Журнал событий системы windows 7 можно ли отключить

Из этой статье вы узнаете как можно найти подробную информацию об ошибке с помощью журнала событий Windows.

prosmotr-zhurnalov-sobyitiyДоброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Итак…

*

Работа с журналом событий (для начинающих)

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

  1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
  2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

    eventvwr — команда для вызова журнала событий

    eventvwr — команда для вызова журнала событий

  3. после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

    Просмотр событий

    Просмотр событий

Вариант 2

  1. сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;

    Система и безопасность

    Система и безопасность

  2. далее необходимо перейти в раздел «Администрирование»;

    Администрирование

    Администрирование

  3. после кликнуть мышкой по ярлыку «Просмотр событий».

    Просмотр событий — Администрирование

    Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 — события

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Win+X — вызов меню

Журналы Windows

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

  1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
  2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
  3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

Система — фильтр текущего журнала

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

*

Для отключения журналов событий нужно:

  1. открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);

    Открываем службы - services.msc (универсальный способ)

    Открываем службы — services.msc (универсальный способ)

  2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

    Службы — журналы событий

    Службы — журналы событий

  3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

    Отключена — остановить

    Отключена — остановить

*

На этом пока всё, удачи!

Первая публикация: 23.03.2019

Корректировка: 14.08.2021

donate

dzen-ya

Полезный софт:

  • видеомонтаж
  • Видео-Монтаж
  • Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
    Видео сделает даже новичок!

  • утилита для оптимизации
  • Ускоритель компьютера
  • Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

Здравствуйте, дорогие читатели, с вами снова Тришкин Денис.
Хотелось бы вам рассказать об одном интересном стандартном приложении в Windows. Корпорация Microsoft всегда отличалась тем, что в своих операционных системах она старалась реализовать высокую безопасность и быстродействие путем слежения за программами и различными движениями в системе. Конечно же это не всегда выходило. Одним из инструментов, позволяющих наблюдать за системой, является журнал событий Windows 7. Именно в нем регистрируются все некорректные установки и неудачные запуски программ. В нем все действия расположены в хронологическом порядке. Желательно время от времени заглядывать в этот реестр, чтобы вовремя реагировать на новую информацию.

Содержание статьи

  • Возможности журнала Windows
  • Запуск программы
  • Описание
  • Дополнительные пункты
  • Описание событий
  • Работа с журналом
  • Очистка журнала
  • Ошибка в журнале
  • Увеличение объема памяти для записей в журнале
  • Проблемы запуска
  • Отключение

Возможности журнала Windows( к содержанию ↑ )

журнал событий

увеличить

Приложение имеет следующие возможности:

  • создание реестра данных, которые в хронологическом порядке записаны в архив;

  • наличие специальных фильтров, позволяющих удобно просматривать и настраивать систему;

  • подписка на некоторые категории действий;

  • при появлении определенного рода действий можно задать последовательность.

Запуск программы( к содержанию ↑ )

Каталог можно открыть, как и многие другие системные утилиты. Он запускается так:

  1. 1Нужно зайти в «Пуск» и «Панель управления». Далее выбираем «Администрирование». В отрывшемся окне нужно найти «Просмотр событий». Кроме того, можно написать в поиске «журнал событий».

    запуск журнала событий

    увеличить

  2. 2Появится окно, где нужно выбрать подходящий параграф, который означает удаление или добавление действия. После этого появляется «Просмотр событий» на основном окне.

  3. просмотр журнала событий

    увеличить

Описание( к содержанию ↑ )

Итак, узнав, где находится журнал, нужно теперь выяснить, что это такое. В Windows седьмой версии предусмотрено несколько реестров движений. Так, существует служебная база приложений и системный архив. Действие последнего направлено на запись всех происшествий, происходящий в операционке с программами. Первый нужен для запоминания изменений, которые прошли со служебными приложениями. Основной является вкладка «Просмотр», которая включает несколько пунктов:

  1. 1Приложение. В этом меню сохраняются перемены, связанные с определенной программой. Например, здесь можно найти данные, которые использует почтовая служба – историю пересылки, события в ящиках и многое другое.

    Приложение

    увеличить

  2. 2Безопасность. Здесь показывается информация, касающаяся входов и выходов из системы, использования возможностей администратора, обращения к разным ресурсам.

    Безопасность

    увеличить

  3. 3Установка. Отображаются данные, появляющиеся в результате установки и настройки разных программ.

    Установка

    увеличить

  4. 4Система. Тут фиксируются сбои, произошедшие при запуске встроенных приложений. Кроме того, именно здесь находятся данные о проблемных установках драйверов и различные сообщения, связанные с работой ОС.

    Система

    увеличить

  5. 5Пересылаемые события. Пункт нужно предварительно настраивать. Если это сделано, здесь будут храниться данные, пришедшие с других серверов.

    Пересылаемые события

    увеличить

Дополнительные пункты( к содержанию ↑ )

Кроме того, предусмотрены и дополнительные подразделения:

  1. 1Internet Explorer. Здесь можно найти информацию, которая отображает изменения, произошедшие с браузером.

    Internet Explorer

    увеличить

  2. 2Windows PowerShell. В этом разделе показываются происшествия, связанные с PowerShell.

    Windows PowerShell

    увеличить

  3. 3События оборудования. Пункт не всегда может быть настроен. Если он подключен, в файле отображаются данные о работе устройств.

    События оборудования

    увеличить

Описание событий( к содержанию ↑ )

Информацию в базе можно посмотреть, как и любую другую на компьютере. Но вместе тем, пользователь должен знать несколько основных определений, касающихся работы приложения:

  1. 1Источник – программа, которая отправила данные в журнал. Это может быть название приложения, драйвера или другого отдельного компонента.

    Источник

    увеличить

  2. 2Коды события – ряд цифр, указывающих на определенный тип действия. Первая строка в большинстве случаев содержит название типа. Обычно код и источник являются основными показателями, по которым специалист определяют ошибку в системе и пытаются ее исправить.

    Коды события

    увеличить

  3. 3Уровень – важность, которая делится на шесть пунктов:

    Уровень

    увеличить

    • уведомление – какое-либо изменение в приложении (чаще появление информационного сообщения);

    • предупреждение – указывает на неполадку, которая в будущем может привести к серьезной проблеме;

    • ошибка – сбой, влияющий на функции события или программы;

    • критическая ошибка – неполадка, в результате которой, компонент или программа не могут автоматически восстановить работоспособность;

    • аудит успехов – правильное выполнение действий, отслеживающихся пользователем;

    • аудит отказов – не правильное выполнение действий, за которыми наблюдает клиент.

  4. 4Пользователь – указывает на учетную запись, при которой и произошло изменение.

    Пользователь

    увеличить

  5. 5Рабочий код – числовое значение, определяющее промежуток в пределах которого произошел сбой.

    Рабочий код

    увеличить

  6. 6Дата и время – показывается, когда именно это случилось.

    Дата и время

    увеличить

Помимо этого, в реестре событий предусмотрена масса других свойств. Подробное знакомство с ними поможет более точно настраивать и следить за системой.

Работа с журналом( к содержанию ↑ )

Чтобы предохранить систему от сбоев и зависания, желательно своевременно просматривать базу «Приложение», в котором указываются все происшествия, действия с разными программами и предоставляется выбор возможных операций.

Приложение

увеличить

Там же показано время и дата появления, источник. Консоль позволяет сохранить все изменения, очистить их и изменить саму таблицу, в которой указаны нужные данные.

Очистка журнала( к содержанию ↑ )

Кроме простого просмотра, программу можно очистить, как это делается, я расскажу далее. Это необходимо для быстрого анализа всех ошибок ОС. Как удалить события? Просто выполните некоторые действия:

  1. 1Выбираем нужный раздел.

    Выбираем нужный раздел

    увеличить

  2. 2В разделе «Действие» нажимаем «Очистить журнал».

    Очистить журнал

    увеличить

Ошибка в журнале( к содержанию ↑ )

Постоянно просматривая реестр операционной системы, можно увидеть, что здесь часто появляются разные ошибки и предупреждения. При этом не стоит сразу паниковать – многие из них никак не угрожают компьютеру. Но вместе с тем они могут появляться даже на идеально работающей машине.

Ошибка в журнале

увеличить

По факту, это приложение разрабатывалось для системных администраторов, чтобы они могли в кратчайшие сроки узнать о проблеме и убрать ее.

Увеличение объема памяти для записей в журнале( к содержанию ↑ )

Первоначально файл, в котором хранятся данные сам по себе имеет небольшой размер. Но его можно увеличить. Для этого необходимо:

  1. 1Выбрать раздел и перейти в его свойства.

    Выбрать раздел и перейти в его свойства

    увеличить

  2. 2На поле «Максимальный размер…» нужно указать желаемое значение. По умолчанию число округляется в ближайшую сторону до кратности к 64 Кб. При этом файл журнала не может быть меньше 1024 Кб.

    Максимальный размер

    увеличить

После достижения максимального размера, обработка осуществляется политикой их хранения. Существуют такие виды:

  1. 1Переписывание при необходимости. Новые строки заменяют самые старые.

  2. 2Не переписывание. Очистка файла происходит вручную.

Чтобы выбрать желаемую политику, нужно:

  1. 1Выделить подходящий журнал, а затем «Свойства».

    Свойства

    увеличить

  2. 2На вкладке «Общие» находим «При достижении максимального…» выбираем желаемый параметр и подтверждаем действие.

    Максимальный размер

    увеличить

Проблемы запуска( к содержанию ↑ )

Иногда происходит так, что журнал не запускается.

Решение проблемы хоть и не простое, тем не менее эффективное. Итак, в папке Windows находим System32, а затем wineyf. Ей и всем файлам внутри нужно дать полный доступ для юзера Local Service. Именно под ним и проходит работа программы. Иногда то же самое нужно сделать для папки LogFiles, расположенной в той же директории.

Отключение( к содержанию ↑ )

Журнал событий можно отключить, как и любую другую службу.

Заходим в Панель управления, «Администрирование».

Здесь находим «Службы», выбираем нужную и меняем тип запуска на «Отключено». Эта программа будет продолжать работу до первой перезагрузки.

Службы

увеличить

Журнал событий в Windows 7 представляет собой удобный инструмент, позволяющий следить за различными операциями, происходящими на компьютере. Это позволит исправлять ошибки, что улучшит взаимодействие с системой.

Подписывайтесь и рассказывайте друзьям обо мне.

Материалы по теме

Содержание:

  • 1 Где находится журнал событий Windows
  • 2 Как открыть журнал
  • 3 Как использовать содержимое журнала
  • 4 Очистка, удаление и отключение журнала

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Файлы журнала событий

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

Переход в Журнал событий

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Просмотр событий

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Фильтрация записей

Отфильтрованные события

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Свойства события

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Создание задачи

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Очистка журнала через программу просмотра

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Очистка журнала с помощью командной строки фото 1

Очистка журнала с помощью командной строки фото 2

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

Очистка журнала через консоль PowerShell

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Отключение протоколирования

Связанные службы

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Здравствуйте дорогие читатели, сегодня я хотел бы поговорить:

1. О службах Windows, что это, для чего нужны и какие за что отвечают.

2. И как же повысить быстродействия компьютера?

И так что это за службы Windows?

Службы — приложения, автоматически или вручную запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя различные задачи.

Открыть список служб можно несколькими способами:

1. Удерживая кнопку windows нажимаем R, откроется окно выполнить, там введите services.msc

2. Пуск > Панель управления > Администрирование > Службы

3. Пуск > правой кнопкой мыши по моему компьютеру >  Управление > Службы и приложения > Службы

Как видите в Windows их достаточно много и скачав справочник служб, Вы можете ознакомиться какие службы существуют и за что каждая из них отвечает.

Так как службы это приложения, следовательно они работают и используют часть  ресурсов компьютера. Отключив не нужные можно повысить его быстродействие. Посмотрим что можно отключить.

какие службы можно отключить в windows 7

Какие службы можно отключить в Windows 7, 8

Я не стал составлять список тех служб которые можно отключить, т.к. многие службы индивидуальны. Я просто постарался описать каждую службу и в каких ситуациях их можно отключить. Если вам нужно что-нибудь отключить бездумно, то просто воспользуйтесь программой для автоматического отключения служб.

BranchCache — Служба кэширует сетевое содержимое. Если не пользуетесь домашней сетью, то вообще можете отключить.

DHCP-клиент — Если пользуетесь интернетом не трогайте ни в коем случае. Именно эта служба присваивает вам ip адрес.

DNS-клиент — Так же необходимая служба для использования интернета. Работает с вашими DNS (служит для правильных направлений).

KtmRm для координатора распределенных транзакций — системная функция транзакций. Её так же оставляем.

Microsoft .NET Framework — Все такие службы оставляем как есть. Они служат для нормальной работы большинства приложений.

Parental Controls — Служба для родительского контроля. Если не используете, можно отключить.

Plug-and-Play — служит для автоматического распознавания изменений в системе. Например когда вы подключаете флешку, просыпается эта служба… Так что оставляем как есть.

Quality Windows Audio Video Experience — передача аудио и видео по сети в режиме реального времени. Не нужна только если нет сети (или интернета) в остальных случаях оставляем.

Remote Desktop Configuration — Для удаленного рабочего стола. Если не пользуетесь удаленными подключениями, отключаем.

Superfetch — Полезная функция, работает с кэшем. Ускоряет работу Windows, так что оставляем.

Windows Audio — Управляет звуком. Если не нужен звук отключаем. В остальных случаях оставляем.

Windows CardSpace — ненужная и небезопасная служба. По этому отключаем.

Windows Driver Foundation — User-mode Driver Framework — для нормальной работы драйверов, не трогайте. Пусть остается как есть.

Windows Search — Индексирование файлов для поиска. Если не пользуетесь и есть время подождать пока найдется файл, то отключаем. На ssd обязательно отключаем!

WMI Performance Adapter — нужна для служб требующие wmi, ставим вручную. Если каким-то приложениям понадобятся, те сами запустят)

Автонастройка WWAN — служба для использования мобильного интернета. Если пользуетесь usb модемом, сим картой в ноуте, то не отключайте.

Автономные файлы — помогает работать, автономно с недоступными файлами, которые загрузились до этого. Ставим вручную.

Агент защиты сетевого доступа — Ставим вручную, т.к. при необходимости служба запустится, если какая-то программа запросит необходимую информацию.

Агент политики IPsec — Нужна при наличии сети и интернета.

Адаптивная регулировка яркости — Оставляем если есть датчик освещения.

Архивация Windows — Если не пользуетесь отключайте. Но лучше почитайте про архивацию в windows мало ли, будете пользоваться.

Биометрическая служба Windows — нужна лишь при использовании биометрических устройств. В остальных случаях отключаем.

Брандмауэр Windows — Я если честно всегда отключаю, т.к. воровать у меня нечего) А если и зашифруют данные, то восстановлю) Но вам посоветую обзавестись например касперским интернет секьюрити, которого есть и антивирус и брандмауэр. А этот отключите нафиг, т.к. он иногда блокирует что не нужно) Вообщем он следит за безопасностью вашего компьютера и закрывает порты, чтобы ворюги не смогли залезть к вам в компьютер)

Браузер компьютера — В домашней сети не нужна. Вручную.

Веб-клиент — Нудна если нет интернета. Служит для работы с файлами в интернете. Оставляем.

Виртуальный диск — Служба для работы с запоминающими устройствами. Ставим вручную.

Вспомогательная служба IP — Работает с протоколом версии 6. Я всегда отключаю его самого, так что и службу можно вообще отключить.

Вторичный вход в систему — Ставьте вручную, т.к. некоторые игры или программы включат её по необходимости.

Группировка сетевых участников — Нужна для домашней группы. Ставьте вручную, мало ли понадобится…

Дефрагментация диска — В принципе она не мешает. Можете оставить или отключить. Если отключите, то рекомендую делать раз в месяц. А для ssd дисков, вообще отключаем!

Диспетчер автоматических подключений удаленного доступа — Ставим вручную. Нужна для удаленных подключений.

Диспетчер печати — Нужна если есть с чего печатать. В остальных случаях отключаем.

Диспетчер подключений удаленного доступа — вручную. Один раз вообще отключил и не смог создать подключение. Так что лучше вручную.

Диспетчер сеансов диспетчера окон рабочего стола — Если не используете прозрачность от Aero, то можно отключить, даст большой прирост.

Диспетчер удостоверения сетевых участников — Ставим лучше вручную.

Диспетчер учетных данных — Лучше вручную. Хранит ваши данные, например логины и пароли.

* Диспетчер учетных записей безопасности — Лучше оставить как есть. Если отключить данную службу, то все изменения в локально политике безопасности пропадут.

Доступ к HID-устройствам — Доступ к быстрым клавишам. Отключите, если какие-то комбинации перестанут работать, то поставьте обратно.

Журнал событий Windows — записывает все события. Полезный инструмент для опытного пользователя. Отключить невозможно.

Журналы и оповещения производительности — системная служба, оставляем как есть.

Защита программного обеспечения — так же системная служба, оставляем как есть.

Защитник Windows — Защита от шпионских и вредных программ. Установите нормальный антивирус, а эту службу отключите.

Изоляция ключей CNG — Вручную.

Инструментарий управления Windows — Системная служба, без неё, некоторые приложения могут работать некорректно, так что лучше оставить.

Информация о совместимости приложений — Полезная штука, помогает запустится приложениям, которые отказываются работать на вашей ос. Ставим вручную.

Клиент групповой политики — Оставляем. Отвечает за настройками политики безопасности.

Клиент отслеживания изменившихся связей — Отслеживание файлов ntfs, не нужно. Отключаем.

Координатор распределенных транзакций — Ставим вручную.

* Кэш шрифтов Windows Presentation Foundation — Ставим вручную. При необходимости её запустят приложения.

Ловушка SNMP — Некоторые программы будут собирать о вас информацию. Так что отключайте.

Локатор удаленного вызова процедур (RPC) — Вручную, при необходимости приложения её запустят.

Маршрутизация и удаленный доступ — Не нужна. Отключаем.

Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности — Не нужна, но лучше вручную.

* Модуль запуска процессов DCOM-сервера — Системная служба, оставляем как есть.

Модуль поддержки NetBIOS через TCP/IP — Если нет других компьютеров в сети, то вручную.

Немедленные подключения Windows — регистратор настройки — Вручную.

Обнаружение SSDP — Оставьте как есть. Необходима для новых устройств.

Обнаружение интерактивных служб — Вручную.

Общий доступ к подключению к Интернету (ICS) — Не нужна, если вы не расшариваете ваш интернет в сетевых подключениях.

Определение оборудования оболочки — необходима для диалогового окна автозапуска диска или флешки. Кому как удобно, большинству это нужно. Я оставил.

Основные службы доверенного платформенного модуля — Нужно только для использования чипов ТМР и/или BitLocker.

Перенаправитель портов пользовательского режима служб удаленных рабочих столов — Если не используете удаленные соединения, то не нужно. Лучше поставьте вручную.

* Перечислитель IP-шин PnP-X — Лучше поставить вручную.

Питание — Не отключается. Оставляем.

Планировщик заданий — Желательно оставить как есть, т.к. сейчас много программ его использует.

Планировщик классов мультимедиа — Оставляем, для кого важен звук.

Поддержка элемента панели управления «Отчеты о проблемах и их решениях» — Вручную.

Политика удаления смарт-карт — для пользователей смарт-карт, лучше вручную.

Поставщик домашней группы — Для использования домашних групп. Лучше вручную.

Проводная автонастройка — Вручную.

Программный поставщик теневого копирования (Microsoft) — Вручную.

Прослушиватель домашней группы — Вручную.

Протокол PNRP — Тоже оставляем вручную. Некоторые приложения могут использовать службу.

Публикация ресурсов обнаружения функции — Нужна если вы хотите показывать свои файлы другим компьютерам по сети. Если не хотите, то вручную или отключить.

Рабочая станция — лучше оставить, т.к. некоторые приложения задействуют данную службу.

Распространение сертификата — Лучше вручную.

Расширяемый протокол проверки подлинности (EAP) — Вручную.

Сборщик событий Windows — Вручную.

Сведения о приложении — Вручную.

Сервер — Если компьютер не используется как сервер или не использует общий доступ к файлам и принтерам, то отключайте.

Сервер упорядочения потоков — Отключаем если нет домашней группы.

Сетевой вход в систему — Вручную.

Сетевые подключения — Оставьте как есть. Если нет сети или интернета, то можете отключить.

Система событий COM+ — ставим вручную. Приложения зависящие от это службы сами её запустят при необходимости.

Системное приложение COM+ — Так же вручную.

Служба SSTP — Оставляем как есть, нужна служба если есть интернет на компьютере.

Служба автоматического обнаружения веб-прокси WinHTTP — Если нужен интернет, то оставьте как есть.

Служба автонастройки WLAN — служба для беспроводных сетей. Соответственно если их нет, она не нужна.

Служба базовой фильтрации — с одной стороны, она не нужна (если не нужна безопасность), но с другой, некоторые программы, могут выдавать ошибки. Так что оставляем.

Служба ввода планшетного ПК — если экран не сенсорный, то не нужна.

Служба времени Windows — нужна для синхронизации времени с интернетом.

Служба загрузки изображений Windows (WIA) — Нужна служба, только если есть сканер. Она отвечает за получение изображений со сканеров и камер.

Служба инициатора Майкрософт iSCSI — Ставим вручную, если программам понадобится, они сами её запустят.

Служба интерфейса сохранения сети — Нужна для нормальной работы сети.

Служба кэша шрифтов Windows — служит для повышения производительности, кэширует шрифты и не тратит время на загрузку.

Служба медиаприставки Media Center — Если не используете никаких приставок, она не нужна.

Служба модуля архивации на уровне блоков — Ставим вручную. Если понадобится архивация или восстановление, то служба сама запуститься.

Служба общего доступа к портам Net.Tcp — По умолчанию выключена. Нужна если только понадобится протокол Net.Tcp.

Служба общих сетевых ресурсов проигрывателя Windows Media — Вручную. Понадобится, включится.

Служба перечислителя переносных устройств — Служит для синхронизации музыки, видео и т.д. со съемными носителями. Я бы поставил вручную. Не всегда это нужно.

Служба планировщика Windows Media Center — Нужна если только смотрите передачи в Windows Media Player.

Служба поддержки Bluetooth — Нужна если есть Bluetooth.

Служба политики диагностики — Нужна для диагностики неполадок… Она если честно помогает редко. По этому можете по-экспериментировать, отключив её. Если понадобится — включите.

Служба помощника по совместимости программ — служба нужна для запуска программ, несовместимый с вашей ОС. Если нет таковых поставьте вручную.

Служба профилей пользователей — Лучше оставить. Она работает с профилями пользователей компьютера.

Служба публикации имен компьютеров PNRP — Нужна для домашних групп.

Служба регистрации ошибок Windows — Регистрирует ошибки. Лучше поставить вручную.

Служба ресивера Windows Media Center — для просмотра телерадио передач в плеере.

Служба сведений о подключенных сетях — Лучше оставить как есть, для нормальной работы сети.

Служба списка сетей — Так же лучше оставить.

Служба уведомления SPP — Для лицензирования. Оставьте вручную.

Служба уведомления о системных событиях — Если не собираетесь смотреть сообщения Windows, то она вам не нужна.

Служба удаленного управления Windows (WS-Management) — Поставьте вручную.

Служба шифрования дисков BitLocker — Шифрует диски. Если не пользуетесь, то лучше отключите.

Служба шлюза уровня приложения — Служба нужна только для работы с брандмауэром. Вручную.

Службы криптографии — Для установки новых программ, лучше оставьте как есть.

Службы удаленных рабочих столов — Если не пользуетесь удаленными рабочими столами, то отключайте.

Смарт-карта — Если ими не пользуетесь, то она вам не нужна.

Сопоставитель конечных точек RPC — Служба нужна для входящего трафика. С ней ничего нельзя сделать. По этому оставляем.

Средство построения конечных точек Windows Audio — Если нужен звук, оставьте.

Телефония — Оставьте вручную. Если понадобится, запустится.

Темы — Едят много ресурсов памяти. Если не нужны, отключайте.

Теневое копирование тома — Создает точки восстановления, архивация в фоновом режиме. Поставьте вручную. Если нужно будет запустится.

Тополог канального уровня — Тоже вручную. Если понадобится, запустится.

Удаленный вызов процедур (RPC) — Системная служба. Оставьте как есть.

Удаленный реестр — Позволяет удаленным пользователям, манипулировать вашим реестром. Отключайте.

Удостоверение приложения — Вручную.

Узел системы диагностики — Диагностика проблем. Поставьте вручную.

Узел службы диагностики — Так же вручную.

Узел универсальных PNP-устройств — Ставьте вручную. Не все устройства PnP.

Управление приложениями — Ставьте вручную. Служба позволяет настроить политики для приложений.

Управление сертификатами и ключом работоспособности — Ставьте вручную, понадобится, запустится сама.

Установщик ActiveX — Так же вручную. Понадобится установить такой объект, она сама запустится.

Установщик Windows — Установка программ .msi. Вручную.

Установщик модулей Windows — Устанавливает и удаляет компоненты и обновления. Вручную.

Факс — Нужна если только есть факс.

Фоновая интеллектуальная служба передачи (BITS) — Оставляем вручную. Служба полезная.

Хост поставщика функции обнаружения — Оставляем вручную. Нужно будет запустится.

Цветовая система Windows (WCS) — Вручную. Нужна будет устройствам, запустят.

Центр обеспечения безопасности — Следит за безопасностью Windows. Меня она бесит со своими уведомлениями. Так что отключать или нет, выбирать вам.

Центр обновления Windows — С одной стороны полезная функция. Заделывает дыры в системе, обновляет драйвера, но с другой стороны, активно использует интернет, ресурсы памяти и если при обновлении выключить компьютер, может рухнуть ОС. Так что так же вам выбирать что важнее, безопасность или быстродействие.

Шифрованная файловая система (EFS) — Для безопасности файлов. Лучше оставьте как есть вручную.

Я постарался представить весь список служб. Отключив некоторые, вы повысите быстродействие компьютера. Можно так же по своему усмотрению решить какие нужны, а какие нет. Например если нет интернета, то тут половину смело рубить можно, если нет принтера, то тоже можно много выключить. Таким образом в зависимости от ваших потребностей, можно существенно взбодрить старый компьютер.

Помогло? Отблагодари автора

Содержание

  1. Исправление ошибок Windows 7 на нетбуке ASUS 1225b
  2. Проблемы в системе журналирования событий безопасности ОС Windows
  3. Проблема № 1. Неудачная система управления параметрами аудита
  4. Описание проблемы
  5. Объяснение
  6. В чем суть проблемы?
  7. Проблема № 2. Неудачная реализация журналирования операций удаления файлов, каталогов и ключей реестра
  8. Описание проблемы
  9. Особенности удаления файлов в Windows 10 и Server 2019
  10. В чем суть проблемы?
  11. Проблема № 3 (критическая). Неудачная реализация журналирования операции переименования файлов, каталогов и ключей реестра
  12. Описание проблемы
  13. В чем суть проблемы?
  14. Проблема № 4 (критическая). Невозможно отследить создание каталога и ключа реестра
  15. Описание проблемы
  16. В чем суть проблемы?
  17. Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows
  18. Описание проблемы
  19. Симптомы
  20. Причины
  21. Рекомендации по решению проблемы
  22. В чем суть проблемы?
  23. Проблема № 6 (критическая). Будь проклят «Новый текстовый документ.txt. а также Новый точечный рисунок.bmp»
  24. Описание проблемы
  25. В чем суть проблемы?
  26. Заключение
  27. Служба журнала событий Windows не запущена
  28. Служба журнала событий недоступна. Проверьте, работает ли служба
  29. Windows не удалось запустить службу журнала событий Windows на локальном компьютере
  30. Система не может найти указанный файл
  31. Журнал событий в Windows: как его открыть и найти информацию об ошибке
  32. Работа с журналом событий (для начинающих)
  33. Windows 7 журнал событий не работает

Исправление ошибок Windows 7 на нетбуке ASUS 1225b

Приобрёл нетбук ASUS eee pc 1225b с предустановленной windows 7 Домашняя расширенная (Home Premium), хороший нетбук, ОС лицензионная, а баги как были у Microsoft Windows, так и остались, вот о них и поговорим.

Если у вас долго пытается зайти в Устройства и принтеры, то можно попробовать:

При заходе в события появляется ошибка:

Prosmotr sobyitiy

Служба журнала событий недоступна. Убедитесь, что служба запущена.

А при включении службы Журнала событий Windows возникает ошибка:

ZHurnal sobyitiy sluzhbyi

Не удалось запустить службу Журнала событий Windows на локальной компьютер.
Ошибка 4201: Переданное имя копии не было распознано поставщиком данных WMI как допустимое имя.

Oshibka pereimenovaniya

Операция не может быть завершена, поскольку эти папка или файл открыты в другой программе
Закройте папку или файл и повторите попытку

После скачивания, нужно распаковать архив и запустить программу из папки, которой соответствует разрядность вашей системы.

Последовательность переименования с помощью Unlocker:

Со временем статья будет пополняться

Источник

Проблемы в системе журналирования событий безопасности ОС Windows

В операционных системах семейства Windows реализована довольно неплохая система журналирования событий безопасности. О ней в различных публикациях и обзорах написано много чего хорошего, но эта статья будет про другое. Здесь мы поговорим о проблемах и недоработках в этой системе. Некоторые из рассматриваемых проблем будут некритичными, лишь осложняющими процедуры анализа событий, другие же будут представлять весьма серьезные угрозы безопасности.

Выявленные проблемы проверялись на Windows 7 Максимальная (русская версия), Windows 7 Professional (английская версия), Windows 10 Pro (русская версия), Windows Server 2019 Datacenter (русская версия). Все операционные системы были полностью обновлены.

Проблема № 1. Неудачная система управления параметрами аудита

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

omoypoc15q9ynn0osefv gawd4i

j0s4otidlwtntmyx s02 kom3uk

Объяснение

Чтобы разобраться в причине подобного поведения, надо залезть «под капот» операционной системы. Начнем с того, что разберемся с базовыми и расширенными политиками аудита.

До Windows Vista были только одни политики аудита, которые сейчас принято называть базовыми. Проблема была в том, что гранулярность управления аудитом в то время была очень низкой. Так, если требовалось отследить доступ к файлам, то включали категорию базовой политики «Аудит доступа к объектам». В результате чего помимо файловых операций в журнал безопасности сыпалась еще куча других «шумовых» событий. Это сильно усложняло обработку журналов и нервировало пользователей.

Microsoft услышала эту «боль» и решила помочь. Проблема в том, что Windows строится по концепции обратной совместимости, и внесение изменений в действующий механизм управления аудитом эту совместимость бы убило. Поэтому вендор пошел другим путем. Он создал новый инструмент и назвал его расширенными политиками аудита.

Суть инструмента заключается в том, что из категорий базовых политик аудита сделали категории расширенных политик, а те, в свою очередь, разделили на подкатегории, которые можно отдельно включать и отключать. Теперь при необходимости отслеживания доступа к файлам в расширенных политиках аудита необходимо активировать только подкатегорию «Файловая система», входящую в категорию «Доступ к объектам». При этом «шумовые» события, связанные с доступом к реестру или фильтрацией сетевого трафика, в журнал безопасности попадать не будут.

Гигантскую путаницу во всю эту схему вносит то, что наименования категорий базовых политик аудита и расширенных не совпадают, и по началу может показаться, что это абсолютно разные вещи, однако это не так.

Приведем таблицу соответствия наименования базовых и расширенных категорий управления аудитом

Наименование базовых политик аудита Наименование расширенной политики аудита
Аудит доступа к службе каталогов Доступ к службе каталогов (DS)
Аудит доступа к объектам Доступ к объектам
Аудит использования привилегий Использование прав
Аудит входа в систему Вход/выход
Аудит событий входа в систему Вход учетной записи
Аудит изменения политики Изменение политики
Аудит системных событий Система
Аудит управления учетными записями Управление учетными записями
Аудит отслеживания процессов Подробное отслеживание

Важно понимать, что и базовые и расширенные категории по сути управляют одним и тем же. Включение категории базовой политики аудита приводит к включению соответствующей ей категории расширенной политики аудита и, как следствие, всех ее подкатегорий. Во избежание непредсказуемых последствий Microsoft не рекомендует одновременное использование базовых и расширенных политик аудита.

Теперь настало время разобраться с тем, где хранятся настройки аудита. Для начала введем ряд понятий:

Наименование средства Отображаемые политики аудита Сохраняемые политики аудита
«Базовые политики аудита» оснастки «Локальные политики безопасности» Эффективные политики аудита Эффективные политики аудита, сохраненные политики аудита
«Расширенные политики аудита» оснастки «Локальные политики безопасности» Файл %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv
Утилита auditpol Сохраненные параметры аудита Эффективные параметры аудита, сохраненные параметры аудита

Поясним таблицу на примерах.

Отдельного комментария требует порядок отображения параметров аудита в «Базовых политиках аудита» оснастки «Локальные политики безопасности». Категория базовой политики аудита отображается как установленная, если установлены все подкатегории соответствующей ей расширенной политики аудита. Если хотя бы одна из них не установлена, то политика будет отображаться как не установленная.

Администратор с помощью команды auditpol /set /category:* установил все подкатегории аудита в режим «Аудит успехов». При этом если зайти в «Базовые политики аудита» оснастки «Локальные политики безопасности», то напротив каждой категории будет установлено «Аудит успеха».

В «Базовых политиках аудита» оснастки «Локальные политики безопасности» эти сведения об аудите не отображаются, так как во всех категориях не определена одна или более подкатегорий. В «Расширенных политиках аудита» оснастки «Локальные политики безопасности» эти сведения не отображаются, так как оснастка работает только c параметрами аудита, хранящимися в файле %SystemRoot%System32GroupPolicyMachineMicrosoftWindows NTAuditaudit.csv.

В чем суть проблемы?

По началу может показаться, что все это и не проблема вовсе, но это не так. То, что все инструменты показывают параметры аудита по разному, создает возможность к злонамеренному манипулированию политиками и, как следствие, результатами аудита.

Рассмотрим вероятный сценарий

Пусть в корпоративной сети работает технологическая рабочая станция на базе Windows 7.

Машина не включена в домен и выполняет функции робота, ежедневно отправляющего отчетность в контролирующие органы. Злоумышленники тем или иным образом получили на ней удаленный доступ с правами администратора. При этом основная цель злоумышлеников — шпионаж, а задача — оставаться в системе незамеченными. Злоумышленники решили скрытно, чтоб в журнале безопасности не было событий с кодом 4719 «Аудит изменения политики», отключить аудит доступа к файлам, но при этом чтобы все инструменты администрирования говорили, что аудит включен. Для достижения поставленной задачи они выполнили следующие действия:

Проблема № 2. Неудачная реализация журналирования операций удаления файлов, каталогов и ключей реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

На одну операцию удаления файла, каталога или ключа реестра операционная система генерирует последовательность событий с кодами 4663 и 4660. Проблема в том, что из всего потока событий данную парочку не так уж просто связать друг с другом. Для того чтобы это сделать, анализируемые события должны обладать следующими параметрами:

Событие 1. Код 4663 «Выполнена попытка получения доступа к объекту». Параметры события:
«ObjectType» = File.
«ObjectName» = имя удаляемого файла или каталога.
«HandleId» = дескриптор удаляемого файла.
«AcessMask» = 0x10000 (Данный код соответствует операции DELETE. С расшифровкой всех кодов операций можно ознакомиться на сайте Microsoft).

ezit6zapdorhyh5blpomzppv1dc

Событие 2. Код 4660 «Объект удален».
Параметры события:

«HandleId» = «HandleId события 1»
«SystemEventRecordID» = «SystemEventRecordID из события 1» + 1.

qybj6a3724rrph9wsqki1bpcntm

С удалением ключа (key) реестра всё то же самое, только в первом событии с кодом 4663 параметр «ObjectType» = Key.

Отметим, что удаление значений (values) в реестре описывается другим событием (код 4657) и подобных проблем не вызывает.

Особенности удаления файлов в Windows 10 и Server 2019

В Windows 10 / Server 2019 процедура удаления файла описывается двумя способами.

В чем суть проблемы?

Проблема заключается в том, что узнать кто удалил файл или каталог, становится нетривиальной задачей. Вместо банального поиска соответствующего события по журналу безопасности необходимо анализировать последовательности событий, что вручную делать довольно трудоемко. На хабре даже по этому поводу была статья: «Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell».

Проблема № 3 (критическая). Неудачная реализация журналирования операции переименования файлов, каталогов и ключей реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Эта проблема состоит из двух подпроблем:

В чем суть проблемы?

Помимо затруднения поиска операций переименования файлов подобная особенность журналирования не позволяет отследить полный жизненный цикл объектов файловой системы или ключей реестра. В результате чего на активно используемом файловом сервере становится крайне затруднительно определить историю файла, который многократно переименовывался.

Проблема № 4 (критическая). Невозможно отследить создание каталога и ключа реестра

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Описание проблемы

Windows не позволяет отследить создание каталога файловой системы и ключа реестра. Это заключается в том, что операционная система не генерирует событие, в котором содержалось бы имя создаваемого каталога или ключа реестра, и параметры которого указывали бы на то, что это именно операция создания.

В чем суть проблемы?

Эта проблема существенно затрудняет проведение расследований инцидентов информационной безопасности. Нет никаких разумных объяснений тому, что в журналах не фиксируется данная информация.

Проблема № 5 (критическая). Сбойные параметры аудита в русских версиях Windows

Наличие проблемы подтверждено на русских редакциях Windows 7/10/Server 2019.

Описание проблемы

В русских версиях Windows есть ошибка, приводящая систему управления аудитом безопасности в нерабочее состояние.

Симптомы

Причины

Проблема возникает, если администратор активировал хотя бы одну из «сбойных» подкатегорий расширенных политик аудита. К подобным сбойным категориям, в частности, относятся:

Рекомендации по решению проблемы

Если проблема еще не произошла, то не активируйте указанные «сбойные» подкатегории. Если события этих подкатегорий очень нужны, то пользуйтесь утилитой auditpol для их активации или же управляйте аудитом с помощью базовых политик.

Если проблема произошла, то необходимо:

В чем суть проблемы?

Наличие данной проблемы уменьшает количество событий безопасности, которые можно контролировать штатным образом через расширенные политики аудита, а также создает угрозы отключения, блокирования и дестабилизации управления системой аудита в корпоративной сети.

Проблема № 6 (критическая). Будь проклят «Новый текстовый документ.txt. а также Новый точечный рисунок.bmp»

Наличие проблемы подтверждено на Windows 7. Проблема отсутствует в Windows 10/Server 2019.

Описание проблемы

Это очень странная проблема, которая была обнаружена чисто случайно. Суть проблемы в том, что в операционной системе есть лазейка, позволяющая обойти аудит создания файлов.

Из командной строки выполним команду: echo > «c:testНовый текстовый документ.txt»
Наблюдаем:

По факту создания файла в журнале безопасности появилось событие с кодом 4663, содержащее в поле «ObjectName» имя создаваемого файла, в поле «AccessMask» значение 0x2 («Запись данных или добавление файла»).

k3cn6ltuqg gclek4pgtn7u tea

Для выполнения следующих экспериментов очистим папку и журнал событий.

В журнале событий данное действие никак не отразилось. Также никаких записей не будет, если с помощью того же контекстного меню создать «Точечный рисунок».

Как и в случае с созданием файла через командную строку в журнале появилось событие с кодом 4663 и соответствующим наполнением.

depfwqhwv1umoii77gpofddmoro

В чем суть проблемы?

Конечно создание текстовых документов или картинок особого вреда не представляет. Однако, если «Проводник» умеет обходить журналирование файловых операций, то это смогут сделать и вредоносы.

Данная проблема является, пожалуй, наиболее значимой из всех рассмотренных, поскольку серьезно подрывает доверие к результатам работы аудита файловых операций.

Заключение

Приведенный перечень проблем не исчерпывающий. В процессе работы удалось споткнуться о еще довольно большое количество различных мелких недоработок, к которым можно отнести использование локализованных констант в качестве значений параметров ряда событий, что заставляет писать свои анализирующие скрипты под каждую локализацию операционной системы, нелогичное разделение кодов событий на близкие по смыслу операции, например, удаление ключа реестра — это последовательность событий 4663 и 4660, а удаление значения в реестре — 4657, ну и еще по мелочи…

Справедливости ради отметим, что несмотря на все недостатки система журналирования событий безопасности в Windows имеет большое количество положительных моментов. Исправление указанных здесь критических проблем может вернуть системе корону лучшего решения по журналированию событий безопасности из коробки.

MAKE WINDOWS SECURITY EVENT LOGGING GREAT AGAIN!

Источник

Служба журнала событий Windows не запущена

Служба журнала событий Windows управляет серией журналов событий, которые используют систему, системные компоненты и приложения для регистрации событий. Служба предоставляет функции, которые позволяют программам вести журналы событий и управлять ими, а также выполнять такие операции журналов, как архивирование и сверка. Это позволяет администраторам вести журналы событий и выполнять административные задачи, требующие прав администратора.

По какой-то неизвестной причине, если у вас возникли трудности с запуском следующего, вполне возможно, что одна из причин, по которой служба журнала событий Windows не работает.

В таком случае сообщения об ошибках, такие как:

Служба журнала событий недоступна. Проверьте, работает ли служба

Windows не удалось запустить службу журнала событий Windows на локальном компьютере

Сначала перезагрузите систему и посмотрите, поможет ли это. Иногда простой перезапуск помогает сбросить этот сервис. Если журнал событий Windows, кажется, запустился, перезапустите его из Service Manager.

Чтобы проверить, запущена или остановлена ​​служба журнала событий Windows, запустите services.msc и нажмите Enter, чтобы открыть Service Manager. Щелкните правой кнопкой мыши Служба журнала событий Windows и проверьте его свойства.

Убедитесь, что тип загрузки установлен на Автоматически и услуги Началось; и что он работает в Местная служба Счет.

Также убедитесь, что на вкладке «Восстановление» в трех раскрывающихся окнах отображается параметр «Перезапустить службу» в случае возникновения ошибки. При необходимости перезапустите.

Иногда служба журнала событий Windows по-прежнему не запускается, и вы получаете следующее сообщение об ошибке:

Система не может найти указанный файл

В этом случае откройте следующую папку:

Эта папка содержит журналы событий в .evtx формат и может быть прочитан только с Просмотр событий, Дайте эту папку журнала доступ для чтения / записи и посмотреть, помогает ли это.

Вы также можете сделать следующее.

Откройте редактор реестра и перейдите к следующей клавише:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceseventlog4600

Двойной клик ObjectName и убедитесь, что его значение NT AUTHORITYLocalService, Если нет, измените это.

Если это по-прежнему не помогает, запустите проверку системных файлов и просмотрите журналы.

Только записи, принадлежащие администратору, могут выполнять шорткод include me

Источник

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Prosmotr zhurnalov sobyitiyДоброго дня!

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены. 😢

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

eventvwr komanda dlya vyizova zhurnala sobyitiy

eventvwr — команда для вызова журнала событий

Prosmotr sobyitiy

Sistema i bezopasnost

Система и безопасность

Administrirovanie

Prosmotr sobyitiy Administrirovanie

Просмотр событий — Администрирование

Актуально для пользователей Windows 10/11.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇

Windows 10 sobyitiya

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

WinX vyizov menyu

Журналы Windows

ZHurnalyi Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

Sistema filtr tekushhego zhurnala

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Kriticheskie oshibki

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.

Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).

Predstavlenyi vse oishbki po date i vremeni ih vozniknoveniya

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

Otkryivaem sluzhbyi services.msc universalnyiy sposob

Sluzhbyi zhurnalyi sobyitiy

Службы — журналы событий

Источник

Windows 7 журнал событий не работает

Сообщения: 3583
Благодарности: 507

При исполнении восьмого пункта получаю следующее:

Не удалось восстановить базу данных WMI в исходное состояние.
Код ошибки: 0х8007041В
Оборудование: Win32
Описание: Команда остановки была отправлена службе, от которой зависят другие приложения.

Какие должны быть дальнейшие действия?

——-
MULTI MULTA; NEMO OMNIA NOVIT

moderator

Сообщения: 52190
Благодарности: 15075

moderator

Сообщения: 52190
Благодарности: 15075

simsim
А пункт 7 не пропустили? Когда второй раз надо останавливать службу?
UAC отключен?

P. S. Извините, что переспрашиваю, просто других идей у меня нет.

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″> Источник

Adblock
detector

Содержание

  • Открытие инструмента «Просмотр событий»
    • Способ 1: «Панель управления»
    • Способ 2: Средство «Выполнить»
    • Способ 3: Поле поиска меню «Пуск»
    • Способ 4: «Командная строка»
    • Способ 5: Прямой старт файла eventvwr.exe
    • Способ 6: Введение пути к файлу в адресной строке
    • Способ 7: Создание ярлыка
    • Проблемы с открытием журнала
  • Вопросы и ответы

Журнал событий в Windows 7

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Открытие инструмента «Просмотр событий»

Журнал событий хранится в системном инструменте, который имеет название «Просмотр событий». Посмотрим, как с помощью различных способов в него можно перейти.

Способ 1: «Панель управления»

Один из самых распространенных способов запуска описываемого в данной статье инструмента, хотя далеко не самый легкий и удобный, осуществляется с помощью «Панели управления».

  1. Щелкните «Пуск» и перейдите по надписи «Панель управления».
  2. Переход в панель управления через кнопку Пуск в Windows 7

  3. Затем зайдите в раздел «Система и безопасность».
  4. Переход в раздел Система и безопасность в Панели управления в Windows 7

  5. Далее щелкайте по наименованию раздела «Администрирование».
  6. Переход в раздел Администрирование в разделе Система и безопасность в Панели управления в Windows 7

  7. Попав в указанный раздел в перечне системных утилит ищите наименование «Просмотр событий». Кликните по нему.
  8. Запуск инструмента Просмотр событий в разделе Администрирование в Панели управления в Windows 7

  9. Целевой инструмент активирован. Чтобы конкретно попасть в журнал системы, кликните по пункту «Журналы Windows» в левой области интерфейса окошка.
  10. Переход в Журналы Windows окне Просмотр событий в Windows 7

  11. В открывшемся списке выбирайте один из пяти интересующих вас подразделов:
    • Приложение;
    • Безопасность;
    • Установка;
    • Система;
    • Перенаправление события.

    В центральной части окна отобразится журнал событий, соответствующий выбранному подразделу.

  12. Подраздел Приложение в Журналах Windows в окне Просмотр событий в Windows 7

  13. Аналогичным образом можно раскрыть раздел «Журналы приложений и служб», но там будет больший перечень подразделов. Выбор конкретного из них приведет к отображению в центре окна списка соответствующих событий.

Раздел Журналы Приложений и служб в окне Просмотр событий в Windows 7

Способ 2: Средство «Выполнить»

Намного проще инициировать активацию описываемого инструмента при помощи средства «Выполнить».

  1. Задействуйте комбинацию клавиш Win+R. В поле запустившегося средства вбейте:

    eventvwr

    Кликните «OK».

  2. Переход в окно Просмотр событий путем введения команды в окно Выполнить в Windows 7

  3. Нужное окно будет открыто. Все дальнейшие действия по просмотру журнала можно производить по тому же алгоритму, который был описан в первом способе.

Окно Просмотр событий открыто в Windows 7

Lumpics.ru

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Способ 3: Поле поиска меню «Пуск»

Очень похожий метод вызова изучаемого нами инструмента осуществляется с задействованием поля поиска меню «Пуск».

  1. Щелкните «Пуск». Внизу открывшегося меню расположено поле. Введите туда выражение:

    eventvwr

    Переход в окно Просмотр событий путем введения выражения в поле для поиска меню Пуск в Windows 7

    Или просто напишите:

    Просмотр событий

    В списке выдачи в блоке «Программы» появится наименование «eventvwr.exe» или «Просмотр событий» в зависимости от введенного выражения. В первом случае, скорее всего, результат выдачи будет единственным, а во втором их будет несколько. Кликните по одному из указанных выше названий.

  2. Переход в окно Просмотр событий путем введения альтернативного выражения в поле для поиска меню Пуск в Windows 7

  3. Журнал будет запущен.

Способ 4: «Командная строка»

Вызов инструмента через «Командную строку» довольно неудобен, но и такой способ существует, а поэтому он тоже стоит отдельного упоминания. Сначала нам потребуется вызвать окно «Командной строки».

  1. Щелкайте «Пуск». Далее выбирайте «Все программы».
  2. Переход во все программы через кнопку Пуск в Windows 7

  3. Переходите в папку «Стандартные».
  4. Переход в папку Стандартные через кнопку Пуск в Windows 7

  5. В перечне открывшихся утилит щелкайте по «Командная строка». Активацию с административными полномочиями производить не обязательно.
    Запуск командной строки через кнопку Пуск в Windows 7

    Можете выполнить запуск и быстрее, но для этого нужно помнить команду активации «Командной строки». Наберите Win+R, инициировав тем самым запуск инструмента «Выполнить». Введите:

    cmd

    Щелкайте «OK».

  6. Переход в окно Командной строки путем введения команды в окно Выполнить в Windows 7

  7. При любом из двух вышеуказанных действий будет запущено окно «Командной строки». Введите знакомую команду:

    eventvwr

    Жмите Enter.

  8. Ввод команды в окно Командной строки в Windows 7

  9. Окно журнала будет активировано.

Урок: Включение «Командной строки» в Виндовс 7

Способ 5: Прямой старт файла eventvwr.exe

Можно воспользоваться таким «экзотическим» вариантом решения поставленной задачи, как прямой старт файла из «Проводника». Тем не менее, и данный способ может пригодиться на практике, например, если сбои достигли такого масштаба, что другие варианты запустить инструмент просто недоступны. Такое бывает крайне редко, но вполне возможно.

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

C:WindowsSystem32

  1. Запустите «Проводник Windows».
  2. Запуск Проводника в Windows 7

  3. Вбейте в адресное поле тот адрес, который был представлен ранее, и кликните Enter или нажмите по значку справа.
  4. Переход в папку System32 путем ввода адреса в адресную строку в Проводнике в Windows 7

  5. Выполняется перемещение в каталог «System32». Именно тут хранится целевой файл «eventvwr.exe». Если у вас не включен в системе показ расширений, то объект будет называться «eventvwr». Найдите и произведите по нему двойной клик левой кнопкой мышки (ЛКМ). Чтобы легче осуществлять поиск, так как элементов довольно много, можете отсортировать объекты по алфавиту, кликнув по параметру «Имя» вверху списка.
  6. Открытие окна Просмотр событий путем прямого запуска исполняемого файла в Проводнике в Windows 7

  7. Произойдет активация окна журнала.

Способ 6: Введение пути к файлу в адресной строке

При помощи «Проводника» можно запустить интересующее нас окно и быстрее. При этом даже не придется искать eventvwr.exe в каталоге «System32». Для этого в адресном поле «Проводника» просто нужно будет указать путь к данному файлу.

  1. Запустите «Проводник» и введите в адресное поле такой адрес:

    C:WindowsSystem32eventvwr.exe

    Кликните Enter или нажмите по эмблеме стрелки.

  2. Открытие окна Просмотр событий путем ввода полного пути к исполняемому файлу в адресной строке в Проводнике в Windows 7

  3. Окно журнала тут же активируется.

Способ 7: Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

  1. Перейдите на «Рабочий стол» или запустите «Проводник» в том месте файловой системы, где собираетесь создать иконку доступа. Кликните правой кнопкой мышки по пустой области. В меню переместитесь по «Создать» и далее щелкайте «Ярлык».
  2. Переход к созданию ярлыка на рабочем столе через контекстное меню в Windows 7

  3. Активируется инструмент формирования ярлыка. В открывшееся окошко внесите тот адрес, о котором уже шла речь:

    C:WindowsSystem32eventvwr.exe

    Кликните «Далее».

  4. Введение полного пути к исполняемому файлу в поле в окне Мастера создания ярлыка в Windows 7

  5. Запускается окошко, где нужно указать наименование иконки, по которому юзер будет определять активируемый инструмент. По умолчанию в качестве названия используется имя исполняемого файла, то есть, в нашем случае «eventvwr.exe». Но, конечно, это название мало что может сказать непосвященному пользователю. Поэтому лучше в поле ввести такое выражение:

    Журнал событий

    Ввод названия ярлыка в окне Мастера создания ярлыка в Windows 7

    Или такое:

    Просмотр событий

    В общем, введите любое название, по которому вы будете ориентироваться, какой инструмент данная иконка запускает. После ввода жмите «Готово».

  6. Ввод альтернативного названия ярлыка в окне Мастера создания ярлыка в Windows 7

  7. Иконка запуска появится на «Рабочем столе» или в другом месте, где вы её создали. Для активации инструмента «Просмотр событий» достаточно кликнуть по ней дважды ЛКМ.
  8. Запуск инструмента Просмотр событий с помощью ярлыка на рабочем столе в Windows 7

  9. Необходимое системное приложение будет запущено.

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

Служба журнала событий недоступна в Windows 7

  1. Прежде всего, нужно перейти в «Диспетчер служб». Это можно сделать из раздела «Панели управления», который называется «Администрирование». Как в него перейти, подробно описывалось при рассмотрении Способа 1. Попав в данный раздел, ищите пункт «Службы». Кликните по нему.
    Запуск инструмента Службы в разделе Администрирование в Панели управления в Windows 7

    В «Диспетчер служб» можете перейти с помощью средства «Выполнить». Вызовите его, набрав Win+R. В область для ввода вбейте:

    services.msc

    Жмите «OK».

  2. Переход в окно Диспетчера служб путем введения команды в окно Выполнить в Windows 7

  3. Независимо от того, совершили вы переход через «Панель управления» или использовали ввод команды в поле инструмента «Выполнить», запускается «Диспетчер служб». В списке ищите элемент «Журнал событий Windows». Чтобы облегчить поиск, можете выстроить все объекты перечня в алфавитном прядке, кликнув по названию поля «Имя». После того, как нужная строка найдена, взгляните на соответствующее ей значение в колонке «Состояние». Если служба включена, то там должна находиться надпись «Работает». Если же там пусто, то это означает, что служба деактивирована. Также посмотрите на значение в колонке «Тип запуска». В нормальном состоянии там должна находиться надпись «Автоматически». Если там стоит значение «Отключена», то это означает, что служба не активируется при запуске системы.
  4. Служба Журнал событий Windows отключена в Диспетчере служб в Windows 7

  5. Чтобы это исправить, перейдите в свойства службы, кликнув по наименованию дважды ЛКМ.
  6. Переход в окно свойств службы Журнал событий Windows в Диспетчере служб в Windows 7

  7. Открывается окно. Кликните по области «Тип запуска».
  8. Открытие поля Тип запуска в окне свойств службы Журнал событий Windows в Windows 7

  9. Из раскрывшегося списка выбирайте «Автоматически».
  10. Выбор автоматического типа запуска в окне свойств службы Журнал событий Windows в Windows 7

  11. Жмите по надписям «Применить» и «OK».
  12. Сохранение изменений в окне свойств службы Журнал событий Windows в Windows 7

  13. Возвратившись в «Диспетчер служб», отметьте «Журнал событий Windows». В левой области оболочки кликните по надписи «Запустить».
  14. Запуск службы Журнал событий Windows в Диспетчере служб в Windows 7

  15. Запуск службы произведен. Теперь в соответствующем ей поле колонки «Состояние» отобразится значение «Работает», а в поле колонки «Тип запуска» появится надпись «Автоматически». Теперь журнал можно открыть любым из тех способов, которые мы описывали выше.

Служба Журнал событий Windows запущена в Диспетчере служб в Windows 7

Существует довольно много вариантов активировать журнал событий в Виндовс 7. Конечно, самые удобные и популярные способы – это переход через «Панель инструментов», активация при помощи средства «Выполнить» или поля поиска меню «Пуск». Для удобного доступа к описываемой функции можете создать иконку на «Рабочем столе». Иногда возникают проблемы с запуском окна «Просмотр событий». Тогда нужно проверить, активирована ли соответствующая служба.

Здравствуйте, дорогие читатели, с вами снова Тришкин Денис.
Хотелось бы вам рассказать об одном интересном стандартном приложении в Windows. Корпорация Microsoft всегда отличалась тем, что в своих операционных системах она старалась реализовать высокую безопасность и быстродействие путем слежения за программами и различными движениями в системе. Конечно же это не всегда выходило. Одним из инструментов, позволяющих наблюдать за системой, является журнал событий Windows 7. Именно в нем регистрируются все некорректные установки и неудачные запуски программ. В нем все действия расположены в хронологическом порядке. Желательно время от времени заглядывать в этот реестр, чтобы вовремя реагировать на новую информацию.

Содержание статьи

  • Возможности журнала Windows
  • Запуск программы
  • Описание
  • Дополнительные пункты
  • Описание событий
  • Работа с журналом
  • Очистка журнала
  • Ошибка в журнале
  • Увеличение объема памяти для записей в журнале
  • Проблемы запуска
  • Отключение

Возможности журнала Windows( к содержанию ↑ )

журнал событий

увеличить

Приложение имеет следующие возможности:

  • создание реестра данных, которые в хронологическом порядке записаны в архив;

  • наличие специальных фильтров, позволяющих удобно просматривать и настраивать систему;

  • подписка на некоторые категории действий;

  • при появлении определенного рода действий можно задать последовательность.

Запуск программы( к содержанию ↑ )

Каталог можно открыть, как и многие другие системные утилиты. Он запускается так:

  1. 1Нужно зайти в «Пуск» и «Панель управления». Далее выбираем «Администрирование». В отрывшемся окне нужно найти «Просмотр событий». Кроме того, можно написать в поиске «журнал событий».

    запуск журнала событий

    увеличить

  2. 2Появится окно, где нужно выбрать подходящий параграф, который означает удаление или добавление действия. После этого появляется «Просмотр событий» на основном окне.

  3. просмотр журнала событий

    увеличить

Описание( к содержанию ↑ )

Итак, узнав, где находится журнал, нужно теперь выяснить, что это такое. В Windows седьмой версии предусмотрено несколько реестров движений. Так, существует служебная база приложений и системный архив. Действие последнего направлено на запись всех происшествий, происходящий в операционке с программами. Первый нужен для запоминания изменений, которые прошли со служебными приложениями. Основной является вкладка «Просмотр», которая включает несколько пунктов:

  1. 1Приложение. В этом меню сохраняются перемены, связанные с определенной программой. Например, здесь можно найти данные, которые использует почтовая служба – историю пересылки, события в ящиках и многое другое.

    Приложение

    увеличить

  2. 2Безопасность. Здесь показывается информация, касающаяся входов и выходов из системы, использования возможностей администратора, обращения к разным ресурсам.

    Безопасность

    увеличить

  3. 3Установка. Отображаются данные, появляющиеся в результате установки и настройки разных программ.

    Установка

    увеличить

  4. 4Система. Тут фиксируются сбои, произошедшие при запуске встроенных приложений. Кроме того, именно здесь находятся данные о проблемных установках драйверов и различные сообщения, связанные с работой ОС.

    Система

    увеличить

  5. 5Пересылаемые события. Пункт нужно предварительно настраивать. Если это сделано, здесь будут храниться данные, пришедшие с других серверов.

    Пересылаемые события

    увеличить

Дополнительные пункты( к содержанию ↑ )

Кроме того, предусмотрены и дополнительные подразделения:

  1. 1Internet Explorer. Здесь можно найти информацию, которая отображает изменения, произошедшие с браузером.

    Internet Explorer

    увеличить

  2. 2Windows PowerShell. В этом разделе показываются происшествия, связанные с PowerShell.

    Windows PowerShell

    увеличить

  3. 3События оборудования. Пункт не всегда может быть настроен. Если он подключен, в файле отображаются данные о работе устройств.

    События оборудования

    увеличить

Описание событий( к содержанию ↑ )

Информацию в базе можно посмотреть, как и любую другую на компьютере. Но вместе тем, пользователь должен знать несколько основных определений, касающихся работы приложения:

  1. 1Источник – программа, которая отправила данные в журнал. Это может быть название приложения, драйвера или другого отдельного компонента.

    Источник

    увеличить

  2. 2Коды события – ряд цифр, указывающих на определенный тип действия. Первая строка в большинстве случаев содержит название типа. Обычно код и источник являются основными показателями, по которым специалист определяют ошибку в системе и пытаются ее исправить.

    Коды события

    увеличить

  3. 3Уровень – важность, которая делится на шесть пунктов:

    Уровень

    увеличить

    • уведомление – какое-либо изменение в приложении (чаще появление информационного сообщения);

    • предупреждение – указывает на неполадку, которая в будущем может привести к серьезной проблеме;

    • ошибка – сбой, влияющий на функции события или программы;

    • критическая ошибка – неполадка, в результате которой, компонент или программа не могут автоматически восстановить работоспособность;

    • аудит успехов – правильное выполнение действий, отслеживающихся пользователем;

    • аудит отказов – не правильное выполнение действий, за которыми наблюдает клиент.

  4. 4Пользователь – указывает на учетную запись, при которой и произошло изменение.

    Пользователь

    увеличить

  5. 5Рабочий код – числовое значение, определяющее промежуток в пределах которого произошел сбой.

    Рабочий код

    увеличить

  6. 6Дата и время – показывается, когда именно это случилось.

    Дата и время

    увеличить

Помимо этого, в реестре событий предусмотрена масса других свойств. Подробное знакомство с ними поможет более точно настраивать и следить за системой.

Работа с журналом( к содержанию ↑ )

Чтобы предохранить систему от сбоев и зависания, желательно своевременно просматривать базу «Приложение», в котором указываются все происшествия, действия с разными программами и предоставляется выбор возможных операций.

Приложение

увеличить

Там же показано время и дата появления, источник. Консоль позволяет сохранить все изменения, очистить их и изменить саму таблицу, в которой указаны нужные данные.

Очистка журнала( к содержанию ↑ )

Кроме простого просмотра, программу можно очистить, как это делается, я расскажу далее. Это необходимо для быстрого анализа всех ошибок ОС. Как удалить события? Просто выполните некоторые действия:

  1. 1Выбираем нужный раздел.

    Выбираем нужный раздел

    увеличить

  2. 2В разделе «Действие» нажимаем «Очистить журнал».

    Очистить журнал

    увеличить

Ошибка в журнале( к содержанию ↑ )

Постоянно просматривая реестр операционной системы, можно увидеть, что здесь часто появляются разные ошибки и предупреждения. При этом не стоит сразу паниковать – многие из них никак не угрожают компьютеру. Но вместе с тем они могут появляться даже на идеально работающей машине.

Ошибка в журнале

увеличить

По факту, это приложение разрабатывалось для системных администраторов, чтобы они могли в кратчайшие сроки узнать о проблеме и убрать ее.

Увеличение объема памяти для записей в журнале( к содержанию ↑ )

Первоначально файл, в котором хранятся данные сам по себе имеет небольшой размер. Но его можно увеличить. Для этого необходимо:

  1. 1Выбрать раздел и перейти в его свойства.

    Выбрать раздел и перейти в его свойства

    увеличить

  2. 2На поле «Максимальный размер…» нужно указать желаемое значение. По умолчанию число округляется в ближайшую сторону до кратности к 64 Кб. При этом файл журнала не может быть меньше 1024 Кб.

    Максимальный размер

    увеличить

После достижения максимального размера, обработка осуществляется политикой их хранения. Существуют такие виды:

  1. 1Переписывание при необходимости. Новые строки заменяют самые старые.

  2. 2Не переписывание. Очистка файла происходит вручную.

Чтобы выбрать желаемую политику, нужно:

  1. 1Выделить подходящий журнал, а затем «Свойства».

    Свойства

    увеличить

  2. 2На вкладке «Общие» находим «При достижении максимального…» выбираем желаемый параметр и подтверждаем действие.

    Максимальный размер

    увеличить

Проблемы запуска( к содержанию ↑ )

Иногда происходит так, что журнал не запускается.

Решение проблемы хоть и не простое, тем не менее эффективное. Итак, в папке Windows находим System32, а затем wineyf. Ей и всем файлам внутри нужно дать полный доступ для юзера Local Service. Именно под ним и проходит работа программы. Иногда то же самое нужно сделать для папки LogFiles, расположенной в той же директории.

Отключение( к содержанию ↑ )

Журнал событий можно отключить, как и любую другую службу.

Заходим в Панель управления, «Администрирование».

Здесь находим «Службы», выбираем нужную и меняем тип запуска на «Отключено». Эта программа будет продолжать работу до первой перезагрузки.

Службы

увеличить

Журнал событий в Windows 7 представляет собой удобный инструмент, позволяющий следить за различными операциями, происходящими на компьютере. Это позволит исправлять ошибки, что улучшит взаимодействие с системой.

Подписывайтесь и рассказывайте друзьям обо мне.

Материалы по теме

Как отключить журнал событий

Операционная система Windows постоянно следит за всеми происходящими в системе событиями, записывая их в лог-файл. Данная информация может помочь в настройке системы, выявлении причин происходящих сбоев. Тем не менее, есть пользователи никогда не заглядывают в логи, поэтому на их компьютерах журнал событий может быть отключен.

Как отключить журнал событий

Инструкция

Для отключения журнала событий необходимо отключить соответствующую службу. Если вы работаете в операционной системе Windows XP, откройте: «Пуск» – «Панель управления» – «Администрирование» – «Службы». Найдите службу «Журнал событий» (Event log), откройте ее окно, кликнув мышкой по соответствующей строке. Остановка данной службы запрещена, но вы можете изменить тип запуска, выбрав опцию «Отключено». При следующей загрузке компьютера журнал событий не будет запущен.

В операционной системе Windows 7 журнал событий отключается точно так же – найдите в Панели управления «Администрирование» – «Службы» и измените тип запуска сервиса на «Отключено». Журнал событий будет работать до первой перезагрузки системы.

В большинстве случаев пользователи отключают некоторые службы для улучшения производительности компьютера и улучшения его безопасности. По умолчанию в ОС семейства Windows запущены многие службы, не нужные рядовому пользователю, их следует отключить. Например, если вы не собираетесь пользоваться удаленным помощником, отключите службу «Терминал». Если вы не хотите, чтобы кто-то редактировал системный реестр вашего компьютера, отключите службу «Удаленный реестр».

Если вы не синхронизируете системное время компьютера с сервером точного времени, отключите «Службу времени». Не пользуетесь wi-fi – отключите службу «Беспроводная настройка». Самостоятельно заботитесь о поддержании актуальном состоянии антивирусных баз и не нуждаетесь в напоминаниях – отключите «Центр обеспечения безопасности».

В том случае, если вы не собираетесь использовать ваш компьютер в качестве сервера и давать другим пользователям доступ к своим папкам и файлам, отключите службу «Сервер». Не собираетесь входить в систему от имени другого пользователя – отключите «Вторичный вход в систему». Отключив все эти службы, вы сможете увеличить скорость работы компьютера и повысите безопасность при работе в сети.

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Что предпринять если ПК начал работать со сбоями. Появляется Синий экран, ошибки при загрузке системы, непроизвольная перезагрузка? Все такие действия записываются в специальные файлы и сохраняются на ПК. На основе полученных данных устраняются ошибки в работе ОС. Рассмотрим, что такое Журнал событий Windows 7 и как с ним работать.

Содержание

  1. Что это такое
  2. Журнал событий Windows 7 где находится
  3. Как войти в Журнал событий Windows 7
  4. Журнал событий Виндовс (Windows) 7 — как работать
  5. Какую информацию можно посмотреть
  6.  Как работать
  7. Как найти информацию
  8. Просмотр
  9. Использование фильтра
  10. Как очистить
  11. Как очистить в приложении
  12. Вывод

Что это такое

Журнал событий Виндовс (Windows) 7 — служба ОС. Физически это файлы расширения «EVTX». В них сохраняется все что происходит при работе ОС:

  1. Программные ошибки;
  2. Службы, которые не запускается;
  3. Указываются проблемы, возникающие при установке устройства.

Для просмотра информации используется утилита «Просмотр событий»

Файлы располагаются на HDD ПК в директории:
Мы рассмотрели, где в Журнале Windows 7 находится файл. Он содержит текстовую информацию в бинарном формате. Открыть файл Блокнотом, не получится. Поэтому для просмотра используется утилита «eventvwr».

Как войти в Журнал событий Windows 7

Нажмите комбинацию клавиш «Win+R», далее «eventvwr.msc».
Другой способ как войти в Журнал событий Windows 7. Нажмите «Пуск»-«Панель управления».
Далее:
Открываем раздел:
Находим системную утилиту:

Журнал событий Виндовс (Windows) 7 — как работать

Откроется окно приложения:
Интерфейс разделен на три части:

  1. Слева данные отсортированы по параметрам;
  2. В центре отображаются события. Нажав по ним откроется подробная информация;
  3. Действия. Позволяют отфильтровать события.

Какую информацию можно посмотреть

Журнал событий в Windows 7 делится на категории:

  1. Журналы ОС. Находится информация связанная с работой ОС;
  2. Приложения и службы. Данные о программах и службах.

Рассмотрим основные:

  1. Приложение. Сохраняются данные про утилиты устанавливаемые ОС;
  2. Безопасность. Данные о входе и выходе из ОС, доступ к ресурсам;
  3. Установка. Если компоненты ОС не менялись он будет пустым;
  4. Система. Записываются важные события. Например, сетевые оповещения;
  5. Перенаправление;
  6. IE. Данные, связанные с этим встроенным обозревателем.

 Как работать

Нажав на событии, отобразится информация о нем, помогающая найти решение проблемы в интернет. Появятся такие данные:

  1. Имя;
  2. Источник. Название процесса, который сгенерировал ошибку;
  3. Код. Поможет найти информацию в интернет;
  4. Подробности.

Остальные данные обычно не используются.

Как найти информацию

Пропишите такой запрос: «Источник + Код». Например,

Просмотр

Посмотрите проблемы, связанные с быстродействием ПК. Перейдите:
Далее:
Посмотрите ошибки, которые привели к замедлению загрузки ОС.

Использование фильтра

Информации утилита предоставляет много. В ней сложно ориентироваться. Как отобразить только важные данные? Нажмите справа ссылку «Создать представление». Отметьте пункты как на скриншоте.

Как очистить

Нажмите «Win+X», далее:
Пропишите такую команду:

Как очистить в приложении

Найдите нужную ветку. Далее:

Вывод

Мы рассмотрели где находится Журнал событий в Windows 7. Это инструмент, который мониторит операции, происходящие в ОС и сохраняет их в одном месте на HDD. Помогает исправить ошибки, улучшает взаимодействие с ОС.

На чтение 5 мин. Просмотров 3.7k. Опубликовано 03.09.2019

Когда вы проверяете наличие любых ошибок в операционной системе Windows 10, 8.1, 7, лучший способ сделать это – открыть функцию Журнал событий Windows , доступную в любой версии ОС Windows. Кроме того, когда вы ищете конкретное событие, произошедшее в вашей системе, может возникнуть некоторая путаница, когда журнал событий полон других видов сообщений. Для быстрого доступа к тому, что вы ищете, ниже я покажу вам, как очистить журнал событий в Windows 10, 8, 7.

В журнале событий Windows 10, 8, 7 вы можете просматривать ошибки, предупреждения или информацию из любых приложений, которые вы используете в Windows 10, 8, 7 или события, связанные с безопасностью, события установки, системные события и даже перенаправленные события, поступающие с других устройств Windows. Очистку журнала событий можно выполнить вручную, выбрав события, которые вы хотите очистить по одному.

Содержание

  1. Очистить Event Viewer в Windows 10, 8, 7
  2. 1. Очистите журнал событий Windows вручную
  3. 2. Используйте командную строку
  4. Как очистить журналы событий в Windows 10, 8, 7
  5. Метод 1 – Очистить журналы событий с помощью командной строки
  6. Метод 2 – Очистить журнал событий с PowerShell
  7. Метод 3 – Очистить журналы событий с использованием VBScript/WMI

Очистить Event Viewer в Windows 10, 8, 7

  1. Очистить журнал событий Windows вручную
  2. Использовать командную строку

1. Очистите журнал событий Windows вручную

  1. Щелкните левой кнопкой мыши или нажмите кнопку запуска.
  2. Щелкните левой кнопкой мыши на панели управления в меню «Пуск».
  3. Щелкните левой кнопкой мыши на «Система и безопасность».
  4. Щелкните левой кнопкой мыши на Администрирование в окне Система и безопасность. Вы также можете ввести «событие» в меню поиска и выбрать « Просмотр журналов событий ».
  5. Теперь вам нужно войти в систему как администратор и дважды щелкнуть левой кнопкой мыши на «Просмотр событий».
  6. После открытия Event Viewer у вас будет список событий, к которым вы можете получить доступ.
  7. Щелкните правой кнопкой мыши на событии, которое вы хотите очистить, а затем слева от «Очистить журнал».
  8. После завершения очистки журналов событий закройте окно «Журнал событий», и вы сможете продолжить свою работу.
  • СВЯЗАНО: 5 лучших читателей журнала событий Windows 10

2. Используйте командную строку

  1. На начальном экране у вас в Windows 10, 8, 7 начните вводить «cmd.exe»
  2. После того, как он найдет значок «cmd», вам нужно будет щелкнуть по нему правой кнопкой мыши и выбрать «Запуск от имени администратора».
  3. Вам нужно будет ввести в окне «cmd» вы открыли «wevtutil el» без кавычек. Это покажет вам все события, которые у вас есть.
  4. Теперь, когда перед вами список журналов событий, запишите тот, который вы хотите очистить.
  5. Чтобы очистить определенное событие, запишите приведенную ниже команду, а затем введите имя журнала.
    wevtutil cl Пример
    Примечание: . над «Примером» находится название журнала, который вы хотите очистить.

Теперь у вас есть два метода очистки журналов событий в Windows 10, 8, 7. Как примечание, вы должны быть очень осторожны, чтобы не удалить журнал событий, который вам может понадобиться позже.

Как очистить журналы событий в Windows 10, 8, 7

  1. Очистить журналы событий с помощью командной строки
  2. Очистить журнал событий с помощью PowerShell
  3. Очистить журналы событий с помощью VBScript/WMI

Два метода, перечисленные выше, показывают, как очистить определенный журнал событий из Windows 10, 8 или Windows 7. Теперь мы покажем вам, как очистить все журналы событий одновременно. Существует несколько способов очистки всех журналов событий одновременно, поэтому вы можете выбрать тот, который лучше всего соответствует вашим потребностям.

  • СВЯЗАННО: Управление каналами журнала событий с выпуском EventLogChannelsView от Nirsoft

Метод 1 – Очистить журналы событий с помощью командной строки

Командная строка, вероятно, является наиболее часто используемым инструментом для решения всех системных проблем, а также может использоваться для очистки всех журналов событий. Вот что вам нужно сделать, чтобы очистить все журналы событий с помощью командной строки:

  1. Откройте Блокнот и вставьте следующий текст:

    • @echo off
      FOR/F «tokens = 1,2 *» %% V IN (‘bcdedit’) DO SET adminTest = %% V
      IF (% adminTest%) == (Доступ) Перейти к noAdmin
      для/F «tokens = *» %% G in (‘wevtutil.exe el’) DO (вызов: do_clear «%% G»)
      эхо.
      эхо Журналы событий были очищены!
      Перейти к концу
      : do_clear
      очистка эха% 1
      wevtutil.exe cl% 1
      goto: eof
      : noAdmin
      echo Вы должны запустить этот скрипт от имени администратора!
      echo.
      : theEnd
  2. Сохраните этот текст как файл .bat или .cmd (назовите файл с кавычками, чтобы автоматически сохранить его как файл .cmd, например «ClearLog.cmd»)
  3. Запустите .cmd файл, который вы только что сохранили как администратор
  4. Просто позвольте команде закончить

Вот и все, все ваши журналы событий теперь очищены. Вероятно, это самый простой способ очистить все журналы событий в Windows 10 или Windows 8.1, но если вы хотите попробовать другие способы, посмотрите, как это сделать, ниже.

Метод 2 – Очистить журнал событий с PowerShell

Чтобы очистить все журналы событий с помощью Windows PowerShell, выполните следующие действия.

  1. Перейдите в Поиск, введите powershell, щелкните правой кнопкой мыши PowerShell и выберите Запуск от имени администратора.
  2. Введите следующую строку в PowerShell и нажмите Enter:

    • wevtutil el | Foreach-Object {wevtutil cl “$ _”}

  3. Теперь просто введите Выход , чтобы закрыть окно PowerShell.
  • СВЯЗАННЫЕ: Как исправить ошибку приложения Event 1000 в Windows 10

Метод 3 – Очистить журналы событий с использованием VBScript/WMI

Вот как очистить все журналы событий с помощью VBScript/WMI (но учтите, что вы можете очистить только классические журналы событий):

  1. Откройте Блокнот и введите следующий текст:

    • strComputer = ”.”
      Установить objWMIService = GetObject (“winmgmts:” _
      & ”{impersonationLevel = impersonate, (Резервное копирование, безопасность)}! ” _
      & strComputer & ”rootcimv2” )
      Установить colLogFiles = objWMIService.ExecQuery _
      («Выбрать * из Win32_NTEventLogFile»)
      Для каждого objLogfile в colLogFiles
      objLogFile.ClearEventLog ()
      Далее
  2. Сохраните его как VBScript (.VBS), посмотрите на метод 1, как сохранить файл как .vbs напрямую, назовите его, например, ClearEvent.vbs
  3. Переместите ClearEvent.vbs, который вы только что создали, в C:/Windows/System32
  4. Теперь откройте командную строку от имени администратора и выполните следующую команду:

    • CScript ClearEvent.vbs

Вот и все, теперь вы знаете множество способов очистки журнала событий в Windows 10, Windows 8.1 и Windows 7. Очистка журнала событий очень полезна, особенно если вы пытаетесь точно определить точную причину ошибки, которую вы недавно пережил. Если у вас есть какие-либо вопросы, просто зайдите в раздел комментариев ниже.

Like this post? Please share to your friends:
  • Журнал событий системы windows 10 ошибка форматирования флешки
  • Журнал событий системы windows 10 diskpart
  • Журнал событий приложений windows 10 как открыть
  • Журнал событий windows 10 удаление файлов
  • Журнал событий windows 10 причина перезагрузки