Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID	Описание
41	Система была перезагружена без корректного завершения работы.
1074	Система была корректного выключена пользователем или процессом.
1076	Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005	Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006	Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008	Предыдущее выключение системы было неожиданным.
6009	Версия операционной системы, зафиксированная при загрузке системы.
6013	Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
2. В панели слева разверните Журналы Windows и перейдите в Система
3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →

Понимание событий Application Control Understanding Application Control events

Политика Защитник Windows управления приложениями (WDAC) регистрет события локально в windows Event Viewer в принудительном режиме или в режиме аудита. A Windows Defender Application Control (WDAC) policy logs events locally in Windows Event Viewer in either enforced or audit mode. Эти события создаются в двух расположениях: These events are generated under two locations:

Коды событий, начиная с 30, отображаются в журналах приложений и служб — Майкрософт — Windows — CodeIntegrity — операционные Event IDs beginning with 30 appear in Applications and Services logs – Microsoft – Windows – CodeIntegrity – Operational

ИД событий, начиная с 80, отображаются в журналах приложений и служб — Майкрософт — Windows — AppLocker — MSI и script Event IDs beginning with 80 appear in Applications and Services logs – Microsoft – Windows – AppLocker – MSI and Script

Код события операционного журнала Microsoft Windows CodeIntegrity Microsoft Windows CodeIntegrity Operational log event IDs

Код события Event ID	Объяснение Explanation
3076 3076	Аудит исполняемого файла/DLL-файла Audit executable/dll file
3077 3077	Блокировка исполняемого файла/DLL-файла Block executable/dll file
3089 3089	Событие подписи информации, сопоставленное с событием 3076 или 3077. Signing information event correlated with either a 3076 or 3077 event. Для каждой подписи файла создается одно событие 3089. One 3089 event is generated for each signature of a file. Содержит общее количество подписей в файле и индекс того, какая подпись это. Contains the total number of signatures on a file and an index as to which signature it is. Неподписаные файлы будут создавать одно событие 3089 с totalSignatureCount 0. Unsigned files will generate a single 3089 event with TotalSignatureCount 0. Коррелирует в части «Система» данных события в «Correlation ActivityID». Correlated in the «System» portion of the event data under «Correlation ActivityID».
3099 3099	Указывает, что политика загружена Indicates that a policy has been loaded

Microsoft Windows Applocker MSI и ИД событий журнала скриптов Microsoft Windows Applocker MSI and Script log event IDs

Код события Event ID	Объяснение Explanation
8028 8028	Файл скрипта аудита или MSI, созданный политикой блокировки Windows (WLDP), который вызван самими скриптами. Audit script/MSI file generated by Windows LockDown Policy (WLDP) being called by the scripthosts themselves. Примечание. В сторонних scripthosts не существует принудительных прав WDAC. Note: there is no WDAC enforcement on 3rd party scripthosts.
8029 8029	Блокировка скрипта или MSI-файла Block script/MSI file
8038 8038	Событие подписи информации, сопоставленное с событием 8028 или 8029. Signing information event correlated with either a 8028 or 8029 event. Для каждой подписи файла сценария создается одно событие 8038. One 8038 event is generated for each signature of a script file. Содержит общее количество подписей в файле скрипта и индекс того, какая подпись это подпись. Contains the total number of signatures on a script file and an index as to which signature it is. Неподписаные файлы скриптов создают одно событие 8038 с totalSignatureCount 0. Unsigned script files will generate a single 8038 event with TotalSignatureCount 0. Коррелирует в части «Система» данных события в «Correlation ActivityID». Correlated in the «System» portion of the event data under «Correlation ActivityID».

Необязательные события диагностики Intelligent Security Graph (ISG) или управляемого установщика (MI) Optional Intelligent Security Graph (ISG) or Managed Installer (MI) diagnostic events

Если в политике WDAC включена isG или MI, можно включить события 3090, 3091 и 3092 для предоставления дополнительных диагностических сведений. If either the ISG or MI is enabled in a WDAC policy, you can optionally choose to enable 3090, 3091, and 3092 events to provide additional diagnostic information.

Код события Event ID	Объяснение Explanation
3090 3090	Разрешить исполняемый/DLL-файл Allow executable/dll file
3091 3091	Аудит исполняемого файла/DLL-файла Audit executable/dll file
3092 3092	Блокировка исполняемого файла/DLL-файла Block executable/dll file

События 3090, 3091 и 3092 создаются на основе кода состояния о том, прошел ли двоичный файл политику независимо от того, какая репутация ему была назначена или была ли она разрешена назначенным mi. 3090, 3091, and 3092 events are generated based on the status code of whether a binary passed the policy, regardless of what reputation it was given or whether it was allowed by a designated MI. Шаблон SmartLocker, который отображается в событии, должен указывать, почему двоичный файл был передан или сбой. The SmartLocker template which appears in the event should indicate why the binary passed/failed. На двоичный проход/сбой создается только одно событие. Only one event is generated per binary pass/fail. Если и ISG, и MI отключены, события 3090, 3091 и 3092 не будут созданы. If both ISG and MI are disabled, 3090, 3091, and 3092 events will not be generated.

Шаблон SmartLocker SmartLocker template

Ниже приведены поля, которые помогают диагностировать, что указывает событие 3090, 3091 или 3092. Below are the fields which help to diagnose what a 3090, 3091, or 3092 event indicates.

Имя Name	Объяснение Explanation
StatusCode StatusCode	STATUS_SUCCESS указывает, что активные политики WDAC переданы двоичному файлу. STATUS_SUCCESS indicates a binary passed the active WDAC policies. В этом случае создается событие 3090. If so, a 3090 event is generated. В этом случае создается событие 3091, если политика блокировки находится в режиме аудита, а событие 3092 создается, если политика находится в режиме принудительного применения. If not, a 3091 event is generated if the blocking policy is in audit mode, and a 3092 event is generated if the policy is in enforce mode.
ManagedInstallerEnabled ManagedInstallerEnabled	Политика доверяет MI Policy trusts a MI
PassesManagedInstaller PassesManagedInstaller	Файл исходил из доверенного mi File originated from a trusted MI
SmartlockerEnabled SmartlockerEnabled	Политика доверяет isG Policy trusts the ISG
PassesSmartlocker PassesSmartlocker	Файл с положительной репутацией File had positive reputation
AuditEnabled AuditEnabled	Имеет true, если политика находится в режиме аудита, в противном случае она находится в режиме принудительного применения True if the policy is in audit mode, otherwise it is in enforce mode

Включение событий диагностики isG и MI Enabling ISG and MI diagnostic events

Чтобы включить события аудита 3091 и события блокировки 3092, необходимо создать regkey TestFlags со значением 0x100. In order to enable 3091 audit events and 3092 block events, you must create a TestFlags regkey with a value of 0x100. Это можно сделать с помощью следующей команды PowerShell: You can do so using the following PowerShell command:

Чтобы включить события 3090, а также события 3091 и 3092, необходимо создать regkey TestFlags со значением 0x300. In order to enable 3090 allow events as well as 3091 and 3092 events, you must instead create a TestFlags regkey with a value of 0x300. Это можно сделать с помощью следующей команды PowerShell: You can do so using the following PowerShell command:

Как использовать просмотр событий Windows для решения проблем с компьютером

Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

• Администрирование Windows для начинающих
• Редактор реестра
• Редактор локальной групповой политики
• Работа со службами Windows
• Управление дисками
• Диспетчер задач
• Просмотр событий (эта статья)
• Планировщик заданий
• Монитор стабильности системы
• Системный монитор
• Монитор ресурсов
• Брандмауэр Windows в режиме повышенной безопасности

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Где и что находится в просмотре событий

Интерфейс данного инструмента администрирования можно условно разделить на три части:

• В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
• По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
• В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — Работает и посмотрите, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события — использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать — ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.