Журнал событий и действий windows на компьютере event viewer: секреты и тонкости

При работе за компьютером происходят различные отклонения от нормы, что на профессиональном сленге означает сбои и ошибки. Некоторые из них не критичны, другие наоборот, негативно сказываются на производительности ПК. А в случае, когда происходит критическая ошибка, пользователь с большой вероятностью может лишиться нужной информации, которую он хранит на устройстве. Корпорация Майкрософт добавила в комплект предустановленных программ в ОС журнал событий Windows. Приложение выполняет диагностику системы, указывает на ошибки и предлагает рациональные способы решения проблемы. 90% пользователей даже не имеют представления о том, что подобная программа установлена на компьютере, а, тем более что она может быть полезной в трудных ситуациях.

Называется инструмент Event Viewer, а дословный перевод звучит как: просмотр событий

Windows event viewer: начало работы

Для ознакомления и последующей работы приложение нужно включить.

Просмотр событий windows 7 вызывается нажатием двух кнопок: Win+R, после откроется утилита «Выполнить», в которой нужно прописать командное действие «eventvwr.msc» и запустить программу нажатием клавиши ввода

Описанный вариант запуска не является единственным. Открыть просмотр событий windows последних серий можно через «Панель управления», где войти в «Администрирование» и нажать на графу «Просмотр событий».

При использовании восьмой серии ОС запуск делается через щелчок ПКМ по «Панель управления» а там уже найти необходимую графу. Если открывать горячими клавишами, то используется Win+X.

Знакомство с программой microsoft event viewer

После запуска event viewer windows на мониторе вплывет окно программы.

• в первом разделе с левой стороны находится собственно меню программы, оно имеет древовидную структуру, что очень удобно при использовании. Первая графа отвечает за настройки пользователя, то есть, здесь можно установить параметр, нужный вам;
• центральный раздел напрямую зависит от левого, поэтому для отображения информации в нем нужно щелкнуть мышкой по одному из пунктов первого раздела, если выбрать одно из событий, представленной в средней части, откроется окно с детальной инфой относительно его;
• раздел с правой стороны – это ряд ссылок, посредством которых происходит распределение событий в соответствии с заданными параметрами.

Может показаться странным, что настольное информативное приложение по достоинству не оценено пользователями, но это действительно так. Юзеру проще искать, скачивать и устанавливать сторонние утилиты для работы с системой, нежели использовать предустановленную программу.

Информация о событиях: event viewer log

В следующей части нужно подробно остановиться на дополнительном окне информации о событии, которое открывается при нажатии на графу с ним в среднем разделе. Из этого же окна имеется ссылка в сеть, где можно почерпнуть более детальную информации о событии, а в некоторых случаях даже найти верное решение. В принципе, опция достойна внимания, но не всегда пользователю нужно понимание того, что происходит. Кроме этого есть еще ряд деталей, которые стоит расшифровать:

1. Имя журнала – содержит сведения о файле журнала, в который выполнилось сохранение данных о событии;
2. Источник – указывает элемент, который заявил о сбое;
3. Код события – предоставляется для поиска сведений об ошибке в интернете;
4. Код операции – непонятная графа, постоянно показывающая одно слово «Сведения» в любой ситуации;
5. Пользователь и компьютер – указывает учетку и комп, на которой был сбой.

Как использовать просмотр событий Windows для решения проблем с компьютером

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

• Администрирование Windows для начинающих
• Редактор реестра
• Редактор локальной групповой политики
• Работа со службами Windows
• Управление дисками
• Диспетчер задач
• Просмотр событий (эта статья)
• Планировщик заданий
• Монитор стабильности системы
• Системный монитор
• Монитор ресурсов
• Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

• В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
• По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
• В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

System Events Класс

Определение

Предоставляет доступ к уведомлениям о системных событиях. Provides access to system event notifications. Этот класс не наследуется. This class cannot be inherited.

Примеры

Этот раздел содержит два примера. This section contains two examples. В первом примере показано, как использовать системные события в обычном приложении, а во втором примере показано, как использовать системные события в службе Windows. The first example shows how to use system events in an ordinary application, and the second example shows how to use system events in a Windows service.

Пример 1 Example 1

Следующий пример кода регистрирует интерес в некоторых системных событиях, а затем ожидает возникновения какого-либо из этих событий. The following code example registers interest in some system events and then waits for any of those events to occur. Отображаемые выходные данные происходят, если пользователь изменяет разрешение экрана. The output shown occurs if the user changes the display resolution.

Пример 2 Example 2

В следующем примере кода демонстрируется очень простая служба Windows, которая обрабатывает TimeChanged UserPreferenceChanged события и. The following code example demonstrates a very simple Windows service that handles the TimeChanged and UserPreferenceChanged events. Пример включает службу SimpleService , форму с именем HiddenForm и установщик. The example includes a service named SimpleService , a form named HiddenForm , and an installer. Форма предоставляет цикл обработки сообщений, необходимый системным событиям. The form provides the message loop that is required by system events.

Службы не имеют циклов сообщений, если только им не разрешено взаимодействовать с рабочим столом. Services do not have message loops, unless they are allowed to interact with the desktop. Если цикл обработки сообщений не предоставлен скрытой формой, как в этом примере, служба должна запускаться под локальной системной учетной записью, а для включения взаимодействия с рабочим столом требуется вмешательство вручную. If the message loop is not provided by a hidden form, as in this example, the service must be run under the local system account, and manual intervention is required to enable interaction with the desktop. То есть администратор должен вручную установить флажок Разрешить взаимодействие со службой «Рабочий стол » на вкладке » Вход » диалогового окна «Свойства службы». That is, the administrator must manually check the Allow service to interact with desktop check box on the Log On tab of the service properties dialog box. В этом случае цикл обработки сообщений предоставляется автоматически. In that case, a message loop is automatically provided. Этот параметр доступен, только если служба запущена под локальной системной учетной записью. This option is available only when the service is run under the local system account. Взаимодействие с рабочим столом не может быть включено программным способом. Interaction with the desktop cannot be enabled programmatically.

Служба в этом примере запускает поток, который запускает экземпляр HiddenForm . The service in this example starts a thread that runs an instance of HiddenForm . События присоединяются и обрабатываются в форме. The events are hooked up and handled in the form. События должны быть подключены к событию Load формы, чтобы гарантировать, что форма полностью загружена. в противном случае события не будут вызываться. The events must be hooked up in the load event of the form, to make sure that the form is completely loaded first; otherwise the events will not be raised.

Пример содержит весь необходимый код, включая код инициализации формы, обычно создаваемый Visual Studio Designers. The example provides all the necessary code, including the form initialization code typically generated by Visual Studio designers. При разработке службы в Visual Studio можно опустить второй разделяемый класс и использовать окно Свойства , чтобы установить высоту и ширину скрытой формы в ноль, стиль границы FormBorderStyle.None и состояние окна равным FormWindowState.Minimized . If you are developing your service in Visual Studio, you can omit the second partial class and use the Properties window to set the height and width of the hidden form to zero, the border style to FormBorderStyle.None, and the window state to FormWindowState.Minimized.

Чтобы запустить пример, выполните следующие действия. To run the example:

Скомпилируйте код из командной строки. Compile the code from the command line. Имя, используемое для исходного файла, не имеет значения. The name that you use for the source file is not important.

Установите службу из командной строки с помощью служебной программы Installutil.exe (установщик) . Install the service from the command line using the Installutil.exe (Installer Tool) utility. Например, InstallUtil example.exe Если имя исходного файла — example.cs или example.vb . For example, InstallUtil example.exe if the source file name is example.cs or example.vb . Для установки службы требуются права администратора. You must be an administrator to install the service.

Используйте консоль служб для запуска службы. Use the Services console to start the service.

Измените системное время или измените параметры пользователя, например свойства мыши. Change the system time, or change user preferences, such as mouse properties.

Просмотрите сообщения в категории » приложение » Просмотр событий. View the messages in the Application category of Event Viewer.

Используйте консоль служб для завершения работы службы. Use the Services console to stop the service.

Удалите службу из командной строки с помощью /u параметра. Uninstall the service from the command line by using the /u option. Например, InstallUtil /u example.exe . For example, InstallUtil /u example.exe .

Комментарии

SystemEventsКласс предоставляет возможность реагирования на определенные типы системных событий. The SystemEvents class provides the ability to respond to specific types of system events.

При возникновении системного события все делегаты, прикрепленные к событию, вызываются с помощью потока, отслеживающего системные события. When a system event is raised, any delegates attached to the event are called using the thread that monitors for system events. Таким образом, следует делать любые вызовы из обработчиков событий, которые являются потокобезопасными. Therefore, you should make any calls from your event handlers thread-safe. Если необходимо вызвать системное событие, которое не представлено в качестве члена этого класса, можно использовать InvokeOnEventsThread метод. If you need to call a system event that is not exposed as a member of this class, you can use the InvokeOnEventsThread method.

Не следует выполнять длительную обработку потока, вызывающего обработчик системных событий, поскольку это может препятствовать функционированию других приложений. Do not perform time-consuming processing on the thread that raises a system event handler because it might prevent other applications from functioning.

Некоторые системные события могут не возникать в Windows Vista. Some system events might not be raised on Windows Vista. Убедитесь, что приложение работает должным образом в Windows Vista. Be sure to verify that your application works as expected on Windows Vista.

Методы

Создает новый таймер окна, связанный с окном системных событий. Creates a new window timer associated with the system events window.

Определяет, равен ли указанный объект текущему объекту. Determines whether the specified object is equal to the current object.

(Унаследовано от Object) GetHashCode()

Служит хэш-функцией по умолчанию. Serves as the default hash function.

(Унаследовано от Object) GetType()

Возвращает объект Type для текущего экземпляра. Gets the Type of the current instance.

(Унаследовано от Object) InvokeOnEventsThread(Delegate)

Вызывает заданный делегат, используя поток, прослушивающий системные события. Invokes the specified delegate using the thread that listens for system events.

Завершает работу таймера, заданного идентификатором. Terminates the timer specified by the given id.

Создает неполную копию текущего объекта Object. Creates a shallow copy of the current Object.

(Унаследовано от Object) ToString()

Возвращает строку, представляющую текущий объект. Returns a string that represents the current object.

(Унаследовано от Object)

События

Происходит, когда пользователь изменяет параметры дисплея. Occurs when the user changes the display settings.

Происходит при изменении параметров дисплея. Occurs when the display settings are changing.

Происходит перед завершением потока, прослушивающего системные события. Occurs before the thread that listens for system events is terminated.

Происходит, когда пользователь добавляет шрифты в систему или удаляет шрифты из системы. Occurs when the user adds fonts to or removes fonts from the system.

Происходит при недостатке оперативной памяти в системе. Occurs when the system is running out of available RAM.

Происходит, когда пользователь переходит к приложению, которое использует другую палитру. Occurs when the user switches to an application that uses a different palette.

Происходит, когда пользователь приостанавливает или возобновляет работу системы. Occurs when the user suspends or resumes the system.

Происходит, когда пользователь выходит из системы или завершает ее работу. Occurs when the user is logging off or shutting down the system.

Происходит, когда пользователь пытается выйти из системы или завершить ее работу. Occurs when the user is trying to log off or shut down the system.

Происходит после смены текущего вошедшего в систему пользователя. Occurs when the currently logged-in user has changed.

Происходит, когда пользователь изменяет время системных часов. Occurs when the user changes the time on the system clock.

Происходит, когда заканчивается интервал таймера Windows. Occurs when a windows timer interval has expired.

Происходит после изменения пользовательских параметров. Occurs when a user preference has changed.

Происходит при изменении пользовательских параметров. Occurs when a user preference is changing.