Event Viewer is a standard Windows tool that reads Windows event logs and displays detailed information about Windows events on your computer. Although Event Viewer does its job well, it provides only basic functions. Third-party Windows event log viewer tools commonly extend the functionality of Windows Event Viewer. Our Event Log Explorer brings many new features for event log management.
How to open Event Viewer?
The most common way to open Event Viewer is as follows:
Open Windows Control Panel
Click System and Security
Click Administrative Tools
Double-click Event Viewer.
Other ways to open Event Viewer:
Run Event Viewer from Command Prompt:
Open Windows Command Prompt, type command:
and press Enter.
Run Event Viewer from Windows Power Shell:
Open Power Shell, type command
and press Enter.
Run Event Viewer from Run dialog.
Open Run dialog by pressing Windows+R.
Type eventvwr.msc (or eventvwr.exe) and click OK.
Как использовать журнал событий в Windows
Run Event Viewer in Microsoft Management Console.
Open Microsoft Management Console (mmc.exe)
Select File->Add/Remove snap-in from the main menu.
Select Event Viewer, then click Add button.
Select the computer you want to view event logs on (e.g. local computer) and press OK.
Press Ok in Add or Remove snap-in dialog.
Then click on Event Viewer from Microsoft Management Console window.
I am unable to open Event Viewer by typing its name. Where is Event Viewer location?
Event Viewer location is
C:WindowsSystem32eventvwr.exe
C:WindowsSystem32eventvwr.msc
How to use Event Viewer?
- Open Windows Event Viewer.
- If you want to read events on a remote computer, click on Event Viewer (Local) in the tree, then click Action and select Connect to another computer.
Application, Security and System logs are located in Windows Logs folder. Other logs are located in Applications and Services Logs in the tree.
More information about Event Viewer usage is available in Event Viewer Help.
However, we recommend using Event Log Explorer as an Event Viewer alternative.
Event Log Explorer
- Version: 5.3
- Released: 14-Dec-2022
- Supported OS: Vista, 7, 8, 10, 11, 2008, 2012, 2016, 2020
- Download release
Links
- Compare editions
- Get license
- Local resellers
- Our customers
- Online Help
- Event Log Essentials
- Screenshots Tutorials —>
- Version history
- Our Blog
- FSPro Labs home page
Blog posts
- Latest post:
Troubleshooting unplanned Windows automatic wake-ups - Featured article:
Filtering all the way
Источник: eventlogxp.com
Event Viewer — What is going on with Windows?
Активное использование системных журналов
Когда на компьютере происходит какое-либо значимое событие, операционная система записывает это событие в журнал. Входом в журналы служит Event Viewer (eventvwr.exe). Большинство администраторов открывают Event Viewer, только когда пытаются решить какую-нибудь проблему, и многие знакомые администраторы говорят мне, что используют Event Viewer только на серверах. Оба подхода ошибочны, потому что периодическая проверка системных журналов часто позволяет выявлять неполадки на ранней стадии, до того как они превратятся в серьезную проблему. Уметь пользоваться Event Viewer очень важно, поэтому я хочу предложить читателям краткий обзор по этой теме и представить свои способы работы с Event Viewer.
Общие сведения
Event Viewer открывается через меню Administrative Tools (если это меню добавлено в Programs) или через приложение Administrative Tools панели управления. Консоль программы Event Viewer содержит список доступных журналов. На компьютерах Windows по умолчанию имеются следующие журналы:
- Application (журнал приложе-ний) — содержит события, записываемые программами. Приложение определяет типы записываемых событий и язык сообщения.
- Security (журнал безопасности) — содержит события, относящиеся к безопасности компьютера, такие как попытки регистрации в системе или манипуляции с файлами.
- System (журнал системы) — содержит события, записываемые компонентами Windows.
В системах Windows Server 2003 и Windows 2000 Server в зависимости от роли сервера можно также использовать следующие журналы:
- Directory Service — содержит события, имеющие отношение к Active Directory (AD), и доступен только на контроллерах домена (DC).
- File Replication Service — содержит события, записываемые во время репликации между DC, и доступен только на DC.
- DNS Server — содержит события, относящиеся к разрешению имен DNS, и доступен только на серверах DNS.
Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:
- Error (ошибка) — сигнализирует об актуальной проблеме, которая может касаться потери функциональности, такой как нарушение корректного запуска служб и драйверов.
- Warning (предупреждение) — указывает на проблему, которая впоследствии может стать серьезной, если не обращать внимания на предупреждение. Предупреждения сугубо информативны и не свидетельствуют о наличии проблемы в настоящем или обязательном ее появлении в будущем.
- Success Audit (аудит успехов) — это событие, имеющее отношение к системе безопасности, которое произошло и записывается потому, что система или администратор включили аудит данного события.
- Failure Audit (аудит отказов) — это событие, имеющее отношение к системе безопасности, которое не произошло, но запись о нем делается потому, что система или администратор включили аудит данного события.
Информация, отображаемая в Event Viewer, включает дату и время, когда произошло событие, источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал), категорию события, ID события, имя пользователя, который был зарегистрирован в системе, когда событие произошло (не обязательно) и имя компьютера, на котором произошло событие. Для того чтобы просматривать журнал Security, необходимо иметь права администратора.
Настройка Event Viewer
Системные журналы начинают функционировать автоматически при запуске операционной системы. Размеры журнальных файлов ограничены, и система записывает события, удаляя старые записи в соответствии с выбором параметров журнала. Чтобы просмотреть или изменить конфигурацию, нужно щелкнуть правой кнопкой на имени журнала в списке Event Viewer и выбрать в раскрывающемся меню пункт Properties. Должно появиться соответствующее диалоговое окно свойств, как показано на экране 1.
 |
| Экран 1. Настройка размеров и режима перезаписи журнала System |
Менять конфигурацию следует в зависимости от ситуации. Если вы не вносите существенных изменений в конфигурацию журнала или не видите необходимости в аудите событий, то работа настроек по умолчанию должна вас устроить.
Настройка по умолчанию для максимального размера файла журнала составляет 512 Кбайт, и когда журнал заполнен, система автоматически заменяет старые записи новыми через 7 дней. Однако, если в систему вносятся существенные изменения или вводится в действие подробный аудит, журналы, скорее всего, начнут заполняться многочисленными записями. Если журнал оказывается заполненным и не содержит записей, хранящихся более 7 дней, утилите Event Viewer будет нечего удалить, чтобы освободить место для новых записей, и система прекратит записывать события. В этой ситуации нужно увеличить размер журнального файла или выполнить настройку журнала на затирание старых записей по мере необходимости (вариант Overwrite events — as needed).
Фильтры
Когда администратор исследует журнал, чтобы решить какую-либо проблему, или проверяет реакцию компьютера на существенное изменение конфигурации, он может ускорить этот процесс, избавившись от не имеющих отношения к делу записей в панели Details. Диалоговое окно Properties каждого журнала имеет вкладку Filter, с помощью которой выбираются типы отображаемых событий.
Например, вы не хотите видеть информационные записи от определенных компьютеров или вы хотите видеть только события, произошедшие в течение недели после внесения системных изменений. Следует просто нужным образом выбрать фильтры (или отменить выбор). Помните, что фильтры влияют только на то, что отображается в окне; система продолжает записывать в журнал события тех типов, которые были отфильтрованы. Например, если есть основания полагать, что возникла угроза системе безопасности в виде вторжения извне, можно оставить для отображения события только тех типов, быстрый взгляд на которые позволяет обнаружить аномалии в регистрации, такие как события с ID 675 и 681, соответствующие неудачным попыткам аутентификации, или событие с ID 644, означающее блокировку учетной записи вследствие многократного некорректного ввода пароля.
Сортировка журнала
Погружаясь в решение какой-нибудь проблемы, я предпочитаю сортировать журналы, чтобы иметь возможность находить нужные записи непосредственно по типу события, идентификационному номеру (ID) события или по предполагаемому источнику сообщения. Например, я могла бы задаться целью найти событие Userenv, если проблема касается некоторого пользователя, имеющего проблемы с доступом в сети.
Общее событие Userenv имеет ID 1000 в журнале приложений и его описание гласит, что Windows не смогла определить имя пользователя или компьютера. Это означает, что конфигурация TCP/IP компьютера для обращения к DNS-серверу установлена некорректно. Администраторы сплошь и рядом используют неправильные адреса при настройке DNS на клиентских компьютерах; я часто нахожу IP-адрес шлюза в поле для адреса DNS. Проверку журнала компьютера-«обидчика» со своей рабочей станции обычно выполнить проще, чем идти к клиентскому компьютеру и проверять настройки TCP/IP.
Чтобы сосредоточиться на событиях конкретных типов, нужно выбрать подходящий журнал в консоли, раскрыть его содержимое, затем щелкнуть область заголовка столбца, по которому предстоит выполнить сортировку. По умолчанию журналы отсортированы по дате, а затем по времени.
Очистка журнала
Любой журнал можно очистить, чтобы освободить дополнительное место для записей. Если выбрана настройка Do not overwrite events (clear log manually) —«Не затирать события (очистка журнала вручную)», необходимо периодически чистить журнал.
Чтобы очистить журнал, следует щелкнуть правой кнопкой на названии журнала в списке консоли Event Viewer и выбрать пункт Clear all Events («Стереть все события»). Система спрашивает, нужно ли сохранить журнал перед тем, как очистить его. Если в журнале есть записи, которые могли бы пригодиться в будущем (например, при длительном отслеживании проблемы), можно выполнить архивацию содержимого журнала.
Архивация журнала
Любой журнал можно заархивировать как отдельный файл — это полезно, если в журнале появляются необычные записи и требуется понаблюдать некоторое время за изменением его содержимого. Иногда в журналах появляются события, которые выглядят угрожающе, но пользователь не ощущает никаких проблем. Если проблемы возникнут позже, сотрудникам службы поддержки Microsoft, возможно, будет полезно изучить историю этого события.
Чтобы создать архивную копию журнала, нужно щелкнуть правой кнопкой мыши по названию журнала в консоли и выбрать в меню Save Log File As («Сохранить файл журнала как. »). По умолчанию Windows сохраняет файл в папке Administrative Tools, расположенной в папке C:documentssettingsusernamestart menuprograms. Можно указать другую папку или создать отдельную папку для хранения архивных копий журналов. Я обычно присваиваю журналам имя в формате имя_журнала-дата (например, apps-dec012003). Windows добавляет расширение .evt.
Архивные копии журналов являются отдельными файлами на жестком диске, но открывать их можно только через программу просмотра событий Event Viewer. Для этого следует выбрать пункт Open Log File («Открыть файл журнала») в меню Action (или щелкнуть правой кнопкой по любому объекту в консоли и выбрать Open Log File). В диалоговом окне открытия файла требуется выбрать нужный архив, указать тип журнала (т. е. Application, Security) в меню со списком Log Type, затем щелкнуть Open.
Чтобы удалить архив из консоли, следует щелкнуть правой кнопкой по его названию в списке и выбрать Delete. Это действие не удаляет файл с жесткого диска — только из консоли. Удаление архивной копии журнала с жесткого диска выполняется так же, как и удаление любого другого файла.
Просмотр событий на удаленном компьютере
Чтобы облегчить себе задачу, администратор может со своей рабочей станции просматривать журналы удаленных компьютеров, на которых у него есть административные привилегии. На удаленном компьютере должна быть установлена Windows 2003, Windows XP, Windows 2000 Professional, Windows 2000 Server, Windows NT Server или NT Workstation.
На локальной консоли просмотра событий нужно щелкнуть правой кнопкой Event Viewer (Local) и выбрать Connect to another computer («Подключиться к другому компьютеру»). Следует ввести имя удаленного компьютера, с которым предстоит работать, или щелкнуть Browse, чтобы открыть диалоговое окно, показанное на экране 2, затем выбрать компьютер.
Кроме того, если имя удаленного компьютера известно, нет необходимости вводить его в виде имени UNC. Вид консоли Event Viewer меняется таким образом, что отображает имя UNC удаленного компьютера. На удаленном компьютере можно производить те же действия, что и на локальном Event Viewer. Чтобы вернуться на локальный компьютер, следует щелкнуть правой кнопкой Event Viewer (имя компьютера), выбрать Connect to another computer, а затем Local computer.
 |
| Экран 2. Доступ к удаленному компьютеру из Event Viewer |
Что искать при просмотре событий
Большинство реальных и потенциальных проблем проявляют себя посредством записи событий в тот или иной журнал. Когда вы видите запись с пометкой Error или Warning, будьте внимательны. Поищите информацию об этом событии в Microsoft Knowledge Base или на Web-сайте Windows .NET Magazine/RE, №7 за 2003 год, и на Web-странице http://www.osp.ru/win2000/2003/07/019.htm).
Как остановить запись нежелательных событий
По умолчанию Windows настраивает компьютеры как принт-серверы, которые записывают все события, относящиеся к печати на принтерах. Кроме того, системный журнал компьютера делает информационные записи при каждой отправке документа на принтер и повторно — когда файл спулера удален после выполнения задания на печать.
Для меня события, относящиеся к печати на принтерах, не имеют значения, но некоторые администраторы хотят знать, были ли ошибки в работе с принтерами и если были, то когда; возможна также запись уведомлений, когда кто-то добавляет или удаляет принтер. Сомневаюсь, что администраторы убеждены в необходимости пополнять журнал уведомлений каждый раз, когда задание на печать отправляется спулеру, а потом удаляется.
Можно изменить выбор событий печати, записываемых в системный журнал, в папке Printers компьютера (в Windows 2003 и XP она называется Printers and Faxes). Выберите File, Server Properties и перейдите на вкладку Advanced, показанную на экране 4. Можно просто отменить выбор событий, которые вы не хотите регистрировать в журнале.
 |
| Экран 4. Выбор событий печати, записываемых в журнал System |
Возьмите за правило
Поместите Event Viewer в свой список задач по обслуживанию и периодически проверяйте сетевые компьютеры. Если вы отвечаете за множество компьютеров, обеспечьте по крайней мере еженедельную проверку серверов (особенно контроллеров доменов), а рабочие станции следует проверять так, чтобы каждая рабочая станция попадала в поле зрения раз в несколько недель. Хотя на первый взгляд может показаться, что эта задача очень трудоемкая, устранение серьезной проблемы отнимает намного больше времени и сил, чем проверка журналов для получения дополнительной информации о текущих неполадках.
Источник: www.osp.ru
Что такое средство просмотра событий Windows и как его использовать?
Если вы являетесь пользователем Windows, вы наверняка слышали о программе просмотра событий, но что это такое? В этом руководстве мы подробно рассмотрим средство просмотра событий Windows, обсудим, как получить к нему доступ и что можно с ним делать.
Что такое Windows Event Viewer?
Windows Event Viewer – это встроенная утилита для мониторинга и отслеживания событий Windows. Она собирает и хранит подробную информацию о различных событиях, таких как системные ошибки, предупреждения, сбои приложений и широкий спектр дополнительных информационных сообщений, генерируемых ресурсами Windows и сторонними приложениями, работающими на вашем компьютере.
Вы можете думать о ней как о журнале, который ведет ваш компьютер, документируя всевозможные события, происходящие на нем. Когда что-то работает не так, как должно, вы можете проверить журнал, чтобы выяснить, что пошло не так.
Как получить доступ к средству просмотра событий Windows?
По умолчанию средство просмотра событий Windows включено во все версии Windows и может быть доступно различными способами, как описано ниже.
- Нажмите Win + R , чтобы открыть диалоговое окно Run.
- Введите CMD и нажмите Ctrl + Shift + Enter для запуска командной строки с правами администратора.
Введите eventvwr и нажмите Enter .
Дважды щелкните на «Event Viewer» в следующем окне, чтобы запустить программу.
Что можно сделать с помощью Windows Event Viewer
Вы можете использовать Event Viewer для выполнения различных задач, включая те, о которых говорится ниже:
1. Просмотр системных событий
Одна из основных функций Event Viewer, как следует из названия, заключается в предоставлении возможности просмотра всех событий, генерируемых Windows и другими приложениями на вашем компьютере. Как утилита, программа собирает и регистрирует события по мере их возникновения, то есть вы можете просматривать как активные, так и прошлые события, которые генерируются на вашем компьютере.
В программе просмотра событий Windows вы найдете различные категории событий, но три из них – это те, которые вы будете часто посещать при использовании этого инструмента. Все они находятся в папке «Windows Logs».
- Приложение – регистрирует события, связанные с приложениями, установленными на вашем компьютере. Примеры включают сбои приложений, установку или удаление приложений, обновления приложений и т.д.
- Система – включает события, связанные с Windows и ее компонентами, такие как системные ошибки, предупреждения и уведомления, связанные с аппаратными устройствами, драйверами и системными службами.
- Безопасность – эта категория регистрирует события о действиях, связанных с безопасностью компьютера. Примеры включают попытки входа в систему, изменения учетных записей или привилегий пользователей, изменения сетевой безопасности и т.д.
2. Диагностика проблем
Как уже говорилось ранее, Event Viewer также является инструментом для диагностики проблем на вашем компьютере.
Например, список в колонке «Приложение -> Источник» является полезным индикатором источника события ошибки. Это может быть системный компонент или приложение.
3. Мониторинг производительности
Помимо таких инструментов, как диспетчер задач, вы также можете использовать Event Viewer для получения информации о состоянии вашего компьютера. Он может предоставить важную информацию о системных событиях, таких как использование процессора и дисковая активность, и вы сможете использовать эту информацию, чтобы определить узкие места в производительности и узнать, как оптимизировать систему для повышения производительности.
Кроме того, вы можете получить информацию о показателях производительности системы в разделе «Административные события» или «Система». Просмотрите журналы событий, связанных с процессором или оперативной памятью.
4. Мониторинг использования ПК
Просмотр событий также может быть использован для мониторинга использования ПК путем отслеживания системных событий, связанных с входом, выходом и другими действиями пользователя. Например, вы можете узнать, входил ли кто-то другой в систему на вашем компьютере, просмотрев журналы на вкладке «Безопасность». Аналогично, с помощью этой информации можно проверить историю запуска и выключения компьютера.
5. Просмотр и экспорт журналов ошибок
Одним из других популярных способов использования Event Viewer является просмотр и экспорт подробных журналов ошибок. Будь вы обычным пользователем, администратором или сотрудником IT-отдела, вы найдете сохраненные журналы полезными для выявления причин системных ошибок.
Чтобы экспортировать журналы ошибок, удерживая клавишу Ctrl , выберите каждый из них. Или же выберите «Сохранить все события как» в правой панели, чтобы сохранить все журналы под группой.
Часто задаваемые вопросы
Как долго хранятся события в Windows Event Viewer?
Это все зависит от размера журнала событий и настроек журнала по умолчанию. По умолчанию, Event Viewer перезаписывает события по мере необходимости, когда журнал становится полным. Хорошей новостью является то, что вы можете изменить настройки журнала, чтобы контролировать продолжительность хранения событий. Для этого щелкните правой кнопкой мыши на любой категории журнала и выберите «Свойства». Затем измените опцию «При достижении максимального количества событий» на «Не перезаписывать события»
Могу ли я фильтровать события, записанные в Event Viewer?
Да. Это лучший вариант, если вы хотите быстро найти интересующие вас события. Вы можете фильтровать события по различным критериям, таким как тип события, источник и дата, выбрав опцию «Создать пользовательский вид».
Зарубин Иван Эксперт по Linux и Windows
Опытный системный администратор с большим стажем работы на крупном российском заводе. Иван является энтузиастом OpenSource и любителем Windows, проявляя высокую компетентность в обоих операционных системах. Благодаря его технической грамотности и умению решать сложные задачи, Иван стал неотъемлемой частью команды нашего проекта, обеспечивая непрерывную авторскую работу.
Похожие статьи
- Как настроить перенаправление портов в Windows
- Злоумышленники продолжают использовать подписанные драйверы Microsoft
- Windows 11 заимствует одно из самых больших удобств MacOS
- Как создать резервную копию реестра Windows?
- Что такое DirectStorage в Windows 11?
Источник: itshaman.ru