Показать журнал для всех процессов windows 10

Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на устройстве, и если вы вошли на устройство с помощью рабочей или учебной учетной записи и предоставили ваше разрешение, Windows отправляет журнал действий в корпорацию Майкрософт. Затем корпорация Майкрософт использует данные журнала действий, чтобы предоставить вам персонализированные возможности (например, упорядочивания действий на основе длительности использования) и соответствующие предложения (например, прогнозирование потребностей на основе журнала действий).

Вы можете управлять параметрами журнала действий, чтобы выбрать, что хранить и делиться ими.

Функции, использующие журнал действий

В следующих функциях Windows используется журнал действий. Вернитесь на эту страницу после выпуска и обновления Windows, чтобы узнать о новых службах и функциях, использующих журнал действий:

• Временная шкала. Просмотрите временную шкалу действий и выберите, следует ли возобновить эти действия с устройства. Например, предположим, что вы редактируем документ Word на устройстве, но не можете завершить работу до того, как вам придется перестать работать в течение дня. Если на странице параметров журнала действий включить журнал действий в Магазине на этом устройстве, вы увидите, что действие Word на временной шкале будет отображаться на следующий день и в течение следующих нескольких дней, а затем вы сможете продолжить работу над ним. Если вы выполняете вход с помощью рабочей или учебной учетной записи, вы можете возобновить работу с другого устройства, если на странице параметров журнала действий включен параметр отправки журнала действий в Microsoft или если в Windows 11 включен параметр «Специализированные возможности» на странице параметров отзывов & диагностики в Windows 10.

• Microsoft Edge. При использовании устаревшая версия Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действий не будет сохранен при просмотре в окнах InPrivate.

Корпорация Майкрософт также использует журнал действий для улучшения продуктов и служб Майкрософт при включении параметра отправки журнала действий в корпорацию Майкрософт. Мы применяем методы машинного обучения, чтобы лучше понять, как клиенты в общем используют наши продукты и службы. Мы также отслеживаем ошибки, с которыми сталкиваются клиенты, и помогаем их исправить.

Параметры учетной записи Майкрософт не позволяют отправлять журнал действий в корпорацию Майкрософт, но журнал действий будет храниться на устройстве, чтобы отслеживать действия.

Журнал действий для нескольких учетных записей

Для нескольких учетных записей журнал действий собирается и хранится локально для каждой локальной учетной записи, учетной записи Майкрософт, рабочей или учебной учетной записи, связанной с устройством, в учетных записях > параметров > Email & учетных записях. При отправке журнала действий для рабочей или учебной учетной записи в корпорацию Майкрософт действия из основной рабочей или учебной учетной записи на этом устройстве отправляются в корпорацию Майкрософт. Если у вас несколько устройств и несколько учетных записей на этих компьютерах, вы сможете увидеть журнал действий из основной учетной записи второго устройства на первом устройстве (в качестве дополнительного учетной записи). Эти учетные записи также можно просмотреть в разделе Windows 10 «Параметры > Конфиденциальность>» и в Windows 11 в разделе «Параметры > Конфиденциальность & Журнал действий>«, где можно отфильтровать действия из определенных учетных записей, отображаемые на временной шкале. Скрытие учетной записи не приводит к удалению данных на устройстве или в облаке.

Дополнительные сведения о том, как продукты и службы Майкрософт используют эти данные для персонализации взаимодействия с соблюдением конфиденциальности, см. в заявлении о конфиденциальности.

Управление параметрами журнала действий

Журнал действий можно настраивать. В любое время можно остановить сохранение журнала действий или отправить его в корпорацию Майкрософт.

Остановка локального сохранения журнала действий на устройстве

1. Нажмите кнопку «Пуск», а затем выберите параметры > конфиденциальности & безопасности >действий.

2. Переключите журнал действий Магазина на этом устройстве на«Выкл.».

Открытие параметров журнала действий

Примечание: Если отключить этот параметр, вы не сможете использовать какие-либо функции на устройстве, которые зависят от журнала действий, например временную шкалу. Вы по-прежнему сможете просматривать журнал браузера в Microsoft Edge.

Прекратить отправку журнала действий для рабочей или учебной учетной записи в корпорацию Майкрософт

1. Нажмите кнопку «Пуск», а затем выберите параметры > конфиденциальности & безопасности >действий.

2. Переключите параметр «Отправить журнал действий» в параметр «Майкрософт» на «Выкл.».

Примечание: В Windows есть дополнительные параметры конфиденциальности, которые определяют, отправляются ли данные журнала действий и просмотра приложений в корпорацию Майкрософт, например параметр диагностических данных.

Вы можете очистить и удалить журнал действий, хранимый на устройстве, и журнал действий, отправляемый в облако Майкрософт. 

Очистка журнала действий

1. Нажмите кнопку «Пуск», а затем выберите параметры > конфиденциальности & безопасности >действий.

2. Рядом с полем «Очистить журнал действий» для этой учетной записи выберите » Очистить журнал».

Если у вас несколько учетных записей, а ваша рабочая или учебная учетная запись является основной учетной записью на устройстве, очистка журнала действий приведет к удалите любую из ваших рабочих и (или) учебных записей, синхронизированных с облаком.

На временной шкале можно очистить отдельные действия (или все действия) за отдельный день. Для этого щелкните правой кнопкой мыши действие и выберите нужный параметр.

Остановка локального сохранения журнала действий на устройстве

1. Нажмите кнопку «Пуск», а затем выберите параметры > конфиденциальности >журнала действий.

2. Снимите флажок «Сохранить журнал действий» на этом устройстве.

Открытие параметров журнала действий

Примечания: 

• Если отключить этот параметр, вы не сможете использовать какие-либо функции на устройстве, которые зависят от журнала действий, например временную шкалу. Вы по-прежнему сможете просматривать журнал браузера в Microsoft Edge.

• В предыдущих версиях Windows этот параметр назывался «Разрешить Windows собирать мои действия с этого компьютера».

Прекратить отправку журнала действий для рабочей или учебной учетной записи в корпорацию Майкрософт

1. Нажмите кнопку «Пуск», а затем выберите параметры > конфиденциальности > диагностики & отзывов.

2. Переключите параметр «Специализированные возможности» на «Выкл.».

Примечания: 

• В предыдущих версиях Windows этот параметр назывался Let Windows sync my activities from this PC to the cloud.

• В Windows есть дополнительные параметры конфиденциальности, которые определяют, отправляются ли данные журнала действий и просмотра приложений в корпорацию Майкрософт, например параметр диагностических данных.

Вы можете очистить и удалить журнал действий, хранимый на устройстве, и журнал действий, отправляемый в облако Майкрософт. 

Очистка журнала действий

1. Нажмите кнопку «Пуск», а затем выберите параметры > конфиденциальности >журнала действий.

2. В разделе «Очистить журнал действий» выберите » Очистить».

Если у вас несколько учетных записей, а ваша рабочая или учебная учетная запись является основной учетной записью на устройстве, очистка журнала действий приведет к удалите любую из ваших рабочих и (или) учебных записей, синхронизированных с облаком.

На временной шкале можно очистить отдельные действия (или все действия) за отдельный день. Для этого щелкните правой кнопкой мыши действие и выберите нужный параметр.

Содержание

• Просмотр событий в Виндовс 10
  • Способ 1: «Панель управления»
  • Способ 2: Окно «Выполнить»
  • Способ 3: Поиск по системе
  • Создание ярлыка для быстрого запуска
• Заключение
• Вопросы и ответы

«Просмотр событий» — один из множества стандартных инструментов Виндовс, предоставляющий возможность просмотра всех событий, происходящих в среде операционной системы. В числе таковых всевозможные неполадки, ошибки, сбои и сообщения, связанные как непосредственно с ОС и ее компонентами, так и сторонними приложениями. О том, как в десятой версии Windows открыть журнал событий с целью его дальнейшего использования для изучения и устранения возможных проблем, пойдет речь в нашей сегодняшней статье.

Существует несколько вариантов открытия журнала событий на компьютере с Windows 10, но в целом все они сводятся к ручному запуску исполняемого файла или его самостоятельному поиску в среде операционной системы. Расскажем подробнее о каждом из них.

Способ 1: «Панель управления»

Как понятно из названия, «Панель» предназначена для того, чтобы управлять операционной системой и входящими в ее состав компонентами, а также быстрого вызова и настройки стандартных инструментов и средств. Неудивительно, что с помощью этого раздела ОС можно вызвать в том числе и журнал событий.

Читайте также: Как открыть «Панель управления» в Виндовс 10

1. Любым удобным способом откройте «Панель управления». Например, нажмите на клавиатуре «WIN+R», введите в строку открывшегося окна выполнить команду «control» без кавычек, нажмите «ОК» или «ENTER» для запуска.



2. Найдите раздел «Администрирование» и перейдите в него, кликнув левой кнопкой мышки (ЛКМ) по соответствующему наименованию. Если потребуется, предварительно измените режим просмотра «Панели» на «Мелкие значки».



3. Отыщите в открывшейся директории приложение с наименованием «Просмотр событий» и запустите его двойным нажатием ЛКМ.



Журнал событий Windows будет открыт, а значит, вы сможете перейти к изучению его содержимого и использованию полученной информации для устранения потенциальных проблем в работе операционной системы либо же банальному изучению того, что происходит в ее среде.

Способ 2: Окно «Выполнить»

И без того простой и быстрый в своем выполнении вариант запуска «Просмотра событий», который нами был описан выше, при желании можно немного сократить и ускорить.

1. Вызовите окно «Выполнить», нажав на клавиатуре клавиши «WIN+R».



2. Введите команду «eventvwr.msc» без кавычек и нажмите «ENTER» или «ОК».



3. Журнал событий будет открыт незамедлительно.

Способ 3: Поиск по системе

Функцию поиска, которая в десятой версии Виндовс работает особенно хорошо, тоже можно использовать для вызова различных системных компонентов, и не только их. Так, для решения нашей сегодняшней задачи необходимо выполнить следующее:

1. Нажмите по значку поиска на панели задач левой кнопкой мышки или воспользуйтесь клавишами «WIN+S».



2. Начните вводить в поисковую строку запрос «Просмотр событий» и, когда увидите в перечне результатов соответствующее приложение, кликните по нему ЛКМ для запуска.



3. Это откроет журнал событий Windows.





Читайте также: Как сделать панель задач в Виндовс 10 прозрачной

Создание ярлыка для быстрого запуска

Если вы планируете часто или хотя бы время от времени обращаться к «Просмотру событий», рекомендуем создать на рабочем столе его ярлык – это поможет ощутимо ускорить запуск необходимого компонента ОС.

1. Повторите шаги 1-2, описанные в «Способе 1» данной статьи.



2. Отыскав в списке стандартных приложений «Просмотр событий», кликните по нему правой кнопкой мышки (ПКМ). В контекстном меню выберите поочередно пункты «Отправить» — «Рабочий стол (создать ярлык)».



3. Сразу же после выполнения этих простых действий на рабочем столе Windows 10 появится ярлык под названием «Просмотр событий», который и можно использовать для открытия соответствующего раздела операционной системы.



Читайте также: Как создать ярлык «Мой компьютер» на рабочем столе Виндовс 10

Заключение

Из этой небольшой статьи вы узнали о том, как на компьютере с Windows 10 можно посмотреть журнал событий. Сделать это можно с помощью одного из трех рассмотренных нами способов, но если к данному разделу ОС приходится обращаться довольно часто, рекомендуем создать ярлык на рабочем столе для его быстрого запуска. Надеемся, данный материал был полезен для вас.

Еще статьи по данной теме:

Помогла ли Вам статья?

Вкладка «Детали» содержит тот же список процессов, который вы найдёте на вкладке «Процессы», но в более компактном табличном формате. Перейти на эту вкладку можно просто щёлкнув на ней и прокрутив её листинг. Другой вариант добраться до неё — щёлкнуть во вкладке «Процессы» правой кнопкой мыши на определённой записи и нажать «Перейти к деталям».

Вкладка детали

Расположение по умолчанию, включает в себя семь колонок и предлагает несколько деталей, которых вы не найдёте на вкладке процессов.

Вкладка деталей предлагает гораздо больше информации о каждом запущенном процессе, включая идентификатор процесса (PID), который полезен и в других средствах устранения неполадок.

Вот что нужно искать в этих семи столбцах по умолчанию:

 Название. Эта колонка не может быть удалена из схемы таблицы и показывает имя связанного с процессом исполняемого файла. В случае локальных служб, название исполняемого файла Svchost.exe. И это нормально, если здесь вы видите несколько его экземпляров.

 PID номер идентификатора процесса. Однозначно идентифицирует отдельный процесс. Это бесценно для поиска информации на вкладке «Службы» и в других инструментах, например, монитор ресурсов или командная строка tasklist.exe.

 Статус. Как следует из названия, показывает текущее состояние процесса. Большинство процессов Windows, настольных приложений и сервисов будут отображаться как запущенные. Приложения Windows 10, которые выполняются в фоновом режиме могут иметь статус приостановленных.

 Программы пользователя. В этой колонке отображаются программы, которые вы запускаете в интерактивном режиме или стартующие при вашем входе в систему под именем пользователя. Процессы (как правило, службы), которые работают с более высокими привилегиями, показывают используемую ими встроенную учётную запись.

 CPU. Эта колонка такая же, как и на вкладке «Процессы» и управляется с той же скоростью, как и обновление этих измерений.

 Память. (Private Working Set) Эта колонка дублирует информацию в столбце соответствия на вкладке процессов, за исключением того, что значения отображаются в килобайтах вместо мегабайт.

 Описание. Текст в этой колонке поставляется в виде метаданных (описание файла) разработчиком исполняемого файла. Он идентичен тому, что появляется в столбце «Имя» на вкладке процессов. Чтобы увидеть дополнительную информацию о процессе, включая номера версий и дату/время штампов, щёлкните правой кнопкой мыши по его записи, затем, в появившемся контекстном меню, выберите команду «Свойства» и перейдите на вкладку «Сведения».

Почему процесс System Idle так загружает процессор?

Существует одна запись, которая видима на вкладке «Детали», но не отображается на вкладке «Процессы». Процесс System Idle всегда имеет PID 0 и, несмотря на название, на самом деле вообще не является процессом. Он измеряет тактовые циклы в момент, когда процессор не используется любыми другими процессами, и, таким образом, находится в режиме ожидания. Использующие диспетчер задач пользователи, часто бывают встревожены тем, что процесс System Idle использует 90 или более процентов ЦП. На самом деле это не причина для беспокойства. Фактически, это значение указывает на то, сколько ресурсов процессора не используются и доступны для использования другими программами. Чем выше это значение, тем меньше нагрузки на вашем процессоре.

Щёлкните правой кнопкой мыши на любом названии процесса, чтобы увидеть контекстное меню дополнительных опций.

Можно щёлкнуть правой кнопкой мыши на любом процессе, вкладка деталей, и найти соответствующий файл в File Explorer.

Другие опции, дают вам возможность выполнять поиск информации или инспектировать свойства файла. Первая опция в этом меню, «Завершить задачу», дублирует кнопку в правом нижнем углу. Остальные параметры, в трёх верхних группах, используются редко. Нижние четыре опции, вы можете использовать для дальнейшего изучения неизвестного или проблемного процесса.

Скептически относитесь к онлайн-источникам

Опция онлайн поиска отправляет значения из полей названия и описания в поисковую систему, используя браузер по умолчанию. Результаты этого поиска могут быть не правильны, особенно для системных процессов, чьи имена были переориентированы авторами вредоносных программ. В общем, лучше предпочесть информацию из официального источника, такого как TechNet или MSDN. Хотя некоторые ресурсы сообщества достаточно надёжны. Среди фаворитов Stack Overflow (stackoverflow.com) и Bleeping Computer (bleepingcomputer.com). Но информация в общественных форумах, в том числе официальных answers.microsoft.com, может быть дико разной. Не думайте, что утверждение из казалось бы хорошо осведомленного форума обязательно точное.

Как и в случае с подобным устройством табличного детального вида проводника, с помощью нескольких общих трюков, макет можно изменить:

 Перетащите заголовки столбцов влево или вправо, чтобы изменить их порядок.

 Нажмите любой заголовок для сортировки по этой статье. Например, нажатие на заголовок CPU или память, перемещает в верхнюю часть списка максимально использующие ресурсы процессы. Кроме этого, вы можете нажать на заголовок группы процессов имя пользователя, которые находятся под контролем системной учётной записи или запущены в контексте конкретных локальных служб.

 Щёлкните правой кнопкой мыши на заголовке любого столбца, а затем выберите «Сортировать колонки», чтобы добавить или удалить столбцы из таблицы. Например, заголовок «Командная строка», показывает точную, используемую для запуска процесса, команду. Вот некоторые другие столбцы, которые стоит добавить. Платформа — разделяет 32-разрядные и 64-битные процессы. Повышенные привилегии — показывает процессы, запущенные с административными правами. Объекты GDI — показывает какую часть нагрузки конкретный процесс передаёт графическому процессору (GPU).

 Щёлкните правой кнопкой мыши на любом заголовке столбца (за исключением имени) и выбрав команду «Скрыть столбец», удалите его из таблицы.

Вкладка службы

На вкладке процессы, разверните любую запись узла службы, чтобы увидеть отдельные службы, работающие в контексте этого процесса. Открытие вкладки «Службы» обеспечивает отображение всех, работающих или остановленных служб, с несколькими дополнительными деталями, которые вы не найдёте на вкладке процессы. Дополнительная информация, в виде таблицы, включает идентификатор процесса для запуска служб, а также имя службы (это полезно, если вы хотите использовать команды sc, для управления службой из командной строки или скрипт) и группу, частью которой она является. Щёлкните правой кнопкой мыши на любом из процессов, чтобы запустить или остановить его.

Вкладка «Службы», в диспетчере задач, предлагает только базовые элементы управления для запуска, остановки и перезапуска служб. Нажмите «Открыть службы», чтобы использовать более мощные консоли служб.

Если вам нужно приостановить или возобновить работу службы или изменить её поведение при запуске, откройте консоль «Службы» (Services.msc) с помощью команды из контекстного меню.

Управление запуском приложений и мониторинг использования ресурсов

Приложения и службы, которые запускаются автоматически при включении ПК или входе в учётную запись пользователя — не всегда однозначно полезны. Да, это удобно, но они могут привести к снижению производительности. А иногда, просто нет никаких веских оснований для автоматического запуска, без вашего согласия, сторонних программ.

Предыдущие версии Windows предусматривали не удобные элементы управления в средстве настройки системы (MSConfig.exe), которые можно использовать для управления многими (но не всеми) из этих программ и служб. Теперь эти опции, слегка расширены и доступны на вкладке «Автозагрузка» в диспетчере задач.

Используйте кнопку «Отключить», чтобы временно убрать процесс из автоматического запуска.

В столбце Startup Impact показана не точная оценка того, что конкретный процесс «отъест» у вашей системы при запуске. А также, полезная деталь, которую легко вы не найдёте нигде — Last BIOS Time. На устройстве с прошивкой UEFI это значение должно быть менее 5 секунд. Как правило, старые ПК, с обычной версией BIOS, для запуска требуют более 20 секунд.

Хотя вкладка «Автозагрузка» в версии Windows 10 лучше, чем в предыдущих версиях, до настоящего удобства ещё далеко. Для точного обнаружения и управления автоматически запускающимися программами и службами, используйте AutoRuns, один из бесплатных инструментов Sysinternals.

Для более подробной информации о любом элементе в списке автозагрузки, кликнете правой кнопкой мыши этот элемент и затем, в контекстном меню, выберите команду «Свойства». Потом, для просмотра сведений о программе, включая разработчиков и номер версии, щёлкните вкладку «Сведения».

Вкладка «Журнал приложений» показывает цветные значения использования системных ресурсов в текущей учётной записи пользователя и системной учётной записи.

Тёмные цвета градиентов в листинге журнала, указывают на приложения, которые используют больше ресурсов.

На первый взгляд эта вкладка может показаться полезной только для удовлетворения праздного любопытства, но с несколькими настройками, вы можете превратить свои данные в полезную информацию. Например, если вы находитесь в не измеряемой сети Wi-Fi, но вам необходимо тщательно контролировать использование данных, попробуйте следующее:

1. Нажмите «Параметры» и выберите команду «Показать журнал для всех процессов». Раскроется список настольных приложений Windows и служб.

2. Нажмите «Обнулить историю использования во всех значениях».

3. Щёлкните заголовок «Сети», чтобы отсортировать список по количеству используемых в порядке убывания данных.

Диспетчер задач контролирует использование ЦП и сети в фоновом режиме, независимо от того, открыт он или нет. В любой момент, вы можете проверить значения на этой вкладке и увидеть какие приложения используют больше данных, чем вы ожидали. Если что-то нашли, вы можете быстро настроить нужные вам параметры и избежать потери части данных или лишних расходов за превышение лимита.

Диспетчер задач Windows 10 может стать золотым прииском информации, когда речь идет о приложениях и о том, как они используют ресурсы вашего компьютера. Хотя большинство вкладок отображает данные в режиме реального времени, вкладка « История приложений » собирает и сообщает статистику использования приложений и программ, запущенных на вашем компьютере или устройстве за последний месяц. Эта функция полезна, особенно для пользователей мобильных устройств, таких как ноутбуки, планшеты или гаджеты 2-в-1, поскольку она помогает идентифицировать приложения, которые используют более ограниченные ресурсы таких устройств. Вот все, что вам нужно знать о вкладке « История приложений » в диспетчере задач Windows 10:

ПРИМЕЧАНИЕ . Снимки экрана и инструкции, приведенные в данном руководстве, относятся к обновлению Windows 10 мая 2019 или более поздней версии. Если вы не знаете, какая у вас версия Windows 10, прочитайте: Как проверить версию Windows 10, сборку ОС, редакцию или тип.

Как получить доступ к вкладке истории приложений в диспетчере задач Windows 10

Чтобы получить доступ к вкладке истории приложений , сначала необходимо запустить диспетчер задач. Нам было проще всего использовать сочетание клавиш «Ctrl + Shift + Esc». Если вы ранее не обращались к этому инструменту в Windows 10, он открывается в так называемом компактном представлении, предоставляя список приложений, работающих в данный момент на вашем устройстве. При нажатии или нажатии « Подробнее» открывается полная версия диспетчера задач .

По умолчанию полная версия диспетчера задач открывается на вкладке «Процессы». Следующий шаг — перейти на вкладку истории приложений .

СОВЕТ: Вы можете настроить Диспетчер задач так, чтобы он открывался на любой вкладке, в том числе на вкладке Журнал приложений .

Как настроить данные приложения, отображаемые на вкладке «Журнал приложений» в диспетчере задач

Вкладка истории приложения организована в столбцы. Вы можете щелкнуть или нажать на заголовок столбца и перетащить его влево или вправо, чтобы упростить просмотр интересующей вас информации. При первом ее открытии на вкладке « История приложения » отображаются пять столбцов:

• Имя — отображает название приложения.
• CPU Time — показывает общее количество процессорного времени, которое заняло приложение.
• Сеть — отображает общее использование сети приложением в МБ.
• Измеренная сеть — отображает общее использование сети в сети, отмеченной как измеренная.
• Tile Updates — показывает количество использования сети для обновления активной плитки выбранного приложения.

По умолчанию приложения в списке отсортированы по алфавиту. Щелчок по любому из заголовков столбцов сортирует отображаемые данные на основе значений, отображаемых в этом столбце.

Если щелкнуть правой кнопкой мыши или нажать и удерживать любой из заголовков столбцов, вы получите доступ к контекстному меню, которое позволяет добавлять дополнительные столбцы данных на вкладку истории приложений . Просто выберите нужные вам столбцы и отмените выбор тех, которые вас не интересуют.

Вот краткий обзор того, что отображают дополнительные столбцы при выборе:

• Non-Metered Network — показывает использование сети в сетях, которые не помечены как измеренные.
• Загрузки — отображает объем данных, загруженных приложением в МБ.
• Uploads — отображает объем данных, загруженных приложением, в МБ.

Как получить доступ к приложениям на вкладке «История приложений» в диспетчере задач Windows 10

В то время как вкладка «Автозагрузка» диспетчера задач позволяет отключить определенные приложения, а службы могут полностью управляться с помощью соответствующей вкладки, вкладка « История приложений » позволяет получить доступ к любому из приложений, перечисленных в нем. Щелкните правой кнопкой мыши или нажмите и удерживайте приложение, чтобы открыть контекстное меню, и нажмите или коснитесь единственного доступного параметра: Перейти к .

Это заставляет соответствующее приложение открываться или его окно приложения становится активным на переднем плане.

Как отобразить исторические данные для всех процессов на вкладке истории приложений в Диспетчере задач

По умолчанию вкладка « Журнал приложений » отображает только использование для современных приложений, распространяемых через Магазин Microsoft . Тем не менее, вы можете извлечь из этого больше информации и отобразить одинаковую информацию для всех процессов на вашем устройстве с Windows 10. Нажмите или коснитесь Параметры, а затем «Показать историю для всех процессов ».

После выбора этого параметра на вкладке « Журнал приложений» диспетчера задач отобразятся все приложения, программы и фоновые процессы, которые запускаются на компьютере или устройстве с Windows 10. Это дает вам полный обзор ресурсов, используемых процессами, запущенными на вашем устройстве за последний месяц.

Как использовать вкладку истории приложений, чтобы узнать больше о процессах

Контролируя вкладку « История приложения », вы можете заметить процессы, которые, кажется, сжигают мегабайты, как если бы они были горячими крыльями во время большой игры. Это может стать проблемой, особенно если ресурсы, используемые определенным процессом, ограничены, поэтому, если вы похожи на нас, вы можете остановить любое ненужное использование ресурсов. Проблема в том, что не все процессы названы дружественным и узнаваемым образом. Если вы столкнулись с загадочным процессом, щелкните правой кнопкой мыши или нажмите и удерживайте его, чтобы открыть контекстное меню, предлагающее несколько полезных опций.

Нажмите или вкладку « Свойства», чтобы открыть окно « Свойства» для любого из перечисленных процессов.

Перейдите на вкладку Details для получения списка информации о приложении. Возможно, вы сможете узнать, кто его создал. Если вы видите Microsoft, Intel или другое доверенное имя, например имя вашего антивируса, это, вероятно, важный или иным образом важный процесс.

Если этого недостаточно, попробуйте выбрать Поиск онлайн из контекстного меню. Ваш веб-браузер по умолчанию открывает новую вкладку и ищет имя процесса в Bing (независимо от поисковой системы по умолчанию). Просмотр лучших результатов должен предлагать всю информацию, необходимую для идентификации процесса и выяснения, почему он использует так много ваших данных.

Полезные способы работы с вкладкой «Журнал приложений» в диспетчере задач Windows 10

Привыкнув к мониторингу приложений Windows 10 на вкладке « Журнал приложений» в Диспетчере задач , вы начинаете замечать, какие приложения используют какие ресурсы чаще всего. Но чтобы дать вам преимущество, вот какие приложения нужно искать:

Пользователи процессорного времени — вы хотите следить за пользователями CPU, поскольку они тратят большую часть времени работы вашего мобильного устройства от батареи. Очевидно, что любое приложение, которое вы используете в течение длительного времени, накапливает процессорное время (количество времени, потребляемое процессором). Даже Opera , которая относительно легка, может сложиться, если вы проводите много времени в Интернете. Приложения, на которые вы хотите обратить внимание, — это более крупные и насыщенные приложения, в том числе игры и мультимедийные приложения.

Пользователи сети — бесполезно тратить время работы от батареи, но чрезмерное использование сети может стоить вам денег. Вы хотите, чтобы вы обратили внимание на любое приложение, которое работает через Интернет. Это включает в себя веб-браузеры, такие как Opera , Google Chrome , Microsoft Edge или Mozilla Firefox .

Однако хуже, чем браузеры, есть приложения, которые транслируют HD-видео. Вы можете не осознавать этого, но когда вы транслируете последний эпизод Game of Thrones , весь этот видеофайл загружается на ваше устройство во время просмотра. Вы можете накопить за несколько часов работы с данными, даже не работая над этим. Как и Джон Сноу, вы ничего не знаете, пока не проверите отчеты об использовании на вкладке « История приложения ».

Как очистить данные истории вашего приложения в диспетчере задач

При просмотре данных истории вашего приложения может быть трудно определить, насколько быстро ваши приложения увеличивают использование сети. Вы можете заметить, что Netflix использовал концерты данных, но если эти данные за последний месяц, это может быть не так уж плохо. Однако если с момента начала регистрации данных прошло всего несколько минут, у вас могут возникнуть проблемы. Если вы хотите очистить свои данные и снова начать считать с нуля, нажмите кнопку «Удалить историю использования » или нажмите на нее .

Записанная история, собранная до настоящего времени, удаляется, все столбцы обнуляются, а дата, указанная в верхней части опции Удалить историю использования (обычно за месяц до даты, в которую вы находитесь), заменяется датой удаления. Благодаря тщательному мониторингу вы можете видеть, как некоторые из ваших приложений быстро проверяют данные.

Планируете ли вы отслеживать историю использования на ваших мобильных устройствах?

Хотя вкладка « История приложения » может не иметь универсальной привлекательности для других вкладок диспетчера задач , для пользователя Windows 10 со слабой батареей или дешевым тарифом на передачу данных, это, вероятно, самая важная вкладка. Предоставляя вам быстрый доступ к приложениям, которые тратят больше всего ресурсов, это может помочь вам предотвратить растрату, продлить автономность и избежать разрушительных платежей. Прежде чем закрыть эту вкладку, сообщите нам, если мы убедили вас контролировать ваши ресурсы с помощью вкладки « Журнал приложений ». На каких устройствах вы планируете его использовать? Вы узнали что-нибудь интересное? Дайте нам знать, давайте обсудим в комментариях ниже.

Просмотр «Журнала ошибок» в Windows 10

Во время работы операционной системы, как и любого другого программного обеспечения, периодически возникают ошибки. Очень важно уметь анализировать и исправлять подобные проблемы, дабы в будущем они не появлялись снова. В ОС Windows 10 для этого был внедрен специальный «Журнал ошибок». Именно о нем мы и поговорим в рамках данной статьи.

«Журнал ошибок» в Виндовс 10

Упомянутый ранее журнал является лишь небольшой частью системной утилиты «Просмотр событий», которая по умолчанию присутствует в каждой версии Windows 10. Далее мы разберем три важных аспекта, которые касаются «Журнала ошибок» — включение логирования, запуск средства «Просмотр событий» и анализ системных сообщений.

Включение логирования

Для того чтобы система могла записывать все события в журнал, необходимо включить его. Для этого выполните следующие действия:

После этого остается проверить, активирован ли на компьютере файл подкачки. Дело в том, что при его выключении система попросту не сможет вести учет всех событий. Поэтому очень важно установить значение виртуальной памяти хотя бы 200 Мб. Об этом напоминает сама Windows 10 в сообщении, которое возникает при полной деактивации файла подкачки.

О том, как задействовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Ознакомьтесь с ней при необходимости.

С включением логирования разобрались. Теперь двигаемся дальше.

Запуск «Просмотра событий»

Как мы уже упоминали ранее, «Журнал ошибок» входит в состав стандартной оснастки «Просмотр событий». Запустить ее очень просто. Делается это следующим образом:

В результате на экране появится главное окно упомянутой утилиты. Обратите внимание, что существуют и другие методы, которые позволяют запустить «Просмотр событий». О них мы в деталях рассказывали ранее в отдельной статье.

Анализ журнала ошибок

После того как «Просмотр событий» будет запущен, вы увидите на экране следующее окно.

В левой его части находится древовидная система с разделами. Нас интересует вкладка «Журналы Windows». Нажмите на ее названии один раз ЛКМ. В результате вы увидите список вложенных подразделов и общую статистику в центральной части окна.

Для дальнейшего анализа необходимо зайти в подраздел «Система». В нем находится большой список событий, которые ранее происходили на компьютере. Всего можно выделить четыре типа событий: критическое, ошибка, предупреждение и сведения. Мы вкратце расскажем вам о каждом из них. Обратите внимание, что описать все возможные ошибки мы не можем просто физически. Их много и все они зависят от различных факторов. Поэтому если у вас не получится что-то решить самостоятельно, можете описать проблему в комментариях.

Критическое событие

Данное событие помечено в журнале красным кругом с крестиком внутри и соответствующей припиской. Кликнув по названию такой ошибки из списка, немного ниже вы сможете увидеть общие сведения происшествия.

Зачастую представленной информации достаточно для того, чтобы найти решение проблемы. В данном примере система сообщает о том, что компьютер был резко выключен. Для того чтобы ошибка не появлялась вновь, достаточно просто корректно выключать ПК.

Для более продвинутого пользователя есть специальная вкладка «Подробности», где все событие представлены с кодами ошибок и последовательно расписаны.

Ошибка

Этот тип событий второй по важности. Каждая ошибка помечена в журнале красным кругом с восклицательным знаком. Как и в случае с критическим событием, достаточно нажать ЛКМ по названию ошибки для просмотра подробностей.

Если из сообщения в поле «Общие» вы ничего не поняли, можно попробовать найти информацию об ошибке в сети. Для этого используйте название источника и код события. Они указаны в соответствующих графах напротив названия самой ошибки. Для решения проблемы в нашем случае необходимо попросту повторно инсталлировать обновление с нужным номером.

Предупреждение

Сообщения данного типа возникают в тех ситуациях, когда проблема не носит серьезный характер. В большинстве случаев их можно игнорировать, но если событие повторяется раз за разом, стоит уделить ему внимание.

Чаще всего причиной появления предупреждения служит DNS-сервер, вернее, неудачная попытка какой-либо программы подключиться к нему. В таких ситуациях софт или утилита попросту обращается к запасному адресу.

Сведения

Этот тип событий самый безобидный и создан лишь для того, чтобы вы могли быть в курсе всего происходящего. Как понятно из его названия, в сообщение содержатся сводные данные о всех инсталлированных обновлениях и программах, созданных точках восстановления и т.д.

Подобная информация будет очень кстати для тех пользователей, которые не хотят устанавливать сторонний софт для просмотра последних действий Windows 10.

Как видите, процесс активации, запуска и анализа журнала ошибок очень прост и не требует от вас глубоких познаний ПК. Помните, что таким образом можно узнать информацию не только о системе, но и о других ее компонентах. Для этого достаточно в утилите «Просмотр событий» выбрать другой раздел.

Помимо этой статьи, на сайте еще 12372 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник

Где находится журнал событий в Windows 10, как его просматривать и находить ошибки

Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.

События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.

Где находится журнал событий и как его открыть

Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка Windowssystem32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Как искать в журналах событий интересующие сведения

Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.

Как пользоваться функцией фильтрации

Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».

Далее заполняем вкладку «Фильтр»:

Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:

Читать его стало гораздо удобнее.

Как создавать настраиваемые представления

Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.

Чтобы создать настраиваемое представление, сделайте следующее:

Источники, уровни и коды событий. Как понять, что означает конкретный код

Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.

Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:

Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.

Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.

Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.

Get System Info – альтернатива стандартному просмотрщику Windows

Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.

Преимущество этой утилиты перед стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.

Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.

Как пользоваться Get System Info:

Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.

Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.

Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.

Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением. Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.

Источник

Вертим логи как хотим ― анализ журналов в системах Windows

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Как зайти в журнал событий в Windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

А второй требует использования панели управления, где требуется:

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Нюансы работы в журнале

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Вручную

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Его необходимо использовать в следующем алгоритме:

После этого все отчеты будут удалены.

Через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1″

Через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

wevtutil el | Foreach-Object

Вертим логи как хотим ― анализ журналов в системах Windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

findstr «Fail» *.log >> fail.txt

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

Смотрим за ходом обновления Windows.

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Смотрим, кто пытается пролезть на наш дедик.

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Для получения списка доступных системных журналов можно выполнить следующую команду:

Вывод доступных журналов и информации о них.

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Последние записи в журнале System.

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

Ошибки и предупреждения журнала System.

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

SELECT extract_token(text, 0, ‘ ‘) as date, extract_token(text, 1, ‘ ‘) as time, extract_token(text, 2, ‘ ‘) as action, extract_token(text, 4, ‘ ‘) as src-ip, extract_token(text, 7, ‘ ‘) as port FROM ‘C:WindowsSystem32LogFilesFirewallpfirewall.log’ WHERE action=’DROP’ AND port=’3389′ ORDER BY date,time DESC

Посмотрим на результат:

Смотрим журнал Windows Firewall.

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManagerOperational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%System32WinevtLogsMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%test.evtx.

Данные будем получать таким запросом:

SELECT timegenerated as Date, extract_token(strings, 0, ‘|’) as user, extract_token(strings, 2, ‘|’) as sourceip FROM ‘%temp%test.evtx’ WHERE EventID = 21 ORDER BY Date DESC

Смотрим, кто и когда подключался к нашему серверу терминалов.

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

SELECT TO_LOCALTIME(TO_TIMESTAMP(EXTRACT_PREFIX(TO_STRING([#Fields: date-time]),0,’T’), ‘yyyy-MM-dd’)) AS Date, COUNT(*) AS FROM ‘C:Program FilesMicrosoftExchange ServerV15TransportRolesLogsMessageTracking*.LOG’ WHERE (event-id=’RECEIVE’) GROUP BY Date ORDER BY Date ASC

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.

Выполняем запрос и открываем получившуюся картинку…

Любуемся результатом.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.

Интерфейс Log Parser Studio.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:

Выборка наиболее активных ящиков.

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Как открыть

Для запуска нажмите «Win+R», пропишите «control». Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

Откроется окно утилиты. Слева расположены журналы:

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

Работа происходит с разделом «Журналы», в который входят такие категории:

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Отметьте пункты как на скриншоте:

Утилита отфильтрует записи.

Просмотрите сообщение:

Как использовать просмотр событий Windows для решения проблем с компьютером

05.06.2014 windows | для начинающих
Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

Как запустить программу Просмотра событий

Чтобы осуществить запуск программы Просмотр событий нужно:

Также данная программа открывается через папку Администрирование в меню Пуск.

Важно знать, что все события распределены по категориям – к примеру, в категории Приложения размещены события приложений, в категории Система находятся системные новости. Если же на ПК настроен анализ событий безопасности (аудит событий входа в систему), то сообщения аудита поступают в категорию Безопасность.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Источник

by Madalina Dinita

Madalina has been a Windows fan ever since she got her hands on her first Windows XP computer. She is interested in all things technology, especially emerging technologies… read more

Updated on December 29, 2022

Event log viewers are programs that track important events on your computer. Every app or program that runs on your computer leaves a trace in the event log, and before apps stop or crash, they post a notification. 

Every single event or change made on your computer is registered in the event log.

In other words, an event viewer is a program that scans long text log files, groups them and adds a simpler interface on huge amounts of technical data.

In case your computer doesn’t work properly, event viewers are essential because they offer you important information on the source of the problem.

Windows 10 comes with its own built-in event log viewer that offers users an in-depth image of the processes taking place on their computers. 

If you want to analyze particular event information, you can also use third-party event viewers.

How to use Windows Event Viewer

1. Type event in the Windows search tab and select Run as administrator to start Event Viewer with full privileges.
2. Next, click on the category of the event from the left pane, and the list of events will appear on the upper-middle pane.
3. When you click on an event, you will get the details on the bottom-middle pane; double-clicking it will open the details in a separate window.
4. In our example, we are checking out a kernel warning that a core of the processor was limited by system firmware. Hitting the Copy button with copy all the information in the clipboard to paste it in a document or an Excel file.
5. You can also use all the options from the right pane to gain more information. For instance, you can save the event as a .evtx file by clicking on Save Selected Events.

Windows Event Viewer is great to get basic information on events on your system and it can be used easily for saving important information.

What are the best Windows 10 event log viewers?

Windows Event Log Viewer

Many Windows users rely on this built-in tool to check the events that take place on their computers.

This tool has two major advantages: it’s already installed on your computer and has a very intuitive interface. You can launch the Windows Event Log Viewer by typing event viewer in the search bar.

The tool’s screen is divided into three parts: the event categories are located in the left-hand sidebar, details about log events can be found in the middle section of the window, while the available actions are listed in the right-hand sidebar.

In the left pane, you can choose from all the event types. The top one is aimed for the administrative event.

Clicking on each one on the center pane, will provide you with general or detailed information about the event.

The next two categories from the left are the Windows logs and the Applications and services logs. The first refers, of course, exclusively to the OS and its built-in apps.

The action pane from the right offers you all the possible options to interact with the logs but the most important are the save and export options that are paramount to sharing the reports to specialized help.

The Windows Event Log Viewer offers reports about five log events:

• Application events: reports about app/ program issues
• Security events: reports about the results of security actions
• Setup events: mainly refers to domain controllers
• System events: these are reports sent by Windows system files about the issues encountered and are usually self-healing issues
• Forwarded events: these are reports sent by other computers

Event Log Explorer

This event log viewer allows users to view, analyze and monitor events recorded in Windows’ event logs.

Event Log Explorer is better than Microsoft’s own Event Log Viewer, bringing more features to the table.

Thanks to this tool, users can analyze various event logs: security, application, system, setup, directory service, DNS, and more.

The tool can even access Windows event logs and event log files from remote servers and you can view more of them at one time in separate windows or in one big, merged window.

If it’s relevant, you can choose between legacy Windows NT API and modern Windows Event Log API to access the logs.

Event Log Explorer reads events into its own temporary storage for faster log analysis. Of course, you can choose between memory and disk storage.

The software also allows you to consolidate events in one single view to review it as a solid log. You can even save it as an EVT file.

Other features include:

• Instant access to event logs – Event Log Explorer works with both local and remote event logs, as well as with event log files in EVT and EVTX format
• Efficient filtering – filter by event descriptions using regular expressions, filter by security event parameters, or you can build complex filters and organize them into a filter library
• Export events and report generator – export and print events

⇒ Get Event Log Explorer

MyEventViewer

MyEventViewer is another interesting, simpler alternative to Microsoft’s Event Log Viewer. This tool lets you watch multiple event logs in one list, together with event description and data.

Also, the event description and data are displayed in the main window, instead of opening a new one.

No installation process or additional DLL files are required to run this software, all you need to do is to launch the executable file.

With MyEventViewer, you can select multiple event items and save them to HTML/Text/XML files. Of course, there’s also the option to copy them to the clipboard and paste them afterward into and Excel document.

MyEventViewer’s mai window is composed by 2 panes. The top one shows you the list of all events and when you select one you will see the description in the lower pane window.

You can remove/add the logs that you want to view from the main window by using the Logs menu.

The software also has command-line commands for advanced users. The admins will be happy to use them for a more efficient process that implicates more computers.

Other features include:

• It packs only the main features and options you need to monitor your system
• The simplistic interface is very user-friendly
• You can view the events from a remote computer
• Certain events can be hidden from specific users
• Events can be filtered using a series of criteria

⇒ Get MyEventViewer

FullEventLogView

This is NirSoft’s most recent event viewer, it was released on September 9, 2016. FullEventLogView is a simple tool for Windows 10 that displays the details of all Windows events in a table.

FullEventLogView is the upgraded version of MyEventViewer:

MyEventViewer is a very old tool […]. The old programming interface still works even on Windows 10, but it cannot access the new event logs added on Windows Vista and newer systems. […]

FullEventLogView uses the new programming interface, so it displays all events.

The tool allows you not only to view the events of your local computer but also the events of a remote computer on your network, and events stored in .evtx files.

It also allows you to export the events list to text/csv/tab-delimited/html/xml file from the GUI and from the command-line.

This program works on any version of Windows, including Windows Vista and up to Windows 10. Both 32-bit and 64-bit systems are supported.

⇒ Get FullEventLogView

SentinelAgent

SentinelAgent is a cloud-based Windows monitoring software. This tool registers, stores and analyzes event logs, performance metrics, and system inventory from any Windows PCs, tablets, and servers on your network.

SentinelAgent is available for home users, small and medium businesses and enterprise clients.

The service for home users notifies you when your devices are having problems, and help you identify the source of the problem as well. 

No configuration is necessary, as the tool is already pre-configured to monitor specific computer performance elements and alert you by email as soon as issues are detected.

If you opt for a professional version, you will need to install the agent on system you want to monitor.

Then, if those devices start having problems, you will get notified. You will also be able to access a log with 7 days of system data that is stored outside the PC that is acting up to get to the root of the issue.

Other features include:

• 7 Days Data Retention (Rotating)
• Monitor All Your Machines From 1 Account
• Pre-Configured Notifications for CPU/Disk Errors
• Pre-Configured Notifications for Event ID Errors
• No Ads. No Bloat
• Network Installation Ready
• 2.7 Mb Disk Space Required

⇒ Get SentinelAgent

Read more about this topic

• Event ID 7000: How to fix this Service control manager error
• 5 Best Drawing Apps for Surface Devices [Go 2 & 3, Pro 7]
• 8 Best Bandwidth Limiter Tools for Windows 10
• Protected: How to Use Acronis Cyber Protect to Prevent Ransomware and File Loss
• Top 5 Invitation Software to Design Special Events Cards

We hope this top Windows 10 event log viewers help you to choose the tool that best suits your monitoring needs.

If you’re interested in other options, you can also check our log monitoring software list for experienced admins.

Have you already tried out some of the event viewers listed in this article? Tell us more about your experience in the comment section below.

by Madalina Dinita

Madalina has been a Windows fan ever since she got her hands on her first Windows XP computer. She is interested in all things technology, especially emerging technologies… read more

Updated on December 29, 2022

Event log viewers are programs that track important events on your computer. Every app or program that runs on your computer leaves a trace in the event log, and before apps stop or crash, they post a notification. 

Every single event or change made on your computer is registered in the event log.

In other words, an event viewer is a program that scans long text log files, groups them and adds a simpler interface on huge amounts of technical data.

In case your computer doesn’t work properly, event viewers are essential because they offer you important information on the source of the problem.

Windows 10 comes with its own built-in event log viewer that offers users an in-depth image of the processes taking place on their computers. 

If you want to analyze particular event information, you can also use third-party event viewers.

How to use Windows Event Viewer

1. Type event in the Windows search tab and select Run as administrator to start Event Viewer with full privileges.
2. Next, click on the category of the event from the left pane, and the list of events will appear on the upper-middle pane.
3. When you click on an event, you will get the details on the bottom-middle pane; double-clicking it will open the details in a separate window.
4. In our example, we are checking out a kernel warning that a core of the processor was limited by system firmware. Hitting the Copy button with copy all the information in the clipboard to paste it in a document or an Excel file.
5. You can also use all the options from the right pane to gain more information. For instance, you can save the event as a .evtx file by clicking on Save Selected Events.

Windows Event Viewer is great to get basic information on events on your system and it can be used easily for saving important information.

What are the best Windows 10 event log viewers?

Windows Event Log Viewer

Many Windows users rely on this built-in tool to check the events that take place on their computers.

This tool has two major advantages: it’s already installed on your computer and has a very intuitive interface. You can launch the Windows Event Log Viewer by typing event viewer in the search bar.

The tool’s screen is divided into three parts: the event categories are located in the left-hand sidebar, details about log events can be found in the middle section of the window, while the available actions are listed in the right-hand sidebar.

In the left pane, you can choose from all the event types. The top one is aimed for the administrative event.

Clicking on each one on the center pane, will provide you with general or detailed information about the event.

The next two categories from the left are the Windows logs and the Applications and services logs. The first refers, of course, exclusively to the OS and its built-in apps.

The action pane from the right offers you all the possible options to interact with the logs but the most important are the save and export options that are paramount to sharing the reports to specialized help.

The Windows Event Log Viewer offers reports about five log events:

• Application events: reports about app/ program issues
• Security events: reports about the results of security actions
• Setup events: mainly refers to domain controllers
• System events: these are reports sent by Windows system files about the issues encountered and are usually self-healing issues
• Forwarded events: these are reports sent by other computers

Event Log Explorer

This event log viewer allows users to view, analyze and monitor events recorded in Windows’ event logs.

Event Log Explorer is better than Microsoft’s own Event Log Viewer, bringing more features to the table.

Thanks to this tool, users can analyze various event logs: security, application, system, setup, directory service, DNS, and more.

The tool can even access Windows event logs and event log files from remote servers and you can view more of them at one time in separate windows or in one big, merged window.

If it’s relevant, you can choose between legacy Windows NT API and modern Windows Event Log API to access the logs.

Event Log Explorer reads events into its own temporary storage for faster log analysis. Of course, you can choose between memory and disk storage.

The software also allows you to consolidate events in one single view to review it as a solid log. You can even save it as an EVT file.

Other features include:

• Instant access to event logs – Event Log Explorer works with both local and remote event logs, as well as with event log files in EVT and EVTX format
• Efficient filtering – filter by event descriptions using regular expressions, filter by security event parameters, or you can build complex filters and organize them into a filter library
• Export events and report generator – export and print events

⇒ Get Event Log Explorer

MyEventViewer

MyEventViewer is another interesting, simpler alternative to Microsoft’s Event Log Viewer. This tool lets you watch multiple event logs in one list, together with event description and data.

Also, the event description and data are displayed in the main window, instead of opening a new one.

No installation process or additional DLL files are required to run this software, all you need to do is to launch the executable file.

With MyEventViewer, you can select multiple event items and save them to HTML/Text/XML files. Of course, there’s also the option to copy them to the clipboard and paste them afterward into and Excel document.

MyEventViewer’s mai window is composed by 2 panes. The top one shows you the list of all events and when you select one you will see the description in the lower pane window.

You can remove/add the logs that you want to view from the main window by using the Logs menu.

The software also has command-line commands for advanced users. The admins will be happy to use them for a more efficient process that implicates more computers.

Other features include:

• It packs only the main features and options you need to monitor your system
• The simplistic interface is very user-friendly
• You can view the events from a remote computer
• Certain events can be hidden from specific users
• Events can be filtered using a series of criteria

⇒ Get MyEventViewer

FullEventLogView

This is NirSoft’s most recent event viewer, it was released on September 9, 2016. FullEventLogView is a simple tool for Windows 10 that displays the details of all Windows events in a table.

FullEventLogView is the upgraded version of MyEventViewer:

MyEventViewer is a very old tool […]. The old programming interface still works even on Windows 10, but it cannot access the new event logs added on Windows Vista and newer systems. […]

FullEventLogView uses the new programming interface, so it displays all events.

The tool allows you not only to view the events of your local computer but also the events of a remote computer on your network, and events stored in .evtx files.

It also allows you to export the events list to text/csv/tab-delimited/html/xml file from the GUI and from the command-line.

This program works on any version of Windows, including Windows Vista and up to Windows 10. Both 32-bit and 64-bit systems are supported.

⇒ Get FullEventLogView

SentinelAgent

SentinelAgent is a cloud-based Windows monitoring software. This tool registers, stores and analyzes event logs, performance metrics, and system inventory from any Windows PCs, tablets, and servers on your network.

SentinelAgent is available for home users, small and medium businesses and enterprise clients.

The service for home users notifies you when your devices are having problems, and help you identify the source of the problem as well. 

No configuration is necessary, as the tool is already pre-configured to monitor specific computer performance elements and alert you by email as soon as issues are detected.

If you opt for a professional version, you will need to install the agent on system you want to monitor.

Then, if those devices start having problems, you will get notified. You will also be able to access a log with 7 days of system data that is stored outside the PC that is acting up to get to the root of the issue.

Other features include:

• 7 Days Data Retention (Rotating)
• Monitor All Your Machines From 1 Account
• Pre-Configured Notifications for CPU/Disk Errors
• Pre-Configured Notifications for Event ID Errors
• No Ads. No Bloat
• Network Installation Ready
• 2.7 Mb Disk Space Required

⇒ Get SentinelAgent

Read more about this topic

• Event ID 7000: How to fix this Service control manager error
• 5 Best Drawing Apps for Surface Devices [Go 2 & 3, Pro 7]
• 8 Best Bandwidth Limiter Tools for Windows 10

We hope this top Windows 10 event log viewers help you to choose the tool that best suits your monitoring needs.

If you’re interested in other options, you can also check our log monitoring software list for experienced admins.

Have you already tried out some of the event viewers listed in this article? Tell us more about your experience in the comment section below.