Журнал событий windows 7

Как работать с журналом событий Windows

Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д. Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.

Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”– “Панель управления” – “Администрирование” – “Просмотр событий”:

Win+Reventvwr.msc
утилита “Просмотр событий”

В среднем столбце отображается список событий выбранной категории;

В правом столбце – список доступных действий с выбранным журналом;

Внизу находится панель подробных сведений о конкретной записи (область просмотра).

Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:

Областью просмотра

Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?

Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.

Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.

Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.

Система – хранит события операционной системы или ее компонентов (например, неудачи при запусках служб или инициализации драйверов; общесистемные сообщения и прочие сообщения, относящиеся к системе в целом).

Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).

В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:

Например, мы хотим увидеть только ошибки приложений за последние сутки . В этом случае выбираем слева раздел “Журналы Windows” – категорию “Приложение”, затем в правом столбце жмем “Фильтр текущего журнала”:

“Последние 24 часа”“Критическое”“Ошибка”

Щелкните по любой строке с ошибкой – снизу по центру в области просмотра вы увидите подробную информацию по данной ошибке. Если вы не понимаете, что означает данная ошибка (а чаще всего так и бывает) – тогда просто скопируйте текст ошибки (Ctrl+C на клавиатуре) и вставьте его в любой поисковик (Ctrl+V). Очень большая вероятность, что там вы найдете причину ошибки и ее решение:

Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?

В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows” – “Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) «Имя сбойного приложения: , Имя сбойного модуля: KERNELBASE.dll.

По данной ошибке я не смог сразу понять, в чем именно заключается проблема. Тогда я скопировал этот текст в . После недолгого поиска оказалось, что такая ошибка свидетельствует о проблемах в работе компонента .Net Framework. На нескольких сайтах предлагалось переустановить Net Framework. Я так и сделал – проблема действительно была решена!

Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.

кабель питания вставлен в него не до конца

Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать. Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.

Способы очистки

Существует пять основных способов, с помощью которых можно очистить журнал событий:

</ul>

1. Ручной способ.
2. «Батник» – специальный файл с расширением «*.bat».
3. Через командную консоль «cmd».
4. Через «PowerShell».
5. Утилита CCleaner.

Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.

Очистка ручным способом

В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.

Все что нужно, это:

1. Открыть журнал событий, как мы это делали ранее в начале статьи.
2. Нажать по нужному разделу правой мышкой и выбрать пункт «Очистить…».

Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Создание и использование bat файла

Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:

1. Для начала нужно создать обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
2. Вставляем в него специальный код.
3. В верхнем меню выбираем «Файл – Сохранить как».
4. Указываем любое имя. В конце имени указываем расширение «.bat». В графе «Тип файла» выбираем «Все файлы» и нажимаем «Сохранить».
5. Теперь наш файл полностью готов к запуску. Щелкаем по нему правой мышкой и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.

Через командную консоль

Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «cmd».

1. Щелкам по значку поиска и в открывшуюся строку вводим фразу «командная».
2. В результатах поиска видим «Командная строка», нажимаем по ней правой мышкой и запускаем от имени администратора.
3. Далее в консоль вставляем код, который находится внутри кавычек «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″», нажимаем «Enter» и ждем окончания процесса.

После этого все отчеты удалятся.

Через PowerShell

В операционной системе Windows 10 предусмотрена более подвинутая версия командной  строки — «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.

Давайте разберем все по шагам:

1. Нажать на «поиск» и ввести фразу «power». В результатах поиска отобразиться «PowerShell», нужно нажать на него правой мышкой и запускаем с правами администратора.
2. В появившееся окно вводим команду внутри кавычек «wevtutil el | Foreach-Object {wevtutil cl «$_»}», жмем «Enter» и ожидаем окончание процесса.

Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.

Программа CCleaner

Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.

1. В первую очередь ее нужно скачать, установить и запустить.
2. Переходим в раздел «Очистка» и во вкладке «Windows» устанавливаем галочку напротив нужного нам пункта.
3. Начинаем процесс.

Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.

Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.

Профессиональная помощь

В этом вам поможет наш специалист.

Оставьте заявку и получите Бесплатную консультацию и диагностику специалиста!

Об авторе

Виктор Трунов

IT-специалист с 10-летним стажем. Профессионально занимаюсь ремонтом, настройкой компьютеров и ноутбуков. В свободное от работы время веду свой блог «Оноутбуках.ру» и помогаю читателям решать компьютерные проблемы.

• https://siteprokompy.ru/kak-otkryt-zhurnal-sobytij-v-windows-10/
• https://it-tehnik.ru/software/windows-10/event-viewer-windows-10.html
• https://onoutbukax.ru/prosmotr-i-ochistka-zhurnala-sobytij-v-windows-10/

Работа с журналом событий (для начинающих)

❶

Как его открыть

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);
eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…
Просмотр событий

Вариант 2

1. сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность»;

   Система и безопасность

2. далее необходимо перейти в раздел «Администрирование»;

   Администрирование

3. после кликнуть мышкой по ярлыку «Просмотр событий».

   Просмотр событий — Администрирование

Вариант 3

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

❷

Журналы Windows

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

❸

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

❹

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

Для отключения журналов событий нужно:

1. открыть «службы» (для этого нажмите Win+R, введите команду  и нажмите OK);

   Открываем службы — (универсальный способ)

2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

   Службы — журналы событий

3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

   Отключена — остановить

На этом пока всё, удачи!

RSS  (как читать Rss)

Другие записи:

При работе на ПК формируется системный файл – журнал событий Windows, в котором отображаются данные о состоянии системы и ее параметрах. Он создается автоматически и используется для оптимизации работы, устранения сбоев и неполадок.

Журнал событий windows 8, 7, ХР или любой другой версии ОС является оснасткой консоли управления

Быстрый запуск его осуществляется путем добавления оснастки на консоль. Он представляет собой историю уведомлений, отчетов об ошибках, предупреждений, генерируемых различными программами. Эти данные можно использовать для оптимизации работы ОС.

Need for monitoring Event Logs

The need to adhere to security compliances such as SOX, HIPAA etc for the publicly traded companies, health care industry etc, necessitates implementing security management process to protect against attempted or successful unauthorized access. Securing the information on your network is critical to your business with or without having to comply to some standards. Windows event logs is one of the sources using which the login attempts can be tracked and logged. A manual check on every Windows device is tedious and impossible and warrants automated auditing and monitoring of event logs on a regular basis.

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Работа с файлами и папками из командной строки

Бывают ситуации, когда невозможно запустить стандартный файловый менеджер „Проводник Windows“. Например, из-за действия вирусов-блокировщиков или при системных сбоях. В любом случае все, что можно сделать при помощи „Проводника“, можно сделать и при помощи командной строки. Начнем с самого простого — просмотра содержимого папок.

Просмотр содержимого папки. При запуске командной строки перед мигающим курсором можно увидеть адрес расположения папки учетной записи на жестком диске. В нашем случае — это „C:\Users\vzgn“:

Давайте, выведем на экран список все других объектов (файлов и папок), содержащихся в данной папке. Для этого используйте команду dir:

Объекты, напротив которых написано <DIR> — это папки, все остальное — файлы (напротив них указан размер в байтах).

Команду dir можно применять вообще папкам, расположенным в вообще любом месте на жестком диске. Для этого после команды следует указать путь до каталога. К примеру, для просмотра содержимого папки „Windows“ на диске „C:“ следует ввести команду:

dir c:\windows

Запомните одно простое правило. Если в именах папок/файлов присутствуют пробелы, их следует писать в двойных („имя папки или файла“) кавычках.

Открытие файла из командной строки. Для открытия файла достаточно вписать его полное название вместе с расширением в командную строку. Что не вводить имя файла целиком, используйте клавишу „Tab“ (с ее помощью можно поочередно перебирать имена всех объектов в текущей папке).

В нашем случае был открыт файл  при помощи „Блокнота“. Если бы это был музыкальный файл, запустился бы аудиопроигрыватель, если DOC/DOCX-файл — редактор „MS Word“ и т.д. Таким образом, открытие файла в командной строке равнозначно двойному клику по файлу в „Проводнике Windows“.

Переход в другую папку. Для перехода в папку используется команда cd, после которой следует прописать путь к открываемой папке либо просто ее имя (если она расположена в нашем текущем местоположении на жестком диске).

Перейдем в папку „Music“. Т.к. она находится в текущем каталоге, достаточно ввести в консоль:

cd music

Теперь наше местоположение изменилось на „C:\Users\vzgn\Music“.

Давайте, перейдем в какую-нибудь папку, расположенную на другом локальном диске. Это можно сделать несколькими способами, но воспользуемся самым легким для запоминания.

Для начала перейдем в сам локальный диск (изменим наше местоположение). Для этого достаточно использовать (независимо от текущего местоположения) команду e:. Вместо e можно использовать любую другую букву локального диска (или даже флешки, например):

Допустим, нам известно, что на диске „E“ существует папка „Install“, а в ней — пака „Web“. Перейти в нее можно одной командой:

cd e:\install\web

Запуск/открытие программы/файлы в другой папке или на другом диске. Запустим программу, расположенную где-нибудь глубоко на диске. Для запуска файла или программы можно просто указать полный путь до него. Текущее местоположение в этом случае не имеет значения. Запустим, например, текстовый редактор „Notepad++“ одной командой:

C:\»Program Files»\Notepad++\notepad++.exe

Обратите внимание, что имя папки «Program Files» взято в кавычки, т.к. в нем присутствует пробел

Создание, удаление и переименование файлов и папок. Из командной строки можно выполнить все эти операции над файлами и папками.

Создание простого текстового файла — copy nul простой_текстовый_файл.txt. Перед названием файла можно указать путь до конечной папки, в которой тот будет создан (если не указать, файл создастся в текущей папке).

Создание папки — mkdir папка. Папка также создается в текущем местоположении.

• Удаление файла (или нескольких) — del простой_текстовый_ (если требуется удалить несколько файлов, просто вписываем их имена друг за другом через пробел). Удаляем созданный ранее файл.
• Удаление папки — rmdir папка. Удаляем созданную ранее папку.

Переименование папки/файла — ren простой_текстовый_файл.txt новое_имя_файла.txt или ren папка новое_имя_папки. Переименуем созданный файл и папку.

Подписка на события

Как говорилось выше, программа «Просмотр событий» позволяет просматривать события всех компьютеров локальной сети на любом компьютере, даже удаленном. Система может получать копии событий, зарегистрированных на различных удаленных компьютерах, и сохранять их локально. Для реализации этих действий нужно создавать пересылки и сбор событий, а также создавать подписки.

Для пересылки событий необходимо включить и настроить ее на компьютерах, а затем определить подписки. Для того чтобы настроить пересылку и сбор пересылаемых событий, выполните следующие действия:

1. Войдите в систему всех компьютеров-сборщиков и компьютеров-источников событий. Для этого желательно использовать учетную запись домена с правами администратора.
2. Настройте автоматический запуск с задержкой для службы «Удаленное управление Windows», далее WinRM;
3. Запустите службу WinRM;
4. Создайте прослушиватель WinRM;
5. Добавьте учетную запись компьютера-сборщика данных к локальной группе «Администраторы» на каждом компьютере-источнике событий;
6. Разрешите исключение брандмауэра WinRM, если в системе включен брандмауэр.

Подробно о настройке компьютеров для пересылки и сбора событий средствами командной строки будет рассказано в третей части статьи.

Создание подписок

После настройки пересылки и сбора событий на компьютерах для того чтобы можно было получать пересылаемые события, создайте одну или несколько подписок на события. Для того чтобы создать подписку на события, выполните следующие действия:

1. На компьютере, который будет выполнять сбор событий, войдите в систему с правами администратора и откройте оснастку «Просмотр событий». Затем или нажмите правой кнопкой мыши на узле «Просмотр событий» для вызова контекстного меню и выберите команду «Подключиться к другому компьютеру», или в диалоговом окне «Выбор компьютера» введите имя, IP-адрес или полное доменное имя нужного компьютера в поле «Другой компьютер» и нажмите на кнопку «ОК»;

Нажмите правой кнопкой мыши на узле «Подписки» и из контекстного меню выберите команду «Создать подписку»;

В окне «Свойства подписки» введите имя подписки в поле «Название подписки». При желании в поле «Описание» можете ввести описание для созданной подписки;
В диалоге создания подписок по умолчанию конечным журналом является «Пересылаемые события». Имя журнала можно изменить в том случае, если это необходимо.
Для указания компьютера, пересылающего события на сервер, нажмите на кнопку «Выберите компьютеры» и в появившемся диалоговом окне выберите «Добавить доменный компьютер». В этом окне выберите нужный компьютер, после чего нажать на кнопку «ОК»;

Нажмите на кнопку «Выбрать события» и выберите команду «Изменить» для открытия «Фильтра запроса».
Выберите уровень событий при помощи флажков «Уровень событий». Для того чтобы отфильтровать один или несколько журналов, поставьте переключатель на опцию «По журналу» и в списке «Журналы событий» выберите нужные для вас журналы. В том случае, если вам будет нужно отфильтровывать журналы по источнику событий, то вы можете выбрать источники из списка «Источники событий». Параметр «По источнику» лучше оставить включенным.
Изначально служба сборщика событий использует для чтения исходных журналов учетную запись компьютера-сборщика событий. Для того чтобы указать другие учетные данные, нажмите на кнопку «Дополнительно». В диалоговом окне «Дополнительные параметры подписки» установите переключатель на учетную запись пользователя — «Определенный пользователь», а затем нажмите на кнопку «Пользователь и пароль», где нужно будет ввести учетные данные. Нажмите на кнопку «ОК».

Нажмите на кнопку «ОК». Подписка будет создана и добавлена в узел «Подписки» и, если операция была успешной, подписка будет иметь состояние «Активный».

Управление подписками

После того как будет создана подписка, копьютеры-источники будут пересылать события, которые располагаются в заданных журналах. Для просмотра подписок в программе «Просмотр событий» выберите узел «Подписки». Из перечня подписок выберите нужную для вас и выберите команду из меню «Действие» или из контекстного меню подписки. Доступны следующие команды:

• Свойства — открывает диалог настройки свойств подписки. Здесь можно изменить все свойства выбранной подписки, кроме имени и типа.
• Отключить — отключает выбранную подписку, прекращая пересылку и сбор событий.
• Включить — включает отключенную подписку, после чего возобновляется пересылка и сбор событий.
• Состояние выполнения — выводит состояние выполнения подписки.
• Удалить — удаляет выбранную подписку.

Файлы, связанные с Eventvwr.exe

Файлы EXE, связанные с Eventvwr.exe

Имя файла	Описание	Программное обеспечение (версия)	Размер файла (в байтах)
where.exe	Where — Lists location of files	Microsoft Windows Operating System (6.3.9600.17415)	33792
cleanmgr.exe	Disk Space Cleanup Manager for Windows	Microsoft Windows Operating System (6.2.9200.16384)	210944
IMJPUEX.EXE	Microsoft IME 2012	Microsoft IME 2012 (15.0.9200.16384)	62464
fontview.exe	Windows Font Viewer	Microsoft Windows Operating System (6.2.9200.16384)	104960
sbunattend.exe	Windows Sidebar Unattend Action	Microsoft Windows Operating System (6.1.7600.16385)	13824

Журнал событий Windows 10 — что это такое и для чего нужен

Журнал событий представляет собой средство диагностики и устранения неисправностей ОС. При возникновении ошибок, создается специальный лог-файл, куда записывается отчет о проблемном программном обеспечении или системном компоненте ОС.

Журнал событий Виндовс

Благодаря анализу сборщика событий можно узнать причины неправильной работы ОС. Для качественной диагностики персонального компьютера предусмотрено несколько логов: «Приложения», «Установка», «Безопасность» и «Параметры ОС». В каждом из них регистрируются код сбоя, дата и время, а также поврежденные файлы, которые вызывают ошибку.

Какие отчеты можно посмотреть в сборщике системных событий:

• Отчет об инсталляции приложений, драйверов и утилит.
• Состояние программных и аппаратных компонентов персонального компьютера.
• Ошибки в работе системных служб и фоновых процессов ОС.
• Недействительные ключи редактора реестра или поврежденные бинарные файлы.
• Изменение параметров настроек сетевого подключения или беспроводной точки доступа.
• Регистрация входа пользователя в учетную запись или аккаунт Microsoft.
• Регистрация выхода пользователя из локальной учетной записи или аккаунта Microsoft.
• Отключение брандмауэра или встроенного защитника Windows.
• Отчеты о поврежденных системных компонентах критически важных файлов.
• Установка обновлений и патчей безопасности.
• Индексирование файлов и папок.
• Регистрация о включении и отключении служб и фоновых процессов.
• Регистрация подключения компьютера к беспроводной сети WiFi или WAN Miniport.
• Регистрация вылетов системы в BSOD (синий экран смерти).

Важно! Журнал ошибок представляет собой лог файл, куда записывается информация о сбоях в работе ОС, которая поможет владельцу персонального компьютера найти и устранить неисправность

В журнале событий содержится информация обо всех сбоях

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Aceeventlog что это за программа? cloud-script.ru

Здравствуйте Друзья! В этой статье рассмотрим журнал событий Windows 7. Операционная система записывает практически всё, что с ней происходит в этот журнал. Просматривать его удобно с помощью приложения Просмотр событий, которое устанавливается вместе с Windows 7. Сказать что записываемых событий много — ничего не сказать. Их тьма. Но, запутаться в них сложно так как все отсортировано по категориям.

Запуск и обзор утилиты Просмотр событий

Чтобы операционная система успешно заполняла журналы событий необходима чтобы работала служба Журнал событий Windows за это отвечающая. Проверим запущена ли эта служба. В поле поиска главного меню Пуск ищем Службы

Находим службу Журнал событий Windows и проверяем Состояние — Работает и Тип запуска — Автоматически

Если у вас эта служба не запущена — дважды кликаете на ней левой мышкой и в свойствах в разделе Тип запуска выбираете Автоматически. Затем нажимаете Запустить и ОК

Служба запущена и журналы событий начнут заполняться.

Запускаем утилиту Просмотр событий воспользовавшись поиском из меняю Пуск

Утилита по умолчанию имеет следующий вид

Многое здесь можно настроить под себя. Например с помощью кнопок под областью меню можно скрыть или отобразить Дерево консоли слева и панель Действия справа

Область по центру внизу называется Областью просмотра. В ней показываются сведения о выбранном событии. Ее можно убрать сняв соответствующую галочку в меню Вид или нажав на крестик в правом верхнем углу области просмотра

Главное поле находится по центру вверху и представляет из себя таблицу с событиями журнала который вы выбрали в Дереве консоли. По умолчанию отображаются не все столбцы. Можно добавить и поменять их порядок отображения. Для этого по шапке любого столбца жмем правой мышкой и выбираем Добавить или удалить столбцы…

В открывшемся окошке в колонку Отображаемые столбцы добавляете необходимые столбики из левого поля

Для изменения порядка отображения столбцов в правом поле выделяем нужный столбец и с помощью кнопок Вверх и Вниз меняем месторасположение.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Журналы событий

В операционной системе Windows 7 журналы делятся на две категории:

• Журналы Windows
• Журналы приложений и служб

В журналы Windows попадает информация связанная только с операционной системой. В журналы приложений и служб соответственно о всех службах и отдельно-установленных приложениях.

Все журналы располагаются по адресу

Рассмотрим основные из них

Приложение — записываются события о утилитах которые устанавливаются с операционной системой

Безопасность — записываются события о входе и выходе из Windows и фиксирование доступа к ресурсам. То есть, если пользователь не туда полез это скорее всего запишется в событии

Установка — записываются события о установке и удалении компонентов Windows. У меня этот журнал пуст наверное потому что не изменял никаких компонентов системы

Система — записываются системные события. Например сетевые оповещения или сообщения обновления антивируса Microsoft Antimalware

Перенаправленные события — записываются события перенаправленные с других компьютеров. То есть на одном компьютере администратора сети можно отслеживать события о других компьютерах в сети если сделать перенаправление

ACEEventLog — эта служба появилась сегодня после обновления драйверов от AMD. До этого момента ее не было. Если у вас компьютер на базе процессора AMD или укомплектован видеокартой AMD, то скорее всего у вас она также будет

Internet Explorer — записываются все события связанные со встроенным браузером в Windows

Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.

Media Center, Windows PowerShell и События оборудования

Фильтруем журнал событий

В разделе «Microsoft Windows» имеется подкатегория «Diagnostics-Performance», а в ней — операционный журнал, в котором есть категория задачи «Контроль производительности при загрузке» (рис. 1).

Увеличить рисунокРисунок 1

Коды событий (Event ID ) в этой категории варьируются от 100 до 110. Просмотрев все события с кодом 100, можно выяснить, сколько времени требуется Windows на загрузку, начиная с самого первого запуска после установки. А проанализировав события в диапазоне от 101 до 110, можно узнать, в каких случаях загрузка замедлялась и почему.

Можно, конечно, просматривать журнал «Diagnostics-Performance» вручную (например, отсортировать по возрастанию столбец «Код события»), но гораздо удобнее создать собственное настраиваемое представление. Это фильтр, который можно сохранить и использовать в дальнейшем для облегчения работы.

Для этого:

1. Выберите опцию «Создать настраиваемое представление» из меню «Действие».
2. В открывшемся диалоговом окне оставьте значение «Любое время» в поле «Дата» и отметьте флажками все опции в поле «Уровень события». Выберите опцию «По журналу», если она еще не выбрана, и раскройте список. В дереве разделов найдите категорию «Журналы приложений и служб — Microsoft — Windows – «Diagnostics-Performance» и поставьте флажок «Работает» (рис. 2).

Увеличить рисунокРисунок 2

В поле «Включение или исключение кодов событий» введите 100 и нажмите «OK» – (рис. 3). События с кодом 100 показывают, сколько времени уходит на загрузку системы.

Рисунок 3

В диалоговом окне «Сохранить фильтр в настраиваемое представление», введите подходящее имя (например, «Boot Time» — Время загрузки) и нажмите «OK» — (см. рисунок 4).

Рисунок 4

Далее нам нужно точно таким же образом создать еще одно настраиваемое представление, но в поле «Включение или исключение кодов событий» ввести на этот раз значения 101-110 и сохранить фильтр, например с именем «Замедление загрузки».