Для чего нужен журнал событий windows

Система Windows, в виду своей сложности не смогла-бы обойтись без своего очень важного компонента — Журнала событий. Журнал событий Windows — это средство, позволяющее программам и самой системе Windows регистрировать и хранить уведомления в одном месте. В журнале регистрируются все ошибки, информационные сообщения и предупреждения программ.

В некоторых случаях злоумышленники пользуются журналом событий Windows, для обмана людей — вердоносная программа, заразившая компьютер, котрый до заражения работал без ошибок,  пишет в журнал уведомления про возникшие ошибки в работе системы. После этого, злоумышленник, уверенный в том, что события в журнале записаны звонит жертве, представляется сотрудником компании Майкрософт и просит открыть программу Просмотр событий для того, чтоб удостовериться что сообщение действительно есть. После этого злоумышленник предлагает продиктовать по телефону номер своей кредитной карточки, для того, чтоб исправить эту ошибку.

Как правило, если ваш компьютер работает без нареканий, можно сильно не переживать, если иногда появляются ошибки в журнале событий Windows. Но если система сбоит, тогда журнал событий может вам сильно помочь с диагностикой проблемы.

Запуск программы Просмотр событий

Для запуска программы Просмотр событий, откройте меню Пуск, в строке поиска введите «Просмотр событий» и нажмите Ввод. Также программу Просмотр событий можно открыть через папку Администрирование в меню Пуск.

События разнесены по категориям, например события приожений находятся в категории Приложения, а системные события — в категории Система. Если на вашем компьютере настроен аудит событий безопасности, например аудит событий входа в систему — тогда события аудита регистрируются в категории Безопасность.

Ошибки в журнале — не повод впадать в депрессию

Если вы видите в программе Просмотр событий, что в журнале периодически появляются ошибки и предупреждения — не расстраивайтесь. Они не всегда настолько страшны как может показаться с первого раза. Иногда ошибки и уведомления могут регистрироваться на полностью рабочем компьютере.

Программа Просмотр событий создана с целью облегчения Системному администратору наблюдения за компьютерами и исправления возникающих проблем. Если компьютер работает нормально, то вероятнее всего ошибка, записанная в журнал событий не столь критична. Например ошибка на следующем рисунке совершенно не критична и на нее не стоит обращать внимание.

Даже предупреждения для обычного пользователя компьютера не критичны. Если вы системный администратор и пытаетесь устранить ошибку на сервере — тогда журнал событий Windows может вам пригодиться, но если вы не админ — тогда журнал событий вам мало чем поможет.

В идеале — все программы в случае возникновения ошибок должы делать записи в Журнале событий Windows, но на практике — разработчики пренебрегабют этой диагностической функцией и в случае возникновения ошибок в работе программы в журнал ничего не пишут, или пишут информацию, которая в решении программы мало чем может помочь.

Как пользоваться программаой Просмотр событий

Если у вас возник вопрос: а зачем мне вообще нужен какой-то Журнал событий? Действительно, пока ваш компьютер работает как часы — вам журнал событий не нужен, но он может пригодиться, если у вас возникли проблемы с компьютером, например тот стал самопроизвольно перезагружаться, или стали появляться синие экраны смерти. В журнале событий вы сможете найти более детальную информацию о причинах. Например, запись об ошибке, в журнале Система может сообщать про неудачную попытку запуска системной службы, или другую ошибку. В интернет можно найти информацию по каждому из ID ошибки (Код события).

В поисковике введите Event ID: ID_ОШИБКИ, и ві получите предостаточно информации по данной ошибке.

Помимо решения проблем, Журнал событий можно использовать для отслеживания когда ваш компьютер включался и выключался — вся эта информация записывается в Журнал событий Windows. Если у вас есть сервер, который нельзя выключать, вы можете включить отслеживание событий выключения компьютера, тем самым будете иметь возможность оперативно принимать меры по включению сервера.

Запуск задач, в ответ на события в журнале событий Windows

Вы можете использовать Журнал событий WIndows в паре с Планировщиком заданий — нажмите правой кнопкой мыши на любом событии и в открывшемся контекстном меню выберите пункт Привязать задачу к событию. В следующий раз, когда произойдет такое событие, Windows автоматически запустит выполнение соданного задания.

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Привет, друзья. В этой публикации поговорим о таком системном компоненте, как журнал событий Windows 10. Это часть классического функционала операционной системы, унаследованная от версий-предшественниц, оснастка консоли управления MMC. Журнал событий являет собой административную функцию, фиксирующую значимые события самой системы, установленных драйверов и программ. Что за события ведёт журнал, и как можно использовать его данные — давайте в этом разбираться ниже.

Журнал событий Windows 10

Как посмотреть журнал событий в Windows 10

Итак, журнал событий Windows 10. Это системное средство, фиксирующее различные технические события операционной системы. Может быть полезно при решении разного рода проблем на компьютере – при произвольных выключениях или перезагрузках, частых зависаниях, появлении BSOD, проблемах с обновлениями, сбоях работы драйверов и т.п. Журнал событий входит в число средств администрирования операционной системы.

Находится в составе оснастки консоли MMC «Просмотр событий».

Эту оснастку можно запустить в меню по клавишам Win+X.

Либо с помощью системного поиска, введя в него запрос «просмотр…».

Одной из веток оснастки и есть журнал событий – ветка «Журналы Windows» 

Что такое журнал событий Windows 10, и зачем нужен

События в журнале сгруппированы по категориям, самые значимые из них:

• «Система» — категория, содержащая события самой операционной системы;

• «Приложение» — категория, содержащая события установленных в Windows 10 программ;

• «Безопасность» — категория, содержащая события, связанные со входом пользователей в операционную систему, участием в защищённых локальных сетях, запуском брандмауэра, операциями шифрования и т.п.

Именно в этих категориях преимущественно нужно искать события, которые могут что-то нам рассказать о проблемах с компьютером.

У событий в журнале есть уровни, они же, по сути, типы событий:

• Сведения — это информационные сообщения, фиксирующие запуски и остановки системных и программных служб, которые выполнены обычно, без каких-то проблем и сбоев;

• Предупреждения — сообщения, фиксирующие системные и программные события, при выполнении которых возникли проблемы. Эти проблемы потенциально могут быть причинами сбоя Windows 10 и программ;

• Ошибки — сообщения, фиксирующие события, при выполнении которых произошёл критический сбой программ и Windows 10, влекущий за собой потерю данных. Ошибки бывают обычные и критические. Критические – это те, что повлекли за собой сбой работы системы. 

Каждое из событий имеет общее и подробное описание, по формулировкам из которых в случае с предупреждениями и ошибками мы можем дополнительно наюзать в Интернете информацию, что это за проблема, и что с ней делать.

Но, друзья, пересматривать все предупреждения и ошибки журнала, заморачиваться ими, что-то выяснять – всё это без надобности делать не нужно. Наличие в журнале огромного числа ошибок и предупреждений не значит, что с компьютером что-то не то. В работе Windows 10 происходит множество различных процессов, их работа иногда завершается нештатно, но эти процессы перезапускаются и потом нормально работают. Чем больше на компьютере используется различного ПО, тем больше будет разного типа событий. Обращаться к журналу событий Windows 10 нужно только тогда, когда у нас есть какая-то проблема – сбои работы драйверов, произвольное разлогинивание системы, зависания, произвольные перезагрузки или выключения компьютера, появление BSOD и т.п. В таких случаях журнал событий, возможно, поможет нам отыскать причину проблемы или как минимум даст направления, в которых нужно искать причину. Также журнал позволит отследить частоту и закономерность сбоев работы системы и программ, что может быть важно при определении причины проблемы.

События в журнале можно фильтровать по ключевым словам и сортировать по различным критериям, в частности, по уровню критичности, дате и времени фиксации события. Например, можем отсортировать события по дате и времени, чтобы отследить, какие события в конкретный день предшествовали внезапному сбою работы компьютера. Другой пример: дабы отследить все сбои, можем отсортировать сообщения по уровню ошибок в начале списка и посмотреть дату и время каждого сбоя.

В контекстном меню или на панели консоли справа есть опции событий, которые нам могут пригодиться в процессе их отслеживания:

• «Свойства событий» — открывает событие в отдельном окошке для удобства просмотра;

• «Копировать» — копирует сведения события как таблицу или как простой текст;

• «Сохранить выбранные события» — сохраняет событие в отдельный файл.

Очистка журнала событий Windows 10

Если вы столкнулись с какой-то проблемой и отследили все важные события журнала, после этого можно очистить его. Дабы в будущем, если снова столкнётесь с необходимостью отслеживания событий, в журнале был, так  сказать, меньший фронт работы. Для очистки вызываем на каждой очищаемой категории контекстное меню и выбираем «Очистить журнал».

From Wikipedia, the free encyclopedia

(Redirected from Event ID)

Event Viewer in Windows 10
Developer(s)	Microsoft
Operating system	Microsoft Windows
Service name	Windows Event log (eventlog)
Type	Utility software

Event Viewer is a component of Microsoft’s Windows NT operating system that lets administrators and users view the event logs on a local or remote machine. Applications and operating-system components can use this centralized log service to report events that have taken place, such as a failure to start a component or to complete an action. In Windows Vista, Microsoft overhauled the event system.^[1]

Due to the Event Viewer’s routine reporting of minor start-up and processing errors (which do not, in fact, harm or damage the computer), the software is frequently used by technical support scammers to trick the victim into thinking that their computer contains critical errors requiring immediate technical support.^[2] An example is the «Administrative Events» field under «Custom Views» which can have over a thousand errors or warnings logged over a month’s time.

Overview[edit]

Windows NT has featured event logs since its release in 1993.

The Event Viewer uses event IDs to define the uniquely identifiable events that a Windows computer can encounter. For example, when a user’s authentication fails, the system may generate Event ID 672.

Windows NT 4.0 added support for defining «event sources» (i.e. the application which created the event) and performing backups of logs.

Windows 2000 added the capability for applications to create their own log sources in addition to the three system-defined «System», «Application», and «Security» log-files. Windows 2000 also replaced NT4’s Event Viewer with a Microsoft Management Console (MMC) snap-in.

Windows Server 2003 added the AuthzInstallSecurityEventSource() API calls so that applications could register with the security-event logs, and write security-audit entries.^[3]

Versions of Windows based on the Windows NT 6.0 kernel (Windows Vista and Windows Server 2008) no longer have a 300-megabyte limit to their total size. Prior to NT 6.0, the system opened on-disk files as memory-mapped files in kernel memory space, which used the same memory pools as other kernel components.

Event Viewer log-files with filename extension evtx typically appear in a directory such as C:WindowsSystem32winevtLogs

Command-line interface[edit]

Windows XP introduced set of three command-line interface tools, useful to task automation:

• eventquery.vbs – Official script to query, filter and output results based on the event logs.^[4] Discontinued after XP.
• eventcreate – a command (continued in Vista and 7) to put custom events in the logs.^[5]
• eventtriggers – a command to create event driven tasks.^[6] Discontinued after XP, replaced by the «Attach task to this event» feature.

Windows Vista[edit]

Event Viewer consists of a rewritten event tracing and logging architecture on Windows Vista.^[1] It has been rewritten around a structured XML log-format and a designated log type to allow applications to more precisely log events and to help make it easier for support technicians and developers to interpret the events.

The XML representation of the event can be viewed on the Details tab in an event’s properties. It is also possible to view all potential events, their structures, registered event publishers and their configuration using the wevtutil utility, even before the events are fired.

There are a large number of different types of event logs including Administrative, Operational, Analytic, and Debug log types. Selecting the Application Logs node in the Scope pane reveals numerous new subcategorized event logs, including many labeled as diagnostic logs.

Analytic and Debug events which are high frequency are directly saved into a trace file while Admin and Operational events are infrequent enough to allow additional processing without affecting system performance, so they are delivered to the Event Log service.

Events are published asynchronously to reduce the performance impact on the event publishing application. Event attributes are also much more detailed and show EventID, Level, Task, Opcode, and Keywords properties.

Users can filter event logs by one or more criteria or by a limited XPath 1.0 expression, and custom views can be created for one or more events. Using XPath as the query language allows viewing logs related only to a certain subsystem or an issue with only a certain component, archiving select events and sending traces on the fly to support technicians.

Filtering using XPath 1.0[edit]

1. Open Windows Event Log
2. Expand out Windows Logs
3. Select the log file that is of interest (In the example below, the Security event log is used)
4. Right-click on the Event Log and select Filter Current Log…
5. Change the selected tab from Filter to XML
6. Check the box to Edit query manually’
7. Paste the query into the text box. Sample queries can be found below.

Here are examples of simple custom filters for the new Window Event Log:

1. Select all events in the Security Event Log where the account name involved (TargetUserName) is «JUser»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>

2. Select all events in the Security Event Log where any Data node of the EventData section is the string «JUser»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>

3. Select all events in the Security Event Log where any Data node of the EventData section is «JUser» or «JDoe»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>

4. Select all events in the Security Event Log where any Data node of the EventData section is «JUser» and the Event ID is «4471»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>

5. Real-world example for a package called Goldmine which has two @Names

   <QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Caveats:

• There are limitations to Microsoft’s implementation of XPath^[7]
• Queries using XPath string functions will result in error^[8]

Event subscribers[edit]

Major event subscribers include the Event Collector service and Task Scheduler 2.0. The Event Collector service can automatically forward event logs to other remote systems, running Windows Vista, Windows Server 2008 or Windows Server 2003 R2 on a configurable schedule. Event logs can also be remotely viewed from other computers or multiple event logs can be centrally logged and monitored without an agent and managed from a single computer. Events can also be directly associated with tasks, which run in the redesigned Task Scheduler and trigger automated actions when particular events take place.

See also[edit]

• List of Microsoft Windows components
• Microsoft Management Console
• Technical support scam

References[edit]

External links[edit]

• Official sources:
  • Event Viewer — Inside Show on Microsoft Learn
  • Events and Errors (Windows Server 2008) on Microsoft Learn

From Wikipedia, the free encyclopedia

(Redirected from Event ID)

Event Viewer in Windows 10
Developer(s)	Microsoft
Operating system	Microsoft Windows
Service name	Windows Event log (eventlog)
Type	Utility software

Event Viewer is a component of Microsoft’s Windows NT operating system that lets administrators and users view the event logs on a local or remote machine. Applications and operating-system components can use this centralized log service to report events that have taken place, such as a failure to start a component or to complete an action. In Windows Vista, Microsoft overhauled the event system.^[1]

Due to the Event Viewer’s routine reporting of minor start-up and processing errors (which do not, in fact, harm or damage the computer), the software is frequently used by technical support scammers to trick the victim into thinking that their computer contains critical errors requiring immediate technical support.^[2] An example is the «Administrative Events» field under «Custom Views» which can have over a thousand errors or warnings logged over a month’s time.

Overview[edit]

Windows NT has featured event logs since its release in 1993.

The Event Viewer uses event IDs to define the uniquely identifiable events that a Windows computer can encounter. For example, when a user’s authentication fails, the system may generate Event ID 672.

Windows NT 4.0 added support for defining «event sources» (i.e. the application which created the event) and performing backups of logs.

Windows 2000 added the capability for applications to create their own log sources in addition to the three system-defined «System», «Application», and «Security» log-files. Windows 2000 also replaced NT4’s Event Viewer with a Microsoft Management Console (MMC) snap-in.

Windows Server 2003 added the AuthzInstallSecurityEventSource() API calls so that applications could register with the security-event logs, and write security-audit entries.^[3]

Versions of Windows based on the Windows NT 6.0 kernel (Windows Vista and Windows Server 2008) no longer have a 300-megabyte limit to their total size. Prior to NT 6.0, the system opened on-disk files as memory-mapped files in kernel memory space, which used the same memory pools as other kernel components.

Event Viewer log-files with filename extension evtx typically appear in a directory such as C:WindowsSystem32winevtLogs

Command-line interface[edit]

Windows XP introduced set of three command-line interface tools, useful to task automation:

• eventquery.vbs – Official script to query, filter and output results based on the event logs.^[4] Discontinued after XP.
• eventcreate – a command (continued in Vista and 7) to put custom events in the logs.^[5]
• eventtriggers – a command to create event driven tasks.^[6] Discontinued after XP, replaced by the «Attach task to this event» feature.

Windows Vista[edit]

Event Viewer consists of a rewritten event tracing and logging architecture on Windows Vista.^[1] It has been rewritten around a structured XML log-format and a designated log type to allow applications to more precisely log events and to help make it easier for support technicians and developers to interpret the events.

The XML representation of the event can be viewed on the Details tab in an event’s properties. It is also possible to view all potential events, their structures, registered event publishers and their configuration using the wevtutil utility, even before the events are fired.

There are a large number of different types of event logs including Administrative, Operational, Analytic, and Debug log types. Selecting the Application Logs node in the Scope pane reveals numerous new subcategorized event logs, including many labeled as diagnostic logs.

Analytic and Debug events which are high frequency are directly saved into a trace file while Admin and Operational events are infrequent enough to allow additional processing without affecting system performance, so they are delivered to the Event Log service.

Events are published asynchronously to reduce the performance impact on the event publishing application. Event attributes are also much more detailed and show EventID, Level, Task, Opcode, and Keywords properties.

Users can filter event logs by one or more criteria or by a limited XPath 1.0 expression, and custom views can be created for one or more events. Using XPath as the query language allows viewing logs related only to a certain subsystem or an issue with only a certain component, archiving select events and sending traces on the fly to support technicians.

Filtering using XPath 1.0[edit]

1. Open Windows Event Log
2. Expand out Windows Logs
3. Select the log file that is of interest (In the example below, the Security event log is used)
4. Right-click on the Event Log and select Filter Current Log…
5. Change the selected tab from Filter to XML
6. Check the box to Edit query manually’
7. Paste the query into the text box. Sample queries can be found below.

Here are examples of simple custom filters for the new Window Event Log:

1. Select all events in the Security Event Log where the account name involved (TargetUserName) is «JUser»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>

2. Select all events in the Security Event Log where any Data node of the EventData section is the string «JUser»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>

3. Select all events in the Security Event Log where any Data node of the EventData section is «JUser» or «JDoe»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>

4. Select all events in the Security Event Log where any Data node of the EventData section is «JUser» and the Event ID is «4471»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>

5. Real-world example for a package called Goldmine which has two @Names

   <QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Caveats:

• There are limitations to Microsoft’s implementation of XPath^[7]
• Queries using XPath string functions will result in error^[8]

Event subscribers[edit]

Major event subscribers include the Event Collector service and Task Scheduler 2.0. The Event Collector service can automatically forward event logs to other remote systems, running Windows Vista, Windows Server 2008 or Windows Server 2003 R2 on a configurable schedule. Event logs can also be remotely viewed from other computers or multiple event logs can be centrally logged and monitored without an agent and managed from a single computer. Events can also be directly associated with tasks, which run in the redesigned Task Scheduler and trigger automated actions when particular events take place.

See also[edit]

• List of Microsoft Windows components
• Microsoft Management Console
• Technical support scam

References[edit]

External links[edit]

• Official sources:
  • Event Viewer — Inside Show on Microsoft Learn
  • Events and Errors (Windows Server 2008) on Microsoft Learn

Как работать с журналом событий Windows

Что такое Журнал событий Windows и как с ним работать?

Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д. Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.

Для того чтобы система регистрировала события в журнале – на компьютере должна быть запущена одноименная служба “Журнал событий Windows”. Данная служба запускается автоматически после включения компьютера. Не рекомендуется останавливать или выключать службу “Журнал событий Windows” – это может ухудшить стабильность и безопасность системы:

Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”– “Панель управления” – “Администрирование” – “Просмотр событий”:Либо можно нажать на клавиатуре сочетание клавиш Win+R – в открывшемся окошке ввести eventvwr.msc и нажать ОК:

Запущенная утилита “Просмотр событий” имеет следующий вид:

В среднем столбце отображается список событий выбранной категории;

В правом столбце – список доступных действий с выбранным журналом;

Внизу находится панель подробных сведений о конкретной записи (область просмотра).

Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:Область по центру снизу называется Областью просмотра. Здесь представлены общие и подробные сведения о выбранном событии. Ее можно скрыть, если снять соответствующую галку в меню “Вид”, или нажать на крестик в правом верхнем углу области просмотра:

Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?

Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.

Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.

Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.

Система – хранит события операционной системы или ее компонентов (например, неудачи при запусках служб или инициализации драйверов; общесистемные сообщения и прочие сообщения, относящиеся к системе в целом).

Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).

В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:

Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?

В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows” – “Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) «Имя сбойного приложения: , Имя сбойного модуля: KERNELBASE.dll.

Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.

Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать.
Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;

Система и безопасность

далее необходимо перейти в раздел «Администрирование» ;

после кликнуть мышкой по ярлыку «Просмотр событий» .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.

Как использовать журнал событий системы Windows 10

Средство просмотра событий Windows является одним из инструментов администрирования операционной системы Microsoft.

В первой части руководства будет объяснено, для чего используется этот инструмент и какая информация хранится в его регистрах.

Во второй части руководства мы увидим, как прочитать свойства события и как создать персонализированный вид событий.

Что такое средство просмотра событий Windows

Просмотрщик событий – самый мощный диагностический инструмент в Windows. Его использование имеет фундаментальное значение для контроля целостности системы, поскольку предоставляет подробную информацию обо всех событиях, происходящих на ПК. Событие представляет собой явление, которое происходит внутри системы и передается наружу, – к пользователю или к другим программам, и обычно соответствует состоянию или изменениям конфигурации. События регистрируются службой журнала событий Windows, а их история сохраняется в соответствующих системных журналах.

Средство просмотра событий Windows помогает в анализе проблемы, поскольку позволяет просматривать аппаратные и программные аномалии различной природы (сбой при запуске службы, сбой системы, невозможность установить обновление, повреждение в структуре файловой системы, конфликт IP-адресов).

Как запустить средство просмотра событий Windows

Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.

Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.

1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
2. Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК .
3. Откроется оснастка «Просмотр событий».

Обзор и сводка по событиям

Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.

Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).

Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.

В столбце Тип события можно нажать + , чтобы развернуть категорию и просмотреть источник событий того же типа.

Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая + .

Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.

Журналы просмотра событий Windows

Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.

Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.

В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».

Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.

Журналы Windows

В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:

• Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
  • Ошибка : указывает на критическую проблему, которая могла привести к потере данных или функциональности.
  • Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
  • Информация : описывает правильную работу драйвера, программы или службы.
• Безопасность. Журнал безопасности содержит события аудита, связанные с попытками пользователя подключиться и использованием защищенных ресурсов (создание, открытие, удаление файлов). Журнал безопасности идентифицирует события, используя два типа значков: значок ключа и значок замка.
  • Ключ: идентифицирует события типа успешная проверка.
  • Замок: идентифицирует события типа проверка не удалась.
• Установка. Журнал установки содержит события, связанные с установкой приложений.
• Система. В журнале системы указываются события, создаваемые системными компонентами Windows и установленными функциями, такие как драйвер. Например, если драйвер не загружается во время сеанса загрузки, это событие сохраняется в системном журнале. Также в этом журнале события классифицируются как Ошибка, Предупреждение или Информация.
• Перенаправленные события. В журнале сохраняются события, произошедшие на удаленных компьютерах.

Журналы приложений и служб

В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.

Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.

Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.

Просмотр логов и событий

Когда мы выбираем журнал на левой панели средства просмотра событий Windows, на центральной панели отображается список его событий, упорядоченный в обратном хронологическом порядке.

В поле ниже показано содержимое, относящееся к выбранному событию.

Окно свойства события

Чтобы просмотреть детали одного события, мы должны использовать окно Свойства события. Чтобы открыть его, дважды щелкните левой кнопкой мыши на событии в центральной панели.

В окне «Свойства события» мы можем выбрать вкладку Общие или Подробности.

Вкладка «Общие»

Вкладка «Общие» содержит следующую информацию:

• Имя журнала: указывает имя журнала, который заархивировал событие.
• Источник: Указывает источник события. Может указывать название программы, системного компонента или большой программы.
• Код события: это число, которое однозначно определяет тип события. Например, число 6005 – это идентификатор события, который всегда будет указывать на начало журнала событий.
• Уровень: указывает уровень серьезности события. В системном журнале и в журнале приложений у нас могут быть следующие уровни серьезности (представленные символом):
  • Информация: указывает на успех операции, изменение приложения, создание ресурса или запуск службы.
  • Предупреждение: указывает на событие, которое может вызвать проблему в будущем, если не будет предпринято никаких корректирующих действий.
  • Ошибка: указывает на событие, которое описывает проблему, которая может повлиять на правильную функциональность системы или приложения, которое вызвало событие. События ошибок могут включать потерю данных или функциональность.
  • Критичное: указывает на ошибку, которая не позволяет выполнить автоматическое восстановление системы или приложения, которое вызвало событие.
• Пользователь: указывает имя пользователя, вошедшего в систему, когда произошло событие.
• Код операции: это 1-байтовое числовое значение, которое идентифицирует действие или точку в действии, выполняемом приложением в момент возникновения события. Используется для представления определенного действия или части действия, выполняемого программным обеспечением, но также и для процессов, основанных на действиях трассировки, таких как веб-службы, где действие представляет собой конкретный запрос, полученный веб-службой.
• Дата: указывает дату и время, когда событие было записано.
• Категория задачи: это классификация события, основанная на происхождении события (используется в журнале безопасности).
• Ключевые слова: указывает категорию или тег, полезные для фильтрации или поиска по событиям.
• Компьютер: указывает имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но это может быть имя компьютера, который переадресовал событие, или имя локального компьютера до того, как его имя было изменено.

Вкладка «Подробности»

Вкладка «Подробности» содержит дополнительную информацию о событии.

Информация разделена на два раздела (расширяется нажатием + ):

• System: содержит общую информацию, общую для каждого экземпляра события, например, некоторые системные параметры, записанные при публикации экземпляра.
• EventData: содержит структурированную информацию о приложении.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Выполнить действие в ответ на событие

Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.

Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.

Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.