Много ошибок в журнале событий windows 10 - Доктор Windows

Содержание

«Журнал ошибок» в Виндовс 10
- Включение логирования
- Запуск «Просмотра событий»
- Анализ журнала ошибок
Вопросы и ответы

Во время работы операционной системы, как и любого другого программного обеспечения, периодически возникают ошибки. Очень важно уметь анализировать и исправлять подобные проблемы, дабы в будущем они не появлялись снова. В ОС Windows 10 для этого был внедрен специальный «Журнал ошибок». Именно о нем мы и поговорим в рамках данной статьи.

Упомянутый ранее журнал является лишь небольшой частью системной утилиты «Просмотр событий», которая по умолчанию присутствует в каждой версии Windows 10. Далее мы разберем три важных аспекта, которые касаются «Журнала ошибок» — включение логирования, запуск средства «Просмотр событий» и анализ системных сообщений.

Включение логирования

Для того чтобы система могла записывать все события в журнал, необходимо включить его. Для этого выполните следующие действия:

Нажмите в любом пустом месте «Панели задач» правой кнопкой мышки. Из контекстного меню выберите пункт «Диспетчер задач».

В открывшемся окне перейдите во вкладку «Службы», а затем на самой странице в самом низу нажмите кнопку «Открыть службы».

Далее в перечне служб нужно найти «Журнал событий Windows». Убедитесь, что она запущена и работает в автоматическом режиме. Об этом должны свидетельствовать надписи в графах «Состояние» и «Тип запуска».

Если значение указанных строк отличается от тех, что вы видите на скриншоте выше, откройте окно редактора службы. Для этого кликните два раза левой кнопкой мыши на ее названии. Затем переключите «Тип запуска» в режим «Автоматически», и активируйте саму службу путем нажатия кнопки «Запустить». Для подтверждения нажмите «OK».

После этого остается проверить, активирован ли на компьютере файл подкачки. Дело в том, что при его выключении система попросту не сможет вести учет всех событий. Поэтому очень важно установить значение виртуальной памяти хотя бы 200 Мб. Об этом напоминает сама Windows 10 в сообщении, которое возникает при полной деактивации файла подкачки.

О том, как задействовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Ознакомьтесь с ней при необходимости.

Подробнее: Включение файла подкачки на компьютере с Windows 10

С включением логирования разобрались. Теперь двигаемся дальше.

Запуск «Просмотра событий»

Как мы уже упоминали ранее, «Журнал ошибок» входит в состав стандартной оснастки «Просмотр событий». Запустить ее очень просто. Делается это следующим образом:

Нажмите на клавиатуре одновременно клавишу «Windows» и «R».
В строку открывшегося окна введите eventvwr.msc и нажмите «Enter» либо же кнопку «OK» ниже.

В результате на экране появится главное окно упомянутой утилиты. Обратите внимание, что существуют и другие методы, которые позволяют запустить «Просмотр событий». О них мы в деталях рассказывали ранее в отдельной статье.

Подробнее: Просмотр журнала событий в ОС Windows 10

Анализ журнала ошибок

После того как «Просмотр событий» будет запущен, вы увидите на экране следующее окно.

В левой его части находится древовидная система с разделами. Нас интересует вкладка «Журналы Windows». Нажмите на ее названии один раз ЛКМ. В результате вы увидите список вложенных подразделов и общую статистику в центральной части окна.

Для дальнейшего анализа необходимо зайти в подраздел «Система». В нем находится большой список событий, которые ранее происходили на компьютере. Всего можно выделить четыре типа событий: критическое, ошибка, предупреждение и сведения. Мы вкратце расскажем вам о каждом из них. Обратите внимание, что описать все возможные ошибки мы не можем просто физически. Их много и все они зависят от различных факторов. Поэтому если у вас не получится что-то решить самостоятельно, можете описать проблему в комментариях.

Критическое событие

Данное событие помечено в журнале красным кругом с крестиком внутри и соответствующей припиской. Кликнув по названию такой ошибки из списка, немного ниже вы сможете увидеть общие сведения происшествия.

Зачастую представленной информации достаточно для того, чтобы найти решение проблемы. В данном примере система сообщает о том, что компьютер был резко выключен. Для того чтобы ошибка не появлялась вновь, достаточно просто корректно выключать ПК.

Подробнее: Выключение системы Windows 10

Для более продвинутого пользователя есть специальная вкладка «Подробности», где все событие представлены с кодами ошибок и последовательно расписаны.

Ошибка

Этот тип событий второй по важности. Каждая ошибка помечена в журнале красным кругом с восклицательным знаком. Как и в случае с критическим событием, достаточно нажать ЛКМ по названию ошибки для просмотра подробностей.

Если из сообщения в поле «Общие» вы ничего не поняли, можно попробовать найти информацию об ошибке в сети. Для этого используйте название источника и код события. Они указаны в соответствующих графах напротив названия самой ошибки. Для решения проблемы в нашем случае необходимо попросту повторно инсталлировать обновление с нужным номером.

Подробнее: Устанавливаем обновления для Windows 10 вручную

Предупреждение

Сообщения данного типа возникают в тех ситуациях, когда проблема не носит серьезный характер. В большинстве случаев их можно игнорировать, но если событие повторяется раз за разом, стоит уделить ему внимание.

Чаще всего причиной появления предупреждения служит DNS-сервер, вернее, неудачная попытка какой-либо программы подключиться к нему. В таких ситуациях софт или утилита попросту обращается к запасному адресу.

Сведения

Этот тип событий самый безобидный и создан лишь для того, чтобы вы могли быть в курсе всего происходящего. Как понятно из его названия, в сообщение содержатся сводные данные о всех инсталлированных обновлениях и программах, созданных точках восстановления и т.д.

Подобная информация будет очень кстати для тех пользователей, которые не хотят устанавливать сторонний софт для просмотра последних действий Windows 10.

Как видите, процесс активации, запуска и анализа журнала ошибок очень прост и не требует от вас глубоких познаний ПК. Помните, что таким образом можно узнать информацию не только о системе, но и о других ее компонентах. Для этого достаточно в утилите «Просмотр событий» выбрать другой раздел.

Источник

Небольшие технические трудности. В ближайшее время мы появимся в сети и сайт станет чуточку лучше

Windows – наиболее популярная операционная система, которую используют 92% пользователей компьютеров и ноутбуков.

И каждый из них хотя бы раз сталкивался с одним или несколькими видами системных ошибок.

Системные ошибки Windows – это обобщенное название всех сообщений системы, которые сообщают о любых неполадках в работе ОС.

Так как ошибки в работе системы не редкость, пользователю нужно знать как решить ту или иную проблему, уметь восстанавливать нормальное функционирование системы без негативных последствий.

Не все ошибки являются критическими и не всегда нужно вызывать мастера, в большинстве случаев можно решить проблему самостоятельно.

Далее мы поговорим об ошибках в работе Windows 7 и Windows 10, их видах и способах решения.

Что такое системный журнал Windows 7

В операционной системе Windows, начиная с 7 версии, есть функция отслеживания важных событий, все они собраны в специальном журнале.

Именно там можно найти информацию обо всех системных ошибках.

Журнал включает в себя информацию обо всех сбоях: программах, которые не запускаются, нарушениях в работе драйвера, а также неправильном подключении устройств.

Журнал сохраняет все события в хронологическом порядке, позволяет осуществлять контроль над системой, проводит диагностику ошибок и, по возможности, устраняет их.

Общий вид системного журнала

Чтобы сохранить все важные данные, нужно периодически просматривать этот журнал и производить настройку компьютера.

Когда служба журнала событий запущена, она собирает и сохраняет в архив все важные изменения и происшествия.

Функции журнала включают в себя:

Возможность просматривать архивные данные.
Создавать подписки определенных происшествий для работы с ними в будущем.
Фильтры событий для применения их в системе.
Настраивать выполнение компьютером определенных действий при появлении ошибки.

Системный журнал есть на любом устройстве, работающем на операционной системе Windows 7 и его правильное использование позволит избежать многих ошибок, в том числе, фатальных.

Как устранить все ошибки на Windows 7

Видео инструкция

Где находится журнал

Чтобы открыть журнал событий, нужно нажать на «Пуск», в левом нижнем углу экрана, затем на «панель управления» и в открывшемся меню выбрать «Администрирование» и «Просмотр событий».

Интерфейс меню «пуск — панель управления»

Интерфейс меню «пуск — панель управления» — «администрирование»

Теперь нажимаете на «просмотр событий» и видите следующий экран:

В операционных системах Windows 7 предусмотрено 2 вида журнала событий: системные архивы и служебный журнал приложений.

В архивах собрана вся информация о происшествиях в системе, а в служебном журнале отметки об их работе в целом.

Чтобы пользователь мог контролировать данные и управлять ими, созданы специальные разделы, вкладка «просмотр» делится на такие пункты:

Приложения, в разделе хранятся события определенной программы. Например, антивирусная программа сохраняет там сведения о найденных проблемах и обезвреженных вирусах, а почтовые службы – историю переписок.
Раздел установка. При установке любого приложения или драйвера, в операционной системе Windows 7 сохраняются некоторые данные, которые в дальнейшем находятся в разделе установки.
Система. В этом разделе данные обо всех событиях в ОС, сбоях в работе приложений, сбоях установки, обновлениях программ и устройств, неправильно подключенных внешних устройствах и так далее.
Безопасность. В разделе информация об использовании прав администратора, хранится история выхода и входа в систему пользователем.

Все ошибки и события, сохраненные в журнале, имеют определенные характеристики: источники, уровень, код событий, время и дата и пользователи.

Источники – это приложения или драйверы, которые повлияли на сбои в системе.

Код событий – набор чисел, который необходим техническим специалистам для устранения проблем. Обычный пользователь ПК не сможет использовать код.

Уровень – это степень серьезности ошибки. Всего 6 уровней опасности: сообщение, предостережение, ошибка, опасная ошибка, мониторинг операций по исправлению ошибок, аудит неудачных действий.

Дата и время – отмечают момент появления сообщения или сбоя.

Пользователи – показывает, какой пользователь мог повлиять на появление ошибки. Это могут быть не только реальные пользователи, но и сторонние серверы, системы и программы.

Для контроля над работой системы Windows 7, пользователю нужно заходить в раздел «Просмотр событий».

Здесь собрана вся информация о состоянии программ, драйверов и системы и отражены все ошибки.

Также представлена таблица, в которой оказаны происшествия и сопутствующие характеристики.

Интерфейс журнала событий

Как пользоваться журналом

Пользователь ПК может самостоятельно предотвратить многие сбои системы, для этого ему время от времени нужно просматривать раздел журнала «Приложения».

В этом разделе можно не только увидеть все программы и недавние изменения, связанные с ними, но и выбрать необходимое действие из предложенных.

В разделе «Приложения» вы увидите информацию обо всех происшествиях, степени их серьезности, типе, а также дате появления и сможете своевременно принять меры, чтобы не усугубить ситуацию.

Найти раздел «Приложения» несложно, он находится в меню журнала слева и называется «журнал приложений», как показано на скриншоте:

Но не нужно переживать – большинство ошибок, зафиксированных в журнале, не критичны и не несут опасности компьютеру.

На некоторые из них можно вовсе не обращать внимания, даже на исправно работающем ПК или ноутбуке система может выдавать ошибки.

Пример ошибки, на которую можно не обращать внимания, так как она не мешает работе компьютера

Может показаться, что журнал событий полезен только системным администраторам, но это не всегда так.

Пока ваш компьютер полностью исправен, журнал действительно не нужен, так как на мелкие сбои в системе обычно никто не обращает внимания.

Но как только начинаются серьезные проблемы, журнал поможет вам найти информацию о причинах их возникновения и устранить ошибки самостоятельно, или с помощью специалиста.

Например, если компьютер стал часто перезагружаться, или выдавать «окно смерти» (о нем мы поговорим подробнее ниже), то необходимо как можно быстрее определить причину.

Вы можете посмотреть записи о неудачных запусках системы или драйверов в журнале и по номеру ID ошибки вы найдете немало информации в интернете.

Пример ошибки, которая требует решения. Стрелка указывает на ID, по которому можно найти информацию в интернете.

В данном случае, чтобы получить справку по этому сбою у Гугл или Яндекс, введите в поисковую строку Event 720_ОШИБКИ и найдете инструкции по ее устранению.

Также журнал событий подскажет, когда ваш компьютер был включен и выключен.

Это поможет избежать несанкционированного доступа к технике, так как вы сможете отслеживать процесс включения.

Какие инструменты нужны для исправления системных ошибок

Чтобы системные ошибки вы могли исправить своевременно, в арсенале должны быть загрузочные диски или флешки с программами.

Желательно иметь в наличии и уметь пользоваться такими инструментами:

1. Диск с Windows 7, 8 или 10, который понадобится в крайнем случае, при необходимости переустановить систему полностью или некоторые потерянные данные.

2. Загрузочный диск с Windows РЕ. В виртуальной среде Windows намного проще исправлять многие системные ошибки и чтобы открыть ее и работать, необходим реаниматор, который вы можете записать на внешний цифровой носитель. Например, на флешку. Мы рекомендуем выбрать реаниматор Alkid Live CD/DVD/USB – это оптимальная сборка и его без труда можно скачать в интернете бесплатно.

3. Флешка или диск, при условии наличия дисковода на вашем ПК, с антивирусным сканером.

Очень важно обновлять антивирус хотя бы раз в год, поэтому лучше записать программу на флешку и обновлять по мере появления новых версий. Антивирус можно выбрать любой, например тот, который вы обычно используете на своем компьютере.

4. Сохраненные на цифровом носители драйвера для материнской платы и остальных аппаратных частей компьютера.

Очень важно устанавливать «заводские» драйвера, так как набор других программ может привести к поломке компьютера или нарушениях в его работе. Установка неподходящих драйвером может даже повлиять на исправные составляющие ПК.

5. Загрузочные флешки или диски с программами для управления разделами жесткого диска. При возникновении сбоев в работе системы, больше всего пользователи переживать за сохранность личных данных. Если ошибки исправить невозможно и восстановить операционную систему уже не получится, то можно спасти данные, скопировав их с жесткого диска С, на который и ставится Виндоус, на диск Д или Е. Для этого подойдет загрузочная флешка или специально разработанная программа Minitools Partition Wizard. Она является бесплатной, поэтому интерфейс не такой удобный, как у платных аналогов. Однако свои функции программа вполне способна выполнить.

Если у вас есть все указанные выше инструменты, вы можете приступать к исправлению любых, даже фатальных.

Виды системных ошибок

Описанное выше приложение создано скорее для работы системных администраторов, однако и обычному пользователю оно может быть полезно. Теперь поговорим о распространенных видах ошибок Виндоус.

Считается, что операционные системы Linux и Mac OS гораздо более устойчивы в работе, чем Windows.

Однако, именно Windows пользуется большая часть населения, при этом далеко не все знают какие могут возникнуть сбои, как от них избавиться и избежать в дальнейшем без переустановки системы.

Квалифицировать системные ошибки можно по разным критериям, так как одна и та же может быть вызвана и выходом из строй составной части системного блока, и сбоем программы или вирусом.

Именно поэтому оптимальным вариантом станет классификация по степени опасности.

В соответствии с ней системные ошибки Windows 7 можно поделить на такие группы:

Системные сообщения – незначительные сбои в работе, которые могут возникать на исправном компьютере.
Ошибки категории «синий экран смерти».
Ошибки на уровне загрузчика.

Зная типы ошибок, а также обладая минимальным количеством знаний и навыков, можно устранить сбои и избежать необходимости перезаписи операционной системы и уничтожения данных.

Системные сообщения – наиболее простой тип ошибок

Системные сообщения появляются постоянно, в журнале ошибок можно найти множество таких отметок каждый день.

Это могут быть внезапные закрытия приложений, невозможность запуска приложения и многое другое, такие сообщения обычно не влияют на качество работы ПК или ноутбука.

Пример системного сообщения

Визуально ошибка выглядит как серое окошко с описанием и кодом, а также кнопками вариантов действий «Ок» и «Отмена».

Всего в системе есть до 900 сообщений, поэтому описывать их все мы не будем – в этом нет необходимости.

Кроме того, большая часть из них возникает очень редко, а другие сообщения вовсе не отображаются пользователю, так как они являются внутренними.

Разделить их можно на такие виды:

Аппаратные. Сообщения относятся к работе мышки и клавиатуры.
Организация окна – это все уведомления, вопросы, подтверждение действий.
Организация интерфейса – вывод меню, курсора.
Завершение работы. Предупреждения о закрытии фоновых программ.
Уведомления о системном ресурсе. Эти сообщения включают в себя уведомления об изменении темы, цветов или шрифтов.
Обмены данными. Уведомления от буфера обмена.
Частные сообщения.
Внутрисистемные, то есть, которые пользователь не видит.

Для примера рассмотрим распространенную ошибку: Ошибка Память не может быть written.

Ошибка Память не может быть written

Ошибка сообщает, что память не может быть записана.

Иногда вместо слова written можно встретить слово read, то есть память не может быть считана.

Это означает, что открытая программа не может корректно работать с оперативной памятью, она не может получать нужные данные или записывать на диск свои.

Причины возникновения такой распространенной ошибки следующие:

Поломанные блоки в оперативной памяти.
Вирус или патч, которые вызывают некорректную работу системы. «Подцепить» вирус можно, скачивая софт с непроверенных сайтов в интернете.
Нарушение во взаимодействии драйверов и программного обеспечение.
Несоответствие драйверов операционной системе.
Проблемы с питанием компьютера или ноутбука.
Установка большого количества противовирусных программ.

Так как причин множество, нужно выявить ту, которая привела к поломке.

Для этого следует исключить все неподходящие варианты и сконцентрироваться на возможных проблемах.

Если программа сразу после установки стала выдавать такую ошибку, то проблема именно в ней или в несовместимости программы с операционной системой.

Возможно она является взломанной версией платного софта, или требует для работы дополнительных сведений и драйверов, или же не совместима с версией операционной системы.

Если программа с самого начала не запускалась без ошибки, можно попробовать запустить ее при помощи режима совместимости с Windows ХР.

Для этого нажмите на свойства исполняемого файла программы, выберите «совместимость» и нажмите на функцию «средство устранения проблем с совместимостью».

Автоматически проблема будет решена и программа начнет запускаться без сбоев.

Запуск программы в режиме совместимости со старой версией Windows

Также причиной может стать несовместимость программ и их компонентов.

Обычно это является причиной в тех ситуациях, когда ранее программа работала исправно и внезапно стала выдавать ошибку.

Возможно вы установили на ПК новый софт, программы, расширения или драйвера и нормальная работа его была нарушена.

Вы можете удалить новые программы и попробовать запустить нужную, выдающую ошибку.

Кстати, удалять программы лучше не просто с диска, а при помощи специального деинсталлятора.

Удаляя папку с загрузочным файлом, вы оставляете на компьютере части программы, которые могут мешать его работе.

А деинсталляторы почистят устройство и от программы, и от созданных ею файлов.

Драйвера лучше удалять стандартными службами системы.

Еще одна распространенная причина появления такой ошибки – активная работа антивируса.

Проверить это легко, просто отключите антивирус и попробуйте запустить программу снова.

Но делать это можно только в том случае, если антивирус не находит опасных файлов в самой программе, то есть предварительно нужно просканировать папку с файлами.

На изображении показано, как отключить антивирус Аваст

Также причиной может служить любая техническая неполадка.

Чтобы это проверить, выключите компьютер и подождите несколько секунд, пока все процессы будут завершены.

Теперь откройте системный блок и аккуратно коснитесь деталей, в частности, платы оперативной памяти.

Если она перегрета, значит в системе сбои и возможно короткое замыкание.

Но это не значит, что плата полностью испорчена и уже не подлежит восстановлению.

Есть вероятность того, что нарушено соединение контактов, в таком случае плату просто переставляют в соседний слот.

Но не все системные сообщения Виндоус выводятся на монитор на русском языке, примерно половина окошек будут заполнены английским текстом.

Это усложняет понимание проблемы, но есть и решение: в окошке всегда написан код ошибки, который представляет собой число в шестнадцатеричной системе счисления. Например, 0х005600b.

Этот код вы можете скопировать и найти информацию и способы решения проблемы в интернете, в специализированных статьях или на форумах, где также можно задавать интересующие вас вопросы.

Описание ошибки «синего экрана смерти» и варианты ее исправления

Понятно, что синий экран является следствием ошибки операционной системы windows 7 и таким способом она пытается донести информацию о поломке до пользователя.

Из-за синего экрана пользоваться компьютером становится невозможно, но при правильных действиях работоспособность системы вы сможете восстановить.

Синий экран не случайно блокирует работу устройства, это делается с определенной целью: помочь пользователю спасти файлы и все данные в компьютере.

В наиболее простых случаях поможет обычная перезагрузка компьютера.

Это относится к случаям, когда ошибка была вызвана некорректной обработкой данных и сбоем при передаче информации.

Если же перезагрузка не помогла, значит причина может быть в сломанных драйверах, жестком диске или модуле.

Так выглядит синий экран смерти

Понять, что именно произошло, помогут коды, которые отражают номер и название поломки.

Коды — это две первые строки на экране монитора.

Иногда компьютер вовсе не выводит синий экран, а просто произвольно перезагружается.

В таком случае определить причину поломки сложнее.

А произойти это может из-за отключения функции вывода на экран сообщений BSoD.

Чтобы исправить это (если ваш компьютер все же работает после перезагрузки), отключите произвольную перезагрузку системы.

Сделать это можно так:

Зайти в раздел «Мой компьютер».
Зайти в «Свойства».
В выбранном окне нажать на «Дополнительные настройки».
Здесь вы увидите блок восстановления и загрузки системы, в нем нужно убрать галочку напротив пункта «Выполнить автоматическую перезагрузку».

Меню «свойства», показано, в каком поле убрать галочку

После этого система всегда будет выдавать вам экран с записью об ошибке и определить причину поломки будет проще.

Ошибки синего экрана – экрана смерти

Очень часто пользователей интересует как исправить системные ошибки Windows, которые представляют собой синий экран с написанным кодом.

Обычному пользователю такой экран совершенно непонятен, более того, он пугает и настораживает, так как в большинстве случаев, при появлении синего экрана «смерти», компьютер не может работать.

Если система не загружается, а вместо окна загрузки вы видите синий экран с белым кодом, значит вы столкнулись со стоп-ошибкой Windows, которую именуют экраном смерти.

Но не стоит беспокоиться, очень часто даже такая ошибка не является достаточной причиной для переустановки операционной системы или удаления всех данных с компьютера.

Чтобы спасти систему от переустановки, нужно понять, а чем причина ошибки.

Проще всего это сделать, посмотрев на код сбоя, он указан после слова STOP на странице.

По этому коду вы поймете, в чем причина сбоя и сможете быстро и безопасно его ликвидировать.

На скиншоте показан синий экран смерти и указаны код и тип ошибки для ее быстрой классификации и решения

Помимо кода ошибки, на экране появляется имя системного модуля, который вызвал сбой программ и тип неполадки.

На изображении выше эти параметры указаны стрелочками. Для примера рассмотрим ситуацию на изображении.

В данном случае причиной ошибки является драйвер, который не смог правильно взаимодействовать с модулями операционной системы.

Об этом свидетельствует фраза DRIVER_IRQL_NOT_LESS_OR_EQUAL вверху экрана.

В следующих строках указаны стоп слова, которые возникли из-за ошибки, но они несут для нас мало информации.

В нижней строке написано имя драйвера, то есть в нашей ситуации это tcpip.sys, имя интернет-протокола TCP/IP.

Чтобы исправить системную ошибку, не обязательно ставить новую операционную систему.

Достаточно поменять драйвер сетевой платы компьютера на более подходящий.

Выполните следующий порядок действий, чтобы исправить ошибку:

1. Перезагрузите компьютер. Иногда это помогает, так как часто возникают временные сбои. Если появится доступ к Виндоус, то именно с временной проблемой мы и столкнулись и после перезагрузки система начнет работать нормально.

2. Если после перезагрузки синий экран пропал, но в следующий раз появился снова, значит проблема с драйвером, который не соответствует системе. Возможно драйвер обновился и теперь несовместим с системой. В этом случае нужно сделать откат драйвера до предыдущей версии, если ошибка появилась после обновления. Если обновлений не было, а синий экран время от времени появляется при запуске системы, значит драйвера устарели и нуждаются в обновлении. Небольшой совет: проверяйте системные сообщения Windows на предмет обновлений. Не все обновления устанавливаются автоматически, поэтому следует обращать внимание на сообщения в центре поддержки и устанавливать все предложенные обновления. Это поможет также улучшить защиту компьютера от вирусов.

3. Наиболее серьезный случай, когда синий экран появляется при каждом запуске системы. В такой ситуации вам потребуется загрузочный диск или флешка, восстанавливающие компоненты ОС. Найти подробные инструкции можно в интернете, процесс установки компонентов будет зависеть от типа и кода ошибки. Но в большинстве случаев причиной появления синего экрана смерти является сбой загрузки файловой системы. В такой ситуации нужно загрузить систему с загрузочного диска Windows PE и запустить командную строку. Открыть командную строку можно через Пуск. Войдите в меню «Пуск», нажмите на «Выполнить» и «Команда CMD». В открывшейся строке вбиваем chkdsk C: /f и нажимаем на enter. Эта команда сканирует весь диск С на наличие ошибок, и когда находит автоматически их исправляет. После окончания процесса исправления ошибок, вы можете запускать компьютер в нормальном режиме.

Сканирование диска не всегда может спасти компьютер, но очень часто помогает восстановить нормальные параметры системы.

В любом случае провести его нужно, так как такая процедура точно не усугубит проблему и не навредит системе, но может помочь избавиться от ошибок.

Как расшифровать информацию на экране смерти

Обычный пользователь не сможет понять, что показано на экране, оценить код и определить способы исправления ошибки и мы попытаемся помочь вам разобраться.

Общий вид экрана смерти

Теперь рассмотрим, что изображено на экране в общем.

В поле, отмеченном на скриншоте цифрой 1, указано название ошибки.

Если вы умеете справляться с компьютером и знакомы с основами программирования, то исходя из названия уже сможете найти способы решения.

Если же нет, то сможете ввести код в интернет и найти необходимую информацию по ошибке.

Во втором поле, оно более объемное, содержится подробное описание ошибок и предложены способы их решения.

Действуя по инструкции на экране, вы сможете «вылечить» компьютер без переустановки системы.

Зона номер три содержит информацию с кодом ошибки.

Обычному пользователю код будет малополезен, а вот системный администратор с его помощью сможет быстро исправить поломку.

Пользователь лишь может вводить этот код вместе с названием неисправности в строку браузера, чтобы найти достаточное количество информации.

Четвертое поле содержит информацию о параметрах и характеристиках поломки.

Пятое поле — это название драйвера, при включении которого и возникла неисправность.

Внизу экрана, в шестом поле, найдете информацию о специальном адресе ошибки.

При наличии определенных навыков и знаний, используя информацию на экране можно легко исправить любые ошибки самостоятельно и быстро.

Чтобы решить проблему перепишите название и код с экрана и найдите информацию о поломки в сети.

Если знаете английский — выполните действия, которые предлагает система.

В любом случае, даже если перезагрузка не помогает и ошибка, вызвавшая синий экран смерти является фатальной, не всегда приходится переустанавливать операционную систему.

Очень часто достаточно переустановить драйвер, который прописан в поле 5 на скриншоте, так как именно он вызвал ошибку.

Причины появление экрана смерти

Все причины появления экрана смерти можно разделить на 2 категории: к первой категории относятся поломки, которые возникли после установки программного обеспечения или драйверов.

Вторая категория — это поломки аппаратной части или сбой в работе операционной системы.

К первой группе причин отнесем установку новых, несовместимых с системой драйверов, подключение нового оборудования: установка видеокарты, смена жесткого диска и другое.

Также ошибку может вызвать переустановка Windows, обновление Windows или обновление драйверов.

Ко второй категории относят такие причины как поломка цифровых элементов техники, электронно-вычислительных комплектующих, нарушение соответствия между драйвером и модулем, а также неправильный контакт узлов в процессоре.

Ошибка может возникнуть и из-за сброса процессором частоты и напряжения.

Это возникает из-за перегрева самого процессора и приводит к невозможности работы устройства.

В числе других поломок аппаратной части, которые могут вызвать синий экран смерти, следующие:

Работа взаимоисключающих программ. Самый яркий пример — работа двух антивирусников, которые блокируют друг друга.
Нет памяти на винчестере.
Неправильная работа BIOS.
Разгон процессора, видеокарты или оперативной памяти, который также был выполнен неправильно.
Опасные вирусы в системе.

Кстати, вызвать экран BSOD можно самостоятельно, чтобы проверить состояние компьютера и выявить проблемы своевременно.

Чтобы вызывать этот экран нужно совершить двойное нажатие SCROLL LOSK при зажатии CTRL при включенной опции.

Какие ошибки синего экрана смерти существуют

Мы перечислим все системные ошибки Windows 10 или Windows 7 и 8. Они также могут встречаться в операционной системе Виста.

1. Код ошибки: 0x00000001: APC_INDEX_MISMATCH. Это внутренний сбой одного из ядер. Может возникнуть из-за несоответствия KeEnterCricticalRegion и KeLeaveCriticalRegion в системе файлов. Также причиной ее появление становится слишком большое число повторных вызовов системы. Это одна из наиболее распространенных проблем.

2. Ошибка 0x0000000A: IRQL_NOT_LESS_OR_EQUAL. Означает, что пользователь (или система), пыталась затронуть внутреннюю память на процессоре, из-за чего система и сбилась. Обычно возникает в том случае, если драйвер устройства использует неправильный адрес. Параметрами ошибки является адрес обращения драйвера, тип операции — операция чтения осуществлялась системой, или операция записи, а также адрес инструкции, которая обнаружила неправильный адрес драйвера. В 9 случаях из 10 возникает из-за установки нелицензионных драйверов Виндоус.

3. 0x00000005: INVALID_PROCESS_ATTACH_ATTEMPT — ошибка свидетельствует об отсутствии доступа к серверу и невозможности запуска операционной системы.

4. 0x0000000D: MUTEX_LEVEL_NUMBER_VIOLATION. Ошибка показывает, что точки взаимодействия получают доступ к системе вне правильной очереди. Найти, какие точки взаимодействия стали причиной сбоя можно с помощью файла заголовков NTOSEXEXLEVELS.H.

5. Очень распространенная ошибка — 0x00000012: TRAP_CAUSE_UNKNOWN. Она показывает, что в системе произошел сбой, но причина не определена. Чтобы выяснить причину и исправить работу компьютера, необходимо отследить, при каких условиях возникла данная ошибка.

6. 0x0000001E: KMODE_EXCEPTION_NOT_HANDLED, также распространенная ошибка. В этом случае обычно появление стоп-экрана вызвано поломанным или исключенным драйвером. Нужно обращать внимание и на тип самого драйвера, и на путь доступа к нему. Эта ошибка не несет особой опасности устройству если она не повторяется слишком часто. В противном случае необходимо будет провести диагностику системы. Иногда причиной ошибки является кэширование процессора и если она возникла повторно, необходимо связаться с производителями этой детали и получить консультацию у них.

7. 0x00000023: FAT_FILE_SYSTEM — указывает на повреждение файловой системы FAT16 или FAT32. Проблема может быть в нарушении работы диска, или с Interrupt Request Packet пакетом.

8. 0x00000020: KERNEL_APC_PENDING_DURING_EXIT. Возникает при повреждении или отключении АРС счетчика. Диагностировать причину легко: если АРС счетчик показывает значение выше 0, то причина именно в нем. Причиной сбоя в работе счетчика может быть неправильная настройка драйверов, которая вызвала неравное количество перезапусков файловых систем.

9. 0x00000024: NTFS_FILE_SYSTEM — ошибка указывает на проблему с чтением определенного драйвера, чтения или записи. Также причиной может служить неправильная работа программного обеспечения, чрезмерная активность антивируса или перегрузка дисков.

10. Ошибка 0x0000002A: INCONSISTENT_IRP указывает на несоответствие состояний IRP. Иногда IRP, который уже выполнил загрузку, система принимает как ожидающий загрузки и наоборот. Из-за этого появляется синий экран.

11. 0x0000002B: PANIC_STACK_SWITCH — ошибка показывает, что область стека ядра переполнена. Обычно причиной является либо ошибка в ядре, либо большой вес драйвера.

12. 0x0000002E: DATA_BUS_ERROR — ошибка памяти системы, возникает когда драйвер обращается к источнику памяти, который уже не существует.

13. 0x00000031: PHASE0_INITIALIZATION_FAILED — появляется в случае, когда система не прошла инициализацию на ранней стадии. Информации этот код практически не дает, поэтому требуется дополнительная диагностика системы.

14. Ошибка с кодом 0x00000025: NPFS_FILE_SYSTEM свидетельствует о том, что память компьютера переполнена и устройство не может нормально работать. В этом случае необходимо увеличить память на жестком диске.

15. Еще один часто встречающийся вариант: 0x00000026: CDFS_FILE_SYSTEM. Показывает, что повреждена файловая система компьютера, есть битые сектора или новый драйвер не совместим с системой. Чтобы исправить ошибку, нужно провести диагностику устройства, ликвидировать битые сектора и добавить объем оперативной памяти.

Это основные ошибки, вызывающие синий экран смерти.

Перечислять все виды сбоев не нужно, так как разобраться в коде обычному пользователю очень сложно и решить проблему самостоятельно ему не удастся.

Диагностика компьютера для поиска поврежденной утилиты

Наиболее часто встречающаяся проблема, вызывающая экран BSOD, это установка нового драйвера или гарнитуры, которые приводят к нехватке незаменимых программных файлов.

Сначала следует провести диагностику внутренних деталей.

Возможно причина в некачественном креплении кабелей или соединений внутри системного блока.

Ваша задача: проверить правильность установки карт и подключения проводов, а также разъемы и их надежность.

Вид системного блока изнутри

Если проблема не обнаружена, нужно проверить температурный режим.

Перегрев внутри системного блока опасен, он может вывести из строя и видеокарту, и сам процессор, что ведет к дополнительным тратам.

Проверить температуру можно в разделе мониторинга BIOS или специальной программой, которую нужно загрузить в операционную систему.

Такие программы покажут, где именно происходит перегрев.

Указанную деталь обязательно нужно заменить или отремонтировать.

Также нужно обязательно проверить состояние оперативной памяти, так как причиной ошибки бывает поломка платы оперативной памяти.

Наличие поломки можно понять благодаря неправильным показателям ячейки памяти, когда она показывает больше (или меньше), чем на самом деле.

Из-за таких поломок работа операционной системы становится нестабильной.

Диагностировать оперативную память можно с помощью специальных утилит, но перед запуском программы следует перезагрузить систему.

Например, можно использовать утилиту Memtest.

Следующий этап — это диагностика жесткого диска.

Для этого откройте «Мой компьютер», выберите программный диск и проведите левой кнопкой мыши нажмите на него.

В появившемся меню выберите «Свойства» и система откроет такое окно:

Диагностика жесткого диска поможет сохранить винчестер, так как очень часто именно он вызывает экраны смерти.

Для запуска тестирования в окне «Свойства» выбирайте «Сервис» и нажмите на «Выполнить проверку».

Компьютер автоматически перезагрузится, а затем начнет сканирование.

Еще один метод — восстановление исходных настроек компьютера.

Система восстановления возвращает состояние компьютера к исходному на определенный участок времени, который вы выставляете самостоятельно.

Помогает устранить ошибку, если она была вызвана присоединенными деталями или установленными недавно программами.

Аппаратная диагностика также поможет проверить состояние компьютера: подключить монитор в специальный разъем на материнской плате, который предназначен для видеокарты, а остальные составляющие части отключить вовсе.

То есть у вас должны быть только процессор, оперативная память, блок питания, клавиатура, винчестер, монитор и материнская плата. Все остальные составляющие отключаются.

Если при наличии только монитора и материнской платы компьютер запускается, нужно начать поочередно присоединять оставшиеся детали до тех пор, пока система не выдаст ошибку.

Именно та деталь, на которой при загрузке появился синий экран, является его причиной.

Правда аппаратный метод можно использовать только с компьютером, так как разобрать ноутбук не получится.

Исключение составляют ноутбуки, которые уже оснащены встроенной программой для аппаратной диагностики.

Еще один способ исправления ошибки, это освобождение свободного места на винчестере.

Чтобы компьютер работал нормально, быстро и без сбоев, на винчестере должно быть не менее 50% свободной памяти диска.

Для нормальной работы системы можно добавить жесткие диски или расширить память на них, если удалять уже нечего.

Если на диске нет места из-за его ограниченной емкости, можно сжать его для экономии памяти или удалить кэшированные данные, загрузки и устаревшие программы.

Для этого войдите в «Мой компьютер» и нажмите на название диска правой кнопкой мыши. появившемся окне выберите «Свойства».

Так выглядят свойства диска

Вы можете нажать на очистку диска, это безопасный метод освободить память, система удалит устаревшие файлы и данные из интернета, в том числе, остатки просмотренных видео и прослушанных аудио.

Функцией «Сжатие диска» пользоваться нужно аккуратно, так как есть вероятность того, что система сожмет файлы, которые отвечают за ее загрузку и в такой ситуации останется только переустанавливать Виндоус.

Также нужно проверить исправность комплектующих, но процедуру ремонта лучше доверить специалисту.

Резюмируем, как вылечить экран смерти

Так как самая распространенная причина появления синего экрана удаление нужных системных файлов или ПО, то нужно уметь пользоваться функцией «Восстановление системы».

Эта функция вернет компьютер в состояние, в котором он находился до удаления нужного файла.

Чтобы выполнить восстановление системы, необходимо:

Перейти в меню «Пуск» и набрать в строке поиска «восстановление системы».
Открыть файл двойным нажатием мыши.
Установить точку даты восстановления, то есть время до удаления нужного файла или установки неподходящего драйвера. Именно к этому времени будет восстановлен Windows.
Подождите пока процесс завершится и перезагрузите компьютер, синий экран должен пропасть.

Если же вы не удаляли никаких файлов в последнее время и не устанавливали нового оборудования, вам необходимо прочесть на экране смерти, какая программа вызывает такую ошибку. Понять это можно из кода вверху страницы.

Теперь, зная имя файла, отыщите его через «Панель управления», и нажмите на «Удаление программы».

Совет! Загружать программы, файлы и драйвера лучше только с проверенных, лицензионных сайтов, чтобы избежать таких поломок.

В крайнем случае вы можете переустановить систему полностью, так как в процессе переустановки зайдествован обычно только программный диск, то данные на остальных сохранятся.

Для установки новой Windows нужно иметь загрузочный носитель с официальной версией этой операционной системы.

Инструкция по избавлению от ошибок

На примере операционной системы Windows 7 мы расскажем, как «вылечить» ваш ПК быстро и безболезненно.

Итак, когда на мониторе синий экран с кодом, нужно запустить загрузку компьютера в безопасном режиме.

Для этого нажимайте клавишу F8 до тех пор, пока не появится меню загрузки. Выглядит оно вот так:

На этом экране выбираем, используя стрелочки на клавиатуре, пункт «Безопасный режим с загрузкой сетевых драйверов».

Этот режим предоставляет ограниченный доступ к функциям компьютера, но в нем вы можете воспользоваться интернетом и найти инструкции по избавлению от ошибки или другую нужную информацию.

Здесь же, в безопасном режиме, запустите полное сканирование антивирусом.

Эта программа в фоновом режиме работает постоянно, но иногда и она пропускает «червей» и более опасные вирусные угрозы.

В любом антивируснике функция глубокой проверки предусмотрена, можно воспользоваться ее, или запросить сканирование при загрузке операционной системы и перезагрузить компьютер.

Теперь, если вирусов нет, или программа смогла их обезвредить, нужно обновить Windows 7.

Разработчики Windows постоянно присылают обновления, которые делают использование программы более удобным и расширяют ее функции, но не всегда пользователь их замечает и устанавливает.

И из-за этого также часто возникают системные ошибки разного рода, поэтому все обновления Windows нужно устанавливать: проверять системные сообщения или настроить автоматическую загрузку обновлений.

Но если синий экран уже появился, обычная установка обновлений не поможет решить проблему.

Для этого нужно выполнить обновление всей системы, это альтернатива переустановки программного обеспечения.

Для этого вам нужен загрузочный диск с Windows 7 (или загрузочная флешка), gри этом программа удалит старые файлы и файлы, вызывающие ошибку, и заменит их новыми.

Окно установки Виндоус, выбираем «обновления»

Как не допустить появления «экрана смерти»?

Вам удалось избавиться от такой ошибки, но не хотелось бы ее повторения. Для этого соблюдайте простые правила:

Проводите глубокое сканирование системы хотя бы раз в 2-3 месяца.
Устанавливайте обновления Windows и читайте системные сообщения.
Чистите системный блок от пыли, а клавиатуру от крошек.
Проверяйте работу вентилятора.
Своевременно меняйте термопасту.

Ошибки при запуске системы

Самый опасный и сложный тип ошибок появляется вовсе не на синем, а на черном экране.

Это ошибки запуска системы. Обычно они появляются в случае, когда произошел серьезный сбой и исправить ситуацию вряд ли удастся — единственным выходом становится перезагрузка системы.

Ошибка запуска с текстом press and key to start, возникающая при загрузке операционной системы может изрядно напугать, но на самом деле она требует лишь нажать любую кнопку для продолжения.

Это распространенный сбой запуска и появляется он как раз-таки на черном экране, но никакой опасности не несет.

Но есть и более весомые причины, которые не дают Виндоус нормально загружаться.

К ним относят ошибки в реестре, повреждения системных файлов и жесткого диска.

Если речь идет о повреждении системных файлов, то страдают обычно hal, dll, ntdetect и ntldr.

В таком случае на черном экране вы увидите надпись «windows could not start because the following file is missing or corrupt».

Далее указан потерянный файл, то есть вся информация есть на экране.

При такой ошибке помочь можно переустановкой операционной системы, если у вас есть резервная копия записанная заранее, или просто загрузочный диск.

Способы исправления системных ошибок

Чаще всего проблемы с загрузкой ПК появляются как следствие проникновения вируса в компьютер, установки неправильных драйверов или программ, а также некорректное завершение работы компьютера, перебои в электросети и удаление нужных файлов или программ.

Есть 3 основных способа ис правления системных ошибок Windows 7: это восстановление системы (мы рассматривали этот метод, как средство «лечения» синего экрана смерти), ручное исправление при использовании командной строки или применение CCleаner — программы для чистки дисков.

Все способы рассмотрим подробно.

1. Восстановление системы. Это стандартная функция, которая есть во всех версиях Windows и создана специально для нормализации работы. Для запуска функции откройте меню «Пуск» в левом нижнем углу экрана. Затем перейдите в «Панель управления». Выбираем раздел «Система и безопасность» и в открывшемся меню нажимаем на «Архивация и сброс», как на скриншоте.

Вам откроется такое окно:

Нажмите на «Запуск восстановления» и выберите точку, к которой система осуществит откат.

Нажмите на кнопку «начать», а после окончания процесса компьютер должен быть перезагружен.

Это может помочь вернуть его работоспособность и восстановить нормальное функционирование без сбоев, так как будут устранены ошибки реестра и драйверов.

2. Ручная настройка. Подойдет, если у вас в компьютере не зафиксированы последние точки отката. В такой ситуации приходится проводить настройку вручную. Но понадобится консоль Windows — встроенная программа с мощным функционалом и без графического интерфейса.Обычные пользователи не работают в консоли Windows и такая перспектива их пугает, но ничего сложного в этой задаче нет. Вам нужно вызвать диалоговое окно для дальнейшей работы, нажмите Win и R одновременно. Появится окно с шапкой «выполнить». Введите в поле

cmd

как показано на изображении и нажмите «ок».

Вам откроется черное окно, которое и является консолью операционной системы.

Теперь нужно проверить наличие ошибок в работе жесткого диска. Для этого введите в поле команду chkdsk c: /f /r, на изображении ниже показано, куда нужно ввести команду и нажать enter.

Когда проверка закончится, просканируйте компьютер с помощью команды « sfc /scannow» на предмет ошибок в состоянии системных файлов.

3. Использовать утилиту CCleaner. Это удобная программа, которой следует пользоваться не только в критических ситуациях, но и при повседневной работе с компьютером. Она позволяет удалять программы с устройства полностью, включая остаточные файлы, раскиданные по разным папкам, чистить интернет-историю и многое другое. С ее помощью можно удалить программу и откорректировать реестр для нормальной работы ПК. Но нас интересует другая функция — инструмент, позволяющий автоматически выявить и исправить ошибки в записях реестра. Запустите программу, в левом меню нажмите на «Реестр». Теперь выделите все пункты в меню и нажмите на поиск проблем, система автоматически выявит несоответствия данных. Для удаления неполадок нажмите «исправить».

Интерфейс программы в разделе реестра

Как исправить ошибки Windows с помощью программы СCleaner

Видео урок

Не загружается операционная система

Вы включили компьютер, появилось окно загрузки, но система не может начать работать полноценно.

Она либо перезагружается, либо зависает, либо выдает непонятные символы и всплывающие окна.

В такой ситуации вам также понадобится функция восстановления системы, но провести ее указанными выше способами не получится, так как устройство не загружается.

Чтобы исправить такую ошибку, вам нужен установочный диск или флешка с выбранной версией операционной системы.

Порядок действий такой:

Флешку подключают к компьютеру и перезагружают устройство.
Когда появится окно перезагрузки, нажмите одну из клавиш, которая переведет вас в bios. Это F2—F12 и delete, в зависимости от модели. Обычно помогает кнопка delete или F8.
В системе bios нужно выставить по умолчанию загрузку с CD/DVD-диска или USB-устройства, в зависимости от типа носителя, на котором у вас записан Виндовс.
Перезагрузите компьютер.

Окно установки windows 7

Теперь выбирайте язык установки и нажимайте «Далее». Вы увидите такое окно, окно установки операционной системы:

Нажимаем на «Восстановление системы», как показано на скриншоте.

Очень важно! Установочный диск с версией Виндоус должен соответствовать вашей старой версии, в противном случае восстановление системы невозможно.

На экране вы увидите все установленные системы, выбираем Windows 7 и ставим галочку напротив названия, нажимаем «Далее».

Система автоматически просканирует компьютер на предмет неисправностей и попытается ликвидировать ошибки. Затем она сделает откат ОС к точке восстановления.

Нужно отметить, что этот способ не всегда является эффективным, и если он не помог — искать проблему нужно по коду или аппаратной диагностике.

Системная ошибка 5: отказ в допуске Windows

Поговорим еще об одной ошибке, ошибке 5, которая не дает доступа к Виндоус и возникает на этапе загрузки.

Ошибка возникает при попытке запуска определенной программы или нескольких программ операционной системы. Выглядит она так:

Найти инструкции по избавлению от ошибки бывает непросто, но мы приведем порядок последовательных действий.

Нужно оговорить, что вряд ли существует один метод исправления этой ошибки, скорее всего действия будут меняться в зависимости от компьютера, драйверов и так далее.

Приведем обобщенную инструкцию, которая поможет в большинстве случаев:

Как избавиться от ошибки, если она возникает при запуске системных действий

Очень часто на компьютерах ограничен полный доступ к диску С, даже если вы пользуетесь ПК как администратор.

Обычно установлен параметр «Только чтение» для всех учетных записей, но эту проблему легко решить.

Чтобы открыть права на все действия с диском, откройте «Мой компьютер», нажмите на диск С, выберите «Свойства» и выберите вкладку «Безопасность».

Нажав на «Безопасность» вы увидите следующее окно:

Вам необходимо нажать на кнопку «Изменить» и в следующем окне нажать на «добавить», как показано на скриншоте:

В открывшемся окне вручную напишите «Все» в пустой строке, это откроет доступ ко всем системным программам и действиям любому пользователю. Теперь нажимаем на кнопку слева, «Проверить имя».

Если проблемы нет и система не против открыть доступ, написанное вами слово «Все» будет подчеркнуто черной линией, как на изображении ниже. После этого нажимаем «Ок».

Теперь, когда все пользователи компьютера имеют доступ к в функциям, если хотите открыть полный доступ, нужно указать это в меню. Для этого просто установите галочки напротив каждого пункта в окне.

Изображение на котором показано, где устанавливать галочки для полного доступа к управлению

Такой способ подойдет для всех, кто пользуется windows 7,8 10, vista.

Для пользователей windows хр нужен несколько другой подход, который мы также расскажем.

Проблема в том, что по умолчанию в интерфейсе windows хр не отображается вкладка «Безопасность» (в свойствах диска С), но эту вкладку можно вернуть всего в несколько действий.

Откройте любую папку.
Нажмите на «Сервис», кнопка расположена сверху.
Нажмите на «Свойства папки».
Теперь нажмите на «Вид».
Напротив дополнительных параметров убираем отметку возле «Упрощенный общий доступ», именно включение этой функции и не дает полноценно управлять системой.

После этого вкладка «безопасность» в свойствах диска С появится и вы должны выполнить все указанные выше действия, как и в случае с работой в более поздних программах Виндоус. Ошибка 5 должна исчезнуть после выполненного алгоритма.

Специалисты компании Майкрософт предлагают другой способ избавления от ошибки 5.

Он также эффективен, но требует немного больше действий и является более сложным.

Откройте командную строку от имени администратора. Вам потребуется открыть командную строку с помощью команды cmd. Как перейти в этот режим мы обсуждали выше, в теме избавления от синего экрана смерти.
В появившейся командной строке нужно написать следующее:
```
net localgroup Администратор /add networkservice
```
для русскоязычной системы, и
```
net localgroup Administrator /add networkservice
```
для англоязычной системы. Нажимаем на Enter
Затем в следующем поле прописываем
```
net localgroup Администраторы /add localservice
```
или (Administrators) в английской версии.

Командная строка

Теперь закрываем командную строку и перезагружайте устройство.

Если вы все сделали верно, то ошибка 5 исчезнет и вы получите доступ ко всем службам системы.

Есть еще один способ, который позволит убрать ошибку через реестр операционной системы.

Но для этого обязательно нужно знать название службы, которая ограничивает доступ.

Для этого откройте в списке служб свойства нужной службы и посмотрите имя. Затем можно перейти к работе с реестром.

Ниже приведен пример, в котором имя сетевой службы Netman.

Теперь рассмотрим, как запустить реестр. Расскажем о стандартном способе запуска.

Для этого нужно нужно запустить командное окно, нажмите клавиши Win+R или просто зайти в «Пуск» и с правой стороны и всплывающего окна выберите команду «Выполнить».

В открывшемся окне введите команду

regedit

и нажимаем enter, как показано на скриншоте.

Нажмите ОК и откроется окно редактирования реестра, куда можно внести данные об изменении операционной системы и открытии доступа.

Также запустить меню реестров можно просто через Пуск.

Откройте «Пуск» и в нижней строке поиска пропишите команду

regedit

В найденных файлах вы увидите regedit.exe и перейдите в настройки реестра. Запускаем его и продолжаем исправлять ошибки.

В окне реестра переходим по ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices и в открывшемся списке служб ищем нужную нам по имени, которое мы уже посмотрели в ее свойствах.

Нашли службу и нажимаем на нее правой кнопкой мыши, выбираем пункт «разрешения».

Проверяем, какие функции открыты для администратора, а какие для пользователя и выставляем напротив администратора все галочки. Этот процесс мы уже описывали в первом пункте.

Если вы не хотите разбираться в системе, можно попробовать переустановить антивирусную программу, возможно она блокирует доступ.

Некоторые антивирусные программы берут на себя права использования определенных программ и автоматически могут ограничить доступ пользователя.

Для начала попробуйте просто выключить программу и попробовать запустить службу, которая выдает ошибку 5.

В крайнем случае, когда указанные выше способы не помогают и оказались неэффективными, вы всегда можете переустановить операционную систему.

Не слишком правильно делать это лишь для того, чтобы избавиться от ошибки 5, но если у вас есть и другие проблемы с Виндоус, проще и эффективнее всего будет его переустановка.

Выводы

Из статьи понятно, что от системных ошибок Windows уберечься не получится, и, как и любую болезнь, ошибки проще предотвратить, чем лечить.

Подводя итог скажем, что ошибки обычно возникают в следствие последствий вирусов, нарушения работы драйверов, установки нелицензионных или неподходящих программ, а также сбоев в аппаратной части компьютера.

Итак, сократить шанс появления системной ошибки, можно путем установки лицензионных программ, своевременной установки обновлений, регулярного сканирования антивирусом.

Также не забывайте удалять пыль из кулера и менять термопасту по мере надобности.

Поиск и устранение всех ошибок Windows. Как исправить ошибку?

Видео урок

Источник

Содержание

Просмотр «Журнала ошибок» в Windows 10
«Журнал ошибок» в Виндовс 10
Включение логирования
Запуск «Просмотра событий»
Анализ журнала ошибок
Журнал событий в Windows: как его открыть и найти информацию об ошибке
Работа с журналом событий (для начинающих)
Windows 10 KB5006738 (21H1) исправляет утечку памяти и другие критические ошибки
Полный список изменений Windows 10 Build 19043.1320 (KB5006738)
Известные проблемы в последнем необязательном обновлении
Разбираемся в «кодах ошибок» Windows 10
Самые распространённые ошибки Windows 10
Таблица: коды базовых ошибок Windows 10 (причины возникновения и способы их решения)
Журнал ошибок Windows 10 (что это такое и как им пользоваться)
Видео: журнал событий Windows
Критические ошибки в Windows 10
Критическая ошибка в меню Windows 10
Критическая ошибка gta 4 в Windows 10
Критическая ошибка 41 kernel power в Windows 10
Критическая ошибка в Пуске и приложении Кортана в Windows 10

Просмотр «Журнала ошибок» в Windows 10

«Журнал ошибок» в Виндовс 10

Включение логирования

С включением логирования разобрались. Теперь двигаемся дальше.

Запуск «Просмотра событий»

Анализ журнала ошибок

После того как «Просмотр событий» будет запущен, вы увидите на экране следующее окно.

Критическое событие

Ошибка

Предупреждение

Сведения

Помимо этой статьи, на сайте еще 12369 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены. 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

eventvwr — команда для вызова журнала событий

Система и безопасность

Просмотр событий — Администрирование

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

Службы — журналы событий

Источник

Windows 10 KB5006738 (21H1) исправляет утечку памяти и другие критические ошибки

Обновление KB5006738 теперь доступно для Windows 10 21H2, 20H2 и версии 2004 через Центр обновления Windows и WSUS. Если вы хотите выполнить обновление на нескольких устройствах или у вас нет активного подключения к Интернету, Microsoft также опубликовала прямые ссылки для загрузки автономных установщиков KB5006738.

Windows 10 KB5006738 является частью накопительных обновлений за октябрь 2022 года, и пользователи могут установить его через Центр обновления Windows. Стоит отметить, что этот патч является полностью необязательным и не включает исправлений безопасности, что означает, что Microsoft не будет устанавливать его автоматически (без вашего разрешения).

Дополнительное обновление KB5006738 продвинет устройства до Windows 10 Build 19043.1320. Если вы используете версию 20H2, Microsoft сообщает, что вы получите Windows 10 Build 19042.1320, а версия 2004 получит Build 19041.1320. Обновление включает один и тот же набор исправлений ошибок для всех версий Windows 10.

Согласно официальным примечаниям к выпуску, Microsoft исправила три критических ошибки. В сегодняшнем обновлении исправлена ошибка, из-за которой в видео не отображаются субтитры. Исправлена еще одна ошибка, из-за которой режим ввода Кана не работал при вставке вопросительного знака с помощью сочетания клавиш Shift-0.

Точно так же Microsoft заявляет, что исправила ошибку, которая могла привести к черному экрану блокировки, если вы настроили слайд-шоу изображений в качестве экрана блокировки. Помимо этих важных исправлений ошибок, в сегодняшнем дополнительном обновлении есть несколько других улучшений.

На ваших устройствах, когда вы проверите наличие обновлений, на вашем экране появится следующий патч:

Предварительный просмотр накопительного обновления 2022-10 для Windows 10 версии 21H1 для систем на базе x64 (KB5006738)

Предварительный просмотр накопительного обновления 2022-10 для Windows 10 версии 20H2 для систем на базе x64 (KB5006738)

Полный список изменений Windows 10 Build 19043.1320 (KB5006738)

Сборка 19043.1320 также устраняет проблемы с сетями VPN при использовании серверов Windows Server 2019. Другая ошибка заключалась в том, что виртуальные машины, использующие программно-определяемую сеть (SDN), не работали. Microsoft исправила проблемы при использовании Windows Hello для бизнеса, когда VPN-соединение находится в автономном режиме.

Дополнительное обновление также устраняет ошибку утечки памяти, которая могла привести к ее высокому использованию. Исправлена еще одна проблема надежности LogonUI.exe. Эта ошибка повлияла на состояние сети на экране учетных данных.

Известные проблемы в последнем необязательном обновлении

Microsoft известно как минимум о двух досадных ошибках в обновлении. Согласно журналу изменений, некоторые пользователи могут увидеть ошибку «PSFX_E_MATCHING_BINARY_MISSING» при попытке установить обновление.

Другая ошибка может нарушить работу удаленного рабочего стола Windows. В этом случае соединения могут не пройти аутентификацию, если у вас включена аутентификация по смарт-карте. Вы можете получить сообщение «Ваши учетные данные не работают» или «попытка входа в систему не удалась».

Источник

Разбираемся в «кодах ошибок» Windows 10

Windows 10 — это комплексная система служб, процессов, алгоритмов. Периодически эта система подвергается сбоям, из-за чего возникают различного рода ошибки и, как следствие, появляются проблемы, связанные с нарушением бесперебойной работы компьютера. Любая такая ошибка имеет свой, индивидуальный системный код, благодаря которому можно выявить её причину и определить способ решения возникшей проблемы.

Самые распространённые ошибки Windows 10

Несмотря на то, что система Windows способна «наделять» каждую ошибку персональным кодом, выявить её причину достаточно сложно. Ведь расшифровку такого «кода ошибки» пользователю никто не даёт. Это для него всегда лишь набор цифр и букв. Следовательно и определиться со способом решения возникшей неполадки всегда бывает проблематично. Поэтому в нашей статье мы приведём краткую таблицу с самыми распространёнными «кодами ошибок», причинами их возникновения и способами решения.

Таблица: коды базовых ошибок Windows 10 (причины возникновения и способы их решения)

За время пользования разными версиями Windows, автор данной статьи не раз сталкивался с различными ошибками (имевшие не только базовые коды ошибок), каждая из которых нуждалась в своём способе решения. Однако автор может дать один полезный совет: первым делом, при любой возникшей из перечисленных ошибок, стоит запускать системное сканирование компьютера с автовосстановлением повреждённых файлов («DISM»). В 70–80% случаев этот шаг может полностью исправить возникшую ошибку.

Для того чтобы запустить такое сканирование необходимо:

Даже если сканирование показало что повреждённых компонентов нет, всё равно стоит провести процесс восстановления

Процесс восстановления обычно занимает всего пару минут

Журнал ошибок Windows 10 (что это такое и как им пользоваться)

Журнал ошибок Windows 10 (или журнал событий) представляет собой системный файл регистрации всех произошедших ошибок Windows (причём как явных с уведомлениями для пользователя, так и скрытых). С помощью такого журнала можно не только с точностью до секунды узнать когда произошла ошибка, но и её код, а также источник возникновения. Чтобы воспользоваться журналом событий следует:

Открыть необходимую категорию «Администрирование» можно также воспользовавшись поисковой строкой Windows

Для более удобного и быстрого запуск журнала событий ярлык «Просмотр событий» можно переместить на рабочий стол вашего ПК

Выделив всю папку «Журналы Windows» можно узнать общее количество прошедших событий за всё время

Все события можно отсортировать по одному из необходимых параметров

Помимо кода ошибки можно узнать полное название повреждённого файла (приложения), развернув параметр «Provider»

Видео: журнал событий Windows

Чтобы легче и быстрее ориентироваться в журнале событий Windows (в особенности когда необходимо найти ошибку) автор данной статьи рекомендует хотя бы раз в месяц проводить его очистку. Для этого достаточно лишь щёлкнуть правой кнопкой мыши по категории «Система» и нажать «Очистить журнал». К тому же стоит помнить, что не все события с пометкой «Ошибка» являются критичными, так как даже мелкий безвредный технический сбой в системе заносится в этот журнал.

Операционная система Windows — это сложный «цифровой механизм», в котором периодически возникают сбои. Ни один из пользователей не может быть застрахован от системных ошибок. Однако своевременная реакция на их появление, изучение и предотвращение последствий может помочь вашей ОС избежать критических неисправностей. Поэтому способность определять «коды ошибок» и уметь их расшифровывать является первостепенной задачей на пути к стабильной работе Windows.

Источник

Критические ошибки в Windows 10

Foto 1

Критическая ошибка в меню Windows 10

Это самый распространенный вариант, когда меню начинает выдавать капризный характер работы. Даже после переустановки Windows 10 возникает периодически одна и та же проблема. Самым оптимальным вариантом станет возвращение прежней оси Пуска, тогда вы можете устранить критическую ошибку.

Как бы вы что-то не делали с «пуском», монитор будет бессмертным взглядом смотреть на вас. В данном случае вам поможет безопасный режим запуска работы ПК:

Перезагружаем компьютер в безопасном режиме. Дожидаемся пока компьютер перезагрузится и начнет работу. Теперь опять производим перезагрузку в стандартном режиме работы.

Пользователи утверждают, что в большинстве случаев критическая ошибка исчезает с первого раза.

Критическая ошибка gta 4 в Windows 10

Как правило, эта ошибка возникает у тех, кто постоянно использует игровые программы на своем компьютере (эта ошибка выскакивает в неподходящий момент у подростков, любителей игр GTA 4). Но здесь вины подростков как бы не существует. Компания разработчик игр Rockstar Games не очень лояльная к создателям операционной системы, которые постоянно обновляют версию 10. Разработчик игр пошёл на хитрость, он предлагает пользователям игры спустя 4-8 месяцев после обновления версий ОС. Вместе с этим можно устранить возникшие проблемы:

Если возникают иные ошибки, которые не указаны в данном списке, попробуйте перезагрузить компьютер в обычном режиме, или обновить драйвера. Как показывает опыт игроков, обновление драйверов и перезапуск компьютера позволяет избавиться от критических ошибок GTA 4.

Критическая ошибка 41 kernel power в Windows 10

Для тех, кто любит играть с тяжеловесными игровым программами, появление критической ошибки версии 41 Kernel Power для операционной системы Windows 10 не является неожиданностью (как правило, это 63 категория). Такая ошибка указывает на то, что ОС не может справляться с большим объёмом информации, которые поступают в процессе игры.

Foto 4
Здесь есть некоторый казус разработчиков Windows, которые не могут объяснить, почему некоторые вычисления в программах дают сбой особенно после запятых в числовых дробях. Вместе с этим, есть некоторые моменты, которые помогают пролить истину на свет, и в этом большая заслуга тех, кто является поклонником сложных игровых систем. Главная причина в перегреве процессора.

В данном случае придётся посмотреть действующие параметры BIOS и параметры центрального процессора, которые, возможно, не могут справиться с разгоном игры или иной программы, вследствие чего возникает перегрев процессора. Если вы рядовой пользователь, то чтобы не возиться с настройками, рекомендуем сбросить все действующие режимы до заводских, и в этим вам поможет опция BIOS которая именуется как Load BIOS Setup Defaults или что-то в этом роде. Находим ее, нажимаем «ОК» и вы снова в работе.

Но, если ничего не получается, придется:

В большинстве случаев для пользователей появление ошибки 41 Kernel Power указываете на самостоятельный поиск и устранение проблемы.

Критическая ошибка в Пуске и приложении Кортана в Windows 10

Для новичков появление данной ошибки сравни появлению снежных сугробов, через которые не пройдешь, пока не подоспеет помощь.

Foto 6
В данном случае можно решить проблему самостоятельно, не дожидаясь «официальной помощи».

Опытные специалисты утверждают, что данная методика срабатывает, как правило, с 1 попытки, но некоторые говорят, что может понадобиться и вторая попытка для устранения критической ошибки в операционной системе Windows 10 в режиме «Пуск» и в приложении «Кортана».

Нередко пользователь компьютера сталкивается с тем, что его ПК начинает медленно работать. Он начинает «тормозить» запуск и работу некоторых программ, хотя окно с сообщением и кодом ошибки на мониторе не всплывало. Тут требуется проверка.

Во время активации системы, которая была установлена или обновлялась до Windows 10, могут возникать типичные ошибки. Причины сбоя активатора носят разный характер, но способ решения по их устранению достаточно прост. Главное – нужно знать, что.

Признаками возникновения ошибки под кодом 0*80072f76 в Windows 10 зачастую являются медленная работа компьютера и слабое.

Источник

Просмотр событий (Event Viewer) — Это журнал в Windows 11/10, который записывает сведения об ошибках, работы служб, системы, приложений и т.п.

Разберем, как искать ошибки приложений, системы в Просмотре событий Windows 11/10 и, как их можно исправить.

Просмотр событий в Windows 11 и 10

1. Чтобы запустить просмотр событий в Windows, нажмите Win+R и введите eventvwr.

2. Разверните графу Журналы Windows и вы обнаружите нужные вам пункты, где была ошибка. Если это системная ошибка, то нужно выбрать пункт Система. Если ошибка в каком-либо приложении, то нужно выбрать Приложение. Выбрав нужный пункт, отсортируйте по дате или уровню ошибки, нажав на столбик.

3. Нажмите дважды на ошибку и вы откроете свойства данного события. Во вкладке Общие будет показана информация о причине ошибки. В моем случае пропало электричество. Нажмите на вкладку Подробности, где будет показы пути и более подробная информация.

Если вы не смогли идентифицировать ошибку, то напишите в Google поиске «Event ID 41 Kernel Power» и посмотрите, что означает данный код. Обычно сразу в первых рядах поиска будет официальный сайт Microsoft с разъяснением и решением данной ошибки.

4. Если нужно скинуть журнал событий кому-либо для анализа, то нажмите правой кнопкой мыши по нужному пункту, где была ошибка, и выберите Сохранить все события как.

5. Чтобы посмотреть ошибки в производительности компьютера с Windows 11/10, то откройте Журналы приложений и служб > Microosft > Windows > Diagnistics-Performance > Работает.

Отсортируйте ошибки по уровню или примерной дате происхождения, нажав на столбики. В данном случае мы видим ошибку встроенного антивируса, который замедлил работу запуска системы Windows 11/10. Я бы не сказал, что это серьезная проблема, просто антивирусу потребовалось в данный момент больше времени для загрузки и предварительного сканирования при включении ПК.

Вывод: Не паникуйте и не пытайтесь исправить все ошибки, которые обнаружите. Ошибки случаются всегда и они могут не влиять на саму работу системы. Смотрите только те ошибки, которые произошли недавно. К примеру, запуск или установка какого-либо приложения выдала ошибку, или приложение не устанавливается или не запускается. Это касается и синего экрана BSOD системы. Другими словами, если у вас возникла ошибка в Windows 11/10, то открывайте «Просмотр событий», чтобы понять, что за ошибка и как её модно устранить.

Смотрите еще:

Диагностика ошибок синего экрана смерти BSOD Window
Как проверить оперативную память на ошибки в Windows
Проверка плохих драйверов с Windows Driver Verifier
SFC и DISM: Проверка и Восстановление системных файлов в Windows
CHKDSK: Проверка и восстановление жесткого диска в Windows 10

[ Telegram | Поддержать ]

Источник

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

Зажатием клавиш «Win» + «R» вызвать окно.
Прописать команду «eventvwr».
Нажать «OK».

А второй требует использования панели управления, где требуется:

Выбрать раздел «Система и безопасность».
Проследовать в подраздел «Администрирование».
Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

Приложение (основная) — записи, созданные программами.
Безопасность (основная) — сведения о безопасности системы.
Установка (дополнительная).
Система (основная) — сведения о работе системных компонентов.
Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Нюансы работы в журнале

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

важности;
времени;
источнику;
имени компьютера и пользователя;
коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Вручную

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

Открыть журнал событий.
Нажать правой кнопкой мыши на необходимый раздел.
Выбрать команду «Очистить журнал…».

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Создание файла .bat

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Его необходимо использовать в следующем алгоритме:

Создайте текстовый документ.
Скопируйте в него код, указанный выше.
Сохраните документ с расширением .bat (подробнее о расширениях можно прочесть в статье «Расширения файлов Windows. Как открыть и изменить расширения файлов»)
Запустите полученный файл от имени администратора.

После этого все отчеты будут удалены.

Через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

Нажать клавишу «Win».
Вести «Командная строка».
Запустить утилиту от имени администратора.
Ввести указанную ниже команду и нажать «Enter».

for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1″

Через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

Вертим логи как хотим ― анализ журналов в системах Windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

findstr «Fail» *.log >> fail.txt

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Get-Content -Path ‘C:Program FilesUpdate ServicesLogFilesSoftwareDistribution.log’ | Out-Host -Paging

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

>Get-Content -Path «C:WindowsWindowsUpdate.log» -Tail 5 -Wait

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Select-String -Path «C:WindowsSystem32LogFilesFirewallpfirewall.log» -Pattern ‘Drop’ | Select-Object -Last 20 | Format-Table Line

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Select-String ‘C:WindowsClusterReportsCluster.log’ -Pattern ‘ err ‘ ‑Context 3

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Get-Content ‘C:Windowsdebugnetlogon.log’ | Select-Object -First 30 -Skip 45

Журналы системы ведутся в формате .evtx, и для работы с ними существуют отдельные командлеты. Для работы с классическими журналами («Приложение», «Система», и т.д.) используется Get-Eventlog. Этот командлет удобен, но не позволяет работать с остальными журналами приложений и служб. Для работы с любыми журналами, включая классические, существует более универсальный вариант ― Get-WinEvent. Остановимся на нем подробнее.

Для получения списка доступных системных журналов можно выполнить следующую команду:

Get-WinEvent -ListLog *

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Get-WinEvent -LogName ‘System’ -MaxEvents 20

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

Get-WinEvent -FilterHashTable @{LogName=’System’;ID=’1′,’6013′}

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

0 ― всегда записывать;
1 ― критический;
2 ― ошибка;
3 ― предупреждение;
4 ― информация;
5 ― подробный (Verbose).

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

Get-WinEvent -FilterHashtable @{LogName=’system’} | Where-Object -FilterScript {($_.Level -eq 2) -or ($_.Level -eq 3)}

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

Get-EventLog.
Get-WinEvent.

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

SELECT extract_token(text, 0, ‘ ‘) as date, extract_token(text, 1, ‘ ‘) as time, extract_token(text, 2, ‘ ‘) as action, extract_token(text, 4, ‘ ‘) as src-ip, extract_token(text, 7, ‘ ‘) as port FROM ‘C:WindowsSystem32LogFilesFirewallpfirewall.log’ WHERE action=’DROP’ AND port=’3389′ ORDER BY date,time DESC

Посмотрим на результат:

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManagerOperational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%System32WinevtLogsMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%test.evtx.

Данные будем получать таким запросом:

SELECT timegenerated as Date, extract_token(strings, 0, ‘|’) as user, extract_token(strings, 2, ‘|’) as sourceip FROM ‘%temp%test.evtx’ WHERE EventID = 21 ORDER BY Date DESC

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

SELECT TO_LOCALTIME(TO_TIMESTAMP(EXTRACT_PREFIX(TO_STRING([#Fields: date-time]),0,’T’), ‘yyyy-MM-dd’)) AS Date, COUNT(*) AS FROM ‘C:Program FilesMicrosoftExchange ServerV15TransportRolesLogsMessageTracking*.LOG’ WHERE (event-id=’RECEIVE’) GROUP BY Date ORDER BY Date ASC

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

$LogQuery = New-Object -ComObject «MSUtil.LogQuery» $InputFormat = New-Object -ComObject «MSUtil.LogQuery.FileSystemInputFormat» $InputFormat.Recurse = -1 $OutputFormat = New-Object -ComObject «MSUtil.LogQuery.CSVOutputFormat» $SQLQuery = «SELECT Top 20 Path, Size INTO ‘%temp%output.csv’ FROM ‘C:*.*’ ORDER BY Size DESC» $LogQuery.ExecuteBatch($SQLQuery, $InputFormat, $OutputFormat) $CSV = Import-Csv $env:TEMP’output.csv’ $CSV | fl Remove-Item $env:TEMP’output.csv’ $LogQuery=$NULL $InputFormat=$NULL $OutputFormat=$NULL

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Как открыть

Для запуска нажмите «Win+R», пропишите «control». Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

приложений;
служб;
подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

Система. Содержит действия, которые созданы драйверами и модулями ОС;
Установка;
Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Как использовать просмотр событий Windows для решения проблем с компьютером

05.06.2014 windows | для начинающих
Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

Администрирование Windows для начинающих
Редактор реестра
Редактор локальной групповой политики
Работа со службами Windows
Управление дисками
Диспетчер задач
Просмотр событий (эта статья)
Планировщик заданий
Монитор стабильности системы
Системный монитор
Монитор ресурсов
Брандмауэр Windows в режиме повышенной безопасности

Как запустить программу Просмотра событий

Чтобы осуществить запуск программы Просмотр событий нужно:

Открыть меню Пуск.
Ввести в строке поиска «Просмотр событий».
Нажать Ввод.

Также данная программа открывается через папку Администрирование в меню Пуск.

Важно знать, что все события распределены по категориям – к примеру, в категории Приложения размещены события приложений, в категории Система находятся системные новости. Если же на ПК настроен анализ событий безопасности (аудит событий входа в систему), то сообщения аудита поступают в категорию Безопасность.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Источник

В операционных системах семейства Windows реализована довольно неплохая система журналирования событий безопасности. О ней в различных публикациях и обзорах написано много чего хорошего, но эта статья будет про другое. Здесь мы поговорим о проблемах и недоработках в этой системе. Некоторые из рассматриваемых проблем будут некритичными, лишь осложняющими процедуры анализа событий, другие же будут представлять весьма серьезные угрозы безопасности.

Выявленные проблемы проверялись на Windows 7 Максимальная (русская версия), Windows 7 Professional (английская версия), Windows 10 Pro (русская версия), Windows Server 2019 Datacenter (русская версия). Все операционные системы были полностью обновлены.

Проблема № 1. Неудачная система управления параметрами аудита

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Возьмем Windows 7 и проинсталлируем ее с параметрами по умолчанию. Домен вводить не будем. Посмотрим настройки аудита событий безопасности. Для этого откроем оснастку «Локальные политики безопасности» (secpol.msc, или «Панель управления —> Администрирование —> Локальные политики безопасности») и посмотрим базовые настройки аудита («Параметры безопасности —> Локальные политики —> Политики аудита»).

Как видно, аудит не настроен. Теперь посмотрим расширенные политики аудита («Параметры безопасности —> Конфигурация расширенной политики аудита —> Политики аудита системы — Объект локальной групповой политики»).

Тут аудит тоже не настроен. Раз так, то по идее никаких событий безопасности в журналах быть не должно. Проверяем. Откроем журнал безопасности (eventvwr.exe, или «Панель управление —> Администрирование —> Просмотр событий»).

Вопрос: «Откуда в журнале безопасности события, если аудит вообще не настроен ?!»

Объяснение

Чтобы разобраться в причине подобного поведения, надо залезть «под капот» операционной системы. Начнем с того, что разберемся с базовыми и расширенными политиками аудита.

До Windows Vista были только одни политики аудита, которые сейчас принято называть базовыми. Проблема была в том, что гранулярность управления аудитом в то время была очень низкой. Так, если требовалось отследить доступ к файлам, то включали категорию базовой политики «Аудит доступа к объектам». В результате чего помимо файловых операций в журнал безопасности сыпалась еще куча других «шумовых» событий. Это сильно усложняло обработку журналов и нервировало пользователей.

Microsoft услышала эту «боль» и решила помочь. Проблема в том, что Windows строится по концепции обратной совместимости, и внесение изменений в действующий механизм управления аудитом эту совместимость бы убило. Поэтому вендор пошел другим путем. Он создал новый инструмент и назвал его расширенными политиками аудита.

Суть инструмента заключается в том, что из категорий базовых политик аудита сделали категории расширенных политик, а те, в свою очередь, разделили на подкатегории, которые можно отдельно включать и отключать. Теперь при необходимости отслеживания доступа к файлам в расширенных политиках аудита необходимо активировать только подкатегорию «Файловая система», входящую в категорию «Доступ к объектам». При этом «шумовые» события, связанные с доступом к реестру или фильтрацией сетевого трафика, в журнал безопасности попадать не будут.

Гигантскую путаницу во всю эту схему вносит то, что наименования категорий базовых политик аудита и расширенных не совпадают, и по началу может показаться, что это абсолютно разные вещи, однако это не так.

Приведем таблицу соответствия наименования базовых и расширенных категорий управления аудитом

Важно понимать, что и базовые и расширенные категории по сути управляют одним и тем же. Включение категории базовой политики аудита приводит к включению соответствующей ей категории расширенной политики аудита и, как следствие, всех ее подкатегорий. Во избежание непредсказуемых последствий Microsoft не рекомендует одновременное использование базовых и расширенных политик аудита.

Теперь настало время разобраться с тем, где хранятся настройки аудита. Для начала введем ряд понятий:

Эффективные политики аудита — информация, хранящаяся в оперативной памяти и определяющая текущие параметры работы модулей операционной системы, реализующих функции аудита.
Сохраненные политики аудита — информация, хранящаяся в реестре по адресу HKEY_LOCAL_MACHINESECURITYPolicyPolAdtEv и используемая для определения эффективных политик аудита после перезагрузки системы.

Рассмотрим различные средства администрирования и укажем, какие параметры аудита они отображают, а какие устанавливают. Данные в таблице получены на основании экспериментов.

Поясним таблицу на примерах.

Пример 1

Если запустить утилиту auditpol на просмотр параметров аудита:
auditpol /get /category:*, то будут отображены сохраненные параметры аудита, то есть те, что хранятся в реестре по адресу HKEY_LOCAL_MACHINESECURITYPolicyPolAdtEv.

Пример 2

Если же запустить эту же утилиту, но уже на установку параметров:
auditpol /set /category:*, то будут изменены эффективные настройки аудита и сохраненные параметры аудита.

Отдельного комментария требует порядок отображения параметров аудита в «Базовых политиках аудита» оснастки «Локальные политики безопасности». Категория базовой политики аудита отображается как установленная, если установлены все подкатегории соответствующей ей расширенной политики аудита. Если хотя бы одна из них не установлена, то политика будет отображаться как не установленная.

Пример 3

Администратор с помощью команды auditpol /set /category:* установил все подкатегории аудита в режим «Аудит успехов». При этом если зайти в «Базовые политики аудита» оснастки «Локальные политики безопасности», то напротив каждой категории будет установлено «Аудит успеха».

Пример 4

Теперь администратор выполнил команду auditpol /clear и сбросил все настройки аудита. Затем он установил аудит файловой системы, выполнив команду auditpol /set /subcategory:"Файловая система". Теперь, если зайти в «Базовые политики аудита» оснастки «Локальные политики безопасности», то все категории будут определены в состояние «Нет аудита», так как ни одна категория расширенной политики аудита не определена полностью.

Сейчас, наконец-то, мы сможем ответить на вопрос, откуда логи в свежеустановленной операционной системе. Все дело в том, что после инсталляции аудит в Windows настроен и определен в сохраненных параметрах аудита. В этом можно убедиться, выполнив команду auditpol /get /category:*.

В «Базовых политиках аудита» оснастки «Локальные политики безопасности» эти сведения об аудите не отображаются, так как во всех категориях не определена одна или более подкатегорий. В «Расширенных политиках аудита» оснастки «Локальные политики безопасности» эти сведения не отображаются, так как оснастка работает только c параметрами аудита, хранящимися в файле %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv.

В чем суть проблемы?

По началу может показаться, что все это и не проблема вовсе, но это не так. То, что все инструменты показывают параметры аудита по разному, создает возможность к злонамеренному манипулированию политиками и, как следствие, результатами аудита.

Рассмотрим вероятный сценарий

Пусть в корпоративной сети работает технологическая рабочая станция на базе Windows 7.

Машина не включена в домен и выполняет функции робота, ежедневно отправляющего отчетность в контролирующие органы. Злоумышленники тем или иным образом получили на ней удаленный доступ с правами администратора. При этом основная цель злоумышлеников — шпионаж, а задача — оставаться в системе незамеченными. Злоумышленники решили скрытно, чтоб в журнале безопасности не было событий с кодом 4719 «Аудит изменения политики», отключить аудит доступа к файлам, но при этом чтобы все инструменты администрирования говорили, что аудит включен. Для достижения поставленной задачи они выполнили следующие действия:

На атакуемой рабочей станции предоставили себе права на запись к ключу реестра HKEY_LOCAL_MACHINESECURITYPolicyPolAdtEv и экспортировали этот ключ в файл c именем «+fs.reg».
На другом компьютере импортировали данный файл, перезагрузились, а затем с помощью auditpol отключили аудит файловой системы, после чего экспортировали указанный выше ключ реестра в файл «-fs.reg».
На атакуемой машине импортировали в реестр файл «-fs.reg».
Создали резервную копию файла %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv, расположенного на атакуемой машине, а затем удалили из него подкатегорию «Файловая система».
Перезагрузили атакуемую рабочую станцию, а затем подменили на ней файл %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv ранее сохраненной резервной копией, а также импортировали в реестр файл «+fs.reg»

В результате всех этих манипуляций в журнале безопасности нет записей об изменении политики, все инструменты показывают, что аудит включен, а по факту он не работает.

Проблема № 2. Неудачная реализация журналирования операций удаления файлов, каталогов и ключей реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

На одну операцию удаления файла, каталога или ключа реестра операционная система генерирует последовательность событий с кодами 4663 и 4660. Проблема в том, что из всего потока событий данную парочку не так уж просто связать друг с другом. Для того чтобы это сделать, анализируемые события должны обладать следующими параметрами:

Событие 1. Код 4663 «Выполнена попытка получения доступа к объекту». Параметры события:
«ObjectType» = File.
«ObjectName» = имя удаляемого файла или каталога.
«HandleId» = дескриптор удаляемого файла.
«AcessMask» = 0x10000 (Данный код соответствует операции DELETE. С расшифровкой всех кодов операций можно ознакомиться на сайте Microsoft).

Событие 2. Код 4660 «Объект удален».
Параметры события:

«HandleId» = «HandleId события 1»
«SystemEventRecordID» = «SystemEventRecordID из события 1» + 1.

С удалением ключа (key) реестра всё то же самое, только в первом событии с кодом 4663 параметр «ObjectType» = Key.

Отметим, что удаление значений (values) в реестре описывается другим событием (код 4657) и подобных проблем не вызывает.

Особенности удаления файлов в Windows 10 и Server 2019

В Windows 10 / Server 2019 процедура удаления файла описывается двумя способами.

Если файл удаляется в корзину, то как и раньше — последовательностью событий 4663 и 4660.
Если же файл удаляется безвозвратно (мимо корзины), то одиночным событием с кодом 4659.

Случилось странное. Если раньше для определения удаленных файлов нужно было мониторить совокупность событий 4663 и 4660, то сейчас Microsoft «пошла пользователям на встречу», и вместо двух событий теперь надо мониторить три. Также стоит отметить, что процедура удаления каталогов не поменялась, она как и раньше состоит из двух событий 4663 и 4660.

В чем суть проблемы?

Проблема заключается в том, что узнать кто удалил файл или каталог, становится нетривиальной задачей. Вместо банального поиска соответствующего события по журналу безопасности необходимо анализировать последовательности событий, что вручную делать довольно трудоемко. На хабре даже по этому поводу была статья: «Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell».

Проблема № 3 (критическая). Неудачная реализация журналирования операции переименования файлов, каталогов и ключей реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Эта проблема состоит из двух подпроблем:

В событиях, генерируемых системой во время переименования, нигде не фиксируется новое имя объекта.
Процедура переименования очень похожа на удаление. Отличить ее можно только по тому, что за первым событием с кодом 4663, с параметром «AcessMask» = 0x10000 (DELETE) не идет событие 4660.

Стоит отметить, что применительно к реестру эта проблема распространяется только на ключи (keys). Переименование значений (value) в реестре описывается последовательностью событий 4657 и подобных нареканий не вызывает, хотя, конечно, было бы гораздо удобней, если бы было только одно событие.

В чем суть проблемы?

Помимо затруднения поиска операций переименования файлов подобная особенность журналирования не позволяет отследить полный жизненный цикл объектов файловой системы или ключей реестра. В результате чего на активно используемом файловом сервере становится крайне затруднительно определить историю файла, который многократно переименовывался.

Проблема № 4 (критическая). Невозможно отследить создание каталога и ключа реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Windows не позволяет отследить создание каталога файловой системы и ключа реестра. Это заключается в том, что операционная система не генерирует событие, в котором содержалось бы имя создаваемого каталога или ключа реестра, и параметры которого указывали бы на то, что это именно операция создания.

Теоретически по косвенным признакам выявить факт создания каталога возможно. Например, если он создавался через «Проводник», то в процессе создания будут сгенерированы события опроса атрибутов нового каталога. Проблема в том, что если создать каталог через команду mkdir, то вообще никакие события не генерируются. Всё то же самое справедливо и для создания ключей в реестре.

В чем суть проблемы?

Эта проблема существенно затрудняет проведение расследований инцидентов информационной безопасности. Нет никаких разумных объяснений тому, что в журналах не фиксируется данная информация.

Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows

Наличие проблемы подтверждено на русских редакциях Windows 7/10/Server 2019.

Описание проблемы

В русских версиях Windows есть ошибка, приводящая систему управления аудитом безопасности в нерабочее состояние.

Симптомы

Изменение расширенных политик безопасности не оказывает никакого влияния на эффективные параметры аудита, или, другими словами, политики не применяются. Например, администратор активировал подкатегорию «Вход в систему», перезагрузил систему, запускает команду auditpol /get /category:*, а данная подкатегория остается не активной. Проблема актуальна как для доменных компьютеров, управляемых через групповые политики, так и для не доменных, управляемых с помощью локального объекта групповой политики, конфигурируемого через оснастку «Локальные политики безопасности».

Причины

Проблема возникает, если администратор активировал хотя бы одну из «сбойных» подкатегорий расширенных политик аудита. К подобным сбойным категориям, в частности, относятся:

Использование прав —> Аудит использования прав, затрагивающих конфиденциальные данные. GUID: {0cce9228-69ae-11d9-bed3-505054503030}.
Использование прав —> Аудит использования прав, не затрагивающих конфиденциальные данные. GUID: {0cce9229-69ae-11d9-bed3-505054503030}.
Доступ к объектам —> Аудит событий, создаваемых приложениями. GUID:{ 0cce9222-69ae-11d9-bed3-505054503030}.

В чем суть проблемы?

Наличие данной проблемы уменьшает количество событий безопасности, которые можно контролировать штатным образом через расширенные политики аудита, а также создает угрозы отключения, блокирования и дестабилизации управления системой аудита в корпоративной сети.

Проблема № 6 (критическая). Будь проклят «Новый текстовый документ.txt…, а также Новый точечный рисунок.bmp»

Наличие проблемы подтверждено на Windows 7. Проблема отсутствует в Windows 10/Server 2019.

Описание проблемы

Это очень странная проблема, которая была обнаружена чисто случайно. Суть проблемы в том, что в операционной системе есть лазейка, позволяющая обойти аудит создания файлов.

Подготовительная часть:

Возьмем свежеустановленную Windows 7.
Сбросим все настройки аудита с помощью команды auditpol /clear. Данный пункт необязательный и служит только для удобства анализа журналов.
Установим аудит файловой системы, выполнив команду auditpol /set /subcategory:"Файловая система".
Создадим каталог C:TEST и назначим ему параметры аудита для учетной записи «Все»: «Создание файлов / Запись данных», «Создание папок / Дозапись данных», «Запись атрибутов», «Запись дополнительных атрибутов», «Удаление вложенных папок и файлов», «Удаление», «Смена разрешений», «Смена владельца», то есть все, что связано с записью данных в файловую систему.

Для наглядности перед каждым экспериментом будем очищать журнал безопасности операционной системы.

Эксперимент 1.
Делаем:

Из командной строки выполним команду: echo > "c:testНовый текстовый документ.txt"
Наблюдаем:

По факту создания файла в журнале безопасности появилось событие с кодом 4663, содержащее в поле «ObjectName» имя создаваемого файла, в поле «AccessMask» значение 0x2 («Запись данных или добавление файла»).

Для выполнения следующих экспериментов очистим папку и журнал событий.

Эксперимент 2.
Делаем:

Через «Проводник» откроем папку C:TEST и с помощью контекстного меню «Создать —> Текстовый документ», вызываемому по клику правой кнопки мыши, создаем файл «Новый текстовый документ.txt».

Наблюдаем:

В журнале событий данное действие никак не отразилось!!! Также никаких записей не будет, если с помощью того же контекстного меню создать «Точечный рисунок».

Эксперимент 3.
Делаем:

Через «Проводник» откроем папку C:TEST и с помощью контекстного меню «Создать —> Документ в формате RTF», вызываемому по клику правой кнопки мыши, создаем файл «Новый документ в формате RTF.rtf».

Наблюдаем:

Как и в случае с созданием файла через командную строку в журнале появилось событие с кодом 4663 и соответствующим наполнением.

В чем суть проблемы?

Конечно создание текстовых документов или картинок особого вреда не представляет. Однако, если «Проводник» умеет обходить журналирование файловых операций, то это смогут сделать и вредоносы.

Данная проблема является, пожалуй, наиболее значимой из всех рассмотренных, поскольку серьезно подрывает доверие к результатам работы аудита файловых операций.

Заключение

Приведенный перечень проблем не исчерпывающий. В процессе работы удалось споткнуться о еще довольно большое количество различных мелких недоработок, к которым можно отнести использование локализованных констант в качестве значений параметров ряда событий, что заставляет писать свои анализирующие скрипты под каждую локализацию операционной системы, нелогичное разделение кодов событий на близкие по смыслу операции, например, удаление ключа реестра — это последовательность событий 4663 и 4660, а удаление значения в реестре — 4657, ну и еще по мелочи…

Справедливости ради отметим, что несмотря на все недостатки система журналирования событий безопасности в Windows имеет большое количество положительных моментов. Исправление указанных здесь критических проблем может вернуть системе корону лучшего решения по журналированию событий безопасности из коробки.

MAKE WINDOWS SECURITY EVENT LOGGING GREAT AGAIN!

Источник

При анализе неполадок в работе Windows администраторами нередко используются сведения из системного журнала, в который автоматически записываются все более или менее важные события. Журнал Windows хранит много полезных сведений, тем не менее, у вас может возникнуть необходимость его очистить. Сделать это можно несколькими способами. Удаление записей журнала вручную используется чаще всего, так как позволяет очищать конкретные разделы.

Ручная очистка

Здесь всё предельно просто. Откройте через меню Пуск оснастку событий, разверните журнал и, кликнув правой кнопкой на нужный раздел, выберите в меню опцию «Очистить журнал…».

Данные будут удалены.

С помощью командной строки

Для быстрой очистки всех разделов сразу можно использовать командную строку. Запустите консоль от имени администратора и выполните в ней такую команду:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

После нажатия Enter вы увидите, как удаляются записи.

Эта команда очищает журнал полностью, впрочем, с помощью командной строки можно также можно очистить конкретный журнал.

Сначала командой wevtutil el|more выведите список доступных журналов.

Выберите нужный и очистите его, выполнив команду следующего вида:

wevtutil.exe cl NameLog

NameLog в данном случае — имя очищаемого журнала.

Его нужно будет заменить реальным именем, взятым из полученного ранее списка.

С помощью PowerShell

Для полной очистки журнала событий Windows 10 также можно использовать PowerShell. Запустите консоль от имени администратора и выполните в ней связку двух командлетов:

wevtutil el | Foreach-Object {wevtutil cl "$_"}

За исключением пары-тройки записей, к которым вы не имеете прямого доступа, всё содержимое журнала Windows будет полностью удалено.

Загрузка…

Источник

В системе Windows находится очень важный ее компонент — Журнал событий. Журнал событий в Windows 10 представляет собой средство, которое помогает программам и системе записывать и сохранять извещения в одном месте. В нем регистрируются все коды ошибок, сообщения и уведомления программ.

Зачастую люди, нечистые на руку, пользуются Журналом событий Windows для обмана пользователей – вредоносное ПО, проникшее в ПК, отсылает в журнал предостережение об ошибке в работе ОС. Далее, информационный преступник, звонит выбранному для обманных действий пользователю. Он просит открыть Просмотр событий, представившись перед тем сотрудником Майкрософт, чтобы жертва увидела уведомление об серьезной ошибке в системе. Обманщик просит информацию по кредитной карте (номер, срок действия и 3 защитные цифры на обороте) для предполагаемого исправления ошибки, которая якобы наносит вред компьютеру. Эта схема обмана достаточно стара, но она до сих пор работает.

Если ваше компьютерное устройство работает нормально, можно не обращать внимание на временами появляющиеся ошибки в Журнале событий в Windows 10. Однако, если в системе возникли сбои, то тогда при помощи Журнала событий можно провести диагностику и узнать от чего они появились.

Как запустить программу Просмотра событий

Чтобы осуществить запуск программы Просмотр событий нужно:

Открыть меню Пуск.
Ввести в строке поиска «Просмотр событий».
Нажать Ввод.

Также данная программа открывается через папку Администрирование в меню Пуск.

Исправление ошибок в журнале событий

Периодическое появление различных кодов ошибок и извещений в программе Просмотр событий не должно посеять у вас панику. Эти уведомления не всегда сигнализируют об опасности для системы ПК. Иногда они могут регистрироваться на полностью исправном компьютерном устройстве.

Просмотр событий создан для того, чтобы облегчить наблюдение за девайсом Системному администратору, а также помочь в устранении ошибок. Если ПК не сбоит, то ошибка, зарегистрированная в Журнале событий, не несет большой опасности.

Даже извещения, предупреждающие об ошибке, для обычного пользователя компьютера не серьезны. Если у вас есть права Системного администратора, то Журнал событий в Windows 10 поможет вам устранить ошибку на сервере. Если же у вас нет полномочий админа, то этот информационный компонент системы мало чем пригодится.

Просмотр событий: пользовательская инструкция

Пока ваше ПК нормально функционирует, то Журнал событий не сильно нужен. Однако, он очень помогает, когда появляются различные проблемы с компьютерным устройством — самопроизвольная перезагрузка или возникновение экранов смерти. Журнал событий детально информирует о причинах сбоев. Например, регистрация об ошибке в категории Система сообщает про неудачный запуск системной службы или другой сбой.

Журнал событий также можно использовать для мониторинга включения/выключения вашего компьютера. При наличии сервера, который нельзя выключать, можно настроить проверку событий выключения ПК, что дает возможность быстро включать сервер.

Также можно использовать Журнал событий в Windows 10 вместе с Планировщиком задач. Для этого нужно нажать на любое событие правой кнопкой мышки. Далее откроется контекстное меню, где нужно выбрать «Привязать задачу к событию». Когда появится такое событие, система автоматически запустит исполнение созданной задачи.