Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.

3 способа проверить логи событий на удаленном компьютере

При поддержке блога про гаджеты и usb мышки 2USB.ru и интернет-магазина дизайнерских флешек shop.2usb.ru

Существует три способа проверить логи событий на удаленном компьютере:

Использование оснастки Eventvwr.msc

Первый способ заключается в использовании оснастки Просмотр событий, запустив которую можно набрав Eventvwr.msc в командной строке, а затем выполнив подключение к удаленному компьютеру.

Использование EventQuery.VBS

Операционные системы Windows (Windows XP и более поздние) включают встроенное средство командной строки позволяющее проверить логи событий на удаленных системах. За более подробной информацией по сценарию EventyQuery.VBS перейдите по адресу /technet.microsoft.com/en-us/library/bb490900.aspx

Использование PsLogList.exe

Компания Sysinternals (теперь Microsoft Sysinternals) разработало утилиту PsLogList. С помощью данной утилиты можно проверять логи событий или сохранять их в текстовый файл. За более подробной информацией по утилите и возможным в ней ключам перейдите по ссылке technet.microsoft.com/en-us/sysinternals/bb897544.aspx

Конечно это не все возможные способы получения логов событий, однако это одни из основных способов, которые к тому же являются либо встроенными в операционную систему, либо бесплатными.

Полезная информация

Если у вас возникло вполне понятное желание не напрягаться во время переезда, наймите профессиональных грузчиков с собственным транспортом. Да, это не бесплатно, но оно того стоит.

Блог системного администратора Windows/Linux/FreeBSD

Просмотр логов Windows на удаленном компьютере с помощью Powershell

Для просмотра логов Windows можно использовать команды Get-WinEvent и Get-EventLog

Get-EventLog получает список журналов или событий в заданном журнале на локальном или удалённом компьютере. Указывая нужные параметры для Get-EventLog, можно с лёгкостью искать искомые события по значениям их свойств. Get-EventLog возвращает события, соответствующие всем указанным значениям свойств. Командлет Get-EventLog работает только со стандартными классическими журналами событий Windows. Если нужно искать по остальным событиям из журналов Windows, используйте командлет Get-WinEvent.

Представим, что вам нужна основная информация о журналах событий на вашем компьютере. В этом случае убедитесь, что вы включили параметр list при вызове Get-EventLog:

Если вам нужна только информация о конкретном журнале событий, используйте командлет Where-Object, чтобы ограничить извлечение данных конкретным журналом событий:

Эта команда извлекает все события в журнале событий системы:

После выполнения команды выше на экран будет выведено слишком много данных. Используйте параметр -Newest и верните только нужное количество последних событий, записанных в журнале. Например, эта команда извлекает последние 10 событий, записанные в журнал событий системы:

Вот данные, которые вы получите:

Чтобы получить более подробную информацию, просто добавьте командлет Format-List:

Полученная информация будет уже такой:

Вы также можете передавать данные через командлет Where-Object для возврата подмножества событий. Например, эта команда извлекает только те события в журнале событий Windows PowerShell, у которых значение EventID равно 403:

Вот небольшая команда, которая извлекает все события в журнале событий Windows PowerShell, а затем использует командлет Group-Object для группировки этих событий с помощью EventID. Другими словами, команда подсчитывает общее количество событий для каждого идентификатора (например, произошло два события с EventID 300, произошло шесть событий с событием EventID 400 и т. Д.). Затем эти данные передаются через командлет Sort-Object для предоставления результатов, отсортированных по EventID. Вот команда:

Примеры использования Get-Eventlog:

Поиск событий по ID после 3 июля:

Поиск в логах нескольких серверов:

Возвращает все события журнала Windows PowerShell, в сообщениях которых содержится слово «failed»:

Поиск событий, статус которых «Ошибка»:

Командлет Get-WinEvent берёт данные из журналов событий, а именно — стандартные журналы событий, события приложений и системы. Если вызвать команду Get-WinEvent без параметров, то будут показаны все события из журналов событий компьютера. Для прерывания выполнения команды нажмите сочетание клавиш CTRL+C. Стоит отметить то, что Get-WinEvent работает только в Windows Vista, Windows Server 2008 R2 и старше. Также потребуется установленная платформа Microsoft .NET Framework 3.5 или новее.

Примеры использования Get-Winevent:

Поиск в логе System по ID 6005:

Поиск событий за последние 40 дней:

Поиск событий за последние 5 дней для Outlook:

Поиск в логах нескольких серверов:

Просмотр событий на удаленном компьютере

Просмотр событий — это компонент операционной системы Windows, который позволяет просматривать список событий (логи) на компьютере. По умолчанию, при открытии «Просмотра событий», отображаются события локального компьютера, однако, есть возможность просмотреть события любого другого компьютера по сети.

Подключение к другому компьютеру

После запуска «Просмотра событий«, нужно в левой части окна найти раздел «Просмотр событий (локальный)«.

После этого, по нему нужно нажать правой кнопкой мыши, и выбрать пункт «Подключится к другому компьютеру. «.

Откроется окошко, в котором нужно ввести имя удаленного компьютера. Если для подключения к другому компьютеру нужно использовать имя пользователя и пароль, отличающиеся от тех, из под которых выполняются данные действия, нужно поставить галочку «Подключиться как другой пользователь«. После ввода всех необходимых данных, нужно нажать кнопку «ОК».

После успешного подключения, наименование раздела сменит имя на «Просмотр событий (ИМЯ УДАЛЕННОГО КОМПЬЮТЕРА)«.

Как использовать просмотр событий Windows для решения проблем с компьютером

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

• Администрирование Windows для начинающих
• Редактор реестра
• Редактор локальной групповой политики
• Работа со службами Windows
• Управление дисками
• Диспетчер задач
• Просмотр событий (эта статья)
• Планировщик заданий
• Монитор стабильности системы
• Системный монитор
• Монитор ресурсов
• Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

• В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
• По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
• В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

Работа с журналами событий удаленного компьютера

С помощью оснастки «Просмотр событий» или средства командной строки wevtutil можно управлять журналами событий на удаленном компьютере.

Чтобы использовать оснастку «Просмотр событий» для управления журналами событий на удаленном компьютере

Откройте оснастку «Просмотр событий».

В дереве консоли выберите корневой узел, например Просмотр событий (локальных).

В меню Действие выберите команду Подключиться к другому компьютеру.

В поле другим компьютером введите имя или IP-адрес удаленного компьютера.

(Необязательно) Установите флажок Подключиться в качестве другого пользователя, нажмите кнопку Задать пользователя, введите Пользователь и Пароль, а затем нажмите кнопку ОК.

Нажмите кнопку ОК.

Чтобы использовать средство командной строки wevtutil для управления журналами событий на удаленном компьютере

Чтобы открыть окно командной строки, нажмите кнопку Пуск, введите cmd в поле Начать поиск и нажмите клавишу ВВОД.

В окне командной строки введите следующую команду:

(Необязательно) Чтобы управлять журналами событий на удаленном компьютере в качестве другого пользователя, введите в окне командной строки следующую команду:

Дополнительная информация

• В настройках брандмауэра Windows на удаленном компьютере, к которому требуется подключиться, необходимо включить исключение Удаленное управление журналом событий.

Чтобы запустить оснастку «Просмотр событий» и подключиться к удаленному компьютеру, в окне командной строки можно ввести команду eventvwr . Можно также включить параметры, позволяющие программе «Просмотр событий» начать работу с указанным настраиваемым представлением или выбранным журналом. Для получения дополнительных сведений о команде eventvwr введите в командной строке eventvwr /?. С помощью средства командной строки eventvwr можно запускать оснастку «Просмотр событий» и подключаться к компьютерам под управлением предыдущих версий Windows, но все заданные параметры будут игнорироваться.

При подключении к удаленному компьютеру в папке «Настраиваемые представления» оснастки «Просмотр событий» отображаются настраиваемые представления, хранящиеся на локальном компьютере. При выборе одного из локальных настраиваемых представлений соответствующий запрос будет выполнен для журналов событий на удаленном компьютере.

При подключении к удаленному компьютеру в оснастке «Просмотр событий» отображаются внешние журналы, ссылки на которые использовались на локальном компьютере.

При попытке во время подключения к удаленному компьютеру открыть настраиваемое представление, содержащее локальные ссылки на внешние журналы, возможно возникновение ошибок. Это объясняется тем, что оснастка «Просмотр событий» выполняет попытку открыть внешние журналы на удаленном компьютере, а не на локальном. Эта проблема не возникает при использовании в ссылках на внешние журналы UNC-путей.

Для просмотра сохраненных событый с удаленного компьютера необходимо сохранить события на удаленном компьютере с отображением сведений. Дополнительные сведения о сохранении журналов событий с отображением сведений см. в разделе Сохранение журнала событий в файле.