Contacts
domicile

Observateur d'événements dans Windows Vista. Où se trouve le journal des événements Windows Journal Windows 8.1 comment ouvrir

Le système d'exploitation Windows Vista surveille attentivement et sans relâche tout ce qui lui arrive. Absolument toutes les actions, appelées "événements", sont constamment enregistrées et réparties en différentes catégories. L'observateur d'événements (qui est, au cas où vous vous poseriez la question, un composant logiciel enfichable MMC) peut être considéré comme un journal tenu par une vieille dame scrupuleuse et caustique sur un banc près du porche. Il capture qui entre et sort de la maison, quelles conversations ont lieu entre les résidents, qui a divorcé et s'est battu avec qui. En d'autres termes, il a une image complète de la vie de la maison.

Une fonction similaire est exécutée par le programme d'espionnage Event Viewer, qui, contrairement à la curiosité de la vieille femme, est conçu pour diagnostiquer et identifier les problèmes du système d'exploitation dont l'utilisateur n'avait aucune idée.

Tous les événements se produisant dans le système sont enregistrés dans des journaux système spéciaux. L'Observateur d'événements vous permet de visualiser le contenu de ces journaux, de les archiver et de les supprimer. Comment pouvez-vous utiliser exactement ce programme? L'objectif principal est d'identifier les problèmes qui se sont posés et la raison de leur apparition. En cas de dysfonctionnement de l'appareil, Disque dur"bourré jusqu'aux globes oculaires", un programme "gèle" constamment ou un autre événement désagréable s'est produit, des informations sur ce qui s'est passé seront enregistrées dans le journal système correspondant. Ensuite, exécutez simplement l'Observateur d'événements et obtenez un aperçu complet et informations visuellesà partir du journal système.

Vous pouvez démarrer l'Observateur d'événements de l'une des manières suivantes.

  • Choisissez une équipe Démarrer>Panneau de configuration, Clique sur le lien Système et sa maintenance, puis sur le lien Administration et enfin sur le lien Observateur d'événements.
  • La deuxième façon pour les impatients : entrez la commande dans la ligne de commande événementvwr.

Rappelez-vous qu'en plus de cliquer sur le bouton Commencer, fenêtre d'appel ligne de commande peut être fait en appuyant sur la combinaison de touches . N'oubliez pas non plus que pour utiliser toutes les fonctionnalités de l'outil Observateur d'événements, vous avez besoin de droits d'accès administratifs.

Dans tous les cas, la fenêtre ci-dessous s'ouvrira.

  • Afficher les événements de plusieurs journaux système.
  • Créez des filtres d'événements en tant que vues personnalisées.
  • La possibilité de créer une tâche qui s'exécute automatiquement avec un événement spécifique.

Examinons de plus près la fenêtre ci-dessus. La fenêtre est divisée en trois panneaux. Sur le panneau de gauche Observateur d'événements Il existe plusieurs dossiers contenant des vues personnalisées, des journaux et des abonnements. Le panneau central contient plusieurs sous-menus tels que et Nœuds récemment consultés. Enfin, sur le panneau de droite Actions vous pouvez sélectionner certaines actions, telles que la création d'une vue personnalisée ou la connexion à un autre ordinateur.

Panneau permet d'identifier rapidement tous les événements importants enregistrés au cours de l'heure, de la journée ou de la semaine écoulée. Chaque type d'événement peut être développé pour découvrir des informations détaillées sur l'événement. Le panneau donne une image générale de ce qui se passe dans le système, et pour des informations spécifiques, vous devez vous rendre à un événement spécifique.

Étant donné que l'Observateur d'événements est utilisé pour afficher les journaux système, cliquez sur les icônes en forme de dossier et Journaux des applications et des services sur le panneau de gauche pour développer la liste des revues disponibles. Considérons-le plus en détail. Dans le dossier les revues suivantes sont présentées.

  • Application. Événements à ce journal générés par les applications, y compris programmes installés fournis avec Windows Vista et les services système opérateur. Les événements exacts enregistrés dans ce journal dépendent du programme spécifique.
  • Sécurité. Ce journal répertorie les tentatives de connexion des utilisateurs (réussies et infructueuses), ainsi que les actions liées aux ressources publiques, telles que les actions de création, de modification ou de suppression de fichiers ou de dossiers.
  • Réglages. Les événements de ce journal sont créés lors de l'installation des programmes.
  • Système. Les événements système sont générés par Windows lui-même et par les composants installés tels que les pilotes de périphérique. Le journal est utile pour détecter les pilotes qui sont chargés lorsque Démarrage de Windows Il y a eu une panne.
  • Événements transférés. Dans ce journal, vous pouvez trouver des événements collectés à partir d'autres ordinateurs sur le réseau.

Dans le dossier Journaux des applications et des services des enregistrements peuvent être trouvés pour candidatures individuelles Et services. Alors que d'autres journaux fournissent des entrées générales, vous pouvez trouver des informations sur le fonctionnement de programmes spécifiques dans ce journal. Faites attention au sous-dossier Microsoft, qui, à son tour, contient le sous-dossier Dossier Windows. Dans ce dossier, vous trouverez des entrées pour une grande variété de Composants Windows Vista présenté dans des dossiers séparés.

Le système d'exploitation Windows 7 surveille en permanence divers événements notables qui se produisent dans votre système. À Microsoft Windows un événement est tout incident dans le système d'exploitation qui est consigné ou qui nécessite une notification aux utilisateurs ou aux administrateurs. Il peut s'agir d'un service qui ne veut pas démarrer, d'une installation de périphérique ou d'une erreur d'application. Les événements sont consignés et stockés dans les journaux d'événements Windows et fournissent des informations historiques importantes pour vous aider à surveiller votre système, à maintenir la sécurité du système, à résoudre les problèmes et à effectuer des diagnostics. Les informations contenues dans ces journaux doivent être examinées régulièrement. Vous devez surveiller régulièrement les journaux d'événements et configurer le système d'exploitation pour enregistrer les événements système importants. Si vous êtes administrateur Serveurs Windows, vous devez alors surveiller la sécurité de leurs systèmes, le fonctionnement normal des applications et des services, et également vérifier si le serveur contient des erreurs susceptibles de dégrader les performances. Si vous êtes un utilisateur ordinateur personnel, vous devez vous assurer que vous avez accès aux journaux appropriés dont vous avez besoin pour prendre en charge votre système et résoudre les erreurs.

Programme Observateur d'événements est un composant logiciel enfichable de la console Gestion Microsoft(MMC) et est conçu pour afficher et gérer les journaux d'événements. C'est un outil indispensable pour surveiller la santé du système et le dépannage. Service Windows, qui contrôle la journalisation des événements, s'appelle "Le journal des événements". Dans le cas où il est en cours d'exécution, Windows écrit des données importantes dans les journaux. Avec l'aide du programme Observateur d'événements vous pouvez faire ce qui suit :

  • Afficher les événements de journaux spécifiques ;
  • Appliquez des filtres d'événements et enregistrez-les pour une utilisation ultérieure en tant que vues personnalisées ;
  • Créer des abonnements aux événements et les gérer ;
  • Attribuez l'exécution d'actions spécifiques à l'occurrence d'un événement spécifique.

Lancement de l'Observateur d'événements

Application Observateur d'événements peut être ouvert des manières suivantes :

Journaux des événements dans Windows 7

Au bloc opératoire Système Windows 7, tout comme dans Windows Vista, il existe deux catégories de journaux d'événements : Journaux Windows et journaux des applications et des services. Journaux Windows- sont utilisés par le système d'exploitation pour enregistrer des événements à l'échelle du système liés au fonctionnement des applications, des composants du système, de la sécurité et du démarrage. MAIS journaux des applications et des services- sont utilisés par les applications et les services pour enregistrer des événements liés à leur fonctionnement. Vous pouvez utiliser le composant logiciel enfichable pour gérer les journaux d'événements Observateur d'événements ou programme en ligne de commande wevtutil dont il sera question dans la deuxième partie de l'article. Tous les types de journaux sont décrits ci-dessous :

Application- stocke les événements importants liés à une application spécifique. Par exemple, Exchange Server stocke les événements liés au transfert de courrier, y compris les événements de banque d'informations, les événements de boîte aux lettres et les services en cours d'exécution. L'emplacement par défaut est %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Sécurité- Stocke les événements liés à la sécurité tels que la connexion/déconnexion, l'utilisation des privilèges et l'accès aux ressources. Placé par défaut dans %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installation- ce journal enregistre les événements qui se produisent lors de l'installation et de la configuration du système d'exploitation et de ses composants. L'emplacement par défaut est %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Système- stocke les événements du système d'exploitation ou de ses composants, tels que les échecs de démarrage des services ou d'initialisation des pilotes, les messages à l'échelle du système et d'autres messages liés au système dans son ensemble. Par défaut placé dans %SystemRoot%\System32\Winevt\Logs\System.Evtx

Événements transférés- si le transfert d'événements est configuré, ce journal inclut les événements transférés depuis d'autres serveurs. Placé par défaut dans %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer - ce journal enregistre les événements qui se produisent pendant la configuration et fonctionne avec navigateur Internet explorateur. Par défaut placé dans %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

WindowsPowerShell- Les événements liés à l'utilisation du shell PowerShell sont consignés dans ce journal. Par défaut situé dans %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Événements d'équipement- si la journalisation des événements de l'équipement est configurée, les événements générés par les équipements sont écrits dans ce journal. Placé par défaut dans %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

Dans Windows 7, l'infrastructure de journalisation des événements est basée sur XML, comme dans Windows Vista. Les données de chaque événement suivent un schéma XML, vous permettant d'accéder au code XML de n'importe quel événement. En outre, vous pouvez créer des requêtes basées sur XML pour récupérer des données à partir de journaux. Aucune connaissance de XML n'est requise pour utiliser ces nouvelles fonctionnalités. gréement Observateur d'événements fournit une simple interface graphique pour accéder à ces fonctionnalités.

Propriétés de l'événement

Il existe plusieurs propriétés d'événement de composant logiciel enfichable Observateur d'événements qui sont détaillés ci-dessous :

La source est le programme qui a enregistré l'événement. Il peut s'agir soit du nom d'un programme (par exemple, "Exchange Server"), soit du nom d'un composant système ou d'une application volumineuse (par exemple, le nom d'un pilote). Par exemple, "Elnkii" signifie le pilote EtherLink II.

Code d'événement est un nombre qui spécifie un type particulier d'événement. La première ligne de la description contient généralement le nom du type d'événement. Par exemple, 6005 est l'ID d'événement qui se produit lorsque le service de journalisation des événements démarre. En conséquence, au début de la description de cet événement se trouve la ligne "Service de journal des événements démarré". L'ID d'événement et le nom de la source d'enregistrement peuvent être utilisés par les représentants de l'équipe d'assistance produit logiciel pour le dépannage.

Niveau est le niveau d'importance de l'événement. Dans les journaux du système et des applications, les événements peuvent avoir les niveaux de gravité suivants :

  • Notification- désigne un changement dans une application ou un composant, tel que l'apparition d'un événement d'information associé à une action réussie, la création d'une ressource ou le démarrage d'un service.
  • Avertissement- indique un avertissement général concernant un problème qui pourrait affecter le service ou entraîner un problème plus grave s'il n'est pas pris en charge ;
  • Erreur- indique qu'un problème est survenu pouvant affecter des fonctions externes à l'application ou au composant à l'origine de l'événement ;
  • Erreur critique- indique qu'une défaillance s'est produite à partir de laquelle l'application ou le composant qui a déclenché l'événement ne peut pas récupérer automatiquement ;
  • Audit de réussite - exécution réussie les activités que vous suivez via l'audit, telles que l'utilisation d'un privilège ;
  • Vérification des pannes- Échec des actions que vous suivez via l'audit, comme un échec de connexion.

Utilisateur- définit le compte utilisateur pour le compte duquel cet événement s'est produit. Les utilisateurs incluent des entités spécifiques telles que le service local, le service réseau et la connexion anonyme, ainsi que des comptes utilisateurs réels. Ce nom est l'ID client si l'événement a effectivement été déclenché par le processus serveur, ou l'ID principal si aucun emprunt d'identité n'est en cours. Dans certains cas, une entrée du journal de sécurité contient les deux identifiants. Et aussi dans ce champ il peut y avoir N/A (N/A), si dans cette situation Compte n'est pas applicable. L'emprunt d'identité se produit lorsque le serveur autorise un processus à attribuer les attributs de sécurité d'un autre processus.

Code de travail- contient valeur numérique A qui spécifie l'opération ou le point dans l'opération qui a déclenché cet événement. Par exemple, initialisation ou fermeture.

Magazine- le nom du journal dans lequel cet événement a été enregistré.

Catégorie et tâches- définit la catégorie de l'événement, parfois utilisée pour décrire plus en détail une action valide. Chaque source d'événement a ses propres catégories. Par exemple, les catégories suivantes sont : connexion/déconnexion, utilisation des privilèges, changement de politique et gestion du compte.

Mots clés est un ensemble de catégories ou d'étiquettes qui peuvent être utilisées pour filtrer ou rechercher des événements. Par exemple : "Réseau", "Sécurité" ou "Ressource introuvable".

Un ordinateur- identifie le nom de l'ordinateur sur lequel l'événement s'est produit. C'est généralement le nom ordinateur local, mais peut également être le nom de l'ordinateur qui a transmis l'événement ou le nom de l'ordinateur local avant sa modification.

date et l'heure- définit la date et l'heure d'occurrence de cet événement dans le journal.

ID de processus- représente un numéro d'identification le processus qui a généré l'événement. Programme d'ordinateur n'est qu'un ensemble passif d'instructions, alors que le processus est l'exécution directe de ces instructions

Identifiant du fil- représente le numéro d'identification du thread qui a créé cet événement. Un processus généré dans un système d'exploitation peut consister en plusieurs threads exécutés "en parallèle", c'est-à-dire sans ordre prescrit dans le temps. Pour certaines tâches, cette séparation peut permettre une utilisation plus efficace des ressources informatiques.

Identifiant du processeur- représente le numéro d'identification du processeur qui a traité l'événement.

ID de session est le numéro d'identification de la session sur le serveur Terminal Server au cours de laquelle l'événement s'est produit.

Heure du noyau Spécifie le temps passé à exécuter des instructions en mode noyau, en unités de temps CPU. Le mode noyau a un accès illimité à mémoire système et périphériques externes. Le noyau d'un système NT est appelé noyau hybride ou macro-noyau.

Autonomie en mode utilisateur- détermine le temps passé à exécuter les instructions mode personnalisé, en unités de temps CPU. Le mode utilisateur se compose de sous-systèmes qui transmettent les demandes d'E/S au pilote de mode noyau approprié via le gestionnaire d'E/S.

Charge du processeur est le temps passé à exécuter des instructions en mode utilisateur, en ticks CPU.

Code de corrélation- définit l'action dans le processus pour laquelle l'événement est utilisé. Ce code est utilisé pour spécifier des relations simples entre des événements. La corrélation est une relation statistique entre deux variables aléatoires ou plus (ou des variables qui peuvent être considérées comme telles avec un degré de précision acceptable). Dans le même temps, des modifications d'une ou plusieurs de ces quantités entraînent une modification systématique de l'autre ou des autres quantités.

ID de corrélation relative- définit l'action relative dans le processus pour laquelle l'événement est utilisé

Utilisation des journaux d'événements

Observateur d'événements

Vous pouvez voir le journal dans la capture d'écran suivante. "Applications", qui fournit des informations sur les événements, les vues récentes et les actions disponibles. Pour afficher les événements du journal des applications, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez "Journaux Windows";
  2. Choisissez une revue "Applications".

Il est conseillé de consulter plus souvent les journaux d'événements "Application" et "Système" et étudier problèmes existants et des avertissements qui peuvent laisser présager des problèmes à l'avenir. Lorsqu'un journal est sélectionné, la fenêtre du milieu affiche les événements disponibles, y compris la date de l'événement, l'heure et la source, le niveau de l'événement, etc.

Panneau "zone de visualisation" affiche les données d'événement de base sur l'onglet "Général", et des données spécifiques supplémentaires sur l'onglet "Détails". Vous pouvez activer et désactiver ce panneau en sélectionnant le menu "Voir" puis la commande "zone de visualisation".

Pour les systèmes critiques, il est recommandé de conserver les journaux des derniers mois. En règle générale, attribuer aux journaux une taille telle que toutes les informations y tiennent n'est pas pratique, en règle générale, ce problème peut être résolu d'une autre manière. Vous pouvez exporter des journaux vers des fichiers situés dans un dossier spécifié. Pour enregistrer le journal sélectionné, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez le journal des événements que vous souhaitez enregistrer ;
  2. Choisissez une équipe "Enregistrer les événements sous" du menu "Action" ou depuis le menu contextuel du journal, sélectionnez la commande "Enregistrer tous les événements sous";
  3. Dans la boîte de dialogue qui s'affiche "Enregistrer sous" sélectionnez le dossier dans lequel le fichier doit être enregistré. Si vous souhaitez enregistrer le fichier dans un nouveau dossier, vous pouvez le créer directement à partir de cette boîte de dialogue à l'aide du menu contextuel ou du bouton "Nouveau dossier" dans la barre d'action. Dans le champ "Type de fichier" vous devez sélectionner le format de fichier souhaité parmi ceux disponibles : fichiers d'événements - *.evtx, fichier xml - *.xml, texte séparé par des tabulations - *.txt, csv séparé par des virgules - *.csv. Dans le champ "Nom de fichier" "Sauvegarder". Pour annuler l'enregistrement, appuyez sur le bouton "Annuler";
  4. Dans le cas où le journal des événements n'est pas destiné à être visualisé sur un autre ordinateur, dans la boîte de dialogue "Afficher les détails" laisser l'option par défaut "Ne pas afficher les détails", et si le journal est destiné à être visualisé sur un autre ordinateur, alors dans la boîte de dialogue "Afficher les détails" choisis une option "Afficher les informations pour les langues suivantes" et cliquez sur le bouton "D'ACCORD".

Effacement du journal des événements

Parfois, il est nécessaire d'effacer l'intégralité des journaux d'événements pour garantir une analyse efficace des avertissements et des erreurs critiques du système d'exploitation. Pour effacer le journal sélectionné, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez le journal des événements que vous souhaitez effacer ;
  2. Effacez le journal de l'une des manières suivantes :
    • au menu "Action" sélectionner une équipe "Effacer le journal";
    • Sur le journal sélectionné, cliquez avec le bouton droit pour ouvrir le menu contextuel. Dans le menu contextuel, sélectionnez la commande "Effacer le journal";
  3. Ensuite, vous pouvez soit effacer le journal, soit l'archiver si cela n'a pas été fait auparavant :
    • Pour effacer le journal des événements sans enregistrer, cliquez sur le bouton "Dégager";
    • Pour effacer le journal des événements après l'avoir enregistré, cliquez sur le bouton "Enregistrer et nettoyer". Dans la boîte de dialogue qui s'affiche "Enregistrer sous" sélectionnez le dossier dans lequel le fichier doit être enregistré. Si vous souhaitez enregistrer le fichier dans un nouveau dossier, vous pouvez le créer directement à partir de cette boîte de dialogue à l'aide du menu contextuel ou du bouton "Nouveau dossier" dans la barre d'action. Dans le champ "Nom de fichier" entrez un nom et cliquez sur le bouton "Sauvegarder". Pour annuler l'enregistrement, appuyez sur le bouton "Annuler".

Définition de la taille maximale du journal

Comme mentionné ci-dessus, les journaux d'événements sont stockés sous forme de fichiers dans le dossier %SystemRoot%\System32\Winevt\Logs\. Par défaut, la taille maximale de ces fichiers est limitée, mais vous pouvez la modifier de la manière suivante :

  1. Choisissez une équipe "Propriétés" du menu "Action"
  2. Dans le champ "Taille maximale du journal (Ko)" réglez la valeur requise à l'aide du compteur ou réglez manuellement sans utiliser le compteur. Dans ce cas, la valeur sera arrondie au multiple de 64 Ko le plus proche car la taille du fichier journal doit être un multiple de 64 Ko et ne peut pas être inférieure à 1024 Ko.

Les événements sont stockés dans un fichier journal, qui ne peut atteindre qu'une taille maximale spécifiée. Après avoir atteint le fichier taille maximum, le traitement des événements entrants sera déterminé par la stratégie de conservation des journaux. Les règles de conservation des journaux suivantes sont disponibles :

Réécrire les événements si nécessaire (les anciens fichiers en premier)- dans ce cas, les nouvelles entrées continuent d'être enregistrées une fois qu'il est plein. Chaque nouvel événement remplace le plus ancien dans le journal ;

Archiver le journal lorsqu'il est plein ; ne pas réécrire les événements- dans ce cas, le fichier journal est automatiquement archivé si nécessaire. Les événements obsolètes ne sont pas écrasés.

Ne pas réécrire les événements (effacer le journal manuellement)- dans ce cas, le journal est effacé manuellement, pas automatiquement.

Pour sélectionner la stratégie de conservation des journaux souhaitée, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez le journal des événements pour lequel vous souhaitez redimensionner ;
  2. Choisissez une équipe "Propriétés" du menu "Action" soit depuis le menu contextuel de la revue sélectionnée ;
  3. Sur l'onglet "Général", Au chapitre "Après avoir atteint la taille maximale" sélectionner le paramètre requis et appuyer sur le bouton "D'ACCORD".

Activer la journalisation analytique et de débogage

Les journaux d'analyse et de débogage sont désactivés par défaut. Une fois activés, ils se remplissent rapidement. grande quantitéévénements. Pour cette raison, il est souhaitable d'activer ces journaux pendant une période limitée afin de collecter les données nécessaires au dépannage, puis de les désactiver à nouveau. Les journaux peuvent être activés comme suit :

  1. Dans l'arborescence de la console, recherchez et sélectionnez le journal d'analyse ou de débogage que vous souhaitez activer ;
  2. Choisissez une équipe "Propriétés" du menu "Action" ou depuis le menu contextuel du journal d'analyse ou de débogage sélectionné ;
  3. Sur l'onglet "Général" cochez la case sur les options "Activer la journalisation"

Ouverture et fermeture d'un journal enregistré

Avec l'aide d'équipements Observateur d'événements vous pouvez ouvrir et afficher les journaux précédemment enregistrés. Vous pouvez ouvrir plusieurs journaux enregistrés en même temps et y accéder à tout moment dans l'arborescence de la console. Magazine ouvert en Observateur d'événements, peut être fermé sans supprimer les informations qu'il contient. Pour ouvrir un journal enregistré, procédez comme suit :

  1. Choisissez une équipe "Ouvrir le journal enregistré" au menu "Action" ou depuis le menu contextuel de l'arborescence de la console ;
  2. 3. Dans la boîte de dialogue "Ouvrir le journal enregistré", en vous déplaçant dans l'arborescence des répertoires, ouvrez le dossier contenant fichier souhaité. Par défaut, tous les fichiers journaux d'événements seront affichés dans la boîte de dialogue. De plus, lors de l'ouverture, vous pouvez sélectionner le type de fichiers que vous souhaitez afficher dans la boîte de dialogue d'ouverture. Les types de fichiers disponibles sont : les fichiers journaux d'événements (*.evtx, *.evt, *.etl), ainsi que les fichiers d'événements (*.evtx), les fichiers d'événements hérités (*.evt) ou les fichiers journaux de suivi (*.etl ). Une fois le fichier journal souhaité trouvé, sélectionnez-le en cliquant dessus avec le bouton gauche de la souris, ce qui placera son nom dans la ligne de saisie du nom du fichier et cliquez sur le bouton "Ouvert".
  3. En dialogue "Ouvrir le journal enregistré", dans le champ "Nom" entrez un nouveau nom à utiliser pour le journal dans l'arborescence de la console. Il est uniquement utilisé pour représenter le journal dans l'arborescence de la console et ne modifie pas le nom du fichier journal. Vous pouvez également utiliser un nom de fichier journal existant. Dans le champ "La description" entrez une description pour le journal. Il sera affiché dans le volet central lorsque le dossier du journal parent est mis en surbrillance dans l'arborescence de la console ;
  4. Pour créer un dossier dans lequel se trouvera le journal enregistré, cliquez sur le bouton "Créer un dossier". Dans le champ "Nom" entrez le nom du dossier où se trouvera le journal ouvert, puis cliquez sur le bouton "D'ACCORD". Si aucun dossier parent n'est sélectionné, le nouveau dossier sera situé dans le dossier "Journaux enregistrés".
  5. Pour rendre le journal des événements ouvert inaccessible aux autres utilisateurs de l'ordinateur, vous pouvez décocher la case "Tous les utilisateurs". Si cette case à cocher reste active, le journal ouvert sera disponible pour tous les utilisateurs, mais des droits d'administrateur seront nécessaires pour le supprimer de l'arborescence de la console ;
  6. Pour ouvrir le magazine, cliquez sur le bouton "D'ACCORD".

Pour supprimer un journal ouvert de l'arborescence des événements, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez le journal que vous souhaitez supprimer ;
  2. Choisissez une équipe "Effacer" du menu "Action" soit depuis le menu contextuel de la revue sélectionnée ;
  3. En dialogue Observateur d'événements cliquez sur le bouton "Oui".

Conclusion

Cette partie de l'article sur le composant logiciel enfichable Observateur d'événements décrit le composant logiciel enfichable lui-même et décrit en détail les opérations de base liées à la surveillance et à la maintenance du système à l'aide de l'Observateur d'événements. La prochaine partie de l'article sera conçue pour les personnes expérimentées Utilisateurs Windows. Il couvrira les tâches avec des vues personnalisées, le filtrage, le regroupement/tri des événements et la gestion des abonnements.

Je pense que chacun des utilisateurs qui travaille avec un ordinateur a rencontré des problèmes et des erreurs. Il est temps pour vous d'apprendre à lire le journal des événements de Windows, qui affiche les messages des applications et du système lui-même : erreurs, messages d'information, avertissements. Il contient des informations sur les événements que le système considère comme enregistrés pour l'administrateur. Juste comme ça, pour chaque pompier.

Dans un système fonctionnant normalement, l'utilisateur ne connaît pas le chemin ici - il n'y a tout simplement pas besoin. Cependant, lorsque des erreurs (décalages) apparaissent dans Windows, il existe de nombreuses raisons de regarder ici, car il y a quelque chose à apprendre d'ici.

Où se trouve le journal des événements ?

Plus manière rapide pour y entrer, il faut taper dans la barre de recherche après avoir appuyé sur la touche GAGNER les mots "journaux d'événements". Et cliquez sur le lien approprié :

Ou tapez start - commande eventvwr.msc. Défaut, Observateur d'événements ouvrira des onglets, y compris un résumé des événements administratifs, qui répertorie les informations par importance pour l'administrateur. Le plus important d'entre eux Critique type d'événement. Parcourez la section Journaux Windows, répertoires clés Applications et Système.

Tout ce qui se passe dans le système est enregistré dans plusieurs documents. Et très probablement, vous y trouverez plusieurs erreurs. Cela ne veut encore rien dire. Si le système est stable, ces erreurs ne sont pas critiques et ne vous dérangeront jamais. Au fait, vous pouvez regarder de plus près - les erreurs sont enregistrées pour les programmes qui ne sont pas restés sur l'ordinateur depuis longtemps.

Le jeu a été fermé avec les touches Alt + F4 - maman, apparemment, est entrée dans la pièce.

Théoriquement, d'autres programmes sont également commandés pour enregistrer des événements importants et peu importants dans le journal, cependant, dans ma mémoire, ils ne font guère ces choses.

Il peut déjà sembler au lecteur que l'attention portée au Journal peut être ignorée.

Le journal aidera un utilisateur attentif et réfléchi en cas de dysfonctionnements graves, par exemple, lorsqu'ils apparaissent ou lors de redémarrages inattendus du système. Ainsi, dans le Journal, il est facile d'afficher un pilote "mort". Il vous suffit de regarder attentivement les icônes rouges qui apparaissent avec l'inscription Niveau critique et supprimer le pilote spécifié, et peut envisager de remplacer le périphérique.

rien de mal n'est encore arrivé

et ici tout est déjà sérieux : l'ordinateur éteint

Rechercher les bons événements : processus et journaux de résultats

Par exemple, après un certain temps de travail, nous avons trouvé une souris collante, manquant quelques dossiers et des chemins brisés : le premier signe de l'apparition sur le disque. Pour travailler avec eux, vous devez exécuter séquentiellement l'utilitaire de vérification de l'état du disque chkdsk /f, qui commencera à fonctionner après un redémarrage, puis vérifiera l'intégrité système de fichiers Windows lui-même sfc/scannow. Ainsi, les résultats du travail de ces deux utilitaires et d'autres peuvent être consultés dans le même journal :

Étant donné que l'un de ces utilitaires est exécuté par le système juste avant le démarrage (pour le volume qui contient ce système), il est logique de rechercher les résultats à l'aide de l'indicateur gagnant(de Gagner dows Init ialisation).

Comment apprendre à lire le journal des événements Windows ?

Cependant, vous ne pouvez pas deviner. Microsoft a Page Officielle support selon les messages du système. Si vous êtes intéressé par un événement spécifique, vous pouvez visiter la page sur le web :

Cependant, à mon avis, très bon service qui aidera à lire le journal des événements Windows est le service

Il n'a pas d'analogues en Russie, mais pour ceux qui parlent anglais et sont simplement curieux, je vais vous montrer comment l'utiliser. Ainsi, pour l'exemple ci-dessus, sur la page du service, entrez le code d'erreur et le service qui l'a causé dans les champs :

Il reste à jeter nos conditions dans la recherche en cliquant sur le bouton Rechercher et les résultats apparaîtront sur la page avec une explication de l'erreur. Formellement, ils ne seront pas beaucoup plus détaillés que les explications données par le Journal lui-même, cependant, si vous faites défiler la page de résultats, alors dans la description en anglais, vous verrez un lien vers une sorte de forum avec des solutions toutes faites problèmes ou causes que les utilisateurs ont déjà rencontrés lorsqu'une erreur du même nom s'est produite. Tout est en anglais. Il fallait étudier ... Et, pour être honnête, votre obéissant serviteur va rarement plus loin que ce site: tout quelque chose de similaire s'est déjà produit quelque part.

Comme toujours, l'affichage du journal des événements n'est pas une panacée. Cependant, cela peut éviter à l'utilisateur de faire des prédictions dénuées de sens, ce qui lui fait gagner beaucoup de temps à rechercher un problème.

Journal des événements Windows - comment effacer ?

Donc, nous avons fait face aux problèmes, le système est stable. Alors débarrassons-nous des entrées inutiles dans le Journal : si vous visitiez le Journal, vous pourriez observer un certain encombrement en termes de nombre d'entrées qu'il contient.

Il existe plusieurs méthodes de nettoyage. Vous pouvez le faire via Windows PowerShell :

Wevtutil el | Foreach-Object(Write-Host "Clearing $_"; wevtutil cl "$_")

Vous pouvez utiliser la console :

Pour /f %x dans ("wevtutil el") faites wevtutil cl "%x"

Je vais vous proposer un petit script que vous pourrez mettre en Document texte, enregistrer avec l'extension .chauve souris. J'ai nommé le mien comme ceci Clearing logs (exécutez le fichier final avec les droits d'administrateur):

Voici le scénario :

@echo off FOR /F "tokens=1,2*" %%V IN ("bcdedit") DO SET adminTest=%%V IF (%adminTest%)==(Access) goto noAdmin for /F "tokens=* " %%G in ("wevtutil.exe el") DO (call:do_clear "%%G") echo. echo goto theEnd:do_clear echo effacement %1 wevtutil.exe cl %1 goto:eof:noAdmin exit

Attendez que le script se termine, la fenêtre de la console se fermera :

Le cas classique de l'Observateur d'événements a été implémenté en tant qu'objet ActiveX dans c:\windows\system32\els.dll. Si vous l'enregistrez, vous obtenez un clin d'œil Observateur d'événements pour Microsoft Management Console (MMC). Suivez les instructions ci-dessous pour savoir comment procéder.

  1. Ouvrez une fenêtre d'invite de commande (appuyez sur la touche Win + X de votre clavier et sélectionnez "Invite de commandes (Admin).
  2. Entrez la commande suivante regsvr32 els.dll

    Vous obtiendrez le message "DllRegisterServer dans els.dll réussi". Cliquez sur le bouton "OK" pour le fermer.

  3. Revenez à la fenêtre de commande et tapez mmc, puis appuyez sur le bouton Entrée. L'application Microsoft Management Console s'ouvrira. Sélectionnez un élément de menu Fichier - Ajouter/Supprimer Snap ou appuyez sur le raccourci clavier Ctrl+M au clavier.
    Dans la liste de gauche, sélectionnez et cliquez sur le bouton "Ajouter". Dans la boîte de dialogue "Sélectionner un ordinateur", cliquez simplement sur le bouton "Terminer".

Dans la boîte de dialogue "Ajouter ou supprimer des composants logiciels enfichables", cliquez sur le bouton "OK". Exécutez l'élément de menu "Fichier - Options ...". Ici, vous pouvez changer le nom et l'icône de la console avant de l'enregistrer dans un fichier. Je vous recommande de changer le mode de la console en "mode utilisateur - accès total" et cochez l'option "ne pas enregistrer les modifications pour cette console", sinon la confirmation "Enregistrer les modifications" vous ennuiera à chaque fois que vous l'utiliserez.

Cliquez sur le bouton "OK" pour fermer cette fenêtre. Dans l'élément de menu, sélectionnez "Fichier" - "Enregistrer" et donnez-lui un nom de fichier (ex. CEventVwr.msc) et enregistrez-le dans un emplacement tel que C:\Windows ou C: \windows\system32. Vous pouvez l'enregistrer n'importe où sur votre bureau, mais enregistrer le fichier dans le répertoire ci-dessus vous permettra de l'utiliser rapidement en entrant le nom dans la boîte de dialogue Exécuter et vous n'aurez même pas à entrer le chemin complet à chaque fois que vous Vous pouvez également utiliser le fichier créé spécifiquement pour cette fonction dans Windows 8.

La septième version du système d'exploitation Windows implémente la fonction de suivi des événements importants qui se produisent au travail Chez Microsoft, le concept d '«événements» fait référence à tous les incidents du système qui sont enregistrés dans un journal spécial et se signalent aux utilisateurs ou aux administrateurs. Il peut s'agir d'un utilitaire qui ne veut pas s'exécuter, d'applications qui se bloquent ou d'appareils qui ne s'installent pas correctement. Tous les incidents enregistrent et enregistrent le journal des événements de Windows 7. Il organise et affiche également toutes les actions dans l'ordre chronologique, aide à effectuer le contrôle du système, assure la sécurité du système d'exploitation, corrige les erreurs et diagnostique l'ensemble du système.

Vous devez consulter ce journal périodiquement pour de nouvelles informations et configurer le système pour enregistrer les données importantes.

Windows 7 - programmes

L'application informatique Event Viewer est la partie principale des utilitaires Microsoft conçus pour surveiller et afficher le journal des événements. ce outil essentiel pour surveiller la santé du système et éliminer les erreurs émergentes. L'utilitaire Windows qui gère la documentation des incidents s'appelle le journal des événements. Si ce service est en cours d'exécution, il commence à collecter et à enregistrer toutes les données importantes dans ses archives. Le journal des événements de Windows 7 vous permet d'effectuer les actions suivantes :

Visualisation des données enregistrées dans l'archive ;

Utiliser divers filtres d'événements et les enregistrer pour une utilisation ultérieure dans les paramètres système ;

Créer un abonnement pour des incidents spécifiques et les gérer ;

Attribuez des actions spécifiques lorsque des événements se produisent.

Comment ouvrir le journal des événements de Windows 7 ?

Le programme chargé d'enregistrer les incidents est lancé comme suit :

1. Le menu est activé en appuyant sur le bouton "Démarrer" dans le coin inférieur gauche du moniteur, puis le "Panneau de configuration" s'ouvre. Dans la liste des contrôles, sélectionnez "Administration" et déjà dans ce sous-menu cliquez sur "Observateur d'événements".

2. Il existe un autre moyen d'afficher le journal des événements de Windows 7. Pour ce faire, allez dans le menu Démarrer, tapez mmc dans la zone de recherche et envoyez une demande de recherche de fichier. Ensuite, le tableau MMC s'ouvrira, où vous devrez sélectionner un paragraphe indiquant l'ajout et la suppression de composants logiciels enfichables. Ensuite, l'Observateur d'événements est ajouté à la fenêtre principale.

Quelle est l'application décrite ?

Dans les systèmes d'exploitation Windows 7 et Vista, deux événements sont installés : les archives système et le journal du service d'application. La première option est utilisée pour capturer les incidents à l'échelle du système liés aux performances de diverses applications, au démarrage et à la sécurité. La deuxième option est responsable de l'enregistrement des événements de leur travail. Pour contrôler et gérer toutes les données, le service "Journal des événements" utilise l'onglet "Affichage", qui est divisé selon les éléments suivants :

Application - les événements associés à un programme particulier sont stockés ici. Par exemple, les services postaux stockent l'historique d'acheminement des informations à cet endroit, divers événements dans boîtes aux lettres etc.

L'élément "Sécurité" enregistre toutes les données relatives à la connexion et à la déconnexion du système, à l'utilisation des fonctionnalités d'administration et à l'accès aux ressources.

Installation - Ce journal des événements Windows 7 enregistre les données qui se produisent lors de l'installation et de la configuration du système et de ses applications.

Système - capture tous les événements du système d'exploitation, tels que l'échec du démarrage des applications de service ou lors de l'installation et de la mise à jour des pilotes de périphérique, divers messages liés au fonctionnement de l'ensemble du système.

Événements transférés - si cet élément est configuré, il stocke les informations provenant d'autres serveurs.

Autres sous-éléments du menu principal

Toujours dans le menu "Administration", où se trouve le journal des événements de Windows 7, il existe de tels éléments supplémentaires :

Internet Explorer - les événements qui se produisent pendant le fonctionnement et la configuration du navigateur du même nom sont enregistrés ici.

Windows PowerShell - Les incidents liés à l'utilisation du shell PowerShell sont enregistrés dans ce dossier.

Événements matériels - si cet élément est configuré, les données générées par les périphériques sont enregistrées.

Toute la structure du "sept", qui fournit un enregistrement de tous les événements, est basée sur le type de "Vista" sur XML. Mais pour utiliser le programme de journal des événements dans Windows 7, vous n'avez pas besoin de savoir comment utiliser ce code. L'application Event Viewer fera tout par elle-même, fournissant un tableau pratique et simple avec des éléments de menu.

Caractéristiques des incidents

Un utilisateur qui souhaite savoir comment afficher le journal des événements de Windows 7 doit également comprendre les caractéristiques des données qu'il souhaite afficher. Après tout, il existe diverses propriétés de certains incidents décrits dans l'Observateur d'événements. Ces fonctionnalités seront discutées ci-dessous :

Sources - un programme qui capture les événements dans le journal. Les noms des applications ou des pilotes qui ont affecté un incident particulier sont enregistrés ici.

Code d'événement - un ensemble de nombres qui déterminent le type d'incident. Ce code et ce nom de source d'événement sont utilisés soutien technique prise en charge du système pour et l'élimination des défaillances logicielles.

Niveau - le degré d'importance de l'événement. Le journal des événements système comporte six niveaux d'incidents :

1. Message.

2. Attention.

3. Erreur.

4. Erreur dangereuse.

5. Suivi des opérations de correction d'erreur réussies.

6. Audit des actions infructueuses.

Utilisateurs - capture les données des comptes au nom desquels les noms de divers services se sont produits, ainsi que les utilisateurs réels.

Date et heure - enregistre le moment de l'occurrence de l'événement.

De nombreux autres événements se produisent pendant le fonctionnement du système d'exploitation. Tous les incidents sont affichés dans "l'Observateur d'événements" avec une description de toutes les données d'information associées.

Comment travailler avec le journal des événements ?

Très point important dans la protection du système contre les plantages et les gels est l'examen périodique du journal "Application", qui enregistre des informations sur les incidents, les actions récentes avec un programme particulier, et fournit également un choix d'opérations disponibles.

En entrant dans le journal des événements de Windows 7, dans le sous-menu "Application", vous pouvez voir une liste de tous les programmes qui ont provoqué divers événements négatifs dans le système, l'heure et la date de leur apparition, la source et le degré de problème.

Réponses des utilisateurs aux événements

Après avoir appris à ouvrir le journal des événements de Windows 7 et à l'utiliser, vous devez en outre apprendre à appliquer avec ce application utile"Gestionnaire des tâches". Pour cela il faut touche droite cliquez avec la souris sur n'importe quel incident et dans la fenêtre qui s'ouvre, sélectionnez le menu permettant de lier la tâche à l'événement. La prochaine fois qu'un tel incident se produira dans le système, le système d'exploitation lancera automatiquement la tâche installée pour traiter l'erreur et la corriger.

Une erreur dans le journal n'est pas une raison de paniquer

Si, lors de l'affichage du journal des événements système de Windows 7, vous voyez des erreurs ou des avertissements système intermittents, ne vous inquiétez pas et ne paniquez pas à ce sujet. Même avec un ordinateur parfaitement fonctionnel, diverses erreurs et pannes peuvent être enregistrées, dont la plupart ne constituent pas une menace sérieuse pour la santé du PC.

L'application que nous avons décrite a été créée afin de permettre à l'administrateur système de contrôler plus facilement les ordinateurs et de résoudre les problèmes émergents.

Conclusion

Sur la base de ce qui précède, il devient clair que le journal des événements est un moyen qui permet aux programmes et au système d'enregistrer et de sauvegarder tous les événements sur un ordinateur en un seul endroit. Ce journal contient tous erreurs opérationnelles, les messages et les avertissements des applications système.

Où se trouve le journal des événements dans Windows 7, comment l'ouvrir, comment l'utiliser, comment corriger les erreurs qui sont apparues - nous avons appris tout cela grâce à cet article. Mais beaucoup demanderont : « Pourquoi avons-nous besoin de cela, nous n'en avons pas besoin. administrateurs système, pas des programmeurs, mais des utilisateurs ordinaires qui, pour ainsi dire, n'ont pas besoin de ces connaissances ? Mais cette approche est fausse. Après tout, quand une personne tombe malade avec quelque chose, avant d'aller chez le médecin, elle essaie de se guérir d'une manière ou d'une autre. Et beaucoup le font souvent. De même, un ordinateur, qui est un organisme numérique, peut "tomber malade", et cet article montre l'un des moyens de diagnostiquer la cause d'une telle "maladie", sur la base des résultats d'un tel "examen", vous pouvez prendre la bonne décision concernant les méthodes de « traitement » ultérieur.

Ainsi, les informations sur la manière d'afficher les événements seront utiles non seulement à l'ingénieur système, mais également à un utilisateur ordinaire.



Vous avez aimé l'article ? Partagez-le
Articles connexes recommandés
Configuration facile de cron sur linux Configuration de Cron toutes les 5 minutesConfiguration facile de cron sur linux Configuration de Cron toutes les 5 minutes
Quelle extension le fichier doit-il avoir ?Quelle extension le fichier doit-il avoir ?
Comment changer la lettre à l'aide des outils Windows standardComment changer la lettre à l'aide des outils Windows standard
Les visiteurs discutent maintenant
Programmes gratuits pour téléchargement gratuit de WindowsProgrammes gratuits pour téléchargement gratuit de Windows Des astuces
Méthodes éprouvées pour supprimer la protection du disqueMéthodes éprouvées pour supprimer la protection du disque Bluetooth
Comment enregistrer un message de camarades de classe et des photos sur votre téléphone et votre PCComment enregistrer un message de camarades de classe et des photos sur votre téléphone et votre PC Lien TP
Utilitaire universel pour la récupération de donnéesUtilitaire universel pour la récupération de données Paramètre