Как в журнале windows найти перезагрузку

Если в вашей организации несколько системных администраторов, у вас периодически может возникать вопрос “Кто перезагрузил сервер?”. В этой статье я покажу как найти определения пользователя, который перезагрузил или выключил компьютер/сервер Windows.

Информация об учетной записи, которая отправила команду перезагрузки Windows сохраняется в журнал событий.

1. Откройте консоль Event Viewer (
   eventvwr.msc
   ) и перейдите в раздел Windows Logs -> System;
2. Включите фильтр журнала событий, выбрав в контекстном меню пункт Filter Current Log;
3. В поле фильтра укажите EventID 1074 и нажмите OK;
4. В журнале событий останутся только события выключения (перезагрузки), откройте любое из них;
5. В событии от источника User32 будет указан пользователь, который инициировал перезагрузку Windows. В этом примере это пользователь a.novak.

The process C:WindowsExplorer.EXE (MSK-DC03) has initiated the restart of computer MSK-DC03 on behalf of user WINITPROa.novak for the following reason: Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: restart
Comment:

Рассмотрим еще несколько примеров событий перезагрузки/выключения Windows. В качестве пользователя, запустившего перезагрузку операционную систему может быть указан NT AUTHORITYSYSTEM.

Это означает, что перезагрузку инициировала одна из служб или программ Windows, запущенная от имени SYSTEM.. Например, это может быть процесс службы
wuauserv
, который закончил установку обновлений Windows и выполнил перезагрузку согласно настроенной политике Windows Update или с помощью задания модуля PSWindowsUpdate.

The process C:WindowsuusAMD64MoUsoCoreWorker.exe (WKS-PC11S22) has initiated the restart of computer WKS-PC11S22 on behalf of user NT AUTHORITYSYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart
Comment:

Если ваша Windows запущена внутри виртуальной машины VMware, то если выполнить Restart Guest из консоли управления VMware, событие (выключения) будет выглядеть так:

The process C:Program FilesVMwareVMware Toolsvmtoolsd.exe (MSK-DC03) has initiated the shutdown of computer MSK-DC03 on behalf of user NT AUTHORITYSYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: shutdown

В этом случае выключение Windows также инициировано NT AUTHORITYSYSTEM, т.к. службы интеграции VMware Tools запущены от имени системы.

Вы можете получить информацию о событиях перезагрузки с помощью PowerShell. Следующая команда выберет все события с EventID 1074:

Get-WinEvent -FilterHashtable @{logname=’System’;id=1074}|ft TimeCreated,Id,Message

Команда вернула описания всех событий перезагрузки и выключения Windows.

Можно использовать следующий скрипт PowerShell, который возвращает более короткий список с последними десятью событиями с именами пользователей, и процессами, которые инициировали перезагрузку/выключение сервера.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

Также с помощью PowerShell можно быстро получить имя пользователя, который перезагрузил удаленный компьютер. Получить доступ к журналу событий на удаленном хосте можно с помощью формата Get-EventLog -ComputerName или вы можете подключиться к компьютеру через PSRemoting с помощью командлета Invoke-Command:

Invoke-Command -ComputerName rds2-12 -ScriptBlock {Get-WinEvent -FilterHashtable @{logname=’System’;id=1074} |select-object TimeCreated,Id,Message -first 1}

По событию 1074 можно найти только причины корректных (штатных) перезагрузок сервера. Если Windows была перезагружена не штатно (например, при потере электропитания, или появления BSOD), тогда нужно искать события с EventID 6008.

The previous system shutdown at 4:34:49 AM on ‎1/‎17/‎2022 was unexpected.

И конечно, вы не сможете понять, кто перезагрузил Windows, если журналы событий были очищены, или старые события перезатерты более новыми (в домене желательно настроить увеличенный размер журналов событий с помощью GPO).

Известно, что выключать компьютер могут не только пользователи. Инициировать завершение работы Windows способны также встроенные и сторонние приложения, ещё система может завершить работу аварийно вследствие разных ошибок. А теперь представьте себе такую ситуацию. Уходя из дома, вы оставили свой компьютер включенным, а вернувшись, нашли его выключенным. Возможно, вы захотите узнать, что же стало причиной выключения компьютера.

Как узнать, что стало причиной аварийного завершения работы Windows 10

Так вот, сделать это очень просто. В Windows 7, 8.1 и 10 все события, связанные с завершением работы или перезагрузкой, записываются в системный журнал. Каждое событие имеет соответствующий код. Событие с кодом 1074 указывает, что завершение работы системы было инициировано приложением, например, таймером или Центром обновления Windows. Если событие имеет код 6006, работа Windows была завершена пользователем в обычном режиме. Если же событие обозначено кодом 6008, причиной завершения работы Windows стала ошибка или внезапное отключение электропитания. Получить доступ ко всем этим данным нетрудно. Откройте командой eventvwr.msc

Код перезагрузки windows в журнале

Всем привет, сегодня небольшая заметка для начинающих системных администраторов, рассмотрим вопрос как определить кто перезагрузил сервер Windows. Бывают ситуации, что по какой то причине отваливается сервер его удаленно перезагрузили, зайдя на которой вы не видите что у него был синий экран BSOD, и значит надо искать кто то его отправил в ребут. Вам необходимо выяснить кто это был.

И так рассматривать кто перезагрузил сервер Windows я буду на примере Windows Server 2008 R2, но все действия абсолютно одинаковы в любой версии Windows начиная с Vista. Поможет нам в реализации нашей задачи оснастка Просмотр событий. Открыть его можно Пуск-Администрирование-Просмотр событий или нажать WIN+R и ввести там evenvwr.msc.

у вас откроется оснастка Просмотр событий. Вам нужно выбрать журнал Windows Система. В нем как раз и находится нужная нам информация в виде события. Проблема в том что их генерируется порой очень много, для этого придумали фильтр. Жмем справа в колонке действия Фильтр текущего журнала.

В открывшемся окне вам нужно отфильтровать данный журнал. Задаем дату, я выставил период за последнюю неделю,

можете выставить и меньше и больше. Выбираем уровень событий, ставим все и самое главное какой будет источник событий. В источнике событий выбираете USER32, он и хранит нужный лог.

В итоге у меня получилась вот такая картина

После нажатия кнопки ок вы получите отфильтрованный журнал система, у меня нашлось одно событие. Код события 1074 о том что сервер с Windows Server 2008 R2 был перезагружен системой после установки программы Microsoft SOAP Toolkit.

Мне этого мало и нужно понять кто начал установку данного приложения. Для этого так же переходив уже в журнал Приложения, делаем фильтр, дату ставим например тоже неделю

Еще отфильтруем по кодам событий с 1035-1040

И в итоге мы видим вот такое событие

Вот мы и выяснили кто он мистер Х. В качестве эксперимента можете удаленно перезагрузить тестовую машину или например я рассказывал как перезагрузить компьютер через командную строку.

Источник

Windows: Shutdown/Reboot Event IDs – Get Logs

While troubleshooting an issue that causes an unexpected reboot or shutdown of a Windows machine, it is important to know which event IDs are related to system reboot/shutdown and how to find the appropriate logs.

In this note i am publishing all the event IDs related to reboots/shutdowns.

I am also showing how to display the shutdown events with date and time, using a Windows Event Viewer or from the command-line using a PowerShell.

Cool Tip: How to boot Windows in Safe Mode! Read more →

Shutdown Event IDs

The list of the Windows event IDs, related to the system shutdown/reboot:

Event ID	Description
41	The system has rebooted without cleanly shutting down first.
1074	The system has been shutdown properly by a user or process.
1076	Follows after Event ID 6008 and means that the first user with shutdown privileges logged on to the server after an unexpected restart or shutdown and specified the cause.
6005	The Event Log service was started. Indicates the system startup.
6006	The Event Log service was stopped. Indicates the proper system shutdown.
6008	The previous system shutdown was unexpected.
6009	The operating system version detected at the system startup.
6013	The system uptime in seconds.

Display Shutdown Logs in Event Viewer

The shutdown events with date and time can be shown using the Windows Event Viewer.

Start the Event Viewer and search for events related to the system shutdowns:

Cool Tip: Get history of previously executed commands in PowerShell! Read more →

Find Shutdown Logs using PowerShell

For example, to filter the 10000 most recent entries in the System Event Log and display only events related to the Windows shutdowns, run:

Cool Tip: Start/Stop a service in Windows from the CMD & PowerShell! Read more →

Источник

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены. 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

eventvwr — команда для вызова журнала событий

Система и безопасность

Просмотр событий — Администрирование

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

Службы — журналы событий

Источник

В нормально работающей системе пользователь сюда дорогу не знает – просто незачем. Однако при появлении ошибок (лагов) в Windows поводов заглянуть сюда появляется немало, благо отсюда есть что почерпнуть.

Где находится Журнал событий?

Самый быстрый способ попасть в него, это набрать в строке поиска после нажатия клавиши WIN слова «журналы событий». И щёлкнуть по соответствующей ссылке:

Или наберите Пуск — команда eventvwr.msc. По умолчанию, Просмотр событий откроет вкладки, в том числе со сводкой административных событий, где перечислена информация по важности для администратора. Важнейшая из них Критический тип события. Погуляйте по разделу Журналы Windows, ключевые директории Приложения и Система. Всё происходящее в системе записывается в нескольких документах. И скорее всего, вы обнаружите там несколько ошибок. Это не значит пока ровным счётом ничего. Если система стабильна, эти ошибки не критичны и не побеспокоят вас никогда. Кстати, можете присмотреться – ошибки сохраняются для программ, которых на компьютере давно уже и нет.

Игра была закрыта с помощью клавиш Alt + F4 – мама, видимо, зашла в комнату.

Теоретически, остальным программам также велено записывать важные и не очень события в Журнал, однако, на моей памяти, они эти почти не занимаются.

Читателю уже может показаться, что внимание к Журналу можно не уделять. Ан нет. Журнал поможет внимательному и думающему пользователю в случаях появления серьёзных сбоев в работе, например, при появлении BSOD или при неожиданных перезагрузках системы. Так, в Журнале легко обнаружиться «погибший» драйвер. Вам нужно лишь внимательно посмотреть на появившиеся красные значки с надписью Критический уровень и удалить указанный драйвер, а может подумать о замене устройства.

ничего страшного ещё не произошло

а здесь уже всё серьёзно: компьютер отключался

Ищем нужные события: процессы и логи результатов

К примеру, после некоторого времени работы мы обнаружили залипание мыши, пропажу некоторых папок и неработающие пути: первый признак появления сбойных секторов на диске. Для работы с ними необходимо последовательно запустить утилиту проверки состояния диска chkdsk /f, которая начнёт работу после перезагрузки, а затем проверим на целостность файловую систему самой Windows sfc /scannow. Так вот, на результаты работы как этих, так и прочих утилит можно посмотреть в том же журнале:

Так как одна из этих утилит запускается системой только перед загрузкой (для тома, который эту систему содержит), есть смысл поискать результаты по флагу Wininit (от Windows Initialisation).

В России ему аналогов нет, однако для владеющих английским и просто любопытствующих я покажу как им пользоваться. Так, для взятого выше примера, на странице сервиса введите в поля код ошибки и службу, которая её вызвала:

Остаётся закинуть наши условия в поиск, щёлкнув по кнопке Search и на странице появятся результаты с объяснением возникновения ошибки. Формально, они будут ненамного подробнее объяснений, даваемых самим Журналом, однако, если вы прокрутите страницу результатов ниже, то в описании на английском увидите ссылку на своеобразный форум с готовыми решениями проблемы или причинами, с которыми уже сталкивались пользователи при возникновении одноимённой ошибки. Всё на английском. Учиться надо было… И, если честно, ваш покорный слуга дальше этого сайта редко уходит: всё нечто похожее где-то когда-то уже происходило.

Как всегда, просмотр журнала событий – это не панацея. Однако от бессмысленных гаданий пользователя может спасти, сэкономив на поиске проблемы кучу времени.

Журнал событий Windows — как очистить?

Итак, с проблемами справились, система стабильна. Тогда давайте избавимся от ненужных в Журнале записей: если вы Журнал посещали, некую захламлённость по числу записей в нём наблюдать могли.

Способов очистки существует несколько. Можно это сделать через PowerShell Windows:

Можно через консоль:

Я же предложу вам небольшой скрипт, который вы можете поместить в текстовый документ, сохранить с расширением .bat. Я свой так и назвал Очистка логов (итоговый файл запускайте с правами админа):

Дождитесь окончания работы скрипта, окно консоли само захлопнется:

Читаем журнал событий самостоятельно.

Прямо сейчас вы сможете обнаружить, например, какие службы или программы тормозят ваш компьютер во время загрузки Windows. Или мешают компьютеру побыстрее выключиться. Из строки Выполнить (WIN + R) запускаем Просмотр событий

Журналы приложений и служб — Microsoft — Windows — Diagnostics-Performance — Работает

Щёлкнем правой мышкой по параметру и выберем в меню пункт Фильтр текущего журнала

В поле Все коды событий введите код 203 (Контроль производительности при выключении):

По выбранному фильтру журнал сгруппирует те события, которые, как посчитала система, привели к задержке при завершении сеанса пользователя…

… с указанием имени службы, точного занимаемого на это времени и т.п. По необходимости вы можете свериться в сети по имени сервиса, за чем он закреплён и по желанию отключить его. Если служба появляется рандомно, беспокоиться, поверьте, оснований нет. Однако в том случае, когда оно и то же имя мелькает частенько и основательно в этом Журнале прописалось, стоит задуматься. Далее. Если предпринятые вами действия возымели результат, проверьте теперь загрузку. Код событий — 103:

Источник

История включения компьютера Windows

Могут быть разные ситуации, когда необходимо посмотреть историю включения и отключения компьютера. Эта информация может быть полезна не только системным администраторам в целях устранения неполадок. Также проверки времени запуска и завершения работы компьютера, может быть хорошим средством контроля пользователей.

В этой статье мы обсудим два способа отслеживания времени выключения и запуска ПК.

Первый способ сложнее, но не требует использования дополнительных программ. Второй намного проще, программа бесплатная и не требует установки.

История включения компьютера в журнале событий Windows

Windows Event Viewer — это отличный инструмент Windows, который сохраняет все системные события, происходящие на компьютере. Во время каждого события средство просмотра событий регистрирует запись. Средство просмотра событий обрабатывается службой журнала событий, которую нельзя остановить или отключить вручную, поскольку это базовая служба Windows.

Средство просмотра событий также регистрирует время начала и окончания службы журнала событий. Мы можем использовать это время, чтобы понять, когда был запущен или выключен компьютер.

События службы журнала событий регистрируются с двумя кодами событий. Идентификатор события 6005 указывает, что служба журнала событий была запущена, а идентификатор события 6009 указывает, что службы журнала событий были остановлены. Давайте пройдем через весь процесс извлечения этой информации из журнала Windows.

Если вы хотите дополнительно изучить журнал событий, вы можете просмотреть код события 6013, который будет отображать время работы компьютера, а код события 6009 указывает информацию о процессоре, обнаруженную во время загрузки. Событие с кодом 6008 сообщит вам, что система запустилась после того, как она не была выключена должным образом.

История включения компьютера с TurnedOnTimesView

TurnedOnTimesView — это простой, портативный инструмент для анализа журнала событий на время запуска и завершения работы. Утилита может использоваться для просмотра списка времени выключения и запуска локальных компьютеров или любого удаленного компьютера, подключенного к сети.

Поскольку это портэйбл версия (не требует установки), вам нужно всего лишь распаковать и запустить файл TurnedOnTimesView.exe. В нем сразу будут перечислены время запуска, время выключения, продолжительность времени безотказной работы между каждым запуском и выключением, причина выключения и код выключения.

event_turnedonview

Причина выключения обычно связана с компьютерами Windows Server, где мы должны указать причину, когда мы выключаем сервер.

event_remote_computer

Хотя вы всегда можете использовать средство просмотра событий для подробного анализа времени запуска и завершения работы, TurnedOnTimesView служит для этой цели с очень простым интерфейсом и точными данными. С какой целью вы контролируете время запуска и выключения вашего компьютера? Какой метод вы предпочитаете для мониторинга?

Источник

Как найти журнал завершения работы в Windows 10

Windows отслеживает процесс завершения работы и записывает все происходящие в этом момент события в системный журнал. В сегодняшней статье мы рассмотрим как найти журнал завершения работы в Windows 10.

В Windows есть три события связанные с выключением компьютера или его перезагрузкой:

• событие 6008 – неправильное завершение работы. Данное событие появляется в журнале если ваш компьютер был резко отключен, может свет пропал или на экране появился синий экран и компьютер ушел в перезагрузку.
• событие 6006 – компьютер правильно завершил свою работу.
• событие 1074 – процесс завершения был инициирован приложением. К примеру, Windows установила обновления и в процессе их установки нужно было перезагрузить компьютер.

Найти журнал завершение работы

1. В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите eventvwr.msc и нажмите клавишу Enter.

2. В левой колонке выберите “Журналы Windows” => “Система” => с правой стороны выберите “Фильтр текущего журнала”.

3. В строку ниже “Включение или исключение кодов событий” введите 1074, 6006, 6008 и нажмите “ОК”.

Перед вами журнал показывающий только события связанные с завершением работы компьютера.

На сегодня всё, если вы знаете другие способы – пишите в комментариях! Счастья Вам 🙂

Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID	Описание
41	Система была перезагружена без корректного завершения работы.
1074	Система была корректного выключена пользователем или процессом.
1076	Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005	Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006	Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008	Предыдущее выключение системы было неожиданным.
6009	Версия операционной системы, зафиксированная при загрузке системы.
6013	Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
2. В панели слева разверните Журналы Windows и перейдите в Система
3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →

Журнал событий Windows 10. Зачем нужен и как пользоваться

В десятой версии Виндоуз предусмотрен журнал событий. Этот компонент присутствует в системе уже очень давно, но очень немногие о нем знают. Хотя нужен он каждому для того, чтобы понимать, что происходит с системой вашего компьютера, найти причину сбоев, определив некорректно работающие софт или устройства.

Не один, а много разных журналов

Выглядит он как небольшая подборка логов, которые система записывает в ходе работы компьютера. Эти журналы являются обычными текстовыми файлами, записанными в формате XML.

Неправильно считать, что речь только об одном файле. Их несколько — администрирования, операционный, аналитический и отладки, не говоря уже о лог-файлах отдельных приложений. Их также называют еще и файлами регистрации.

Какие события записываются в системном журнале?

При запуске определенной программы на компьютере он отправляет сообщение в журнал событий. Кроме того, перед своим закрытием хорошо отлаженная программа также отправляет об этом уведомление.

Каждый осуществляемый доступ, изменения конфигурации безопасности, сбой операционной системы, аппаратных компонентов или драйверов оставляет след в том или ином логе событий.

Интерфейс

Таким образом, окно журнала событий является просто предназначенным для вас интерфейсом, в котором собраны данные из различных текстовых файлов регистрации. Правильнее всего рассматривать Журнал событий в качестве программы управления базами данных, в удобной форме показывающей вам информацию, накапливаемую в файлах, просматривать которые при помощи текстового редактора или просмотрщика текстов вам было бы некомфортно.

Как в него войти?

Щелкните правой кнопкой мыши по значку главного системного меню. Второй вариант, предназначенный преимущественно для сенсорных экранов, тапните по нему и некоторое время удерживайте до появления на дисплее контекстного меню. Отсюда предстоит перейти к просмотру событий.

Когда журнал откроется, вы увидите в левой верхней части окна строку меню и панель. Слева располагается вложенное окошко, в котором вы сможете выбирать, какие именно события хотите просмотреть. В их числе — относящиеся к определенными приложениям, системе в целом и ее безопасности.

И, впервые открыв это полезнейший инструмент, не спешите огорчаться и начинать считать, что ваш компьютер функционирует некорректно. Дело в том, что вы увидите огромное множество — исчисляемое сотнями, а, вероятно, и тысячами — сообщений об ошибках. И это вполне в пределах нормы. Даже в стабильно выполняющей свои задачи компьютерной системе бывает немало различных незначительных сбоев.

Что означают записи лога различных типов?

Ошибка означает, что наблюдалась существенная проблема, в том числе и такая, которая могла привести к потере данных. Предупреждение — обычно не значит ничего важного, но может указывать на существование определенных проблем. Информационное сообщение является всего лишь уведомлением программы о том, что все в порядке.

На большинство событий не надо обращать внимания

В событиях приложений софт отмечает возникшие в его работе проблемы. События безопасности рассматривают определенные действия, произведенные на компьютере, результат которых был или не был успешен. В качестве примера можно привести попытку входа пользователя. На события установки пользователю в большинстве случаев не следует никак реагировать. Ведь касаются они преимущественно управления контроллерами.

В системных событиях собраны поступившие от файлов Виндовз уведомления и касаются они тех сбоев, которые возникли в ходе функционирования системы. Почти все они исправляются усилиями самой системы и в вашем вмешательстве не нуждаются.

Журнал ошибок в Windows 10

Если в работе Windows 10 возникают сбои, то записи о них всегда сохраняются в «Журнале ошибок». Этот инструмент не знаком большинству пользователей, и очень зря — с его помощью удобно вылавливать и устранять причины самых разных системных проблем.

Зачем нужен «Журнал событий»

Windows 10 подробно записывает все события, в том числе ошибки. Просматривая сведения о них, можно найти причину сбоя. Неправильно думать, что «Журнал ошибок» — это какой-то один файл. На самом деле, это целый комплекс XML-документов, доступных через единый интерфейс. Сам же «Журнал ошибок» является частью ещё другой системной утилиты, которая называется «Просмотр событий». См. также: как посмотреть журнал событий в Windows 10 .

Сам «Журнал» ничего не исправляет — он только предоставляет информацию. Поэтому всё, что мы можем сделать — это открыть его и изучить сведения о последних событиях. Вооружившись информацией об ошибке из «Журнала», поисковыми системами и инструкциями по устранению сбоев, мы можем вернуть Windows 10 в работоспособное состояние.

Включение записи событий

По умолчанию запись событий на Windows 10 включена. Однако нелишним будет проверить работоспособность соответствующей службы — вдруг она не запускается в автоматическом режиме.

1. Щёлкаем правой кнопкой по «Пуску» и в контекстном меню выбираем пункт «Диспетчер задач». Можно также использовать сочетание клавиш Ctrl+Shift+Esc.
2. Переходим на вкладку «Службы».
3. Кликаем по ссылке «Открыть службы».

4. Находим в списке «Журнал событий Windows».

5. Открываем свойства службы двойным кликом.

6. Устанавливаем тип запуска «Автоматически».

7. В поле «Состояние» нажимаем «Запустить».

8. Сохраняем конфигурацию, нажимая на кнопку «ОК».

Для корректного ведения логов должно быть также включено использование файла подкачки размером не менее 200 Мб.

1. Нажимаем сочетание клавиш Win+R.
2. В окне «Выполнить» вводим запрос sysdm.cpl.

3. Переходим на вкладку «Дополнительно».

4. В разделе «Быстродействие» нажимаем на кнопку «Параметры».

5. Переходим на вкладку «Дополнительно»

6. В поле «Виртуальная память» смотрим общий объём файла подкачки. Если он менее 200 Мб, нажимаем на кнопку «Изменить».

7. В окне настройки указываем исходный и максимальный размер.

8. Сохраняем конфигурацию

После включения ведения логов и настройки размера файла подкачки все события точно будут сохраняться в системную утилиту «Просмотр событий». Это значит, что мы можем переходить к изучению «Журнала ошибок».

Как открыть «Просмотр событий»

Системная утилита «Просмотр событий» доступна в «Панели управления».

1. Открываем «Панель управления».
2. Переходим в раздел «Администрирование».
3. Выбираем утилиту «Просмотр событий».

Можно не заходить в «Панель управления», а воспользоваться встроенным поиском Windows 10. По запросу «Просмотр событий» без проблем находится одноимённая системная утилита.

Ещё один способ — использование меню «Выполнить», которое запускается сочетанием клавиш Win+R. Команда для открытия окна «Просмотра событий» — eventvwr.msc.

Какой бы способы вы ни выбрали, результат будет один — на экране появится интерфейс утилиты «Просмотр событий», внутри которой ведётся журнал ошибок.

Как пользоваться журналом ошибок

В окне «Просмотр событий» есть вкладка «Обзор и сводка». Ниже находится подменю «Сводка административных событий». В нём доступно пять пунктов: критические события, ошибки, предупреждения, сведения и аудит успеха. В первую очередь нужно обращать внимание на содержимое первых трёх разделов.

При раскрытии разделов появляется информация о том, что и когда происходило в системе. Например, в сведениях об ошибках есть описание, код, источник и частота повторения за сутки и неделю. Двойным кликом можно открыть подробности. Эта информация поможет найти причину сбоя с помощью поисковых систем — обычно достаточно скопировать код ошибки. Поэтому так важно хотя бы изредка заглядывать в журнал — он не только посодействует в устранении проблем, но и заранее предупредит о возможных неполадках.

Журнал действий Windows 10 и конфиденциальность

Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на вашем устройстве. После входа в систему устройства с учетной записью Майкрософт и с вашего разрешения Windows отправляет журнал действий корпорации Майкрософт. Корпорация Майкрософт использует журнал действий, чтобы персонализировать взаимодействие (например, упорядочивать действия на основе продолжительности использования) и рекомендации (например, прогнозируя ваши потребности на основе журнала действий).

Следующие компоненты Windows 10 используют журнал действий. Возвращайтесь на эту страницу за новостями о будущих выпусках и обновлениях для Windows, чтобы узнать, какие дополнительные службы и компоненты используют журнал действий:

Временная шкала. Вы можете просматривать временную шкалу действий и возобновлять эти действия на вашем устройстве. Например, предположим, что вы редактировали документ Word на устройстве, но не завершили работу, когда вам потребовалось покинуть офис. Если на странице Параметры журнала активности установлен флажок сохранять журнал активности на этом устройстве , вы увидите, что действия Word на временной шкале находятся на следующем днем и в течение нескольких дней, а также с того, что вы можете продолжить работу над ним. Если вы установили флажок Отправить историю активности в Microsoft , и вы не можете завершить работу, прежде чем приступить к работе с Office на этот день, не только вы видите, что активность Word на временной шкале займет до 30 дней, но вы также можете возобновить работу над ним позже с другого устройства.

Кортана. Если журнал действий ведется только на устройстве, Кортана позволяет возобновить работу с того же места на этом устройстве. Если вы решили отправлять ваши действия в облако, вы можете продолжить работу там же, где вы закончили, на других устройствах. Кортана будет уведомлять вас об этих действиях, чтобы вы могли быстро продолжить их на этом устройстве и, если синхронизация включена, на других устройствах. Обратите внимание на то, что для работы на разных устройствах, где вы остановились, вам нужно включить в кортаны разрешение на доступ к журналу браузера . Для этого откройте домашнюю страницу Кортаны в поле поиска на панели задач, а затем выберите параметры > кортаны > разрешения > Управление информацией, которую Кортана сможет получать с этого устройства > журнал браузера.

Microsoft Edge. При использовании Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действия не сохраняется при использовании вкладок или окон InPrivate.

Если вы вошли в систему устройства с учетной записью Майкрософт и включили этот параметр для отправки в корпорацию Майкрософт журнала действий, корпорация Майкрософт будет использовать данные журнала действий для поддержки взаимодействия между устройствами. Поэтому даже при переходе на другое устройство вы будете видеть уведомления о ваших действиях и сможете возобновить их. Например, журнал действий также можно отправить в корпорацию Майкрософт при использовании другого устройства с Windows 10 или некоторых приложений Майкрософт на устройстве Android или iOS. Вы можете продолжить действия, которые вы начали на других устройствах, на своем устройстве с Windows. Изначально эта возможность будет доступна только в Microsoft Edge на мобильных устройствах, но скоро будет реализована для мобильных приложений Office, таких как Word, Excel и PowerPoint.

Корпорация Майкрософт также будет использовать журнал действий для улучшения продуктов и служб Майкрософт, если параметр отправки журнала действий в Майкрософт включен. Мы применяем методы машинного обучения, чтобы лучше понять, как клиенты в общем используют наши продукты и службы. Мы также отслеживаем ошибки, с которыми сталкиваются клиенты, и помогаем их исправить.

Для нескольких учетных записей: журнал активности собирается и хранится локально для каждой локальной учетной записи, личной учетной записи Майкрософт (MSA) или рабочей или учебной учетной записи (AAD), связанной с устройством, в параметрах > учетные записи > электронной почты & учетныезаписи. Если вы решили отправлять журнал действий корпорации Майкрософт, действия основной учетной записи на этом устройстве отправляются корпорации Майкрософт. Если у вас несколько устройств и несколько учетных записей на этих компьютерах, вы сможете увидеть журнал действий из основной учетной записи второго устройства на первом устройстве (в качестве дополнительного учетной записи). Эти учетные записи также можно просмотреть в разделе параметры > Конфиденциальность >,где вы можете отфильтровать действия из определенных учетных записей, которые будут отображаться на временной шкале. Скрытие учетной записи не приводит к удалению данных на устройстве или в облаке. В следующем разделе представлены дополнительные сведения об управлении данными.

Чтобы узнать больше о том, как продукты и службы Майкрософт используют эти данные для персонализации работы в соответствии с вашей конфиденциальностью, ознакомьтесь с заявлением о конфиденциальности.

Управление параметрами журнала действий

На вашем устройстве

Чтобы остановить сохранение журнала активности на устройстве, нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. На этой странице снимите флажок сохранять журнал действий на этом устройстве .
Открытие параметров журнала активности

Если отключить этот параметр, вы не сможете использовать компоненты на устройстве, которые зависят от журнала действий, такие как возможности продолжить с места остановки временной шкалы и Кортаны. Вы по-прежнему сможете просматривать журнал браузера в Microsoft Edge.

В предыдущих версиях Windows этот параметр называется » разрешить Windows собирать мои действия с этого компьютера«.

Чтобы остановить отправку журнала активности в корпорацию Майкрософт, нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. На этой странице снимите флажок отправлять историю действий в Microsoft .

Если вы выключили этот параметр, вы не сможете использовать полную временную шкалу на 30 дней или возможности продолжения работы на разных устройствах.

В предыдущих версиях Windows этот параметр называется » разрешить Windows синхронизировать мои действия с этого компьютера и облако».

В Windows есть дополнительные параметры конфиденциальности, которые определяют, отправляются ли в корпорацию Майкрософт сведения о действиях приложений и об истории браузера, например параметры данных диагностики .

Если у вас есть личная учетная запись Майкрософт (MSA), вы можете управлять данными журнала активности, которые связаны с учетной записью Майкрософт в облаке, выбрав пункт Управление данными о действиях в учетной записи Майкрософт. Войдя в панель мониторинга конфиденциальности, откройте вкладку История активности и выберите данные, которыми вы хотите управлять.

Если у вас есть рабочая или учебная учетная запись, вы можете очистить и удалить журнал действий, который хранится на устройстве, и журнал действий, отправленный в облако корпорации Майкрософт. Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. В разделе Очистить журнал действийнажмите кнопку очистить.

Если у вас несколько учетных записей и рабочая или учебная учетная запись (AAD) является основной на устройстве, очистка журнала действий приведет к удалению журнала действий рабочей и (или) учебной учетной записи (AAD), синхронизированной с облаком. Чтобы управлять личной учетной записью Майкрософт (MSA) в облаке, выберите пункт Управление данными о действиях в учетной записи Майкрософт. Если у вас несколько учетных записей (MSA и AAD), но личная учетная запись (MSA) является основной на устройстве, и вы хотите удалить действия учетной записи AAD, перейдите на другое устройство, где основной учетной записью является рабочая или учебная учетная запись (AAD) и очистите журнал действий на этом устройстве.

На временной шкале можно очистить отдельные действия или все действия отдельного дня. Для этого щелкните правой кнопкой мыши действие и выберите нужный параметр.

На мобильном устройстве (iOS и Android)

Некоторые приложения, такие как Microsoft Edge mobile (iOS и Android), позволяют отключить общий доступ к журналу браузера. Для других приложений, таких как Microsoft Office, можно выйти из приложения, журнал действий из которого больше не требуется отправлять корпорации Майкрософт. Вы можете управлять данными журнала активности, которые хранятся в облаке для своей учетной записи Майкрософт, выбрав пункт Управление данными о действиях в учетной записи Майкрософт.