Программа для просмотра журнала событий windows

Чтобы просмотреть события Windows, пользователю нужно зайти в Панель управления и выбрать там Администрирование -> Просмотр событий. Продвинутые юзеры используют команду eventvwr. Но какой бы из этих двух способов вы не предпочли, просматривать события операционной системы можно будет только штатной утилитой, честно сказать, довольно медленной и не очень удобной.

Если со сказанным вы согласны, вам стоит попробовать MyEventViewer — маленькую портативную утилиту от известного разработчика Nir Sofer. Предназначается эта программка для тех же целей, что и штатная утилита eventvwr, но в отличие от последней она намного удобнее. Программа имеет простой двухпанельный интерфейс, множество различных опций и настроек, есть возможность русификации.

Помимо удобного просмотра событий, возможности MyEventViewer включают сортировку событий по разным критериям, просмотр их свойств, создание отчётов в HTML-формате, использование расширенной фильтрации, очистку протоколов, автоматический переход к записи при появлении нового события и многое другое. Имеется возможность поиска по ключевым словам с учётом и без учёта регистра.

В верхней панели рабочего окна отображаются все текущие события, в нижней — подробное описание конкретной записи. В отдельных колонках указывается тип события и его описание, тип отчёта, время, источник, код, категория, имя пользователя и компьютера. Количество сведений, ширина колонок и прочее — всё это можно задать в настройках.

Загрузить утилиту можно совершенно бесплатно с сайта разработчика www.nirsoft.net/utils/my_event_viewer.html. Там же можно найти и скачать файл русификации в формате INI. Для локализации интерфейса MyEventViewer его следует поместить в каталог с исполняемым файлом утилиты.

Event log viewers are programs that track important events on your computer. Every app or program that runs on your computer leaves a trace in the event log, and before apps stop or crash, they post a notification. 

Every single event or change made on your computer is registered in the event log.

In other words, an event viewer is a program that scans long text log files, groups them and adds a simpler interface on huge amounts of technical data.

In case your computer doesn’t work properly, event viewers are essential because they offer you important information on the source of the problem.

Windows 10 comes with its own built-in event log viewer that offers users an in-depth image of the processes taking place on their computers. 

If you want to analyze particular event information, you can also use third-party event viewers.

How to use Windows Event Viewer

1. Type event in the Windows search tab and select Run as administrator to start Event Viewer with full privileges.
2. Next, click on the category of the event from the left pane, and the list of events will appear on the upper-middle pane.
3. When you click on an event, you will get the details on the bottom-middle pane; double-clicking it will open the details in a separate window.
4. In our example, we are checking out a kernel warning that a core of the processor was limited by system firmware. Hitting the Copy button with copy all the information in the clipboard to paste it in a document or an Excel file.
5. You can also use all the options from the right pane to gain more information. For instance, you can save the event as a .evtx file by clicking on Save Selected Events.

Windows Event Viewer is great to get basic information on events on your system and it can be used easily for saving important information.

What are the best Windows 10 event log viewers?

Windows Event Log Viewer

Many Windows users rely on this built-in tool to check the events that take place on their computers.

This tool has two major advantages: it’s already installed on your computer and has a very intuitive interface. You can launch the Windows Event Log Viewer by typing event viewer in the search bar.

The tool’s screen is divided into three parts: the event categories are located in the left-hand sidebar, details about log events can be found in the middle section of the window, while the available actions are listed in the right-hand sidebar.

In the left pane, you can choose from all the event types. The top one is aimed for the administrative event.

Clicking on each one on the center pane, will provide you with general or detailed information about the event.

The next two categories from the left are the Windows logs and the Applications and services logs. The first refers, of course, exclusively to the OS and its built-in apps.

The action pane from the right offers you all the possible options to interact with the logs but the most important are the save and export options that are paramount to sharing the reports to specialized help.

The Windows Event Log Viewer offers reports about five log events:

• Application events: reports about app/ program issues
• Security events: reports about the results of security actions
• Setup events: mainly refers to domain controllers
• System events: these are reports sent by Windows system files about the issues encountered and are usually self-healing issues
• Forwarded events: these are reports sent by other computers

Event Log Explorer

This event log viewer allows users to view, analyze and monitor events recorded in Windows’ event logs.

Event Log Explorer is better than Microsoft’s own Event Log Viewer, bringing more features to the table.

Thanks to this tool, users can analyze various event logs: security, application, system, setup, directory service, DNS, and more.

The tool can even access Windows event logs and event log files from remote servers and you can view more of them at one time in separate windows or in one big, merged window.

If it’s relevant, you can choose between legacy Windows NT API and modern Windows Event Log API to access the logs.

Event Log Explorer reads events into its own temporary storage for faster log analysis. Of course, you can choose between memory and disk storage.

The software also allows you to consolidate events in one single view to review it as a solid log. You can even save it as an EVT file.

Other features include:

• Instant access to event logs – Event Log Explorer works with both local and remote event logs, as well as with event log files in EVT and EVTX format
• Efficient filtering – filter by event descriptions using regular expressions, filter by security event parameters, or you can build complex filters and organize them into a filter library
• Export events and report generator – export and print events

⇒ Get Event Log Explorer

MyEventViewer

MyEventViewer is another interesting, simpler alternative to Microsoft’s Event Log Viewer. This tool lets you watch multiple event logs in one list, together with event description and data.

Also, the event description and data are displayed in the main window, instead of opening a new one.

No installation process or additional DLL files are required to run this software, all you need to do is to launch the executable file.

With MyEventViewer, you can select multiple event items and save them to HTML/Text/XML files. Of course, there’s also the option to copy them to the clipboard and paste them afterward into and Excel document.

MyEventViewer’s mai window is composed by 2 panes. The top one shows you the list of all events and when you select one you will see the description in the lower pane window.

You can remove/add the logs that you want to view from the main window by using the Logs menu.

The software also has command-line commands for advanced users. The admins will be happy to use them for a more efficient process that implicates more computers.

Other features include:

• It packs only the main features and options you need to monitor your system
• The simplistic interface is very user-friendly
• You can view the events from a remote computer
• Certain events can be hidden from specific users
• Events can be filtered using a series of criteria

⇒ Get MyEventViewer

FullEventLogView

This is NirSoft’s most recent event viewer, it was released on September 9, 2016. FullEventLogView is a simple tool for Windows 10 that displays the details of all Windows events in a table.

FullEventLogView is the upgraded version of MyEventViewer:

MyEventViewer is a very old tool […]. The old programming interface still works even on Windows 10, but it cannot access the new event logs added on Windows Vista and newer systems. […]

FullEventLogView uses the new programming interface, so it displays all events.

The tool allows you not only to view the events of your local computer but also the events of a remote computer on your network, and events stored in .evtx files.

It also allows you to export the events list to text/csv/tab-delimited/html/xml file from the GUI and from the command-line.

This program works on any version of Windows, including Windows Vista and up to Windows 10. Both 32-bit and 64-bit systems are supported.

⇒ Get FullEventLogView

SentinelAgent

SentinelAgent is a cloud-based Windows monitoring software. This tool registers, stores and analyzes event logs, performance metrics, and system inventory from any Windows PCs, tablets, and servers on your network.

SentinelAgent is available for home users, small and medium businesses and enterprise clients.

The service for home users notifies you when your devices are having problems, and help you identify the source of the problem as well. 

No configuration is necessary, as the tool is already pre-configured to monitor specific computer performance elements and alert you by email as soon as issues are detected.

If you opt for a professional version, you will need to install the agent on system you want to monitor.

Then, if those devices start having problems, you will get notified. You will also be able to access a log with 7 days of system data that is stored outside the PC that is acting up to get to the root of the issue.

Other features include:

• 7 Days Data Retention (Rotating)
• Monitor All Your Machines From 1 Account
• Pre-Configured Notifications for CPU/Disk Errors
• Pre-Configured Notifications for Event ID Errors
• No Ads. No Bloat
• Network Installation Ready
• 2.7 Mb Disk Space Required

⇒ Get SentinelAgent

We hope this top Windows 10 event log viewers help you to choose the tool that best suits your monitoring needs.

If you’re interested in other options, you can also check our log monitoring software list for experienced admins.

Have you already tried out some of the event viewers listed in this article? Tell us more about your experience in the comment section below.

Event log viewers are programs that track important events on your computer. Every app or program that runs on your computer leaves a trace in the event log, and before apps stop or crash, they post a notification. 

Every single event or change made on your computer is registered in the event log.

In other words, an event viewer is a program that scans long text log files, groups them and adds a simpler interface on huge amounts of technical data.

In case your computer doesn’t work properly, event viewers are essential because they offer you important information on the source of the problem.

Windows 10 comes with its own built-in event log viewer that offers users an in-depth image of the processes taking place on their computers. 

If you want to analyze particular event information, you can also use third-party event viewers.

How to use Windows Event Viewer

1. Type event in the Windows search tab and select Run as administrator to start Event Viewer with full privileges.
2. Next, click on the category of the event from the left pane, and the list of events will appear on the upper-middle pane.
3. When you click on an event, you will get the details on the bottom-middle pane; double-clicking it will open the details in a separate window.
4. In our example, we are checking out a kernel warning that a core of the processor was limited by system firmware. Hitting the Copy button with copy all the information in the clipboard to paste it in a document or an Excel file.
5. You can also use all the options from the right pane to gain more information. For instance, you can save the event as a .evtx file by clicking on Save Selected Events.

Windows Event Viewer is great to get basic information on events on your system and it can be used easily for saving important information.

What are the best Windows 10 event log viewers?

Windows Event Log Viewer

Many Windows users rely on this built-in tool to check the events that take place on their computers.

This tool has two major advantages: it’s already installed on your computer and has a very intuitive interface. You can launch the Windows Event Log Viewer by typing event viewer in the search bar.

The tool’s screen is divided into three parts: the event categories are located in the left-hand sidebar, details about log events can be found in the middle section of the window, while the available actions are listed in the right-hand sidebar.

In the left pane, you can choose from all the event types. The top one is aimed for the administrative event.

Clicking on each one on the center pane, will provide you with general or detailed information about the event.

The next two categories from the left are the Windows logs and the Applications and services logs. The first refers, of course, exclusively to the OS and its built-in apps.

The action pane from the right offers you all the possible options to interact with the logs but the most important are the save and export options that are paramount to sharing the reports to specialized help.

The Windows Event Log Viewer offers reports about five log events:

• Application events: reports about app/ program issues
• Security events: reports about the results of security actions
• Setup events: mainly refers to domain controllers
• System events: these are reports sent by Windows system files about the issues encountered and are usually self-healing issues
• Forwarded events: these are reports sent by other computers

Event Log Explorer

This event log viewer allows users to view, analyze and monitor events recorded in Windows’ event logs.

Event Log Explorer is better than Microsoft’s own Event Log Viewer, bringing more features to the table.

Thanks to this tool, users can analyze various event logs: security, application, system, setup, directory service, DNS, and more.

The tool can even access Windows event logs and event log files from remote servers and you can view more of them at one time in separate windows or in one big, merged window.

If it’s relevant, you can choose between legacy Windows NT API and modern Windows Event Log API to access the logs.

Event Log Explorer reads events into its own temporary storage for faster log analysis. Of course, you can choose between memory and disk storage.

The software also allows you to consolidate events in one single view to review it as a solid log. You can even save it as an EVT file.

Other features include:

• Instant access to event logs – Event Log Explorer works with both local and remote event logs, as well as with event log files in EVT and EVTX format
• Efficient filtering – filter by event descriptions using regular expressions, filter by security event parameters, or you can build complex filters and organize them into a filter library
• Export events and report generator – export and print events

⇒ Get Event Log Explorer

MyEventViewer

MyEventViewer is another interesting, simpler alternative to Microsoft’s Event Log Viewer. This tool lets you watch multiple event logs in one list, together with event description and data.

Also, the event description and data are displayed in the main window, instead of opening a new one.

No installation process or additional DLL files are required to run this software, all you need to do is to launch the executable file.

With MyEventViewer, you can select multiple event items and save them to HTML/Text/XML files. Of course, there’s also the option to copy them to the clipboard and paste them afterward into and Excel document.

MyEventViewer’s mai window is composed by 2 panes. The top one shows you the list of all events and when you select one you will see the description in the lower pane window.

You can remove/add the logs that you want to view from the main window by using the Logs menu.

The software also has command-line commands for advanced users. The admins will be happy to use them for a more efficient process that implicates more computers.

Other features include:

• It packs only the main features and options you need to monitor your system
• The simplistic interface is very user-friendly
• You can view the events from a remote computer
• Certain events can be hidden from specific users
• Events can be filtered using a series of criteria

⇒ Get MyEventViewer

FullEventLogView

This is NirSoft’s most recent event viewer, it was released on September 9, 2016. FullEventLogView is a simple tool for Windows 10 that displays the details of all Windows events in a table.

FullEventLogView is the upgraded version of MyEventViewer:

MyEventViewer is a very old tool […]. The old programming interface still works even on Windows 10, but it cannot access the new event logs added on Windows Vista and newer systems. […]

FullEventLogView uses the new programming interface, so it displays all events.

The tool allows you not only to view the events of your local computer but also the events of a remote computer on your network, and events stored in .evtx files.

It also allows you to export the events list to text/csv/tab-delimited/html/xml file from the GUI and from the command-line.

This program works on any version of Windows, including Windows Vista and up to Windows 10. Both 32-bit and 64-bit systems are supported.

⇒ Get FullEventLogView

SentinelAgent

SentinelAgent is a cloud-based Windows monitoring software. This tool registers, stores and analyzes event logs, performance metrics, and system inventory from any Windows PCs, tablets, and servers on your network.

SentinelAgent is available for home users, small and medium businesses and enterprise clients.

The service for home users notifies you when your devices are having problems, and help you identify the source of the problem as well. 

No configuration is necessary, as the tool is already pre-configured to monitor specific computer performance elements and alert you by email as soon as issues are detected.

If you opt for a professional version, you will need to install the agent on system you want to monitor.

Then, if those devices start having problems, you will get notified. You will also be able to access a log with 7 days of system data that is stored outside the PC that is acting up to get to the root of the issue.

Other features include:

• 7 Days Data Retention (Rotating)
• Monitor All Your Machines From 1 Account
• Pre-Configured Notifications for CPU/Disk Errors
• Pre-Configured Notifications for Event ID Errors
• No Ads. No Bloat
• Network Installation Ready
• 2.7 Mb Disk Space Required

⇒ Get SentinelAgent

We hope this top Windows 10 event log viewers help you to choose the tool that best suits your monitoring needs.

If you’re interested in other options, you can also check our log monitoring software list for experienced admins.

Have you already tried out some of the event viewers listed in this article? Tell us more about your experience in the comment section below.

Для данного обзора я отобрал пять диспетчеров журналов Windows. В зависимости от ваших потребностей, один из этих продуктов может послужить альтернативой стандартной программе просмотра событий Windows. Итак, перед нами:

• Event Log Explorer компании FSPro Labs;
• Event Reader 2 компании Altair Technologies;
• Event Analyst корпорации Dorian Software Creations;
• EventMeister компании Technology Lighthouse;
• Corner Bowl Log Manager 20 компании Corner Bowl Software.

Все пять продуктов поддерживают формат EVT, используемый системами Windows Server 2003 и Windows XP для хранения журналов событий, но не все воспринимают формат EVTX, применяемый в системах Windows Vista и Windows Server 2008 для файлов регистрации событий.

С целью испытания диспетчеров журналов я устанавливал каждый из них в среде Windows Server 2003; на моих тестах эта операционная система была базовой. Кроме того, я устанавливал продукты, совместимые с Windows Vista и Windows Server 2008, в этих двух средах, дабы подтвердить совместимость и удостовериться в том, что они могут напрямую считывать файлы EVTX.

Как выяснилось, из пяти проверенных продуктов только один несовместим с операционными системами Windows Vista или Windows Server 2008 — это Event Reader 2. В компании мне сообщили, что версия Event Reader 3 будет совместима с более новыми операционными системами, но дату ее выпуска не назвали.

Event Log Explorer, Event Analyst EventMeister и Corner Bowl Log Manager работают в средах Windows Server 2008/Vista/2003/XP/2000/NT, тогда как Event Reader 2 функционирует под управлением Windows 2003/XP/2000.

Event Log Explorer 3.1

Интерфейс разработанного специалистами компании FSPro Labs продукта Event Log Explorer (см. экран 1) представляет собой простое, без каких-либо излишеств, окно. Содержимое компьютера, на котором установлена программа, представлено в нем в виде древовидной структуры. Перемещаясь по списку журналов текущей системы, вы можете дойти до каждого отдельного журнального файла; двойным щелчком на имени журнала можно открыть оформленный в виде таблицы список хранящихся в нем событий.

Дважды щелкнув на том или ином событии, мы можем открыть отдельное окно со сводной информацией о типе события, дате, времени и о других его атрибутах. Там же имеются ссылки на базу знаний Microsoft и базу данных описаний Event ID — расположенный в среде Web репозиторий сведений о событиях в журналах Windows.

Из пользовательского интерфейса можно добавлять к дереву просмотра другие компьютеры. Специальный мастер в автоматическом режиме выполняет проверку наличия других компьютеров по тем ролям, которые они выполняют в сети.

Если вы хотите просмотреть лишь один журнал с другого компьютера, можете запустить команду Open Log, просмотреть сеть или домен, а затем выбрать интересующую вас систему. Команда Open Log File дает возможность открывать существующие файлы журналов EVT или EVTX с локального компьютера или с любой системы, подключенной к сети. С целью управления множеством журналов, расположенных на различных компьютерах, можно создавать несколько рабочих пространств, в каждом из которых будет храниться свое дерево журналов.

Для сортировки событий, отображаемых в главном окне, вы можете щелкнуть на заголовке любого столбца. Чтобы ограничить число отображаемых событий, можно применить фильтры, запустив на выполнение команду Filter. Система фильтрации, оснащенная удобным диалоговым окном, весьма эффективна. Пользователь может сохранить любой фильтр и применить его к другим журналам.

Для фильтрации журнала на базе текущего выделения предназначено удобное средство Quick Filter. Чтобы ограничить число загружаемых событий, пользователь может выполнить фильтрацию событий до их открытия. Можно также провести поиск по всем отображенным событиям с помощью команды Find.

Event Log Explorer позволяет сохранять любой журнал в файлах EVT или EVTX, так что пользователь может вести актуальный архив. Программное обеспечение дает возможность осуществлять резервное копирование как в автоматическом, так и в ручном режиме.

Event Log Explorer предусматривает возможность экспорта любого журнала в формате HTML для создания отчета — или сохранения его в виде текстового файла либо электронной таблицы Excel для последующего включения в базу данных. Вы можете экспортировать все события или только избранные, а также включать или исключать описания событий, но не более того. Однако программа не имеет функции планирования, так что пользователь не может назначить формирование отчета в автоматическом режиме и его отправку по электронной почте.

Event Reader 2

Разработанный специалистами компании Altair Technologies диспетчер Event Reader 2 (см. экран 2) отображает содержимое компьютера в виде дерева папок. Перемещаясь по его узлам, вы можете просмотреть файлы всех отдельных журналов событий. Щелкая кнопкой мыши на том или ином журнале, пользователь отображает его события и свойства событий. В окне Event Properties отображается описание выделенного события и его индивидуальные свойства. Если щелкнуть на идентификаторе события (Event ID), на экране появится окно базы данных описаний Event ID — Web-ресурса, организованного и до сих пор поддерживаемого компанией Altair Technologies.

По умолчанию программа Event Reader отображает журналы для компьютера, на котором она установлена. Пользователь может добавлять в список наблюдения другие компьютеры. Event Reader 2 поддерживает только файлы EVT; файлы EVTX не поддерживаются.

Вы можете с легкостью сортировать события в любом списке; для этого достаточно щелкнуть на заголовке любого столбца. Event Reader предоставляет несколько полезных способов фильтрации данных. На панели инструментов в верхней части экрана отображаются кнопки для каждого типа событий, таких, как ошибка (error), предупреждение (warning) и информация (information). По умолчанию все кнопки активированы, однако вы можете также исключить любой тип из числа отображаемых.

Имеются и более сложные варианты отбора события, включая фильтрацию по типу события, по дате и времени, а также по идентификатору события и по источнику. Варианты фильтрации удобно представлены и просты в использовании. В Event Reader не реализован специальный метод поиска событий. Но в большинстве случаев фильтрация представляет собой наиболее эффективный способ выявления событий с помощью тех или иных критериев.

Для создания отчета можно экспортировать журнал событий в формате HTML. Event Reader предлагает ряд базовых, но полезных возможностей форматирования HTML-отчетов. Вы можете выбирать шрифт, размер в пунктах и цвет. Можно также сохранить журнал непосредственно на сервере FTP, который просто передает его в формате отчета HTML. Есть и еще одна возможность: экспортировать содержимое журнала событий в базу данных.

Функция планирования оставляет хорошее впечатление. Пользователь может назначить составление отчета раз в день или с другим интервалом. Вы можете настроить систему так, что отчет будет сохранен в указанном каталоге, отправлен на сервер FTP, сохранен в базе данных — или так, что будут выполнены все перечисленные задания. С целью ограничения информации, отображаемой в отчете, пользователь просто создает фильтр.

Event Analyst 8.0

При запуске поставляемый компанией Dorian Software Creations диспетчер Event Analyst (см. экран 3) приветствует пользователя сообщением в виде быстрой подсказки (Quick Tips); данную функцию можно активировать и деактивировать. После этого окно пользовательского интерфейса остается пустым в ожидании ваших команд. Открывая журналы, вы можете выбирать только один компьютер и один журнал; возможность указывать сразу несколько компьютеров или журналов не предусмотрена.

Пользователь может поручить диспетчеру открыть журналы или сформировать отчет. Можно добавлять дополнительные журналы — с того же компьютера или с других компьютеров, подключенных к сети. Имеется возможность открывать в программе Event Analyst файлы, сохраненные с расширениями EVT, EVTX, CSV, а также текстовые файлы.

Команда Research this Event Online (проанализировать данное событие в Internet) открывает Web-страницу Dorian Software со ссылками на данные, касающиеся соответствующего события. Можно также подключиться к базе знаний Microsoft.

Вы можете сортировать список событий по заголовку любого столбца. Однако, поскольку заголовок для типов событий не предусмотрен, я так и не сумел отсортировать список так, чтобы увидеть все ошибки или все предупреждения, собранные вместе.

В комплект поставки Event Analyst входит несколько заранее заготовленных фильтров для ограничения отображаемых данных по событиям. Я создал и сохранил фильтр и смог использовать его, запустив команду Apply Filter. Кроме того, мне удалось на месте создать простой фильтр, который можно было не сохранять.

Пользователь может запускать расширенные фильтры, применяемые к содержимому баз данных, — Access, SQL Server или Oracle. Этот метод, предусматривающий использование широкого набора критериев и операторов булевой логики, позволяет фильтровать по таким критериям, как компьютеры, пользователи, идентификаторы событий и т. д.

Журналы можно экспортировать в любой из следующих форматов: HTML, текстовый файл с разделителями-запятыми, файл Access MDB или в виде источника ODBC для базы данных. Пользователь может запустить отчет на основе указанных им критериев или использовать встроенный отчет. Некоторые из встроенных отчетов были исключительно полезны, скажем, такой как «10 самых частых событий». Каждый отчет содержал источник события и другие подробности, а также даты начала и окончания события.

Как выяснилось, настраиваемый конструктор отчетов Event Analyst работает быстро и прост в использовании; кроме того, я смог предварительно просмотреть отчет в виде файла HTML или CSV. Систему можно настроить таким образом, чтобы отчет формировался на регулярной основе, сохранялся и передавался по электронной почте. Наряду с этим можно применять фильтры к запланированным отчетам, с тем чтобы ограничить объем включаемых в них данных.

EventMeister 3.0

С помощью диспетчера EventMeister от компании Technology Lighthouse (см. экран 4) вы можете организовать службу для сбора данных, когда в системе не зарегистрирован ни один пользователь. Перед просмотром данных журнального файла необходимо создать канал Event Log Feed; он будет собирать данные о событиях с компьютеров, за работой которых вы намереваетесь наблюдать, и направлять их в текущий канал. Вы выбираете журналы событий, которые следует включить в этот процесс, метод сбора данных о событиях, а также частоту опроса и обновления канала новыми данными.

Диспетчер EventMeister использует либо параметр Read from log, и тогда канал создается путем внесения всех зафиксированных в журнале событий, включая те, что хранились там до установки приложения, либо параметр Catch events; в этом случае в канал вводятся новые события, а старые опускаются. Пользователь может добавлять к существующей группе новые каналы с других компьютеров — или создавать новые группы и заполнять их с помощью новых каналов.

После создания канала выбранный журнал событий загружается автоматически. Вы увидите список для каждого события, в котором будут представлены такие поля, как тип, дата и категория.

Кроме того, канал можно создать, открыв файл CSV. Это полезная возможность в тех случаях, когда вы уже экспортировали данные из нескольких каналов и сохранили их в одном CSV-файле. Однако возможность напрямую открывать файлы EVT или EVTX не предусмотрена. Чтобы обойти это препятствие, нужно сохранить журналы событий в формате файлов CSV непосредственно из окна просмотра событий Windows.

Для выполнения сортировки столбцов необходимо щелкнуть на соответствующем заголовке; чтобы ограничить объем отображаемой информации, можно показать или скрыть любой столбец. В дополнение к этому пользователь может добавить поле, по которому будет осуществляться фильтрация данных, а затем вручную ввести в него значение (например, дату). Затем к значению можно применять различные условия, например «равняется», «больше, чем»; таким образом обеспечивается высокий уровень гибкости. Процедура поиска события проста: для обнаружения конкретного события или типа события нужно ввести текстовую строку или цифровой идентификатор.

Продукт предоставляет широкие возможности для экспорта. Вы можете экспортировать канал в документ HTML, выбрав один из шести различных форматов-шаблонов. Можно также экспортировать канал в другие форматы, включая CSV и XML. Мой опыт показывает, что создание пользовательских отчетов выполняется просто.

При запуске того или иного события EventMeister может направлять пользователям извещения по электронной почте или как уведомление на компьютер. Систему можно настроить таким образом, что извещение будет направляться лишь при соблюдении заданных условий.

Corner Bowl Log Manager 2009

Диспетчер Corner Bowl Log Manager 2009 (см. экран 5) дает возможность управлять как журналами событий, так и текстовыми журналами. Индикатор, имеющий вид панели индикаторов, оповещает пользователя о состоянии службы CBLM. Он показывает, какие журналы событий опрашивались в последнюю очередь, и отображает диаграммы компьютерных журналов. Я пришел к заключению, что индикатор Dashboard перегружен ненужной мне информацией, что было особенно заметно, когда я запустил программу в первый раз.

На панели Network Explorer отображается древовидное представление журналов локальной системы; каждый журнал представлен в виде отдельной папки. Чтобы просмотреть события, нужно обратиться к панели, расположенной в нижней части основного экрана. Можно также инициировать процесс загрузки вручную; для этого следует выбрать команду Download Events. Поначалу этот процесс показался мне неудобным, но задача была выполнена успешно.

Каждое событие отображается в отдельной строке на центральной панели. Когда щелкаешь на каком-либо событии, все его детали отображаются в маленьком и тесном окошке. В целом, как мне кажется, окно событий спроектировано неудачно, и с ним трудно работать.

Чтобы добавить новые компьютерные журналы к списку управляемых, можно запустить мастер или открыть панель Event Log Explorer, перейти в локальную сеть, а затем выбрать компьютеры и журналы для загрузки. Этот процесс показался мне продуманным. Удачно спроектированная функция позволяет пользователю добавлять новые компьютеры через службу Active Directory в автоматическом режиме.

На этапе до открытия журналов событий CBLM предоставляет возможность задействовать окно быстрой фильтрации, чтобы пользователь мог выбрать — следует ли открывать все события или только некоторые из них. Чтобы организовать различные журнальные файлы, можно создавать группы; это весьма удобный способ управления журналами.

Быстрая сортировка списка событий осуществляется щелчком на соответствующем заголовке. Альтернативная возможность — группирование событий с помощью буксировки заголовков столбцов. Для выполнения быстрой фильтрации можно воспользоваться кнопкой типа событий на панели инструментов или сконфигурировать функцию фильтрации с более широкими возможностями. Что же касается функции поиска, то можно выполнить простую операцию поиска; для этого нужно запустить команду Find и ввести искомую текстовую строку.

Зарезервировать или сохранить журнал можно в форматах CSV, EVT, в виде текстового файла, или в форматах HTML либо XML. Кроме того, пользователь может напрямую открывать файлы EVT (но не файлы EVTX).

Процедура составления отчетов показалась мне довольно путаной. Перед формированием отчета необходимо создавать объект Action, в котором указываются выходные данные или получатель отчета. Затем отчет формируется с помощью программы-мастера. Пользователь указывает тип отчета, его имя, частоту составления, компьютер или компьютеры, а также журналы, которые должны быть в него включены. Наконец, указывается действие, которое следует предпринять.

Удобные средства управления журналами

Диспетчеры журналов событий имеют множество достоинств по сравнению со средством просмотра событий Windows Event Viewer, даже с учетом тех новых функций фильтрации событий и поиска, которые были реализованы в системе Server 2008. Вы можете выбрать один из представленных выше продуктов или другое столь же эффективное решение; в любом случае благодаря использованию гибких и обеспечивающих экономию времени диспетчеров журналов работать вам будет легче.

Ланс Уитни (lpw@pobox.com) — технический автор, Web-разработчик, консультант по разработке приложений. Внештатный редактор журнала Microsoft TechNet Magazine и независимый репортер CNET News

Event Log Explorer 3.1

ЗА: четкий и простой пользовательский интерфейс; весьма эффективная система фильтрации.
ПРОТИВ: отсутствует функция планирования отчетов.
ОЦЕНКА: 4 из 5
ЦЕНА: для персонального использования предоставляется бесплатно (может следить за работой до трех компьютеров в домашней сети); плата за систему, обеспечивающую мониторинг серверов числом до пяти, начинается с 99,95 долл.
РЕКОМЕНДАЦИИ: Event Log Explorer — простой, хорошо спроектированный продукт; идеально подходит для любого администратора ИТ-подразделения с базовыми потребностями в области управления журналами.
КОНТАКТНАЯ ИНФОРМАЦИЯ: FSPro Labs, www.eventlogxp.com

Event Reader 2

ЗА: четкий, простой интерфейс, прекрасная функция планирования отчетов.
ПРОТИВ: продукт несовместим с системами Windows Vista и Server 2008, поскольку не может читать файлы EVTX.
ОЦЕНКА: 3 из 5
ЦЕНА: 39 долл. и выше
РЕКОМЕНДАЦИИ: недорогая, но добротная программа, подходит для стесненных в средствах ИТ-администраторов. Если вам не требуется поддержка Windows Vista или Server 2008, Event Reader — то, что вам нужно.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Altair Technologies, www.altairtech.ca

Event Analyst 8.0

ЗА: хорошо спроектированный интерфейс пользователя; тщательно продуманные встроенные отчеты; простой в использовании настраиваемый конструктор отчетов.
ПРОТИВ: дороже других диспетчеров журналов, обеспечивающих мониторинг нескольких компьютеров.
ОЦЕНКА: 3 из 5
ЦЕНА: отдельные цены на версии для серверов и рабочих станций; программа для отслеживания работы одного сервера от 69,99 долл., для мониторинга одной рабочей станции — 29,99 долл.
РЕКОМЕНДАЦИИ: Event Analyst — добротный и мощный продукт, удобный в использовании и управлении.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Dorian Software Creations, www.doriansoft.com

EventMeister 3.0

ЗА: невысокая цена; широкие возможности экспорта; функции оповещения.
ПРОТИВ: возможность напрямую открывать файлы EVT и EVTX не предусмотрена.
ОЦЕНКА: 3 из 5
ЦЕНА: минимальная цена лицензии, позволяющей осуществлять мониторинг неограниченного числа рабочих станций и серверов, составляет 129,99 долл.;
РЕКОМЕНДАЦИИ: EventMeister — мощный и эффективный диспетчер журналов; его отличает экономичность, что особенно важно для небольших организаций.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Technology Lighthouse, www.logmeister.com

Corner Bowl Log Manager 2009

ЗА: продукт дает возможность автоматически добавлять компьютеры из AD; с легкостью осуществляет группировку событий; оснащен тщательно разработанными фильтрами и мощными средствами формирования отчетов.
ПРОТИВ: основные элементы пользовательского интерфейса слишком загромождены излишними деталями; диалоговые окна иногда повергают в замешательство; средством формирования отчетов пользоваться трудно.
ОЦЕНКА: 3 из 5
ЦЕНА: 129 долл. и выше за версию, обеспечивающую мониторинг до 20 компьютеров (но этот продукт нельзя устанавливать на сервер); 259 долл. и выше за версию, предназначенную для мониторинга большего числа компьютеров, которую можно устанавливать на серверах.
РЕКОМЕНДАЦИИ: Corner Bowl Log Manager — недорогой, но мощный и добротный диспетчер журналов.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Corner Bowl Software, www.cornerbowl.com

Категория ~
Технические советы

– Автор:

Игорь (Администратор)

Современные версии операционной системы Windows (и более ранние версии) поддерживают ряд так называемых файлов журналов событий, в которых хранятся все данные о том, что делает система. Всякий раз, когда возникает ошибка или происходит вход в систему, эти события записываются в виде отдельных записей журнала событий. Практически все, что происходит на компьютере попадает в эти журналы.Так, например, в логах хранятся записи о статусах служб системы (остановка, запуск, перезагрузка и так далее). Поэтому, если вы занимаетесь устранением неполадок компьютера или же вам просто интересно узнать о всем том, что происходит в фоновом режиме, то просмотр журналов событий может быть весьма полезным.

Беда в том, что стандартный инструмент Windows ограничен в своих возможностях. Так, например, вы не сможете отфильтровать записи по содержанию описания. Именно поэтому, полезно иметь в запасе хорошую альтернативу.

Примечание: Безусловно, для большинства простых и обычных ошибок стандартной функции просмотра журнала вполне хватит. Однако, если ошибка будет более сложной и крыться, например, в последовательности событий с определенным текстом, то найти и локализовать ее будет не простой задачей.

Event Log Explorer является, как и следует из названия, программой для просмотра и поиска записей в журнале событий. В вашем распоряжении будут расширенные фильтры, планировщик задач, настраиваемые оповещения (запуск программ с параметрами события), экспорт журналов, цветовое кодирование (подкраска) и многое другое. Примечательно, что вы даже можете указывать настройки загрузки событий: хранить в памяти компьютера или на диске, что может быть весьма полезным для тех систем, где протоколируется огромное количество событий.

Event Log Explorer является коммерческим продуктом для крупных компаний, но вы можете бесплатно использовать ее для личного использования на 3-х компьютерах (для получения бесплатной лицензии необходимо будет заполнить простую форму, иначе срок действия будет ограничен 30 днями). Программа поддерживает все версии Windows, начиная с XP, не содержит вирусов по версии VirusTotal и поддерживает русскую локализацию. Скачать Event Log Explorer и найти дополнительную информацию вы можете по этому адресу http://www.eventlogxp.com/rus/. Не смущайтесь названием сайта (присутствием xp), программа нормально запускается и обрабатывает записи журнала событий на текущих версиях Windows (возможно, что продукт изначально позиционировался для Windows XP, но со временем разросся).

Примечание: Для выбора русской локализации, необходимо после первого запуска программы в верхнем меню открыть «File» — «Language» и выбрать «Russian«.

Теперь, у вас всегда под рукой будет мощное средство для анализа записей журнала событий.

Портативная программа для просмотра информации из журнала событий Windows. Утилита выведет подробный отчет об использовании файлов и выполнении системных процедур с указанием даты и времени.

LastActivityView — это уникальное приложение, которое предоставит подробные данные о ранее выполненных пользователями действиях и значимых случаях внутрисистемной активности на Вашем компьютере.

Программа сама не ведет записи истории, а представляет собой удобную оболочку для структурированного отображения информации из системного журнала событий ОС.

Глубина просмотра истории, как правило, достигает даты установки операционной системы. В случае если использовались сторонние утилиты для освобождения свободного дискового пространства, велика вероятность, что записи журнала событий будут доступны только с момента последней чистки.

LastActivityView отображает данные о событиях:

• Начало/завершения работы системы
• Вход/выход пользователя
• Запуск/остановку установщика Windows
• Создание точки восстановления
• Переходы системы в спящий режим и гибернации
• Просмотр папки в проводнике
• Переход по ссылке
• Открытие или обращение к файлу

Для всех событий указывается дата и время начала активности. При просмотре истории работы с фалами предоставляется информация об имени файла, пути расположения и другие доступные данные.

В программе присутствует инструмент поиска, в котором можно указать интересующие событие или связанные с ним атрибуты.

При необходимости просмотра истории за конкретный период можно указать количество дней, часов, минут или секунд для обратного отсчета с текущего момента.

Так же утилита позволяет экспортировать полученную информацию, сохранив все данные или выделенную область в HTML файл.