Главная » Linux

Журнал действий windows нужен ли

Содержание
  1. Как использовать журнал событий системы Windows 10
  2. Что такое средство просмотра событий Windows
  3. Как запустить средство просмотра событий Windows
  4. Обзор и сводка по событиям
  5. Журналы просмотра событий Windows
  6. Журналы Windows
  7. Журналы приложений и служб
  8. Просмотр логов и событий
  9. Окно свойства события
  10. Вкладка «Общие»
  11. Вкладка «Подробности»
  12. Получить дополнительную информацию о событиях
  13. Выполнить действие в ответ на событие
  14. Журнал действий Windows 10 и конфиденциальность
  15. Управление параметрами журнала действий
  16. На вашем устройстве
  17. На мобильном устройстве (iOS и Android)

Как использовать журнал событий системы Windows 10

Средство просмотра событий Windows является одним из инструментов администрирования операционной системы Microsoft.

В первой части руководства будет объяснено, для чего используется этот инструмент и какая информация хранится в его регистрах.

Во второй части руководства мы увидим, как прочитать свойства события и как создать персонализированный вид событий.

Что такое средство просмотра событий Windows

Просмотрщик событий – самый мощный диагностический инструмент в Windows. Его использование имеет фундаментальное значение для контроля целостности системы, поскольку предоставляет подробную информацию обо всех событиях, происходящих на ПК. Событие представляет собой явление, которое происходит внутри системы и передается наружу, – к пользователю или к другим программам, и обычно соответствует состоянию или изменениям конфигурации. События регистрируются службой журнала событий Windows, а их история сохраняется в соответствующих системных журналах.

Средство просмотра событий Windows помогает в анализе проблемы, поскольку позволяет просматривать аппаратные и программные аномалии различной природы (сбой при запуске службы, сбой системы, невозможность установить обновление, повреждение в структуре файловой системы, конфликт IP-адресов).

Как запустить средство просмотра событий Windows

Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.

Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.

  1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
  2. Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК .
  3. Откроется оснастка «Просмотр событий».

  • Разверните её на весь экран.

    • Обзор и сводка по событиям

    Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.

    Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).

    Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.

    В столбце Тип события можно нажать + , чтобы развернуть категорию и просмотреть источник событий того же типа.

    Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая + .

    Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.

    Журналы просмотра событий Windows

    Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.

    Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.

    В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».

    Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.

    Журналы Windows

    В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:

    • Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
      • Ошибка : указывает на критическую проблему, которая могла привести к потере данных или функциональности.
      • Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
      • Информация : описывает правильную работу драйвера, программы или службы.
    • Безопасность. Журнал безопасности содержит события аудита, связанные с попытками пользователя подключиться и использованием защищенных ресурсов (создание, открытие, удаление файлов). Журнал безопасности идентифицирует события, используя два типа значков: значок ключа и значок замка.
      • Ключ: идентифицирует события типа успешная проверка.
      • Замок: идентифицирует события типа проверка не удалась.
    • Установка. Журнал установки содержит события, связанные с установкой приложений.
    • Система. В журнале системы указываются события, создаваемые системными компонентами Windows и установленными функциями, такие как драйвер. Например, если драйвер не загружается во время сеанса загрузки, это событие сохраняется в системном журнале. Также в этом журнале события классифицируются как Ошибка, Предупреждение или Информация.
    • Перенаправленные события. В журнале сохраняются события, произошедшие на удаленных компьютерах.
    Читайте также:  Windows 10 не восстанавливаются сетевые диски

    Журналы приложений и служб

    В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.

    Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.

    Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.

    Просмотр логов и событий

    Когда мы выбираем журнал на левой панели средства просмотра событий Windows, на центральной панели отображается список его событий, упорядоченный в обратном хронологическом порядке.

    В поле ниже показано содержимое, относящееся к выбранному событию.

    Окно свойства события

    Чтобы просмотреть детали одного события, мы должны использовать окно Свойства события. Чтобы открыть его, дважды щелкните левой кнопкой мыши на событии в центральной панели.

    В окне «Свойства события» мы можем выбрать вкладку Общие или Подробности.

    Вкладка «Общие»

    Вкладка «Общие» содержит следующую информацию:

    • Имя журнала: указывает имя журнала, который заархивировал событие.
    • Источник: Указывает источник события. Может указывать название программы, системного компонента или большой программы.
    • Код события: это число, которое однозначно определяет тип события. Например, число 6005 – это идентификатор события, который всегда будет указывать на начало журнала событий.
    • Уровень: указывает уровень серьезности события. В системном журнале и в журнале приложений у нас могут быть следующие уровни серьезности (представленные символом):
      • Информация: указывает на успех операции, изменение приложения, создание ресурса или запуск службы.
      • Предупреждение: указывает на событие, которое может вызвать проблему в будущем, если не будет предпринято никаких корректирующих действий.
      • Ошибка: указывает на событие, которое описывает проблему, которая может повлиять на правильную функциональность системы или приложения, которое вызвало событие. События ошибок могут включать потерю данных или функциональность.
      • Критичное: указывает на ошибку, которая не позволяет выполнить автоматическое восстановление системы или приложения, которое вызвало событие.
    • Пользователь: указывает имя пользователя, вошедшего в систему, когда произошло событие.
    • Код операции: это 1-байтовое числовое значение, которое идентифицирует действие или точку в действии, выполняемом приложением в момент возникновения события. Используется для представления определенного действия или части действия, выполняемого программным обеспечением, но также и для процессов, основанных на действиях трассировки, таких как веб-службы, где действие представляет собой конкретный запрос, полученный веб-службой.
    • Дата: указывает дату и время, когда событие было записано.
    • Категория задачи: это классификация события, основанная на происхождении события (используется в журнале безопасности).
    • Ключевые слова: указывает категорию или тег, полезные для фильтрации или поиска по событиям.
    • Компьютер: указывает имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но это может быть имя компьютера, который переадресовал событие, или имя локального компьютера до того, как его имя было изменено.

    Вкладка «Подробности»

    Вкладка «Подробности» содержит дополнительную информацию о событии.

    Информация разделена на два раздела (расширяется нажатием + ):

    • System: содержит общую информацию, общую для каждого экземпляра события, например, некоторые системные параметры, записанные при публикации экземпляра.
    • EventData: содержит структурированную информацию о приложении.

    Получить дополнительную информацию о событиях

    Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

    Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

    Выполнить действие в ответ на событие

    Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.

    Читайте также:  Затемнение монитора windows 10

    Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.

    Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.

    Журнал действий Windows 10 и конфиденциальность

    Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на вашем устройстве. После входа в систему устройства с учетной записью Майкрософт и с вашего разрешения Windows отправляет журнал действий корпорации Майкрософт. Корпорация Майкрософт использует журнал действий, чтобы персонализировать взаимодействие (например, упорядочивать действия на основе продолжительности использования) и рекомендации (например, прогнозируя ваши потребности на основе журнала действий).

    Следующие компоненты Windows 10 используют журнал действий. Возвращайтесь на эту страницу за новостями о будущих выпусках и обновлениях для Windows, чтобы узнать, какие дополнительные службы и компоненты используют журнал действий:

    Временная шкала. Вы можете просматривать временную шкалу действий и возобновлять эти действия на вашем устройстве. Например, предположим, что вы редактировали документ Word на устройстве, но не завершили работу, когда вам потребовалось покинуть офис. Если на странице Параметры журнала активности установлен флажок сохранять журнал активности на этом устройстве , вы увидите, что действия Word на временной шкале находятся на следующем днем и в течение нескольких дней, а также с того, что вы можете продолжить работу над ним. Если вы установили флажок Отправить историю активности в Microsoft , и вы не можете завершить работу, прежде чем приступить к работе с Office на этот день, не только вы видите, что активность Word на временной шкале займет до 30 дней, но вы также можете возобновить работу над ним позже с другого устройства.

    Кортана. Если журнал действий ведется только на устройстве, Кортана позволяет возобновить работу с того же места на этом устройстве. Если вы решили отправлять ваши действия в облако, вы можете продолжить работу там же, где вы закончили, на других устройствах. Кортана будет уведомлять вас об этих действиях, чтобы вы могли быстро продолжить их на этом устройстве и, если синхронизация включена, на других устройствах. Обратите внимание на то, что для работы на разных устройствах, где вы остановились, вам нужно включить в кортаны разрешение на доступ к журналу браузера . Для этого откройте домашнюю страницу Кортаны в поле поиска на панели задач, а затем выберите параметры > кортаны > разрешения > Управление информацией, которую Кортана сможет получать с этого устройства > журнал браузера.

    Microsoft Edge. При использовании Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действия не сохраняется при использовании вкладок или окон InPrivate.

    Если вы вошли в систему устройства с учетной записью Майкрософт и включили этот параметр для отправки в корпорацию Майкрософт журнала действий, корпорация Майкрософт будет использовать данные журнала действий для поддержки взаимодействия между устройствами. Поэтому даже при переходе на другое устройство вы будете видеть уведомления о ваших действиях и сможете возобновить их. Например, журнал действий также можно отправить в корпорацию Майкрософт при использовании другого устройства с Windows 10 или некоторых приложений Майкрософт на устройстве Android или iOS. Вы можете продолжить действия, которые вы начали на других устройствах, на своем устройстве с Windows. Изначально эта возможность будет доступна только в Microsoft Edge на мобильных устройствах, но скоро будет реализована для мобильных приложений Office, таких как Word, Excel и PowerPoint.

    Корпорация Майкрософт также будет использовать журнал действий для улучшения продуктов и служб Майкрософт, если параметр отправки журнала действий в Майкрософт включен. Мы применяем методы машинного обучения, чтобы лучше понять, как клиенты в общем используют наши продукты и службы. Мы также отслеживаем ошибки, с которыми сталкиваются клиенты, и помогаем их исправить.

    Для нескольких учетных записей: журнал активности собирается и хранится локально для каждой локальной учетной записи, личной учетной записи Майкрософт (MSA) или рабочей или учебной учетной записи (AAD), связанной с устройством, в параметрах > учетные записи > электронной почты & учетныезаписи. Если вы решили отправлять журнал действий корпорации Майкрософт, действия основной учетной записи на этом устройстве отправляются корпорации Майкрософт. Если у вас несколько устройств и несколько учетных записей на этих компьютерах, вы сможете увидеть журнал действий из основной учетной записи второго устройства на первом устройстве (в качестве дополнительного учетной записи). Эти учетные записи также можно просмотреть в разделе параметры > Конфиденциальность >,где вы можете отфильтровать действия из определенных учетных записей, которые будут отображаться на временной шкале. Скрытие учетной записи не приводит к удалению данных на устройстве или в облаке. В следующем разделе представлены дополнительные сведения об управлении данными.

    Читайте также:  Openvpn windows no dhcp

    Чтобы узнать больше о том, как продукты и службы Майкрософт используют эти данные для персонализации работы в соответствии с вашей конфиденциальностью, ознакомьтесь с заявлением о конфиденциальности.

    Управление параметрами журнала действий

    На вашем устройстве

    Чтобы остановить сохранение журнала активности на устройстве, нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. На этой странице снимите флажок сохранять журнал действий на этом устройстве .
    Открытие параметров журнала активности

    Если отключить этот параметр, вы не сможете использовать компоненты на устройстве, которые зависят от журнала действий, такие как возможности продолжить с места остановки временной шкалы и Кортаны. Вы по-прежнему сможете просматривать журнал браузера в Microsoft Edge.

    В предыдущих версиях Windows этот параметр называется » разрешить Windows собирать мои действия с этого компьютера«.

    Чтобы остановить отправку журнала активности в корпорацию Майкрософт, нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. На этой странице снимите флажок отправлять историю действий в Microsoft .

    Если вы выключили этот параметр, вы не сможете использовать полную временную шкалу на 30 дней или возможности продолжения работы на разных устройствах.

    В предыдущих версиях Windows этот параметр называется » разрешить Windows синхронизировать мои действия с этого компьютера и облако».

    В Windows есть дополнительные параметры конфиденциальности, которые определяют, отправляются ли в корпорацию Майкрософт сведения о действиях приложений и об истории браузера, например параметры данных диагностики .

    Если у вас есть личная учетная запись Майкрософт (MSA), вы можете управлять данными журнала активности, которые связаны с учетной записью Майкрософт в облаке, выбрав пункт Управление данными о действиях в учетной записи Майкрософт. Войдя в панель мониторинга конфиденциальности, откройте вкладку История активности и выберите данные, которыми вы хотите управлять.

    Если у вас есть рабочая или учебная учетная запись, вы можете очистить и удалить журнал действий, который хранится на устройстве, и журнал действий, отправленный в облако корпорации Майкрософт. Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. В разделе Очистить журнал действийнажмите кнопку очистить.

    Если у вас несколько учетных записей и рабочая или учебная учетная запись (AAD) является основной на устройстве, очистка журнала действий приведет к удалению журнала действий рабочей и (или) учебной учетной записи (AAD), синхронизированной с облаком. Чтобы управлять личной учетной записью Майкрософт (MSA) в облаке, выберите пункт Управление данными о действиях в учетной записи Майкрософт. Если у вас несколько учетных записей (MSA и AAD), но личная учетная запись (MSA) является основной на устройстве, и вы хотите удалить действия учетной записи AAD, перейдите на другое устройство, где основной учетной записью является рабочая или учебная учетная запись (AAD) и очистите журнал действий на этом устройстве.

    На временной шкале можно очистить отдельные действия или все действия отдельного дня. Для этого щелкните правой кнопкой мыши действие и выберите нужный параметр.

    На мобильном устройстве (iOS и Android)

    Некоторые приложения, такие как Microsoft Edge mobile (iOS и Android), позволяют отключить общий доступ к журналу браузера. Для других приложений, таких как Microsoft Office, можно выйти из приложения, журнал действий из которого больше не требуется отправлять корпорации Майкрософт. Вы можете управлять данными журнала активности, которые хранятся в облаке для своей учетной записи Майкрософт, выбрав пункт Управление данными о действиях в учетной записи Майкрософт.

    Оцените статью
    © 2024 Советы по настройке компьютера