Как сохранить журнал событий windows 10

Понравилась статья? Оцените её:

Помогла ли Вам статья?

Event Viewer — средство просмотра событий.

Если что-то случается в Windows, почти всегда, об этом остаётся запись на системном диске. Как и предыдущие версии, Windows 10 хранит большое количество логов о своей деятельности. В первую очередь это требуется ИТ-специалистам и технической поддержке, которые используют их для устранения неполадок или в попытке понять работу определённого компонента.

Для просмотра содержимого этих журналов, Windows 10 использует последнюю версию встроенного средства просмотра событий. Большинство людей только слегка касались этого удивительно мощного инструмента поиска и устранения неполадок. Обычно он используется для отслеживания проблем на одном компьютере, но ИТ-специалисты, для устранения неполадок, легко могут подключаться к удалённому компьютеру не покидая службы поддержки. Поиск информации в журналах событий занимает некоторое время, а должная интерпретация этих событий может быть сложной задачей.

Попробуем понять некоторые скрытые силы средства просмотра событий.

Обзор средства просмотра событий

Хотя вы можете начать просмотр событий, покопавшись в панели управления, самый простой способ открыть эту консоль, ввести в поле поиска event/события, а затем, в верхней части списка результатов поиска, щёлкнуть ярлык средства просмотра событий. Альтернативный вариант щёлкнуть правой кнопкой мыши на значке «Пуск» (или нажать клавишу Windows+X), а затем выбрать из меню быстрых ссылок средство просмотра событий. Если вы предпочитаете полное имя команды, введите в поле «Выполнить» или в любой командной строке eventvwr.exe или eventvwr.msc.

Если расширение имени файла .msc не объясняет, что это приложение использует оснастку консоли управления Microsoft (MMC), главное окно должно убрать все сомнения. Вид по умолчанию, предлагает знакомое расположение трёх панелей. С элементом управления дерева навигации в левой панели, действиями справа и полезным резюме последних событий в центре.

Эта страница обзор и резюме отправная точка для просмотра событий. Предлагает представление последних событий в свёртываемом, классифицированном по уровню серьёзности списке.

При открытии средства просмотра событий, левая навигационная панель свёрнута, и вверху выбран (локальный) узел просмотра событий. Суммарный вид административных событий предоставляется в центре.

Просмотр журналов событий на удалённом компьютере

Как и многие из своих братьев в средствах администрирования Windows, средство просмотра событий может подключаться к удалённому компьютеру, так что администратор может просматривать и управлять журналами событий, не покидая своего кабинета.

Выберите действие — подключиться к другому компьютеру, чтобы открыть диалоговое окно, в которое можно ввести имя компьютера или IP-адрес. (Для этой функции также можно использовать средство командной строки Wevtutil.) Пошаговые инструкции смотрите в статье TechNet «Работа с журналами событий на удалённом компьютере» https://technet.microsoft.com/library/cc766438.aspx.

Даже если система работает безупречно, резюме административных событий стоит проверять как можно чаще. Показанные здесь записи журнала, делятся на шесть категорий, перечисленных в порядке убывания по их важности:

 Критические. Этот тип событий указывает на сбой в приложении или части операционной системы, которые не могут быть восстановлены автоматически. Здесь появляются STOP ошибки (как синий экран смерти). Любое событие, которое появляется в этой категории, заслуживает тщательного устранения неполадок.
 Ошибка. Перечисленные здесь проблемы, как правило, влияют на функциональность приложения или части операционной системы, восстановление которой может оказаться невозможным. Некоторые ошибки безвредны, их можно смело игнорировать, а другие указывают на сбои в аппаратных драйверах или периферийных устройствах, которые стоит изучить.
 Предупреждение. Эти события, как правило, несерьёзны, но могут быть признаком временных вопросов (таких, как отсутствие сетевого подключения) или проблем с конфигурацией.
 Информация. Записи в этой категории, как правило, отчёты о состоянии. Например, здесь вы найдёте отчёты об успешных инсталляциях из клиента Windows Update. Как правило, в ответ на эти события, никаких действий не требуется.
 Успешная проверка а также Неудачная проверка. Эти данные поступают из журналов безопасности и указывают, удалось или не удалось осуществление права пользователя. Имеют небольшой интерес для поиска неисправностей. Хотя могут представлять интерес для профессиональной безопасности, отслеживающей необычную активность с этой учётной записи пользователя.

Windows составляет события из нескольких журналов: Windows логов (приложений, безопасности и системы). События из всей операционной системы; журналы установок, логи приложений и служб, хранящих события из одного приложения или компонента операционной системы.

Резюме сочетает в себе наиболее важные из этих событий в едином представлении, где вы можете свернуть или развернуть каждый из разделов и увидеть больше деталей. На рисунке ниже, нажат знак плюс, слева от заголовка «Ошибки», чтобы развернуть его и отобразить полный список событий в этой категории. (При развёрнутом списке, в поле отображается знак минуса, на который вы можете нажать и снова свернуть категорию.)

В резюме административных событий, вы можете развернуть любую категорию и увидеть подробные, отсортированные по идентификатору события, данные об аварийных ошибках.

Каждая строка в разделе суммарных административных событий перечисляет основные сведения об этой группе: идентификатор события (числовой код, который можно использовать для поиска технических деталей и советы по устранению неисправностей), источник события, и из какого журнала это событие поступило. Общая информация, справа, разбита на три колонки, показывая, сколько раз событие в этой категории произошло за последний час, последние 24 часа и за прошедшую неделю.

Двойной клик по любой строке, открывает сводку всех событий в этой категории. Суммарная страница событий имеет заранее настраиваемый вид, который генерируется автоматически и содержит гораздо более детальную информацию (в том числе дата и время) о каждом событии в списке. Например, на рисунке ниже показан полный список событий, генерируемых после запуска ПК Windows 10, DeviceSetupManager.

Двойной щелчок на любую запись в административном резюме, генерирует подробный список, полную информацию, которую вы можете использовать для определения, нуждается ли эта ошибка в большем внимании.

На этом примере становится ясно, что источник этого события DeviceSetupManager, не выполняется как ожидалось. В этом списке видно, что все ошибки произошли в течение нескольких секунд друг от друга. Стоит ли об этом беспокоиться? Как вы можете видеть на рисунке, выбранная в списке запись отображает, в области предварительного просмотра в нижней части окна просмотра событий, её детали. С помощью клавиш со стрелками перемещайтесь вверх и вниз по списку, чтобы быстро получить представление об частых ошибках.

В этом случае, можно использовать данные из этого списка, в частности, событие с кодом 131 из DeviceSetupManager, для получения дополнительной информации и подтверждения того, что ошибки, хотя и раздражающие по частоте, не были серьёзными, и, вероятно, были вызваны проблемой на другом конце сети, вне вашего контроля.

Не теряйте сон из-за безвредных ошибок

Проведите достаточно времени в средстве просмотра событий, и вы обнаружите, что его списки заполнены сообщениями об ошибках, которые не указывают на реальные проблемы. Иногда «ошибки» являются обычном результатом работы приложения, которое не обеспечивает Windows кодами событий для статуса сообщений. В результате, простое подтверждение, например, проверка лицензирования, может превратиться в ошибку, поскольку не удаётся найти соответствующее событию описание ID. Бывает очень заманчиво рассматривать каждую партию сообщений просмотра событий, как тайну, которую нужно решить, но ради производительности, часто бывает столь же полезно знать, когда эти события игнорировать.

Следующий рисунок показывает ошибку из другого источника, клиента DHCPv6. В этом случае, сведения об ошибке помогают определить проблему, которая была вызвана неправильной настройки DHCP-сервера локальной сети.

Область просмотра, под сводкой событий, показывает сведения для выбранного события. Вкладка «Общие» обычно содержит удобочитаемую сводку события.

В этой области просмотра можно увидеть две вкладки. Вкладка Общие содержит (как правило) понятное описание ошибки или информационное сообщение. Кликните вкладку сведения, чтобы выбрать из двух дополнительных видов нужный — показ деталей в форматированном списке или отображение сведений в формате XML.

Можно дважды щёлкнуть по любому событию и увидеть его в своём собственном окне, с вкладками «Общие» и «Детали». (При просмотре события в окне, используйте стрелки вверх/вниз/вправо для прокрутки между записями. Используйте находящуюся внизу кнопку «Копировать», чтобы сохранить полный комплект свойств событий в буфер обмена Windows.)

Открытие события в своём собственном окне обеспечивает те же представления, как и в области просмотра. Кнопка «Копировать» сохраняет сведения о событии в буфер обмена.

Изменение вида Event Viwer

Область навигации, на левой стороне окна просмотра событий, содержит несколько узлов, все они первоначально свёрнуты. При развёртывании они, по умолчанию, должны выглядеть как на рисунке ниже.

Вы можете развернуть область переходов и увидеть полное содержание группы журналов событий. Разверните заголовок окна (внизу списка), чтобы увидеть сотни специализированных журналов.

Сторонние приложения, для отслеживания собственных событий, добавляют записи в разделе «Журналы приложений и служб». Выбрав опцию «Меню вид», можно расширить этот список и включить журнал аналитики и журнал отладки. Но эти журналы технически сложные и не используются для устранения обычных неполадок.

На рисунке можно заметить, что заголовок окна не развернут (под Microsoft в группе «Журналы приложений и служб»). Это потому, что такой вид раскрывает действительно огромный список, содержащий сотни журналов, охватывающих отдельные части операционной системы Windows. (Даже MSPaint имеет свой собственный журнал событий)! Перечисление всех этих записей займёт несколько страниц, что мало полезно.

По большей части, можно спокойно игнорировать практически все эти журналы. Многие из которых должны быть выключены и оставаться пустыми на протяжении всего срока службы вашего компьютера. Некоторые интересные записи, для диагностики производительности, вы найдёте в оперативном журнале, в котором записаны события для каждого запуска и завершения работы. Это имеет смысл, если какая-то операция занимает больше времени, чем обычно и её хотелось бы ускорить. (Суммарный журнал, в нижней части страницы обзора, более полезное место, чем листинг журналов только, что произошедших действий.)

В отличие от суммарного вида, список событий в отдельных журналах не классифицирован. Вместо этого, он отображается по дате. Как и в случае с любыми другими табличными списками в Windows 10, можно щёлкнуть по любому заголовку столбца и отсортировать по определённому столбцу. А также, список можно группировать по любому выбранному вами заголовку. Щёлкните правой кнопкой мыши на любом заголовке, чтобы вызвать меню «Группировать по…». Щёлкните правой кнопкой мыши «Уровень», затем выберите, как показано на рисунке, «Группа событий в этой колонке» и переместите события, классифицированные в этой группе как ошибки, ниже критических, но выше группы предупреждения.

Как упоминалось ранее, порядок сортировки по умолчанию, колонка по дате и времени. Если вы просто просматриваете список в поиске потенциальной проблемы, можно выполнить сортировку по идентификатору события. Чтобы сделать это, вам не нужно открывать меню. Дважды щёлкните заголовок столбца «Идентификатор события».

А также, простым перетаскиванием заголовков, вы можете изменить ширину или расположение столбцов. (Этот процесс похож на настройку вида подробностей в проводнике).

Стандартное представление журнала событий включает пять столбцов. Для некоторых специализированных задач, столбцы можно добавить или удалить. Например, если вы сохранили журналы с нескольких компьютеров, можно добавить столбец «Компьютер», чтобы вы сразу могли видеть компьютер, на котором создаётся данное событие. Для этого щёлкните правой кнопкой мыши по любому заголовку столбца и выберите пункт «Добавить или удалить столбцы». Откроется диалоговое окно, в котором, с левой стороны, можно выбрать столбец и нажать кнопку «Добавить». (Чтобы отменить изменения, выберите, справа, имя столбца и нажмите «Удалить». Или, чтобы избавиться от всех ваших настроек, используйте «Восстановить значения по умолчанию».)

Как и в файловом проводнике, с помощью этого диалогового окна, вы можете добавить отображение столбцов в окне просмотра событий.

Панель действий, на правой стороне, контекстно-зависимая, поэтому видимые параметры зависят от текущего выбора. Действия в верхней секции, применяются к текущему открытому журналу или виду. Если выбрано одно или несколько событий, действия для этих событий доступны в нижней части. Ниже показан типичный ассортимент действий, в том числе опции для копирования выбранных событий в виде таблицы.

Содержимое панели «Действия» контекстно-зависимое, нижняя группа видима только когда выбрано одно или несколько событий.

Фильтрация журналов событий

Объем информации, содержащийся в журналах событий Windows, может быть огромным. Создание фильтра позволяет сосредоточиться на нужной вам информации.

Фильтры — быстрый способ удалить лишний «мусор» из журнала событий. Чтобы иметь возможность быстро находить нужную вам информацию, можно сохранить фильтр в качестве пользовательского вида.

Чтобы создать фильтр для текущего журнала, нажмите на панели «Действия», кнопку «Фильтровать текущий журнал». Если вы в пользовательском представлении, соответствующий параметр фильтра «Текущий пользовательский вид». (Но учтите, что вы не можете выбирать встроенный пользовательский вид, в том числе на странице «Сводка событий»). Как вы можете видеть на рисунке ниже, отображаются только записанные в течение последних семи дней, события журнала диагностики производительности. И только из категории критических или предупреждающих, и имеющий идентификатор события 100.

Этот фильтр обнуляет события с определенным идентификатором и уровнем события в определённый период времени, определяя точную информацию из длинного списка, который включает в себя сотни не связанных между собой записей.

Почему идентификатор события 100? Потому что это идентификатор времени запуска Windows. ID события 101 связан с временем запуска приложений, а 200 — определяет время завершения работы Windows. С помощью этого фильтра можно быстро проверить, сколько времени потребовалось Windows для завершения процесса запуска, для каждого запуска на прошлой неделе.

Чтобы повторно использовать фильтр, без прохождения утомительных этапов повторного создания его настроек, сохраните его в виде пользовательского вида.

С помощью средства просмотра событий, вы также можете найти слова или значения в текущем журнале или представлении. На панели «Действия» нажмите кнопку «Найти» или используйте интуитивную комбинацию клавиш Ctrl+F, чтобы открыть простое окно поиска. Введите любой текст, чтобы найти следующее событие, содержащее этот текст в любой области.

Введите текст в поле и нажмите кнопку «Искать далее», чтобы найти следующее событие, содержащее этот текст в любой области, в том числе источник и описание.

Создание пользовательских представлений

Фильтры отлично подходит для поиска шаблонов в журнале событий. Но процесс создания фильтра может быть немного утомительным. Сохраните параметры любого фильтра, который вы планируете использовать снова, как пользовательское представление.

После применения фильтра для текущего журнала или пользовательского вида, в области действий, нажмите кнопку «Сохранить фильтр в пользовательском представлении». Откроется диалоговое окно, где можно ввести его название и описание. (В этом примере используются показанные ранее параметры фильтра).

При сохранении фильтра как пользовательское представление, он отображается в узле пользовательских представлений. Если у вас большое количество сохранённых видов, можно добавлять подпапки.

По умолчанию, создаваемые вами в средстве просмотра событий пользовательские виды, доступны для всех пользователей текущего компьютера. Если вы хотите зарезервировать пользовательское представление только для своего использования, снимите флажок «Все пользователи».

При запуске фильтра для просмотра существующего журнала или открытия ранее сохранённого пользовательского представления, его область автоматически устанавливается в поле журнала и не может быть изменена. Для большей гибкости, в области действия, выберите команду «Создать пользовательское представление» и создайте новое пользовательское представление полностью с нуля. В этой опции, из полного перечня имеющихся источников, включая те, которые ещё не имеют каких-либо записанных событий, вы можете выбрать нужный источник. Во всех важных отношениях, параметры фильтрации одинаковы.

При создании пользовательского представления с нуля, для указания источников, которые не имеют в настоящее время событий, можно использовать параметр «Из источников».

Если вы создали пользовательские представления на одном компьютере, легко можно сохранить эти представления в формате XML и импортировать их на различные устройства под Windows 10. Выберите на панели действий «Экспортировать пользовательский вид и сохранить его настройки в виде файла XML». На целевом компьютере откройте окно просмотра событий и, опять же в панели действий, выберите «Импортировать пользовательский вид» и укажите сохранённый ранее файл.

Копировать (а затем настроить) вид административных событий

Хотя, вы не можете применить фильтр к встроенному виду административных событий (источник информации для обзорной и суммарной страницы), вы можете сделать копию этого представления, а затем отфильтровать свою копию. На панели навигации, в группе пользовательских представлений, выберите «Административные события» (если они не видны, необходимо перезапустить средство просмотра событий с помощью опции Run As Administrator). Затем, в панели «Действия», выберите «Копировать пользовательский вид». Дайте вашей копии уникальное имя, а затем выберите, из списка пользовательских представлений, только что созданную копию. Теперь вы можете применять фильтры и сохранять результаты в виде пользовательского представления.

Сохранение журнала событий

С помощью фильтров и пользовательских видов, вы можете увидеть ту картину, что средство просмотра событий записало в последнее время. Но каждый журнал событий имеет свой встроенный предельный размер. То есть, более старые события, могут быть удалены. Для долгосрочных оценок, вы можете сохранить реальное содержание конкретного журнала или вида, так, чтобы можно было просмотреть его содержимое позже.

Команды в панели действий «Сохранить все»:

 Чтобы сохранить все содержимое текущего журнала выберите «Сохранить все события как…».
 Чтобы сохранить все содержимое текущего пользовательского вида, выберите «Сохранить все события пользовательского вида как…».
 Чтобы сохранить только выбранные события журнала или пользовательского вида, выберите «Сохранить выбранные события» (из нижней группы в панели действий).

Тип файла по умолчанию, для всех действий файла событий, с расширением .evtx. При сохранении файла в этом формате, вы можете открыть его с помощью Event Viewer, где его содержимое появится под заголовком «Сохранённые журналы». При открытии файла, вам будет предложено дать ему имя. Вы можете изменить это название (и видеть, когда файл был создан), щёлкнув правой кнопкой мыши по записи под заголовком «Сохранённые журналы».

Вы можете сохранить содержимое любого файла журнала или пользовательского вида и открыть этот снимок позже. Щёлкните, в разделе «Сохранённые журналы», правой кнопкой мыши на записи, а затем, чтобы увидеть детали, нажмите кнопку «Свойства».

Контекстное меню для любого пользовательского вида или сохранённого журнала, включает в себя опцию «Удалить», с помощью которой можно удалить запись из панели навигации. В случае пользовательского вида, с помощью этой опции сохранённые настройки удаляются полностью. Для сохранённого журнала, .evtx файл остаётся там, где вы его оставили, так что вы можете открыть его в любое время, когда захотите.

Если вы применили фильтр к журналу или пользовательскому представлению, вы можете очистить его с помощью команды «Очистить фильтр», в панели «Действия».

Когда вы читаете журнал (в отличие от пользовательского вида), на панели действий, вы увидите некоторые дополнительные команды. «Очистить журнал» — удаляет все сохранённые записи из текущего журнала. Используйте эту команду с осторожностью, особенно если просматриваете журналы всей системы. Опция «Отключить журнал» доступна для отдельных журналов приложений и служб(в том числе сторонних дополнений и тех, что под заголовком Microsoft / Windows). В общем, нет никакой необходимости когда-либо нажимать это.

Привет, друзья. В этой публикации поговорим о таком системном компоненте, как журнал событий Windows 10. Это часть классического функционала операционной системы, унаследованная от версий-предшественниц, оснастка консоли управления MMC. Журнал событий являет собой административную функцию, фиксирующую значимые события самой системы, установленных драйверов и программ. Что за события ведёт журнал, и как можно использовать его данные — давайте в этом разбираться ниже.

Журнал событий Windows 10

Как посмотреть журнал событий в Windows 10

Итак, журнал событий Windows 10. Это системное средство, фиксирующее различные технические события операционной системы. Может быть полезно при решении разного рода проблем на компьютере – при произвольных выключениях или перезагрузках, частых зависаниях, появлении BSOD, проблемах с обновлениями, сбоях работы драйверов и т.п. Журнал событий входит в число средств администрирования операционной системы.

Находится в составе оснастки консоли MMC «Просмотр событий».

Эту оснастку можно запустить в меню по клавишам Win+X.

Либо с помощью системного поиска, введя в него запрос «просмотр…».

Одной из веток оснастки и есть журнал событий – ветка «Журналы Windows» 

Что такое журнал событий Windows 10, и зачем нужен

События в журнале сгруппированы по категориям, самые значимые из них:

• «Система» — категория, содержащая события самой операционной системы;

• «Приложение» — категория, содержащая события установленных в Windows 10 программ;

• «Безопасность» — категория, содержащая события, связанные со входом пользователей в операционную систему, участием в защищённых локальных сетях, запуском брандмауэра, операциями шифрования и т.п.

Именно в этих категориях преимущественно нужно искать события, которые могут что-то нам рассказать о проблемах с компьютером.

У событий в журнале есть уровни, они же, по сути, типы событий:

• Сведения — это информационные сообщения, фиксирующие запуски и остановки системных и программных служб, которые выполнены обычно, без каких-то проблем и сбоев;

• Предупреждения — сообщения, фиксирующие системные и программные события, при выполнении которых возникли проблемы. Эти проблемы потенциально могут быть причинами сбоя Windows 10 и программ;

• Ошибки — сообщения, фиксирующие события, при выполнении которых произошёл критический сбой программ и Windows 10, влекущий за собой потерю данных. Ошибки бывают обычные и критические. Критические – это те, что повлекли за собой сбой работы системы. 

Каждое из событий имеет общее и подробное описание, по формулировкам из которых в случае с предупреждениями и ошибками мы можем дополнительно наюзать в Интернете информацию, что это за проблема, и что с ней делать.

Но, друзья, пересматривать все предупреждения и ошибки журнала, заморачиваться ими, что-то выяснять – всё это без надобности делать не нужно. Наличие в журнале огромного числа ошибок и предупреждений не значит, что с компьютером что-то не то. В работе Windows 10 происходит множество различных процессов, их работа иногда завершается нештатно, но эти процессы перезапускаются и потом нормально работают. Чем больше на компьютере используется различного ПО, тем больше будет разного типа событий. Обращаться к журналу событий Windows 10 нужно только тогда, когда у нас есть какая-то проблема – сбои работы драйверов, произвольное разлогинивание системы, зависания, произвольные перезагрузки или выключения компьютера, появление BSOD и т.п. В таких случаях журнал событий, возможно, поможет нам отыскать причину проблемы или как минимум даст направления, в которых нужно искать причину. Также журнал позволит отследить частоту и закономерность сбоев работы системы и программ, что может быть важно при определении причины проблемы.

События в журнале можно фильтровать по ключевым словам и сортировать по различным критериям, в частности, по уровню критичности, дате и времени фиксации события. Например, можем отсортировать события по дате и времени, чтобы отследить, какие события в конкретный день предшествовали внезапному сбою работы компьютера. Другой пример: дабы отследить все сбои, можем отсортировать сообщения по уровню ошибок в начале списка и посмотреть дату и время каждого сбоя.

В контекстном меню или на панели консоли справа есть опции событий, которые нам могут пригодиться в процессе их отслеживания:

• «Свойства событий» — открывает событие в отдельном окошке для удобства просмотра;

• «Копировать» — копирует сведения события как таблицу или как простой текст;

• «Сохранить выбранные события» — сохраняет событие в отдельный файл.

Очистка журнала событий Windows 10

Если вы столкнулись с какой-то проблемой и отследили все важные события журнала, после этого можно очистить его. Дабы в будущем, если снова столкнётесь с необходимостью отслеживания событий, в журнале был, так  сказать, меньший фронт работы. Для очистки вызываем на каждой очищаемой категории контекстное меню и выбираем «Очистить журнал».

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.