Gdzie jest magazyn wydarzeń w systemie Windows 10, jak go wyświetlić i znaleźć błędy

Windows wie, co zrobiłeś zeszłego lata. I wczoraj i dziś, a teraz. Nie, ona nie jest mściwa, po prostu pisze wszystko - prowadzi dziennik wydarzeń.

Wydarzenia to wszelkie działania, które mają miejsce na komputerze: włączanie, wyłączenie, wejście do systemu, uruchamianie aplikacji, klawisze itp. D. A Window Events Journal to repozytorium, w którym gromadzą się informacje o najważniejszych działaniach. Przeglądanie zdarzeń pomaga administratorom i programistom znaleźć przyczyny niepowodzeń w obsłudze sprzętu, komponentów systemu i programów, a także monitorować bezpieczeństwo w sieciach korporacyjnych. Dlatego dowiemy się, gdzie magazyn wydarzenia znajduje się w systemie Windows 10, jak go otworzyć, przeglądać i analizować.

Treść

• Gdzie jest magazyn wydarzeń i jak go otworzyć
• Co zrobić, jeśli magazyn wydarzenia się nie otwiera
• Struktura widza magazynu wydarzenia
• Jak wyglądać w czasopismach interesujących wydarzeń
  • Jak korzystać z funkcji filtracji
  • Jak tworzyć niestandardowe występy
  • Źródła, poziomy i kody zdarzeń. Jak zrozumieć, co oznacza konkretny kod
• Pobierz informacje o systemie - alternatywa dla standardowych okien przeglądarki

Gdzie jest magazyn wydarzeń i jak go otworzyć

Stała „rejestracja” pliku pliku plików - Eventvwr.MSC, - Folder \ Windows \ System32. Ale ze względu na dostęp do niego nikt w tym folderze oczywiście nie wspina się, ponieważ istnieją łatwiejsze sposoby. Tutaj są:

• Główne menu Windows - "Początek". Kliknij przycisk nie powinien być pozostawiony, ale z prawym kluczem myszy. Akapit "Zobacz wydarzenia„ - Czwarty z góry.

• Wyszukiwanie systemu - przycisk z ikoną w postaci szkła powiększającego w pobliżu "Początek". Wystarczy wprowadzić słowo „widok ...” - i oto on, znaleziono.

• Narzędzie Windows "Dokonywać„(Run) jest po prostu stworzony dla tych, którzy wolą gorące klucze. Kliknij klawiaturę Windows+K (Rosjanin), przejdź do linii "otwarty"Drużyna Eventvwr (Nazwa pliku przeglądarki) i kliknij OK.

• Wiersz poleceń lub konsola PowerShell (wygodne jest również otwieranie ich za pomocą menu kontekstowego przycisku Start). Wprowadź ponownie, aby uruchomić dziennik zdarzeń Eventvwr I kliknij Enter.

• Stary panel sterowania (przy okazji, jeśli chcesz zwrócić go do kontekstu początkowego, przeczytaj ten artykuł). Przejdź do sekcji "system i bezpieczeństwo", zejdź w dół okien do punktu"Administracja„I kliknij”Zobacz wydarzenia wydarzeń".

• Narzędzie systemowe "Opcje„Zastąpiony panel sterowania. Nadal z przyjemnością zakopanie w jelitach, ale możesz ułatwić zacząć wciągnąć słowo „administracja” do linii wyszukiwania. Następnie przejdź do sekcji znalezionej i kliknij etykietę ekranu pędzla.

• Znajdź dziennik Windows Events z fascynującym czytaniem? Być może spodoba ci się pomysł, aby trzymać go zawsze pod ręką. Aby umieścić etykietę pędzla -desktop, idź dowolną metodą do paneli sterowania ”Administracja„, Skopiuj etykietę naciśniętą klawisze Ctrl+C, kliknij mysz na pulpicie i naciśnij Ctrl+V.

Co zrobić, jeśli magazyn wydarzenia się nie otwiera

Obsługa tej samej nazwy jest odpowiedzialna za pracę tego komponentu systemowego. A najczęstszym powodem problemów z jego otwarciem jest zatrzymanie usługi.

Aby sprawdzić tę wersję i przywrócić pracę widza, otwórz sprzęt ”Usługi". Najłatwiejszy sposób na zrobienie tego za pośrednictwem Menedżera zadań: przejdź do zakładki ”Usługi„I kliknij dół okna”Otwarte usługi".

Następnie znajdź na liście usług ”Dziennik zdarzeń Okna„A jeśli zostanie zatrzymany, naciśnij przycisk Start na górnym panelu okna.

Usługa nie zaczyna się? Lub jest uruchomiony, ale magazyn jest nadal niedostępny? Może to być spowodowane następującymi:

• Twoje wejście naukowe jest ograniczone w prawach polityków bezpieczeństwa.
• Lokalne konto systemu usług jest ograniczone, w imieniu, w którym działa magazyn wydarzenia.
• Niektóre komponenty systemowe są uszkodzone lub zablokowane przez złośliwy program.

Aby obejść ograniczenia zasad bezpieczeństwa, jeśli twoje konto nie ma uprawnień administracyjnych, najprawdopodobniej nie zadziała. W innych przypadkach problem z reguły można rozwiązać za pomocą standardowych narzędzi odzyskiwania systemu Windows:

• Cofanie się do punktu sterowania utworzonego, gdy wszystko działało poprawnie.
• Uruchomienie narzędzia do sprawdzania i przywracania bezpiecznych plików systemowych SFC.Exe -Skanuj teraz W wierszu poleceń.
• Skanowanie dysków w celu zakażenia wirusowego.
• Przywrócenie praw dostępu do rachunków systemowych do folderów \Windows \ System32 \ Winevt I \ System32 \ logfiles. Ustawienia pracy są pokazane na zrzutach ekranu poniżej.

Struktura widza magazynu wydarzenia

Użyteczność oglądania zdarzeń nie jest zbyt przyjazna dla niedoświadczonego użytkownika. Nie możesz nazwać tego intuicyjnie zrozumiałym. Ale pomimo przerażającego wyglądu można go całkiem użyć.

Lewa strona okna zawiera katalogi magazynowe, wśród których istnieją 2 główne. Są to czasopisma Windows, w których przechowywane są rekordy zdarzeń systemu operacyjnego; oraz dzienniki aplikacji i usługi, w których wpisy są trwającymi usługami i instalowanymi programami. Katalog "Niestandardowe występy„Zawiera próbki użytkowników - grupy zdarzeń posortowane według dowolnego atrybutu, na przykład według kodu, według typu, według daty lub według wszystkich jednocześnie.

Środek okna wyświetla wybrany magazyn. Na górze znajduje się tabela zdarzeń, w których wskazane są ich poziomy, daty, źródła, kody i kategoria zadań. Pod nim - sekcja szczegółowych informacji o konkretnych rekordach.

Prawa strona zawiera menu dostępnych operacji z czasopismami.

Jak wyglądać w czasopismach interesujących wydarzeń

Przeglądanie wszystkich rekordów z rzędu jest niewygodne i nieinformacyjne. Aby ułatwić poszukiwanie tylko osób interesujących, używają narzędzia ”Filtr obecnego magazynu", który pozwala wykluczyć wszystkie dodatkowe z serialu. Staje się dostępny w menu "działania„Kiedy mysz wyizolowała każdy magazyn.

Jak korzystać z funkcji filtracji

Rozważ konkretny przykład. Załóżmy, że jesteś zainteresowany błędami, krytycznymi wydarzeniami i ostrzeżeniami w ciągu ostatniego tygodnia. Źródło informacji - magazyn "System". Wybierz go w katalogu Windows i kliknij ”Filtr obecnego magazynu".

Następnie wypełnij kartę "Filtr":

• Z listy "data„Wybór ostatnich 7 dni.
• W rozdziale "Poziom zdarzenia„Zwracamy uwagę na krytyczny, błąd i ostrzeżenie.
• Na liście "Źródła wydarzeń„Znajdujemy zainteresowanie parametrem. Jeśli nie jest znany, wybieramy wszystko.
• Wskazujemy kody zdarzeń (identyfikator zdarzenia), o których zbieramy informacje.
• W razie potrzeby odnotowujemy słowa kluczowe do zwężenia koła wyszukiwania i określamy użytkownika (jeśli jesteś zainteresowany informacjami o określonym koncie).

Tak wygląda magazyn po tym, czego w nim szukaliśmy:

O wiele wygodniejsze było to przeczytanie.

Jak tworzyć niestandardowe występy

Niestandardowe reprezentacje są, jak wspomniano powyżej, próbki użytkowników zdarzeń przechowywane w osobnym katalogu. Ich różnica od zwykłych filtrów polega tylko na tym, że są one przechowywane w osobnych plikach i nadal są uzupełniane zapisami, które podlegają ich kryteriom.

Aby stworzyć niestandardową wydajność, wykonaj następujące czynności:

• Podkreśl dziennik zainteresowania sekcją katalogów.
• Kliknij element "Utwórz widok niestandardowy„W rozdziale”Działanie".
• Wypełnij ustawienia okna "Filtr„Po powyższym przykładzie.
• Zapisz filtr pod dowolną nazwą w wybranym katalogu.

W przyszłości niestandardowe oświadczenia można edytować, kopiować, usuwać, wyeksportować do plików .XML, oszczędzaj jako czasopisma wydarzeń formatowych .Evtx i powiązaj z nimi problemy planisty.

Źródła, poziomy i kody zdarzeń. Jak zrozumieć, co oznacza konkretny kod

Źródła wydarzeń to komponenty OS, sterowniki, aplikacje, a nawet ich indywidualne komponenty, które tworzą notatki w czasopismach.

Poziomy zdarzeń są wskaźnikami ich znaczenia. Wszystkie notatki magazynu są przypisywane jednym z sześciu poziomów:

• Błąd krytyczny Wskazuje najpoważniejszą porażkę, która doprowadziła do odmowy źródła, które go wygenerowało bez możliwości niezależnej renowacji. Przykładem zewnętrznej manifestacji takiej awarii jest niebieski ekran śmierci systemu Windows (BSOD) lub nagły ponowne uruchomienie komputera.
• Błąd Wskazuje również awarię, ale z mniej krytycznymi konsekwencjami dla działania systemu. Na przykład odejście programu bez zapisywania danych z powodu braku zasobów, błędów uruchamiania usług itp. P.
• Ostrzeżenie - Zapis, który informuje o problemach, które negatywnie wpływają na działanie systemu, ale nie prowadzą do awarii, a także możliwości błędów w przyszłości, jeśli nie wyeliminują swojej przyczyny. Przykład: aplikacja została uruchomiona dłużej niż zwykle, co doprowadziło do spowolnienia w ładowaniu systemowym.
• Powiadomienie - Na przykład zwykła wiadomość informacyjna, że ​​system operacyjny zaczął instalować aktualizację.
• Udany raport (audyt) - Wiadomość informująca o sukcesie każdego wydarzenia. Przykłady: Program jest pomyślnie zainstalowany, użytkownik z powodzeniem wprowadził konto.
• Raport afektywny (audyt) - Wiadomość o nieudanym zakończeniu operacji. Na przykład instalacja programu nie została zakończona z powodu anulowania użytkownika.

Kod (Identyfikator zdarzenia) to liczba wskazująca kategorię zdarzeń. Na przykład rekordy związane z ładowaniem systemu Windows są oznaczone 100-110 kodów, a pod koniec pracy z kodami 200-210.

Aby wyszukać dodatkowe informacje na temat określonego kodu, wraz ze źródłem zdarzenia, wygodne jest użycie zasobu internetowego EventId.Internet Jest to, chociaż jest to angielski, jest łatwy w użyciu.

Kod pobrany z magazynu wydarzenia (na zrzucie ekranu poniżej) wchodzimy do pola ”Wchodzić Okna Wydarzenie ID„, Źródło - B”Wydarzenie Źródło". Naciśnij przycisk "Szukaj„ - i poniżej jest znak z dekodowaniem wydarzenia i komentarzy użytkowników, w których ludzie dzielą się wskazówkami, aby wyeliminować powiązane problemy.

Pobierz informacje o systemie - alternatywa dla standardowych okien przeglądarki

Nie lubię oglądać czasopism za pośrednictwem standardowej aplikacji Windows? Istnieją alternatywy, które przedstawiają informacje w bardziej wizualnym i wygodnym formie do analizy. Jednym z nich jest użyteczność laboratorium Kaspersky Dostawać System Informacje.

Pobierz informacje systemowe Wyświetla różne informacje o systemie operacyjnym, zainstalowane programy, ustawienia sieciowe, urządzenia, sterowniki itp. D. Event Magazine Records to tylko jeden z jego wskaźników.

Zaletą tego użyteczności w stosunku do standardowych środków okien jest wygoda oglądania i wyświetlania kompleksowych informacji o komputerze, co ułatwia diagnozę nieprawidłowości. A wadą jest to, że rejestruje nie wszystko, a tylko najnowsze i najważniejsze wydarzenia.

Pobierz informacje systemowe nie wymagają instalacji na komputerze, ale aby odczytać wyniki, będą musiały zostać pobrane na stronę analizatora, to znaczy, że potrzebujesz dostępu do Internetu.

Jak używać informacji o systemie:

• Uruchom narzędzie Amin Right. Przed kliknięciem przycisku ”Początek„Wskaż folder zapisywania dziennika (domyślnie jest to pulpit) i zaznacz punkt”Włączać Okna Wydarzenie Dzienniki".

• Po pliku archiwum o nazwie pojawi się na pulpicie lub w wskazanym folderzeGsi6_mya_pk_user_data_ i t.D.„Otwórz stronę w przeglądarce GetSysteminfo.Com i pobierz tam archiwum.

• Po załadowaniu raportu na temat getSysteminfo.Com przejdź do zakładki "Właściwości systemu„I otwórz sekcję”Dziennik zdarzeń".

Narzędzie zbiera informacje z czasopism "System" I "Aplikacje". Zdarzenia są wyświetlane w kolejności chronologicznej, każdy poziom jest podświetlony w kolorze. Aby wyświetlić informacje o konkretnym rekordzie, po prostu kliknij wiersz na wierszu.

Nie ma tutaj niestandardowych występów i filtrowania, ale istnieje wyszukiwanie i funkcja rekordów sortowania.

Linia wyszukiwania według czasopism i spadającej listy ”Pokaż liczbę elementów„Znajduje się nad tabelą. I aby sortować dane według typu, daty i godziny, źródła, kategorii, kodu, pliku lub użytkownika, po prostu kliknij nagłówek żądanej kolumny.

Informacje o zdarzeniach zebranych przez GET Informacje o systemie pomagają znaleźć źródło problemu komputerowego, jeśli są one powiązane z sprzętem, systemem Windows lub oprogramowaniem.  Jeśli jesteś zainteresowany danymi dotyczącymi określonej aplikacji, komponentu systemowego lub bezpieczeństwa, będziesz musiał użyć standardowego przeglądarki. Co więcej, wiesz, jak go otworzyć bez niepotrzebnych wysiłków.