Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;

Система и безопасность

далее необходимо перейти в раздел «Администрирование» ;

после кликнуть мышкой по ярлыку «Просмотр событий» .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.

Журнал защиты

На странице Журнал защиты в приложении для обеспечения безопасности Windows вы можете перейти к действиям по просмотру антивирусной программы защитника Майкрософт от вашего имени, потенциально нежелательных приложений , которые были удалены, или о том, что отключены ключевые службы.

Примечание: История защиты сохраняет события только в течение двух недель, после чего они исчезнут с этой страницы.

События отображаются как серии карточек в истории защиты. Если вам нужно ваше внимание на карточке, вы увидите один из двух цветных значков на значке карточки.

Красный — это серьезный элемент, который требует немедленного внимания.

Желтый — этот элемент не является срочным, но его следует проверять по возможности.

Щелкнув карточку, вы можете развернуть ее и получить дополнительные сведения. Ниже приведены некоторые наиболее распространенные записи, которые могут быть видны.

Оповещения о вредоносных программах

Если антивирусная программа Microsoft Defender обнаруживает часть вредоносных программ, она будет записана в журнал защиты.

Обнаружена угроза безопасности: требуется действие

Это говорит о том, что в антивирусной программе Microsoft Defender обнаружена возможная угроза, и вам нужно принять решение о том, как ее обрабатывать. Если выбрать раскрывающийся список действия в правом нижнем углу, вы можете подать ему возможность помещать его в карантин, а также в случае уверенности в том, что этот элемент был ложным, как угроза, которую можно Разрешить на устройстве.

Внимание: Если вы не уверены в том, что элемент является надежным или вы не знаете, как это сделать, лучше всего выбрать пункт Карантин. Если выбрать Разрешить на устройстве , файл будет продолжен и, если это действительно угроза, ваши данные. личные данные или устройство теперь могут быть подвержены риску.

Если вы выберете вариант Разрешить и позже хотите отменить это действие, перейдите на страницу Разрешенные угрозы и вы можете удалить ее из списка разрешенных.

Угроза в карантине

Это свидетельствует о том, что угроза заблокирована и помещена в карантин. Оно еще не удалено, но не может представлять опасность для ваших данных или устройств. Существует два действия , которые можно выполнить.

Удаление — удаляет угрозу с устройства.

Restore (восстановление ) — этот файл снова помещается на устройство, и защитник снова обнаружит его как угрозу и создаст новую угрозу — элемент требуется действие в истории защиты. Если вы уверены, что idem безопасно, вам нужно будет перейти на него и выбрать вариант Разрешить на устройстве .

Угроза заблокирована

Это означает, что защитник заблокировал и удалил угрозу на вашем устройстве. На вашем веб-этапе никаких действий не требуется, но вы можете решить, как она достигают вашего компьютера, чтобы снизить риск повторения ошибки. Наиболее распространенные способы получения угрозы включают в себя небезопасное вложение в сообщение электронной почты, которое можно загрузить с небезопасного веб-сайта или с помощью зараженного устройства USB Storage.

Если вы считаете, что это «ложный», и что файл безопасен, вы можете выбрать действия и нажать кнопку Разрешить. Эта угроза уже удалена, поэтому она доступна только при следующем просмотре этого файла. Если вы хотите использовать его, вам потребуется скачать файл заново.

Исправление не завершено

Это говорит о том, что антивирусная программа Microsoft Defender выполнила шаги по устранению угрозы, но не может успешно завершить эту чистку. Выберите карточку, чтобы развернуть ее, и просмотрите дополнительные действия, которые необходимо выполнить.

Потенциально нежелательные приложения (к)

Нежелательные приложения — это категория программного обеспечения, которая может вызвать медленное выполнение вашего компьютера, отобразить неожиданные баннеры или, в худшем случае, установить другое программное обеспечение, которое может быть более опасным или ненавязчивым. Она не передается на уровень вредоносных программ, но она по-прежнему делает все, что вы, возможно, не сделаете.

Если вы хотите убедиться, что для вашего устройства включена функция блокировки к, ознакомьтесь со статьей защита компьютера от потенциально нежелательных приложений.

Это приложение заблокировано

SmartScreen защитника Майкрософт может блокировать потенциально нежелательные приложения до их установки, и если это случится, вы увидите в журнале защиты событие «заблокировано».

Если вы считаете, что блок был ошибочным и вы хотите разрешить выполнение этого файла, вы можете выбрать действия, а затем Разрешить. На этом этапе вам потребуется загрузить файл, чтобы использовать его.

Если вы выберете вариант Разрешить и позже хотите отменить это действие, перейдите на страницу Разрешенные угрозы и вы можете удалить ее из списка разрешенных.

Важная служба отключена

Журнал защиты также может уведомлять вас о том, что при отключении важной службы, например SmartScreen для Microsoft Edge. Выберите карточку для этого оповещения и в разделе действия , на которые можно включить эту функцию.

Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs

Область применения: Applies to:

• Windows 10 версии 1607 и выше Windows 10, version 1607 and later
• Windows 10 Mobile (версия 1607 и выше) Windows 10 Mobile, version 1607 and later

Windows Information Protection (WIP) создает события аудита в следующих случаях: Windows Information Protection (WIP) creates audit events in the following situations:

Когда сотрудник изменяет значение параметра «Владение файлом» с Рабочий на Личный. If an employee changes the File ownership for a file from Work to Personal.

Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу If data is marked as Work, but shared to a personal app or webpage. (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу). For example, through copying and pasting, dragging and dropping, sharing a contact, uploading to a personal webpage, or if the user grants a personal app provides temporary access to a work file.

Когда приложение имеет пользовательские события аудита. If an app has custom audit events.

Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)

Вы можете собирать журналы аудита WIP с устройств сотрудников, следуя указаниям, предоставленным в документации к поставщику служб конфигурации отчетов (CSP). Collect the WIP audit logs from your employee’s devices by following the guidance provided by the Reporting configuration service provider (CSP) documentation. Этот раздел содержит сведения о фактических событиях аудита. This topic provides info about the actual audit events.

Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML. The Data element in the response includes the requested audit logs in an XML-encoded format.

Элемент «Пользователь» и его атрибуты User element and attributes

В данной таблице содержатся все доступные атрибуты для элемента Пользователь. This table includes all available attributes for the User element.

Атрибут Attribute	Тип значения Value type	Описание Description
UserID UserID	Строка String	Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите. The security identifier (SID) of the user corresponding to this audit report.
EnterpriseID EnterpriseID	Строка String	Идентификатор предприятия, соответствующий данному отчету об аудите. The enterprise ID corresponding to this audit report.

Элемент «Журнал» и его атрибуты Log element and attributes

В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. This table includes all available attributes/elements for the Log element. Ответ может содержать ноль (0) или несколько элементов Журнал. The response can contain zero (0) or more Log elements.

Атрибут/элемент Attribute/Element	Тип значения Value type	Описание Description
ProviderType ProviderType	Строка String	Всегда EDPAudit. This is always EDPAudit.
LogType LogType	Строка String	Включает: Includes: DataCopied. DataCopied. Рабочие данные были скопированы или переданы в личное расположение. Work data is copied or shared to a personal location. ProtectionRemoved. ProtectionRemoved. Защита WIP удалена из файла, определенного как рабочий. WIP protection is removed from a Work-defined file. ApplicationGenerated. ApplicationGenerated. Настраиваемый журнал аудита, предоставленный приложением. A custom audit log provided by an app.
TimeStamp TimeStamp	Целое число Int	Использует структуру FILETIME для обозначения времени события. Uses the FILETIME structure to represent the time that the event happened.
Политика Policy	Строка String	Способ передачи рабочих данных в личное расположение: How the work data was shared to the personal location: CopyPaste. CopyPaste. Рабочие данные были вставлены в личное расположение или приложение. Work data was pasted into a personal location or app. ProtectionRemoved. ProtectionRemoved. Статус рабочих данных был изменен на незащищенный. Work data was changed to be unprotected. DragDrop. DragDrop. Рабочие данные были переданы в личное расположение или приложение путем перетаскивания. Work data was dropped into a personal location or app. Share. Share. Личному расположению или приложению был предоставлен доступ к рабочим данным. Work data was shared with a personal location or app. NULL. NULL. Любой другой способ, с помощью которого рабочие данные могли стать личными Any other way work data could be made personal beyond the options above. (например, при открытии рабочего файла в личном приложении (что также известно как временный доступ)). For example, when a work file is opened using a personal application (also known as, temporary access).
Обоснование Justification	Строка String	Не реализовано. Not implemented. Это значение всегда будет пустым или NULL. This will always be either blank or NULL. Примечание Note Сохраните для будущего использования при сборе пользовательских обоснований изменения статуса файлов с Рабочий на Личный. Reserved for future use to collect the user justification for changing from Work to Personal.
Объект Object	Строка String	Описание рабочих данных, к которым был осуществлен личный доступ. A description of the shared work data. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу. For example, if an employee opens a work file by using a personal app, this would be the file path.
DataInfo DataInfo	Строка String	Любая дополнительная информация о том, каким образом был изменен рабочий файл: Any additional info about how the work file changed: Путь к файлу. A file path. Если сотрудник разместил рабочий файл на личном веб-сайте с помощью Microsoft Edge или Internet Explorer, здесь будет указан путь к файлу. If an employee uploads a work file to a personal website by using Microsoft Edge or Internet Explorer, the file path is included here. Типы данных буфера обмена. Clipboard data types. Если сотрудник вставил рабочие данные в личное приложение, здесь будет приведен список типов данных буфера обмена, предоставленных рабочем приложением. If an employee pastes work data into a personal app, the list of clipboard data types provided by the work app are included here. Дополнительные сведения см. в разделе Примеры данной статьи. For more info, see the Examples section of this topic.
Действие Action	Целое число Int	Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая: Provides info about what happened when the work data was shared to personal, including: 1. Расшифрование файла. 1. File decrypt. 2. Копирование в расположение. 2. Copy to location. 3. Отправка получателю. 3. Send to recipient. 4. Другое. 4. Other.
FilePath FilePath	Строка String	Путь к файлу, указанному в событии аудита The file path to the file specified in the audit event. (например, расположение файла, расшифрованного сотрудником или размещенного на личном веб-сайте). For example, the location of a file that’s been decrypted by an employee or uploaded to a personal website.
SourceApplicationName SourceApplicationName	Строка String	Исходное приложение или веб-сайт. The source app or website. Для исходного приложения это удостоверение AppLocker. For the source app, this is the AppLocker identity. Для исходного веб-сайта это имя узла. For the source website, this is the hostname.
SourceName SourceName	Строка String	Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания источника рабочих данных. It’s intended to describe the source of the work data.
DestinationEnterpriseID DestinationEnterpriseID	Строка String	Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные. The enterprise ID value for the app or website where the employee is sharing the data. NULL, Личный или пустое значение означают, что корпоративный идентификатор отсутствует, поспольку данные были переданы в личное расположение. NULL, Personal, or blank means there’s no enterprise ID because the work data was shared to a personal location. Поскольку в настоящее время мы не поддерживаем множественную регистрацию, всегда будет отображаться одно из этих значений. Because we don’t currently support multiple enrollments, you’ll always see one of these values.
DestinationApplicationName DestinationApplicationName	Строка String	Целевое приложение или веб-сайт. The destination app or website. Для целевого приложения это удостоверение AppLocker. For the destination app, this is the AppLocker identity. Для целевого веб-сайта это имя узла. For the destination website, this is the hostname.
DestinationName DestinationName	Строка String	Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания назначения передачи рабочих данных. It’s intended to describe the destination of the work data.
Приложение Application	Строка String	Удостоверение AppLocker приложения, в котором произошло событие аудита. The AppLocker identity for the app where the audit event happened.

Примеры Examples

Вот несколько примеров ответов от поставщика службы конфигурации отчетов. Here are a few examples of responses from the Reporting CSP.

Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal

1 1 0 SyncHdr 200 2 1 2 Replace 200 3 1 4 Get 200 4 1 4 ./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs