Перегляд подій в Windows Vista. Де знаходиться журнал подій windows Журнал windows 8.1 як відкрити

Операційна система Windows Vista ретельно і невпинно стежить за всім, що з нею відбувається. Абсолютно всі дії, які називаються «подіями», постійно фіксуються і розподіляються по різним категоріям. Програму Перегляд подій (яка є, якщо вам цікаво, оснащенням MMC) можна уявити як журналу, який веде скрупульозна і уїдлива старенька на лавці біля під'їзду. Вона фіксує, хто входить в будинок і виходить з нього, які ведуться розмови між мешканцями, хто з ким розлучився і побився. Іншими словами, має повну картину того, чим живе будинок.

Подібну функцію спостерігача і виконує програма Перегляд подій, яка, на відміну від цікавості бабусі, призначена для діагностики та виявлення тих проблем в роботі ОС, про які користувач і не здогадувався.

Всі події, що відбуваються в системі, записуються в спеціальних системних журналах. Програма Перегляд подій дозволяє переглядати вміст цих журналів, архівувати і видаляти їх. Як саме можна використовувати дану програму? Основне призначення - виявляти виниклі проблеми і причину їх появи. Якщо стався збій в роботі пристрою, жорсткий диск «забився під зав'язку», якась програма постійно «зависає» або відбулося інше неприємна подія, інформація про те, що сталося буде зафіксована у відповідному системному журналі. Далі досить запустити Перегляд подій і отримати повну і наочну інформацію з системного журналу.

Запустити програму Перегляд подій можна одним з таких способів.

• Виберіть команду Пуск\u003e Панель управління, Клацніть на посиланні Система й обслуговування, Потім на засланні адміністрування і, нарешті, на засланні Перегляд подій.
• Другий спосіб для нетерплячих: введіть у командному рядку команду eventvwr.

Нагадаємо, що, крім клацання на кнопці Пуск, Викликати вікно командного рядка можна, натиснувши комбінацію клавіш . Також не забувайте, що для використання всіх можливостей інструменту Перегляд подій потрібні адміністративні права доступу.

У будь-якому випадку відкриється вікно, показане далі.

• Перегляд подій з декількох системних журналів.
• Створення фільтрів подій у вигляді настроюються уявлень.
• Можливість створити завдання, що виконується автоматично з певною подією.

Розглянемо більш уважно вікно, показане вище. Вікно розділене на три панелі. На лівій панелі Перегляд подій представлено кілька папок, що містять настроюються уявлення, журнали і підписки. На центральній панелі міститься кілька вкладених меню, таких як і Копія вузли. Нарешті, на правій панелі дії можна вибрати певні дії, наприклад, створити настроюється подання або підключитися до іншого комп'ютера.

панель дозволяє швидко виявити всі важливі події, зафіксовані за останню годину, день або тиждень. Кожен тип події можна розкрити, щоб дізнатися докладну інформацію про подію. Панель дає загальну картину того, що відбувається в системі, а для отримання конкретної інформації слід перейти до певної події.

Оскільки програма Перегляд подій використовується для перегляду системних журналів, клацніть на значках у вигляді папок і Журнали додатків і служб на лівій панелі, щоб розкрити список доступних журналів. Розглянемо його більш детально. В папці представлені наступні журнали.

• прикладна програма. Події в даному журналі генеруються додатками, включаючи встановлені програми, що поставляються з Windows Vista, і служби операційної системи. Те, які саме події записуються в даному журналі, залежить від конкретної програми.
• Безпека. У цьому журналі перераховані спроби користувачів зайти в систему (вдалі і невдалі), а також дії, пов'язані з загальнодоступними ресурсами, такі як дії зі створення, зміни або видалення файлів або папок.
• налаштування. Події в даному журналі створюються при установці програм.
• система. Системні події генеруються самою Windows і встановлюються компонентами, такими як драйвери пристроїв. Журнал зручно використовувати для виявлення драйверів, в завантаженні яких при запуску Windows стався збій.
• переслані події. У цьому журналі можна знайти події, зібрані з інших комп'ютерів в мережі.

В папці Журнали додатків і служб можна знайти записи для окремих додатків і служб. У той час як в інших журналах представлені загальні записи, в цьому журналі можна знайти відомості про роботу конкретних програм. Зверніть увагу на вкладену папку Microsoft, в якій, в свою чергу, розташована вкладена папка Windows. У цій папці можна знайти записи для найрізноманітніших компонентів Windows Vista, представлених в окремих папках.

Операційна система Windows 7 постійно стежить за різними гідними уваги подіями, що виникають у вашій системі. У Microsoft Windows подія (event) - це будь-яка подія в операційній системі, яке записується в журнал або вимагає повідомлення користувачів або адміністраторів. Це може бути служба, яка не хоче запускатися, установка пристрою або помилка в роботі програми. Події реєструються і зберігаються в журналах подій Windows і надають важливі хронологічні відомості, що допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки і виконувати діагностику. Необхідно регулярно аналізувати інформацію, що міститься в цих журналах. Вам слід регулярно стежити за журналами подій і налаштовувати операційну систему на збереження важливих системних подій. У тому випадку, якщо ви адміністратор серверів Windows, то необхідно стежити за безпекою їх систем, нормальною роботою додатків і сервісів, а також перевіряти сервер на наявність помилок, здатних погіршити продуктивність. Якщо ви користувач персонального комп'ютера, то вам слід переконатися в тому, що вам доступні відповідні журнали, необхідні для підтримки своєї системи і усунення помилок.

програма «Перегляд подій» є оснащення консолі управління Microsoft (MMC) і призначена для перегляду і управління журналами подій. Це незамінний інструмент для спостереження за працездатністю системи та усунення виниклих неполадок. Служба Windows, яка управляє протоколированием подій, називається "Журнал подій". У тому випадку, якщо вона запущена, Windows записує важливі дані в журнали. За допомогою програми «Перегляд подій» ви можете виконувати наступні дії:

• Переглядати події певних журналів;
• Застосовувати фільтри подій і зберігати їх для подальшого використання у вигляді настроюються уявлень;
• Створювати підписки на події та керувати ними;
• Призначати виконання конкретних дій на виникнення певної події.

Запуск програми «Перегляд подій»

прикладна програма «Перегляд подій» можна відкрити наступними способами:

Журнали подій в Windows 7

В операційній системі Windows 7, так само як і в Windosw Vista, існують дві категорії журналів подій: журнали Windows і журнали додатків і служб. журнали Windows - використовуються операційною системою для реєстрації загальносистемних подій, пов'язаних з роботою додатків, системних компонентів, безпекою і запуском. А журнали додатків і служб - використовуються додатками і службами для реєстрації подій, пов'язаних з їх роботою. Для управління журналами подій можна використовувати оснастку «Перегляд подій» або програму командного рядка wevtutil, Про яку буде розказано в другій частині статті. Всі типи журналів описані нижче:

прикладна програма - зберігає важливі події, пов'язані з конкретним додатком. Наприклад, Exchange Server зберігає події, пов'язані з пересилання пошти, в тому числі події інформаційного сховища, поштових скриньок і запущених служб. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ Application.Evtx.

Безпека - зберігає події, пов'язані з безпекою, такі як вхід / вихід з системи, використання привілеїв і звернення до ресурсів. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ Security.Evtx

установка - в цей журнал записуються події, що виникають при установці і настройці операційної системи і її компонентів. За замовчуванням розміщується в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ Setup.Evtx.

система - зберігає події операційної системи або її компонентів, наприклад невдачі при запусках служб або ініціалізації драйверів, загальносистемні повідомлення та інші повідомлення, що відносяться до системи в цілому. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ System.Evtx

пересилаються події - якщо налаштована пересилання подій, в цей журнал потрапляють події, що надсилаються з інших серверів. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ ForwardedEvents.Evtx

Internet Explorer - в цей журнал записуються події, що виникають при налаштуванні і роботі з браузером Internet Explorer. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ InternetExplorer.Evtx

Windows PowerShell - в цьому журналі реєструються події, пов'язані з використанням оболонки PowerShell. За замовчуванням розміщується в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ WindowsPowerShwll.Evtx

події обладнання - якщо налаштована реєстрація подій обладнання, в цей журнал записуються події, які генеруються пристроями. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ HardwareEvent.Evtx

У Windows 7 інфраструктура, що забезпечує реєстрацію подій, заснована також як і в Windows Vista на XML. Дані про кожну подію відповідають XML-схемою, що дозволяє отримати доступ до XML-коду будь-якої події. Крім того, можна створювати засновані на XML запити для отримання даних з журналів. Для використання цих нових можливостей не потрібні знання про XML. Оснащення «Перегляд подій» надає простий графічний інтерфейс для доступу до цих можливостей.

властивості подій

Існує кілька властивостей подій оснащення «Перегляд подій», Які детально описані трохи нижче:

джерело - це програма, яка зареєструвала подія в журналі. Це може бути як ім'я програми (наприклад, «Exchange Server»), так і назва компонента системи або великого додатки (наприклад, ім'я драйвера). Наприклад, «Elnkii» означає драйвер EtherLink II.

код події - це число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005 - це ідентифікатор події, яке відбувається при запуску служби ведення журналів подій. Відповідно, на початку опису цієї події перебуває рядок «Запущена служба журналу подій». Код події і ім'я джерела записи можуть використовуватися представниками групи підтримки програмного продукту для усунення неполадок.

рівень - це рівень важливості події. У журналах системи і додатків події можуть мати такі рівні важливості:

• повідомлення - позначає зміна в додатку або компоненті, таке як виникнення інформаційного події, пов'язаного з успішним дією, створення ресурсу або запуск служби.
• попередження - позначає попередження загального характеру на неполадку, здатну вплинути на службу або привести до більш серйозної проблеми, якщо залишити її без уваги;
• Помилка - позначає, що виникла проблема, яка може вплинути на функції, зовнішні по відношенню до додатка або компоненту, що викликав подія;
• Критична помилка - позначає, що стався збій, після якого додаток або компонент, які ініціювали подія, не можуть відновитися автоматично;
• аудит успіхів - успішне виконання дій, які ви відстежуєте через аудит, наприклад використання будь-якої привілеї;
• аудит відмов - невдале виконання дій, які ви відстежуєте через аудит, наприклад помилка при вході в систему.

Користувач - визначає обліковий запис користувача, від імені якого виникло дана подія. До користувачів ставляться особливі сутності, наприклад Local Service, Network Service і Anonymous Logon, а також облікові записи реальних користувачів. Це ім'я являє собою ідентифікатор клієнта, якщо подія фактично було викликано серверним процесом, або основний ідентифікатор, якщо уособлення не проводиться. У деяких випадках запис журналу безпеки містить обидва ідентифікатора. А також в цьому полі може стояти N / A (Н / Д), якщо в даній ситуації обліковий запис не застосовується. Уособлення відбувається у випадках, коли сервер дозволяє одному процесу привласнити атрибути безпеки іншого процесу.

Робочий код - містить числове значення, яке визначає операцію або точку в межах операції, при виконанні якої виникло дана подія. Наприклад, ініціалізації або закриття.

Журнал - ім'я журналу, в який було записано дана подія.

Категорія і завдання - визначає категорію події, іноді використовується для подальшого опису допустимого дії. У кожного джерела подій свої категорії. Наприклад такі категорії: вхід / вихід, використання привілеїв, зміна політики і управління обліковим записом.

Ключові слова - це набір категорій або міток, які можуть використовуватися для фільтрації або пошуку подій. Наприклад: «Мережа», «Безпека» або «Ресурс не найден».

комп'ютер - ідентифікує ім'я комп'ютера, на якому відбулася подія. Зазвичай це ім'я локального комп'ютера, але також може бути ім'я комп'ютера, який переслав подія, або ім'я локального комп'ютера до того, як воно було змінено.

дата і час - визначає дату і час виникнення даної події в журналі.

ВД процесу - представляє ідентифікаційний номер процесу, який створив цю подію. Комп'ютерна програма представляє з себе тільки пасивну сукупність інструкцій, в той час як процес - це безпосереднє виконання цих інструкцій

ВД потоку - представляє ідентифікаційний номер потоку, який створив цю подію. Процес, породжений в операційній системі, може складатися з декількох потоків, що виконуються «паралельно», тобто без запропонованого порядку в часі. При виконанні деяких завдань такий поділ може досягти більш ефективного використання ресурсів обчислювальної машини

ВД процесора - представляє ідентифікаційний номер процесора, що обробив подія.

код сеансу - це ідентифікаційний номер сеансу на сервері терміналів, в якому відбулася подія.

Час роботи в режимі ядра - визначає час, витрачений на виконання інструкцій режиму ядра, в одиницях часу ЦП. Режим ядра має необмежений доступ до системної пам'яті і зовнішніх пристроїв. Ядро системи NT називають гібридним ядром або макроядра.

Час роботи в режимі користувача - визначає час, витрачений на виконання інструкцій для користувача режиму, в одиницях часу ЦП. Режим користувача складається з підсистем, які передають запити введення \\ виведення відповідного драйверу режиму ядра за допомогою менеджера Введення-виведення.

завантаженість процесора - це час, витрачений на виконання інструкцій для користувача режиму, в тиках ЦП.

код кореляції - визначає дію в процесі, для якого використовується подія. Цей код використовується для вказівки простих відносин між подіями. Кореляція - статистичний взаємозв'язок двох або кількох випадкових величин (або величин, які можна з деякою допустимої ступенем точності вважати такими). При цьому, зміни однієї або декількох з цих величин призводять до систематичного зміни іншої або інших величин.

ВД відносної кореляції - визначає відносне дію в процесі, для якого використовується подія

Робота з журналами подій

Перегляд подій

На наступному скріншоті можна побачити журнал «Додатки», В якому можна дізнатися відомості про події, недавніх уявленнях і доступних діях. Для того щоб переглянути події журналу додатків, виконайте наступні дії:

1. У дереві консолі виберіть «Журнали Windows»;
2. Виберіть журнал «Додатки».

Бажано частіше переглядати журнали подій "Прикладна програма" і «Система» і вивчати існуючі проблеми та попередження, які можуть провіщати про проблеми в майбутньому. При виборі журналу в середньому вікні відображається доступна події, включаючи дату події, час і джерело, рівень події та інші дані.

панель «Область перегляду» показує основні дані про події на вкладці «Загальні», А додаткові специфічні дані - на вкладці «Подробности». Включити і вимкнути цю панель можна, вибравши меню «Вид», А потім команду «Область перегляду».

Для критичних систем рекомендується зберігати журнали за останні кілька місяців. Весь час призначати журналам такий розмір, щоб в них вміщувалася вся інформація, як правило, незручно, вирішити це завдання можна по-іншому. Можна експортувати журнали в файли, розплоджені в заданій папці. Для того щоб зберегти обраний журнал виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, який потрібно зберегти;
2. Виберіть команду «Зберегти події як" з меню "Дія" або з контекстного меню журналу виберіть команду «Зберегти всі події як";
3. У діалозі "Зберегти як" виберіть папку, в яку необхідно зберегти файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку "Нова папка" на панелі дій. У полі «Тип файлу» потрібно вибрати бажаний формат файлу з доступних: файли подій - * .evtx, xml-файл - * .xml, текст з поділом табуляції - * .txt, csv з поділом запитом - * .csv. У полі "Ім'я файлу" «Зберегти». Для скасування збереження натисніть на кнопку "Скасування";
4. У тому випадку, якщо журнал подій не призначений для перегляду на іншому комп'ютері, в діалоговому вікні «Відображати відомості» залиште заданий за замовчуванням варіант «Не відображати відомості», А якщо журнал призначається для перегляду на іншому комп'ютері, то в діалоговому вікні «Відображати відомості» виберіть варіант «Відображати відомості для наступних мов» і натисніть на кнопку «ОК».

Очищення журналу подій

Іноді доводиться очищати заповнені журнали подій для забезпечення ефективного аналізу попереджень і критичних помилок операційної системи. Для того щоб очистити обраний журнал виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, який потрібно очистити;
2. Очистіть журнал одним із таких способів:
   • В меню "Дія" виберіть команду «Очистити журнал»;
   • На обраному журналі натисніть правою кнопкою для відкриття контекстного меню. У контекстному меню виберіть команду «Очистити журнал»;
3. Далі можна або очистити журнал, або заархівувати його в тому випадку, якщо це не було зроблено раніше:
   • Щоб очистити журнал подій без збереження натисніть натиснути на кнопку «Очистити»;
   • Щоб очистити журнал подій після його збереження натисніть на кнопку «Зберегти і очистити». У діалозі "Зберегти як" виберіть папку, в яку необхідно зберегти файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу використовуючи контекстне меню або кнопку "Нова папка" на панелі дій. У полі "Ім'я файлу" введіть ім'я та натисніть на кнопку «Зберегти». Щоб скасувати реєстрацію потрібно натиснути на кнопку "Скасування".

Установка максимального розміру журналу

Як було сказано вище, журнали подій зберігаються у вигляді файлів в папці% SystemRoot% \\ System32 \\ Winevt \\ Logs \\. За замовчуванням максимальний розмір цих файлів обмежений, але його можна змінити в такий спосіб:

1. Виберіть команду «Властивості» з меню "Дія"
2. У полі «Максимальний розмір журналу (КБ)» встановіть необхідне значення за допомогою лічильника або встановіть вручну без використання лічильника. У цьому випадку значення буде округлено до найближчого числа, кратного 64 КБ так як розмір файлу журналу повинен бути кратний 64 КБ і не може бути менше 1024 КБ.

Події зберігаються в файлі журналу, розмір якого може збільшуватися тільки до заданого максимального значення. Після досягнення файлом максимального розміру, обробка вступників подій буде визначатися політикою зберігання журналів. В наявності є таке політики збереження журналу:

Переписувати події при необхідності (спочатку старі файли) - в цьому випадку нові записи продовжують заноситися в журнал після його заповнення. Кожне нове подія замінює в журналі найбільш старе;

Архівувати журнал при заповненні; НЕ переписувати події - в цьому випадку файл журналу автоматично архівується при необхідності. Перезапис застарілих подій не виконується.

Чи не переписувати події (очистити журнал вручну) - в цьому випадку журнал очищається вручну, а не автоматично.

Для того щоб вибрати потрібну політику збереження журналів виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, для якого слід змінити розмір;
2. Виберіть команду «Властивості» з меню "Дія" або з контекстного меню вибраного журналу;
3. на вкладці «Загальні», в розділі «При досягненні максимального розміру» виберіть параметр і натисніть на кнопку «ОК».

Активація аналітичного і налагоджувального журналу

Аналітичний і оцінний журнали за замовчуванням неактивні. Після активації вони швидко заповнюються великою кількістю подій. З цієї причини бажано активувати зазначені журнали на обмежений період часу для того, щоб зібрати необхідні для пошуку і усунення неполадок дані, а потім знову їх відключити. Активацію журналів можна виконати наступним чином:

1. У дереві консолі знайдіть і виберіть аналітичний або оцінний журнал, який необхідно активувати;
2. Виберіть команду «Властивості» з меню "Дія" або з контекстного меню вибраного аналітичного або отладочного журналу;
3. на вкладці «Загальні» встановіть прапорець на опції «Включити ведення журналу»

Відкриття та закриття збереженого журналу

За допомогою оснастки «Перегляд подій» можна відкривати і переглядати збережені раніше журнали. Одночасно можна відкрити декілька збережених журналів і звертатися до них в будь-який час в дереві консолі. Журнал, відкритий в «Перегляді подій», Може бути закритий без видалення містяться в ньому відомостей. Для відкриття збереженого журналу виконайте наступні дії:

1. Виберіть команду «Відкрити збережений журнал» в меню "Дія" або з контекстного меню в дереві консолі;
2. 3. У діалоговому вікні «Відкрити збережений журнал», Пересуваючись по дереву каталогів, відкрийте папку, яка містить потрібний файл. За замовчуванням в діалоговому вікні будуть виведені всі файли журналів подій. Також при відкритті можна вибрати тип файлів, які потрібно відображати в діалозі відкриття. Доступні типи файлів: файли журналу подій (* .evtx, * .evt, * .etl), а також файли подій (* .evtx), старі файли подій (* .evt) або файли журналу трасування (* .etl). Після того, як потрібний файл журналу буде знайдений, виділіть його, клацнувши на ньому лівою кнопкою миші, що помістить його ім'я в рядок для введення імені файлу і натисніть на кнопку «Відкрити».
3. У діалозі «Відкрити збережений журнал», у полі «Ім'я» введіть нове ім'я, яке буде використовуватися для журналу в дереві консолі. Воно використовується тільки для подання журналу в дереві консолі і ім'я файлу журналу при цьому не змінюється Можна також використовувати існуюче ім'я файлу журналу. У полі «Опис» введіть опис журналу. Воно буде відображатися в центральній області при виділенні батьківської папки журналу в дереві консолі;
4. Для створення папки, в якій буде розташований збережений журнал, натисніть на кнопку "Створити папку". У полі «Ім'я» введіть ім'я папки, в якій буде перебувати відкритий журнал, а потім натисніть кнопку «ОК». Якщо батьківська папка не вибрана, нова папка буде розташована в папці «Збережені журнали».
5. Для того щоб відкритий журнал подій став недоступним для інших користувачів комп'ютера, ви можете зняти прапорець "Усі користувачі". У тому випадку, якщо цей прапорець залишиться активним, відкритий журнал буде доступний всім користувачам, але для його видалення з дерева консолі будуть потрібні права адміністратора;
6. Для відкриття журналу, натисніть на кнопку «ОК».

Для того щоб видалити відкритий журнал з дерева подій, виконайте такі дії:

1. У дереві консолі виберіть журнал, який слід видалити;
2. Виберіть команду "Вилучити" з меню "Дія" або з контекстного меню вибраного журналу;
3. У діалозі «Перегляд подій» Натисніть на кнопку «Так».

висновок

У цій частині статті, присвяченій оснащенні «Перегляд подій», розповідається про саму оснащенні і детально описані найпростіші операції, пов'язані з моніторингом та обслуговуванням системи за допомогою «Перегляду подій». Наступна частина статті буде розрахована для досвідчених користувачів Windows. У ній будуть описані завдання з налаштованим уявленнями, фільтрація, угруповання / сортування подій і управління підписками.

Думаю, що кожен з користувачів, який працює з комп'ютером, стикався з проблемами і помилками. Пора вам навчитися читати журнал подій Windows, який відображає повідомлення додатків і самої системи: помилки, інформаційні повідомлення, попередження. Тут міститься інформація про події, котрі система порахувала записати для адміністратора. Просто так, на всякий пожежний.

У нормально працюючій системі користувач сюди дорогу не знає - просто нема чого. Однак при появі помилок (лагов) в Windows приводів заглянути сюди з'являється чимало, благо звідси є що почерпнути.

Де знаходиться Журнал подій?

Найшвидший спосіб потрапити в нього, це набрати в рядку пошуку після натискання клавіші WIN слова «журнали подій». І клацнути по відповідному посиланню:

Або наберіть Пуск - команда eventvwr.msc. За замовчуванням, Перегляд подій відкриє вкладки, в тому числі зі зведенням адміністративних подій, де перераховано інформація за важливістю для адміністратора. Найважливіша з них критичний тип події. Погуляйте по розділу журнали Windows, Ключові директорії додатки і система.

Все, що відбувається в системі записується в декількох документах. І швидше за все, ви виявите там кілька помилок. Це не означає поки зовсім нічого. Якщо система стабільна, ці помилки не критичні і не потурбують вас ніколи. До речі, можете придивитися - помилки зберігаються для програм, яких на комп'ютері давно вже і немає.

Гра була закрита за допомогою клавіш Alt + F4 - мама, мабуть, зайшла в кімнату.

Теоретично, іншим програмам також велено записувати важливі і не дуже події в Журнал, однак, на моїй пам'яті, вони ці майже не займаються.

Читачеві вже може здатися, що увагу до Журналу можна не приділяти.

Журнал допоможе уважному і вдумливому користувачеві у випадках появи серйозних збоїв в роботі, наприклад, при появі або при несподіваних перезагрузках системи. Так, в Журналі легко виявитися «загиблий» драйвер. Вам потрібно лише уважно подивитися на що з'явилися червоні значки з написом критичний рівень і видалити вказаний драйвер, а може подумати про заміну пристрою.

нічого страшного ще не сталося

а тут вже все серйозно: комп'ютер відключався

Шукаємо потрібні події: процеси і логи результатів

Наприклад, після деякого часу роботи ми виявили залипання миші, пропажу деяких папок і непрацюючі шляху: перша ознака появи на диску. Для роботи з ними необхідно послідовно запустити утиліту перевірки стану диска chkdsk / f, Яка почне роботу після перезавантаження, а потім перевіримо на цілісність файлову систему самої Windows sfc / scannow. Так ось, на результати роботи як цих, так і інших утиліт можна подивитися в тому ж журналі:

Так як одна з цих утиліт запускається системою тільки перед завантаженням (для томи, який цю систему містить), є сенс пошукати результати по прапору Wininit(від Windows Initialisation).

Як навчитися читати журнал подій windows?

Втім, можна не гадати. Microsoft має офіційну сторінку підтримки за повідомленнями системи. Якщо вас цікавить конкретну подію, ви можете відвідати сторінку в мережі:

Однак, на мою думку, дуже хорошим сервісом, який допоможе читати журнал подій Windows, є сервіс

У Росії йому аналогів немає, проте для володіють англійською і просто цікавих я покажу як ним користуватися. Так, для взятого вище прикладу, на сторінці сервісу введіть в поля код помилки і службу, яка її викликала:

Залишається закинути наші умови в пошук, натиснувши кнопку Search і на сторінці з'являться результати з поясненням виникнення помилки. Формально, вони будуть не набагато докладніше пояснень, що даються самим Журналом, однак, якщо ви перейдіть результатів нижче, то в описі англійською побачите посилання на своєрідний форум з готовими рішеннями проблеми або причинами, з якими вже стикалися користувачі при виникненні однойменної помилки. Все англійською. Вчитися треба було ... І, якщо чесно, ваш покірний слуга далі цього сайту рідко йде: все щось схоже десь колись вже відбувалося.

Як завжди, перегляд журналу подій - це не панацея. Однак від безглуздих гідний користувача може врятувати, заощадивши на пошуку проблеми купу часу.

Журнал подій Windows - як очистити?

Отже, з проблемами впоралися, система стабільна. Тоді давайте позбудемося непотрібних в Журналі записів: якщо ви Журнал відвідували, якусь захаращеність за кількістю записів в ньому спостерігати могли.

Способів очищення існує кілька. Можна це зробити через PowerShell Windows:

Wevtutil el | Foreach-Object (Write-Host "Clearing $ _"; wevtutil cl "$ _")

Можна через консоль:

For / f% x in ( "wevtutil el") do wevtutil cl "% x"

Я ж запропоную вам невеликий скрипт, який ви можете помістити в текстовий документ, зберегти з розширенням .bat. Я свій так і назвав Очищення логів (підсумковий файл запускайте з правами адміністратора):

Ось скрипт:

@echo off FOR / F "tokens \u003d 1,2 *" %% V IN ( "bcdedit") DO SET adminTest \u003d %% V IF (% adminTest%) \u003d\u003d (Access) goto noAdmin for / F "tokens \u003d * "%% G in (" wevtutil.exe el ") DO (call: do_clear" %% G ") echo. echo goto theEnd: do_clear echo clearing% 1 wevtutil.exe cl% 1 goto: eof: noAdmin exit

Дочекайтеся закінчення роботи скрипта, вікно консолі саме закриється:

Класичний випадок Перегляду подій був реалізований у вигляді ActiveX-об'єкта у файлі c: \\ windows \\ system32 \\ els.dll. Якщо ви реєструєте його, то ви отримаєте оснащення Event Viewer для Microsoft Management Console (MMC). Слідуйте інструкціям нижче, щоб дізнатися, як це можна зробити.

1. Відкрийте вікно командного рядка (натисніть Win + X на клавіатурі клавішу і виберіть пункт - «Command Prompt (Admin).
2. Введіть наступну команду regsvr32 els.dll

   Ви отримаєте повідомлення «DllRegisterServer в els.dll це вдалося». Натисніть кнопку «OK», щоб закрити його.

3. Поверніться в командне вікно і введіть mmc, А потім натисніть кнопку Enter. Microsoft Management Console application буде відкрита. Виберіть пункт меню Файл - Додати / Видалити Оснащення або натисніть клавіші Ctrl + M на клавіатурі.
   У списку ліворуч виберіть і натисніть на кнопку «Add». У діалоговому вікні «Виберіть Комп'ютер», просто натисніть кнопку «Finish».

У вікні діалогового вікна «Add or Remove Snap-ins» натисніть кнопку «OK» .Запустіте пункт меню «Файл - Параметри ...». Тут ви можете змінити назву і значок консолі, перш ніж ви збережете його в файл.Я рекомендую вам змінити режим консолі в «режим користувача - повний доступ» і встановіть прапорець на варіанті «Не зберігати зміни для цієї консолі», в іншому випадку підтвердження « зберегти зміни »кожен раз будуть Вас дратувати, коли ви його використовуєте.

Натисніть кнопку «OK», щоб закрити це окно.В меню пункт виберіть «Файл» - »Зберегти» і дайте йому будь-яке ім'я файлу (напр. CEventVwr.msc) і збережіть його в такому місці, як C: \\ Windows або C: \\ Windows \\ system32. Ви можете зберегти його в будь-якому місці на вашому робочому столі, але збереження файлу в зазначеному вище каталозі, дозволить вам швидко його використовувати ввівши ім'я в діалогове вікно Запустити і ви навіть не повинні вводити повний шлях до нього кожен раз, коли ви його іспользуете.Ілі ви можете використовувати файл, який був створений спеціально для цієї функції в Windows 8.

В операційній системі Windows сьомої версії реалізована функція відстеження важливих подій, які відбуваються в роботі В «Майкрософт» під поняттям «події» маються на увазі будь-які події в системі, які фіксуються в спеціальному журналі і сигналізують про себе користувачам або адміністраторам. Це може бути службова програма, яка не бажає запускатися, збій в роботі додатків або некоректна установка пристроїв. Всі події реєструє і зберігає журнал подій Windows 7. Він також має в своєму розпорядженні і показує всі дії в хронологічному порядку, допомагає виробляти системний контроль, забезпечує безпеку операційки, виправляє помилки і діагностує всю систему.

Слід періодично переглядати цей журнал на предмет появи інформації, що надходить і робити настроювання системи для збереження важливих даних.

Window 7 - програми

Комп'ютерне програмне забезпечення «Перегляд подій» є основною частиною службових утиліт «Майкрасофт», які призначені для контролю і перегляду журналу подій. Це необхідний інструмент для моніторингу працездатності системи і ліквідації з'являються помилок. Службова програма «Віндовс», яка керує документуванням подій, називається «Журналом подій». Якщо ця служба запущена, то вона починає збирати і протоколювати всі важливі дані в своєму архіві. Журнал подій Windows 7 дозволяє здійснювати наступні дії:

Перегляд даних, записаних в архів;

Використання різних фільтрів подій і їх збереження для подальшого застосування в настройках системи;

Створення підписки за певними обставинами і управління ними;

Призначено певні функції при виникненні будь-яких подій.

Як відкрити журнал подій Windows 7?

Програма, що відповідає за реєстрацію подій, запускається в такий спосіб:

1. Активується меню натисканням кнопки «Пуск» в лівому нижньому кутку монітора, потім відкривається «Панель управління». У списку елементів управління вибираємо «Адміністрування» і вже в цьому підменю натискаємо на «Перегляд подій».

2. Є інший спосіб, як подивитися журнал подій Windows 7. Для цього слід перейти в меню «Пуск», в пошуковому віконці набрати mmc і відправити запит на пошук файлу. Далі відкриється таблиця MMC, де потрібно вибрати параграф, що позначає додавання і видалення оснастки. Потім проводиться добавка «Перегляду подій» на головне вікно.

Що являє собою описуваної програми?

В операційних системах Widows 7 і Vista встановлені два подій: системні архіви і службовий журнал додатків. Перший варіант використовується для фіксації загальносистемних подій, які пов'язані з продуктивністю різних додатків, запуском і безпекою. Другий варіант відповідає за запис подій їх роботи. Для контролю та управління всіма даними служба «Журнал подій» використовує вкладку «Перегляду», яка поділяється на наступні пункти:

Додаток - тут зберігаються події, які пов'язані з якоюсь певною програмою. Наприклад, поштові служби зберігають в цьому місці історію пересилання інформації, різні події в поштових скриньках і так далі.

Пункт «Безпека» зберігає всі дані, пов'язані з входів в систему і виходу з неї, використання адміністративних можливостей і звернення до ресурсів.

Установка - в цей журнал подій Windows 7 заносяться дані, які виникають при установці і настройці системи і її додатків.

Система - фіксує всі події операційки, такі як збій при запуску службових додатків або при установці і оновленні драйверів пристроїв, різноманітні повідомлення, що стосуються роботи всієї системи.

Пересилаються події - якщо цей пункт налаштований, то в ньому зберігається інформація, яка приходить з інших серверів.

Інші підпункти основного меню

Також в меню «Адміністрування», де журнал подій в Windows 7 і знаходиться, є такі додаткові пункти:

Internet Explorer - тут реєструються події, які виникають при роботі і налаштуванні однойменного браузера.

Windows PowerShell - в цій папці фіксуються обставини, що мають зв'язок із застосуванням оболонки PowerShell.

Події обладнання - якщо цей пункт налаштований, то в журнал заносяться дані, які генерують пристрої.

Вся структура «сімки», яка забезпечує запис всіх подій, заснована на кшталт «Вісти» на XML. Але для використання в Window 7 програми журналу подій немає необхідності знати, як застосовувати цей код. Додаток «Перегляд подій» все зробить сама, надавши зручну і просту таблицю з пунктами меню.

характеристики пригод

Користувач, який бажає дізнатися, як подивитися журнал подій Windows 7, повинен також розбиратися і в характеристиках тих даних, які він хоче переглянути. Адже існують різні властивості тих чи інших подій, описаних в «Перегляді подій». Ці характеристики ми розглянемо нижче:

Джерела - програма, яка фіксує події в журналі. Тут записуються імена програм та драйверів, що вплинули на ту чи іншу подію.

Код події - набір чисел, що визначають тип події. Цей код і ім'я джерела події використовується технічною підтримкою системного забезпечення для і ліквідації програмних збоїв.

Рівень - ступінь важливості події. Журнал подій системи має шість рівнів пригод:

1. Повідомлення.

2. Застереження.

3. Помилка.

4. Небезпечна помилка.

5. Моніторинг успішних операцій по виправленню помилок.

6. Аудит невдалих дій.

Користувачі - фіксує дані облікових записів, від імені яких відбулося можуть бути імена різних сервісів, а також реальних користувачів.

Дата і час - реєструє тимчасові показники появи події.

Існує маса інших подій, які виникають при роботі операційної системи. Всі події висвічуються в «Перегляді подій» з описом всіх супутніх інформаційних даних.

Як працювати з журналом подій?

Дуже важливим моментом в запобіганні системи від збоїв і зависань є періодичне переглядання журналу «Додаток», в якому фіксуються відомості про події, недавніх діях з тією чи іншою програмою, а також надається вибір доступних операцій.

Зайшовши в журнал подій Windows 7, в підміню «Додаток» можна побачити список всіх програм, що викликали різні негативні події в системі, час і дату їх появи, джерело, а також ступінь проблемності.

Відповідні дії користувача на події

Вивчивши, як відкрити журнал подій Windows 7 і яким чином їм користуватися, слід далі навчитися застосовувати з цим корисним додатком «Планувальник завдань». Для цього необхідно правою клавішею миші клікнути на будь-яку подію і в вікні, вибрати меню прив'язки завдання до події. Наступного разу, коли відбудеться така подія в системі, операційка автоматом запустить встановлене завдання на обробку помилки і її виправлення.

Помилка в журналі не є приводом для паніки

Якщо, переглядаючи журнал системних подій Windows 7, ви побачите з'являються періодично помилки системи або попередження, то не слід переживати і панікувати з цього приводу. Навіть при відмінно працює комп'ютері можуть реєструватися різні помилки і збої, більшість з яких не несуть серйозної загрози працездатності ПК.

Описується нами програма створена для того, щоб полегшити системному адміністратору контроль над комп'ютерами та усунення з'являються проблем.

висновок

Виходячи з усього вищесказаного, стає ясно, що журнал подій - спосіб, що дозволяє програмам і системі фіксувати і зберігати всі події на комп'ютері в одному місці. В такому журналі зберігаються всі операційні помилки, повідомлення та попередження системних додатків.

Де знаходиться журнал подій в Windows 7, ніж його відкрити, як ним користуватися, яким чином виправляти з'явилися помилки - все це ми дізналися з цієї статті. Але багато хто запитає: «А навіщо нам це потрібно, ми не системні адміністратори, які не програмісти, а звичайні користувачі, яким ці знання як би не потрібні?» Але цей підхід неправильний. Адже коли людина чимось захворює, перед походом до лікаря він намагається сам вилікуватися тими чи іншими способами. І у багатьох часто це виходить. Так і комп'ютер, що є цифровим організмом, може «захворіти», і в цій статті показаний один із способів, як діагностувати причину такого «захворювання», за результатами такого «обстеження» можна прийняти правильне рішення про методи подальшого «лікування».

Так що інформація про спосіб перегляду подій буде корисна не тільки Системщик, але і звичайному користувачеві.