Установка Windows® создает файлы журналов для всех действий, выполняемых во время установки. При наличии проблем с установкой Windows просмотрите файлы журналов для поиска и устранения неполадок.
Файлы журналов установки Windows сохраняются в следующих каталогах:
Расположение файла журнала
Описание
Местоположение журнала перед доступом установки к диску.
Расположение журнала при откате установки в случае неустранимой ошибки.
Расположение журнала действий установки после настройки диска.
Используется для регистрирования установок устройств Plug and Play.
Местоположение дампа памяти для проверки на ошибки.
Местоположение зарегистрированных мини-дампов для проверки на ошибки.
Местоположение журналов программы Sysprep.
Журналы событий установки Windows
Установка Windows теперь позволяет просматривать события производительности установки Windows в средстве просмотра журнала событий Windows. Это упрощает просмотр действий, выполненных во время установки Windows, и позволяет просматривать статистику производительности для различных компонентов установки Windows. Для просмотра только необходимых записей в журнале можно использовать фильтр. Дополнительные сведения о средстве просмотра событий см. на данном веб-сайте Майкрософт (страница может быть на английском языке).
События производительности установки Windows регистрируются в файле журнала с именем Setup.etl, который находится в каталоге %WINDIR%\Panther всех установок Windows® 7.
Чтобы просмотреть эти журналы, необходимо воспользоваться средством просмотра событий в Windows 7, Windows Vista®, Windows Server® 2008 или Windows Server® 2008 R2.
Чтобы просмотреть эти журналы на компьютере под управлением Windows Vista без Windows AIK 2.0 или Windows OPK 2.0, необходимо из корневого каталога носителя с Windows 7 или Windows Server 2008 R2 запустить сценарий, который устанавливает поставщика отслеживания событий Windows. В командной строке введите:
где — это буква DVD-диска Windows.
Просмотр журналов событий установки Windows
Запустите средство просмотра событий, разверните узел «Журналы Windows», а затем выберите Система.
На панели Действия выберите команду Открыть сохраненный журнал, а затем выберите файл Setup.etl. По умолчанию этот файл находится в каталоге %WINDIR%\Panther.
В средстве просмотра событий отображается содержимое файла журнала.
Экспорт журнала в файл
Для сохранения журнала в XML- или текстовый файл введите в командной строке команду Wevtutil или Tracerpt. Дополнительные сведения об этих программах см. в справке командной строки. В следующих примерах показано, как можно использовать эти программы:
Включения ведения журнала установщика Windows
Windows включает службу ведения журнала с активацией реестра, которая помогает диагностировать проблемы установки Windows. В этой статье описывается, как включить эту службу ведения журнала.
Оригинальная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2 Исходный номер КБ: 223300
Запись реестра в этой статье действительна для всех операционных систем Windows.
Ведение журнала установщика Windows
Установщик Windows может использовать ведение журнала для устранения неполадок при установке пакетов программного обеспечения. Этот журнал включен путем добавления ключей и значений в реестр. После того как записи были добавлены и включены, можно повторить установку проблемы, и установщик Windows будет отслеживать ход и размещать ее в папке Temp. Имя файла нового журнала является случайным. Однако первыми буквами являются Msi, а имя файла имеет расширение журнала. Чтобы найти папку Temp, введите следующую строку в командной строке:
Чтобы включить ведение журнала установщика Windows вручную, см. в следующем разделе.
Включить ведение журнала установщика Windows вручную
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.
Чтобы включить ведение журнала установки Windows самостоятельно, откройте реестр с помощью Regedit.exe, а затем создайте следующие подкайки и клавиши:
Буквы в поле значения могут идти в любом порядке. Каждая буква включает отдельный режим ведения журнала. Фактическая функция каждой буквы следующим образом для версии MSI 1.1:
v — выход verbose
o — сообщения из дискового пространства
i — Сообщения о состоянии
c . Исходные параметры пользовательского интерфейса
e . Все сообщения об ошибках
w — Предупреждения, не несуществующие смертельным исходам
a . Запуск действий
r — Записи, определенные для действий
m — сведения о выходе из памяти или с летальным исходом
u . Запросы пользователей
p — Свойства терминала
+ — Приложение к существующему файлу
! — Смыть каждую строку в журнал
x . Дополнительные сведения об отладки. Флаг x доступен только в Windows Server 2003 и более поздних операционных системах, а также в MSI-версии 3.0, а также в более поздних версиях MSI, которые можно перераспределить.
* — Под диктовка. Войдите все сведения, кроме параметра v и x. Чтобы включить параметр v и x, укажите /l*vx.
Это изменение должно использоваться только для устранения неполадок и не должно быть оставлено на месте, так как оно будет иметь негативные последствия для производительности системы и дискового пространства. При каждом использовании элемента Добавить или Удалить программы в панели управления создается новый файл Msi*.log. Чтобы отключить ведение журнала, удалите значение реестра журнала.
Включить ведение журнала установщика Windows с помощью групповых политик
Вы можете включить ведение журнала с помощью групповых политик, редактировать соответствующую политику группы OU или Directory. В соответствии с групповой политикой расширяйте конфигурацию компьютера, расширяйте административные шаблоны, расширяйте компоненты Windows, а затем выберите установщик Windows.
Дважды щелкните журнал журнала и нажмите кнопку Включено. В поле Ведение журнала введите параметры, которые необходимо ввести в журнал. Файл журнала Msi.log отображается в папке Temp тома системы.
Дополнительные сведения о журнале MSI см. в справке по Windows. Для этого выберите поиск с помощью журнала msi фразы, а затем выберите параметры управления для компьютеров с помощью групповой политики.
Добавление флага x доступно в Windows Server 2003 и более поздних операционных системах, в MSI-версии 3.0, а также в более поздних версиях MSI, которые можно перераспределить.
Как использовать журнал событий системы Windows 10
Средство просмотра событий Windows является одним из инструментов администрирования операционной системы Microsoft.
В первой части руководства будет объяснено, для чего используется этот инструмент и какая информация хранится в его регистрах.
Во второй части руководства мы увидим, как прочитать свойства события и как создать персонализированный вид событий.
Что такое средство просмотра событий Windows
Просмотрщик событий – самый мощный диагностический инструмент в Windows. Его использование имеет фундаментальное значение для контроля целостности системы, поскольку предоставляет подробную информацию обо всех событиях, происходящих на ПК. Событие представляет собой явление, которое происходит внутри системы и передается наружу, – к пользователю или к другим программам, и обычно соответствует состоянию или изменениям конфигурации. События регистрируются службой журнала событий Windows, а их история сохраняется в соответствующих системных журналах.
Средство просмотра событий Windows помогает в анализе проблемы, поскольку позволяет просматривать аппаратные и программные аномалии различной природы (сбой при запуске службы, сбой системы, невозможность установить обновление, повреждение в структуре файловой системы, конфликт IP-адресов).
Как запустить средство просмотра событий Windows
Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.
Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.
Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК .
Откроется оснастка «Просмотр событий».
Разверните её на весь экран.
Обзор и сводка по событиям
Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.
Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).
Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.
В столбце Тип события можно нажать + , чтобы развернуть категорию и просмотреть источник событий того же типа.
Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая + .
Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.
Журналы просмотра событий Windows
Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.
Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.
В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».
Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.
Журналы Windows
В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:
Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
Ошибка : указывает на критическую проблему, которая могла привести к потере данных или функциональности.
Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
Информация : описывает правильную работу драйвера, программы или службы.
Безопасность. Журнал безопасности содержит события аудита, связанные с попытками пользователя подключиться и использованием защищенных ресурсов (создание, открытие, удаление файлов). Журнал безопасности идентифицирует события, используя два типа значков: значок ключа и значок замка.
Ключ: идентифицирует события типа успешная проверка.
Замок: идентифицирует события типа проверка не удалась.
Установка. Журнал установки содержит события, связанные с установкой приложений.
Система. В журнале системы указываются события, создаваемые системными компонентами Windows и установленными функциями, такие как драйвер. Например, если драйвер не загружается во время сеанса загрузки, это событие сохраняется в системном журнале. Также в этом журнале события классифицируются как Ошибка, Предупреждение или Информация.
Перенаправленные события. В журнале сохраняются события, произошедшие на удаленных компьютерах.
Журналы приложений и служб
В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.
Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.
Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.
Просмотр логов и событий
Когда мы выбираем журнал на левой панели средства просмотра событий Windows, на центральной панели отображается список его событий, упорядоченный в обратном хронологическом порядке.
В поле ниже показано содержимое, относящееся к выбранному событию.
Окно свойства события
Чтобы просмотреть детали одного события, мы должны использовать окно Свойства события. Чтобы открыть его, дважды щелкните левой кнопкой мыши на событии в центральной панели.
В окне «Свойства события» мы можем выбрать вкладку Общие или Подробности.
Вкладка «Общие»
Вкладка «Общие» содержит следующую информацию:
Имя журнала: указывает имя журнала, который заархивировал событие.
Источник: Указывает источник события. Может указывать название программы, системного компонента или большой программы.
Код события: это число, которое однозначно определяет тип события. Например, число 6005 – это идентификатор события, который всегда будет указывать на начало журнала событий.
Уровень: указывает уровень серьезности события. В системном журнале и в журнале приложений у нас могут быть следующие уровни серьезности (представленные символом):
Информация: указывает на успех операции, изменение приложения, создание ресурса или запуск службы.
Предупреждение: указывает на событие, которое может вызвать проблему в будущем, если не будет предпринято никаких корректирующих действий.
Ошибка: указывает на событие, которое описывает проблему, которая может повлиять на правильную функциональность системы или приложения, которое вызвало событие. События ошибок могут включать потерю данных или функциональность.
Критичное: указывает на ошибку, которая не позволяет выполнить автоматическое восстановление системы или приложения, которое вызвало событие.
Пользователь: указывает имя пользователя, вошедшего в систему, когда произошло событие.
Код операции: это 1-байтовое числовое значение, которое идентифицирует действие или точку в действии, выполняемом приложением в момент возникновения события. Используется для представления определенного действия или части действия, выполняемого программным обеспечением, но также и для процессов, основанных на действиях трассировки, таких как веб-службы, где действие представляет собой конкретный запрос, полученный веб-службой.
Дата: указывает дату и время, когда событие было записано.
Категория задачи: это классификация события, основанная на происхождении события (используется в журнале безопасности).
Ключевые слова: указывает категорию или тег, полезные для фильтрации или поиска по событиям.
Компьютер: указывает имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но это может быть имя компьютера, который переадресовал событие, или имя локального компьютера до того, как его имя было изменено.
Вкладка «Подробности»
Вкладка «Подробности» содержит дополнительную информацию о событии.
Информация разделена на два раздела (расширяется нажатием + ):
System: содержит общую информацию, общую для каждого экземпляра события, например, некоторые системные параметры, записанные при публикации экземпляра.
EventData: содержит структурированную информацию о приложении.
Получить дополнительную информацию о событиях
Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.
Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.
Выполнить действие в ответ на событие
Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.
Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.
Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.
