Как посмотреть журнал событий в ОС Windows 10

«Просмотр событий» — один из множества стандартных инструментов Виндовс, предоставляющий возможность просмотра всех событий, происходящих в среде операционной системы. В числе таковых всевозможные неполадки, ошибки, сбои и сообщения, связанные как непосредственно с ОС и ее компонентами, так и сторонними приложениями. О том, как в десятой версии Windows открыть журнал событий с целью его дальнейшего использования для изучения и устранения возможных проблем, пойдет речь в нашей сегодняшней статье.

Просмотр событий в Виндовс 10

Существует несколько вариантов открытия журнала событий на компьютере с Windows 10, но в целом все они сводятся к ручному запуску исполняемого файла или его самостоятельному поиску в среде операционной системы. Расскажем подробнее о каждом из них.

Способ 1: «Панель управления»

Как понятно из названия, «Панель» предназначена для того, чтобы управлять операционной системой и входящими в ее состав компонентами, а также быстрого вызова и настройки стандартных инструментов и средств. Неудивительно, что с помощью этого раздела ОС можно вызвать в том числе и журнал событий.

Любым удобным способом откройте «Панель управления». Например, нажмите на клавиатуре «WIN+R», введите в строку открывшегося окна выполнить команду «control» без кавычек, нажмите «ОК» или «ENTER» для запуска.

Найдите раздел «Администрирование» и перейдите в него, кликнув левой кнопкой мышки (ЛКМ) по соответствующему наименованию. Если потребуется, предварительно измените режим просмотра «Панели» на «Мелкие значки».

Журнал событий Windows будет открыт, а значит, вы сможете перейти к изучению его содержимого и использованию полученной информации для устранения потенциальных проблем в работе операционной системы либо же банальному изучению того, что происходит в ее среде.

Способ 2: Окно «Выполнить»

И без того простой и быстрый в своем выполнении вариант запуска «Просмотра событий», который нами был описан выше, при желании можно немного сократить и ускорить.

Вызовите окно «Выполнить», нажав на клавиатуре клавиши «WIN+R».

Введите команду «eventvwr.msc» без кавычек и нажмите «ENTER» или «ОК».

Способ 3: Поиск по системе

Функцию поиска, которая в десятой версии Виндовс работает особенно хорошо, тоже можно использовать для вызова различных системных компонентов, и не только их. Так, для решения нашей сегодняшней задачи необходимо выполнить следующее:

Нажмите по значку поиска на панели задач левой кнопкой мышки или воспользуйтесь клавишами «WIN+S».

Начните вводить в поисковую строку запрос «Просмотр событий» и, когда увидите в перечне результатов соответствующее приложение, кликните по нему ЛКМ для запуска.

Это откроет журнал событий Windows.

Создание ярлыка для быстрого запуска

Если вы планируете часто или хотя бы время от времени обращаться к «Просмотру событий», рекомендуем создать на рабочем столе его ярлык – это поможет ощутимо ускорить запуск необходимого компонента ОС.

Повторите шаги 1-2, описанные в «Способе 1» данной статьи.

Отыскав в списке стандартных приложений «Просмотр событий», кликните по нему правой кнопкой мышки (ПКМ). В контекстном меню выберите поочередно пункты «Отправить» — «Рабочий стол (создать ярлык)».

Сразу же после выполнения этих простых действий на рабочем столе Windows 10 появится ярлык под названием «Просмотр событий», который и можно использовать для открытия соответствующего раздела операционной системы.

Заключение

Из этой небольшой статьи вы узнали о том, как на компьютере с Windows 10 можно посмотреть журнал событий. Сделать это можно с помощью одного из трех рассмотренных нами способов, но если к данному разделу ОС приходится обращаться довольно часто, рекомендуем создать ярлык на рабочем столе для его быстрого запуска. Надеемся, данный материал был полезен для вас.

Журнал событий в Windows 10: где найти, как зайти и как очистить

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Общие сведения про журнал событий

Чисто физически журнал является набором файлов с расширением .evtx. Они содержат текстовые данные и хранятся в системной папке:

Но открыть их одним из текстовых редакторов не представляется возможным. Для изучения их содержимого в ОС системе предусмотрена специальная утилита «eventvwr».

Как зайти в журнал событий в Windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

1. Зажатием клавиш «Win» + «R» вызвать окно.
2. Прописать команду «eventvwr».
3. Нажать «OK».

А второй требует использования панели управления, где требуется:

1. Выбрать раздел «Система и безопасность».
2. Проследовать в подраздел «Администрирование».
3. Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

• Приложение (основная) — записи, созданные программами.
• Безопасность (основная) — сведения о безопасности системы.
• Установка (дополнительная).
• Система (основная) — сведения о работе системных компонентов.
• Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Нюансы работы в журнале

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

• важности;
• времени;
• источнику;
• имени компьютера и пользователя;
• коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Вручную

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

1. Открыть журнал событий.
2. Нажать правой кнопкой мыши на необходимый раздел.
3. Выбрать команду «Очистить журнал…».

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Создание файла .bat

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

Его необходимо использовать в следующем алгоритме:

1. Создайте текстовый документ.
2. Скопируйте в него код, указанный выше.
3. Сохраните документ с расширением .bat (подробнее о расширениях можно прочесть в статье «Расширения файлов Windows. Как открыть и изменить расширения файлов»)
4. Запустите полученный файл от имени администратора.

После этого все отчеты будут удалены.

Через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

1. Нажать клавишу «Win».
2. Вести «Командная строка».
3. Запустить утилиту от имени администратора.
4. Ввести указанную ниже команду и нажать «Enter».

Через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

При помощи программы CCleaner

Эта прекрасная программа занимается очисткой системы. В том числе и записей в журнале. А значит вы можете не только избавится от данных, но и ускорить работу системы. Для этого:

1. Скачайте и установите программу CCleaner.
2. Перейдите в раздел «Очистка».
3. На вкладке «Windows» установите галочку напротив необходимого пункта.
4. Запустите процесс.

По завершению процедуры журнал событий будет очищен, а работа ОС оптимизирована.

Где находится журнал событий в Windows 10, как его просматривать и находить ошибки

Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.

События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.

Где находится журнал событий и как его открыть

Постоянная «прописка» файла просмотрщика журнала событий – eventvwr.msc, – папка \Windows\system32. Но ради доступа к нему никто в эту папку, разумеется, не лазит, ведь есть способы проще. Вот они:

• Главное меню Windows – «Пуск». Щелкать по его кнопке следует не левой, а правой клавишей мыши. Пункт «Просмотр событий» – четвертый сверху.

• Системный поиск – кнопка со значком в виде лупы возле «Пуска». Достаточно начать вводить в поисковую строку слово «просм…» – и вот он, нашелся.

• Виндовая утилита «Выполнить» (Run) просто создана для тех, кто предпочитает горячие клавиши. Нажмите на клавиатуре Windows+К (русская), вбейте в строку «Открыть» команду eventvwr (имя файла просмотрщика) и щелкните ОК.

• Командная строка или консоль Powershell (их тоже удобно открывать через контекстное меню кнопки Пуск). Для запуска журнала событий снова введите eventvwr и щелкните Enter.

• Старая добрая Панель управления (кстати, если желаете вернуть ее в контекст Пуска, читайте эту статью). Перейдите в раздел «Система и безопасность», спуститесь вниз окна до пункта «Администрирование» и кликните «Просмотр журналов событий».

• Системная утилита «Параметры», пришедшая на смену панели управления. Зарываться в ее недра – то еще удовольствие, но можно сделать проще – начать вбивать в строку поиска слово «администрирование». Следом просто перейдите в найденный раздел и щелкните ярлык просмотрщика.

• НахОдите журнал событий Windows увлекательным чтивом? Тогда, возможно, вам понравится идея держать его всегда под рукой. Чтобы поместить ярлык просмотрщика на рабочий стол, зайдите любым из способов в раздел панели управления «Администрирование», скопируйте ярлык нажатием клавиш Ctrl+C, щелкните мышкой по рабочему столу и нажмите Ctrl+V.

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

• Ваша ученая запись ограничена в правах доступа политиками безопасности.
• В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
• Некоторые системные компоненты повреждены или заблокированы вредоносной программой.

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

• Откатом на контрольную точку, созданную, когда всё работало исправно.
• Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe –scannow в командной строке.
• Сканированием дисков на предмет вирусного заражения.
• Восстановлением прав доступа системных учетных записей к папкам \Windows\System32\winevt и \System32\LogFiles. Рабочие настройки показаны на скриншотах ниже.

Структура просмотрщика журнала событий

Утилита просмотра событий не слишком дружественна к неопытному пользователю. Интуитивно понятной ее точно не назовешь. Но, несмотря на устрашающий вид, юзать ее вполне можно.

Левая часть окна содержит каталоги журналов, среди которых есть 2 основных. Это журналы Windows, где хранятся записи о событиях операционной системы; и журналы приложений и служб, куда ведутся записи о работе служб и установленных программ. Каталог «Настраиваемые представления» содержит пользовательские выборки – группы событий, отсортированных по какому-либо признаку, например, по коду, по типу, по дате или по всему сразу.

Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней – раздел детальной информации о конкретных записях.

Правая сторона содержит меню доступных операций с журналами.

Как искать в журналах событий интересующие сведения

Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.

Как пользоваться функцией фильтрации

Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».

Далее заполняем вкладку «Фильтр»:

• Из списка «Дата» выбираем последние 7 дней.
• В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
• В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
• Указываем коды событий (event ID), о которых собираем сведения.
• Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).

Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:

Читать его стало гораздо удобнее.

Как создавать настраиваемые представления

Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.

Чтобы создать настраиваемое представление, сделайте следующее:

• Выделите в разделе каталогов интересующий журнал.
• Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
• Заполните настройки окошка «Фильтр» по примеру выше.
• Сохраните фильтр под любым именем в выбранный каталог.

В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.

Источники, уровни и коды событий. Как понять, что означает конкретный код

Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.

Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:

• Критическая ошибка указывает на самый серьезный сбой, который привел к отказу породившего его источника без возможности самостоятельного восстановления. Пример внешнего проявления такого сбоя – синий экран смерти Windows (BSoD) или внезапная перезагрузка компьютера.
• Ошибка тоже указывает на сбой, но с менее критичными последствиями для работы системы. Например, вылет программы без сохранения данных из-за нехватки ресурсов, ошибки запуска служб и т. п.
• Предупреждение – запись, сообщающая о неполадках, которые негативно влияют на работу системы, но не приводят к сбоям, а также о возможности возникновения ошибок в дальнейшем, если не устранить их причину. Пример: приложение запускалось дольше, чем обычно, что привело к замедлению загрузки системы.
• Уведомление – обычное информационное сообщение, например, о том, что операционная система приступила к установке обновления.
• Успешный отчет (аудит) – сообщение, информирующее об успехе какого-либо события. Примеры: программа успешно установлена, пользователь успешно вошел в учетную запись.
• Неуспешный отчет (аудит) – сообщение о неуспешном завершении операции. Например, установка программы не была завершена из-за отмены действия пользователем.

Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.

Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.

Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.

Get System Info – альтернатива стандартному просмотрщику Windows

Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info .

Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.

Преимущество этой утилиты перед стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.

Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.

Как пользоваться Get System Info:

• Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «IncludeWindowseventlogs».

• После того как на рабочем столе или в папке, которую вы указали, появится архивный файл с именем «GSI6_Имя_ПК_user_дата_ и т.д.», откройте в браузере сайт getsysteminfo.com и загрузите архив туда.

• После загрузки отчета на getsysteminfo.com зайдите на вкладку «Свойства системы» и откройте раздел «Журнал событий».

Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.

Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.

Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.

Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением. Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.