«просмотр событий» в windows 7 (часть 1 — оснастка)

Введение

В первой части цикла статей, посвященных оснастке консоли управления Microsoft Windows – «Просмотр событий» рассказывалось о самой концепции программы «Просмотр событий», о большинстве журналов, которые делятся на журналы Windows и журналы приложений и служб, были описаны свойства событий и рассматривались простейшие операции, которые можно проводить над журналами. Были описаны принципы работы с просмотром событий, очисткой журнала событий, установкой максимального размера для конкретного журнала и прочее. Вторая часть статьи имеет более административный характер и в основном предназначена для администраторов клиентских/серверных операционных систем и для опытных пользователей, которые хотят научиться отлавливать и исправлять ошибки системы и приложений. Во второй части статьи рассматривались следующие аспекты: работа с настраиваемыми представлениями и фильтрацией событий, сортировка и группировка событий для выбранного журнала. Также была описана работа, связанная с подписками на события, где был кратко описан метод реализации пересылки и сбора пересылаемых событий.

Эта часть статьи адресована по большей части системным администраторам и ИТ-специалистам, которые желают научиться работать с журналами событий средствами командной строки и командной оболочкой Windows PowerShell. В этом руководстве вы сможете найти информацию об использовании командлета Get-Eventlog, утилитах Eventcreate, Wevtutil, а также Wecutil.

Использование монитора стабильности

c http-equiv=»Content-Type» content=»text/html;charset=UTF-8″>lass=»remon-after-2nd-h2″ id=»remon-832834304″>

Главное окно монитора стабильности системы представляет собой график, который может отображать информацию по дням или неделям. В нем можно видеть все сбои в течение отдельных дней, при нажатии на них можно узнать, что именно произошло и чем это было вызвано. Таким образом, этот график и всю сопутствующую информацию бывает удобно использовать, для того, чтобы исправить ошибки на своем или чужом компьютере.

Линия графика отражает представление Microsoft о стабильности вашей системы по шкале от 1 до 10. При верхнем значении в 10 баллов система стабильна и к этому стоит стремиться. Вверху — скриншот монитора стабильности с моего ноутбука, который служит для экспериментов и где я не особо забочусь о работоспособности системы. Внизу — с основного рабочего компьютера.

В графике присутствуют следующие пункты:

• Сбои приложений — появляются, например, если какая-то программа самопроизвольно закрылась, зависла или вы сняли задачу с такого ПО в диспетчере задач, будет зарегистрирована ошибка типа «Остановка работы».
• Сбои Windows — сообщения о сбоях операционной системы, синих экранах смерти, ошибках при различных событиях и задачах, установке обновлений.
• Прочие сбои — другие типы ошибок, обычно связанные с неправильно работой оборудования.
• Предупреждения — сообщения, которые не влияют непосредственно на работу системы, например, об ошибке установки какого-то драйвера или программы.
• Сведения (информационные события) — информация о важных системных событиях, например, об установке обновлений. К примеру, если в один из дней внезапно начались сбои Windows, стоит приглядеться, что есть в информационных событиях в этот и предыдущий день.

Также вы можете посмотреть полный список возникавших проблем в виде таблицы, нажав по пункту «Посмотреть все отчеты о проблемах» внизу окна монитора стабильности системы. Там же вы можете очистить отчеты о проблемах, а в главном окне — экспортировать данные из монитора стабильности в виде XML-файла для того, чтобы передать кому-либо на анализ.

Повторю то, что писал в начале статьи: монитор стабильности может быть полезен для того, чтобы разобраться, а что именно происходит с вашим компьютером или ноутбуком, если вы уже наблюдаете какие-то сбои, но не можете понять их природу. Если же просто заглянуть в эту утилиту, то с большой вероятностью вы увидите баллы ниже 10, некоторое количество сбоев, но это совершенно не обязательно говорит о том, что с Windows есть проблемы, сбои будут возникать всякий раз, когда:

• Вы неправильно выключите компьютер или ноутбук.
• Какая-то программа или игра «вылетит», зависнет, просто не запустится или будет неправильно работать.
• А иногда и вовсе без видимых причин: порой бывает похоже что в рамках штатной работы программ, служб или при установке обновлений могут все равно записываться сбои.

Таким образом, если вы уверены, что с системой всё в порядке, а в мониторе стабильности видны проблемы, на них стоит взглянуть и проанализировать, но они не обязательно говорят о том, что с Windows есть какие-то проблемы.

А вдруг и это будет интересно:

Журналы событий в Windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows
и журналы приложений и служб
. Журналы Windows
— используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб
— используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий»
или программу командной строки wevtutil
, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

Приложение
— хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность
— хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка
— в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система
— хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события
— если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer
— в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell
— в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования
— если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий»
предоставляет простой графический интерфейс для доступа к этим возможностям.

Как посмотреть время последнего входа в систему

В пользователя есть возможность включить вывод сообщений о времени последнего включения компьютера. При следующих включениях компьютера пользователю будут выводиться данные содержащие время последнего включения компьютера. А также можно будут показаны все неудачные попытки авторизации под Вашей учетной записью.

Включить вывод сведений последнего времени входа в систему можно с помощью редакторов локальной групповой политики или реестра. В любом из случаев лучше ранее создать резервную копию Windows 10. Во время созданная резервная копия позволяет в любой момент откатить последние изменения в операционной системе.

Редактор групповой политики

Редактор позволяет вносить изменения в групповой политике операционной системы Windows 10. Открыть редактор локальной групповой политики есть возможность в Корпоративной и Профессиональной редакциях Windows 10.

1. Откройте редактор групповой политики выполнив команду gpedit.msc в окне Win+R.
2. Перейдите в раздел: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Параметры входа Windows.
3. Измените значение параметра Отображать при входе пользователя сведения о предыдущих попытках входа на Включено.

Собственно этот параметр политики и определяет, будет ли компьютер при входе пользователя отображать сведения о предыдущих удачных и неудачных попытках входа. По умолчанию данные о предыдущих попытках авторизации не выводятся.

Редактор реестра

Перед внесением изменений в реестре рекомендуем создать резервную копию реестра Windows 10. При неправильном изменении данных реестра у Вас всегда будет возможность быстро откатить последние изменения. Для вывода сведений о предыдущих попытках входа придется уже самому создать параметр реестра. В результате чего будут выводиться сведения, так же как и после изменения групповой политики.

1. Откройте редактор реестра выполнив команду regedit в окне Win+R.
2. Перейдите в раздел: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System.
3. В текущем расположении создайте параметр DWORD (32-бита) с именем DisplayLastLogonInfo, значение которого укажите 1.

После использования любого из способов включения вывода сведений последнего времени входа в систему необходимо выполнить перезагрузку компьютера. При следующих включениях уже можно будет узнать когда последний раз включали компьютер.

Заключение

Способы представленные многими специалистами с выполнением одной команды уже к сожалению не работаю в актуальной версии операционной системы Windows 10. Пользователи так могут только узнать время работы компьютера Windows 10. Чтобы узнать когда последний раз включали компьютер нужно воспользоваться окном просмотра событий или включить вывод сведений при авторизации пользователя.

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

Get-EventLog -Logname «System»

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

Get-EventLog -Logname «Application»

небольшой список абревиатур

• Код события — EventID
• Компьютер — MachineName
• Порядковый номер события — Data, Index
• Категория задач — Category
• Код категории — CategoryNumber
• Уровень — EntryType
• Сообщение события — Message
• Источник — Source
• Дата генерации события — ReplacementString, InstanceID, TimeGenerated
• Дата записи события — TimeWritten
• Пользователь — UserName
• Сайт — Site
• Подразделение — Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Get-EventLog –Logname ‘System’ –Newest 20

конфигурация системы Windows

Это самая первая утилита системы, на которую, на мой взгляд, стоит обратить внимание и её средствами отстроить параметры загрузки. Утилита присутствует во всех финальных версиях Виндовс от 7 до 10

Для того чтобы зайти в настройки конфигурации, следует запустить так называемый «интерпретатор» — попросту окно «Выполнить» (наиболее полно расписано о командах для Выполнить здесь).

Варианты доступа в недра настроек «выполнить» таковы:

В поисковом окне — на панели задач Windows 10 или в меню Пуск Windows 7 — вписываем фразу «Конфигурация системы» (как вернуть в виндовс 10 меню Пуск).

Другой способ: использовать горячие клавиши Win+R (Win — это клавиша клавиатуры с эмблемой Windows), далее в окно «Выполнить» пропечатать команду msconfig — и непременно нажать . (подборка полезных горячих клавиш — сэкономит полезное время при работе с системой)

Откроется…

…окно настроек имеет несколько полезных вкладок (подменю).

Первое меню «Общие» — позволяет выбрать варианты последующей загрузки системы Windows. Например, отключить какие-то «службы системы» не являющиеся при каких-то обстоятельствах важными. …либо исключить из старта загрузки драйверы, если есть подозрение на их некорректную отработку — при отключении используется так называемая чистая загрузка ОС виндовс.

«Загрузка» — очень!! интересная вкладка! позволяет, например, выбрать и установить по умолчанию основную загружаемую систему (это если систем несколько).

Также возможно включить (для следующей загрузки) «Безопасный режим», коли есть подозрения на системные неполадки: тестирование даст возможность всё это выявить.

Что интересно! возможно проследить отработку драйвера видеокарты, запустив базовый драйвер (базовое видео).

Далее… (я не стану через чур сорить скриншотами) «Службы» — в настройках вкладки возможно включить-отключить службы для последующего старта загрузки системы, для примера: оставить только служебные Microsoft — та же «чистая загрузка» — всё это для исследовательских целей диагностики.

«Автозагрузка» — в виндовс 7 в этих настройках возможно отключить или включить (в старте загрузки системы) ту или иную программу. Например, не всем постоянно требуется Microsoft Word и пр. можно исключить…

Для Виндовс 8-10 для этих целей используется «Диспетчер задач».

«Сервис» — используется для быстрого запуска системных утилит: кстати, обратите внимание — напротив имени утилиты есть кое-какие пояснения…

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Определите вид неполадки

События не отображаются в журнале

Отсутствие событий в журнале может свидетельствовать о том, что регистрация событий была отключена, либо журнал событий был очищен другим пользователем. Чтобы проверить, включена ли регистрация событий в журнале, щелкните журнал правой кнопкой мыши, выберите команду Свойства и установите флажок Включить ведение журнала. Чтобы проверить, был ли журнал событий очищен, откройте журнал системы и найдите событие с кодом 104. Данное событие регистрируется при очистке журнала.

Не удается найти аналитические и отладочные журналы

Аналитический и отладочный журналы по умолчанию скрыты. Чтобы их сделать видимыми, см. раздел Отображение и скрытие аналитического и отладочного журналов.

Программа «Просмотр событий» не может подключиться к удаленному компьютеру

Если программа «Просмотр событий» не может подключиться к удаленному компьютеру, убедитесь, что удаленный компьютер доступен в сети. Далее проверьте, чтобы в настройках брандмауэра удаленного компьютера было установлено исключение Удаленное управление журналом событий И наконец, убедитесь, что учетная запись пользователя имеет право доступа к удаленному компьютеру.

Не отображается описание события

Если не отображается описание события, это может означать, что приложение, которое было источником события, не установлено на компьютере, на котором просматриваются журналы событий. Для просмотра описания событие можно сохранить в файл и просмотреть на компьютере, на котором установлено соответствующее приложение, либо установить нужное приложение на локальном компьютере.

Задание, назначенное для события, не выполняется в ответ на него

Для устранения проблем, связанных с выполнением заданий, назначенных для событий, используйте планировщик заданий. Откройте планировщик заданий и найдите соответствующее задание. Убедитесь, что задание присутствует в планировщике и настроено на выполнение при регистрации требуемого события.

Импортированное настраиваемое представление не отображает событий

Импортируемое настраиваемое представление может содержать ссылки на журналы, которые отсутствуют на данном компьютере. Чтобы проверить, на какие журналы содержатся ссылки в настраиваемом представлении, щелкните правой кнопкой мыши это представление, выберите команду Свойства, нажмите кнопку Изменение фильтра и просмотрите раскрывающийся список Журнал событий.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Win+R и вводите eventvwr.msc

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

Самый важный журнал Это система

Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod , и данные сообщения что тут заносятся помогут вам определить его причину

Так же есть логи windows для более специфических служб, например DHCP или DNS . Просмотр событий сечет все:).

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Вас попросят указать уровень событий:

• Критическое
• Ошибка
• Предупреждение
• Сведения
• Подробности

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться

К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

Инструкция — где находится журнал windows

В ней находим одно слово «администрирование» и кликнем на него.

Что в нем вас должно интересовать. С левой стороны находиться расширенное меню. В нем напротив строки «журналы виндовс», нажмите на маленький треугольничек и выберите система.

Теперь можете ознакомиться со всеми ошибками вашего компьютера. Их найти легко. Они в верхнем окне, обозначены красными точками (кругами), менее важные — желтыми — это предупреждения.

В нижнем окне указываются причины возникновения неполадок. Обычно новичкам самостоятельно в них разобраться невозможно.

Поэтому из того что там указано, сформулируйте логически правильный вопрос и ищите ответ в поисковике.

Теперь зная где журнал событий windows – многие недостатки (ошибки, неисправности), при правильном подходе сможете решить сами, в крайнем случае, обратитесь в сервис, указав специалистам что написано в нижнем окне.

Операционная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event)
— это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок.

Программа «Просмотр событий»
представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий»
. В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий»
вы можете выполнять следующие действия:

• Просматривать события определенных журналов;
• Применять фильтры событий и сохранять их для последующего использования в виде настраиваемых представлений;
• Создавать подписки на события и управлять ими;
• Назначать выполнение конкретных действий на возникновение определенного события.

Недавно измененные файлы

В меню под кнопкой «Пуск» Windows (кроме Windows есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.

Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!

Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.