Windows error log cmd
Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.
Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера, для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.
Как открыть в просмотр событий
Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки
Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.
Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.
Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.
Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.
Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod, и данные сообщения что тут заносятся помогут вам определить его причину.
Так же есть логи windows для более специфических служб, например DHCP или DNS. Просмотр событий сечет все :).
Фильтрация в просмотре событий
Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.
Вас попросят указать уровень событий:
- Критическое
- Ошибка
- Предупреждение
- Сведения
- Подробности
Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.
Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:
Посмотреть логи windows PowerShell
Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду
В итоге вы получите список логов журнала Система
Тоже самое можно делать и для других журналов например Приложения
небольшой список абревиатур
- Код события — EventID
- Компьютер — MachineName
- Порядковый номер события — Data, Index
- Категория задач — Category
- Код категории — CategoryNumber
- Уровень — EntryType
- Сообщение события — Message
- Источник — Source
- Дата генерации события — ReplacementString, InstanceID, TimeGenerated
- Дата записи события — TimeWritten
- Пользователь — UserName
- Сайт — Site
- Подразделение — Conteiner
Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:
Если нужно вывести более подробно, то заменим Format-Table на Format-List
Как видите формат уже более читабельный.
Так же можно пофильтровать журналы например показать последние 20 сообщений
Или выдать список сообщение позднее 1 ноября 2014
Дополнительные продукты
Так же вы можете автоматизировать сбор событий, через такие инструменты как:
- Комплекс мониторинга Zabbix
- Через пересылку событий средствами Windows на сервер коллектор
- Через комплекс аудита Netwrix
- Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
- Любые DLP системы
Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта pyatilistnik.org
Удаленный просмотр логов
Не так давно в появившейся операционной системе Windows Server 2019, появился компонент удаленного администрирования Windows Admin Center. Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).
Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска
Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.
Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.
Вот пример фильтрации по событию 19.
Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.
Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же «Просмотр событий». Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню «Подключиться к другому компьютеру«.
Указываем имя другого компьютера, в моем примере это будет SVT2019S01
Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий .если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.
Windows error log cmd
Сообщения: 124
Благодарности: 11
alpap, Приветствую, циферки с датами я сам раставлю где нужно, код думаю врятли Вам о чем нибудь скажет, эксперементирую с созданием сборок в автоматическом режиме, часто вношу изменения в скрипт, проверяю что будет, вообщем было бы очень удобно если бы все писалось не только на экране но и в лог, говорят в линухе это легко реализуется всего одной командой, неужели в cmd или на худой конец в PowerShell не придумано ничего похожего?
-11,8%
rem Создаем папку для будуещего wim файла, который будем изменять
rd /s /q %
rem Копируем оригинальный wim во вновь созданую папку
copy E:\cd-roms\OS\cur\64\install.wim %
rem Создаем папку для монтирования
md %
-11,8%
rem Монтируем оргинал для изменения в Dism++ и NtLite
Dism /Mount-Wim /WimFile:%
dp0OS\64\orig\install.wim /index:1 /MountDir:%
-11,8%
rem Насилуем оригинальный образ в дисм
start /wait %
-11,8%
rem Добавляем в автозагрузку скрипт для начала установки софта и настроек после выхода на раб стол
reg load HKLM\start %
dp0mount\users\Default\NTUSER.DAT
reg add HKEY_LOCAL_MACHINE\start\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v «Start» /d «d:\w10Home.cmd» /f
reg unload HKLM\start
rem Добавляем ассоциации файлам
Dism.exe /Image:%
-11,8%
rem Насилуем оригинальный образ в NtLite
«C:\Program Files\NTLite\NTLite.exe» /loadimage:»%
dp0OS\64\orig\install.wim» /imageindex:1 /loadpreset:»win10″ /exitAfter:1
md %
-11,8%
rem Сохраняем изменения в рар на всякий случай
«C:\program files\winrar\rar.exe» a «%
-11,8%
rem Очищаем папку виртуальной машины
rd /s /q %
rem Распаковываем пердварительно подготовленную папку с чистой виртуальной машиной для работы с ней
«c:\program files\winrar\rar.exe» x %
rem Переназначаем букву дискам, что бы нужному была присвоена буква G:
ReMount F: W:
ReMount G: Y:
rem Монтируем чистый виртуальный носитель на хост
vmount attach %
-11,8%
rem Применяем к нему измененый в дисм++ и нтлайт образ
dism /Apply-Image /Imagefile:%
dp0Install\boot.wim /index:1 /ApplyDir:F:\
dism /Apply-Image /Imagefile:%
dp0OS\64\orig\install.wim /index:1 /ApplyDir:G:\
rem Добавляем файл ответов, чтобы сразу перейти в режим аудита после развертывания и начать установку софта
md G:\Windows\Panther\
copy %
rem Демонтируем виртуальный носитель с образом
vmount detach %
rem Переносим cd с софтом и настройками в рабочую папку
move %
rem Закрываем окно менеджера VB чтобы не сбились настройки сохраненных виртуальных машин
TASKKILL /IM VirtualBox.exe
-11,8%
rem Первый раз запускаем виртуальную машину и дожидаемся установки софта и настроек
«c:\Program Files\Oracle\VirtualBox\VBoxHeadless.exe» -s 10×64 -v on
rem Переносим cd с софтом обратно в хранилище
move %
-11,8%
rem Сохраняем хомку без обновлений и сиспреп в rar для последующей доустановки Office, обновлений и т.п.
del «%
dp0imageVB\10x64Homewim.rar»
«C:\program files\winrar\rar.exe» a «%
rem Переносим cd с апдэйтами в рабочую папку
move %
rem Закрываем окно менеджера VB чтобы не сбились настройки сохраненных виртуальных машин
TASKKILL /IM VirtualBox.exe
-11,8%
rem Запускаем настроеную вирутальную машину с Home для обновления
«c:\Program Files\Oracle\VirtualBox\VBoxHeadless.exe» -s 10×64 -v on
rem Переносим cd с апдэйтами обратно в хранилище
move %
-11,8%
rem Переназначаем букву дискам, что бы нужному была присвоена буква G:
ReMount F: W:
ReMount G: Y:
rem Присоединяем виртуальный диск
vmount attach %
rem Создаем папку для будущего wim файла, с настроенной Home
md %
-11,8%
rem Заливаем в wim настроенную Home
Dism /Capture-Image /ImageFile:%
dp0OS\64\Home\install.wim /CaptureDir:G:\ /Name:»Windows 10 Home x64″ /Description:»Windows 10 Home x64″
rem Отсоединяем виртуальный диск
vmount detach %
rem создаем папку для монтирования (на всякий случай)
md %
-11,8%
rem Запускаем повышение редакции до Pro
DISM /Export-Image /SourceImageFile:%
dp0OS\64\Home\install.wim /SourceIndex:1 /DestinationImageFile:%
dp0OS\64\Home\install.wim /DestinationName:»Windows 10 Pro x64″
DISM /Mount-Image /ImageFile:%
dp0OS\64\Home\install.wim /Index:2 /MountDir:%
dp0mount
DISM /Image:%
dp0mount /Set-Edition:Professional
Dism /Unmount-Wim /MountDir:%
-11,8%
rem Готов образ с двумя редакциями для установки на работу в офис, нет ниодной не лицензионной программы
rem Отключаем антивирь
Powershell -File «%
-11,8%
rem Распаковываем Vb с настроенным Home из рар обратно
rd /s /q %
dp0vb\10×64
«c:\program files\winrar\rar.exe» x «%
rem Переносим cd с Office в рабочую папку
move %
rem Закрываем окно менеджера VB чтобы не сбились настройки сохраненных виртуальных машин
TASKKILL /IM VirtualBox.exe
-11,8%
rem Запускаем vb доустанавливаем офис и т.п.
«c:\Program Files\Oracle\VirtualBox\VBoxHeadless.exe» -s 10×64 -v on
rem Переносим cd с Office в хранилище
move %
-11,8%
rem Сохраняем в рар Home&Office для последующего обновления сборки
del «%
dp0imageVB\10x64Office.rar»
«C:\program files\winrar\rar.exe» a «%
rem Переносим cd с апдэйтами в рабочую папку
move %
rem Закрываем окно менеджера VB чтобы не сбились настройки сохраненных виртуальных машин
TASKKILL /IM VirtualBox.exe
-11,8%
rem запускаем Home_Office, обновляем, сиспрепим
«c:\Program Files\Oracle\VirtualBox\VBoxHeadless.exe» -s 10×64 -v on
rem Переносим cd с апдэйтами в хранилище
move %
rem Переназначаем букву дискам, что бы нужному была присвоена буква G:
ReMount F: W:
ReMount G: Y:
rem Присоединяем виртуальный диск
vmount attach %
rem Создаем папку для будущего wim файла, с настроенной Home_Office
md %
-11,8%
rem Заливаем в wim настроенную Home_Office
Dism /Capture-Image /ImageFile:%
dp0OS\64\Home_Office\install.wim /CaptureDir:G:\ /Name:»Windows 10 Home_Office x64″ /Description:»Windows 10 Home_Office x64″
rem Отсоединяем виртуальный диск
vmount detach %
rem создаем папку для монтирования (на всякий случай)
md %
-11,8%
rem Запускаем повышение редакции до Pro_Office
DISM /Export-Image /SourceImageFile:%
dp0OS\64\Home_Office\install.wim /SourceIndex:1 /DestinationImageFile:%
dp0OS\64\Home_Office\install.wim /DestinationName:»Windows 10 Pro_Office x64″
DISM /Mount-Image /ImageFile:%
dp0OS\64\Home_Office\install.wim /Index:2 /MountDir:%
dp0mount
DISM /Image:%
dp0mount /Set-Edition:Professional
Dism /Unmount-Wim /MountDir:%
-11,8%
rem Добавляем 3,4 редакции без Office
Dism /Export-Image /DestinationName:»Windows 10 Home x64″ /SourceImageFile:»d:\ForCreate\OS\64\Home\install.wim» /SourceIndex:1 /DestinationImageFile:»d:\ForCreate\OS\64\Home_Office\install.wim»
Dism /Export-Image /DestinationName:»Windows 10 Pro x64″ /SourceImageFile:»d:\ForCreate\OS\64\Home\install.wim» /SourceIndex:2 /DestinationImageFile:»d:\ForCreate\OS\64\Home_Office\install.wim»
Последний раз редактировалось Shulzzz, 05-11-2019 в 19:34 .
| Конфигурация компьютера | |||||||
| Память: 8,00 ГБ | |||||||
| хотелось бы что бы выглядело как на экране в окне cmd, там же все отображается как надо, » |
Shulzzz, так Вам коллега alpap и пишет, что для приведённых им в примере команд на экране ничего не будет при их корректном исполнении.
| почему нельзя сделать такой же лог, ну или не лог, а просто запись cmd экрана в текстовый файл, меня бы вполне устроило » |
Потому что нет такого понятия, как «запись cmd экрана».
Вы можете использовать tee.exe из комплекта GnuWin32 (например, отсюда: CoreUtils for Windows). Кроме того, говорят, что аналог tee.exe с какого-то момента включён в комплект Windows 10 (не знаю, не проверял).
Это сообщение посчитали полезным следующие участники:
| Конфигурация компьютера |
| Материнская плата: Asrock H77 Pro4/MVP |
| Видеокарта: GTX 960 |
| Монитор: Dell U2312HM |
| » width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″> |
