Средство просмотра событий Windows является одним из инструментов администрирования операционной системы Microsoft.
В первой части руководства будет объяснено, для чего используется этот инструмент и какая информация хранится в его регистрах.
Во второй части руководства мы увидим, как прочитать свойства события и как создать персонализированный вид событий.
Что такое средство просмотра событий Windows
Просмотрщик событий – самый мощный диагностический инструмент в Windows. Его использование имеет фундаментальное значение для контроля целостности системы, поскольку предоставляет подробную информацию обо всех событиях, происходящих на ПК. Событие представляет собой явление, которое происходит внутри системы и передается наружу, – к пользователю или к другим программам, и обычно соответствует состоянию или изменениям конфигурации. События регистрируются службой журнала событий Windows, а их история сохраняется в соответствующих системных журналах.
Средство просмотра событий Windows помогает в анализе проблемы, поскольку позволяет просматривать аппаратные и программные аномалии различной природы (сбой при запуске службы, сбой системы, невозможность установить обновление, повреждение в структуре файловой системы, конфликт IP-адресов).
Просмотр событий и журналы windows
Как запустить средство просмотра событий Windows
Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.
Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.
- Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
- Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК .
- Откроется оснастка «Просмотр событий».
- Разверните её на весь экран.
Обзор и сводка по событиям
Когда мы откроем средство просмотра событий, на панели сведений отобразится сводная информация об административных событиях.
Эту информацию можно просмотреть в любое время, щелкнув запись средства просмотра событий (локальный компьютер) в дереве консоли (левая панель).
Это поле позволяет увидеть, произошли ли значительные события по типу за последний час, день или неделю.
В столбце Тип события можно нажать + , чтобы развернуть категорию и просмотреть источник событий того же типа.
Чтобы получить полный список ошибок из одного источника, в области Сводка административных событий мы расширяем Тип события, нажимая + .
Поместите указатель мыши на код события нажмите правую кнопку мыши. Затем выберите Просмотреть все экземпляры этого события. Вы увидите список событий, взятых из нескольких журналов, что позволит избежать необходимости искать событие в нескольких местах.
Журнал событий: Как просмотреть информацию об ошибках, исправить ошибки в Windows 10, 8 или 7 💥📜💻
Журналы просмотра событий Windows
Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.
Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.
В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».
Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.
Журналы Windows
В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:
- Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
- Ошибка : указывает на критическую проблему, которая могла привести к потере данных или функциональности.
- Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
- Информация : описывает правильную работу драйвера, программы или службы.
- Ключ: идентифицирует события типа успешная проверка.
- Замок: идентифицирует события типа проверка не удалась.
Журналы приложений и служб
В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.
Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.
Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.
Просмотр логов и событий
Когда мы выбираем журнал на левой панели средства просмотра событий Windows, на центральной панели отображается список его событий, упорядоченный в обратном хронологическом порядке.
В поле ниже показано содержимое, относящееся к выбранному событию.
Окно свойства события
Чтобы просмотреть детали одного события, мы должны использовать окно Свойства события. Чтобы открыть его, дважды щелкните левой кнопкой мыши на событии в центральной панели.
В окне «Свойства события» мы можем выбрать вкладку Общие или Подробности.
Вкладка «Общие»
Вкладка «Общие» содержит следующую информацию:
- Имя журнала: указывает имя журнала, который заархивировал событие.
- Источник: Указывает источник события. Может указывать название программы, системного компонента или большой программы.
- Код события: это число, которое однозначно определяет тип события. Например, число 6005 – это идентификатор события, который всегда будет указывать на начало журнала событий.
- Уровень: указывает уровень серьезности события. В системном журнале и в журнале приложений у нас могут быть следующие уровни серьезности (представленные символом):
- Информация: указывает на успех операции, изменение приложения, создание ресурса или запуск службы.
- Предупреждение: указывает на событие, которое может вызвать проблему в будущем, если не будет предпринято никаких корректирующих действий.
- Ошибка: указывает на событие, которое описывает проблему, которая может повлиять на правильную функциональность системы или приложения, которое вызвало событие. События ошибок могут включать потерю данных или функциональность.
- Критичное: указывает на ошибку, которая не позволяет выполнить автоматическое восстановление системы или приложения, которое вызвало событие.
Вкладка «Подробности»
Вкладка «Подробности» содержит дополнительную информацию о событии.
Информация разделена на два раздела (расширяется нажатием + ):
- System: содержит общую информацию, общую для каждого экземпляра события, например, некоторые системные параметры, записанные при публикации экземпляра.
- EventData: содержит структурированную информацию о приложении.
Получить дополнительную информацию о событиях
Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.
Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.
Выполнить действие в ответ на событие
Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.
Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.
Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.
Источник: windows-school.ru
Как посмотреть последние действия на компьютере
Последние действия пользователей на компьютере, системные события и все попытки входа в систему фиксируются операционной системой Windows XP в журналах событий. Журналы делятся на журнал приложений, содержащий записи установленных программ, журнал безопасности, сохраняющий сведения о редактировании файлов и журнал системы, отображающий проблемы загрузки.
Статьи по теме:
- Как посмотреть последние действия на компьютере
- Как восстановить журнал
- Как посмотреть последние страницы
Вам понадобится
- — Windows XP
Инструкция
Используйте кнопку «Пуск» для вызова главного меню системы и перейдите в пункт «Панель управления» для просмотра журналов событий.
Укажите пункт «Производительность и обслуживание» и выберите пункт «Администрирование».
Раскройте ссылку «Управление компьютером» и укажите раздел «Окно просмотра событий» в списке консоли для отображения всех событий.
Укажите журнал, содержащий необходимое событие, и выполните двойной клик мыши на выбранном объекте в списке консоли для просмотра подробностей нужного события. Это действие вызовет открытие диалогового окна свойств выбранного события, хранящего информацию об имени события и описание.
Укажите пункт «Найти» в меню «Вид» верхней панели инструментов окна приложения и введите требуемые характеристики нужного события для выполнения поиска конкретного события.
Нажмите кнопку «Найти далее» для инициации поиска.
Укажите пункт «Фильтр» в меню «Вид» верхней панели инструментов окна приложения и введите требуемые характеристики фильтрации для выполнения поиска по указанным параметрам.
Нажмите кнопку OK для подтверждения выполнения команды и вызовите контекстное меню нужного журнала для определения размера выбранного журнала.
Укажите необходимый размер в поле «Максимальный размер журнала» в разделе «Размер журнала» и введите желаемый вариант перезаписи в разделе «По достижении максимального размера журнала».
Используйте кнопку «Очистить журнал» для удаления всех записей выбранного журнала событий.
Нажмите кнопку OK для применения выбранных изменений и вернитесь в контекстное меню нужного журнала для создания архива информации о событиях.
Укажите пункт «Сохранить файл журнала как» и введите имя файла и место его сохранения в соответствующие поля открывшегося диалогового окна.
Выберите один из трех предлагаемых форматов сохранения — файл журнала, тестовый файл или текстовый файл с запятой в качестве разделителя — в поле «Тип файла» и нажмите кнопку «Сохранить» для выполнения команды.
Источник: www.kakprosto.ru
Как посмотреть журнал событий в Windows 10
Журнал событий — это встроенное в систему средство, с помощью которого можно посмотреть различную информацию о важных действиях, произошедших во время работы ОС. Тут собраны данные о различных ошибках, неполадках и сбоях, которые происходят как в самой системе, так и сторонних приложениях. В этой статье мы подробно расскажем, как запустить журнал событий при помощи нескольких способов в Windows 10.
Варианты запуска приложения 
Открыть журнал можно при помощи различных методов. Запускается программа как вручную через программный файл на диске, так и с использованием различных системных инструментов. Рассмотрим более подробно каждый из доступных методов.
Вариант №1: Диалоговое Окно «Выполнить» 
Самый простой способ запуска журнала — это использование диалогового окна «Выполнить». Чтобы таким образом открыть программу, выполним следующие операции:
- Нажимаем клавиатурную комбинацию «WIN+R».
- Далее в появившееся окно вписываем команду eventvwr.msc
- Кликаем по кнопке «ОК».
Запускаем «Журнал событий» из диалогового окна «Выполнить»
После произведенных действий журнал событий сразу запустится на компьютере.
Вариант №2: Используем поиск Windows 
При помощи системной функции поиска можно запускать различные компоненты Windows, в числе которых находится и журнал событий. Чтобы открыть приложение таким способом, проделаем следующее:
- На панели задач кликаем по иконке поиска или используем клавиатурную комбинацию «WIN+S».
- Далее в поисковую строку вписываем текст — Просмотр событий.
- Из появившихся результатов запускаем найденную программу.
Открываем «Журнал событий» при помощи поиска
После выполненных операций журнал операционной системы будет сразу же запущен.
Вариант №3: Используем панель управления ОС 
Как можно догадаться из названия компонента, панель управления — это специальный раздел, в котором собраны различные утилиты для настройки функционала Windows, где можно отыскать и журнал событий. Чтобы при помощи этого системного раздела запустить нужное нам предложение, проделаем следующие шаги:
- Открываем диалоговое окно «Выполнить»,нажав клавиатурную комбинацию «WIN+R».
- Далее запускаем«Панель управления», вписав туда команду control и кликнув по кнопке «OK».
Открываем «Панель управления» из диалогового окна «Выполнить»
Переходим в раздел «Администрирование»
Запускаем «Журнал событий» выбрав соответствующую иконку
Окно журнала сразу появится на мониторе.
Вариант №4: Создаем ярлык для быстрого запуска программы 
Если пользователь собирается часто использовать журнал системы, для этого будет целесообразно создать ярлык, чтобы быстро запускать приложение. Осуществить это можно, произведя следующие операции:
- Открываем «Панель управления», воспользовавшись диалоговым окном «Выполнить» и вписав туда команду control.
- Далее из появившегося списка переходим в раздел «Администрирование».
- В новом окне кликаем по пункту «Просмотр событий» правой кнопкой и из контекстного меню выбираем вариант отправки на рабочий стол.
Создаем ярлык для журнала на рабочем столе
После произведенных действий на десктопе появится ярлык, которым можно будет воспользоваться для быстрого запуска приложения.
Заключение 
На этом наша инструкция подошла к концу. Как видите, открыть журнал событий в десятой версии Windows можно разными способами. Для одноразового использования программы удобнее всего будет воспользоваться диалоговым окном «Выполнить», а если программу планируется запускать часто, то удобнее создать ярлык журнала на рабочем столе.
Источник: tehnichka.pro