Где посмотреть логи ошибок windows 11

Обратите внимание! Журнал ошибок в прямом смысле этого слова отсутствует в Windows 11 и предыдущих версиях, однако есть более универсальное средство «Просмотр событий», в котором, как можно понять из названия, отображаются не только ошибки в работе операционной системы, но и все критически важные события. Далее будет рассказано именно о том, как запустить данный компонент.

Способ 1: Поиск

Зачастую наиболее удобным и быстрым в своей реализации методом запуска любого системного компонента является использование функции поиска, представленной отдельным элементом на панели задач (ПЗ).

С помощью обозначенной кнопки или комбинации клавиш «Win+S» разверните окно поиска и начните вводить в него запрос «Просмотр событий». Как только искомая оснастка появится в списке «Лучшее соответствие», откройте ее нажатием по ярлыку или расположенной справа надписи-ссылке.

По умолчанию рассматриваемый компонент ОС открывается в представлении «Просмотр событий (Локальный)». Если же вы хотите увидеть непосредственный перечень ошибок, разверните каталог «Журналы Windows», а затем входящую в него директорию «Система» — необходимые сведения будут представлены в блоке, расположенном в центральной верхней части окна.

Способ 2: Дополнительное меню кнопки «Пуск»

У главного меню операционной системы есть подменю, вызываемое нажатием по элементу «Пуск» правой кнопкой мышки (ПКМ) или сочетанием «Win+X».

В списке опций, который появляется при выполнении указанного действия, доступен пункт для быстрого запуска средства «Просмотр событий».

Ряд важных для Windows 11 компонентов, включая интересующий нас, представлен в разделе «Инструменты Windows» — по сути, это то же, что и средства «Администрирования», доступные в десятой версии операционной системы от Microsoft.

1. Разверните меню «Пуск», а затем кликните по надписи «Все приложения».





2. Пролистайте перечень представленных в главном меню элементов вниз, найдите в нем «Инструменты Windows» и откройте.



3. Найдите и запустите «Просмотр событий».

У данного метода решения нашей задачи существует еще один вариант реализации:

1. Вызовите «Панель управления». Проще всего это сделать через поиск.



2. Переключитесь в режим просмотра «Категория» и откройте раздел «Система и безопасность».



3. Далее вы можете либо сразу кликнуть по ссылке «Просмотр журналов событий», чтобы перейти к интересующему нас в рамках настоящей статьи компоненту ОС,
   

   либо открыть «Инструменты Windows» и найти «Просмотр событий» там, как это уже было показано выше.

Способ 4: Универсальная команда

Многие интегрированные в Виндовс 11 компоненты можно вызывать с помощью специальных запросов, которые, в свою очередь, одинаково эффективно выполняются сразу в нескольких системных оснастках. Команда, с помощью которой осуществляется запуск «Просмотра событий», выглядит следующим образом:

eventvwr.msc

Далее расскажем, где и как ее можно использовать.

Вариант 1: Поиск

Вместо полного названия искомой оснастки, указанного нами в качестве запроса в самой первой части настоящей статьи, вполне можно задействовать представленную выше команду.

Вариант 2: «Выполнить»

Используя клавиатурное сочетание «Win+R» или контекстное меню «Пуска», откройте окно «Выполнить».

Введите самостоятельно или скопируйте и вставьте запрос для запуска «Просмотра событий», после чего нажмите «ОК» или «Enter».

Вариант 3: Консоль

Аналогичным образом работает и консоль, причем любой из доступных в ОС Windows 11 ее вариантов, будь то «Командная строка», «PowerShell» или «Терминал».

1. Откройте желаемый вариант консоли, задействовав для этого поиск или любой другой удобный способ.
   

   Читайте также: Как открыть «Командную строку» от имени администратора в Виндовс 11

   В качестве примера далее нами будет использоваться «Терминал», запущенный через контекстное меню элемента «Пуск».

   

   Читайте также: Как открыть «Терминал» в Windows 11

2. Введите вручную или скопируйте и вставьте с помощью ПКМ указанную во вступительной части данного способа команду, после чего нажмите «Enter» для ее выполнения.

Вариант 4: «Диспетчер задач»

Несмотря на то что данный компонент операционной системы чаще всего используется именно для снятия задач, с его помощью также можно и запускать их.

1. Вызовите «Диспетчер задач», задействовав для этого клавиши «Ctrl+Shift+Esc», поиск, контекстное меню «Пуска» или любой другой доступный способ.
   

   Читайте также: Как открыть «Диспетчер задач» в Виндовс 11
2. Разверните меню «Файл» и выберите в нем пункт «Запустить новую задачу».



3. Вставьте в появившееся окно уже знакомую по предыдущим вариантам команду и нажмите «ОК» или «Enter».

Способ 5: Исполняемый файл

Все встроенные в Windows 11 и предыдущие версии ОС от Microsoft компоненты имеют свои исполняемые файлы, которые также можно использовать для запуска. В случае с «Просмотром событий» доступно два варианта.

Повторите первые два шага из инструкции «Способ 3» настоящей статьи, то есть откройте «Инструменты Windows». Далее кликните по искомому компоненту правой кнопкой мышки и выберите в контекстном меню пункт «Перейти к расположению файла».

Запустите средство «Просмотр событий».

Вы также можете самостоятельно перейти в указанное расположение, скопировав представленный ниже путь, вставив его в адресную строку «Проводника» (используйте для запуска закрепленный на панели задач ярлык или клавиши «Win+E») и нажав «Enter» или указывающую справа стрелку.

C:ProgramDataMicrosoftWindowsStart MenuProgramsAdministrative Tools

Адрес выше ведет к ярлыку, закрепленному в стартовом меню и «Панели управления», основной же исполняемый файл находится в другой системной папке:

C:WindowsSystem32

Откройте ее, пролистайте список доступных файлов и папок вниз и найдите объект с названием «eventvwr.msc» (расширение может не отображаться) и типом «Приложение».

Это и есть ярлык «Просмотра событий», который также можно использовать для его запуска.

Читайте также: Как открыть «Проводник» в Виндовс 11

Дополнительно: Создание ярлыка для быстрого запуска

Если вам довольно часто приходится запускать рассматриваемую системную оснастку, логичным будет обеспечить вариант наиболее быстрого и удобного способа решения данной задачи. С такой целью можно создать ярлык на рабочем столе и/или закрепить компонент на панели задач.

1. Воспользовавшись рекомендациями из предыдущей части статьи, перейдите к исполняемому файлу «Просмотра событий» (можно открыть любое из двух указанных расположений). Нажмите по нему правой кнопкой мышки и выберите «Показать дополнительные параметры».



2. Далее в появившемся классическом контекстном меню последовательно воспользуйтесь пунктами «Отправить» — «Рабочий стол (создать ярлык)».



3. Соответствующий ярлык появится на рабочем столе операционной системы.



Если же вы хотите закрепить «Просмотр событий» на панели задач, откройте его любым из предложенных в статье способов, затем кликните ПКМ по значку и выберите соответствующий пункт контекстного меню.



Читайте также: Как закрепить элемент на панели задач в Windows 11

Обновлено 23.03.2022

Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.

Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера, для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod, и данные сообщения что тут заносятся помогут вам определить его причину.

Так же есть логи windows для более специфических служб, например DHCP или DNS. Просмотр событий сечет все :).

Фильтрация в просмотре событий

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Вас попросят указать уровень событий:

• Критическое
• Ошибка
• Предупреждение
• Сведения
• Подробности

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету.  Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий  и код.

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

• Как очистить просмотр событий с помощью PowerShell
• Как почистить все журналы windows с помощью скрипта

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

небольшой список абревиатур

• Код события — EventID
• Компьютер — MachineName
• Порядковый номер события — Data, Index
• Категория задач — Category
• Код категории — CategoryNumber
• Уровень — EntryType
• Сообщение события — Message
• Источник — Source
• Дата генерации события — ReplacementString, InstanceID, TimeGenerated
• Дата записи события — TimeWritten
• Пользователь — UserName
• Сайт — Site
• Подразделение — Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Или выдать список сообщение позднее  1 ноября 2014

Дополнительные продукты

Так же вы можете автоматизировать сбор событий, через такие инструменты как:

• Комплекс мониторинга Zabbix
• Через пересылку событий средствами Windows на сервер коллектор
• Через комплекс аудита Netwrix
• Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
• Любые DLP системы

Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта pyatilistnik.org



Удаленный просмотр логов

• Первый метод

Не так давно в появившейся операционной системе Windows Server 2019, появился компонент удаленного администрирования Windows Admin Center. Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).

Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.

Вот пример фильтрации по событию 19.

Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.

• Второй метод

Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же «Просмотр событий». Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню «Подключиться к другому компьютеру«.

Указываем имя другого компьютера, в моем примере это будет SVT2019S01

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий .если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.

Так же хочу отметить, что есть целые системы агрегации логов, такие как Zabbix или SCOM, но это уже другой уровень задач. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

   

   eventvwr — команда для вызова журнала событий

3. после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

   

   Просмотр событий

Вариант 2

1. сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

   

   Система и безопасность

2. далее необходимо перейти в раздел «Администрирование»;

   

   Администрирование

3. после кликнуть мышкой по ярлыку «Просмотр событий».

   

   Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

❷

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

1. открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

   

   Открываем службы — services.msc (универсальный способ)

2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

   

   Службы — журналы событий

3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

   

   Отключена — остановить

*

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021