Журнал событий системы windows 7 можно ли отключить

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

   

   eventvwr — команда для вызова журнала событий
3. после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

   

   Просмотр событий

Вариант 2

1. сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

   

   Система и безопасность

2. далее необходимо перейти в раздел «Администрирование»;

   

   Администрирование
3. после кликнуть мышкой по ярлыку «Просмотр событий».

   

   Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

❷

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

1. открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

   

   Открываем службы — services.msc (универсальный способ)

2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

   

   Службы — журналы событий

3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

   

   Отключена — остановить

*

На этом пока всё, удачи!

✌

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

Здравствуйте, дорогие читатели, с вами снова Тришкин Денис.
Хотелось бы вам рассказать об одном интересном стандартном приложении в Windows. Корпорация Microsoft всегда отличалась тем, что в своих операционных системах она старалась реализовать высокую безопасность и быстродействие путем слежения за программами и различными движениями в системе. Конечно же это не всегда выходило. Одним из инструментов, позволяющих наблюдать за системой, является журнал событий Windows 7. Именно в нем регистрируются все некорректные установки и неудачные запуски программ. В нем все действия расположены в хронологическом порядке. Желательно время от времени заглядывать в этот реестр, чтобы вовремя реагировать на новую информацию.

Возможности журнала Windows( к содержанию ↑ )

Запуск программы( к содержанию ↑ )

Описание( к содержанию ↑ )

Итак, узнав, где находится журнал, нужно теперь выяснить, что это такое. В Windows седьмой версии предусмотрено несколько реестров движений. Так, существует служебная база приложений и системный архив. Действие последнего направлено на запись всех происшествий, происходящий в операционке с программами. Первый нужен для запоминания изменений, которые прошли со служебными приложениями. Основной является вкладка «Просмотр», которая включает несколько пунктов:

Дополнительные пункты( к содержанию ↑ )

Описание событий( к содержанию ↑ )

Помимо этого, в реестре событий предусмотрена масса других свойств. Подробное знакомство с ними поможет более точно настраивать и следить за системой.

Работа с журналом( к содержанию ↑ )

Чтобы предохранить систему от сбоев и зависания, желательно своевременно просматривать базу «Приложение», в котором указываются все происшествия, действия с разными программами и предоставляется выбор возможных операций.

увеличить

Там же показано время и дата появления, источник. Консоль позволяет сохранить все изменения, очистить их и изменить саму таблицу, в которой указаны нужные данные.

Очистка журнала( к содержанию ↑ )

Ошибка в журнале( к содержанию ↑ )

Постоянно просматривая реестр операционной системы, можно увидеть, что здесь часто появляются разные ошибки и предупреждения. При этом не стоит сразу паниковать – многие из них никак не угрожают компьютеру. Но вместе с тем они могут появляться даже на идеально работающей машине.

По факту, это приложение разрабатывалось для системных администраторов, чтобы они могли в кратчайшие сроки узнать о проблеме и убрать ее.

Увеличение объема памяти для записей в журнале( к содержанию ↑ )

Проблемы запуска( к содержанию ↑ )

Иногда происходит так, что журнал не запускается.

Решение проблемы хоть и не простое, тем не менее эффективное. Итак, в папке Windows находим System32, а затем wineyf. Ей и всем файлам внутри нужно дать полный доступ для юзера Local Service. Именно под ним и проходит работа программы. Иногда то же самое нужно сделать для папки LogFiles, расположенной в той же директории.

Отключение( к содержанию ↑ )

Журнал событий можно отключить, как и любую другую службу.

Заходим в Панель управления, «Администрирование».

Здесь находим «Службы», выбираем нужную и меняем тип запуска на «Отключено». Эта программа будет продолжать работу до первой перезагрузки.

Журнал событий в Windows 7 представляет собой удобный инструмент, позволяющий следить за различными операциями, происходящими на компьютере. Это позволит исправлять ошибки, что улучшит взаимодействие с системой.

Подписывайтесь и рассказывайте друзьям обо мне.

Материалы по теме

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Здравствуйте дорогие читатели, сегодня я хотел бы поговорить:

1. О службах Windows, что это, для чего нужны и какие за что отвечают.

2. И как же повысить быстродействия компьютера?

И так что это за службы Windows?

Службы — приложения, автоматически или вручную запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя различные задачи.

Открыть список служб можно несколькими способами:

1. Удерживая кнопку windows нажимаем R, откроется окно выполнить, там введите services.msc

2. Пуск > Панель управления > Администрирование > Службы

3. Пуск > правой кнопкой мыши по моему компьютеру >  Управление > Службы и приложения > Службы

Как видите в Windows их достаточно много и скачав справочник служб, Вы можете ознакомиться какие службы существуют и за что каждая из них отвечает.

Так как службы это приложения, следовательно они работают и используют часть  ресурсов компьютера. Отключив не нужные можно повысить его быстродействие. Посмотрим что можно отключить.

Какие службы можно отключить в Windows 7, 8

Я не стал составлять список тех служб которые можно отключить, т.к. многие службы индивидуальны. Я просто постарался описать каждую службу и в каких ситуациях их можно отключить. Если вам нужно что-нибудь отключить бездумно, то просто воспользуйтесь программой для автоматического отключения служб.

* BranchCache — Служба кэширует сетевое содержимое. Если не пользуетесь домашней сетью, то вообще можете отключить.

* DHCP-клиент — Если пользуетесь интернетом не трогайте ни в коем случае. Именно эта служба присваивает вам ip адрес.

* DNS-клиент — Так же необходимая служба для использования интернета. Работает с вашими DNS (служит для правильных направлений).

* KtmRm для координатора распределенных транзакций — системная функция транзакций. Её так же оставляем.

* Microsoft .NET Framework — Все такие службы оставляем как есть. Они служат для нормальной работы большинства приложений.

* Parental Controls — Служба для родительского контроля. Если не используете, можно отключить.

* Plug-and-Play — служит для автоматического распознавания изменений в системе. Например когда вы подключаете флешку, просыпается эта служба… Так что оставляем как есть.

* Quality Windows Audio Video Experience — передача аудио и видео по сети в режиме реального времени. Не нужна только если нет сети (или интернета) в остальных случаях оставляем.

* Remote Desktop Configuration — Для удаленного рабочего стола. Если не пользуетесь удаленными подключениями, отключаем.

* Superfetch — Полезная функция, работает с кэшем. Ускоряет работу Windows, так что оставляем.

* Windows Audio — Управляет звуком. Если не нужен звук отключаем. В остальных случаях оставляем.

* Windows CardSpace — ненужная и небезопасная служба. По этому отключаем.

* Windows Driver Foundation — User-mode Driver Framework — для нормальной работы драйверов, не трогайте. Пусть остается как есть.

* Windows Search — Индексирование файлов для поиска. Если не пользуетесь и есть время подождать пока найдется файл, то отключаем. На ssd обязательно отключаем!

* WMI Performance Adapter — нужна для служб требующие wmi, ставим вручную. Если каким-то приложениям понадобятся, те сами запустят)

* Автонастройка WWAN — служба для использования мобильного интернета. Если пользуетесь usb модемом, сим картой в ноуте, то не отключайте.

* Автономные файлы — помогает работать, автономно с недоступными файлами, которые загрузились до этого. Ставим вручную.

* Агент защиты сетевого доступа — Ставим вручную, т.к. при необходимости служба запустится, если какая-то программа запросит необходимую информацию.

* Агент политики IPsec — Нужна при наличии сети и интернета.

* Адаптивная регулировка яркости — Оставляем если есть датчик освещения.

* Архивация Windows — Если не пользуетесь отключайте. Но лучше почитайте про архивацию в windows мало ли, будете пользоваться.

* Биометрическая служба Windows — нужна лишь при использовании биометрических устройств. В остальных случаях отключаем.

* Брандмауэр Windows — Я если честно всегда отключаю, т.к. воровать у меня нечего) А если и зашифруют данные, то восстановлю) Но вам посоветую обзавестись например касперским интернет секьюрити, которого есть и антивирус и брандмауэр. А этот отключите нафиг, т.к. он иногда блокирует что не нужно) Вообщем он следит за безопасностью вашего компьютера и закрывает порты, чтобы ворюги не смогли залезть к вам в компьютер)

* Браузер компьютера — В домашней сети не нужна. Вручную.

* Веб-клиент — Нудна если нет интернета. Служит для работы с файлами в интернете. Оставляем.

* Виртуальный диск — Служба для работы с запоминающими устройствами. Ставим вручную.

* Вспомогательная служба IP — Работает с протоколом версии 6. Я всегда отключаю его самого, так что и службу можно вообще отключить.

* Вторичный вход в систему — Ставьте вручную, т.к. некоторые игры или программы включат её по необходимости.

* Группировка сетевых участников — Нужна для домашней группы. Ставьте вручную, мало ли понадобится…

* Дефрагментация диска — В принципе она не мешает. Можете оставить или отключить. Если отключите, то рекомендую делать раз в месяц. А для ssd дисков, вообще отключаем!

* Диспетчер автоматических подключений удаленного доступа — Ставим вручную. Нужна для удаленных подключений.

* Диспетчер печати — Нужна если есть с чего печатать. В остальных случаях отключаем.

* Диспетчер подключений удаленного доступа — вручную. Один раз вообще отключил и не смог создать подключение. Так что лучше вручную.

* Диспетчер сеансов диспетчера окон рабочего стола — Если не используете прозрачность от Aero, то можно отключить, даст большой прирост.

* Диспетчер удостоверения сетевых участников — Ставим лучше вручную.

* Диспетчер учетных данных — Лучше вручную. Хранит ваши данные, например логины и пароли.

* Диспетчер учетных записей безопасности — Лучше оставить как есть. Если отключить данную службу, то все изменения в локально политике безопасности пропадут.

* Доступ к HID-устройствам — Доступ к быстрым клавишам. Отключите, если какие-то комбинации перестанут работать, то поставьте обратно.

* Журнал событий Windows — записывает все события. Полезный инструмент для опытного пользователя. Отключить невозможно.

* Журналы и оповещения производительности — системная служба, оставляем как есть.

* Защита программного обеспечения — так же системная служба, оставляем как есть.

* Защитник Windows — Защита от шпионских и вредных программ. Установите нормальный антивирус, а эту службу отключите.

* Изоляция ключей CNG — Вручную.

* Инструментарий управления Windows — Системная служба, без неё, некоторые приложения могут работать некорректно, так что лучше оставить.

* Информация о совместимости приложений — Полезная штука, помогает запустится приложениям, которые отказываются работать на вашей ос. Ставим вручную.

* Клиент групповой политики — Оставляем. Отвечает за настройками политики безопасности.

* Клиент отслеживания изменившихся связей — Отслеживание файлов ntfs, не нужно. Отключаем.

* Координатор распределенных транзакций — Ставим вручную.

* Кэш шрифтов Windows Presentation Foundation — Ставим вручную. При необходимости её запустят приложения.

* Ловушка SNMP — Некоторые программы будут собирать о вас информацию. Так что отключайте.

* Локатор удаленного вызова процедур (RPC) — Вручную, при необходимости приложения её запустят.

* Маршрутизация и удаленный доступ — Не нужна. Отключаем.

* Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности — Не нужна, но лучше вручную.

* Модуль запуска процессов DCOM-сервера — Системная служба, оставляем как есть.

* Модуль поддержки NetBIOS через TCP/IP — Если нет других компьютеров в сети, то вручную.

* Немедленные подключения Windows — регистратор настройки — Вручную.

* Обнаружение SSDP — Оставьте как есть. Необходима для новых устройств.

* Обнаружение интерактивных служб — Вручную.

* Общий доступ к подключению к Интернету (ICS) — Не нужна, если вы не расшариваете ваш интернет в сетевых подключениях.

* Определение оборудования оболочки — необходима для диалогового окна автозапуска диска или флешки. Кому как удобно, большинству это нужно. Я оставил.

* Основные службы доверенного платформенного модуля — Нужно только для использования чипов ТМР и/или BitLocker.

* Перенаправитель портов пользовательского режима служб удаленных рабочих столов — Если не используете удаленные соединения, то не нужно. Лучше поставьте вручную.

* Перечислитель IP-шин PnP-X — Лучше поставить вручную.

* Питание — Не отключается. Оставляем.

* Планировщик заданий — Желательно оставить как есть, т.к. сейчас много программ его использует.

* Планировщик классов мультимедиа — Оставляем, для кого важен звук.

* Поддержка элемента панели управления «Отчеты о проблемах и их решениях» — Вручную.

* Политика удаления смарт-карт — для пользователей смарт-карт, лучше вручную.

* Поставщик домашней группы — Для использования домашних групп. Лучше вручную.

* Проводная автонастройка — Вручную.

* Программный поставщик теневого копирования (Microsoft) — Вручную.

* Прослушиватель домашней группы — Вручную.

* Протокол PNRP — Тоже оставляем вручную. Некоторые приложения могут использовать службу.

* Публикация ресурсов обнаружения функции — Нужна если вы хотите показывать свои файлы другим компьютерам по сети. Если не хотите, то вручную или отключить.

* Рабочая станция — лучше оставить, т.к. некоторые приложения задействуют данную службу.

* Распространение сертификата — Лучше вручную.

* Расширяемый протокол проверки подлинности (EAP) — Вручную.

* Сборщик событий Windows — Вручную.

* Сведения о приложении — Вручную.

* Сервер — Если компьютер не используется как сервер или не использует общий доступ к файлам и принтерам, то отключайте.

* Сервер упорядочения потоков — Отключаем если нет домашней группы.

* Сетевой вход в систему — Вручную.

* Сетевые подключения — Оставьте как есть. Если нет сети или интернета, то можете отключить.

* Система событий COM+ — ставим вручную. Приложения зависящие от это службы сами её запустят при необходимости.

* Системное приложение COM+ — Так же вручную.

* Служба SSTP — Оставляем как есть, нужна служба если есть интернет на компьютере.

* Служба автоматического обнаружения веб-прокси WinHTTP — Если нужен интернет, то оставьте как есть.

* Служба автонастройки WLAN — служба для беспроводных сетей. Соответственно если их нет, она не нужна.

* Служба базовой фильтрации — с одной стороны, она не нужна (если не нужна безопасность), но с другой, некоторые программы, могут выдавать ошибки. Так что оставляем.

* Служба ввода планшетного ПК — если экран не сенсорный, то не нужна.

* Служба времени Windows — нужна для синхронизации времени с интернетом.

* Служба загрузки изображений Windows (WIA) — Нужна служба, только если есть сканер. Она отвечает за получение изображений со сканеров и камер.

* Служба инициатора Майкрософт iSCSI — Ставим вручную, если программам понадобится, они сами её запустят.

* Служба интерфейса сохранения сети — Нужна для нормальной работы сети.

* Служба кэша шрифтов Windows — служит для повышения производительности, кэширует шрифты и не тратит время на загрузку.

* Служба медиаприставки Media Center — Если не используете никаких приставок, она не нужна.

* Служба модуля архивации на уровне блоков — Ставим вручную. Если понадобится архивация или восстановление, то служба сама запуститься.

* Служба общего доступа к портам Net.Tcp — По умолчанию выключена. Нужна если только понадобится протокол Net.Tcp.

* Служба общих сетевых ресурсов проигрывателя Windows Media — Вручную. Понадобится, включится.

* Служба перечислителя переносных устройств — Служит для синхронизации музыки, видео и т.д. со съемными носителями. Я бы поставил вручную. Не всегда это нужно.

* Служба планировщика Windows Media Center — Нужна если только смотрите передачи в Windows Media Player.

* Служба поддержки Bluetooth — Нужна если есть Bluetooth.

* Служба политики диагностики — Нужна для диагностики неполадок… Она если честно помогает редко. По этому можете по-экспериментировать, отключив её. Если понадобится — включите.

* Служба помощника по совместимости программ — служба нужна для запуска программ, несовместимый с вашей ОС. Если нет таковых поставьте вручную.

* Служба профилей пользователей — Лучше оставить. Она работает с профилями пользователей компьютера.

* Служба публикации имен компьютеров PNRP — Нужна для домашних групп.

* Служба регистрации ошибок Windows — Регистрирует ошибки. Лучше поставить вручную.

* Служба ресивера Windows Media Center — для просмотра телерадио передач в плеере.

* Служба сведений о подключенных сетях — Лучше оставить как есть, для нормальной работы сети.

* Служба списка сетей — Так же лучше оставить.

* Служба уведомления SPP — Для лицензирования. Оставьте вручную.

* Служба уведомления о системных событиях — Если не собираетесь смотреть сообщения Windows, то она вам не нужна.

* Служба удаленного управления Windows (WS-Management) — Поставьте вручную.

* Служба шифрования дисков BitLocker — Шифрует диски. Если не пользуетесь, то лучше отключите.

* Служба шлюза уровня приложения — Служба нужна только для работы с брандмауэром. Вручную.

* Службы криптографии — Для установки новых программ, лучше оставьте как есть.

* Службы удаленных рабочих столов — Если не пользуетесь удаленными рабочими столами, то отключайте.

* Смарт-карта — Если ими не пользуетесь, то она вам не нужна.

* Сопоставитель конечных точек RPC — Служба нужна для входящего трафика. С ней ничего нельзя сделать. По этому оставляем.

* Средство построения конечных точек Windows Audio — Если нужен звук, оставьте.

* Телефония — Оставьте вручную. Если понадобится, запустится.

* Темы — Едят много ресурсов памяти. Если не нужны, отключайте.

* Теневое копирование тома — Создает точки восстановления, архивация в фоновом режиме. Поставьте вручную. Если нужно будет запустится.

* Тополог канального уровня — Тоже вручную. Если понадобится, запустится.

* Удаленный вызов процедур (RPC) — Системная служба. Оставьте как есть.

* Удаленный реестр — Позволяет удаленным пользователям, манипулировать вашим реестром. Отключайте.

* Удостоверение приложения — Вручную.

* Узел системы диагностики — Диагностика проблем. Поставьте вручную.

* Узел службы диагностики — Так же вручную.

* Узел универсальных PNP-устройств — Ставьте вручную. Не все устройства PnP.

* Управление приложениями — Ставьте вручную. Служба позволяет настроить политики для приложений.

* Управление сертификатами и ключом работоспособности — Ставьте вручную, понадобится, запустится сама.

* Установщик ActiveX — Так же вручную. Понадобится установить такой объект, она сама запустится.

* Установщик Windows — Установка программ .msi. Вручную.

* Установщик модулей Windows — Устанавливает и удаляет компоненты и обновления. Вручную.

* Факс — Нужна если только есть факс.

* Фоновая интеллектуальная служба передачи (BITS) — Оставляем вручную. Служба полезная.

* Хост поставщика функции обнаружения — Оставляем вручную. Нужно будет запустится.

* Цветовая система Windows (WCS) — Вручную. Нужна будет устройствам, запустят.

* Центр обеспечения безопасности — Следит за безопасностью Windows. Меня она бесит со своими уведомлениями. Так что отключать или нет, выбирать вам.

* Центр обновления Windows — С одной стороны полезная функция. Заделывает дыры в системе, обновляет драйвера, но с другой стороны, активно использует интернет, ресурсы памяти и если при обновлении выключить компьютер, может рухнуть ОС. Так что так же вам выбирать что важнее, безопасность или быстродействие.

* Шифрованная файловая система (EFS) — Для безопасности файлов. Лучше оставьте как есть вручную.

Я постарался представить весь список служб. Отключив некоторые, вы повысите быстродействие компьютера. Можно так же по своему усмотрению решить какие нужны, а какие нет. Например если нет интернета, то тут половину смело рубить можно, если нет принтера, то тоже можно много выключить. Таким образом в зависимости от ваших потребностей, можно существенно взбодрить старый компьютер.

Исправление ошибок Windows 7 на нетбуке ASUS 1225b

Приобрёл нетбук ASUS eee pc 1225b с предустановленной windows 7 Домашняя расширенная (Home Premium), хороший нетбук, ОС лицензионная, а баги как были у Microsoft Windows, так и остались, вот о них и поговорим.

Если у вас долго пытается зайти в Устройства и принтеры, то можно попробовать:

При заходе в события появляется ошибка:

Служба журнала событий недоступна. Убедитесь, что служба запущена.

А при включении службы Журнала событий Windows возникает ошибка:

Не удалось запустить службу Журнала событий Windows на локальной компьютер.
Ошибка 4201: Переданное имя копии не было распознано поставщиком данных WMI как допустимое имя.

Операция не может быть завершена, поскольку эти папка или файл открыты в другой программе
Закройте папку или файл и повторите попытку

После скачивания, нужно распаковать архив и запустить программу из папки, которой соответствует разрядность вашей системы.

Последовательность переименования с помощью Unlocker:

Со временем статья будет пополняться

Источник

Проблемы в системе журналирования событий безопасности ОС Windows

В операционных системах семейства Windows реализована довольно неплохая система журналирования событий безопасности. О ней в различных публикациях и обзорах написано много чего хорошего, но эта статья будет про другое. Здесь мы поговорим о проблемах и недоработках в этой системе. Некоторые из рассматриваемых проблем будут некритичными, лишь осложняющими процедуры анализа событий, другие же будут представлять весьма серьезные угрозы безопасности.

Выявленные проблемы проверялись на Windows 7 Максимальная (русская версия), Windows 7 Professional (английская версия), Windows 10 Pro (русская версия), Windows Server 2019 Datacenter (русская версия). Все операционные системы были полностью обновлены.

Проблема № 1. Неудачная система управления параметрами аудита

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Объяснение

Чтобы разобраться в причине подобного поведения, надо залезть «под капот» операционной системы. Начнем с того, что разберемся с базовыми и расширенными политиками аудита.

До Windows Vista были только одни политики аудита, которые сейчас принято называть базовыми. Проблема была в том, что гранулярность управления аудитом в то время была очень низкой. Так, если требовалось отследить доступ к файлам, то включали категорию базовой политики «Аудит доступа к объектам». В результате чего помимо файловых операций в журнал безопасности сыпалась еще куча других «шумовых» событий. Это сильно усложняло обработку журналов и нервировало пользователей.

Microsoft услышала эту «боль» и решила помочь. Проблема в том, что Windows строится по концепции обратной совместимости, и внесение изменений в действующий механизм управления аудитом эту совместимость бы убило. Поэтому вендор пошел другим путем. Он создал новый инструмент и назвал его расширенными политиками аудита.

Суть инструмента заключается в том, что из категорий базовых политик аудита сделали категории расширенных политик, а те, в свою очередь, разделили на подкатегории, которые можно отдельно включать и отключать. Теперь при необходимости отслеживания доступа к файлам в расширенных политиках аудита необходимо активировать только подкатегорию «Файловая система», входящую в категорию «Доступ к объектам». При этом «шумовые» события, связанные с доступом к реестру или фильтрацией сетевого трафика, в журнал безопасности попадать не будут.

Гигантскую путаницу во всю эту схему вносит то, что наименования категорий базовых политик аудита и расширенных не совпадают, и по началу может показаться, что это абсолютно разные вещи, однако это не так.

Приведем таблицу соответствия наименования базовых и расширенных категорий управления аудитом

Наименование базовых политик аудита	Наименование расширенной политики аудита
Аудит доступа к службе каталогов	Доступ к службе каталогов (DS)
Аудит доступа к объектам	Доступ к объектам
Аудит использования привилегий	Использование прав
Аудит входа в систему	Вход/выход
Аудит событий входа в систему	Вход учетной записи
Аудит изменения политики	Изменение политики
Аудит системных событий	Система
Аудит управления учетными записями	Управление учетными записями
Аудит отслеживания процессов	Подробное отслеживание

Важно понимать, что и базовые и расширенные категории по сути управляют одним и тем же. Включение категории базовой политики аудита приводит к включению соответствующей ей категории расширенной политики аудита и, как следствие, всех ее подкатегорий. Во избежание непредсказуемых последствий Microsoft не рекомендует одновременное использование базовых и расширенных политик аудита.

Теперь настало время разобраться с тем, где хранятся настройки аудита. Для начала введем ряд понятий:

Наименование средства	Отображаемые политики аудита	Сохраняемые политики аудита
«Базовые политики аудита» оснастки «Локальные политики безопасности»	Эффективные политики аудита	Эффективные политики аудита, сохраненные политики аудита
«Расширенные политики аудита» оснастки «Локальные политики безопасности»	Файл %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv
Утилита auditpol	Сохраненные параметры аудита	Эффективные параметры аудита, сохраненные параметры аудита

Поясним таблицу на примерах.

Отдельного комментария требует порядок отображения параметров аудита в «Базовых политиках аудита» оснастки «Локальные политики безопасности». Категория базовой политики аудита отображается как установленная, если установлены все подкатегории соответствующей ей расширенной политики аудита. Если хотя бы одна из них не установлена, то политика будет отображаться как не установленная.

Администратор с помощью команды auditpol /set /category:* установил все подкатегории аудита в режим «Аудит успехов». При этом если зайти в «Базовые политики аудита» оснастки «Локальные политики безопасности», то напротив каждой категории будет установлено «Аудит успеха».

В «Базовых политиках аудита» оснастки «Локальные политики безопасности» эти сведения об аудите не отображаются, так как во всех категориях не определена одна или более подкатегорий. В «Расширенных политиках аудита» оснастки «Локальные политики безопасности» эти сведения не отображаются, так как оснастка работает только c параметрами аудита, хранящимися в файле %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv.

В чем суть проблемы?

По началу может показаться, что все это и не проблема вовсе, но это не так. То, что все инструменты показывают параметры аудита по разному, создает возможность к злонамеренному манипулированию политиками и, как следствие, результатами аудита.

Рассмотрим вероятный сценарий

Пусть в корпоративной сети работает технологическая рабочая станция на базе Windows 7.

Машина не включена в домен и выполняет функции робота, ежедневно отправляющего отчетность в контролирующие органы. Злоумышленники тем или иным образом получили на ней удаленный доступ с правами администратора. При этом основная цель злоумышлеников — шпионаж, а задача — оставаться в системе незамеченными. Злоумышленники решили скрытно, чтоб в журнале безопасности не было событий с кодом 4719 «Аудит изменения политики», отключить аудит доступа к файлам, но при этом чтобы все инструменты администрирования говорили, что аудит включен. Для достижения поставленной задачи они выполнили следующие действия:

Проблема № 2. Неудачная реализация журналирования операций удаления файлов, каталогов и ключей реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

На одну операцию удаления файла, каталога или ключа реестра операционная система генерирует последовательность событий с кодами 4663 и 4660. Проблема в том, что из всего потока событий данную парочку не так уж просто связать друг с другом. Для того чтобы это сделать, анализируемые события должны обладать следующими параметрами:

Событие 1. Код 4663 «Выполнена попытка получения доступа к объекту». Параметры события:
«ObjectType» = File.
«ObjectName» = имя удаляемого файла или каталога.
«HandleId» = дескриптор удаляемого файла.
«AcessMask» = 0x10000 (Данный код соответствует операции DELETE. С расшифровкой всех кодов операций можно ознакомиться на сайте Microsoft).

Событие 2. Код 4660 «Объект удален».
Параметры события:

«HandleId» = «HandleId события 1»
«SystemEventRecordID» = «SystemEventRecordID из события 1» + 1.

С удалением ключа (key) реестра всё то же самое, только в первом событии с кодом 4663 параметр «ObjectType» = Key.

Отметим, что удаление значений (values) в реестре описывается другим событием (код 4657) и подобных проблем не вызывает.

Особенности удаления файлов в Windows 10 и Server 2019

В Windows 10 / Server 2019 процедура удаления файла описывается двумя способами.

В чем суть проблемы?

Проблема заключается в том, что узнать кто удалил файл или каталог, становится нетривиальной задачей. Вместо банального поиска соответствующего события по журналу безопасности необходимо анализировать последовательности событий, что вручную делать довольно трудоемко. На хабре даже по этому поводу была статья: «Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell».

Проблема № 3 (критическая). Неудачная реализация журналирования операции переименования файлов, каталогов и ключей реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Эта проблема состоит из двух подпроблем:

В чем суть проблемы?

Помимо затруднения поиска операций переименования файлов подобная особенность журналирования не позволяет отследить полный жизненный цикл объектов файловой системы или ключей реестра. В результате чего на активно используемом файловом сервере становится крайне затруднительно определить историю файла, который многократно переименовывался.

Проблема № 4 (критическая). Невозможно отследить создание каталога и ключа реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Windows не позволяет отследить создание каталога файловой системы и ключа реестра. Это заключается в том, что операционная система не генерирует событие, в котором содержалось бы имя создаваемого каталога или ключа реестра, и параметры которого указывали бы на то, что это именно операция создания.

В чем суть проблемы?

Эта проблема существенно затрудняет проведение расследований инцидентов информационной безопасности. Нет никаких разумных объяснений тому, что в журналах не фиксируется данная информация.

Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows

Наличие проблемы подтверждено на русских редакциях Windows 7/10/Server 2019.

Описание проблемы

В русских версиях Windows есть ошибка, приводящая систему управления аудитом безопасности в нерабочее состояние.

Симптомы

Причины

Проблема возникает, если администратор активировал хотя бы одну из «сбойных» подкатегорий расширенных политик аудита. К подобным сбойным категориям, в частности, относятся:

Рекомендации по решению проблемы

Если проблема еще не произошла, то не активируйте указанные «сбойные» подкатегории. Если события этих подкатегорий очень нужны, то пользуйтесь утилитой auditpol для их активации или же управляйте аудитом с помощью базовых политик.

Если проблема произошла, то необходимо:

В чем суть проблемы?

Наличие данной проблемы уменьшает количество событий безопасности, которые можно контролировать штатным образом через расширенные политики аудита, а также создает угрозы отключения, блокирования и дестабилизации управления системой аудита в корпоративной сети.

Проблема № 6 (критическая). Будь проклят «Новый текстовый документ.txt. а также Новый точечный рисунок.bmp»

Наличие проблемы подтверждено на Windows 7. Проблема отсутствует в Windows 10/Server 2019.

Описание проблемы

Это очень странная проблема, которая была обнаружена чисто случайно. Суть проблемы в том, что в операционной системе есть лазейка, позволяющая обойти аудит создания файлов.

Из командной строки выполним команду: echo > «c:testНовый текстовый документ.txt»
Наблюдаем:

По факту создания файла в журнале безопасности появилось событие с кодом 4663, содержащее в поле «ObjectName» имя создаваемого файла, в поле «AccessMask» значение 0x2 («Запись данных или добавление файла»).

Для выполнения следующих экспериментов очистим папку и журнал событий.

В журнале событий данное действие никак не отразилось. Также никаких записей не будет, если с помощью того же контекстного меню создать «Точечный рисунок».

Как и в случае с созданием файла через командную строку в журнале появилось событие с кодом 4663 и соответствующим наполнением.

В чем суть проблемы?

Конечно создание текстовых документов или картинок особого вреда не представляет. Однако, если «Проводник» умеет обходить журналирование файловых операций, то это смогут сделать и вредоносы.

Данная проблема является, пожалуй, наиболее значимой из всех рассмотренных, поскольку серьезно подрывает доверие к результатам работы аудита файловых операций.

Заключение

Приведенный перечень проблем не исчерпывающий. В процессе работы удалось споткнуться о еще довольно большое количество различных мелких недоработок, к которым можно отнести использование локализованных констант в качестве значений параметров ряда событий, что заставляет писать свои анализирующие скрипты под каждую локализацию операционной системы, нелогичное разделение кодов событий на близкие по смыслу операции, например, удаление ключа реестра — это последовательность событий 4663 и 4660, а удаление значения в реестре — 4657, ну и еще по мелочи…

Справедливости ради отметим, что несмотря на все недостатки система журналирования событий безопасности в Windows имеет большое количество положительных моментов. Исправление указанных здесь критических проблем может вернуть системе корону лучшего решения по журналированию событий безопасности из коробки.

MAKE WINDOWS SECURITY EVENT LOGGING GREAT AGAIN!

Источник

Служба журнала событий Windows не запущена

Служба журнала событий Windows управляет серией журналов событий, которые используют систему, системные компоненты и приложения для регистрации событий. Служба предоставляет функции, которые позволяют программам вести журналы событий и управлять ими, а также выполнять такие операции журналов, как архивирование и сверка. Это позволяет администраторам вести журналы событий и выполнять административные задачи, требующие прав администратора.

По какой-то неизвестной причине, если у вас возникли трудности с запуском следующего, вполне возможно, что одна из причин, по которой служба журнала событий Windows не работает.

В таком случае сообщения об ошибках, такие как:

Служба журнала событий недоступна. Проверьте, работает ли служба

Windows не удалось запустить службу журнала событий Windows на локальном компьютере

Сначала перезагрузите систему и посмотрите, поможет ли это. Иногда простой перезапуск помогает сбросить этот сервис. Если журнал событий Windows, кажется, запустился, перезапустите его из Service Manager.

Чтобы проверить, запущена или остановлена ​​служба журнала событий Windows, запустите services.msc и нажмите Enter, чтобы открыть Service Manager. Щелкните правой кнопкой мыши Служба журнала событий Windows и проверьте его свойства.

Убедитесь, что тип загрузки установлен на Автоматически и услуги Началось; и что он работает в Местная служба Счет.

Также убедитесь, что на вкладке «Восстановление» в трех раскрывающихся окнах отображается параметр «Перезапустить службу» в случае возникновения ошибки. При необходимости перезапустите.

Иногда служба журнала событий Windows по-прежнему не запускается, и вы получаете следующее сообщение об ошибке:

Система не может найти указанный файл

В этом случае откройте следующую папку:

Эта папка содержит журналы событий в .evtx формат и может быть прочитан только с Просмотр событий, Дайте эту папку журнала доступ для чтения / записи и посмотреть, помогает ли это.

Вы также можете сделать следующее.

Откройте редактор реестра и перейдите к следующей клавише:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceseventlog

Двойной клик ObjectName и убедитесь, что его значение NT AUTHORITYLocalService, Если нет, измените это.

Если это по-прежнему не помогает, запустите проверку системных файлов и просмотрите журналы.

Только записи, принадлежащие администратору, могут выполнять шорткод include me

Источник

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены. 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

eventvwr — команда для вызова журнала событий

Система и безопасность

Просмотр событий — Администрирование

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

Службы — журналы событий

Источник

Windows 7 журнал событий не работает

Сообщения: 3583
Благодарности: 507

При исполнении восьмого пункта получаю следующее:

Не удалось восстановить базу данных WMI в исходное состояние.
Код ошибки: 0х8007041В
Оборудование: Win32
Описание: Команда остановки была отправлена службе, от которой зависят другие приложения.

Какие должны быть дальнейшие действия?

——-
MULTI MULTA; NEMO OMNIA NOVIT

Сообщения: 52190
Благодарности: 15075

Сообщения: 52190
Благодарности: 15075

simsim
А пункт 7 не пропустили? Когда второй раз надо останавливать службу?
UAC отключен?

P. S. Извините, что переспрашиваю, просто других идей у меня нет.

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″> Источник

Adblock
detector

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Открытие инструмента «Просмотр событий»

Журнал событий хранится в системном инструменте, который имеет название «Просмотр событий». Посмотрим, как с помощью различных способов в него можно перейти.

Способ 1: «Панель управления»

Один из самых распространенных способов запуска описываемого в данной статье инструмента, хотя далеко не самый легкий и удобный, осуществляется с помощью «Панели управления».

1. Щелкните «Пуск» и перейдите по надписи «Панель управления».



2. Затем зайдите в раздел «Система и безопасность».



3. Далее щелкайте по наименованию раздела «Администрирование».



4. Попав в указанный раздел в перечне системных утилит ищите наименование «Просмотр событий». Кликните по нему.



5. Целевой инструмент активирован. Чтобы конкретно попасть в журнал системы, кликните по пункту «Журналы Windows» в левой области интерфейса окошка.



6. В открывшемся списке выбирайте один из пяти интересующих вас подразделов:
   • Приложение;
   • Безопасность;
   • Установка;
   • Система;
   • Перенаправление события.

   В центральной части окна отобразится журнал событий, соответствующий выбранному подразделу.



7. Аналогичным образом можно раскрыть раздел «Журналы приложений и служб», но там будет больший перечень подразделов. Выбор конкретного из них приведет к отображению в центре окна списка соответствующих событий.

Способ 2: Средство «Выполнить»

Намного проще инициировать активацию описываемого инструмента при помощи средства «Выполнить».

1. Задействуйте комбинацию клавиш Win+R. В поле запустившегося средства вбейте:

   eventvwr

   Кликните «OK».



2. Нужное окно будет открыто. Все дальнейшие действия по просмотру журнала можно производить по тому же алгоритму, который был описан в первом способе.

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Способ 3: Поле поиска меню «Пуск»

Очень похожий метод вызова изучаемого нами инструмента осуществляется с задействованием поля поиска меню «Пуск».

1. Щелкните «Пуск». Внизу открывшегося меню расположено поле. Введите туда выражение:

   eventvwr

   

   Или просто напишите:

   Просмотр событий

   В списке выдачи в блоке «Программы» появится наименование «eventvwr.exe» или «Просмотр событий» в зависимости от введенного выражения. В первом случае, скорее всего, результат выдачи будет единственным, а во втором их будет несколько. Кликните по одному из указанных выше названий.



2. Журнал будет запущен.

Способ 4: «Командная строка»

Вызов инструмента через «Командную строку» довольно неудобен, но и такой способ существует, а поэтому он тоже стоит отдельного упоминания. Сначала нам потребуется вызвать окно «Командной строки».

1. Щелкайте «Пуск». Далее выбирайте «Все программы».



2. Переходите в папку «Стандартные».



3. В перечне открывшихся утилит щелкайте по «Командная строка». Активацию с административными полномочиями производить не обязательно.
   

   Можете выполнить запуск и быстрее, но для этого нужно помнить команду активации «Командной строки». Наберите Win+R, инициировав тем самым запуск инструмента «Выполнить». Введите:

   cmd

   Щелкайте «OK».



4. При любом из двух вышеуказанных действий будет запущено окно «Командной строки». Введите знакомую команду:

   eventvwr

   Жмите Enter.



5. Окно журнала будет активировано.

Урок: Включение «Командной строки» в Виндовс 7

Способ 5: Прямой старт файла eventvwr.exe

Можно воспользоваться таким «экзотическим» вариантом решения поставленной задачи, как прямой старт файла из «Проводника». Тем не менее, и данный способ может пригодиться на практике, например, если сбои достигли такого масштаба, что другие варианты запустить инструмент просто недоступны. Такое бывает крайне редко, но вполне возможно.

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

C:WindowsSystem32

1. Запустите «Проводник Windows».



2. Вбейте в адресное поле тот адрес, который был представлен ранее, и кликните Enter или нажмите по значку справа.



3. Выполняется перемещение в каталог «System32». Именно тут хранится целевой файл «eventvwr.exe». Если у вас не включен в системе показ расширений, то объект будет называться «eventvwr». Найдите и произведите по нему двойной клик левой кнопкой мышки (ЛКМ). Чтобы легче осуществлять поиск, так как элементов довольно много, можете отсортировать объекты по алфавиту, кликнув по параметру «Имя» вверху списка.



4. Произойдет активация окна журнала.

Способ 6: Введение пути к файлу в адресной строке

При помощи «Проводника» можно запустить интересующее нас окно и быстрее. При этом даже не придется искать eventvwr.exe в каталоге «System32». Для этого в адресном поле «Проводника» просто нужно будет указать путь к данному файлу.

1. Запустите «Проводник» и введите в адресное поле такой адрес:

   C:WindowsSystem32eventvwr.exe

   Кликните Enter или нажмите по эмблеме стрелки.



2. Окно журнала тут же активируется.

Способ 7: Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

1. Перейдите на «Рабочий стол» или запустите «Проводник» в том месте файловой системы, где собираетесь создать иконку доступа. Кликните правой кнопкой мышки по пустой области. В меню переместитесь по «Создать» и далее щелкайте «Ярлык».



2. Активируется инструмент формирования ярлыка. В открывшееся окошко внесите тот адрес, о котором уже шла речь:

   C:WindowsSystem32eventvwr.exe

   Кликните «Далее».



3. Запускается окошко, где нужно указать наименование иконки, по которому юзер будет определять активируемый инструмент. По умолчанию в качестве названия используется имя исполняемого файла, то есть, в нашем случае «eventvwr.exe». Но, конечно, это название мало что может сказать непосвященному пользователю. Поэтому лучше в поле ввести такое выражение:

   Журнал событий

   

   Или такое:

   Просмотр событий

   В общем, введите любое название, по которому вы будете ориентироваться, какой инструмент данная иконка запускает. После ввода жмите «Готово».



4. Иконка запуска появится на «Рабочем столе» или в другом месте, где вы её создали. Для активации инструмента «Просмотр событий» достаточно кликнуть по ней дважды ЛКМ.



5. Необходимое системное приложение будет запущено.

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

1. Прежде всего, нужно перейти в «Диспетчер служб». Это можно сделать из раздела «Панели управления», который называется «Администрирование». Как в него перейти, подробно описывалось при рассмотрении Способа 1. Попав в данный раздел, ищите пункт «Службы». Кликните по нему.
   

   В «Диспетчер служб» можете перейти с помощью средства «Выполнить». Вызовите его, набрав Win+R. В область для ввода вбейте:

   services.msc

   Жмите «OK».



2. Независимо от того, совершили вы переход через «Панель управления» или использовали ввод команды в поле инструмента «Выполнить», запускается «Диспетчер служб». В списке ищите элемент «Журнал событий Windows». Чтобы облегчить поиск, можете выстроить все объекты перечня в алфавитном прядке, кликнув по названию поля «Имя». После того, как нужная строка найдена, взгляните на соответствующее ей значение в колонке «Состояние». Если служба включена, то там должна находиться надпись «Работает». Если же там пусто, то это означает, что служба деактивирована. Также посмотрите на значение в колонке «Тип запуска». В нормальном состоянии там должна находиться надпись «Автоматически». Если там стоит значение «Отключена», то это означает, что служба не активируется при запуске системы.



3. Чтобы это исправить, перейдите в свойства службы, кликнув по наименованию дважды ЛКМ.



4. Открывается окно. Кликните по области «Тип запуска».



5. Из раскрывшегося списка выбирайте «Автоматически».



6. Жмите по надписям «Применить» и «OK».



7. Возвратившись в «Диспетчер служб», отметьте «Журнал событий Windows». В левой области оболочки кликните по надписи «Запустить».



8. Запуск службы произведен. Теперь в соответствующем ей поле колонки «Состояние» отобразится значение «Работает», а в поле колонки «Тип запуска» появится надпись «Автоматически». Теперь журнал можно открыть любым из тех способов, которые мы описывали выше.

Существует довольно много вариантов активировать журнал событий в Виндовс 7. Конечно, самые удобные и популярные способы – это переход через «Панель инструментов», активация при помощи средства «Выполнить» или поля поиска меню «Пуск». Для удобного доступа к описываемой функции можете создать иконку на «Рабочем столе». Иногда возникают проблемы с запуском окна «Просмотр событий». Тогда нужно проверить, активирована ли соответствующая служба.

Здравствуйте, дорогие читатели, с вами снова Тришкин Денис.
Хотелось бы вам рассказать об одном интересном стандартном приложении в Windows. Корпорация Microsoft всегда отличалась тем, что в своих операционных системах она старалась реализовать высокую безопасность и быстродействие путем слежения за программами и различными движениями в системе. Конечно же это не всегда выходило. Одним из инструментов, позволяющих наблюдать за системой, является журнал событий Windows 7. Именно в нем регистрируются все некорректные установки и неудачные запуски программ. В нем все действия расположены в хронологическом порядке. Желательно время от времени заглядывать в этот реестр, чтобы вовремя реагировать на новую информацию.

Возможности журнала Windows( к содержанию ↑ )

Запуск программы( к содержанию ↑ )

Описание( к содержанию ↑ )

Итак, узнав, где находится журнал, нужно теперь выяснить, что это такое. В Windows седьмой версии предусмотрено несколько реестров движений. Так, существует служебная база приложений и системный архив. Действие последнего направлено на запись всех происшествий, происходящий в операционке с программами. Первый нужен для запоминания изменений, которые прошли со служебными приложениями. Основной является вкладка «Просмотр», которая включает несколько пунктов:

Дополнительные пункты( к содержанию ↑ )

Описание событий( к содержанию ↑ )

Помимо этого, в реестре событий предусмотрена масса других свойств. Подробное знакомство с ними поможет более точно настраивать и следить за системой.

Работа с журналом( к содержанию ↑ )

Чтобы предохранить систему от сбоев и зависания, желательно своевременно просматривать базу «Приложение», в котором указываются все происшествия, действия с разными программами и предоставляется выбор возможных операций.

увеличить

Там же показано время и дата появления, источник. Консоль позволяет сохранить все изменения, очистить их и изменить саму таблицу, в которой указаны нужные данные.

Очистка журнала( к содержанию ↑ )

Ошибка в журнале( к содержанию ↑ )

Постоянно просматривая реестр операционной системы, можно увидеть, что здесь часто появляются разные ошибки и предупреждения. При этом не стоит сразу паниковать – многие из них никак не угрожают компьютеру. Но вместе с тем они могут появляться даже на идеально работающей машине.

По факту, это приложение разрабатывалось для системных администраторов, чтобы они могли в кратчайшие сроки узнать о проблеме и убрать ее.

Увеличение объема памяти для записей в журнале( к содержанию ↑ )

Проблемы запуска( к содержанию ↑ )

Иногда происходит так, что журнал не запускается.

Решение проблемы хоть и не простое, тем не менее эффективное. Итак, в папке Windows находим System32, а затем wineyf. Ей и всем файлам внутри нужно дать полный доступ для юзера Local Service. Именно под ним и проходит работа программы. Иногда то же самое нужно сделать для папки LogFiles, расположенной в той же директории.

Отключение( к содержанию ↑ )

Журнал событий можно отключить, как и любую другую службу.

Заходим в Панель управления, «Администрирование».

Здесь находим «Службы», выбираем нужную и меняем тип запуска на «Отключено». Эта программа будет продолжать работу до первой перезагрузки.

Журнал событий в Windows 7 представляет собой удобный инструмент, позволяющий следить за различными операциями, происходящими на компьютере. Это позволит исправлять ошибки, что улучшит взаимодействие с системой.

Подписывайтесь и рассказывайте друзьям обо мне.

Материалы по теме

Как отключить журнал событий

Операционная система Windows постоянно следит за всеми происходящими в системе событиями, записывая их в лог-файл. Данная информация может помочь в настройке системы, выявлении причин происходящих сбоев. Тем не менее, есть пользователи никогда не заглядывают в логи, поэтому на их компьютерах журнал событий может быть отключен.

Инструкция

Для отключения журнала событий необходимо отключить соответствующую службу. Если вы работаете в операционной системе Windows XP, откройте: «Пуск» – «Панель управления» – «Администрирование» – «Службы». Найдите службу «Журнал событий» (Event log), откройте ее окно, кликнув мышкой по соответствующей строке. Остановка данной службы запрещена, но вы можете изменить тип запуска, выбрав опцию «Отключено». При следующей загрузке компьютера журнал событий не будет запущен.

В операционной системе Windows 7 журнал событий отключается точно так же – найдите в Панели управления «Администрирование» – «Службы» и измените тип запуска сервиса на «Отключено». Журнал событий будет работать до первой перезагрузки системы.

В большинстве случаев пользователи отключают некоторые службы для улучшения производительности компьютера и улучшения его безопасности. По умолчанию в ОС семейства Windows запущены многие службы, не нужные рядовому пользователю, их следует отключить. Например, если вы не собираетесь пользоваться удаленным помощником, отключите службу «Терминал». Если вы не хотите, чтобы кто-то редактировал системный реестр вашего компьютера, отключите службу «Удаленный реестр».

Если вы не синхронизируете системное время компьютера с сервером точного времени, отключите «Службу времени». Не пользуетесь wi-fi – отключите службу «Беспроводная настройка». Самостоятельно заботитесь о поддержании актуальном состоянии антивирусных баз и не нуждаетесь в напоминаниях – отключите «Центр обеспечения безопасности».

В том случае, если вы не собираетесь использовать ваш компьютер в качестве сервера и давать другим пользователям доступ к своим папкам и файлам, отключите службу «Сервер». Не собираетесь входить в систему от имени другого пользователя – отключите «Вторичный вход в систему». Отключив все эти службы, вы сможете увеличить скорость работы компьютера и повысите безопасность при работе в сети.

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?

Когда вы проверяете наличие любых ошибок в операционной системе Windows 10, 8.1, 7, лучший способ сделать это – открыть функцию Журнал событий Windows , доступную в любой версии ОС Windows. Кроме того, когда вы ищете конкретное событие, произошедшее в вашей системе, может возникнуть некоторая путаница, когда журнал событий полон других видов сообщений. Для быстрого доступа к тому, что вы ищете, ниже я покажу вам, как очистить журнал событий в Windows 10, 8, 7.

В журнале событий Windows 10, 8, 7 вы можете просматривать ошибки, предупреждения или информацию из любых приложений, которые вы используете в Windows 10, 8, 7 или события, связанные с безопасностью, события установки, системные события и даже перенаправленные события, поступающие с других устройств Windows. Очистку журнала событий можно выполнить вручную, выбрав события, которые вы хотите очистить по одному.

Очистить Event Viewer в Windows 10, 8, 7

1. Очистить журнал событий Windows вручную
2. Использовать командную строку

1. Очистите журнал событий Windows вручную

1. Щелкните левой кнопкой мыши или нажмите кнопку запуска.
2. Щелкните левой кнопкой мыши на панели управления в меню «Пуск».
3. Щелкните левой кнопкой мыши на «Система и безопасность».
4. Щелкните левой кнопкой мыши на Администрирование в окне Система и безопасность. Вы также можете ввести «событие» в меню поиска и выбрать « Просмотр журналов событий ».
   
5. Теперь вам нужно войти в систему как администратор и дважды щелкнуть левой кнопкой мыши на «Просмотр событий».
6. После открытия Event Viewer у вас будет список событий, к которым вы можете получить доступ.
   
7. Щелкните правой кнопкой мыши на событии, которое вы хотите очистить, а затем слева от «Очистить журнал».
8. После завершения очистки журналов событий закройте окно «Журнал событий», и вы сможете продолжить свою работу.

• СВЯЗАНО: 5 лучших читателей журнала событий Windows 10

2. Используйте командную строку

1. На начальном экране у вас в Windows 10, 8, 7 начните вводить «cmd.exe»
2. После того, как он найдет значок «cmd», вам нужно будет щелкнуть по нему правой кнопкой мыши и выбрать «Запуск от имени администратора».
3. Вам нужно будет ввести в окне «cmd» вы открыли «wevtutil el» без кавычек. Это покажет вам все события, которые у вас есть.
   
4. Теперь, когда перед вами список журналов событий, запишите тот, который вы хотите очистить.
5. Чтобы очистить определенное событие, запишите приведенную ниже команду, а затем введите имя журнала.
   wevtutil cl Пример
   Примечание: . над «Примером» находится название журнала, который вы хотите очистить.

Теперь у вас есть два метода очистки журналов событий в Windows 10, 8, 7. Как примечание, вы должны быть очень осторожны, чтобы не удалить журнал событий, который вам может понадобиться позже.

Как очистить журналы событий в Windows 10, 8, 7

1. Очистить журналы событий с помощью командной строки
2. Очистить журнал событий с помощью PowerShell
3. Очистить журналы событий с помощью VBScript/WMI

Два метода, перечисленные выше, показывают, как очистить определенный журнал событий из Windows 10, 8 или Windows 7. Теперь мы покажем вам, как очистить все журналы событий одновременно. Существует несколько способов очистки всех журналов событий одновременно, поэтому вы можете выбрать тот, который лучше всего соответствует вашим потребностям.

• СВЯЗАННО: Управление каналами журнала событий с выпуском EventLogChannelsView от Nirsoft

Метод 1 – Очистить журналы событий с помощью командной строки

Командная строка, вероятно, является наиболее часто используемым инструментом для решения всех системных проблем, а также может использоваться для очистки всех журналов событий. Вот что вам нужно сделать, чтобы очистить все журналы событий с помощью командной строки:

1. Откройте Блокнот и вставьте следующий текст:
   • @echo off
     FOR/F «tokens = 1,2 *» %% V IN (‘bcdedit’) DO SET adminTest = %% V
     IF (% adminTest%) == (Доступ) Перейти к noAdmin
     для/F «tokens = *» %% G in (‘wevtutil.exe el’) DO (вызов: do_clear «%% G»)
     эхо.
     эхо Журналы событий были очищены!
     Перейти к концу
     : do_clear
     очистка эха% 1
     wevtutil.exe cl% 1
     goto: eof
     : noAdmin
     echo Вы должны запустить этот скрипт от имени администратора!
     echo.
     : theEnd
2. Сохраните этот текст как файл .bat или .cmd (назовите файл с кавычками, чтобы автоматически сохранить его как файл .cmd, например «ClearLog.cmd»)
3. Запустите .cmd файл, который вы только что сохранили как администратор
   
4. Просто позвольте команде закончить
   

Вот и все, все ваши журналы событий теперь очищены. Вероятно, это самый простой способ очистить все журналы событий в Windows 10 или Windows 8.1, но если вы хотите попробовать другие способы, посмотрите, как это сделать, ниже.

Метод 2 – Очистить журнал событий с PowerShell

Чтобы очистить все журналы событий с помощью Windows PowerShell, выполните следующие действия.

1. Перейдите в Поиск, введите powershell, щелкните правой кнопкой мыши PowerShell и выберите Запуск от имени администратора.
2. Введите следующую строку в PowerShell и нажмите Enter:
   • wevtutil el | Foreach-Object {wevtutil cl “$ _”}
     
     
3. Теперь просто введите Выход , чтобы закрыть окно PowerShell.

• СВЯЗАННЫЕ: Как исправить ошибку приложения Event 1000 в Windows 10

Метод 3 – Очистить журналы событий с использованием VBScript/WMI

Вот как очистить все журналы событий с помощью VBScript/WMI (но учтите, что вы можете очистить только классические журналы событий):

1. Откройте Блокнот и введите следующий текст:
   • strComputer = ”.”
     Установить objWMIService = GetObject (“winmgmts:” _
     & ”{impersonationLevel = impersonate, (Резервное копирование, безопасность)}! ” _
     & strComputer & ”rootcimv2” )
     Установить colLogFiles = objWMIService.ExecQuery _
     («Выбрать * из Win32_NTEventLogFile»)
     Для каждого objLogfile в colLogFiles
     objLogFile.ClearEventLog ()
     Далее
2. Сохраните его как VBScript (.VBS), посмотрите на метод 1, как сохранить файл как .vbs напрямую, назовите его, например, ClearEvent.vbs
3. Переместите ClearEvent.vbs, который вы только что создали, в C:/Windows/System32
4. Теперь откройте командную строку от имени администратора и выполните следующую команду:
   • CScript ClearEvent.vbs
     

Вот и все, теперь вы знаете множество способов очистки журнала событий в Windows 10, Windows 8.1 и Windows 7. Очистка журнала событий очень полезна, особенно если вы пытаетесь точно определить точную причину ошибки, которую вы недавно пережил. Если у вас есть какие-либо вопросы, просто зайдите в раздел комментариев ниже.