Как посмотреть журнал ошибок ОС Windows 2012

Просмотр системного журнала

Если в работе Windows 2012 появляется какая-то нестабильность, или появляются ошибки запуска\установки приложений, то это может быть связано с появлениями ошибок в самой операционной системе.

Все системные ошибки и предупреждения можно найти в «Журнале системы«.

В нем сохраняется информация о событиях, записываемых системными компонентами Windows.

Для просмотра и сохранения системного журнала нужно выполнить шаги:

Открыть «Пуск«:

Открыть «Панель управления«:

В «Панели управления» выбрать «Просмотр журналов событий«

В открывшемся окне выбрать «Просмотр событий» -> «Журналы Windows» -> «Система«

Экспорт журнала

Системный журнал в полном объеме можно выгрузить путем нажатия на ссылку «Сохранить все события как. «

После нажатия ссылки «Сохранить все события как. » нужно выбрать путь и имя файла для сохраняемого журнала.

При сохранении файла возможно появление окна «Отображение сведений«.

В данном окне нужно выбрать пункт «Отображать сведения для следуюших языков: Русский«

Настройка ведения журнала событий диагностики Active Directory и LDS

В этой пошаговой статье описывается настройка ведения журнала событий диагностики Active Directory в операционных системах Microsoft Windows Server.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 7 Пакет обновления 1
Исходный номер КБ: 314980

Аннотация

Active Directory записи событий в журнал служб каталогов или экземпляра LDS в просмотр событий. Вы можете использовать сведения, собранные в журнале, чтобы диагностировать и устранять возможные проблемы, а также отслеживать действия событий, связанных с Active Directory, на сервере.

По умолчанию в журнал службы каталогов Active Directory записывают только критические события и события ошибок. Чтобы настроить Active Directory для записи других событий, необходимо повысить уровень ведения журнала путем изменения реестра.

Ведение журнала событий диагностики Active Directory

Записи реестра, которые управляют ведением журнала диагностики для Active Directory, хранятся в следующих поднаборах реестра.

Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ \Diagnostics

Каждое из следующих REG_DWORD в подмайке представляет тип события, которое может быть записано Diagnostics в журнал событий:

1. Проверка согласованности знаний (KCC)
2. События безопасности
3. События интерфейса ExDS
4. События интерфейса MAPI
5. События репликации
6. Сборка мусора
7. Внутренняя конфигурация
8. Доступ к каталогам
9. Внутренняя обработка
10. Счетчики производительности
11. Инициализация/завершение
12. Управление службами
13. Разрешение имен
14. Резервное копирование
15. Field Engineering
16. События интерфейса LDAP
17. Настройка
18. Глобальный каталог
19. Обмен сообщениями между сайтами
20. Кэшинг групп
21. Linked-Value репликации
22. Клиент RPC DS
23. Сервер RPC DS
24. Схема DS
25. Механизм преобразования
26. Управление доступом на основе утверждений

Уровни ведения журнала

Каждой записи может быть назначено значение от 0 до 5, и это значение определяет уровень детализации зарегистрированных событий. Уровни ведения журнала описываются как:

• 0 (Нет): на этом уровне регистрируются только критические события и события ошибок. Это параметр по умолчанию для всех записей, и его следует изменять, только если возникает проблема, которую необходимо изучить.
• 1 (минимально). События высокого уровня записываются в журнал событий в этом параметре. События могут включать одно сообщение для каждой основной задачи, выполняемой службой. Используйте этот параметр, чтобы начать исследование, если вы не знаете расположение проблемы.
• 2 (базовый)
• 3 (обширная): на этом уровне записываются более подробные сведения, чем на более низких уровнях, например действия, выполняемые для выполнения задачи. Используйте этот параметр, если проблема сужается до службы или группы категорий.
• 4 (подробный)
• 5 (внутренний): на этом уровне занося в журнал все события, включая строки отлаки и изменения конфигурации. Записуется полный журнал службы. Используйте этот параметр, если вы отследили проблему до определенной категории небольшого набора категорий.

Настройка ведения журнала событий диагностики Active Directory

Чтобы настроить ведение журнала событий диагностики Active Directory, выполните следующие действия.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в сведениях о том, как создать и восстановить реестр в Windows.

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите regedit и выберите «ОК».

Найдите и выберите следующие ключи реестра.

Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ \Diagnostics

Каждая запись, отображаемая в правой области окна редактора реестра, представляет тип события, которое active Directory может занося в журнал. Для всех записей по умолчанию установлено значение 0 (Нет).

Настройте ведение журнала событий для соответствующего компонента:

1. В правой области редактора реестра дважды щелкните запись, представляюную тип события, для которого необходимо зайти в журнал. Например, «События безопасности».
2. Введите нужный уровень ведения журнала (например, 2) в поле данных «Значение» и выберите «ОК».

Повторите шаг 4 для каждого компонента, который необходимо занося в журнал.

В меню реестра выберите «Выход», чтобы выйти из редактора реестра.

• Для уровней ведения журнала должно быть установлено значение по умолчанию 0 (Нет), если вы не изучаете проблему.
• При увеличении уровня ведения журнала также увеличивается детализация каждого сообщения и количество сообщений, записав их в журнал событий. Уровень диагностики 3 или больше не рекомендуется, так как ведение журнала на этих уровнях требует больше системных ресурсов и может ухудшить производительность сервера. Убедитесь, что записи сбрасываются до 0 после завершения исследования проблемы.

Данные журнала событий для устранения неполадок SMB в Windows 8 и Windows Server 2012

Обзор

Когда разработчик или приложение из-за ошибки конфигурации или разрешение Нет доступа к удаленной общей папке в Windows Server 2012 и Windows 8, данные журнала событий, создаваемые может оказаться достаточно информативным, чтобы быть полезным. Например может появиться следующее сообщение об ошибке при попытке получить доступ к удаленной общей папке в Windows 8 и Windows Server 2012:

Не удается получить доступ к удаленной общей папки

Это может усложнить устранении неполадок внешнего хранилища и протокола блока сообщений сервера (SMB). Исправление для Windows Server 2012 и Windows 8, описанное в разделе «Сведения об исправлении» представляет более надежные ведение журнала событий для SMB.

Решение

Чтобы устранить эту проблему, установите накопительный пакет обновления 2984005 или установить исправление, описанное в разделе «Сведения об исправлении».

Сведения об обновлении

Дополнительные сведения о том, как получить этот накопительный пакет обновления, щелкните следующий номер статьи базы знаний Майкрософт:

сентября 2014 накопительный пакет обновления для Windows Server 2012, Windows 8 и Windows RT

Сведения об исправлении

Доступно исправление от службы поддержки Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы просмотреть полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:

Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Не существует предварительных условий для установки исправления.

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить.

Сведения о замене исправлений

Это исправление не заменяет все ранее выпущенные исправления.

Сведения о файлах

Список файлов, входящих в данное обновление Загрузите .

Статус

Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе «Относится к».

Дополнительные сведения

Windows Server 2012 R2 и Windows 8.1 введена более надежной событий с событиями более подробного ведения журнала для SMB и улучшенные инструкции. Обновление для Windows Server 2012 и Windows 8 обеспечивает такие же возможности. Вы найдете новых записей в журнале событий в разделе следующие каналы:

Для доступа к этим событиям:

Откройте окно просмотра событий и затем разверните узел Журналы приложений и служб.

Разверните папку « Microsoft ».

Разверните папку Windows .

Разверните папку SMBClient или SMBServer и выберите пункт каналы.

Примечание. С использованием нового ведения журнала событий и framework каналов, представленные данным исправлением повлияет на любое пользовательское приложение, зависит от старого механизма ведения журнала событий в SMB.

Ссылки

Дополнительные сведения о , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.

Журналы Windows

Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.

Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:

• через меню Пуск – Средства администрирования Windows – >Просмотр событий (Start – Windows Administrative Tools – Event Viewer);
• в командной строке или в окне Выполнить набрать eventvwr.msc:

В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

Скриншот №3. Интерфейс программы

• Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
• Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
• Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
• Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).

Для удобства просмотра и управления системные журналы разбиты по категориям:

• Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
• Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
• Система (System) – здесь регистрируются события операционной системы и системных сервисов;
• Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.

В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.

Сами события также разделяются на типы:

• Сведения (Information) — информируют о штатной работе приложений.
• Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
• Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
• Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
• Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
• Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).

Работа с журналами

Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:

Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:

Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.

Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):

Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):

В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:

В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:

• Переписывать события при необходимости (Overwrite events as needed) – новое событие будет записываться поверх самого старого события в журнале, таким образом будут доступны события только за определенный диапазон времени.
• Архивировать журнал при заполнении (Overwrite the log when full) – заполненный журнал будет сохранен, последующие события будут записываться в новый файл журнала. При необходимости доступа к старым событиям, архивный файл можно будет открыть в приложении Просмотр событий (Event Viewer).
• Не переписывать события (Do not overwrite events) – при заполнении журнала выдается системное сообщение о необходимости очистить журнал, старые события не перезаписываются.