Как читать журнал событий Windows ?

Как читать журнал событий Windows ?

Думаю, что каждый из пользователей, который работает с компьютером, сталкивался с проблемами и ошибками. Пора вам научиться читать журнал событий Windows , который отображает сообщения приложений и самой системы: ошибки, информационные сообщения, предупреждения. Здесь содержится информация о событиях, кои система посчитала записать для администратора. Просто так, на всякий пожарный.

В нормально работающей системе пользователь сюда дорогу не знает – просто незачем. Однако при появлении ошибок (лагов) в Windows поводов заглянуть сюда появляется немало, благо отсюда есть что почерпнуть.

Где находится Журнал событий?

Самый быстрый способ попасть в него, это набрать в строке поиска после нажатия клавиши WIN слова «журналы событий». И щёлкнуть по соответствующей ссылке:

Или наберите Пуск – команда eventvwr.msc. По умолчанию, Просмотр событий откроет вкладки, в том числе со сводкой административных событий, где перечислена информация по важности для администратора. Важнейшая из них Критический тип события. Погуляйте по разделу Журналы Windows, ключевые директории Приложения и Система. Всё происходящее в системе записывается в нескольких документах. И скорее всего, вы обнаружите там несколько ошибок. Это не значит пока ровным счётом ничего. Если система стабильна, эти ошибки не критичны и не побеспокоят вас никогда. Кстати, можете присмотреться – ошибки сохраняются для программ, которых на компьютере давно уже и нет.

Игра была закрыта с помощью клавиш Alt + F4 – мама, видимо, зашла в комнату.

Теоретически, остальным программам также велено записывать важные и не очень события в Журнал, однако, на моей памяти, они эти почти не занимаются.

Читателю уже может показаться, что внимание к Журналу можно не уделять. Ан нет. Журнал поможет внимательному и думающему пользователю в случаях появления серьёзных сбоев в работе, например, при появлении BSOD или при неожиданных перезагрузках системы. Так, в Журнале легко обнаружиться «погибший» драйвер. Вам нужно лишь внимательно посмотреть на появившиеся красные значки с надписью Критический уровень и удалить указанный драйвер, а может подумать о замене устройства.

ничего страшного ещё не произошло

а здесь уже всё серьёзно: компьютер отключался

Ищем нужные события: процессы и логи результатов

К примеру, после некоторого времени работы мы обнаружили залипание мыши, пропажу некоторых папок и неработающие пути: первый признак появления сбойных секторов на диске. Для работы с ними необходимо последовательно запустить утилиту проверки состояния диска chkdsk /f, которая начнёт работу после перезагрузки, а затем проверим на целостность файловую систему самой Windows sfc /scannow. Так вот, на результаты работы как этих, так и прочих утилит можно посмотреть в том же журнале:

Так как одна из этих утилит запускается системой только перед загрузкой (для тома, который эту систему содержит), есть смысл поискать результаты по флагу Wininit (от Windows Initialisation).

Как научиться читать журнал событий windows ?

Впрочем, можно не гадать. Microsoft имеет официальную страницу поддержки по сообщениям системы. Если вас интересует конкретное событие, вы можете посетить страницу в сети. Однако, по моему мнению, очень хорошим сервисом, который поможет читать журнал событий Windows , является сервис

В России ему аналогов нет, однако для владеющих английским и просто любопытствующих я покажу как им пользоваться. Так, для взятого выше примера, на странице сервиса введите в поля код ошибки и службу, которая её вызвала:

Остаётся закинуть наши условия в поиск, щёлкнув по кнопке Search и на странице появятся результаты с объяснением возникновения ошибки. Формально, они будут ненамного подробнее объяснений, даваемых самим Журналом, однако, если вы прокрутите страницу результатов ниже, то в описании на английском увидите ссылку на своеобразный форум с готовыми решениями проблемы или причинами, с которыми уже сталкивались пользователи при возникновении одноимённой ошибки. Всё на английском. Учиться надо было… И, если честно, ваш покорный слуга дальше этого сайта редко уходит: всё нечто похожее где-то когда-то уже происходило.

Как всегда, просмотр журнала событий – это не панацея. Однако от бессмысленных гаданий пользователя может спасти, сэкономив на поиске проблемы кучу времени.

Журнал событий Windows – как очистить?

Итак, с проблемами справились, система стабильна. Тогда давайте избавимся от ненужных в Журнале записей: если вы Журнал посещали, некую захламлённость по числу записей в нём наблюдать могли.

Способов очистки существует несколько. Можно это сделать через PowerShell Windows:

Можно через консоль:

Я же предложу вам небольшой скрипт, который вы можете поместить в текстовый документ, сохранить с расширением .bat. Я свой так и назвал Очистка логов (итоговый файл запускайте с правами админа):

Дождитесь окончания работы скрипта, окно консоли само захлопнется:

Читаем журнал событий самостоятельно.

Прямо сейчас вы сможете обнаружить, например, какие службы или программы тормозят ваш компьютер во время загрузки Windows. Или мешают компьютеру побыстрее выключиться. Из строки Выполнить (WIN + R) запускаем Просмотр событий

Журналы приложений и служб – Microsoft – Windows – Diagnostics-Performance – Работает

Щёлкнем правой мышкой по параметру и выберем в меню пункт Фильтр текущего журнала

В поле Все коды событий введите код 203 (Контроль производительности при выключении):

По выбранному фильтру журнал сгруппирует те события, которые, как посчитала система, привели к задержке при завершении сеанса пользователя…

… с указанием имени службы, точного занимаемого на это времени и т.п. По необходимости вы можете свериться в сети по имени сервиса, за чем он закреплён и по желанию отключить его. Если служба появляется рандомно, беспокоиться, поверьте, оснований нет. Однако в том случае, когда оно и то же имя мелькает частенько и основательно в этом Журнале прописалось, стоит задуматься. Далее. Если предпринятые вами действия возымели результат, проверьте теперь загрузку. Код событий – 103:

Как использовать просмотр событий Windows для решения проблем с компьютером

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

• Администрирование Windows для начинающих
• Редактор реестра
• Редактор локальной групповой политики
• Работа со службами Windows
• Управление дисками
• Диспетчер задач
• Просмотр событий (эта статья)
• Планировщик заданий
• Монитор стабильности системы
• Системный монитор
• Монитор ресурсов
• Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

• В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
• По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
• В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;

Система и безопасность

далее необходимо перейти в раздел «Администрирование» ;

после кликнуть мышкой по ярлыку «Просмотр событий» .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.