Как использовать журнал событий системы Windows 10

Средство просмотра событий Windows является одним из инструментов администрирования операционной системы Microsoft.

В первой части руководства будет объяснено, для чего используется этот инструмент и какая информация хранится в его регистрах.

Во второй части руководства мы увидим, как прочитать свойства события и как создать персонализированный вид событий.

Что такое средство просмотра событий Windows

Просмотрщик событий – самый мощный диагностический инструмент в Windows. Его использование имеет фундаментальное значение для контроля целостности системы, поскольку предоставляет подробную информацию обо всех событиях, происходящих на ПК. Событие представляет собой явление, которое происходит внутри системы и передается наружу, – к пользователю или к другим программам, и обычно соответствует состоянию или изменениям конфигурации. События регистрируются службой журнала событий Windows, а их история сохраняется в соответствующих системных журналах.

Средство просмотра событий Windows помогает в анализе проблемы, поскольку позволяет просматривать аппаратные и программные аномалии различной природы (сбой при запуске службы, сбой системы, невозможность установить обновление, повреждение в структуре файловой системы, конфликт IP-адресов).

Как запустить средство просмотра событий Windows

Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.

Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.

1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
2. Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК .
3. Откроется оснастка «Просмотр событий».

Разверните её на весь экран.

Обзор и сводка по событиям

Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.

Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).

Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.

В столбце Тип события можно нажать + , чтобы развернуть категорию и просмотреть источник событий того же типа.

Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая + .

Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.

Журналы просмотра событий Windows

Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.

Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.

В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».

Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.

Журналы Windows

В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:

• Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
  • Ошибка : указывает на критическую проблему, которая могла привести к потере данных или функциональности.
  • Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
  • Информация : описывает правильную работу драйвера, программы или службы.
• Безопасность. Журнал безопасности содержит события аудита, связанные с попытками пользователя подключиться и использованием защищенных ресурсов (создание, открытие, удаление файлов). Журнал безопасности идентифицирует события, используя два типа значков: значок ключа и значок замка.
  • Ключ: идентифицирует события типа успешная проверка.
  • Замок: идентифицирует события типа проверка не удалась.
• Установка. Журнал установки содержит события, связанные с установкой приложений.
• Система. В журнале системы указываются события, создаваемые системными компонентами Windows и установленными функциями, такие как драйвер. Например, если драйвер не загружается во время сеанса загрузки, это событие сохраняется в системном журнале. Также в этом журнале события классифицируются как Ошибка, Предупреждение или Информация.
• Перенаправленные события. В журнале сохраняются события, произошедшие на удаленных компьютерах.

Журналы приложений и служб

В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.

Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.

Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.

Просмотр логов и событий

Когда мы выбираем журнал на левой панели средства просмотра событий Windows, на центральной панели отображается список его событий, упорядоченный в обратном хронологическом порядке.

В поле ниже показано содержимое, относящееся к выбранному событию.

Окно свойства события

Чтобы просмотреть детали одного события, мы должны использовать окно Свойства события. Чтобы открыть его, дважды щелкните левой кнопкой мыши на событии в центральной панели.

В окне «Свойства события» мы можем выбрать вкладку Общие или Подробности.

Вкладка «Общие»

Вкладка «Общие» содержит следующую информацию:

• Имя журнала: указывает имя журнала, который заархивировал событие.
• Источник: Указывает источник события. Может указывать название программы, системного компонента или большой программы.
• Код события: это число, которое однозначно определяет тип события. Например, число 6005 – это идентификатор события, который всегда будет указывать на начало журнала событий.
• Уровень: указывает уровень серьезности события. В системном журнале и в журнале приложений у нас могут быть следующие уровни серьезности (представленные символом):
  • Информация: указывает на успех операции, изменение приложения, создание ресурса или запуск службы.
  • Предупреждение: указывает на событие, которое может вызвать проблему в будущем, если не будет предпринято никаких корректирующих действий.
  • Ошибка: указывает на событие, которое описывает проблему, которая может повлиять на правильную функциональность системы или приложения, которое вызвало событие. События ошибок могут включать потерю данных или функциональность.
  • Критичное: указывает на ошибку, которая не позволяет выполнить автоматическое восстановление системы или приложения, которое вызвало событие.
• Пользователь: указывает имя пользователя, вошедшего в систему, когда произошло событие.
• Код операции: это 1-байтовое числовое значение, которое идентифицирует действие или точку в действии, выполняемом приложением в момент возникновения события. Используется для представления определенного действия или части действия, выполняемого программным обеспечением, но также и для процессов, основанных на действиях трассировки, таких как веб-службы, где действие представляет собой конкретный запрос, полученный веб-службой.
• Дата: указывает дату и время, когда событие было записано.
• Категория задачи: это классификация события, основанная на происхождении события (используется в журнале безопасности).
• Ключевые слова: указывает категорию или тег, полезные для фильтрации или поиска по событиям.
• Компьютер: указывает имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но это может быть имя компьютера, который переадресовал событие, или имя локального компьютера до того, как его имя было изменено.

Вкладка «Подробности»

Вкладка «Подробности» содержит дополнительную информацию о событии.

Информация разделена на два раздела (расширяется нажатием + ):

• System: содержит общую информацию, общую для каждого экземпляра события, например, некоторые системные параметры, записанные при публикации экземпляра.
• EventData: содержит структурированную информацию о приложении.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Выполнить действие в ответ на событие

Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.

Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.

Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.

Как открыть «Просмотр событий» (журнал событий) в Windows 10

В данной статье показаны способы, с помощью которых можно открыть «Просмотр событий» (журнал событий) в операционной системе Windows 10.

Просмотр событий — это средство просмотра журналов системы в котором производится регистрация всех основных событий, которые происходят в системе с последующей их записью. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих событий пользователи могут найти полезную информацию для устранения неисправностей, обнаружения причин проблем с системой, приложениями и оборудованием компьютера.

Оснастка «Просмотр событий» содержит различные журналы событий, такие как журнал системы, безопасности, приложений и другие.

Журналы событий представляют собой набор файлов с расширением *.evtx, которые хранятся в системном каталоге по следующему пути: %SystemRoot%/System32/Winevt/Logs

Пример оснастки «Просмотр событий» показан на скриншоте ниже.

Как открыть «Просмотр событий» в окне «Выполнить»

Чтобы открыть оснастку «Просмотр событий», нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите (скопируйте и вставьте) eventvwr.msc и нажмите клавишу Enter ↵.

Как открыть «Просмотр событий» используя «Поиск»

Чтобы открыть оснастку «Просмотр событий», используйте «Поиск в Windows», для этого нажмите на значок поиска в панели задач или нажмите сочетание клавиш + S, в строке поиска начните вводить eventvwr или просмотр и в результатах поиска выберите Просмотр событий .

Как открыть «Просмотр событий» используя «Средства администрирования Windows»

Откройте «Средства администрирования Windows» любым из способов и в папке «Администрирование» выберите Просмотр событий .

Используя рассмотренные способы, можно открыть оснастку «Просмотр событий» в операционной системе Windows 10.

Переход в журнал событий в Windows 7

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Открытие инструмента «Просмотр событий»

Журнал событий хранится в системном инструменте, который имеет название «Просмотр событий». Посмотрим, как с помощью различных способов в него можно перейти.

Способ 1: «Панель управления»

Один из самых распространенных способов запуска описываемого в данной статье инструмента, хотя далеко не самый легкий и удобный, осуществляется с помощью «Панели управления».

1. Щелкните «Пуск» и перейдите по надписи «Панель управления».

Затем зайдите в раздел «Система и безопасность».

Далее щелкайте по наименованию раздела «Администрирование».

Целевой инструмент активирован. Чтобы конкретно попасть в журнал системы, кликните по пункту «Журналы Windows» в левой области интерфейса окошка.

В открывшемся списке выбирайте один из пяти интересующих вас подразделов:

• Приложение;
• Безопасность;
• Установка;
• Система;
• Перенаправление события.

В центральной части окна отобразится журнал событий, соответствующий выбранному подразделу.

Аналогичным образом можно раскрыть раздел «Журналы приложений и служб», но там будет больший перечень подразделов. Выбор конкретного из них приведет к отображению в центре окна списка соответствующих событий.

Способ 2: Средство «Выполнить»

Намного проще инициировать активацию описываемого инструмента при помощи средства «Выполнить».

Задействуйте комбинацию клавиш Win+R. В поле запустившегося средства вбейте:

Нужное окно будет открыто. Все дальнейшие действия по просмотру журнала можно производить по тому же алгоритму, который был описан в первом способе.

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Способ 3: Поле поиска меню «Пуск»

Очень похожий метод вызова изучаемого нами инструмента осуществляется с задействованием поля поиска меню «Пуск».

Щелкните «Пуск». Внизу открывшегося меню расположено поле. Введите туда выражение:

Или просто напишите:

В списке выдачи в блоке «Программы» появится наименование «eventvwr.exe» или «Просмотр событий» в зависимости от введенного выражения. В первом случае, скорее всего, результат выдачи будет единственным, а во втором их будет несколько. Кликните по одному из указанных выше названий.

Способ 4: «Командная строка»

Вызов инструмента через «Командную строку» довольно неудобен, но и такой способ существует, а поэтому он тоже стоит отдельного упоминания. Сначала нам потребуется вызвать окно «Командной строки».

Щелкайте «Пуск». Далее выбирайте «Все программы».

Переходите в папку «Стандартные».

В перечне открывшихся утилит щелкайте по «Командная строка». Активацию с административными полномочиями производить не обязательно.

Можете выполнить запуск и быстрее, но для этого нужно помнить команду активации «Командной строки». Наберите Win+R, инициировав тем самым запуск инструмента «Выполнить». Введите:

При любом из двух вышеуказанных действий будет запущено окно «Командной строки». Введите знакомую команду:

Окно журнала будет активировано.

Способ 5: Прямой старт файла eventvwr.exe

Можно воспользоваться таким «экзотическим» вариантом решения поставленной задачи, как прямой старт файла из «Проводника». Тем не менее, и данный способ может пригодиться на практике, например, если сбои достигли такого масштаба, что другие варианты запустить инструмент просто недоступны. Такое бывает крайне редко, но вполне возможно.

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

Запустите «Проводник Windows».

Вбейте в адресное поле тот адрес, который был представлен ранее, и кликните Enter или нажмите по значку справа.

Выполняется перемещение в каталог «System32». Именно тут хранится целевой файл «eventvwr.exe». Если у вас не включен в системе показ расширений, то объект будет называться «eventvwr». Найдите и произведите по нему двойной клик левой кнопкой мышки (ЛКМ). Чтобы легче осуществлять поиск, так как элементов довольно много, можете отсортировать объекты по алфавиту, кликнув по параметру «Имя» вверху списка.

Произойдет активация окна журнала.

Способ 6: Введение пути к файлу в адресной строке

При помощи «Проводника» можно запустить интересующее нас окно и быстрее. При этом даже не придется искать eventvwr.exe в каталоге «System32». Для этого в адресном поле «Проводника» просто нужно будет указать путь к данному файлу.

Запустите «Проводник» и введите в адресное поле такой адрес:

Кликните Enter или нажмите по эмблеме стрелки.

Окно журнала тут же активируется.

Способ 7: Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

Перейдите на «Рабочий стол» или запустите «Проводник» в том месте файловой системы, где собираетесь создать иконку доступа. Кликните правой кнопкой мышки по пустой области. В меню переместитесь по «Создать» и далее щелкайте «Ярлык».

Активируется инструмент формирования ярлыка. В открывшееся окошко внесите тот адрес, о котором уже шла речь:

Запускается окошко, где нужно указать наименование иконки, по которому юзер будет определять активируемый инструмент. По умолчанию в качестве названия используется имя исполняемого файла, то есть, в нашем случае «eventvwr.exe». Но, конечно, это название мало что может сказать непосвященному пользователю. Поэтому лучше в поле ввести такое выражение:

В общем, введите любое название, по которому вы будете ориентироваться, какой инструмент данная иконка запускает. После ввода жмите «Готово».

Иконка запуска появится на «Рабочем столе» или в другом месте, где вы её создали. Для активации инструмента «Просмотр событий» достаточно кликнуть по ней дважды ЛКМ.

Необходимое системное приложение будет запущено.

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

Прежде всего, нужно перейти в «Диспетчер служб». Это можно сделать из раздела «Панели управления», который называется «Администрирование». Как в него перейти, подробно описывалось при рассмотрении Способа 1. Попав в данный раздел, ищите пункт «Службы». Кликните по нему.

В «Диспетчер служб» можете перейти с помощью средства «Выполнить». Вызовите его, набрав Win+R. В область для ввода вбейте:

Независимо от того, совершили вы переход через «Панель управления» или использовали ввод команды в поле инструмента «Выполнить», запускается «Диспетчер служб». В списке ищите элемент «Журнал событий Windows». Чтобы облегчить поиск, можете выстроить все объекты перечня в алфавитном прядке, кликнув по названию поля «Имя». После того, как нужная строка найдена, взгляните на соответствующее ей значение в колонке «Состояние». Если служба включена, то там должна находиться надпись «Работает». Если же там пусто, то это означает, что служба деактивирована. Также посмотрите на значение в колонке «Тип запуска». В нормальном состоянии там должна находиться надпись «Автоматически». Если там стоит значение «Отключена», то это означает, что служба не активируется при запуске системы.

Чтобы это исправить, перейдите в свойства службы, кликнув по наименованию дважды ЛКМ.

Открывается окно. Кликните по области «Тип запуска».

Из раскрывшегося списка выбирайте «Автоматически».

Жмите по надписям «Применить» и «OK».

Возвратившись в «Диспетчер служб», отметьте «Журнал событий Windows». В левой области оболочки кликните по надписи «Запустить».

Запуск службы произведен. Теперь в соответствующем ей поле колонки «Состояние» отобразится значение «Работает», а в поле колонки «Тип запуска» появится надпись «Автоматически». Теперь журнал можно открыть любым из тех способов, которые мы описывали выше.

Существует довольно много вариантов активировать журнал событий в Виндовс 7. Конечно, самые удобные и популярные способы – это переход через «Панель инструментов», активация при помощи средства «Выполнить» или поля поиска меню «Пуск». Для удобного доступа к описываемой функции можете создать иконку на «Рабочем столе». Иногда возникают проблемы с запуском окна «Просмотр событий». Тогда нужно проверить, активирована ли соответствующая служба.