Как посмотреть журнал ошибок ОС Windows 2012

Просмотр системного журнала

Если в работе Windows 2012 появляется какая-то нестабильность, или появляются ошибки запуска\установки приложений, то это может быть связано с появлениями ошибок в самой операционной системе.

Все системные ошибки и предупреждения можно найти в «Журнале системы«.

В нем сохраняется информация о событиях, записываемых системными компонентами Windows.

Для просмотра и сохранения системного журнала нужно выполнить шаги:

Открыть «Пуск«:

Открыть «Панель управления«:

В «Панели управления» выбрать «Просмотр журналов событий«

В открывшемся окне выбрать «Просмотр событий» -> «Журналы Windows» -> «Система«

Экспорт журнала

Системный журнал в полном объеме можно выгрузить путем нажатия на ссылку «Сохранить все события как. «

После нажатия ссылки «Сохранить все события как. » нужно выбрать путь и имя файла для сохраняемого журнала.

При сохранении файла возможно появление окна «Отображение сведений«.

В данном окне нужно выбрать пункт «Отображать сведения для следуюших языков: Русский«

Журналы событий Windows

Что такое журнал событий Windows?

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений. Когда возникают подобные типы событий, система Windows создает записи в журналах событий. В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами. Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей — событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий — управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году. Начиная с этой версии в любой Windows присутствуют 3 основных журнала — журнал Приложения, журнал Система и журнал Безопасность. В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Что такое служба «Журнал событий Windows»?

Служба (сервис) «Журнал событий Windows» — это специальная служба (сервис) для управления событиями и журналами событий. Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п. По умолчанию, после установки системы Windows служба «Журнал событий Windows» включена и запускается автоматически. Не стоит останавливать или выключать эту службу. Остановка службы «Журнал событий Windows» может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате. Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой «Журнал событий Windows» и их невозможно непосредственно открыть на живой, работающей системе. Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру. По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге
«C:\Windows\System32\winevt\Logs\»
Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги:

Запустите приложение Просмотр событий.

Нажмите «Открыть сохраненный журнал» в панели «Действия», расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку «Открыть» и его содержимое отобразиться в области просмотра событий в приложении.

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем «Просмотр событий». Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой. Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения. Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях возникающих при работе SQL-сервера, таких как «недостаточно памяти», «сбой при резервном копировании базы данных» и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений. Приложения идентифицируются как разные «источники» в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников. Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами. Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий. Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows. Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником. Журнал событий Система — важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д. Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен. Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Подробнее про аудит событий безопасности можно прочесть тут.
Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события. Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

Использование сборщика журналов Windows Server Essentials Use the Windows Server Essentials Log Collector

Область применения: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials Applies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

При устранении неполадок, связанных с компьютером, у представителя службы поддержки пользователей Майкрософт могут попросить вас собрать журналы с серверов, компьютеров в сети или с помощью сборщика журналов Windows Server Essentials. When you are troubleshooting computer issues, a representative from Microsoft Customer Service and Support may ask you to gather logs from servers, computers on the network, or both by using the Windows Server Essentials Log Collector.

Сборщик журналов копирует журналы программ, событий и прочую информацию среды в единый ZIP-файл по указанному адресу. The Log Collector copies program logs, event reviewer logs, and related environment information into a single zip file at a specified location. Сборщик журналов можно запускать непосредственно c сервера или любого компьютер сети, а также через удаленное подключение к компьютерам. You can run the Log Collector directly from the server or any computer on the network, or by using a remote connection to the computers.

Сборщик журналов не проводит анализ сетевых проблем и не вносит изменения в настройки серверов или компьютеров сети. The Log Collector does not analyze network issues or make changes to any server or computer on the network. Дополнительную информацию об устранении сетевых неполадок см. в справочной документации по вашему серверу. For information about how to troubleshoot network issues, see the Help documentation for your server product. В этом разделе Компьютеры в сети, отличные от сервера, называются сетевыми компьютерами. In this guide, the computers on your network, other than your server, are called network computers.

Чтобы установить и запустить сборщик журналов, выполните шаги, описанные в следующих разделах. To install and run the Log Collector, perform the steps in the following topics:

Сбор сведений о среде Environment information collected

Для каждого компьютера сети или сервера, указанного вами, сборщик журналов собирает следующие сведения о среде и помещает их в файл журнала коллекции: For each network computer or server that you specify, the Log Collector gathers the following environment information and places it into the log collection file.

Версия операционной системы Operating system version

Изготовитель и описание ЦП CPU manufacturer and description

Объем памяти и ее выделение Memory amount and allocation

Сетевые адаптеры, связанные с TCP/IP Network adapters that are bound to TCP/IP

Языковой стандарт Locale

Конфигурация хранилища Storage configuration

Сведения о файле узла Host file information

Журналы событий, включая события приложений, системные события, события Windows Server и Media Center Event Logs including Application, System, Windows Server and Media Center

Сообщения диспетчера управления службами Service Control Manager messages

События перезагрузки и Центра обновления Windows Reboot events and Windows Update events

Системные ошибки и ошибки приложений System Errors and Application Errors

Собираемые сведения о службах Services information collected

Службы сервера Server services

Служба резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Service

Поставщик службы резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Provider Service

Поставщик устройств Windows Server Windows Server Devices Provider

Управление доменными именами Windows Server Windows Server Domain Name Management

Реестр поставщика службы Windows Server Windows Server Service Provider Registry

Поставщик параметров Windows Server Windows Server Settings Provider

Служба UPnP-устройств Windows Server Windows Server UPnP Device Service

Поставщик средств удаленного администрирования Windows Server Windows Server Remote Web Access Administration Provider

Служба работоспособности Windows Server Windows Server Health Service

Служба хранения данных Windows Server Windows Server Storage Service

Служба SQM Windows Server Windows Server SQM Service

Службы сетевых компьютеров Network computer services

Поставщик службы резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Provider Service

Служба работоспособности Windows Server Windows Server Health Service

Реестр поставщика службы Windows Server Windows Server Service Provider Registry

Служба SQM Windows Server Windows Server SQM Service

Сбор сведений из журналов и реестров Logs and registry information collected

Для каждого указанного компьютера сети или сервера сборщик журналов собирает следующие сведения из журналов и реестра от сервера и компьютеров сети: For each network computer or server specified, the Log Collector gathers log and registry information from the server and network computer as follows.

Сведения из журналов и реестра сервера Server logs and registry information

Журналы серверных продуктов, с \Микрософт\виндовс сервер\логс Server product logs, from

Запланированные задачи Scheduled tasks

Журналы API установки Setup API logs

Журналы центра обновления Windows Windows Update logs

Файл оповещений о работоспособности Health Alerts file

Файл сведений об устройствах Devices Info file

Файл журнала архивации сервера Server Backup Log file

Файл журнала Panther Panther Log file

Разделы реестра из Registry keys, from

\\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server \

Сведения из журналов и реестра компьютеров сети Network computer logs and registry information

Журналы продуктов для сетевого компьютера в \Микрософт\виндовс сервер\логс Network computer product logs at

Файл оповещений о работоспособности в \Микрософт\виндовс сервер\дата Health Alerts file at

Журналы центра обновления Windows Windows Update logs

Журналы API установки Setup API logs

Сведения о запланированных задачах Scheduled tasks info

Разделы реестра от \ \ HKEY_LOCAL_MACHINE \Софтваре\микрософт\виндовс Server Registry keys from \\HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Server \

Журналы компьютеров, которые работают не под управлением ОС Windows Logs for computers that do not run a version of the Windows operating system

Сборщик журналов не собирает файлы журналов с компьютеров, которые работают не под управлением ОС Windows. The Log Collector does not gather log files from computers that do not run a version of the Windows operating system. При использовании компьютеров, работающих под управлением ОС, отличной от Windows, вручную скопируйте следующие файлы журналов в ту же папку, где хранятся файлы сборщика журналов: For non-Windows computers, manually copy the following log files to the same location where you are storing the Log Collector files.

Library/Logs/Windows Server.log Library/Logs/Windows Server.log

Библиотека/журналы/Крашрепортер/панель запуска — (копирование всех файлов панели запуска- . Crash) Library/Logs/CrashReporter/LaunchPad- (copy all of the LaunchPad- .crash files)

Библиотека/журналы/Диагностикрепортс/панель запуска — (копирование всех файлов панели запуска- . Crash) Library/Logs/DiagnosticReports/LaunchPad- (copy all of the LaunchPad- .crash files)