. Выбрать раздел «Система и безопасность».
  2. Проследовать в подраздел «Администрирование».
  3. Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

  • Приложение (основная) — записи, созданные программами.
  • Безопасность (основная) — сведения о безопасности системы.
  • Установка (дополнительная).
  • Система (основная) — сведения о работе системных компонентов.
  • Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Нюансы работы в журнале

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

  • важности;
  • времени;
  • источнику;
  • имени компьютера и пользователя;
  • коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Вручную

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

  1. Открыть журнал событий.
  2. Нажать правой кнопкой мыши на необходимый раздел.
  3. Выбрать команду «Очистить журнал…».

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Создание файла .bat

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Его необходимо использовать в следующем алгоритме:

  1. Создайте текстовый документ.
  2. Скопируйте в него код, указанный выше.
  3. Сохраните документ с расширением .bat (подробнее о расширениях можно прочесть в статье «Расширения файлов Windows. Как открыть и изменить расширения файлов»)
  4. Запустите полученный файл от имени администратора.

После этого все отчеты будут удалены.

Через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

  1. Нажать клавишу «Win».
  2. Вести «Командная строка».
  3. Запустить утилиту от имени администратора.
  4. Ввести указанную ниже команду и нажать «Enter».

for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1″

Через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

Вертим логи как хотим ― анализ журналов в системах Windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

findstr «Fail» *.log >> fail.txt

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Get-Content -Path ‘C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log’ | Out-Host -Paging

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

>Get-Content -Path «C:\Windows\WindowsUpdate.log» -Tail 5 -Wait


Смотрим за ходом обновления Windows.

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Select-String -Path «C:\Windows\System32\LogFiles\Firewall\pfirewall.log» -Pattern ‘Drop’ | Select-Object -Last 20 | Format-Table Line


Смотрим, кто пытается пролезть на наш дедик.

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Select-String ‘C:\Windows\Cluster\Reports\Cluster.log’ -Pattern ‘ err ‘ ‑Context 3

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Get-Content ‘C:\Windows\debug\netlogon.log’ | Select-Object -First 30 -Skip 45

Журналы системы ведутся в формате .evtx, и для работы с ними существуют отдельные командлеты. Для работы с классическими журналами («Приложение», «Система», и т.д.) используется Get-Eventlog. Этот командлет удобен, но не позволяет работать с остальными журналами приложений и служб. Для работы с любыми журналами, включая классические, существует более универсальный вариант ― Get-WinEvent. Остановимся на нем подробнее.

Для получения списка доступных системных журналов можно выполнить следующую команду:

Get-WinEvent -ListLog *


Вывод доступных журналов и информации о них.

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Get-WinEvent -LogName ‘System’ -MaxEvents 20


Последние записи в журнале System.

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

Get-WinEvent -FilterHashTable @{LogName=’System’;ID=’1′,’6013′}

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

  • 0 ― всегда записывать;
  • 1 ― критический;
  • 2 ― ошибка;
  • 3 ― предупреждение;
  • 4 ― информация;
  • 5 ― подробный (Verbose).

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

Get-WinEvent -FilterHashtable @{LogName=’system’} | Where-Object -FilterScript {($_.Level -eq 2) -or ($_.Level -eq 3)}


Ошибки и предупреждения журнала System.

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

  • Get-EventLog.
  • Get-WinEvent.

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

SELECT extract_token(text, 0, ‘ ‘) as date, extract_token(text, 1, ‘ ‘) as time, extract_token(text, 2, ‘ ‘) as action, extract_token(text, 4, ‘ ‘) as src-ip, extract_token(text, 7, ‘ ‘) as port FROM ‘C:\Windows\System32\LogFiles\Firewall\pfirewall.log’ WHERE action=’DROP’ AND port=’3389′ ORDER BY date,time DESC

Посмотрим на результат:


Смотрим журнал Windows Firewall.

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManager\Operational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%\test.evtx.

Данные будем получать таким запросом:

SELECT timegenerated as Date, extract_token(strings, 0, ‘|’) as user, extract_token(strings, 2, ‘|’) as sourceip FROM ‘%temp%\test.evtx’ WHERE EventID = 21 ORDER BY Date DESC


Смотрим, кто и когда подключался к нашему серверу терминалов.

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

SELECT TO_LOCALTIME(TO_TIMESTAMP(EXTRACT_PREFIX(TO_STRING([#Fields: date-time]),0,’T’), ‘yyyy-MM-dd’)) AS Date, COUNT(*) AS FROM ‘C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG’ WHERE (event-id=’RECEIVE’) GROUP BY Date ORDER BY Date ASC

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.


Выполняем запрос и открываем получившуюся картинку…


Любуемся результатом.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

$LogQuery = New-Object -ComObject «MSUtil.LogQuery» $InputFormat = New-Object -ComObject «MSUtil.LogQuery.FileSystemInputFormat» $InputFormat.Recurse = -1 $OutputFormat = New-Object -ComObject «MSUtil.LogQuery.CSVOutputFormat» $SQLQuery = «SELECT Top 20 Path, Size INTO ‘%temp%\output.csv’ FROM ‘C:\*.*’ ORDER BY Size DESC» $LogQuery.ExecuteBatch($SQLQuery, $InputFormat, $OutputFormat) $CSV = Import-Csv $env:TEMP’\output.csv’ $CSV | fl Remove-Item $env:TEMP’\output.csv’ $LogQuery=$NULL $InputFormat=$NULL $OutputFormat=$NULL

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.


Интерфейс Log Parser Studio.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:


Выборка наиболее активных ящиков.

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Как открыть

Для запуска нажмите «Win+R», пропишите «control». Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».


Откроется окно утилиты. Слева расположены журналы:

  • приложений;
  • служб;
  • подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.


Работа происходит с разделом «Журналы», в который входят такие категории:

  1. Система. Содержит действия, которые созданы драйверами и модулями ОС;
  2. Установка;
  3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
  4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
  5. Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».


Отметьте пункты как на скриншоте:


Утилита отфильтрует записи.


Просмотрите сообщение:

Как использовать просмотр событий Windows для решения проблем с компьютером

05.06.2014 windows | для начинающих
Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

  • Администрирование Windows для начинающих
  • Редактор реестра
  • Редактор локальной групповой политики
  • Работа со службами Windows
  • Управление дисками
  • Диспетчер задач
  • Просмотр событий (эта статья)
  • Планировщик заданий
  • Монитор стабильности системы
  • Системный монитор
  • Монитор ресурсов
  • Брандмауэр Windows в режиме повышенной безопасности

Как запустить программу Просмотра событий

Чтобы осуществить запуск программы Просмотр событий нужно:

  1. Открыть меню Пуск.
  2. Ввести в строке поиска «Просмотр событий».
  3. Нажать Ввод.

Также данная программа открывается через папку Администрирование в меню Пуск.

Важно знать, что все события распределены по категориям – к примеру, в категории Приложения размещены события приложений, в категории Система находятся системные новости. Если же на ПК настроен анализ событий безопасности (аудит событий входа в систему), то сообщения аудита поступают в категорию Безопасность.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Ведение журнала событий (Журналирование событий) — приложения Win32

  • Статья
  • 2 минуты на чтение
Полезна ли эта страница?

Пожалуйста, оцените свой опыт

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Многие приложения записывают ошибки и события в собственные журналы ошибок, каждый из которых имеет собственный формат и пользовательский интерфейс. Данные из разных приложений не могут быть легко объединены в один полный отчет, что требует от системных администраторов или представителей службы поддержки проверки различных источников для диагностики проблем.

Ведение журнала событий предоставляет приложениям (и операционной системе) стандартный централизованный способ записи важных программных и аппаратных событий. Служба регистрации событий записывает события из различных источников и сохраняет их в единой коллекции, называемой журналом событий . Средство просмотра событий позволяет просматривать журналы; программный интерфейс также позволяет просматривать журналы.

Примечание

API регистрации событий был разработан для приложений, работающих в операционных системах Windows Server 2003, Windows XP или Windows 2000.В Windows Vista инфраструктура регистрации событий была переработана. Приложения, предназначенные для работы в Windows Vista или более поздних операционных системах, должны использовать журнал событий Windows для регистрации событий.

Журнал событий Windows — приложения Win32

  • Статья
  • 2 минуты на чтение
Полезна ли эта страница?

Пожалуйста, оцените свой опыт

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Назначение

API журнала событий Windows определяет схему, которую вы используете для написания манифеста инструментовки. Манифест инструментария идентифицирует поставщика событий и регистрируемые им события. API также включает функции, которые потребители событий, такие как средство просмотра событий, будут использовать для чтения и отображения событий.Чтобы записать события, определенные в манифесте, используйте функции, включенные в API отслеживания событий (ETW).

Журнал событий Windows заменяет API регистрации событий, начиная с операционной системы Windows Vista.

Аудитория разработчиков

Журнал событий Windows предназначен для программистов на C/C++.

Требования к среде выполнения

Журнал событий Windows включен в операционную систему, начиная с Windows Vista и Windows Server 2008.

Сведения о требованиях времени выполнения для определенного элемента программирования см. в разделе «Требования» справочной страницы для этого элемента.

Полную историю версий см. в разделе Что нового.

В этом разделе

Где хранятся журналы Windows?

В этой статье мы обсудим ведение журнала Windows, использование средства просмотра событий и места хранения журнала Windows.

Варианты сервера Windows VPS включают надежную систему регистрации и управления журналами. Эти журналы записывают события, когда они происходят на вашем сервере через пользовательский процесс или запущенный процесс. Эта информация очень полезна при устранении неполадок в службах и других проблемах, а также при расследовании проблем с безопасностью.

Windows ссылается на журналы как на события, в то время как Plesk и большинство других систем называют их журналами. Для стандартизации в этой статье они называются бревнами. Следуйте ниже, чтобы узнать, как вы можете использовать средство просмотра событий для просмотра журналов и исследования проблем.

Примечание.

Эта статья относится к вариантам «Полностью управляемый», «Основной управляемый» и «Самоуправляемый».

Доступ к средству просмотра событий

Первым шагом для доступа к средству просмотра событий является подключение к вашему серверу.Получение доступа к серверу осуществляется с помощью кнопки «Консоль» в разделе «Управление» или через ручное подключение по протоколу RDP.

сервер доступа

После подключения к серверу Windows вам необходимо войти в систему под своей учетной записью администратора. После входа в систему щелкните меню «Пуск», затем «Просмотр событий».

Использование средства просмотра событий

Средство просмотра событий — это системное приложение, включенное во все версии серверов Windows. Эта программа позволяет просматривать журналы, записанные в нее приложениями и системой.Средство просмотра событий имеет четыре основных представления, которые вы увидите при первом запуске приложения:

  • Пользовательские представления
  • Журналы Windows
  • Журналы приложений и служб
  • Подписки
средство просмотра событий

В этой статье мы сосредоточимся в основном на Журналы Windows. Проект, который вы размещаете, может потребовать от вас ссылки на журналы приложений для программ, которые вы используете, что может выходить за рамки этой статьи.

Всем журналам назначается уровень событий.Этот уровень события обозначает серьезность или серьезность любых проблем, отмеченных в журналах. Представление списка по умолчанию по остроте зрения.

  • Успех аудита — (только категория безопасности)
  • Ошибка аудита — (только категория безопасности)
  • Critics
  • Ошибка
  • Предупреждение
  • Информация
  • Verbose
Уровень события

Категории журналов

Вы также будете обратите внимание, что журналы Windows разбиты на категории.Эти классификации перечислены ниже вместе с краткой информацией о каждом разделе.

Приложение — Журналы, относящиеся к драйверам и другим системным компонентам

Безопасность — Журналы, относящиеся к успешным и неудачным входам в систему, а также другие запросы аутентификации

Настройка — Журналы, связанные с установкой и обновлением Windows — Журналы, связанные с временем безотказной работы, изменениями состояния службы и другими сообщениями, генерируемыми операционной системой

События пересылки — Журналы с удаленного сервера, пересылаемые на этот сервер

Щелчок по любой из категорий выше загрузит все журналы для этой категории.Журналы по умолчанию располагаются в хронологическом порядке. Вы также можете изменить расположение журналов, щелкнув любой из заголовков столбцов.

сохраненных журналов

При нажатии на любую конкретную запись появится некоторая общая информация о журнале, такая как время записи в журнале, уровень записи в журнале, его идентификатор и источник, а также множество другой информации, которую можно использовать для выявить проблему.

Нажав на детали, вы получите необработанные данные журнала, в которых может быть представлено более значительное количество деталей, которые можно использовать для исследования и решения проблем.

Наконец, расположение этих журналов по умолчанию можно найти в следующей папке на сервере:

  C:\Windows\System32\winevt\Logs  

Начните сегодня!

У вас есть проблемы с отслеживанием проблем, возникающих на вашем сервере Windows? Нужна помощь в расшифровке информации в файле журнала или попытке найти способы повысить скорость отклика вашего сервера?

Наши администраторы Windows уровня 3 — сильные, умные и опытные специалисты, которые могут помочь с любой проблемой.Свяжитесь с нами сегодня, если у вас закончились варианты и вам нужно услышать мнение профессионала о любом из наших серверов или платформ Windows, использующих либо наше управляемое облако, либо частное облако на базе VMware и NetApp!

Полное руководство по ведению журналов событий Windows

В идеальном мире компьютеры в сети всегда должным образом функционируют. Не будет проблем с операционной системой и не будет проблем с приложениями. К сожалению, это не идеальный мир.Системные сбои могут происходить и будут происходить, и когда они случаются, системные администраторы несут ответственность за диагностику и устранение проблем. Но с чего системные администраторы могут начать поиск решений при возникновении проблем? Ответ — журналы событий Windows.

Что такое журналы событий Windows?

По своей сути журналы событий Windows представляют собой записи событий, произошедших на компьютере под управлением операционной системы Windows. Эти записи содержат информацию о действиях, которые произошли с установленными приложениями, компьютером и самой системой.Журналы событий Windows включают как действия, предпринятые пользователями, так и действия, предпринятые процессами, выполняющимися на компьютере. Если есть проблема с системой, они могут предоставить администратору важный контекст для достижения решения.

Представьте на мгновение, что приложение на вашем компьютере с Windows дает сбой, и вы получаете неясное сообщение об ошибке, которое относительно бесполезно для определения причины проблемы. Кроме того, предположим, что для этого приложения нет проприетарных файлов журналов, которые могут помочь вам в выявлении и устранении проблемы.Это пример случая, когда журналы событий Windows могут быть полезны. Просто перейдите к средству просмотра событий (подробнее об этом позже), и у вас, вероятно, будет отправная точка для решения проблемы.

Элементы журнала событий Windows

При устранении неполадок любого инцидента, связанного с компьютером, крайне важно, чтобы вы понимали доступную вам информацию, а чтобы понять информацию, вы должны сначала понять формат, в котором она Представлен.Одним из преимуществ работы с журналами событий Windows является то, что все журналы событий (независимо от того, собираются ли они для самой системы, для приложения или для целей аудита) организованы стандартизированным и кратким образом, чтобы сделать их максимально понятными. Давайте рассмотрим основные элементы журналов событий Windows:

  • Имя/ключ журнала — ключ относится к классификации каждого компонента ведения журнала, указывающего имя журнала, в который будут записываться события из этих компонентов.В этой статье мы рассмотрим значения системы, приложения и ключа безопасности. Журналы системных событий будут включать события, зарегистрированные компонентами системного уровня, такими как клиент Центра обновления Windows. Журналы событий приложений немного отличаются; к ним относятся события, связанные с различными службами, а также с приложениями, которые установлены или устанавливаются на компьютере с Windows. Если журнал событий записывается при сбое приложения во время работы или во время настройки, он должен быть привязан к ключу приложения.Наконец, журналы событий безопасности обычно содержат записи аудита, относящиеся как к успешным, так и к неудачным попыткам входа в систему.
  • Уровень — Событие регистрируется исключительно в информационных целях или указывает на критическую ошибку? Уровень события сообщит вам серьезность записываемого события. Уровни событий включают критический, ошибка, предупреждение, информационный и подробный.
  • Дата/время — дата и время записи события. Если вы вошли в систему на компьютере с Windows в 8:05 утра 30 июля 2019 года, то, скорее всего, запись события аудита привязана к этой дате и времени.
  • Источник — это имя компонента, который запускает журнал событий. Во многих случаях это будет имя приложения или процесса, который ведет журнал событий. Например, если событие связано со сбоем приложения базы данных на компьютере, то источником события может быть имя приложения базы данных, в котором произошел сбой.
  • Идентификатор события . Это может быть чрезвычайно полезной частью журнала событий для любого администратора, которому поручено устранение неполадок.Идентификатор события предназначен для использования в качестве идентификатора отдельного зарегистрированного события. Этот идентификатор должен быть привязан к сообщению, указывающему на причину проблемы, что позволит системному администратору принять меры для решения проблемы.
  • Категория задачи — Категория задачи служит дополнительной информацией, помогающей отладить приложение или системную проблему. Разработчики конкретного приложения могут определить категории, чтобы обеспечить контекст для конкретного события.
  • Пользователь — это может относиться к пользователю, вошедшему в систему на определенной машине Windows во время записи события. Например, при установке приложения имя пользователя администратора, вошедшего в систему, скорее всего, будет отражено в журнале событий для события установки.
  • Компьютер — имя компьютера, на котором было зарегистрировано событие.

Использование средства просмотра событий Windows

Итак, теперь, когда мы знаем, что такое журналы событий Windows, давайте обсудим средство просмотра событий Windows.Средство просмотра событий Windows — это инструмент, предоставляемый Windows для доступа и управления журналами событий, связанными как с локальными, так и с удаленными компьютерами Windows. Доступ к этому инструменту можно получить, выполнив поиск в меню «Пуск» или перейдя в часть инструментов администрирования панели управления на компьютере с Windows.

Просмотр журналов событий в программе просмотра событий

После открытия программы просмотра событий на вашем компьютере доступ к файлам журнала становится довольно простым. На левой панели навигации вы увидите раскрывающийся список с надписью «Журналы Windows.” Развернув этот раскрывающийся список, вы сможете выбрать файл журнала событий, который хотите просмотреть. Основные файлы журналов, которые, вероятно, будут использоваться для устранения большинства неполадок Windows, — это приложения, безопасность и система. Щелчок левой кнопкой мыши по любой из клавиш под раскрывающимся списком «Журналы Windows» откроет выбранный файл журнала в средстве просмотра событий. Примечание. Если вы хотите просмотреть файлы журнала событий Windows на удаленном компьютере, просто щелкните правой кнопкой мыши ссылку «Просмотр событий» на левой панели и выберите параметр «подключиться к другому компьютеру».”

Отображение файла журнала разделено на две панели, расположенные в центре средства просмотра событий. На верхней панели отображаются основные сведения о каждом событии в виде списка. Его можно отсортировать, щелкнув любой из заголовков, расположенных в верхней части верхней панели (см. изображение ниже). На нижней панели отображаются сведения, связанные с любой записью о событии, выбранной из списка журналов событий выше.

Поиск и фильтрация событий в средстве просмотра событий

Как упоминалось ранее, средство просмотра событий обычно используется в ответ на сообщения о проблемах с системой, приложениями и безопасностью.Администратор может случайным образом просматривать журналы в надежде выявить проблему; поэтому средство просмотра событий полезно только в том случае, если администратор может найти журналы событий, связанные с возникшей проблемой. При этом для поиска конкретной записи о событии требуется контекст.

Этот контекст почти наверняка будет включать время возникновения проблемы и приложение или системный процесс, в котором возникла проблема. Кроме того, будут важны имя пользователя и компьютера.Эту информацию можно использовать для поиска события путем выбора правильного файла журнала и прокрутки записей, или ее можно использовать для фильтрации записей о событиях, чтобы более эффективно находить нужную информацию.

После выбора соответствующего файла журнала можно выполнить фильтрацию, щелкнув ссылку «Фильтровать текущий журнал» на панели действий, расположенной в правой части средства просмотра событий. Откроется модальное окно фильтра (показано ниже), в котором пользователь может сделать соответствующий выбор для фильтрации записей, которые будут отображаться в выбранном файле журнала.Например, если администратор хочет ограничить результаты «критическими» событиями, инициированными пользователем «jdoe», тогда он / она установит флажок «критический» рядом с уровнем события и введет имя пользователя «jdoe» в текст. область с пометкой «пользователь». После нажатия «ОК» средство просмотра событий соответствующим образом отфильтрует записи о событиях.

Сохранение журналов событий

Еще одна полезная функция средства просмотра событий — возможность сохранять журналы событий для использования вне компонента. Это можно сделать, выбрав соответствующий файл журнала на левой панели, а затем щелкнув ссылку «сохранить все события как» на панели действий справа.Эта ссылка открывает традиционное модальное окно «сохранить как», которое позволяет администратору выбрать местоположение и имя файла для экспортируемых записей о событиях.

Очистка журналов событий

В некоторых случаях имеет смысл очистить журналы событий. Это можно сделать и через Event Viewer. После выбора соответствующего файла журнала для очистки с помощью левой навигации на панели действий справа появится ссылка «очистить журнал». При нажатии на эту ссылку откроется диалоговое окно подтверждения, в котором администратору будет предложено подтвердить решение очистить выбранный файл журнала.Средство просмотра событий дает возможность сохранить журналы событий после очистки или очистить их без сохранения.

Использование подробных сведений о событиях для устранения неполадок с помощью средства просмотра событий

Выше я рассмотрел шаги по идентификации, поиску и фильтрации файлов журнала событий, чтобы попытаться диагностировать проблему с компьютером Windows. Это основной метод устранения неполадок с помощью средства просмотра событий. Не менее важно получать информацию, предоставленную журналом событий, и использовать ее надлежащим образом. Многие записанные события будут иметь соответствующий идентификатор события и сообщение.Сообщения может быть достаточно для решения проблемы; однако, даже если это не так, обычно это хорошее место для начала исследования проблемы. Выполнение поиска в Интернете по идентификатору события, сообщению и соответствующему источнику, скорее всего, даст что-то полезное.

Журналы событий Windows и Sumo Logic

Хотя средство просмотра событий является хорошей отправной точкой для анализа журналов событий Windows, интерфейс может вам не понравиться. В этом случае рассмотрите Sumo Logic как платформу управления журналами для сбора и мониторинга журналов событий Windows, чтобы упростить анализ журналов и расследование проблем.Процесс настройки коллекции журналов событий Windows в Sumo Logic довольно прост. После установки сборщика Sumo Logic вам просто нужно настроить источник журнала событий Windows для удаленного или локального сбора.

Этот процесс не занимает много времени и упрощает получение ценной информации из журналов событий Windows (это обязательно оценят системные администраторы). Это помогает сократить время, необходимое для диагностики и устранения любой ошибки, независимо от того, связана ли она с системой, приложением или безопасностью.Для полного изложения процесса настройки Sumo Logic обязательно посетите документацию Sumo Logic для настройки локальных и удаленных источников журнала событий Windows. Sumo Logic теперь делает начало работы еще проще благодаря бесплатной пробной версии, помогая предприятиям бесплатно протестировать платформу управления журналами для себя.

Полная видимость для DevSecOps

Сокращение времени простоя и переход от реактивного к упреждающему мониторингу.

Локальный источник журнала событий Windows

  1. Последнее обновление
  2. Сохранить как PDF
  1. Настройка sourceCategory с использованием переменных

Настройте локальный источник журнала событий Windows для сбора локальных событий, которые вы обычно видите в средстве просмотра событий Windows.Настройка локального источника событий Windows — это быстрый процесс. Для настройки источника не требуется никаких предварительных условий, и вы начнете собирать журналы в течение минуты или около того.

Локальные источники событий Windows можно настроить только в системах под управлением Windows Server 2012 и более поздних версий. Для новых функций требуется последняя версия Collector.

Локальные источники журналов событий Windows предназначены только для сбора журналов событий Windows. Все остальные типы источников журналов необходимо настроить либо как удаленный источник файлов, либо как локальный источник файлов.

Настройка локального источника журнала событий Windows

  1. В Sumo Logic выберите  Управление данными > Коллекция > Коллекция .
  2. Найдите имя установленного коллектора, к которому вы хотите добавить источник. Нажмите Добавить , а затем выберите  Добавить источник во всплывающем меню.

  3. Нажмите  Журнал событий Windows .

  4. Выберите Локальный для Тип источника Windows .

  5. Установите следующее: Значения имени хоста анализируются и автоматически применяются в ваших журналах событий как метаданные _sourceHost. Значение анализируется из поля Компьютер в ваших журналах событий.
    • Имя.  Введите имя, которое вы хотите отобразить для нового источника.
    • Описание  необязательно.
    • Категория источника. Введите строку, используемую для пометки выходных данных, собранных из этого источника, доступными для поиска метаданными.Например, если ввести web_apps , все журналы из этого источника будут помечены в поле sourceCategory, поэтому поиск по _sourceCategory=web_apps вернет журналы из этого источника. Дополнительную информацию см. в разделе Соглашения об именах метаданных и наши передовые практики: категория хороших источников, категория плохих источников.
      Вы можете определить значение категории источника с помощью переменных системной среды, см. раздел Настройка категории источника с помощью переменных ниже.
    • Поля .Нажмите на ссылку + Добавить поле , чтобы добавить настраиваемые поля метаданных журнала.
      • Определите поля, которые вы хотите связать, каждое поле должно иметь имя (ключ) и значение.
        •  Зеленый кружок с галочкой отображается, когда поле существует и включено в схеме таблицы «Поля».
        •  Оранжевый треугольник с восклицательным знаком отображается, если поле не существует или отключено в схеме таблицы «Поля». В этом случае предоставляется возможность автоматически добавлять или включать несуществующие поля в схему таблицы «Поля».Если в Sumo отправляется поле, которое не существует в схеме полей или отключено, оно игнорируется, что называется удалением.
    • Формат события . Выберите способ форматирования журналов событий:

      • Собрать в устаревшем формате . События сохраняют свой текстовый формат по умолчанию из Windows.
      • Собирать в формате JSON . События форматируются в формате JSON, предназначенном для работы с функциями Sumo Logic, что упрощает обращение к вашим данным.
      Для сбора с использованием формата JSON на сборщике должна быть установлена ​​версия 19.319.2 или более поздняя.

      Для приложения Windows JSON требуется формат  JSON .

    • Типы событий Windows.  Выберите типы событий, которые вы хотите собирать:

      • Стандартные каналы событий . Установите основной флажок для всех типов или отдельные флажки для определенных типов (Безопасность, Приложение и/или Система).
      • Переадресованные события . Узнайте, как собирать перенаправленные события из сборщика событий Windows.
      • Пользовательские каналы событий  , чтобы указать в списке через запятую каналы, из которых вы хотите собирать данные. Если вам нужна помощь в поиске каналов на компьютере, на котором установлен источник, см. раздел Пользовательские каналы источника событий Windows. Для сбора из пользовательских каналов событий в локальном источнике событий сборщик должен иметь версию 19.118 или более поздней версии.
    • В зависимости от выбранного формата события у вас будут разные варианты.
      • Уровень сбора событий . Когда выбран формат JSON, у вас есть возможность выбрать:

        • Полное сообщение  примет все содержимое события вместе с метаданными.
        • Краткое сообщение  примет первую строку сообщений о событиях вместе со всеми метаданными.
        • Только метаданные  будет принимать поля метаданных из каждого события, включая идентификатор события и метку времени.
        Приложение Windows JSON требует Complete Message .
      • Идентификаторы событий.  (Доступно в Collector версии 19.351-4 и более поздних.) Вы можете разрешить или запретить фильтры идентификаторов событий Windows, чтобы собирать только важные события. Установите флажок рядом с типом фильтра, который вы хотите установить. Мы рекомендуем использовать только один фильтр за раз.Ваш список должен представлять собой список идентификаторов событий, разделенных запятыми.

      • Метаданные. Если выбран устаревший формат, укажите, хотите ли вы, чтобы сборщик минимизировал объем собираемых данных, опуская полный текст сообщения о каждом событии. Основные поля метаданных, такие как идентификатор события, метка времени, имя пользователя, а также неформатированные данные события, все еще будут присутствовать. Это может сократить использование данных и увеличить пропускную способность событий, но не позволит многим панелям мониторинга и приложениям правильно извлекать данные.Чтобы опустить полный текст события и собирать только метаданные события, на сборщике должна быть установлена ​​версия 19.155 или более поздняя.

    • Сбор должен начаться . Выберите или введите, как давно вы хотите начать сбор исторических журналов. Вы также можете: При обновлении Коллекции должна начаться настройка , вам потребуется перезапустить Коллектор.
      • Выберите предопределенное значение из раскрывающегося списка, в диапазоне от «Сейчас» до «24 часа назад» до «Все время» или
      • Введите относительное значение.Чтобы ввести относительное значение, щелкните поле Коллекция должна начинаться с и нажмите клавишу удаления на клавиатуре, чтобы очистить поле. Затем введите выражение относительного времени, например «-1w». Вы можете определить, когда вы хотите начать сбор, с точки зрения месяцев (M), недель (w), дней (d), часов (h) и минут (m).
    • Идентификатор безопасности . Коллекторы версии 19.182-17 или более поздней могут сопоставлять идентификаторы безопасности (SID) с именами пользователей. Во время сбора поле Security ID в вашем журнале сообщение (если вы выбрали Complete Message ) преобразуется в выбранный вами формат.Выбирать:
      • Идентификатор безопасности, и имя пользователя
      • Только идентификатор безопасности
      • Только имя пользователя (по умолчанию)

        Например, в следующем фрагменте сообщения о событии безопасности мы выбрали и идентификатор безопасности, и имя пользователя:

        "Учетная запись отключена.

        Тема:

        Тема:
        Идентификатор безопасности: NT Authore \ Система (S-1-5-18)
        Имя учетной записи: IP-C6136038 $
        Домен аккаунта: CORP
        ID входа: 0x1b522d52

        Если бы мы выбрали Только идентификатор безопасности, поле Идентификатор безопасности было бы S-1-5-18 .
        Если бы мы выбрали только имя пользователя, поле Security ID было бы NT ​​AUTHORITY\SYSTEM .
    • Создайте любые правила обработки для нового источника.
  6. Нажмите  Сохранить .

Вы можете вернуться к этому диалоговому окну и отредактировать настройки источника в любое время.

Настройка sourceCategory с использованием переменных

Collector версии 19.216–22 и более поздние позволяют определять значения метаданных категории источника и исходного хоста с системными переменными среды с хост-компьютера.

Не все источники могут определять значение узла источника.

При настройке источника укажите переменные системной среды, добавив перед ними sys.  и заключая их в двойные фигурные скобки {{}}  в таком виде:

{{sys.VAR_NAME}}

Где VAR_NAME — имя переменной среды, например:

{{sys.PATH}}

Вы можете использовать несколько переменных, например:

{{систем.ПУТЬ}}-{{sys.YourEnvVar}}

В приведенном выше примере для разделения переменных компонентов используется дефис . Символы-разделители не требуются. Фигурные скобки и пробелы не допускаются. Рекомендуется использовать символы подчеркивания и дефисы.

Вы можете включить текст в выражение метаданных, например:

AnyTextYouWant_ {{sys.PATH}}_{{sys.YourEnvVar}}

Если пользовательская переменная не существует, эта часть поля метаданных будет пустой.

Основы ведения журналов Windows — полное руководство по ведению журналов

Журналы — это записи событий, происходящих на вашем компьютере либо человеком, либо запущенным процессом. Они помогают отслеживать, что произошло, и устранять неполадки.

Журнал событий Windows содержит журналы операционной системы и приложений, таких как SQL Server или службы IIS. Журналы используют формат структурированных данных, что упрощает их поиск и анализ.Некоторые приложения также записывают файлы журналов в текстовом формате. Например, журналы доступа IIS.

В этой статье рассматривается интерфейс и функции средства просмотра событий , а также представлены другие основные журналы приложений и служб. Приведены примеры, чтобы дать вам полное представление о том, как мониторинг событий может помочь вам управлять системами для обеспечения работоспособности и безопасности.

Журналы событий Windows

Средство просмотра событий Windows отображает журналы событий Windows. Используйте это приложение для просмотра журналов и навигации по ним, поиска и фильтрации определенных типов журналов, экспорта журналов для анализа и многого другого.Мы покажем вам, как получить доступ к средству просмотра событий Windows и продемонстрируем доступные функции.

Запуск средства просмотра событий Windows

Доступ к средству просмотра событий Windows Server 2019 можно получить несколькими способами:

  • Панель управления Windows
  • Диспетчер серверов
  • Центр администрирования Windows
  • Управление компьютером
  • Службы компонентов
  • Командная строка

Панель управления Windows

Панель управления — это стандартный компонент Windows для просмотра и изменения системных настроек.Его можно найти в выпусках Windows Server и Windows для настольных ПК. Чтобы получить доступ к просмотру событий:

  1. Открыть Панель управления
  2. Нажмите Инструменты администрирования
  3. Двойной щелчок Просмотр событий

Диспетчер серверов

Консоль диспетчера серверов позволяет управлять настройками на локальном сервере и на удаленных серверах. Чтобы получить доступ к средству просмотра событий из диспетчера серверов:

  1. Открыть Диспетчер серверов
  2. Открыть Инструменты > Просмотр событий

Центр администрирования Windows

Windows Admin Center — это браузерное приложение для управления серверами, кластерами, настольными ПК и другими компонентами инфраструктуры.Чтобы получить доступ к средству просмотра событий из центра администрирования Windows:

  1. Откройте Windows Admin Center в поддерживаемом браузере.
  1. Нажмите События

Управление компьютером

Консоль управления компьютером обеспечивает доступ к административным задачам на локальном или удаленном сервере. Чтобы открыть средство просмотра событий из управления компьютером:

  1. Открыть Управление компьютером
  2. Нажмите Просмотр событий

Служба компонентов Windows

Другим встроенным приложением является Диспетчер служб компонентов Windows, который позволяет настраивать приложения DCOM, работающие в Windows.Средство просмотра событий Windows также доступно из диспетчера служб компонентов:

.
  1. Открыть Службы компонентов
  2. Нажмите Просмотр событий

Командная строка

Наконец, вы можете открыть средство просмотра событий непосредственно из командной строки. Для этого:

  1. Открытие командной строки
  2. Тип: eventvwr

Использование интерфейса средства просмотра событий Windows

Event Viewer имеет интуитивно понятный пользовательский интерфейс.Главный экран разделен на три части:

  • Панель навигации
  • Детальная панель
  • Панель действий

Можно создавать сводные и настраиваемые представления. Мы проведем вас через эти варианты.

Панель навигации

На панели навигации вы выбираете журнал событий для просмотра. По умолчанию существует пять категорий журналов Windows:

.
  • Приложение — информация, регистрируемая приложениями, размещенными на локальном компьютере.
  • Безопасность — информация о попытках входа в систему (успешных и неудачных), повышенных привилегиях и других проверенных событиях.
  • Setup — сообщения, генерируемые при установке и обновлении операционной системы Windows. Если система Windows является контроллером домена, эти сообщения также регистрируются здесь.
  • Система — сообщения, генерируемые операционной системой Windows.
  • Перенаправленные события — события, пересылаемые другими компьютерами, когда локальный компьютер функционирует как центральный подписчик.

Существует также раздел для журналов приложений и служб, включая категории для аппаратных событий, событий Internet Explorer и Windows PowerShell.

Область навигации средства просмотра событий:

Детальная панель

При открытии средства просмотра событий в области сведений отображаются обзор и сводка. Мы обсудим сводные представления позже. Выберите элемент на панели навигации, чтобы просмотреть список событий.

Записи о событиях по умолчанию перечислены в хронологическом порядке, причем самые последние события находятся вверху. Щелкните заголовок любого столбца, чтобы отсортировать события по этому полю в порядке возрастания или убывания. Второй щелчок в заголовке того же столбца меняет порядок сортировки на противоположный.Символ или обратный знак вставки указывает поле сортировки и направление сортировки.

Каждое событие имеет серьезность Уровень :

Панель сведений средства просмотра событий с ошибками и предупреждениями:

Щелкните событие, чтобы отобразить подробную информацию. В этом примере мы видим источник выделенного события (TerminalServices-Printers), а также дату и время его возникновения. На вкладке Общие отображается дополнительная информация: необходимо установить драйвер принтера.

Панель сведений средства просмотра событий Вкладка «Общие»:

Откройте вкладку Подробности , чтобы просмотреть необработанные данные о событии. Вы можете переключаться между Friendly View и XML View .

Вы можете щелкнуть событие правой кнопкой мыши и выбрать Копировать > Копировать подробности как текст , а затем вставить результаты в текстовый редактор. Перечисляются системные поля, за которыми следует все событие в формате XML.

Для этой критической ошибки мы видим, что система неожиданно отключилась.

Панель действий

Панель «Действия» обеспечивает быстрый доступ к действиям, доступным для текущего выбора. Панель действий разделена на две части:

  • Действия, доступные для выбранного журнала панели навигации
  • Действия, доступные для выбранного события области сведений

В этом примере мы выбрали журнал приложений и событие 9027, диспетчер окон рабочего стола :

Как видите, существует ряд возможных действий, когда определенный журнал событий активен.Например, щелкните Фильтровать текущий журнал для поиска определенного события или группы событий. Всплывающее окно позволяет указать критерии запроса. Когда вы нажимаете OK , отфильтрованные результаты отображаются на панели сведений.

Очистка больших журналов

Вы можете выполнить некоторую очистку выбранного журнала с помощью действия Очистить журнал , если он станет слишком большим. Это удалит все события, сохраненные в журнале. Чтобы проверить размер файлов журнала, выберите Журналы Windows или Журналы приложений и служб на панели навигации. Количество событий и Размер отображаются на панели сведений.

Экспорт событий

Вы можете нажать Сохранить все события как или Сохранить все события в пользовательском представлении как (выбранные события) или Сохранить все события как (все события), чтобы экспортировать события из текущего журнала в файл событий. Файл событий имеет расширение EVTX.

Где бы вы использовали такую ​​функциональность? Предположим, вы хотите отправить информацию о состоянии вашей системы стороннему поставщику — вы можете предоставить им экспортированный файл событий.Кроме того, вы можете заархивировать свои журналы перед их удалением или отправить сохраненные журналы на централизованный резервный носитель. Удобно сохранять журналы событий в файле событий. Администраторы нажимают Открыть сохраненный журнал и переходят к расположению журнала, чтобы открыть сохраненный журнал.

Пользовательские представления

Event Viewer позволяет легко создавать настраиваемые представления. Это обеспечивает быстрый доступ, если вы заинтересованы в определенных типах событий или событий в зависимости от уровня серьезности.

Создать пользовательский вид:

  1. Выберите Пользовательские представления на панели навигации.
  2. Нажмите Создать пользовательский вид на панели действий.
  3. Введите критерии для событий, которые будут включены в пользовательский вид. В этом примере показано создание пользовательского представления для записи событий Critical и Error для служб среды выполнения .NET, работающих на локальном компьютере.
  4. Нажмите ОК
  5. Введите имя и описание и выберите место для пользовательского представления.
  6. Нажмите ОК

Ваш пользовательский вид теперь доступен.

Подобно сохранению журналов в файле событий, вы можете экспортировать пользовательские представления.

  1. Выберите пользовательский вид на панели навигации.
  2. Щелкните Экспорт пользовательского представления на панели действий.
  3. Введите имя XML-файла, который нужно создать для пользовательского представления.

Файл XML можно импортировать в средство просмотра событий в другой системе, щелкнув Импорт пользовательского представления и перейдя к местоположению файла.

Сводные просмотры

Средство просмотра событий (локальное) — это верхний узел на панели навигации.Если выбрано, обзор и сводка отображаются на панели сведений.

  • Сводка событий администрирования отображает итоги для всех типов событий в течение недели.
  • Недавно просмотренные узлы отображает историю просмотренных узлов в хронологическом порядке. Дважды щелкните узел, чтобы открыть его местоположение.
  • Сводка журнала отображает основные свойства каждого файла журнала. Дважды щелкните, чтобы открыть события для журнала.

Глядя на этот пример, за последний час было зафиксировано шесть ошибок, а за последнюю неделю было 18 ошибок.Нажмите + , чтобы развернуть список Ошибка :

Дважды щелкните ошибку, чтобы открыть ее в области сведений.

Другие журналы приложений

В Windows есть другие журналы со своими механизмами просмотра событий:

  • Диспетчер DNS
  • Диспетчер отказоустойчивого кластера
  • Доступ к IIS
  • История планировщика заданий
  • Служба компонентов Windows

Диспетчер DNS

Если Windows Server настроен как сервер службы доменных имен (DNS), устанавливается DNS Manager .В небольших сетях это обычно сервер домена Active Directory.

DNS Manager имеет собственный список событий:

Диспетчер отказоустойчивого кластера

Служба отказоустойчивой кластеризации Windows Server позволяет двум или более серверам Windows работать как кластер — отказоустойчивая конфигурация, в которой физический сбой оборудования одного сервера автоматически обнаруживается и заменяется другим сервером. Служба отказоустойчивой кластеризации Windows Server автоматически перенаправляет весь сетевой трафик на работоспособный экземпляр, создавая высокодоступную среду.В кластере приложения подключаются к общей точке доступа — виртуальному IP-адресу или имени кластера — и Windows направляет весь трафик на нужный узел. При возникновении сбоя приложения продолжают работать в обычном режиме. Отказоустойчивая кластеризация Windows Server используется в качестве основы для современных решений высокой доступности SQL Server, таких как AlwaysOn Availability Groups .

Диспетчер отказоустойчивого кластера — это встроенное приложение Windows с собственным средством просмотра событий. Используя это средство просмотра событий, системные администраторы могут устранять неполадки, когда их кластер выходит из строя или перестает функционировать должным образом.На следующем снимке экрана показан узел просмотра событий Cluster Manager на панели навигации. Выбор этого узла покажет события, связанные с кластером.

Журналы доступа IIS

Журналы доступа Internet Information Services включают информацию о запрошенных URI и состоянии, указывающем, был ли ответ успешно обслужен. Эти журналы записываются в виде файлов в расширенном формате журнала W3C. Этот формат представляет собой тип значения, разделенного запятыми (CSV). Местоположение файла журнала указывается в параметрах ведения журнала диспетчера IIS.По умолчанию адрес:

.
 %SystemDrive%\inetpub\logs\LogFiles 

Например, вот файл журнала на C: с W3SVC1 в качестве виртуального хоста и u_ex150428 в качестве имени файла, закодированного датой 2015-04-28:

 C:\inetpub\logs\LogFiles\W3SVC1u_ex150428.log 

Вот выдержка из файла журнала. Определение столбца находится в комментарии. Запрос /manager/html вернул код состояния 404 , так как страница не существует.

 #Программное обеспечение: Microsoft Internet Information Services 7.5

#Версия: 1.0

#Дата: 28.04.2015 12:12:05

#Поля: дата время s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip

2015-04-28 02:51:38 10.211.14.109 GET /manager/html - 80 - 222.186.56.21 Mozilla/5.0+(совместимый;+MSIE+10.0;+Windows+NT+6.2;+WOW64;+Trident/6.0 ) - 404 0 64 4850 

Журналы истории планировщика заданий

Планировщик заданий запускает фоновые задачи и приложения по расписанию, подобно подсистеме cron в Linux.Примером может служить сценарий ночного резервного копирования, который создает резервные копии локальных баз данных SQL Server.

С каждой задачей связаны события истории, которые можно просмотреть в области сведений планировщика заданий:

Вкратце

Windows и связанные приложения записывают различные события в несколько журналов. Перехват и понимание этих событий является ключевой частью роли системного администратора. В этом руководстве рассказывается, как можно использовать различные методы для сбора, централизации и защиты этих журналов.

Какие инструменты вы используете для мониторинга событий и работоспособности системы? Добавьте комментарий, чтобы сообщить нам!

Как использовать средство просмотра событий в Windows 10

Источник: Windows Central

В Windows 10 средство просмотра событий представляет собой удобный устаревший инструмент, предназначенный для объединения журналов событий из приложений и системных компонентов в легко усваиваемую структуру, которую затем можно анализировать для устранения неполадок и устранения программных или аппаратных проблем на вашем компьютере.

Как правило, большинство пользователей не используют или не знают о средстве просмотра событий.Тем не менее, это должно быть первым местом для проверки для устранения проблем, поскольку практически каждый сбой оборудования, сбой приложения, сбой драйвера, системная проблема, доступ к безопасности и события из приложений и служб, работающих без проблем, будут записаны в эту базу данных.

Если ваше устройство внезапно без причины перезагружается, зависает, драйверы ведут себя не так, как ожидалось, или у вас возникает синий экран смерти (BSoD), средство просмотра событий в Windows 10 может содержать журналы с информацией, которую необходимо устранить. проблему или, по крайней мере, найти подсказки, которые помогут вам найти решение.

В этом руководстве по Windows 10 мы покажем вам шаги по навигации и использованию средства просмотра событий на вашем устройстве.

Как использовать средство просмотра событий в Windows 10

В Windows 10 средство просмотра событий помогает отслеживать приложения и системные компоненты, а также устранять неполадки.

Навигация по интерфейсу

Чтобы открыть средство просмотра событий в Windows 10, просто откройте «Пуск» и выполните поиск «Просмотр событий » и щелкните верхний результат, чтобы запустить консоль.

Интерфейс разделен на четыре основные группы, включая «Пользовательские представления», «Журналы Windows», «Журналы приложений и служб» и «Подписки», и в каждой группе хранятся связанные журналы.

Источник: Windows Central

Хотя каждая группа может содержать разные журналы приложений и системы, большую часть времени вы будете анализировать только журналы Application , Security и System внутри группы «Журналы Windows», чтобы исследовать проблему.

Источник: Windows Central

Внутри «Приложения» вы найдете события об интерфейсе и других важных компонентах для запуска приложения. В категории «Безопасность» сгруппированы события журналов, связанные с попытками входа в систему и функциями безопасности, а в категории «Система» записываются журналы, связанные с приложениями, установленными в Windows 10.

Средство просмотра событий может отслеживать три типа уровней событий, включая Ошибка , Предупреждение и Информация .Журналы «Ошибок», как следует из названия, указывают на проблемы, требующие немедленного внимания. Журналы «Предупреждение» не обязательно являются значительными. Однако они могут сигнализировать о том, что что-то работает не так, как ожидалось, а журналы «Информация» — это просто события, в которых записывается нормальная работа приложений и служб.

Обычно все приложения должны регистрировать события в этой базе данных, но это не всегда верно для многих сторонних приложений.

Если устройство работает нормально, вы все равно будете видеть ошибки и предупреждения, но они, скорее всего, не будут вас беспокоить.Например, иногда вы можете увидеть ошибку, если служба не может загрузиться при запуске, но нормально перезапускается позже. Служба времени не могла правильно синхронизироваться, Windows 10 не могла получить доступ к файлу в общей сетевой папке из-за проблемы с подключением — или приложение внезапно зависало, но затем вы снова открывали его, и оно продолжало работать без проблем.

Находясь в консоли, вы можете выбрать одну из основных групп для просмотра дополнительной информации, такой как количество событий и размер на диске для каждого представления.Или вы можете выбрать «Просмотр событий» в левом верхнем углу, чтобы получить обзор и сводку событий, последние просмотренные заметки и сводку журнала.

Источник: Windows Central

Если вы выберете одну из групп, справа вы увидите все события с их информацией об «Уровне», «Дате и времени» создания, «Источнике», «Идентификаторе события» и «Категории задачи». ." Если вы хотите увидеть более подробную информацию, вы можете выбрать событие, и информация будет отображаться в нижней части консоли, или вы можете дважды щелкнуть событие, чтобы получить дополнительные сведения.

Источник: Windows Central

В окне свойств события вкладка «Общие» содержит простое для понимания описание ошибки, предупреждения или информацию.

Источник: Windows Central

Обычно в описании должно быть достаточно информации, чтобы понять и решить проблему. Однако «Идентификатор события» также является важной частью информации, так как вы можете использовать его для поиска в Интернете дополнительной информации и возможных инструкций по устранению проблемы.

Поиск определенных журналов

Если вы ищете конкретное событие, консоль предоставляет как минимум два способа поиска событий с помощью фильтров или поиска по ключевым словам.

Расширенный поиск

Чтобы использовать фильтры для поиска определенного типа журнала, выполните следующие действия:

  1. Открыть Запустить .
  2. Найдите Event Viewer и выберите верхний результат, чтобы открыть консоль.
  3. Разверните группу событий.
  4. Щелкните категорию правой кнопкой мыши и выберите параметр Фильтровать текущий журнал .

    Источник: Windows Central

    Краткое примечание: Вы также можете получить доступ к фильтру и другим общим параметрам на панели действий , доступной в правой части консоли.

  5. Перейдите на вкладку Фильтр .
  6. Используйте раскрывающееся меню «Зарегистрировано» и выберите диапазон времени, когда могло произойти событие, включая:

    • В любое время.
    • Последний час.
    • Последние 12 часов.
    • Последние 24 часа.
    • Последние 7 дней.
    • Последние 30 дней.
    • Пользовательский диапазон.
  7. Выберите интересующий уровень события, включая:

    • Критический.
    • Предупреждение.
    • Подробно.
    • Ошибка.
    • Информация.

    Источник: Windows Central
  8. (Необязательно) Выберите источники событий. Это может быть одно или несколько приложений и служб.
  9. (Необязательно) Выберите категорию задач .
  10. (Необязательно) Выберите или подтвердите ключевое слово, чтобы сократить журнал.
  11. Используйте значения по умолчанию для Пользователь и Компьютер .
  12. Нажмите кнопку OK .

После того, как вы выполните эти шаги, соответствующие журналы отфильтруются в консоли. Если вы хотите очистить текущий фильтр, щелкните группу правой кнопкой мыши и выберите параметр Очистить фильтр .

Базовый поиск

Чтобы использовать ключевое слово для поиска ошибки, предупреждения или информационного события с помощью средства просмотра событий, выполните следующие действия:

  1. Открыть Запустить .
  2. Найдите Event Viewer и выберите верхний результат, чтобы открыть консоль.
  3. Разверните группы событий.
  4. Щелкните категорию правой кнопкой мыши и выберите параметр Найти .

    Источник: Windows Central
  5. Введите ключевое слово и нажмите кнопку Найти далее .

    Источник: Windows Central

После выполнения этих шагов событие будет выделено в списке, если будет найдено совпадение.

Создание пользовательских представлений

В случае, если вы часто ищете события одного и того же типа, средство просмотра событий также предоставляет возможность создавать настраиваемые представления для быстрой фильтрации журналов для просмотра только тех, которые имеют отношение к вам.

Чтобы создать собственное представление в средстве просмотра событий, выполните следующие действия:

  1. Открыть Запустить .
  2. Найдите Event Viewer и выберите верхний результат, чтобы открыть консоль.
  3. Разверните группу событий.
  4. Щелкните категорию правой кнопкой мыши и выберите параметр Создать пользовательский вид .

    Источник: Windows Central
  5. Перейдите на вкладку Фильтр .
  6. Используйте раскрывающееся меню «Зарегистрировано» и выберите диапазон времени.
  7. Выберите параметр По журналу .
  8. Используйте раскрывающееся меню «Журналы событий» и выберите категорию событий, которую вы хотите отфильтровать. Например, Система .

    Источник: Windows Central
  9. (Необязательно) Выберите категорию задач .
  10. Выберите или подтвердите ключевое слово, чтобы сократить журнал.
  11. Используйте значения по умолчанию для Пользователь и Компьютер .
  12. Нажмите кнопку OK .
  13. Подтвердите имя пользовательского представления.

    Источник: Windows Central
  14. (Необязательно) Составьте описание пользовательского представления.
  15. Выберите место для сохранения представления.

    Краткое примечание: Всегда рекомендуется расположение по умолчанию, но вы всегда можете создать новую папку для их хранения.

  16. Нажмите кнопку OK .

После выполнения этих шагов в следующий раз, когда вам потребуется просмотреть определенные журналы, вы можете развернуть папку «Пользовательские представления» и выбрать созданное вами представление.

Очистить историю журнала

В Windows 10 журналы помогают отслеживать состояние устройства и устранять неполадки, и их следует хранить как можно дольше. Однако вы можете очистить историю журнала, чтобы освободить место или упростить отслеживание существующей проблемы.

Чтобы очистить историю журналов определенной категории, выполните следующие действия:

  1. Открыть Запустить .
  2. Найдите Event Viewer и выберите верхний результат, чтобы открыть консоль.
  3. Разверните группу событий.
  4. Щелкните категорию правой кнопкой мыши и выберите параметр Очистить журнал .

    Источник: Windows Central
  5. Нажмите кнопку Очистить .

    Краткое примечание: Если вы хотите заархивировать историю журнала в файле вне средства просмотра событий, вы также можете нажать кнопку Сохранить и очистить .

После выполнения шагов события будут удалены, а консоль начнет запись новых событий.

Дополнительные ресурсы Windows 10

Для получения дополнительных полезных статей, материалов и ответов на распространенные вопросы о Windows 10 посетите следующие ресурсы:

.

Leave a comment