Журнал приложений windows 10: Просмотр журнала приложений Windows (Windows) — SQL Server

Содержание

Просмотр журнала приложений Windows (Windows) — SQL Server

  • Статья
  • Чтение занимает 2 мин
  • Участники: 3

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт.

Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

Применимо к: SQL Server (все поддерживаемые версии)

Когда для SQL Server настроено использование журнала приложений Windows, каждый сеанс SQL Server записывает новые события в этот журнал. В отличие от журнала ошибок SQL Server , новый журнал приложений не создается заново каждый раз при запуске экземпляра SQL Server.

В этой статье рассматриваются операционные системы Windows 10 и более поздних версий.

Просмотр журнала приложений Windows

  1. На панели поиска введите средство просмотра событий, а затем выберите классическое приложение Просмотр событий.

  2. В Просмотре событий разверните папку Журналы Windows и выберите журнал событий Приложение.

  3. События SQL Server идентифицируются записью MSSQLSERVER

    в столбце Источник (именованные экземпляры обозначаются как MSSQL$ <имя_экземпляра> ). События агента SQL Server идентифицируются записью SQLSERVERAGENT (для именованных экземпляров сервера SQL Server события агента SQL Server идентифицируются при помощи SQLAgent$ <instance_name>). События службы Microsoft Search идентифицируются записью Microsoft Search.

  4. Чтобы просмотреть журнал с другого компьютера, щелкните правой кнопкой мыши элемент Просмотр событий (локальных) . Выберите пункт Подключение к другому компьютеру и заполните поля в диалоговом окне

    Выбор компьютера.

  5. Чтобы отображались только события SQL Server, в меню Вид выберите пункт Фильтр. В списке Источник событий выберите MSSQLSERVER. Чтобы просмотреть только события агента SQL Server , в списке Источник события вместо этого выберите SQLSERVERAGENT .

  6. Чтобы просмотреть дополнительные сведения о событии, дважды щелкните событие.

См. также раздел

Просмотр журнала ошибок SQL Server (среда SQL Server Management Studio)

Пакетное отключение и очистка событий системного журнала одним щелчком (например, Windows 10 1803 Enterprise Edition)

Авторские права принадлежат мне [имя пользователя CsDn: ingino, псевдоним: температура сорок] и не могут быть воспроизведены без разрешения.

【Аннотация】 Очистка некритических событий системного журнала и отключение ненужных записей системного журнала может еще больше повысить эффективность работы Windows и освободить дисковое пространство. Для страданияЧистота, обсессивно-компульсивное расстройствоДля пользователей Windows выполнение этой операции также может удовлетворить стремление этих пользователей к аккуратной и эффективной психологии. В этой статье предлагается «двухэтапная» стратегия очистки событий системного журнала, то есть Cmd сначала отключает ведение журнала, а затем Cmd очищает ведение журнала. Таким образом, вы можете быстро очистить все системные журналы и быстро отключить записи системного журнала, указанные пользователем, чтобы гарантировать, что эти записи не будут генерировать какие-либо записи событий в будущем, чтобы достичь цели тщательной очистки.

Введение

Хотя в сети существует множество учебных пособий по очистке событий системного журнала Windows для достижения снижения веса и ускорения, эти учебные пособия часто игнорируют тот факт, что если некоторые записи журнала не отключены, действия пользователя будут проходить со временем. При увеличении система также сгенерирует большое количество записей журнала, а затем будет очищена, что доставит массу неудобств пользователям. Таким образом, автор считает, что по сравнению с частой очисткой журналов одноразовое отключение журналирования может в принципе обеспечить чистоту системного журнала, потому что, как только запись журнала отключена, запись журнала не будет создавать никаких записей о событиях, и Это также избавляет пользователей от необходимости постоянно очищать их логи.

2. Анализ событий системного журнала Windows

Откройте средство просмотра событий Windows 10 1803 Enterprise Edition, вы можете обнаружить, что журнал событий Windows разделен на две части, первая часть — «Журнал Windows», вторая — «Журнал приложений и служб». (Как показано ниже)


из их,«Журнал Windows»В основном регистрирует сетевое подключение операционной системы, ключевые процессы, безопасность системы, информацию о работе системной службы, предупреждения, ошибки и др. Записи в этой части журнала более важны. Эти записи могут помочь пользователям определить ключевую информацию операционной системы и Проблема, поэтому, щелкнув правой кнопкой мыши эти записи, есть только опция для очистки журнала, и нет возможности отключить журнал (как показано ниже).


«Журнал приложений и услуг»В основном запишите информацию, предупреждения, ошибки и другие журналы каждого элемента модуля, элемента службы, элемента приложения текущей операционной системы, разверните запись «журнал приложения и службы», найдите Microsoft → Windows, эта часть журнала поддерживает отключение и очистку (как показано ниже) ).

Можно обнаружить, что проект содержит большое количество записей журнала. Автор насчитывает в общей сложности 300 вложенных записей. Поэтому, если эта часть журнала не очищена или не отключена, она будет занимать большой объем дискового пространства и оказывать определенное влияние на эффективность работы системы. Эта статья посвящена очистке и отключению этой части журнала одним нажатием кнопки.


Windows 10 1803 Enterprise Edition

Файл событий системного журнала,роды

【C:\Windows\System32\winevt\Logs】

Далее, то есть для файлов с суффиксом evtx, размер этих файлов зависит от количества записанных событий журнала.


Windows 10 1803 Enterprise EditionКонфигурация событий системного журналаНаходится в реестре

【Компьютер \ HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ WINEVT \ Каналы】

Выберите любое количество элементов ниже, вы можете найти, что каждый элемент содержит одно и то же строковое значение и DWORD (32-битное значение), мы сосредоточимся на [Enabled] DWORD (32-битное значение), дважды щелкнув значение, вы можете Измени это.


изменено на 0, это означает отключение журнала;
изменено на 1, это означает включение журнала (как показано ниже).

Три, один ключ, чтобы отключить ведение журнала

Чтобы отключить ведение журнала одним щелчком, нам нужно использовать команду wemtutil Cmd (также можно использовать метод импорта реестра, но в этой статье он не представлен). Официально опубликовано Microsoft, оно является авторитетным и надежным, и в отличие от скопированного и вставленного кода, найденного Baidu, его надежность крайне низка.

[Ссылка на документ Microsoft:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc732848(v=ws.11)】

Обратитесь к документации по синтаксису команды Cmd, чтобы отключить указанный элемент системного журнала.

wevtutil sl «Полное имя записи в журнале» /e:false

Например,
Если вы хотите отключить запись журнала Microsoft-Windows-Application Server-Applications через Cmd, вам нужно развернуть папку и щелкнуть правой кнопкой мыши «операционная«с»управление«, Во всплывающем диалоговом окне мы фокусируемся на поле ввода» полное имя «, имя, отображаемое в поле ввода, представляет собой полное имя элемента журнала (как показано).



Мы выбираем все и копируем это имя вместе с синтаксисом команды Cmd, чтобы отключить системный журнал, затем вы можете ввести следующую команду в Cmd, нажать Enter для выполнения, а затем снова открыть средство просмотра событий, то есть Вы можете просмотреть эффект.

wevtutil sl "Microsoft-Windows-Application Server-Applications/Operational" /e:false
wevtutil sl "Microsoft-Windows-Application Server-Applications/Admin" /e:false

Однако,
Как упоминалось ранее, Microsoft → Windows содержит 300 записей журнала, одну за другой с помощью мыши, что неизбежно приводит к потере времени. Поэтому вам необходимо получить имена этих записей одним щелчком мыши. Файл журнала, то есть файл evtx, расположенный в C: \ Windows \ System32 \ winevt \ Logs, нам нужно получить Txt-список имен событий журнала, содержащихся в этой папке,
1. Запустите Cmd от имени администратора.
2. Введите

Cd C:\Windows\System32\winevt\Logs

3. Введите
4. Введите снова

Dir *.* /B >D:\List.txt

5. Введите
Затем в корневом каталоге диска D. будет дополнительный файл List.txt. Этот файл List.txt содержит имена всех файлов в папке C: \ Windows \ System32 \ winevt \ Logs ,
6. Откройте List.txt
Ради страховки выберите только элементы из Microsoft → Windows, из Microsoft-Windows-AAD% 4Operational.evtx в Microsoft-Windows-WWAN-SVC-Events% 4Operational.evtx и остальные удалять.
Поскольку путь к файлу не может содержать символы /, Microsoft заменяет / на% 4. Нам нужно заменить все% 4 в List.txt на / и удалить имя суффикса.
Затем мы также вставляем wevtutil sl ”и” / e: false в начале и конце каждой строки.
Окончательный результат показан ниже.

Вы также можете сохранить файл как файл cmd и запустить его от имени администратора, чтобы отключить выполнение журнала одним щелчком мыши.

4. Очистить журнал одним щелчком

Обратитесь к документации по синтаксису команды Cmd, чтобы отключить указанный элемент системного журнала.

wevtutil cl «Полное имя записи в журнале»

1. Запустите Cmd от имени администратора.
2. Введите

Cd C:\Windows\System32\winevt\Logs

3. Введите
4. Введите снова

Dir *.* /B >D:\List.txt

5. Введите
Затем в корневом каталоге диска D будет дополнительный файл List.txt, замените все% 4 в List.txt на / и равномерно удалите имя суффикса. Поскольку журнал очищен, мы можем включить все evtx.
Затем мы также вставляем wevtutil cl ”и” в начале и конце каждой строки соответственно
Окончательный результат показан ниже.

V. Вывод

С помощью следующих трех команд Cmd в статье реализовано отключение одним ключом и удаление одного ключа из системного журнала, что имеет преимущества удобной работы и эффективной работы.

Получить записи журнала:
Cd C:\Windows\System32\winevt\Logs
Dir *.* /B >D:\List.txt
Отключить ведение журнала:
wevtutil sl «Полное имя записи в журнале» /e:false
Очистить журнал событий:
wevtutil cl «Полное имя записи в журнале»

пропущенные события в журнале событий 🎮

Если вы уже давно используете Windows 10, вам необходимо знать о средстве просмотра событий. Это утилита, которая существует уже почти десять лет. К сожалению, лишь немногие пользователи знают об этом.

Хотя это может выглядеть как небольшая утилита, которая содержит несколько журналов, на самом деле программа просмотра событий очень удобна.

Что такое программа просмотра событий и что она делает Это делает?

Каждый процесс или приложение, запускаемое на вашем ПК с Windows 10, отправляет уведомление в журнал событий. Фактически, даже проблемные программы перед остановкой генерируют уведомление в этой утилите.

Для организации этих журналов здесь используется средство просмотра событий. Оно сканирует текстовые файлы журналов, организует их и аккуратно упорядочивает. на интерфейсе со всеми другими наборами машинно-сгенерированных данных. Проще говоря, Event Viewer действует как утилита для составления отчетов базы данных, в которой хранятся чисто текстовые файлы.

Совет для профессионалов: просканируйте свой компьютер на наличие проблем с производительностью, ненужных файлов, вредоносных приложений и угроз безопасности
которые могут вызвать проблемы в системе или снизить производительность.

Проблемы с бесплатным сканированием для ПК. Об Outbyte, инструкции по удалению, лицензионное соглашение, политика конфиденциальности.

Если вы обычный пользователь компьютера, возможно, вам не очень понравится программа просмотра событий. Однако если вы программист или разработчик приложений, эта утилита вам пригодится.

Как использовать средство просмотра событий

Чтобы использовать средство просмотра событий, выполните следующие действия:

  • Щелкните правой кнопкой мыши меню Пуск .
  • Выберите Просмотр событий .
  • Перейдите в Просмотр событий и выберите Пользовательские просмотры .
  • Нажмите Административные события . Это может занять некоторое время, но после этого вы должны увидеть на экране список событий.
  • На этом этапе вы также увидите несколько сообщений об ошибках. Их могут быть сотни, но это совершенно нормально. Так что расслабься.

    Что делать, если в журнале событий есть пропущенные события?

    Теперь, когда вы знаете, что в средстве просмотра событий Windows 10 вы видите все зарегистрированные события, что вы будете делать, если в журнале событий в Windows 10 отсутствуют пропущенные события или если служба журнала событий Windows остановлена? Вы наверняка упустите много важных данных. В конце концов, журналы очень удобны, когда вы пытаетесь проверить, работает ли программа должным образом.

    Но не волнуйтесь, потому что в этом разделе мы дадим вам рекомендации, что делать, если есть отсутствуют события в журнале событий Windows 10.

    Метод №1: проверьте, запущено ли приложение или программа

    Стоит отметить, что журнал приложения или программы не будет создан, если он не работает как и ожидалось. Если вы считаете, что пропущено только несколько журналов, вы можете проверить, остановлена ​​ли программа или не работает. В этом случае вы определили виновника отсутствия журналов.

    Вы также должны знать, что журнал событий может отсутствовать, если программа работает, но процесс никогда не запускается. Чтобы решить эту проблему, вам, возможно, придется проверить программное обеспечение. Вы либо устанавливаете ожидающее обновление программного обеспечения, либо пытаетесь переустановить программное обеспечение.

    Метод № 2: Увеличьте размер журнала событий

    Типичный размер журнала событий ограничен 20 МБ. Этого может быть недостаточно для хранения текстовых файлов. Кроме того, этого ограничения размера будет недостаточно, если имеется много журналов событий. Чтобы сохранить новые записи журнала, возможно, придется удалить или удалить старые.

    Если вам нужно сохранить все журналы событий, лучшим вариантом будет увеличить ограничение размера журнала событий. Вот как это сделать:

  • Откройте Просмотр событий .
  • Перейдите в Журналы Windows и выберите Приложение
  • Нажмите на него правой кнопкой мыши и выберите Свойства .
  • Перейдите на вкладку Общие и измените Максимальный размер журнала . Что касается вводимого значения, вам, возможно, придется выполнять метод проб и ошибок, пока не выясните, какое значение работает. для вас.
  • Метод № 3. Измените способ обработки размеров журнала событий

    Как упоминалось ранее, старые события удаляются, чтобы освободить место для новых. Если вам не нравится эта идея, вы можете изменить этот метод по умолчанию.

    Для этого у вас есть два варианта: архивировать журналы событий, когда они заполнены, или не перезаписывать журналы событий. Первый вариант обеспечивает сохранение всех журналов событий, а второй требует ручного вмешательства для очистки.

    Метод № 4: проверьте, запущен ли журнал событий и его зависимые службы.

    Журналы событий могут отсутствовать, если событие Windows Служба журнала останавливается. Таким образом, вам также может потребоваться проверить, запущена ли эта служба.

    Обратитесь к приведенным ниже инструкциям, чтобы запустить зависимые службы журнала событий Windows:

  • Нажмите клавиши Windows + R , чтобы открыть окно Выполнить .
  • Введите services.msc и нажмите Enter . .
  • Найдите Журнал событий Windows в списке служб.
  • Проверьте, запущен ли статус. Если он не заполнен, щелкните его правой кнопкой мыши и выберите Начать .
  • Затем откройте Службу журнала событий Windows и выберите Зависимости .
  • Нажмите Сборщик событий Windows и нажмите OK
  • Также убедитесь, что Зависимости в разделе Сборщик событий Windows запущен.
  • Метод № 5: Запуск сканера безопасности Microsoft

    Сканер безопасности Microsoft — это инструмент, разработанный Microsoft для избавления от вредоносных объектов. с устройств Windows. Чтобы использовать его, вам необходимо загрузить его и запустить быстрое сканирование, чтобы определить наличие вредоносного ПО и отменить любые изменения, которые оно могло внести.

    Чтобы запустить сканирование с помощью Microsoft Safety Scanner, сделайте следующее:

  • Загрузите инструмент, совместимый с вашим устройством.
  • Выберите тип сканирования, которое вы хотите запустить, и запустите его.
  • Просмотрите результаты на экране и выполните рекомендуемые действия.
  • Резюме

    Не многие найдут утилиту Event Viewer удобной. Но все же стоит знать, как это исправить, если события пропадут. Что ж, не стоит сильно беспокоиться, потому что устранять неполадки легко. Вы можете просто обратиться к приведенным выше методам, и вы должны решить проблему в кратчайшие сроки.

    Если вы считаете, что вам не хватает технических навыков для решения проблемы с отсутствующим журналом событий в Windows 10, не стесняйтесь обращаться к экспертам. Вы можете проконсультироваться с профессиональным специалистом по Windows или посетить официальный сайт поддержки Microsoft.

    Пробовали ли вы использовать какой-либо из вышеперечисленных методов? Кто из них работал у вас? Напишите нам в комментариях!


    YouTube видео: Windows 10: пропущенные события в журнале событий

    04, 2022


    Если ваше устройство внезапно перезагружается без причины, зависает, драйверы работают не так, как ожидалось, или у вас возникают проблемы. Синий экран смерти (BSoD) , средство просмотра событий в Windows 10 может содержать журналы с информацией, необходимой для решения проблемы или, по крайней мере, для поиска подсказок, которые помогут вам найти решение.

    В этом руководстве по Windows 10 мы расскажем, как перемещаться и использовать средство просмотра событий на вашем устройстве.



    Как использовать средство просмотра событий в Windows 10

    В Windows 10 существует средство просмотра событий, которое поможет вам отслеживать приложения и системные компоненты, а также устранять проблемы.

    Навигация по интерфейсу

    Чтобы открыть средство просмотра событий в Windows 10, просто откройте «Пуск» и выполните поиск Просмотрщик событий , и щелкните верхний результат, чтобы запустить консоль.

    Интерфейс разделен на четыре основные группы, включая «Пользовательские представления», «Журналы Windows», «Журналы приложений и служб» и «Подписки», и в каждой группе хранятся связанные журналы.


    Источник: Windows Central

    Хотя каждая группа может содержать разные журналы приложений и системные журналы, в большинстве случаев вы будете анализировать только Заявление , Безопасность , а также Система журналы внутри группы «Журналы Windows» для исследования проблемы.

    Источник: Windows Central


    Внутри «Приложения» вы найдете события об интерфейсе и других важных компонентах для запуска приложения. В категории «Безопасность» сгруппированы журналы событий, связанных с попытками входа в систему и функциями безопасности, а в категории «Система» записываются журналы, связанные с приложениями, установленными в Windows 10.

    Средство просмотра событий может отслеживать три типа уровней событий, в том числе: Ошибка , Предупреждение , а также Информация . Журналы ошибок, как следует из названия, указывают на проблемы, требующие немедленного внимания. Журналы предупреждений не обязательно важны. Однако они могут сигнализировать о том, что что-то работает не так, как ожидалось, а журналы «Информация» — это просто события, которые фиксируют нормальную работу приложений и служб.

    Обычно все приложения должны регистрировать события в этой базе данных, но это не всегда верно для многих сторонних приложений.

    Если устройство работает нормально, вы все равно будете видеть ошибки и предупреждения, но они, скорее всего, не будут иметь никакого отношения к нему. Например, иногда вы можете увидеть ошибку, если служба не может загрузиться при запуске, но обычно перезапускается позже. Служба времени не могла правильно синхронизироваться, Windows 10 не могла получить доступ к файлу на сетевая общая папка потому что возникла проблема с подключением или приложение внезапно вылетело, но затем вы открыли его снова, и оно продолжало работать без проблем.

    Находясь в консоли, вы можете выбрать одну из основных групп для просмотра дополнительной информации, такой как количество событий и размер на диске для каждого просмотра. Или вы можете выбрать «Средство просмотра событий» в верхнем левом углу, чтобы получить обзор и сводку событий, недавние заметки и сводку журнала.

    Источник: Windows Central

    Если вы выберете одну из групп, с правой стороны вы увидите все события с информацией об их «уровне», «дате и времени» создания, «источнике», «идентификаторе события» и «категории задачи». ‘ Если вы хотите увидеть более подробную информацию, вы можете выбрать событие, и информация будет отображаться в нижней части консоли, или вы можете дважды щелкнуть событие, чтобы получить более подробную информацию.

    Источник: Windows Central

    В окне свойств события вкладка «Общие» содержит понятное описание ошибки, предупреждения или информации.

    Источник: Windows Central

    отслеживать использование данных Windows 10

    Обычно описание должно содержать достаточно информации, чтобы понять и решить проблему. Однако «идентификатор события» также является важной частью информации, так как вы можете использовать его для поиска в Интернете, чтобы найти дополнительную информацию и возможные инструкции по устранению проблемы.

    Поиск конкретных журналов

    Если вы ищете конкретное событие, консоль предоставляет как минимум два способа поиска событий с помощью фильтров или поиска по ключевым словам.

    Расширенный поиск

    Чтобы использовать фильтры для поиска определенного типа журнала, выполните следующие действия:

    1. Открыть Начинать .
    2. Искать Просмотрщик событий и выберите верхний результат, чтобы открыть консоль.
    3. Разверните группу событий.
    4. Щелкните категорию правой кнопкой мыши и выберите Фильтр текущего журнала вариант.

      Источник: Windows Central

      Быстрое примечание: Вы также можете получить доступ к фильтру и другим общим параметрам в Действие панель доступна в правой части консоли.

    5. Щелкните значок Фильтр таб.
    6. Используйте раскрывающееся меню «Зарегистрировано» и выберите временной диапазон, когда событие могло произойти, в том числе:

      • Любое время.
      • Последний час.
      • Последние 12 часов.
      • Последние 24 часа.
      • Последние 7 дней.
      • Последние 30 дней.
      • Произвольный диапазон.
    7. Выберите интересующий уровень события, в том числе:

      • Критический.
      • Предупреждение.
      • Подробный.
      • Ошибка.
      • Информация.

      Источник: Windows Central

    8. (Необязательно) Выберите источники событий. Это может быть одно или несколько приложений и служб.
    9. (Необязательно) Выберите Категория задачи .
    10. (Необязательно) Выберите или подтвердите ключевое слово, чтобы сузить журнал.
    11. Используйте выбор по умолчанию для Пользователь а также Компьютеры .
    12. Щелкните значок ОК кнопка.

    После того, как вы выполните эти шаги, соответствующие журналы появятся отфильтрованными в консоли. Если вы хотите очистить текущий фильтр, щелкните группу правой кнопкой мыши и выберите Очистить фильтр вариант.

    Базовый поиск

    Чтобы использовать ключевое слово для поиска ошибки, предупреждения или информационного события с помощью средства просмотра событий, выполните следующие действия:

    1. Открыть Начинать .
    2. Искать Просмотрщик событий и выберите верхний результат, чтобы открыть консоль.
    3. Разверните группы событий.
    4. Щелкните категорию правой кнопкой мыши и выберите Находить вариант.

      Источник: Windows Central

    5. Введите ключевое слово и нажмите Найти следующее кнопка.

      Источник: Windows Central

    После того, как вы выполните шаги, событие будет выделено в списке, если будет найдено совпадение.

    Создавайте собственные представления

    В случае, если вы часто ищете события одного и того же типа, в средстве просмотра событий также есть возможность создавать настраиваемые представления для быстрой фильтрации журналов и просмотра только тех, которые имеют отношение к вам.

    Чтобы создать настраиваемое представление в средстве просмотра событий, выполните следующие действия:

    1. Открыть Начинать .
    2. Искать Просмотрщик событий и выберите верхний результат, чтобы открыть консоль.
    3. Разверните группу событий.
    4. Щелкните категорию правой кнопкой мыши и выберите Создать собственный вид вариант.

      Источник: Windows Central

    5. Щелкните значок Фильтр таб.
    6. Используйте раскрывающееся меню «В журнале» и выберите временной диапазон.
    7. Выберите По журналу вариант.
    8. Используйте раскрывающееся меню «Журналы событий» и выберите категорию событий, которую вы хотите отфильтровать. Например, Система .

      Источник: Windows Central

    9. (Необязательно) Выберите Категория задачи .
    10. Выберите или подтвердите ключевое слово, чтобы сузить журнал.
    11. Используйте выбор по умолчанию для Пользователь а также Компьютеры .
    12. Щелкните значок ОК кнопка.
    13. Подтвердите имя для настраиваемого представления.

      Источник: Windows Central

    14. (Необязательно) Составьте описание для настраиваемого представления.
    15. Выберите, где сохранить вид.

      Быстрое примечание: Всегда рекомендуется расположение по умолчанию, но вы всегда можете создать новую папку для их хранения.

    16. Щелкните значок ОК кнопка.

    Выполнив эти шаги, в следующий раз, когда вам понадобится просмотреть определенные журналы, вы можете развернуть папку «Пользовательские представления» и выбрать созданное представление.

    Очистить историю журнала

    В Windows 10 журналы помогают отслеживать состояние вашего устройства и устранять неполадки, и вам следует хранить их как можно дольше. Однако вы можете очистить журнал журнала, чтобы освободить место или упростить отслеживание существующей проблемы.

    Чтобы очистить историю журнала определенной категории, выполните следующие действия:

    1. Открыть Начинать .
    2. Искать Просмотрщик событий и выберите верхний результат, чтобы открыть консоль.
    3. Разверните группу событий.
    4. Щелкните категорию правой кнопкой мыши и выберите Очистить журнал вариант.

      Источник: Windows Central

    5. Щелкните значок ясно кнопка.

      Быстрое примечание: Если вы хотите заархивировать журнал журнала в файле за пределами средства просмотра событий, вы также можете нажать кнопку Сохранить и очистить кнопка.

    После того, как вы выполните эти шаги, события будут удалены, и консоль начнет записывать новые события.

    Дополнительные ресурсы по Windows 10

    Дополнительные полезные статьи, статьи и ответы на распространенные вопросы о Windows 10 можно найти на следующих ресурсах:

    • Windows 10 в Windows Central — все, что вам нужно знать
    • Справка, советы и рекомендации по Windows 10
    • Форумы Windows 10 в Windows Central

    Журнал событий Windows 10. Зачем нужен и как пользоваться | Блог системного администратора

    Журнал событий Windows 10. Зачем нужен и как пользоваться

    В десятой версии Виндоуз предусмотрен журнал событий. Этот компонент присутствует в системе уже очень давно, но очень немногие о нем знают. Хотя нужен он каждому для того, чтобы понимать, что происходит с системой вашего компьютера, найти причину сбоев, определив некорректно работающие софт или устройства.

    Журнал событий Windows 10. Зачем нужен и как пользоваться

    Не один, а много разных журналов

    Выглядит он как небольшая подборка логов, которые система записывает в ходе работы компьютера. Эти журналы являются обычными текстовыми файлами, записанными в формате XML.

    Неправильно считать, что речь только об одном файле. Их несколько — администрирования, операционный, аналитический и отладки, не говоря уже о лог-файлах отдельных приложений. Их также называют еще и файлами регистрации.

    Какие события записываются в системном журнале?

    При запуске определенной программы на компьютере он отправляет сообщение в журнал событий. Кроме того, перед своим закрытием хорошо отлаженная программа также отправляет об этом уведомление.

    Каждый осуществляемый доступ, изменения конфигурации безопасности, сбой операционной системы, аппаратных компонентов или драйверов оставляет след в том или ином логе событий.

    Интерфейс

    Таким образом, окно журнала событий является просто предназначенным для вас интерфейсом, в котором собраны данные из различных текстовых файлов регистрации. Правильнее всего рассматривать Журнал событий в качестве программы управления базами данных, в удобной форме показывающей вам информацию, накапливаемую в файлах, просматривать которые при помощи текстового редактора или просмотрщика текстов вам было бы некомфортно.

    Как в него войти?

    Щелкните правой кнопкой мыши по значку главного системного меню. Второй вариант, предназначенный преимущественно для сенсорных экранов, тапните по нему и некоторое время удерживайте до появления на дисплее контекстного меню. Отсюда предстоит перейти к просмотру событий.

    Когда журнал откроется, вы увидите в левой верхней части окна строку меню и панель. Слева располагается вложенное окошко, в котором вы сможете выбирать, какие именно события хотите просмотреть. В их числе — относящиеся к определенными приложениям, системе в целом и ее безопасности.

    Журнал событий Windows 10. Зачем нужен и как пользоваться

    И, впервые открыв это полезнейший инструмент, не спешите огорчаться и начинать считать, что ваш компьютер функционирует некорректно. Дело в том, что вы увидите огромное множество — исчисляемое сотнями, а, вероятно, и тысячами — сообщений об ошибках. И это вполне в пределах нормы. Даже в стабильно выполняющей свои задачи компьютерной системе бывает немало различных незначительных сбоев.

    Журнал событий Windows 10. Зачем нужен и как пользоваться

    Что означают записи лога различных типов?

    Ошибка означает, что наблюдалась существенная проблема, в том числе и такая, которая могла привести к потере данных. Предупреждение — обычно не значит ничего важного, но может указывать на существование определенных проблем. Информационное сообщение является всего лишь уведомлением программы о том, что все в порядке.

    На большинство событий не надо обращать внимания

    В событиях приложений софт отмечает возникшие в его работе проблемы. События безопасности рассматривают определенные действия, произведенные на компьютере, результат которых был или не был успешен. В качестве примера можно привести попытку входа пользователя. На события установки пользователю в большинстве случаев не следует никак реагировать. Ведь касаются они преимущественно управления контроллерами.

    В системных событиях собраны поступившие от файлов Виндовз уведомления и касаются они тех сбоев, которые возникли в ходе функционирования системы. Почти все они исправляются усилиями самой системы и в вашем вмешательстве не нуждаются.

    Читайте другие мои статьи на Дзен-канале.
    Или подписывайтесь на группу Вконтакте.

    WEVTUTIL – управление событиями в Windows.

    Примеры использования WENTUTIL.

    wevtutil /? — отобразить подсказку по использованию.

    wevtutil get-log /? — отобразить подсказку по использованию команды get-log (gl).

    wevtutil el — отобразить список имен журналов. Имя или его часть, позволяющая однозначно идентифицировать журнал, должны использоваться в прочих подкомандах WEVTUTIL.

    wevtutil el > %TEMP%\eventlogs.txt — то же, что и в предыдущем случае, но с выводом результатов в текстовый файл каталога временных файлов. Для чтения результатов можно открыть его, например, блокнотом:
    notepad %TEMP%\eventlogs.txt
    Использование вставки фрагментов данных из текстового файла упрощает работу в командной строке и уменьшает вероятность ошибки.

    wevtutil el /r:Comp0 — отобразить список имен журналов удаленного компьютера Comp0. При подключении к удаленному компьютеру использовать учетную запись текущего пользователя.

    wevtutil el /r:192.168.1.3 /u:user1 /p:paswd1

    — отобразить список имен журналов удаленного компьютера с IP-адресом 192.168.1.3. При подключении к удаленному компьютеру использовать имя пользователя user1 и пароль paswd1

    wevtutil gli System /lf:false — отобразить информацию о журнале с именем System без указания файла журнала (lf:false)

    Пример отображаемой информации:

    creationTime: 2017-02-10T07:22:58. 552Z
    lastAccessTime: 2017-02-10T07:22:58.552Z
    lastWriteTime: 2017-03-07T08:39:30.870Z
    fileSize: 1118208
    attributes: 2080
    numberOfLogRecords: 1569
    oldestRecordNumber: 1

    wevtutil gl System — отобразить сведения о конфигурации журнала System. Пример отображаемой информации:

    name: System
    enabled: true
    type: Admin
    owningPublisher:
    isolation: System
    channelAccess:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
    logging: logFileName: %SystemRoot%\System32\Winevt\Logs\System.evtx
    retention: false
    autoBackup: false
    maxSize: 20971520
    publishing:
    fileMax: 1

    Выводятся сведения о конфигурации журнала событий, включая его состояние (включен или выключен), текущий максимальный размер и путь к файлу, где хранится журнал.

    wevtutil gl System /f:xml — то же, что и в предыдущем примере, но с отображением результатов в XML-формате.

    wevtutil ep — отобразить список издателей (источников записей о событиях).

    wevtutil gp System — отобразить сведения о конфигурации издателей журнала System. Пример отображаемой информации:

    name: System
    guid: 00000000-0000-0000-0000-000000000000
    helpLink:
    message:
    channels:
    channel:
    name: System
    id: 8
    flags: 1
    message:
    levels:
    opcodes:
    tasks:
    task:
    name: Устройства
    value: 1
    eventGUID: 00000000-0000-0000-0000-000000000000
    message: 1
    task:
    name: Диск
    value: 2
    eventGUID: 00000000-0000-0000-0000-000000000000
    message: 2
    task:
    name: Принтеры

    wevtutil gp Microsoft-Windows-Eventlog /ge:true /gm:true — вывести сведения об издателе событий Microsoft-Windows-Eventlog, включая метаданные событий, которые этот издатель может вызывать с отображением в текстовом виде.

    WEVTUtil install-manifest C:\Manifest1.man — установить издателей и журналы по данным из файла манифеста. Файл должен иметь формат, описанный в пакете Windows Eventing SDK, доступном на веб-сайте MSDN

    WEVTUtil uninstall-manifest C:\Manifest1.man — удалить издателей и журналы, по содержимому файла манифеста.

    wevtutil qe Application /c:3 /rd:true /f:text — отобразить 3 последних события журнала приложений в текстовом формате.

    WEVTUtil query-events System /count:20 /rd:true /format:text /q:»Event[System[(EventID=1)]]» — Отобразить 20 последних событий с кодом Event ID равным 1 из журнала системы в текстовом виде.

    WEVTUtil export-log System C:\backup\sys-saved.evtx — сохранить содержимое журнала событий системы в файл.

    WEVTUtil.exe clear-log Application — очистить журнал приложений Windows.

    wevtutil.exe cl Application /bu:C:\backup\all-event.evtx — То же, что и в предыдущем примере, но перед очисткой журнала выполняется его сохранение в файл C:\backup\all-event. evtx

    Очистить журнал защиты в Защитнике Windows в Windows 10 с помощью средства просмотра событий

    Защитник Windows — это антивирусная защита для Windows 10, которая встроена в ОС. Он предлагает защиту в реальном времени для вашего ПК с Windows 10, защищая его от любых вирусов, вредоносных программ или шпионского ПО, которые могут атаковать любые ваши часто используемые программы, такие как электронная почта, Интернет, облако или любые другие приложения.

    Каждый раз, когда Защитник Windows запускает сканирование на вашем компьютере, он автоматически сохраняет журнал защиты. Если вы хотите очистить историю защиты, вы можете использовать метод ниже.



    Как очистить историю защиты в Защитнике Windows в Windows 10 с помощью средства просмотра событий

    Способ 1

    1. Нажмите Клавиша Windows + X вместе с клавиатуры и нажмите File explorer, чтобы открыть файловый менеджер.


    2. Зайдите внутрь C : Папка, обычно в которой установлена ​​ваша ОС Windows.


    3. Щелкните на Вид и убедитесь, что скрытые предметы проверено.

    4. Теперь вы увидите скрытую папку. Данные программы. Нажмите здесь.


    Теперь иди внутрь: —

    • Microsoft
    • Защитник Windows
    • Сканы
    • История
    • Служба

    5. Теперь, Удалить все файлы внутри него.


    Вот и все, и ваша проблема будет решена.

    Способ 2

    Шаг 1: Нажать на Начинать кнопку, в поле поиска введите Просмотрщик событий , и ударил Войти , чтобы открыть окно просмотра событий.


    Шаг 2: Под Средство просмотра событий (локальное) в левой части панели разверните Журналы приложений и служб вариант. Под этим разверните Microsoft вариант и нажмите на Окна . Он откроет список всех своих файлов в правой части панели.


    Шаг 3: Прокрутите вниз, найдите Защитник Windows из списка файлов щелкните его правой кнопкой мыши и выберите Открыть .


    Шаг 4: Из двух вариантов щелкните правой кнопкой мыши на Оперативный и нажмите Открыть .

    Шаг 5: Он откроет все прошлые журналы. Далее перейдите к Защитник Windows папку на левой панели, щелкните правой кнопкой мыши Оперативный . Нажмите на Очистить журнал в меню.

    Шаг 6: Откроется окно с тремя вариантами. Выбирать Прозрачный или же Сохранить и очистить в зависимости от ваших требований, и вы закончили очистку журнала защиты в Защитнике Windows.

    Рекомендуется для вас:
    1. Как очистить все журналы событий в Windows 10
    2. Как включить защиту от программ-вымогателей в Windows 10
    3. Исправлено — Не удается очистить историю временной шкалы в Windows 10.
    4. Как включить / выключить защиту от изменений в Windows 10
    5. Как ограничить использование ЦП Защитником Windows в Windows 10
    6. Как удалить историю поиска Кортаны в Windows 10?

    Просмотр журнала приложений Windows (Windows) — SQL Server

    • Статья
    • 2 минуты на чтение
    • 8 участников

    Полезна ли эта страница?

    да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft. Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    Применяется к: SQL Server (все поддерживаемые версии)

    SQL Server настроен на использование журнала приложений Windows, каждый сеанс SQL Server записывает новые события в этот журнал. В отличие от журнала ошибок SQL Server, новый журнал приложений не создается каждый раз при запуске экземпляра SQL Server.

    В этой статье рассматриваются операционные системы Windows 10 и более поздних версий.

    Просмотр журнала приложений Windows

    1. В строке поиска введите Event Viewer , а затем выберите настольное приложение Event Viewer .

    2. В средстве просмотра событий разверните папку Журналы Windows и выберите журнал событий Приложение .

    3. События SQL Server идентифицируются записью MSSQLSERVER (именованные экземпляры обозначаются MSSQL$ ) в столбце Источник .События агента SQL Server идентифицируются записью SQLSERVERAGENT (для именованных экземпляров SQL Server события агента SQL Server идентифицируются с помощью SQLAgent$ < имя_экземпляра >). События службы Microsoft Search обозначаются записью Microsoft Search .

    4. Чтобы просмотреть журнал другого компьютера, щелкните правой кнопкой мыши Средство просмотра событий (локальное) . Выберите Подключиться к другому компьютеру и заполните поля, чтобы завершить диалоговое окно Выберите компьютер .

    5. При необходимости для отображения только событий SQL Server в меню View выберите Filter . В списке Источник событий выберите MSSQLSERVER . Чтобы просмотреть только события агента SQL Server, вместо этого выберите SQLSERVERAGENT в списке Источник событий .

    6. Чтобы просмотреть дополнительную информацию о событии, дважды щелкните событие.

    См. также

    Просмотр журнала ошибок SQL Server (SQL Server Management Studio)

    Как проводить аудит журналов приложений Windows 10

    Функция аудита в Windows 10 — полезный перенос из предыдущих версий Windows.Это позволяет пользователям и администраторам Windows 10 просматривать события безопасности в журнале аудита с целью отслеживания системных событий и событий безопасности.

    В этой вводной статье подробно рассказывается, что такое журнал приложений Windows и где его можно просмотреть. Кроме того, мы рассмотрим важность ведения журнала и аудита, как включить аудит в вашей системе Windows 10 и как просмотреть журнал событий безопасности.

    Что такое журнал приложений Windows?

    Windows предоставила пользователям и администраторам постоянный доступ к журналам, чтобы лучше понимать системные события и события безопасности. Журнал приложений используется для записи событий, записываемых приложениями и службами. Эти приложения могут быть проприетарными/коммерческими приложениями (включая SQL Server) и приложениями, разработанными вашей организацией.

    События, которые могут быть зарегистрированы, включают целый ряд событий приложений, от событий запуска приложений до событий ошибок во время выполнения. Специалисты службы поддержки могут запросить доступ к вашему журналу приложений, чтобы помочь им оценить проблему с приложением.

    Где найти журнал приложений?

    Microsoft перенесла средство просмотра событий в Windows 10.Чтобы легко получить доступ к средству просмотра событий, введите «Событие» в строке поиска Windows 10 Cortana, затем нажмите «Просмотр событий», когда оно появится в результатах поиска. После открытия средства просмотра событий выберите «Журналы Windows» в дереве консоли с левой стороны, затем дважды щелкните «Приложение» в дереве консоли. Появится журнал приложений Windows 10.

    Журнал приложений будет записывать определенную информацию о событиях приложений. Эта информация включает:

    • Имя журнала
    • Источник
    • Идентификатор события
    • Уровень
    • Пользователь
    • Время регистрации события

    Какие события он обычно записывает? Вот список обычно регистрируемых событий:

    • Приложения, начиная с
    • Исключения приложений
    • Журналы SQL
    • Основные события приложений, включая перезапуски, остановки и другие события безопасности
    • Выберите отладочную информацию

    Затем эту информацию могут использовать аудиторы, специалисты по информационной безопасности и специалисты службы поддержки для дальнейшего расследования событий приложений в вашей системе Windows 10.

    Важность регистрации и аудита

    Ведение журнала и аудит работают как система контроля доступа, гарантируя выполнение только авторизованных действий. Они играют ключевую роль в выявлении, предотвращении и прекращении нежелательных действий и обеспечивают контрольный журнал, который можно использовать в расследованиях.

    Ведение журнала необратимо (журналы можно удалять, изменять и т. д.), но аудит считается более постоянным методом записи и хранения событий.

    Как проводить аудит журналов приложений Windows 10

    Это шаги для аудита журнала приложений в системе Windows 10.

    Включить аудит

    Первым шагом к аудиту является включение функции аудита в Windows 10. Чтобы включить это, введите «CMD» в строке поиска Cortana. Щелкните правой кнопкой мыши параметр командной строки, когда он появится, и выберите «Запуск от имени администратора» (для чего потребуются учетные данные администратора). Когда появится приглашение CMD, выполните следующую команду: Auditpol / set /Category:System /failure:enable . Затем перезагрузите систему, чтобы это изменение вступило в силу.

    Установить политику аудита

    Следующим шагом является установка политики аудита для того, что будет фиксироваться в ходе аудита. Откройте редактор локальной групповой политики и снова запустите приглашение CMD. Когда он появится, введите gpedit.msc и нажмите OK.

    Перейдите к Политике аудита, которую можно найти в разделе Конфигурация компьютера ➝ Параметры Windows ➝ Параметры безопасности ➝ Локальные политики ➝ Политика аудита. На этом этапе вам будут представлены конфигурации аудита, которые вы используете для установки параметров аудита.Дважды щелкните по ним в правой части редактора локальной групповой политики. Вы можете настроить эти элементы для аудита в случае успеха или неудачи.

    Как просмотреть журнал событий безопасности

    С включенной функцией аудита Windows 10 и установленной политикой аудита вы можете начать просмотр записанных событий. Чтобы найти журнал событий безопасности, откройте средство просмотра событий. Открыв средство просмотра событий, разверните дерево консоли и нажмите «Безопасность».

    Обратите внимание: если функция аудита не включена должным образом и не задана политика аудита, этот журнал будет пустым.

    Заключение

    Аудиты журналов приложений являются ценным источником информации о событиях, касающихся различных приложений Windows 10, включая всемогущий SQL Server. Хотя в Windows 10 есть полезная функция аудита, ее необходимо правильно включить с помощью соответствующей политики аудита, прежде чем вы сможете использовать эту функцию в аудитах, расследованиях и т.п.

    Если происходят важные события приложения или вы подозреваете, что они могут быть, аудит журналов приложений Windows 10 должен помочь диагностировать проблему.

    Источники

    Журналы Intune Идентификаторы событий Подробности журналов IME для Windows Устранение неполадок на стороне клиента Блог HTMD

    Давайте проверим, чтобы понять журналы Intune для компьютеров с Windows 10 и Windows 11 . Intune — это решение SaaS (программное обеспечение как услуга), и я не видел никаких серверных журналов Intune. Устранение неполадок на стороне сервера в основном осуществляется службой поддержки Microsoft.

    Журналы на стороне клиента Intune — это один из вариантов устранения неполадок. Другой вариант устранения неполадок Intune со стороны клиента — использование трассировки сети.По сути, это обратный инжиниринг с использованием трассировок Fiddler и т. д.

    Некоторые сведения о сервере Intune доступны через различные узлы отчетов на портале Intune. Вы можете выполнить базовое развертывание пользовательской политики Intune  устранение неполадок на портале центра администрирования MEM.  Вы можете напрямую собирать журналы Intune с портала центра администрирования MEM, используя руководство по сбору журналов Intune из диагностических данных портала MEM.

    Один из примеров приведен нижеСледующий уровень устранения неполадок — с помощью средства диагностики MDM для сбора журнала и информации с на стороне клиента .

    Мы можем разделить журналы Intune на две части . Один из них — это журналы, связанные с расширением управления Intune ( IME ), а другой раздел журналов связан с журналами событий Windows MDM . Более того, вы не можете сравнивать журналы SCCM с параметрами ведения журналов Intune.

    Отчет о расширенной диагностике Intune

    Я рекомендую начать сбор журналов Intune из приложения Windows 10 или Windows 11 параметров .В этом отчете показаны примененные состояния конфигурации вашего устройства, включая политику CSPSettings, сертификаты, источники конфигурации и информацию о ресурсах.

    Как собрать отчет о расширенной диагностике Intune с ПК с Windows:

    • Перейдите к приложению e Settings из меню «Пуск» или с помощью кнопки.
    • Нажмите на Accounts .
    • Нажмите Доступ к школе или работе на странице учетных записей.
    • Щелкните учетную запись Azure AD , для которой вы хотите собрать журналы/отчет.

    Отчет о диагностике будет сохранен -> C:\Users\Public\Documents\MDMDiagnostics

    Журналы Intune Идентификаторы событий Журналы IME Сведения для устранения неполадок на стороне клиента Windows

    Журналы Intune в Windows — журналы управления

    возможность собирать все журналы, связанные с Intune, с ПК с Windows. Вы можете собрать все журналы управления Intune из настроек -> Учетные записи -> Access School или Work .

    Вы можете нажать Экспорт файлов журнала управления .Файл журналов будет храниться в том же месте, что и диагностические отчеты Intune. Некоторые файлы журналов, собранные в ходе этого процесса, приведены ниже.

    C:\Users\Public\Documents\MDMDiagnostics ==> MDMDiagReport.cab (Вы можете извлечь CAB-файл для проверки журналов).

    ПРИМЕЧАНИЕ ! – Параметр командной строки для получения журнала диагностики Intune MDM –

    mdmdiagnosticstool.exe -area DeviceEnrollment;DeviceProvisioning;Autopilot -zip c:\users\public\documents\MDMDiagReport.почтовый

    Intune Журналы в Windows — Управление Логи
     AgentExecutor.log, AutopilotConciergeFile.json, AutopilotDDSZTDFile.json, ClientHealth.log, DeviceHash_DESKTOP-EQI637E. csv, DiagnosticLogCSP_Collector_Autopilot_2020_11_10_16_17_18.etl, DiagnosticLogCSP_Collector_DeviceProvisioning_2021_7_5_17_44_24.etl, IntuneManagementExtension-20210623-103112.log, IntuneManagementExtension -20210630-185736.log, IntuneManagementExtension.log, MDMDiagHtmlReport.html, MdmDiagLogMetadata.json, MDMDiagReport.xml, MdmDiagReport_RegistryDump.reg, MdmLogCollectorFootPrint.txt.microsoft-windows-aad-operational.evtx, microsoft-windows-appxdeploymentserver-operational.evtx, microsoft-windows-assignedaccess-admin.evtx, microsoft-windows-assignedaccess-operational.evtx, microsoft-windows-assignedaccessbroker-admin.evtx, microsoft-windows-assignedaccessbroker-operational.evtx, microsoft-windows-crypto-ncrypt-operational.evtx, microsoft-windows-devicemanagement-enterprise-diagnostics-provider-admin.evtx, microsoft- Windows-DeviceManagement-Enterprise-Diagnostics-Provider-Debug.evtx, microsoft-windows-devicemanagement-enterprise-diagnostics-provider-operational.evtx, microsoft-windows-moderndeployment-diagnostics-provider-autopilot. evtx, microsoft-windows-moderndeployment-diagnostics-provider-managementservice.evtx, microsoft-windows- provisioning-diagnostics-provider-admin.evtx, microsoft-windows-shell-core-operational.evtx, microsoft-windows-user device Registration-admin.evtx, Sensor.log, setupact.log 

    Журналы расширений управления Intune

    Расширение управления Intune — это упрощенный агент, который помогает развертывать сложные приложения, сценарии PowerShell и многие другие службы на устройствах Windows.Журналы IME аналогичны журналам ConfigMgr, и эти журналы расположены по адресу , следующему за адресом . IME — это журналы Intune на ПК с Windows.

    C:\ProgramData\Microsoft\IntuneManagementExtension\Logs

    Журналы расширения управления Intune

    Во время написания этого сообщения у нас было четыре (4) журнала IME внутри папки IntuneManagementExtension\Logs .

    1. AgentExecutor. log
    2. ClientHealth.log
    3. IntuneManagementExtension.log
    4. Sensor.log

    AgentExecutor.log

    AgentExecutor.log является частью журналов Intune (IME), и этот журнал Intune помогает устранять неполадки, связанные с развертыванием сценария PowerShell и сценария упреждающего исправления в Windows 11. или ПК с Windows 10.

    C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts\50b368da-f63e-4eb2-af9e-13bbd030d62f_cb7f2730-5580-4652-877d-f097c8b4064a. ps1
    C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Results\50b368da-f63e-4eb2-af9e-13bbd030d62f_cb7f2730-5580-4652-877d-f097c8b4064a .вывод
    строка cmd для запуска powershell -executionPolicy bypass -file «C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts\50b368da-f63e-4eb2-af9e-13bbd030d62f_cb7f2730-5580-4652-877d -f097c8b4064a. ps1»

    Журналы расширения управления Intune — AgentExecutor.log

    ClientHealth.log — Журналы IME Intune

    10 клиентов.

    Дополнительные сведения о действиях, связанных с проверкой работоспособности IME , объясняются в разделе Оценка работоспособности Intune Management Extension | Проблема со здоровьем IME | ClientHealthEval.exe | Диспетчер задач.

    Сводка: проверка/исправление правила Тип запуска службы расширения управления Intune . с идентификатором 05980f21-0099-4ac4-8ba7-c9f5f0cd0b7f, результат = Pass , детали = N/A
    Запуск правила обработки Проверка/исправление состояния службы Intune Management Extension.
    Завершить отправку отчета о работоспособности.
    Отчет о работоспособности клиента успешно отправлен . Сделанный.
    Оценка состояния клиента завершена .

    IntuneManagementExtension.log — файл журнала управления приложениями Intune

    Файл журнала IntuneManagementExtension. log — это файл журнала управления приложениями Intune для приложений IntuneWin. Доступны дополнительные сведения об устранении неполадок IME — Intune Management Extension Deep Dive.

    [Win32App] ===Шаг=== Обнаружение проверки без существующего AppResult
    [StatusService] Невозможно получить код ошибки, поэтому возвращается неизвестное значение.
    [StatusService] Сохранен AppInstallStatusReport для пользователя 50b368da-f63e-4eb2-af9e-13bbd030d62f для приложения 389fa8ca-2cee-4431-907d-2802e7c46a0a в реестре StatusServiceReports.
    [AppStatusMgr] downloadTime: 01.01.0001 00:00:00

    ClientHealth.log — журналы IME Intune IntuneManagementExtension.log — файл журнала управления приложениями Intune

    Журналы событий Intune

    Как упоминалось выше, Intune и Windows MDM Журналы связанных компонентов доступны только в журналах событий.Вы можете собрать все необходимые журналы событий из файла MDMDiagReport.cab , как обсуждалось выше. Давайте проверим, какие журналы критических событий могут быть полезны для устранения неполадок при развертывании Intune.

    Журналы событий — это расширенный тип журналов Intune в Windows. В большинстве сценариев я использую журналы событий, выделенные жирным шрифтом . Это основные журналы событий MDM, которые очень полезны при устранении неполадок, связанных с развертыванием политик Intune.

    Путь к журналу (событию) Intune: Журналы приложений и служб Microsoft — Windows — Devicemanagement-Enterprise-Diagnostics-Provider — Admin .

    Logs Intune Event
    • Microsoft-Windows-Aad-apperational
    • Microsoft-windows-appxdeportmentserver-apperationActionAccess-admin-admin
    • Microsoft-windows-aparsedAccess-Operational
    • Microsoft-Windows-assentedAccessbroker-admin
    • microsoft-windows-assignedaccessbroker-operational
    • microsoft-windows-crypto-ncrypt-operational
    • microsoft-windows-devicemanagement-enterprise-diagnostics-provider-admin (Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin )
    • microsoft-windows-devicemanagement-enterprise-diagnostics-provider-debug
    • microsoft-windows-devicemanagement-enterprise-diagnostics-provider-operational (Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Operational)
    • microsoft-windows-moderndeployment-diagnostics-provider-autopilot
    • microsoft-windows-moderndeployment-
    • microsoft-windows-provisioning-diagnostics-provider-admin
    • microsoft-windows-shell-core-operational
    • microsoft-windows-user device Registration-admin

    Event ID 208 — Intune Server Sync Initiated

    Идентификатор события 208 указывает, что политика Windows MDM , инициированная клиентом, синхронизирует с сервером MDM, и в этом сценарии это Intune. Журнал событий ясно показывает, что сеанс OMA-DM начался для определенного enrollmentID.

    Это первый идентификатор события , который следует искать при запуске синхронизации политики вручную ( Инициировать ручную синхронизацию политики Intune ) с компьютеров с Windows 10 или Windows 11.

    Сеанс MDM: Сеанс OMA-DM запущен для EnrollmentID (FFF6BB6A-4071-4E45-B14B-99DB4FB147BA) с сервером: ( MS DM Server ), версия сервера: (4.0), версия клиента: (1.2), PushRouterOrigin: (0x3), UserAgentOrigin: (0x2), Инициатор: (0x0), Режим: (0x2), SessionID: (0x45), Тип аутентификации: (0x1).

    Идентификатор события 208 — инициирована синхронизация сервера Intune

    Идентификатор события 813 для политики Intune Целое число

    Событие с идентификатором 813 указывает, что политика Windows CSP применяется на ПК с Windows 10 или Windows 11. Параметр политики Intune основан на целочисленном значении . Идентификатор события 813 также указывает на то, что этот параметр политики успешно применен на клиентских компьютерах.

    ИДЕНТИФИКАТОР СОБЫТИЯ 813 (Целое число) — MDM PolicyManager: Установка политики, целое число , Политика: ( DeferQualityUpdatesPeriodInDays ), Область: (обновление), EnrollmentID, запрашивающий слияние: (FFF6BB6B-4071-4E4) Текущий пользователь: (устройство), Int: ( 0x0 ), тип регистрации: (0xD), область действия: (0x0).

    Идентификатор события 813 для политики Intune Целое число

    Журналы событий Intune — Идентификатор события 814

    Давайте рассмотрим некоторые сведения о важных журналах событий в рамках публикации журналов Intune. Идентификатор события 814 означает, что клиент MDM получил обновление политики с сервера и успешно применил его на клиентском ПК с Windows 10 или Windows 11.

    Идентификатор события 814 также означает тип полученной политики Intune . Этот идентификатор события указывает, что получена политика STRING . Как вы знаете, в Windows CSP существуют разные типы политик. Строка является одной из таких политик.

    ИДЕНТИФИКАТОР СОБЫТИЯ 814 — MDM PolicyManager: Установить строку политики , Политика: ( CPL_Personalization_DisableThemeChange ), Область: (ADMX_ControlPanelDisplay), EnrollmentID, запрашивающий слияние: (D0892524-2SDBCA-19F0E7), Текущий пользователь: 1-5-21-2

    8661-3025291148-348095268-1124

    ), Строка: (), Тип регистрации: (0x6), Область: (0x1).

    Журналы событий Intune — идентификатор события 814

    идентификатор события — 2900 — предупреждение о несоответствии

    Событие с идентификатором 2900 указывает на предупреждение, когда клиент MDM пытается оценить состояние соответствия ПК. В следующем примере Bitlocker CSP проверяет статус соответствия на облачном ПК, и мои лабораторные виртуальные машины не обращают внимания на , а не на BitLocker .

    BitLocker CSP: GetDeviceEncryptionComplianceStatus указывает, что FDV не соответствует с возвращенным статусом 0x200

    Журналы Intune — Идентификатор события — 2900 — Предупреждение о несоответствии

    Идентификатор события 809 — Неизвестная ошибка Win32

    6 реализация политики на ПК с Windows 10 или Windows 11.Вам придется провести дальнейшую оценку и устранить проблему. Вам нужно будет проверить записи реестра, связанные с этой конкретной политикой, и устранить эту проблему.

    Вы можете выполнить поиск в реестре по любому из ключевых слов в журнале событий ниже — AllowTelemetry, FFF6BB6A-4071-4E45-B14B-99DB4FB147BA и т. д., чтобы лучше понять проблему. Некоторые дополнительные советы доступны в разделе Советы по устранению неполадок пользовательской политики Intune для предотвращения изменения темы.

    MDM PolicyManager: Установить политику, целое число , Политика: (AllowTelemetry), Область: (Система), Запрашивающий набор EnrollmentID: (FFF6BB6A-4071-4E45-B14B-99DB4FB147BA), Текущий пользователь: (Устройство), Целое: (0x2 ), Тип регистрации: (0xD), Область: (0x0), Результат: (0x86000011) Неизвестный код ошибки Win32: 0x86000011 .

    Идентификатор события 820 указывает на ошибку отказа в доступе в следующем примере. Клиент MDM для Windows 10 или Windows 11 пытается проверить состояние RequireRetrieveHealthCertificateOnBoot, , и это недоступно для облачных ПК (?), поэтому он получает следующую ошибку (0x80004005) Unspecified error.

    Идентификатор события 820 — MDM PolicyManager: установка вызова предварительной проверки политики. Политика: (Безопасность), Область: ( RequireRetrieveHealthCertificateOnBoot ), значение int: (0x1) Результат: ( 0x80004005 ) Неизвестная ошибка.

    Идентификатор события 809 — Неизвестная ошибка Win32 — Журналы Intune

    Событие с идентификатором 404 Неопределенная ошибка

    Событие с идентификатором 404 указывает на разные типы ошибок. Один из них можно легко игнорировать, и это журнал событий FakePolicy . Это известная ошибка в Windows 11 и Windows 10.

    Таким образом, вы можете смело игнорировать эту ошибку Система не может найти файл, указанный для поддельной политики OMA-URI.

    MDM ConfigurationManager: состояние ошибки команды.Идентификатор источника конфигурации: (FFF6BB6A-4071-4E45-B14B-99DB4FB147BA), Имя регистрации: (MDMFullWithAAD), Имя поставщика: (Политика), Тип команды: (Добавить: из Заменить или Добавить), URI CSP: (./Device/ Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Receiver/Properties/Policy/ FakePolicy/ Version), Результат: (Системе не удается найти указанный файл.).

    Ошибка журнала событий 404 ( Неопределенная ошибка ) для назначения политики Intune, связанной с безопасной загрузкой, PCHealth и т. д., нельзя было применить на большинстве виртуальных машин Windows 10 и Windows 11.

    RequireRetrieveHealthCertificateOnBoot может быть недоступен для виртуальных машин Azure, виртуальных машин AVD или облачных ПК в большинстве сценариев. Таким образом, вам может потребоваться отфильтровать развертывание этих политик на виртуальных машинах или VDI.

    MDM ConfigurationManager: состояние ошибки команды. Идентификатор источника конфигурации: (FFF6BB6A-4071-4E45-B14B-99DB4FB147BA), имя регистрации: (MDMFullWithAAD), имя поставщика: (политика), тип команды: (Добавить: из «Заменить» или «Добавить»), URI CSP: (./Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot), Результат: (Неизвестная ошибка).

    Идентификатор события 404 Неопределенная ошибка — Политика Intune Журналы Intune

    Центр отзывов — Сбор журналов корпоративного портала

    Вы также можете отправить отзыв или записать проблему через интеграцию центра отзывов с корпоративным порталом. Я не использовал эту опцию, чтобы дать полный опыт. Тем не менее, кажется, что это собирает много данных, включая скриншоты и записи экрана. Я также не уверен, разрешен ли этот тип сбора данных с точки зрения конфиденциальности всех корпоративных организаций.

    Обязательно сохраните локальную копию диагностики и вложений, созданных при отправке отзыва. Путь, по которому он хранится, — C:\Users\Anoop\Documents\FeedbackHub .

    Журналы Intune на компьютерах с Windows Сведения о расположении Как собирать диагностические отчеты

    Инструмент сообщества для сбора журналов Intune

    Этот пакет используется вместе с инструментом Microsoft Support One Data Collector (ODC) для сбора данных с клиентских компьютеров Windows Intune.

    Файл XML содержит расположение данных и сценарии для сбора различных файлов, разделов реестра и выходных данных командной строки, чтобы помочь инженерам службы поддержки в устранении неполадок Intune.

    markstan/IntuneOneDataCollector: Intune One Data Collector — автоматизированный инструмент для сбора данных по вопросам поддержки Intune. (github.com)

    Ресурсы

    Автор

    Anoop  – это   Microsoft MVP! Он администратор управления устройствами с более чем 20-летним опытом (расчет сделан в 2021 году) в области ИТ. Он является блоггером, спикером и лидером местного сообщества пользователей HTMD. Его основное внимание уделяется технологиям управления устройствами, таким как SCCM 2012, Current Branch, Intune.Он пишет о ConfigMgr, Windows 11, Windows 10, Azure AD, Microsoft Intune, Windows 365, AVD и т. д.

    Журнал приложений и служб Windows

    > Службы > Журнал приложений и служб Windows

    Журнал приложений и служб Windows позволяет отслеживать журналы приложений и служб на устройствах Windows, аналогично службе журнала событий Windows.

    Поскольку вы можете назначить до 1000 экземпляров этой службы устройству, вы можете присвоить каждому экземпляру идентификатор службы. Идентификатор службы включается в уведомления по электронной почте и на экраны, связанные со службой, включая представление и вкладку при редактировании устройства. Это позволяет организовать несколько экземпляров журнала приложений и служб Windows.

    Для некоторых источников агент не может получить описание события из-за:

    • соответствующие разделы реестра Windows не существуют,
    • соответствующие ключи реестра Windows не содержат достоверных данных или
    • Файлы сообщений о событиях повреждены или не найдены.

    В любом из этих сценариев появляется следующее сообщение: «Описание для идентификатора события (номер идентификатора события) в источнике (имя источника) не найдено. Возможно, на локальном компьютере нет необходимой информации реестра или файлов DLL сообщений для отображения. сообщения с удаленного компьютера».

    Тип службы

    WMI

    экземпляров на устройстве

    1000

    Класс устройства

    Ноутбук — Windows, сервер — Windows и рабочая станция — Windows

    Контролируется

    Агент

    (Windows), зонд Windows

    Создание уведомления при обнаружении события

    После добавления триггера/профиля уведомления установка этого флажка указывает службе создавать уведомления всякий раз, когда она обнаруживает события.

    Интервал сканирования

    30 минут

    Включить список

    Идентификаторы событий, которые вы хотите отслеживать.Вы можете указать отдельные идентификаторы событий или диапазон идентификаторов событий, разделенных запятыми.

    Например:

    100 200 250–400 500–650

    Это поле может содержать не более 200 символов. Пробелы не допускаются.

    Список исключений

    Идентификаторы событий, которые вы хотите исключить из мониторинга.Вы можете указать отдельные идентификаторы событий или диапазон идентификаторов событий, разделенных запятыми.

    Например:

    100 200 250–400 500–650

    Это поле может содержать не более 200 символов.

    Источник события включает фильтр

    Имена источников, которые вы хотите отслеживать. Значения должны быть в формате CSV. Для диапазона идентификаторов событий используйте тире (-).

    Используйте строковые выражения с подстановочными знаками, разделенные запятыми, для сопоставления источников событий, включенных в список зарегистрированных событий.

    Например, использование «*?icrosoft*ffice*,Adobe*» соответствует источникам событий, содержащим строки «microsoft office» или «MicrosoftOffice», а также любым источникам, начинающимся со слова «Adobe».

    Это поле не поддерживает регулярные выражения.

    Фильтр исключения источника события

    Имена источников журнала событий, которые вы хотите исключить из мониторинга. Значения должны быть в формате CSV. Для диапазона идентификаторов событий используйте тире (-).

    Используйте строковые выражения с подстановочными знаками, разделенные запятыми, для сопоставления источников событий, включенных в список зарегистрированных событий.

    Например, использование «*?icrosoft*ffice*,Adobe*» соответствует источникам событий, содержащим строки «microsoft office» или «MicrosoftOffice», а также любым источникам, начинающимся со слова «Adobe».

    Это поле не поддерживает регулярные выражения.

    Описание события Фильтр регулярных выражений

    Проверка статуса службы

    Чтобы проверить состояние конкретной службы, выполните следующие действия:

    1. Нажмите Все устройства на левой панели.
    2. На вкладке Сетевые устройства щелкните соответствующее устройство.
    3. Щелкните определенный журнал приложений и служб Windows, чтобы просмотреть его состояние.
    4. Как только вы перейдете на экран под вкладкой Статус , вы увидите график, содержащий данные сканирования журнала событий.
    5. Если график не отображается, это означает, что журналы событий не были найдены в течение выбранного периода сканирования.По умолчанию период сканирования установлен на 1 день. Чтобы расширить период сканирования, выберите другое количество дней в раскрывающемся меню рядом с полем Период (1, 7 или 30).

    6. Щелкните OK .

    методов полной очистки журнала событий Windows

    Журнал событий Windows может содержать полную запись действий пользователя. Получив доступ к файлу журнала событий, любой может узнать о вашей личной информации. Поэтому, если вы хотите защитить свою конфиденциальность, вам обязательно следует регулярно удалять журнал событий. Неважно, используете ли вы персональный компьютер или ваша система подключена к сети, вы должны взять за привычку очищать журнал событий Windows. Есть много способов сделать это. В этом руководстве мы научим вас удалять файлы журнала событий с помощью собственного интерфейса Windows и стороннего инструмента. Давайте начнем и очистим журнал событий Windows без особых проблем.

    Часть 1. Как удалить журналы событий

    Как вы уже знаете, журнал событий может содержать подробную запись действий пользователя в Windows. Таким образом, получив лог-файл, любой может узнать о вашей деятельности. Не волнуйтесь! Вы можете очистить журнал событий Windows прямо из собственного интерфейса операционной системы. Несмотря на то, что вы можете перейти в командную строку в Windows, чтобы удалить журнал событий, это довольно сложный процесс. Мы предоставили простой и надежный способ удаления журналов событий через собственный интерфейс Windows.Это можно сделать, выполнив следующие действия:

    1. Во-первых, вам необходимо получить доступ к окну просмотра событий. Для этого вы можете открыть окно «Выполнить» и ввести команду «eventvwr.msc» для запуска.

    2. Кроме того, вы также можете одновременно нажать клавиши Windows и X на клавиатуре, чтобы открыть меню быстрого доступа. Отсюда выберите опцию «Просмотр событий», чтобы открыть окно.

    3. Это запустит интерфейс просмотра событий. Отсюда вы можете получить доступ ко всем журналам событий и редактировать их в соответствии с вашими потребностями.

    4. На левой панели в разделе «Журнал Windows» можно получить доступ к большинству журналов. Чтобы очистить любой журнал, выберите его, щелкните правой кнопкой мыши и выберите параметр «Очистить журнал».

    5. Например, если вы хотите очистить журналы приложений, выберите «Приложение» и щелкните правой кнопкой мыши. Из всех предложенных вариантов нажмите «Очистить журнал».

    6. Вы также можете выборочно очистить журнал событий Windows. Для этого выберите тип журнала событий на левой панели.После этого вы можете получить доступ к журналу, который хотите удалить, с правой панели и выбрать опцию «Очистить журнал» из списка действий.

    7. Мы сделали то же самое, чтобы очистить системный журнал. После выбора «Система» на левой панели выбор делается на правой стороне. В конце выбирается действие «Очистить журнал» для удаления журнала событий.

    8. Как только вы сделаете свой выбор, вы получите следующее всплывающее сообщение. Это позволит вам очистить журналы или сохранить и очистить их.

    9. Подтвердите свой выбор и подождите некоторое время, пока Windows удалит из него журнал событий.

    Конкретный интерфейс и метод могут различаться в разных версиях Windows. Тем не менее, следуя этим инструкциям, вы сможете без особых проблем очистить журнал событий Windows. Тем не менее, эти файлы могут быть впоследствии восстановлены после выполнения операции восстановления. Если вы хотите безвозвратно удалить файлы журнала событий без какой-либо области восстановления, мы рекомендуем использовать сторонний инструмент для удаления данных.

    Часть 2. Как полностью очистить журнал событий Windows

    Выполнив вышеупомянутое упражнение, вы сможете без особых проблем очистить журнал событий Windows. Поскольку эти файлы не будут удалены навсегда, вам нужен надежный инструмент для удаления данных. Stellar BitRaser для файла станет идеальным приложением, которое поможет вам избавиться от ваших данных навсегда и за считанные секунды. Он имеет простой в использовании интерфейс и обеспечивает безопасное решение для удаления данных различных типов. От действий в Интернете до системных трассировок и приложений до журналов событий, он может навсегда избавиться практически от всего в вашей системе.Вот некоторые из его других особенностей:

    • Stellar BitRaser для файла можно использовать для избавления от системных следов разного рода, включая журналы событий.
    • Выполняет безвозвратное удаление ваших данных без указания области восстановления.
    • BitRaser можно использовать для удаления действий в Интернете, файлов данных, данных приложений и другого контента.
    • Можно также выполнить автоматическое удаление данных с помощью планировщика.
    • BitRaser для файла также предоставляет сертификат стирания после успешного завершения процесса.
    • Он имеет различные типы алгоритмов, которые можно выбрать в его настройках.
    • Вы можете освободить неиспользуемое и пустое пространство с помощью BitRaser для файла.
    • Совместим со всеми ведущими версиями Windows.

    Шаг 1: Загрузите файл Stellar BitRaser на свой компьютер с Windows и запустите его.

    Шаг 2: Просто нажмите «Системные трассировки» и получите доступ ко всем основным функциям с правой панели.

    Шаг 3: Прокрутите немного вниз, чтобы найти параметр «Журнал событий Windows».

    Шаг 4: Выберите его и нажмите кнопку «Стереть сейчас», чтобы очистить журнал событий Windows. В мгновение ока ваши файлы журнала событий будут удалены из вашей системы.

    С BitRaser для файла вы можете без проблем удалить журнал событий в Windows. Это поможет вам навсегда очистить журнал событий Windows одним щелчком мыши. Вы также можете просто выполнить несколько проходов, чтобы получить дополнительную уверенность.

    Больше не ждите и защитите свою конфиденциальность с помощью BitRaser.Очистите журнал событий Windows и все системные трассировки из интерактивного интерфейса. Это замечательный инструмент, который наверняка пригодится вам во многих случаях для защиты вашей конфиденциальности и важных файлов данных.

    Восстановление и исправление файлов

    Восстановление файлов документов
    Восстановить файлы документов
    Восстановление и ремонт Больше
    Очистить и удалить файл

    Как узнать, какой пользователь установил или удалил приложение в Windows

    Windows регистрирует практически каждое событие, которое происходит, когда кто-то использует ее. Журнал не представляет большого интереса для обычного пользователя, но для тех, кто устраняет неполадки в приложении или испытывает проблемы с запуском процесса, он очень полезен. Если вам когда-нибудь понадобится узнать, какой пользователь установил или удалил приложение в Windows, вы можете обратиться к электронному журналу событий. Вот что вам нужно сделать.

    Для просмотра журнала вам потребуются права администратора. Щелкните правой кнопкой мыши Этот компьютер (Мой компьютер в Windows 7) и выберите Управление в контекстном меню. Предоставьте административное разрешение, если будет предложено. Разверните «Системные инструменты»> «Просмотр событий»> «Журналы Windows» и выберите «Приложение».Панель справа сначала будет пустой, поскольку Windows загружает зарегистрированные события. На секунду может показаться, что окно замерзло, но подождите минуту. Как только он загрузится, вы увидите очень длинный список событий, который явно слишком велик, чтобы просеивать его вручную.

    Посмотрите на крайнюю правую панель и выберите параметр «Фильтровать текущий журнал» в разделе «Действия».

    Откроется новое окно под названием «Фильтровать текущий журнал». Прокрутите вниз до раскрывающегося списка «Источники событий» и откройте его.Отметьте опцию MsiInstaler и нажмите «Применить».

    MsiInstaller — это служба, отвечающая за установку и удаление приложений в Windows. Если бы пользователь установил или удалил приложение, эта служба зарегистрировала бы событие. Список событий, которые вы увидите после применения фильтра, будет состоять исключительно из событий, связанных с установкой и удалением приложений. Это меньший список для ручного просеивания. Если у вас есть приблизительное представление о том, когда произошла установка или удаление конкретного приложения, вы можете указать диапазон дат в раскрывающемся списке «Зарегистрировано» в фильтре журнала.

    Выберите запись журнала и посмотрите на панель под ней, которая содержит сведения о событии. Вы можете увидеть, какое приложение было удалено, дату и время его удаления, а также пользователя, который его удалил.

    В этом процессе есть недостаток; не все приложения устанавливаются через службу MsiInstaller, поэтому не все действия по установке/удалению будут регистрироваться здесь. Это работает в Windows 7 и выше.

    Просмотр журналов в реальном времени в Windows

    В мире устранения неполадок приложений журналы приложений — ваш лучший друг.Иногда вы знаете, когда происходит ваша ошибка, но иногда вам нужно знать, вплоть до момента, когда ошибка появляется в файлах журнала. Другими словами, иногда вам нужно просматривать все обновления журнала именно так, как они происходят. Если вы работаете в Windows и оказались в таком положении, вот краткое изложение моих любимых способов просмотра файлов журнала в реальном времени.
    Я использую экземпляр Sitecore для этих примеров, но эти методы работают для просмотра всех текстовых журналов, а не только журналов Sitecore.

    Метод 1: Windows PowerShell

    В Windows PowerShell основная команда для обновления файла в режиме реального времени:

     Get-Content {MyFile} -Wait -Tail 30 

    Использование:

     компакт-диск C:\inetpub\wwwroot\MySitecoreInstance\Data\logs
    Get-Content Log. 20160706.txt -Wait -Tail 30 

    В случае с Sitecore и, возможно, многими другими решениями, самым последним измененным файлом является активный журнал. Вот команда, которую я написал для автоматического Get-Content для самого последнего измененного файла (который соответствует журналу Sitecore.*.txt шаблон) в каталоге:

     компакт-диск C:\inetpub\wwwroot\MySitecoreInstance\Data\logs
    gci -Фильтр лог.*.txt | сортировать LastWriteTime | выбрать -последний 1 | Get-Content-Wait-Tail 30 

    Наблюдение за ростом Sitecore из журнала…


    Преимуществом этого метода является его доступность в любой системе, в которой установлен PowerShell, а PowerShell устанавливается по умолчанию в системах под управлением Windows 7 и более поздних версий. Небольшой недостаток, когда я запускал эту команду в системах Win7, — это низкая частота обновления.Похоже, это было исправлено в Win8 и выше.

    Метод 2: Baretail.exe

    Названный в честь команды «tail» из мира Unix/Linux, Baretail — это бесплатный, легкий, автономный исполняемый файл. Одной из задач Baretail является просмотр файлов журнала в реальном времени, а также он обладает некоторыми приятными функциями, такими как цветовое кодирование. Когда я использовал это приложение, оно очень хорошо выполняло свою задачу. Неотъемлемым недостатком Baretail является то, что некоторые системы будут более закрытыми (читай: производственные серверы), а это означает, что не будут запускаться файлы .exe-файлы, которые вы скачали из Интернета. Вот почему метод 1 более распространен для меня; гораздо больше шансов, что PowerShell будет на сервере. Также стоит отметить, что Baretail не выпускал новую версию с 2006 года, но приложение по-прежнему совместимо с последней версией Windows 10.

    Я сказал Baretail выделить строки, содержащие «ОШИБКА».


    Я слышал, что плагин Doc Monitor для Notepad++ упоминается как решение, похожее на Baretail.exe, но сам не пробовал. Я предполагаю, что это столкнется с аналогичными недостатками: это можно будет использовать только в системах, где установлен Notepad++.

    Метод 3: команда хвоста

    Это будет редкий случай, но я добавлю его для разнообразия. Предположим, вы работаете с системой, в которой есть подсистема Windows для Linux*, Cygwin или что-то еще, что предоставляет Unix-подобную оболочку в Windows. Если вы являетесь частью этого крайнего случая, у вас есть доступная команда Tail, которая существует уже несколько десятилетий и очень прилична.Подобно команде PowerShell, которую я написал, используя эту команду** в вашей оболочке, вы получите текущий журнал Sitecore и выполните следующие действия:

     tail -f `ls -t /mnt/c/inetpub/wwwroot/MySitecoreInstance/Data/logs/log.* | голова -n1` 

    Tail работает в подсистеме Windows для Linux.


    * По состоянию на 06.07.16 подсистема Windows для Linux все еще находится в стадии бета-тестирования и доступна только для пользователей Windows 10, которые участвуют в программе предварительной оценки Windows и включили обновления Fast Ring. Конечно, это изменится в будущем.
    **В WSL диск C сопоставляется с /mnt/c/  . В Cygwin диск C сопоставляется с /cygdrive/c/ .

    Почетное упоминание: Sitecore Log Analyzer

    Для вас, разработчиков Sitecore, я должен добавить это, потому что это такой ценный инструмент, и я вижу так много разработчиков Sitecore, которые даже не знают о его существовании: Sitecore Log Analyzer (SCLA). Хотя это не позволяет вам просматривать файлы журналов в реальном времени, SCLA предоставляет подробный анализ файлов журналов, упрощая отслеживание тенденций ошибок, временных рамок и многого другого.Я считаю SCLA важным инструментом поддержки Sitecore.

    Об авторе

    Джейкоб Кинг — старший технический консультант компании Perficient, специализирующийся на решениях Sitecore. Он живет в Индианаполисе с женой и сыном.

    Leave a comment