Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;

Система и безопасность

далее необходимо перейти в раздел «Администрирование» ;

после кликнуть мышкой по ярлыку «Просмотр событий» .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.

Приступая к работе с журналом доступа пользователей Get Started with User Access Logging

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Ведение журнала доступа пользователей (UAL) — это функция в Windows Server, которая собирает данные об использовании клиентов по ролям и продуктам на локальном сервере. User Access Logging (UAL) is feature in Windows Server that aggregates client usage data by role and products on a local server. Он помогает администраторам Windows Server количественно определить запросы от клиентских компьютеров для ролей и служб на локальном сервере. It helps Windows server administrators quantify requests from client computers for roles and services on a local server.

UAL устанавливается и включается по умолчанию и собирает данные практически в реальном времени. UAL is installed and enabled by default, and collects data in nearly real-time. Выполнение настройки администратором не требуется (хотя UAL можно отключать и включать). No administrator configuration is required, although UAL can be disabled or enabled. Дополнительные сведения см. в разделе Управление ведением журнала доступа пользователей. For more information, see Manage User Access Logging. Служба ведения журнала доступа пользователей объединяет данные об использовании клиентов по ролям и продуктам в файлы локальной базы данных. The User Access Logging service aggregates client usage data by roles and products into local database files. ИТ-администраторы могут затем использовать инструментарий управления Windows (WMI) или командлеты Windows PowerShell для получения данных о количестве и экземплярах по роли сервера (или по программному продукту), по пользователю, устройству, локальному серверу и дате. IT administrators can later use Windows Management Instrumentation (WMI) or Windows PowerShell cmdlets to retrieve quantities and instances by server role (or software product), by user, by device, by the local server, and by date.

Практическое применение Practical applications

UAL выполняет статистическое вычисление уникальных событий клиентского устройства и запросов пользователей, вошедших в локальную базу данных. UAL aggregates unique client device and user request events that are logged into a local database. Доступ к этим записям (с помощью запроса администратора сервера) позволяет получать сведения о количестве и экземплярах по роли сервера, пользователю, устройству, локальному серверу и дате. These records are then made available (through a query by a server administrator) to retrieve quantities and instances by server role, by user, by device, by the local server, and by date. Кроме того, UAL был расширен, чтобы позволить разработчикам программного обеспечения сторонних разработчиков выполнять инструментирование событий UAL, которые должны быть объединены в Windows Server. In addition, UAL has been extended to enable non-Microsoft software developers to instrument their UAL events to be aggregated by Windows Server.

UAL может выполнять следующие задачи: UAL can perform the following tasks:

Определение количества клиентских запросов пользователя для локальных физических или виртуальных серверов. Quantify client user requests for local physical or virtual servers.

Определение количества клиентских запросов пользователя для установленных программных продуктов на локальном физическом или виртуальном сервере. Quantify client user requests for installed software products on a local physical or virtual server.

Получение данных о локальном сервере под управлением Hyper-V для определения периодов высокой и низкой частоты обращений к виртуальному компьютеру Hyper-V. Retrieve data on a local server running Hyper-V to identify periods of high and low demand on a Hyper-V virtual computer.

Получение данных UAL с нескольких удаленных серверов. Retrieve UAL data from multiple remote servers.

Кроме того, разработчики программного обеспечения могут выполнять инструментирование событий UAL, которые затем могут быть объединены и извлечены с помощью WMI и интерфейсов Windows PowerShell. In addition, software developers can instrument UAL events that can then be aggregated and retrieved by using WMI and Windows PowerShell interfaces.

UAL поддерживает следующие службы и роли сервера: The following server roles and services can be supported by UAL:

Службы сертификатов Active Directory (AD CS) Active Directory Certificate Services (AD CS)

Службы управления правами Active Directory (AD RMS) Active Directory Rights Management Services (AD RMS)

Служба доменных имен (DNS) Domain Name System (DNS)

Служба UAL собирает данные DNS каждые 24 часа. Для этого сценария предусмотрен отдельный командлет UAL. UAL collects DNS data every 24 hours, and there is a separate UAL cmdlet for this scenario.

Протокол DHCP Dynamic Host Configuration Protocol (DHCP)

Факс-сервер Fax Server

Файловые службы File Services

FTP-сервер File Transfer Protocol (FTP) Server

Служба UAL собирает данные Hyper-V каждые 24 часа. Для этого сценария предусмотрен отдельный командлет UAL. UAL collects Hyper-V data every 24 hours, and there is a separate UAL cmdlet for this scenario.

Веб-сервер (IIS) Web Server (IIS)

Для использования UAL со службами IIS необходимо использовать iisual.exe. To use UAL with IIS, you must use iisual.exe. Дополнительные сведения см. в разделе Анализ данных о клиентском использовании с помощью ведения журнала доступа пользователей служб IIS. For more information, see Analyzing Client Usage Data with IIS User Access Logging.

Службы очереди сообщений Майкрософт (MSMQ) Microsoft Message Queue (MSMQ) Services

Network Policy and Access Services Network Policy and Access Services

Службы печати и документов Print and Document Services

Служба маршрутизации и удаленного доступа (RRAS) Routing and Remote Access Service (RRAS)

Службы развертывания Windows (WDS) Windows Deployment Services (WDS)

Службы Windows Server Update Services (WSUS) Windows Server Update Services (WSUS)

Службу UAL не рекомендуется использовать на серверах, которые подключены непосредственно к Интернету, таких как веб-серверы в адресном пространстве, доступном из Интернета, или в тех случаях, когда предельно высокая производительность является основной функцией сервера (например, в средах с рабочими нагрузками высокопроизводительных вычислений). UAL is not recommended for use on servers that are connected directly to the Internet, such as web servers on an Internet-accessible address space, or in scenarios where extremely high performance is the primary function of the server (such as in HPC workload environments). В основном это решение предназначено для малых, средних и корпоративных интрасетей, в которых предполагается наличие большого объема данных, но не так интенсивно, как развертывания, обслуживающие объем трафика в Интернете на регулярной основе. UAL is primarily intended for small, medium, and enterprise intranet scenarios where high volume is expected, but not as high as deployments that serve Internet-facing traffic volume on a regular basis.

Важные функции Important functionality

Ниже перечислены основные функции ведения журнала доступа пользователей и указано их потенциальное применение. The following table describes key functions of UAL and their potential value.

Функция Functionality	Значение Value
Сбор и статистическая обработка данных событий запросов клиента в режиме, близком к реальному времени. Collect and aggregate client request event data in near real-time.	Можно сохранить данные за период до трех лет. Up to three years of data can be saved. Важно. Администраторам необходимо обеспечить соответствие собираемых данных и сроку хранения данных согласно политике конфиденциальности Организации и местным нормативным требованиям. Important: Administrators need to enforce compliance of the data collected and data retention periods with the organization’s privacy policy and local regulations.
Запрос UAL с помощью интерфейсов WMI или Windows PowerShell для получения данных клиентских запросов на локальном или удаленном сервере. Query UAL by using WMI or Windows PowerShell interfaces to retrieve client request data on a local or remote server.	Служба UAL обеспечивает единое представление текущих данных об использовании. UAL enables a single view of ongoing usage data. Администраторы серверов и предприятий могут получать эти данные и оптимизировать использование корпоративных лицензий на программное обеспечение, сотрудничая с администрацией. Server and enterprise administrators can retrieve this data and coordinate with business administrators to optimize use of their volume software licenses.
Включен по умолчанию. Enabled by default.	Администраторам серверов не требуется каким-либо образом настраивать этот компонент для получения доступа ко всем основным функциональным возможностям и обеспечения их правильной работы. Server administrators do not need to configure or otherwise set up this feature for all core functionality to be available and working.

Данные, заносимые в журнал с помощью UAL Data logged with UAL

Приведенные ниже данные о пользователях записаны с помощью UAL. The following user-related data is logged with UAL.

Данные Data	Описание Description
UserName UserName	Имя пользователя на стороне клиента, сопровождающее записи UAL, полученные из установленных ролей и продуктов, если это применимо. The user name on the client that accompanies the UAL entries from installed roles and products, if applicable.
Число действий ActivityCount	Количество обращений отдельного пользователя к роли или службе. The number of times a particular user accessed a role or service.
FirstSeen FirstSeen	Дата и время первого доступа пользователя к роли или службе. The date and time when a user first accesses a role or service.
LastSeen LastSeen	Дата и время последнего доступа пользователя к роли или службе. The date and time when a user last accessed a role or service.
ProductName ProductName	Имя родительского программного продукта (например, Windows), предоставляющего данные UAL. The name of the software parent product, such as Windows, that is providing UAL data.
RoleGUID RoleGUID	Идентификатор GUID, назначенный или зарегистрированный UAL, представляющий роль сервера или установленный продукт. The UAL assigned or registered GUID that represents the server role or installed product.
RoleName RoleName	Имя роли, компонента или подпродукта, предоставляющего данные UAL. The name of the role, component, or subproduct that is providing UAL data. Оно также связано с компонентами ProductName и RoleGUID. This is also associated with a ProductName and a RoleGUID.
TenantIdentifier TenantIdentifier	Уникальный код GUID для клиента установленной роли или продукта, сопровождающий данные UAL, если применимо. A unique GUID for a tenant client of an installed role or product that accompanies the UAL data, if applicable.

Приведенные ниже данные об устройствах записаны с помощью UAL. The following device-related data is logged with UAL.

Данные Data	Описание Description
IPAddress IPAddress	IP-адрес клиентского устройства, использующегося для доступа к роли или службе. The IP address of a client device that is used to access a role or service.
Число действий ActivityCount	Количество обращений отдельного устройства к роли или службе. The number of times a particular device accessed the role or service.
FirstSeen FirstSeen	Дата и время, когда IP-адрес первый раз использовался для доступа к роли или службе. The date and time when an IP address was first used to access a role or service.
LastSeen LastSeen	Дата и время, когда IP-адрес последний раз использовался для доступа к роли или службе. The date and time when an IP address was last used to access a role or service.
ProductName ProductName	Имя родительского программного продукта (например, Windows), предоставляющего данные UAL. The name of the software parent product, such as Windows, that is providing UAL data.
RoleGUID RoleGUID	Идентификатор GUID, назначенный или зарегистрированный UAL, представляющий роль сервера или установленный продукт. The UAL-assigned or registered GUID that represents the server role or installed product.
RoleName RoleName	Имя роли, компонента или подпродукта, предоставляющего данные UAL. The name of the role, component, or subproduct that is providing UAL data. Оно также связано с компонентами ProductName и RoleGUID. This is also associated with a ProductName and a RoleGUID.
TenantIdentifier TenantIdentifier	Уникальный код GUID для клиента установленной роли или продукта, сопровождающий данные UAL, если применимо. A unique GUID for a tenant client of an installed role or product that accompanies the UAL data, if applicable.

Требования к программному обеспечению Software requirements

UAL можно использовать на любом компьютере под управлением версий Windows Server после Windows Server 2012. UAL can be used on any computer running versions of Windows Server after Windows Server 2012.