Сетевой журнал для записи нескольких событий. Просмотр событий в Windows Vista

Энциклопедия Windows

Все об использовании и настройке Windows

• Windata
• »
• Windows Vista
• »
• Оптимизация [V]
• » Просмотр событий в Windows Vista

Просмотр событий в Windows Vista

Операционная система Windows Vista тщательно и неустанно следит за всем, что с ней происходит. Абсолютно все действия, которые называются «событиями», постоянно фиксируются и распределяются по различным категориям. Программу Просмотр событий (которая является, если вам интересно, оснасткой MMC) можно представить в качестве журнала, который ведет скрупулезная и въедливая старушка на скамейке у подъезда. Она фиксирует, кто входит в дом и выходит из него, какие ведутся разговоры между жильцами, кто с кем развелся и подрался. Иными словами, имеет полную картину того, чем живет дом.

Подобную функцию соглядатая и выполняет программа Просмотр событий, которая, в отличие от любопытства старушки, предназначена для диагностики и выявления тех проблем в работе ОС, о которых пользователь и не догадывался.

Все события, происходящие в системе, записываются в специальных системных журналах. Программа Просмотр событий позволяет просматривать содержимое этих журналов, архивировать и удалять их. Как именно можно использовать данную программу? Основное предназначение — выявлять возникшие проблемы и причину их появления. Если произошел сбой в работе устройства, жесткий диск «забился под завязку», какая-то программа постоянно «зависает» или произошло другое неприятное событие, информация об произошедшем будет зафиксирована в соответствующем системном журнале. Далее достаточно запустить Просмотр событий и получить полную и наглядную информацию из системного журнала.

Запустить программу Просмотр событий можно одним из следующих способов.

• Выберите команду Пуск>Панель управления, щелкните на ссылке Система и ее обслуживание, затем на ссылке Администрирование и, наконец, на ссылке Просмотр событий.
• Второй способ для нетерпеливых: введите в командной строке команду eventvwr.

Напомним, что, кроме щелчка на кнопке Пуск, вызвать окно командной строки можно, нажав комбинацию клавиш . Также не забывайте, что для использования всех возможностей инструмента Просмотр событий требуются административные права доступа.

В любом случае откроется окно, показанное далее.

Далее вкратце перечислены основные возможности программы Просмотр событий.

• Просмотр событий из нескольких системных журналов.
• Создание фильтров событий в виде настраиваемых представлений.
• Возможность создать задачу, выполняемую автоматически с определенным событием.

Рассмотрим более внимательно окно, показанное выше. Окно разделено на три панели. На левой панели Просмотр событий представлено несколько папок, содержащих настраиваемые представления, журналы и подписки. На центральной панели содержится несколько вложенных меню, таких как Сводка административных событий и Недавно просмотренные узлы. Наконец, на правой панели Действия можно выбрать определенные действия, например, создать настраиваемое представление или подключиться к другому компьютеру.

Панель Сводка административных событий позволяет быстро выявить все важные события, зафиксированные за прошедший час, день или неделю. Каждый тип события можно раскрыть, чтобы узнать подробную информацию о событии. Панель дает общую картину происходящего в системе, а для получения конкретной информации следует перейти к определенному событию.

Поскольку программа Просмотр событий используется для просмотра системных журналов, щелкните на значках в виде папок Журналы Windows и Журналы приложений и служб на левой панели, чтобы раскрыть список доступных журналов. Рассмотрим его более подробно. В папке Журналы Windows представлены следующие журналы.

• Приложение. События в данном журнале генерируются приложениями, включая установленные программы, поставляемые с Windows Vista, и службы операционной системы. То, какие именно события записываются в данном журнале, зависит от конкретной программы.
• Безопасность. В этом журнале перечислены попытки пользователей зайти в систему (удачные и неудачные), а также действия, связанные с общедоступными ресурсами, такие как действия по созданию, изменению или удалению файлов или папок.
• Настройки. События в данном журнале создаются при установке программ.
• Система. Системные события генерируются самой Windows и устанавливаемыми компонентами, такими как драйверы устройств. Журнал удобно использовать для обнаружения драйверов, в загрузке которых при запуске Windows произошел сбой.
• Пересланные события. В этом журнале можно найти события, собранные с других компьютеров в сети.

В папке Журналы приложений и служб можно найти записи для отдельных приложений и служб. В то время как в других журналах представлены общие записи, в этом журнале можно найти сведения о работе конкретных программ. Обратите внимание на вложенную папку Microsoft, в которой, в свою очередь, расположена вложенная папка Windows. В этой папке можно найти записи для самых разнообразных компонентов Windows Vista, представленных в отдельных папках.

При выборе любого журнала, например, Система в папке Журналы Windows, на центральной панели будет представлен перечень событий (в верхней таблице) и их описание (в нижней области панели). Все события, вне зависимости от их содержания, разделяются на три следующих уровня.

• Ошибка. Данные события относятся к возможной потере данных или неисправности устройств. К событиям такого типа относится, например, неисправность в работе сетевого адаптера или ошибка при загрузке драйвера или службы одновременно с запуском операционной системы.
• Предупреждение. Данные события относятся к менее критическим проблемам, чем события из предыдущей категории. К таким событиям относятся, например, предупреждение о том, что на жестком диске практически не осталось свободного пространства.
• Сведения. Эта категория относится ко всем другим событиям, фиксируемым Windows. Например, к использованию принтера или успешному подключению к Интернету.

В следующей статье более подробно рассказывается о доступной информации о событиях .

Как работать с журналом событий Windows

Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д.
Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.

Для того чтобы система регистрировала события в журнале – на компьютере должна быть запущена одноименная служба “Журнал событий Windows”. Данная служба запускается автоматически после включения компьютера. Не рекомендуется останавливать или выключать службу “Журнал событий Windows” – это может ухудшить стабильность и безопасность системы:

Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”– “Панель управления” – “Администрирование” – “Просмотр событий”:Либо можно нажать на клавиатуре сочетание клавиш Win+R – в открывшемся окошке ввести eventvwr.msc и нажать ОК:
Запущенная утилита “Просмотр событий” имеет следующий вид:В левом столбце можно видеть отсортированные по разделам журналы (всего их четыре: Настраиваемые представления, Журналы Windows, Журналы приложений и служб, Подписки);

В среднем столбце отображается список событий выбранной категории;

В правом столбце – список доступных действий с выбранным журналом;

Внизу находится панель подробных сведений о конкретной записи (область просмотра).

Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:Область по центру снизу называется Областью просмотра. Здесь представлены общие и подробные сведения о выбранном событии. Ее можно скрыть, если снять соответствующую галку в меню “Вид”, или нажать на крестик в правом верхнем углу области просмотра:

Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?

Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.

Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.

Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.

Система – хранит события операционной системы или ее компонентов (например, неудачи при запусках служб или инициализации драйверов; общесистемные сообщения и прочие сообщения, относящиеся к системе в целом).

Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).

В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:

Например, мы хотим увидеть только ошибки приложений за последние сутки .
В этом случае выбираем слева раздел “Журналы Windows” – категорию “Приложение”, затем в правом столбце жмем “Фильтр текущего журнала”:В открывшемся окошке сверху в строке “Дата” выбираем “Последние 24 часа”.
Ниже отметьте галками уровни событий: “Критическое” и “Ошибка” – нажмите “ОК”.
После этого в среднем столбце отобразится список событий, которые мы задали в фильтре.

Щелкните по любой строке с ошибкой – снизу по центру в области просмотра вы увидите подробную информацию по данной ошибке. Если вы не понимаете, что означает данная ошибка (а чаще всего так и бывает) – тогда просто скопируйте текст ошибки (Ctrl+C на клавиатуре) и вставьте его в любой поисковик (Ctrl+V). Очень большая вероятность, что там вы найдете причину ошибки и ее решение:

Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?

В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows” – “Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) “Имя сбойного приложения: , Имя сбойного модуля: KERNELBASE.dll.

По данной ошибке я не смог сразу понять, в чем именно заключается проблема. Тогда я скопировал этот текст в Google.
После недолгого поиска оказалось, что такая ошибка свидетельствует о проблемах в работе компонента .Net Framework. На нескольких сайтах предлагалось переустановить Net Framework. Я так и сделал – проблема действительно была решена!

Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.И тогда я смотрю под стол на свой системный блок и вижу, что кабель питания вставлен в него не до конца. Видимо, я просто задел системник ногой и кабель питания отошел. Как видим, в журнале событий не просто отображается код ошибки, а нередко еще и описаны причины ошибки.

Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать.
Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно “Выполнить”;
2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню “Файл/новая задача” и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно “Просмотр событий” — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

сначала необходимо открыть панель управления и перейти в раздел “Система и безопасность” ;

Система и безопасность

далее необходимо перейти в раздел “Администрирование” ;

после кликнуть мышкой по ярлыку “Просмотр событий” .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с “лупой” на панели задач, в поисковую строку написать “событий” и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел “Журналы Windows” (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: “Приложение”, “Безопасность”, “Система”. Именно о них пару слов подробнее:

1. “Приложение” — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. “Система” — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. “Безопасность” — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например “Система”) , далее кликнуть в правой колонке по инструменту “Фильтр текущего журнала” .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть “службы” (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;

Открываем службы – services.msc (универсальный способ)

далее нужно найти службу “Журнал событий Windows” и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим “отключена” и нажать кнопку “остановить” . Затем сохранить настройки и перезагрузить компьютер.