Журнал системних помилок windows 7. Де знаходитись журнал подій windows. Що являє собою описуваний додаток

Здрастуйте читачі блогу компанії КомСервіс (м. Набережні Човни). У статті розглянемо журнал подій Windows 7. Операційна система записує практично усе, що з нею відбувається у цей журнал. Переглядати його зручно за допомогою програми Перегляд подій, яка встановлюється разом із . Сказати що записуваних подій багато — нічого не сказати. Їхня темрява. Але, заплутатися в них складно, оскільки все відсортовано за категоріями.

Завдяки журналу подій фахівцям та простим користувачамнабагато легше знайти помилки та виправити її. Говорячи легше я не мав на увазі легко. Практично завжди для виправлення помилки, що повторюється, доведеться сильно і перечитати купу матеріалу. Іноді це варте того, щоб позбутися нестандартної поведінки операційної системи.

Утиліта за замовчуванням має такий вигляд

Багато тут можна налаштувати під себе. Наприклад, за допомогою кнопок під областю меню можна приховати або відобразити Дерево консолі зліва та панель Дії праворуч

Область по центру внизу називається областю перегляду. У ній відображаються відомості про обрану подію. Її можна прибрати знявши відповідну галочку в меню Вид або натиснувши на хрестик у верхньому правому кутку області перегляду

Головне поле знаходиться по центру вгорі і являє собою таблицю з подіями журналу, який ви вибрали в Дереві консолі. За промовчанням відображаються не всі стовпці. Можна, можливо додатиі змінити їхній порядок відображення. Для цього по шапці будь-якого стовпця тиснемо правою мишкоюі вибираємо Додати або видалити стовпці.

У віконці в колонку Відображувані стовпці додаєте необхідні стовпчики з лівого поля

Для зміни порядку відображення стовпців у правому полі виділяємо потрібний стовпець і за допомогою кнопок Вгору та Вниз змінюємо розташування.

2. Властивості подій

Кожен стовпець це певна властивість події. Всі ці властивості добре описав Дмитро Буланов. Наведу скріншот. Щоб збільшити, натисніть на нього.

Встановлювати всі стовпці в таблиці не має сенсу, оскільки ключові властивості відображаються в області перегляду. Якщо остання у вас не відображається, двічі клікнувши лівою кнопкою мишки на подію в окремому віконці побачите його властивості

На вкладці Загальні є опис цієї помилки та іноді спосіб її виправлення. Нижче зібрані всі властивості події та в розділі Подробиці дане посилання на Веб-довідку, за якою можливо буде інформація з виправлення помилки.

3. Журнали подій

Key Management Service – записуються події служби керування ключами. Розроблено для керування активаціями корпоративних версій операційних систем. Журнал порожній так як можна обійтися без неї.

Журнали також мають свої властивості. Що б їх подивитися тиснемо правою кнопкою мишки на журналі та в контекстному менюобираємо Властивості

У властивостях, що відкрилися, ви бачите Повне ім'я журналу, Шлях до файлу журналу його розмір і дати створення, зміни і коли він був відкритий

Також встановлено галочку Включити ведення журналу. Вона не активна і прибрати її не вийде. Подивився цю опцію у властивостях інших журналів, там вона також включена і неактивна. Для журналу Події обладнання вона точно в такому положенні і журнал не ведеться.

У властивостях можна встановити Максимальний розмір журналу (КБ) і вибрати дію при досягненні максимального розміру. Для серверів та інших важливих робочих станцій швидше за все роблять розмір журналів більше і вибирають Архівувати журнал при заповненні, що можна було б у разі нештатної ситуації відстежити коли почалася несправність.

4. Робота з журналами подій Windows 7

Робота полягає в сортуванні, групуванні, очищенні журналів і створенні уявлень, що настроюються для зручності знаходження тих чи інших подій.

Сортування подій

Вибираємо будь-який журнал. Наприклад, Додаток і в таблиці по центру клацаємо по шапці будь-якого стовпця лівою кнопкою мишки. Відбудеться сортування подій цим стовпцем

Якщо ви ще раз натиснете, то отримаєте сортування у зворотному напрямку. Принципи сортування такі ж, як і для провідника Windows. Обмеження неможливості виконати сортування більш як по одному стовпцю.

Угруповання подій

Для угруповання подій по певному стовпцю клацаємо по його шапці правою кнопкою мишки та вибираємо Групувати події по цьому стовпцю. У прикладі події згруповані за стовпцем Рівень

У цьому випадку зручно працювати з певною групою подій. Наприклад із Помилками. Після угруповання подій у вас з'явиться можливість згортати та розгортати групи. Це можна робити і в таблиці подій двічі клацнувши за назвою групи. Наприклад, Рівень: Попередження (74).

Для видалення угруповання необхідно знову клацнути по шапці стовпця правою кнопкою мишки та вибрати Видалити групування подій.

Очищення журналу

Якщо ви виправили помилки в системі, що призводили до запису подій у журналі, то ймовірно ви захочете очистити журнал, щоб старі записи не заважали діагностувати нові стани комп'ютера. Для цього натискаємо правою кнопкою на журналі, який потрібно очистити і вибираємо Очистити журнал…

У вікні, що відкрилося, ми можемо просто очистити журнал і можемо Зберегти його у файл перед очищенням

Настроювані уявлення

Налаштовані сортування та угруповання зникають при закритті вікна Перегляд подій. Якщо вам доводиться часто працювати з подіями то можна створити уявлення, що настроюються. Це певні фільтри, які зберігаються у відповідному розділі дерева консолі і нікуди не пропадають при закритті перегляду подій.

Для створення настроювання подання натискаємо на будь-якому журналі правою кнопкою мишки і вибираємо Створити представлення, що настроюється.

У вікні, що відкрилося в розділі Дата вибираємо з випадаючого списку діапазон часу за який нам потрібно вибирати події

У розділі Рівень події ставимо галочки для вибору важливості подій.

Ми можемо зробити вибірку за певним журналом чи журналами або за джерелу. Перемикаємо радіобокс у потрібне положення і з списку встановлюємо необхідні галочки

Можна вибрати певні коди подій, щоб вони показувалися або не показувалася в створеному вами поданні.

Коли всі параметри подання вибрали тиснемо ОК

У віконці задаємо ім'я і опис настроювання, що настроюється, і тиснемо ОК

Для прикладу створив подання для Помилок і критичних подій з журналів Додаток і Безпека

Це подання можна редагувати і воно нікуди не пропаде при закритті утиліти Перегляд подій. Для редагування натискаємо на представленні правою кнопкою мишки і вибираємо Фільтр поточного настроювання, що настроюється.

У віконці, що відкрилося, робимо додаткові налаштуванняу поданні.

Можна провести аналогію настроюваного уявлення зі збереженими умовами у провіднику Windows 7.

Висновок

У цій статті ми розглянули журнал подій Windows 7. Розповіли про всі основні операції з ним для зручності знаходження подій про помилки і критичних подій. І тут виникає закономірне питання — «А як виправляти ці помилки в системі». Тут все дуже складно. У мережі інформації мало і тому можливо доведеться витратити багато часу на . Тому, якщо робота комп'ютера в цілому вас влаштовує, можна цим не займатися. Якщо ж ви хочете спробувати поправити, дивіться відео нижче.

Також за допомогою журналу подій можна провести діагностику повільного завантаження Windows 7.

Буду радий будь-яким коментарям та пропозиціям.

Дякую за те, що поділилися статтею у соціальних мережах. Усього Вам Доброго!

Інструкція

Увійдіть у систему з правами адміністратора. Для цього потрібно, щоб ваш поточний користувачвходив до групи «Адміністратори» або отримаєте відповідні повноваження шляхом проведення делегування. Якщо комп'ютер є приєднаним до , цю процедуру можуть проводити члени групи «Адміністратори домену». Для забезпечення безпеки використовуйте команду «Запуск від імені».

Перейдіть до головного меню, щоб видалити події з журналу, клацніть по кнопці «Пуск», виберіть команду «Панель управління», двічі клацніть по значку «Адміністрування». У цьому вікні виберіть значок «Перегляд подій» та клацніть по ньому двічі, або натисніть кнопку Enter.

Відкрийте вікно "Перегляд подій". У дереві цієї консолі виберіть журнал, який потрібно очистити. Перейдіть в меню "Дія", виберіть опцію "Стерти всі події". Щоб зберегти журнал перед очищенням, натисніть кнопку «Так». Якщо журнал зберігається у файлі, його неможливо буде очистити таким чином. Для очищення журналу потрібно видалити файл, у якому він зберігається.

Виконайте видалення записів в операційній системі Windows 7. Для цього перейдіть в головне меню і виберіть "Панель керування", потім виберіть з компонентів панелі опцію "Адміністрація". Далі оберіть адміністративну команду «Перегляд подій».

Далі відкрийте «Консоль управління ММС», клацніть по кнопці «Пуск», введіть у полі пошуку Mmc, натисніть Enter. У меню «Консоль» виберіть «Додати або видалити оснастку» або натисніть комбінацію клавіш Crtl+M. У діалоговому вікні виберіть "Перегляд подій", Натисніть "Додати", далі "Готово" та "ОК".

Клацніть "Пуск", "Виконати", введіть Eventvwr.msc. Далі перейдіть в меню "Дія" команду "Очистити журнал". Щоб зберегти після очищення, виберіть «Зберегти та очистити». Введіть ім'я файлу та натисніть кнопку «Зберегти».

Відео на тему

Досить часто користувачами операційних систем Windows використовується журнал подій. Ця програма дозволяє відстежувати збої, помилки та неполадки в роботі системи. За допомогою цього інструменту можна проводити діагностичні перевірки на працездатність, але в деяких випадках він не потрібен, тому його доводиться видаляти як зайвий компонент.

Вам знадобиться

Робота з аплетом "Перегляд подій".

Інструкція

Про існування журналу подій в операційній системі Windows знають далеко не всі користувачі. Можна сказати, що потрібно поглиблено вивчати систему, щоб дістатися цього компонента. Хоча знайти його досить просто, якщо ви працюєте на Windows 7 або Windows Vista. Відкрийте меню «Пуск», активуйте рядок пошуку та введіть «Перегляд подій». У результатах пошуку виберіть перший рядок та натисніть на нього.

Перед вами з'явиться аплет "Перегляд подій". Також цей компонент називають оснасткою "Перегляд подій". Перш ніж видалити журнал подій, його слід спочатку відкрити або створити (у деяких випадках опція роботи журналу вимкнена). Щоб відкрити журнал, натисніть Верхнє меню«Дія», зі списку меню виберіть пункт «Відкрити збережений журнал».

Використовуючи журнал подій Windows 7 або XP, можна вирішити більшість проблем комп'ютера.

У ньому не тільки реєструється все, що відбувається, але й зазначаються причини, чому виникають неполадки.

Єдине, що погано - іноді вони надані в кодах і розшифровку доводиться шукати по всій мережі.

Інструкція - де знаходиться журнал windows

У ній знаходимо одне слово «адміністрування» і клацнемо на нього.

Що в ньому вас має цікавити. З лівого боку знаходиться розширене меню. У ньому навпроти рядка "журнали віндовс", натисніть на маленький трикутник і виберіть система.

Тепер ви можете ознайомитися з усіма помилками вашого комп'ютера. Їх легко знайти. Вони у верхньому вікні, позначені червоними точками (колами), менш важливі – жовтими – це попередження.

У нижньому вікні вказуються причини несправностей. Зазвичай новачкам самостійно розібратися в них неможливо.

Тому з того, що там зазначено, сформулюйте логічно правильне питання і шукайте відповідь у пошуковій системі.

Тепер знаючи де журнал подій windows - багато недоліків (помилки, несправності), при правильному підході зможете вирішити самі, в крайньому випадку зверніться в сервіс, вказавши фахівцям що написано в нижньому вікні.

Операційна система Windows 7 постійно стежить за різними цікавими подіями, що виникають у вашій системі. У Microsoft Windows подія (event)- це будь-яка подія в операційній системі, яка записується в журнал або потребує сповіщення користувачів або адміністраторів. Це може бути служба, яка не хоче запускатися, встановлення пристрою або помилка в роботі програми. Події реєструються та зберігаються в журналах подій Windows та надають важливі хронологічні відомості, які допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки та діагностувати. Необхідно регулярно аналізувати інформацію, що міститься у цих журналах. Вам слід регулярно стежити за журналами подій та налаштовувати операційну систему на збереження важливих системних подій. У тому випадку, якщо ви адміністратор серверів Windows, необхідно стежити за безпекою їх систем, нормальної роботою додатків і сервісів, і навіть перевіряти сервер на наявність помилок, здатних погіршити продуктивність. Якщо ви користувач персонального комп'ютера, то вам слід переконатися в тому, що вам доступні відповідні журнали, необхідні для підтримки своєї системи та усунення помилок.

Програма «Перегляд подій»є оснасткою консолі керування Microsoft (MMC) і призначена для перегляду та керування журналами подій. Це незамінний інструмент для спостереження за працездатністю системи та усунення несправностей. Служба Windows, яка керує протоколюванням подій, називається "Журнал подій". Якщо запущено, Windows записує важливі дані в журнали. За допомогою програми «Перегляд подій»ви можете виконувати такі дії:

переглядати події певних журналів;
Застосовувати фільтри подій і зберігати їх для подальшого використання у вигляді уявлень, що настроюються;
Створювати підписки на події та керувати ними;
Призначати виконання конкретних дій виникнення певного події.

Запуск програми «Перегляд подій»

додаток «Перегляд подій»можна відкрити такими способами:

Рис.1. Вікно "Перегляд подій"

Журнали подій у Windows 7

В операційній системі Windows 7, так само як і в Windows Vista, існують дві категорії журналів подій: журнали Windowsі журнали додатків та служб. Журнали Windows- використовуються операційною системою для реєстрації загальносистемних подій, пов'язаних із роботою додатків, системних компонентів, безпекою та запуском. А журнали додатків та служб- використовуються додатками та службами для реєстрації подій, пов'язаних із їх роботою. Для керування журналами подій можна використовувати оснащення «Перегляд подій»або програму командного рядка wevtutil, про яку буде розказано у другій частині статті Усі типи журналів описані нижче:

додаток- зберігає важливі події, пов'язані з конкретним додатком. Наприклад, Exchange Server зберігає події, які стосуються пересилання пошти, у тому числі події інформаційного сховища, поштових скриньок та запущених служб. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безпека- зберігає події, пов'язані з безпекою, такі як вхід/вихід із системи, використання привілеїв та звернення до ресурсів. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Встановлення- в цей журнал записуються події, що виникають під час встановлення та налаштування операційної системи та її компонентів. За замовчуванням розміщується в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система- зберігає події операційної системи або її компонентів, наприклад, невдачі при запусках служб або ініціалізації драйверів, загальносистемні повідомлення та інші повідомлення, що стосуються системи в цілому. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересилаються події- якщо налаштовано пересилання подій, до цього журналу потрапляють події, що пересилаються з інших серверів. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer - в цей журнал записуються події, що виникають при налаштуванні та роботі з браузером Internet Explorer. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- В цьому журналі реєструються події, пов'язані з використанням оболонки PowerShell. За замовчуванням розміщується в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Події обладнання- якщо настроєно реєстрацію подій обладнання, цей журнал записуються події, що генеруються пристроями. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

У Windows 7 інфраструктура, що забезпечує реєстрацію подій, заснована також як і Windows Vista на XML. Дані про кожну подію відповідають XML-схемі, що дозволяє отримати доступ до XML-коду будь-якої події. Крім того, можна створювати базовані на запити XML для отримання даних з журналів. Для використання цих нових можливостей не потрібні знання про XML. Оснащення «Перегляд подій»надає простий графічний інтерфейс доступу до цих можливостей.

Властивості подій

Існує кілька властивостей подій оснастки «Перегляд подій», які докладно описані трохи нижче:

Джерело- Це програма, що зареєструвала подію в журналі. Це може бути як ім'я програми (наприклад, Exchange Server), так і назва компонента системи або великої програми (наприклад, ім'я драйвера). Наприклад, "Elnkii" означає драйвер EtherLink II.

Код події- Це число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005 - це ідентифікатор події, що відбувається під час запуску служби ведення журналів подій. Відповідно, на початку опису цієї події знаходиться рядок «Запущено службу журналу подій». Код події та ім'я джерела запису можуть використовуватись представниками групи підтримки програмного продуктудля усунення несправностей.

Рівень- Це рівень важливості події. У журналах системи та додатків події можуть мати такі рівні важливості:

сповіщення- позначає зміну в додатку або компоненті, таке як виникнення інформаційної події, пов'язаної з успішною дією, створення ресурсу або запуск служби.
Попередження- позначає попередження загального характеру на неполадку, здатну вплинути на службу або призвести до серйознішої проблеми, якщо залишити її поза увагою;
Помилка- означає, що виникла проблема, яка може вплинути на функції, зовнішні стосовно додатка або компонента, що викликав подію;
Критична помилка- означає, що стався збій, після якого додаток або компонент, що ініціювали подію, не можуть відновитися автоматично;
Аудит успіхів- успішне виконання дій, які ви відстежуєте через аудит, наприклад використання будь-якого привілею;
Аудит відмов- невдале виконання дій, які ви відстежуєте через аудит, наприклад, помилка при вході в систему.

Користувач- визначає обліковий запис користувача, від імені якого виникла ця подія. До користувачів належать особливі сутності, наприклад Local Service, Network Service та Anonymous Logon, а також облікові записи реальних користувачів. Це ім'я є ідентифікатором клієнта, якщо подія фактично була викликана серверним процесом, або основний ідентифікатор, якщо уособлення не проводиться. У деяких випадках запис журналу безпеки містить обидва ідентифікатори. А також у цьому полі може стояти N/A (Н/Д), якщо у цій ситуації обліковий записне застосовується. Уособлення відбувається у випадках, коли сервер дозволяє одному процесу присвоїти атрибути безпеки іншого процесу.

Робочий код- Містить числове значення, яке визначає операцію або точку в межах операції, при виконанні якої виникла дана подія. Наприклад, ініціалізація чи закриття.

Журнал- Ім'я журналу, в який було записано цю подію.

Категорія та завдання- визначає категорію події, що іноді використовується для подальшого опису допустимої дії. Кожен джерело подій має свої категорії. Наприклад, такі категорії: вхід/вихід, використання привілеїв, зміна політики та керування обліковим записом.

Ключові слова- це набір категорій або позначок, які можуть використовуватись для фільтрації або пошуку подій. Наприклад: Мережа, Безпека або Ресурс не знайдено.

Комп'ютер- ідентифікує ім'я комп'ютера, де сталася подія. Зазвичай це ім'я локального комп'ютера, але також може бути ім'я комп'ютера, що переслав подію, або ім'я локального комп'ютера, перш ніж вона була змінена.

дата і час- визначає дату та час виникнення цієї події в журналі.

ВД процесу- представляє ідентифікаційний номер процесу, який створив цю подію. Комп'ютерна програмапредставляє собою лише пасивну сукупність інструкцій, тоді як процес — це безпосереднє виконання цих інструкцій

ВД потоку- представляє ідентифікаційний номер потоку, який створив цю подію. Процес, породжений в операційній системі, може складатися з кількох потоків, що виконуються «паралельно», тобто без вказаного порядку в часі. За виконання деяких завдань такий поділ може досягти більш ефективного використання ресурсів обчислювальної машини.

ВД процесора- Подає ідентифікаційний номер процесора, який обробив подію.

Код сеансу- це ідентифікаційний номер сеансу на сервері терміналів, у якому сталася подія.

Час роботи у режимі ядра- визначає час, витрачений виконання інструкцій режиму ядра, в одиницях часу ЦП. Режим ядра має необмежений доступ до системної пам'яті та зовнішнім пристроям. Ядро системи NT називають гібридним ядром чи макроядром.

Час роботи в режимі користувача- визначає час, витрачений виконання інструкцій користувальницького режиму, в одиницях часу ЦП. Режим користувача складається з підсистем, які передають запити вводу/виводу відповідному драйверу режиму ядра за допомогою менеджера Введення-виводу.

Завантаженість процесора- цей час, витрачений на виконання інструкцій режиму користувача, в тиках ЦП.

Код кореляції- Визначає дію в процесі, для якого використовується подія. Цей код використовується для вказівки простих стосунків між подіями. Кореляція — статистична взаємозв'язок двох чи кількох випадкових величин (чи величин, які можна з деякою допустимою мірою точності вважати такими). При цьому зміни однієї або декількох з цих величин призводять до систематичної зміни іншої або інших величин.

ВД відносної кореляції- визначає відносну дію у процесі, для якого використовується подія

Робота з журналами подій

Перегляд подій

На наступному скріншоті можна побачити журнал «Додатки», в якому можна дізнатися відомості про події, недавні уявлення та доступні дії. Щоб переглянути події журналу програм, виконайте такі дії:

У дереві консолі виберіть «Журнали Windows»;
Виберіть журнал «Додатки».

Бажано частіше переглядати журнали подій "Додаток"і "Система"та вивчати існуючі проблемита попередження, які можуть віщувати про проблеми в майбутньому. Під час вибору журналу в середньому вікні відображаються доступні події, включаючи дату події, час та джерело, рівень події та інші дані.

Панель «Область перегляду»показує основні дані про події на вкладці «Загальні», а додаткові специфічні дані – на вкладці «Подробиці». Увімкнути та вимкнути цю панель можна, вибравши меню "Вид", а потім команду «Область перегляду».

Для критичних систем рекомендується зберігати журнали останні кілька місяців. Весь час призначати журналам такий розмір, щоб у них уміщалася вся інформація, як правило, незручно, вирішити це завдання можна по-іншому. Можна експортувати журнали до файлів, розміщених у заданій папці. Щоб зберегти вибраний журнал, виконайте такі дії:

У дереві консолі виберіть журнал подій, який потрібно зберегти;
Виберіть команду «Зберегти події як»з меню "Дія"або з контекстного меню журналу виберіть команду "Зберегти всі події як";
У діалозі, що з'явився "Зберегти як"виберіть папку, до якої потрібно зберегти файл. Якщо потрібно зберегти файл у новій папці, її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку « Нова папка» на панелі дій. В полі "Тип файлу"потрібно вибрати бажаний формат файлу з доступних: файли подій - *.evtx, xml-файл - *.xml, текст з поділом табуляції - *.txt, csv з розділенням комами - *.csv. В полі "Ім'я файлу"введіть ім'я та натисніть кнопку «Зберегти». Щоб скасувати збереження, натисніть кнопку "Скасування";
Якщо журнал подій не призначений для перегляду на іншому комп'ютері, у діалоговому вікні «Відображати відомості»залиште заданий за умовчанням варіант "Не відображати відомості", а якщо журнал призначається для перегляду на іншому комп'ютері, то у діалоговому вікні «Відображати відомості»виберіть варіант "Відображати відомості для наступних мов"та натисніть на кнопку "ОК".

Очищення журналу подій

Іноді доводиться очищати заповнені журнали подій для забезпечення ефективного аналізу попереджень та критичних помилокопераційна система. Щоб очистити вибраний журнал, виконайте такі дії:

Встановлення максимального розміру журналу

Як було сказано вище, журнали подій зберігаються у вигляді файлів у папці %SystemRoot%\System32\Winevt\Logs\. За замовчуванням максимальний розмір цих файлів обмежений, але його можна змінити в такий спосіб:

Події зберігаються у файлі журналу, розмір якого може збільшуватися лише до максимального значення. Після досягнення файлом максимального розміру, обробка подій, що надходять, визначатиметься політикою зберігання журналів. Доступні такі політики збереження журналу:

Переписувати події за потреби (спочатку старі файли)- у разі нові записи продовжують заноситись у журнал після його заповнення. Кожна нова подія замінює в журналі найстарішу;

Архівувати журнал під час заповнення; не переписувати події- у цьому випадку файл журналу автоматично архівується за потреби. Перезапис застарілих подій не виконується.

Чи не переписувати події (очистити журнал вручну)- у цьому випадку журнал очищається вручну, а не автоматично.

Щоб вибрати потрібну політику збереження журналів, виконайте такі дії:

У дереві консолі виберіть журнал подій, для якого потрібно змінити розмір;
Виберіть команду «Властивості»з меню "Дія"або з контекстного меню вибраного журналу;
На вкладці «Загальні», в розділі «При досягненні максимального розміру»виберіть потрібний параметр і натисніть кнопку "ОК".

Активація аналітичного та налагоджувального журналу

Аналітичний та налагоджувальний журнал за замовчуванням неактивні. Після активації вони швидко заповнюються великою кількістюподій. З цієї причини бажано активувати зазначені журнали на обмежений період часу для того, щоб зібрати необхідні для пошуку та усунення несправностей дані, а потім знову їх вимкнути. Активацію журналів можна виконати так:

У дереві консолі знайдіть і виберіть аналітичний або налагоджувальний журнал, який потрібно активувати;
Виберіть команду «Властивості»з меню "Дія"або з контекстного меню вибраного аналітичного або налагоджувального журналу;
На вкладці «Загальні»встановіть прапорець на опції "Включити ведення журналу"

Відкриття та закриття збереженого журналу

За допомогою оснастки «Перегляд подій»можна відкривати та переглядати збережені раніше журнали. Одночасно можна відкрити кілька збережених журналів та звертатися до них у будь-який час у дереві консолі. Журнал, відкритий у «Перегляд подій», може бути закритий без видалення відомостей, що містяться в ньому. Щоб відкрити збережений журнал, виконайте такі дії:

Щоб видалити відкритий журнал дерева подій, виконайте такі дії:

Висновок

У цій частині статті, присвяченій оснастці «Перегляд подій», розповідається про саме оснащення та детально описані найпростіші операції, пов'язані з моніторингом та обслуговуванням системи за допомогою «Перегляду подій». Наступна частина статті буде розрахована для досвідчених користувачів Windows. У ній будуть описані завдання з настроюванням, фільтрація, угруповання/сортування подій і управління підписками.

× Увага!
Увійдіть під своїм обліковим записом сайт або Створіть його , щоб отримати повний доступ до нашого сайту. Реєстрація дасть вам можливість додавати новини, коментувати статті, спілкуватися з іншими користувачами та багато іншого.

Інші матеріали

Здрастуйте, дорогі читачі, з вами знову Тришкін Денис. Хотілося б вам розповісти про одне цікаве стандартному додаткуу windows. Корпорація Microsoft завжди відрізнялася тим, що у своїх операційних системах вона намагалася реалізувати високу безпеку та швидкодію шляхом стеження за програмами та різними рухами в системі. Звичайно, це не завжди виходило. Одним із інструментів, що дозволяють спостерігати за системою, є журнал подій windows 7. Саме в ньому реєструються всі некоректні установки та невдалі запуски програм. У ньому всі дії розташовані у хронологічному порядку. Бажано час від часу заглядати до цього реєстру, щоб вчасно реагувати на нову інформацію.

Можливості журналу windows (до змісту)

збільшити

Додаток має такі можливості:

створення реєстру даних, які у хронологічному порядку записані до архіву;

наявність спеціальних фільтрів, що дозволяють зручно переглядати та налаштовувати систему;

передплата деяких дій;

у разі певного роду дій можна задати послідовність.

Запуск програми (до змісту)

Каталог можна відкрити, як і багато інших системні утиліти. Він запускається так:

Опис(до змісту)

Отже, дізнавшись, де знаходиться журнал, тепер потрібно з'ясувати, що це таке. У windows сьомої версії передбачено кілька реєстрів рухів. Так, існує службова база додатків та системний архів. Дія останнього спрямована на запис усіх подій, що відбувається в операційній програмі. Перший потрібен для запам'ятовування змін, які пройшли зі службовими програмами. Основною є вкладка "Перегляд", яка включає кілька пунктів:

Крім того, передбачено і додаткові підрозділи:

Інформацію в базі можна подивитися, як будь-яку іншу на комп'ютері. Але разом з тим, користувач повинен знати кілька основних визначень, що стосуються роботи програми:

Крім цього, у реєстрі подій передбачено безліч інших властивостей. Детальне знайомство з ними допоможе більш точно налаштовувати та стежити за системою.

Щоб захистити систему від збоїв та зависання, бажано своєчасно переглядати базу «Додаток», в якому вказуються всі події, дії з різними програмамита надається вибір можливих операцій.

збільшити

Там же показано час та дата появи, джерело. Консоль дозволяє зберегти всі зміни, очистити їх та змінити саму таблицю, в якій вказані потрібні дані.

Крім простого перегляду, програму можна очистити, як це робиться, я розповім далі. Це потрібно швидкого аналізу всіх помилок ОС. Як вилучити події? Просто виконайте деякі дії:

Постійно переглядаючи реєстр операційної системи, можна побачити, що тут часто з'являються різні помилки та попередження. При цьому не варто одразу панікувати – багато хто з них ніяк не загрожує комп'ютеру. Але разом з тим вони можуть з'являтися навіть на машині, що ідеально працює.

збільшити

За фактом, цей додаток розроблявся для системних адміністраторівщоб вони могли в найкоротші терміни дізнатися про проблему та прибрати її.

Збільшення обсягу пам'яті для записів у журналі (до змісту)

Спочатку файл, в якому зберігаються дані сам по собі, має невеликий розмір. Але його можна збільшити. Для цього необхідно:

Після досягнення максимального розміру обробка здійснюється політикою їх зберігання. Існують такі види:

1Переписування за потреби. Нові рядки замінюють найстаріші.

2Не переписування. Очищення файлу відбувається вручну.

Щоб вибрати бажану політику, потрібно:

Проблеми запуску (до змісту)

Іноді відбувається так, що журнал не запускається.

Вирішення проблеми хоч і не просте, проте ефективне. Отже, у папці windowsзнаходимо System32, а потім wineyf. Їй і всім файлам всередині необхідно дати повний доступ для користувача Local Service. Саме під ним і відбувається робота програми. Іноді те саме потрібно зробити для папки LogFiles, розташованої в тій же директорії.

Відключення (до змісту)

Журнал подій можна вимкнути, як будь-яку іншу службу.

Заходимо до Панелі управління, «Адміністрування».

Тут знаходимо «Служби», вибираємо потрібну та змінюємо тип запуску на «Відключено». Ця програма продовжуватиме роботу до першого перезавантаження.

збільшити

Журнал подій у windows 7 є зручний інструмент, що дозволяє стежити за різними операціями, що відбуваються на комп'ютері. Це дозволить виправляти помилки, що покращить взаємодію із системою.

Підписуйтесь та розповідайте друзям про мене.

windwix.ru

Журнал подій windows 7

Привіт, друзі! У цій статті розглянемо журнал подій Windows 7. Операційна система записує практично все, що з нею відбувається в цей журнал. Переглядати його зручно за допомогою програми Перегляд подій, яка встановлюється разом з windows 7. Сказати що подій, що записуються багато - нічого не сказати. Їхня темрява. Але, заплутатися в них складно, оскільки все відсортовано за категоріями.

Завдяки журналу подій фахівцям та простим користувачам набагато легше знайти помилки та виправити її. Говорячи легше я не мав на увазі легко. Практично завжди для виправлення помилки, що повторюється, доведеться сильно користуватися пошуком і перечитати купу матеріалу. Іноді це варте того, щоб позбутися нестандартної поведінки операційної системи.

Запуск та огляд утиліти Перегляд подій

Щоб операційна система успішно заповнювала журнали подій, необхідна щоб працювала служба Журнал подій windows за це відповідальна. Перевіримо, чи ця служба запущена. У полі пошуку головного меню Пуск шукаємо Служби

Знаходимо службу Журнал подій windows та перевіряємо Стан - Працює та Тип запуску - Автоматично

Якщо у вас ця служба не запущена - двічі клацаєте на ній лівою мишкою і у властивостях у розділі Тип запуску вибираєте Автоматично. Потім натискаєте кнопку Запустити і ОК

Служба запущена та журнали подій почнуть заповнюватися.

Запускаємо утиліту Перегляд подій скориставшись пошуком з мене

Утиліта за замовчуванням має такий вигляд

Головне поле знаходиться по центру вгорі і являє собою таблицю з подіями журналу, який ви вибрали в Дереві консолі. За промовчанням відображаються не всі стовпці. Можна додати та змінити порядок відображення. Для цього по шапці будь-якого стовпця тиснемо правою мишкою і вибираємо Додати або видалити стовпці.

У віконці в колонку Відображувані стовпці додаєте необхідні стовпчики з лівого поля

Властивості подій

Кожен стовпець це певна властивість події. Всі ці характеристики добре описав Дмитро Буланов тут. Наведу скріншот. Щоб збільшити, натисніть на нього.

Журнали подій

В операційній системі windows 7 журнали поділяються на дві категорії:

Журнали windows
Журнали додатків та служб

До журналів windows потрапляє інформація пов'язана лише з операційною системою. У журнали додатків та служб відповідно про всі служби та окремо-встановлені додатки.

Усі журнали розміщуються за адресою

%SystemRoot%\System32\Winevt\Logs\ = C:\windows\System32\winevt\Logs\

Розглянемо основні їх

Додаток - записуються події про утиліти, які встановлюються з операційною системою

Безпека - записуються події про вхід та вихід з windows та фіксування доступу до ресурсів. Тобто, якщо користувач не туди поліз, це швидше за все запишеться в події

Установка - записуються події про встановлення та видалення компонентів windows. У мене цей журнал порожній, напевно, тому що не змінював ніяких компонентів системи.

Система – записуються системні події. Наприклад, мережні оповіщення або повідомлення оновлення антивірусу Microsoft Antimalware

Перенаправлені події - записуються події, перенаправлені з інших комп'ютерів. Тобто на одному комп'ютері адміністратора мережі можна відстежувати події про інші комп'ютери в мережі, якщо зробити перенапрямок

ACEEventLog – ця служба з'явилася сьогодні після оновлення драйверів від AMD. Досі її не було. Якщо у вас комп'ютер на базі процесора AMDабо укомплектований відеокартою AMD, то швидше за все у вас вона також буде

Internet Explorer - записуються всі події пов'язані з вбудованим браузером у Windows

Key Management Service - записуються події служби керування ключами. Розроблено для керування активаціями корпоративних версій операційних систем. Журнал порожній так як на домашньому комп'ютеріможна обійтися без неї.

Журнали також мають свої властивості. Щоб їх подивитися тиснемо правою кнопкою мишки на журналі та в контекстному меню вибираємо Властивості

У властивостях можна встановити Максимальний розмір журналу (КБ) і вибрати дію при досягненні максимального розміру. Для серверів та інших важливих робочих станцій швидше за все роблять розмір журналів більше і вибирають Архівувати журнал при заповненні, щоб можна було у разі нештатної ситуації відстежити коли почалася несправність.

Робота з журналами подій windows 7

Сортування подій

Якщо ви ще раз натиснете, то отримаєте сортування у зворотному напрямку. Принципи сортування такі ж, як і для провідника windows. Обмеження неможливості виконати сортування більш як по одному стовпцю.

Угруповання подій

Очищення журналу

Якщо ви виправили помилки в системі, що призводили до запису подій в журналі, то, можливо, захочете очистити журнал, щоб старі записи не заважали діагностувати нові стани комп'ютера. Для цього натискаємо правою кнопкою на журналі, який потрібно очистити і вибираємо Очистити журнал…

У вікні, що відкрилося, ми можемо просто очистити журнал і можемо Зберегти його у файл перед очищенням

Настроювані уявлення

У розділі Рівень події ставимо галочки для вибору важливості подій.

Ми можемо зробити вибірку за певним журналом або журналами або джерелом. Перемикаємо радіобокс у потрібне положення і з списку встановлюємо необхідні галочки

Можна вибрати певні коди подій, щоб вони показувалися або не показувалися у створеному вами поданні.

Коли всі параметри подання вибрали тиснемо ОК

У віконці задаємо ім'я і опис настроювання, що настроюється, і тиснемо ОК

Для прикладу створив подання для Помилок і критичних подій з журналів Додаток і Безпека

У вікні, що відкрився, робимо додаткові налаштування в поданні.

Можна провести аналогію настроювання, що настроюється зі збереженими умовами пошуку в провіднику windows 7.

Висновок

У цій статті ми розглянули журнал подій windows 7. Розповіли про практично всі основні операції з ним для зручності знаходження подій про помилки та критичні події. І тут виникає закономірне питання – «А як же виправляти ці помилки у системі». Тут все дуже складно. У мережі інформації мало і тому можливо доведеться витратити багато часу на пошук інформації. Тому, якщо робота комп'ютера в цілому вас влаштовує, можна цим не займатися. Якщо ж ви хочете спробувати поправити, дивіться відео нижче.

Також за допомогою журналу подій можна провести діагностику повільної завантаження windows 7.

Буду радий будь-яким коментарям та пропозиціям.

З повагою, Антон Дяченко

YouPK.ru

Як почистити всі журнали windows за допомогою скрипту

перегляд журналу подій

Іноді щоб подивитися з'являється якась помилка чи подія, важко буває шукати її серед купи подій, можна звичайно фільтрувати, але простіше все очистити. Чистити вручну довго і нудно, пропоную скрипт який почистить усі журнали windows. Перед виконанням скрипту раджу у перегляді подій зберегти логи windows для подальшого вивчення, багато разів було, що старі файли виявляються, дуже потрібні, навчайтеся на чужих помилках, а краще їх взагалі не робіть.

До очищення бачимо, що у логах windows багато подій

Виконуємо скрипт, виконувати потрібно від імені адміністратора.

Після, результат на обличчя всі логі windows видалені в оснастці перегляд подій, і ви тільки виявите подію про те хто і коли зробив видалення.

ось сам текст скрипту

@echo off FOR /F "tokens=1,2*" %%V IN ("bcdedit") DO SET adminTest=%%V IF (%adminTest%)==(Access) goto noAdmin for /F "tokens=* "%%G in ("wevtutil.exe el") DO (call:do_clear "%%G") echo. echo goto theEnd:do_clear echo clearing %1 wevtutil.exe cl %1 goto:eof:noAdmin

Завантажити сам скрипт

Як бачите логи windows дуже швидко і легко видаляються скриптом, якщо потрібно масово зачистити його вішаємо в планувальнику завдань. Також раджу ознайомитися з методом Як очистити перегляд подій за допомогою PowerShell

Матеріал сайту pyatilistnik.org

pyatilistnik.org

Журнал подій windows 7. Де знайти системний журнал

В операційній системі windows сьомої версії реалізовано функцію відстеження важливих подій, які відбуваються в роботі системних програм. У "Майкрософт" під поняттям "події" маються на увазі будь-які події в системі, які фіксуються в спеціальному журналі і сигналізують про себе користувачам або адміністраторам. Це може бути службова програма, яка не бажає запускатися, збій у роботі програм або некоректне встановлення пристроїв. Всі події реєструє та зберігає журнал подій windows 7. Він також має в своєму розпорядженні і показує всі дії в хронологічному порядку, допомагає здійснювати системний контроль, забезпечує безпеку операційної системи, виправляє помилки та діагностує всю систему.

Слід періодично переглядати цей журнал на предмет появи інформації, що надходить, і проводити налаштування системи для збереження важливих даних.

Window 7 - програми

Комп'ютерний додаток "Перегляд подій" є основною частиною службових утиліт "Майкрасофт", які призначені для контролю та перегляду журналу подій. Це необхідний інструментдля моніторингу працездатності системи та ліквідації помилок, що з'являються. Службова програма«Віндовс», яка керує документуванням подій, називається «Журналом подій». Якщо ця служба запущена, вона починає збирати і протоколювати всі важливі дані у своєму архіві. Журнал подій windows 7 дозволяє робити такі дії:

Перегляд даних, записаних до архіву;

Використання різних фільтрів подій та їх збереження для подальшого застосування у налаштуваннях системи;

Створення підписки щодо певних подій та управління ними;

Призначати певні дії у разі виникнення будь-яких подій.

Як відкрити журнал подій Windows 7?

Програма, яка відповідає за реєстрацію пригод, запускається так:

1. Активується меню натисканням кнопки «Пуск» у нижньому лівому куті монітора, потім відкривається «Панель управління». У списку елементів керування вибираємо «Адміністрацію» і вже в цьому підменю натискаємо на «Перегляд подій».

2. Є інший спосіб, як подивитися журнал подій windows 7. Для цього слід перейти в меню «Пуск», в пошуковому вікні набрати mmc і надіслати запит на пошук файлу. Далі відкриється таблиця MMC, де потрібно вибрати параграф, що означає додавання та видалення оснастки. Потім провадиться добавка «Перегляду подій» на головне вікно.

Що являє собою описуваний додаток?

В операційних системах Widows 7 та Vista встановлені два види журналів подій: системні архіви та службовий журнал додатків. Перший варіант використовується для фіксації загальносистемних подій, пов'язаних із продуктивністю різних додатків, запуском та безпекою. Другий варіант відповідає за запис подій їхньої роботи. Для контролю та управління всіма даними служба «Журнал подій» використовує вкладку «Перегляду», яка поділяється на такі пункти:

Додаток – тут зберігаються події, пов'язані з певною програмою. Наприклад, поштові служби зберігають у цьому місці історію пересилання інформації, різні події поштових скринькахі так далі.

Пункт «Безпека» зберігає всі дані, що стосуються входів у систему та виходу з неї, використання адміністративних можливостей та звернення до ресурсів.

Встановлення – до цього журналу подій windows 7 заносяться дані, які виникають при встановленні та налаштуванні системи та її додатків.

Система – фіксує всі події операційної системи, такі як збій під час запуску службових програм або встановлення та оновлення драйверів пристроїв, різноманітні повідомлення, що стосуються роботи всієї системи.

Події, що пересилаються – якщо цей пункт налаштований, то в ньому зберігається інформація, яка приходить з інших серверів.

Інші підпункти основного меню

Також у меню «Адміністрування», де журнал подій у Windows 7 і знаходиться, є такі додаткові пункти:

Internet Explorer – тут реєструються події, які виникають під час роботи та налаштування однойменного браузера.

Windows PowerShell – у цій папці фіксуються події, що мають зв'язок із застосуванням оболонки PowerShell.

Події обладнання – якщо цей пункт налаштований, то журнал заносяться дані, які генерують устрою.

Вся структура «сімки», яка забезпечує запис усіх подій, заснована на кшталт «Вісти» на XML. Але для використання у Window 7 програми журналу подій немає потреби знати, як застосовувати цей код. Програма «Перегляд подій» все зробить сама, надавши зручну та просту таблицю з пунктами меню.

Характеристики подій

Користувач, який бажає дізнатися, як подивитися журнал подій windows 7, повинен також розбиратися і в характеристиках даних, які він хоче переглянути. Адже є різні властивості тих чи інших подій, описаних у «Перегляді подій». Ці характеристики ми розглянемо нижче:

Джерела – програма, яка фіксує події у журналі. Тут записуються імена додатків або драйверів, що вплинули на ту чи іншу подію.

Код події – набір чисел, визначальних тип події. Цей код та ім'я джерела події використовується технічною підтримкою системного забезпеченнядля виправлення помилок та ліквідації програмних збоїв.

Рівень – рівень важливості події. Журнал подій системи має шість рівнів подій:

1. Повідомлення.

2. Застереження.

3. Помилка.

4. Небезпечна помилка.

5. Моніторинг успішних операцій із виправленню помилок.

6. Аудит невдалих дій.

Користувачі – фіксує дані облікових записів, від імені яких сталася подія. Це може бути імена різних сервісів, і навіть реальних користувачів.

Дата та час – реєструє часові показники появи події.

Існує маса інших подій, які виникають під час роботи операційної системи. Усі обставини висвітлюються у «Перегляді подій» з описом всіх супутніх інформаційних даних.

Як працювати з журналом подій?

Дуже важливим моментому запобіганні системі від збоїв і зависань є періодичне перегляд журналу «Додаток», в якому фіксуються відомості про події, нещодавні дії з тією чи іншою програмою, а також надається вибір доступних операцій.

Зайшовши до журналу подій windows 7, у підменю «Додаток» можна побачити список усіх програм, що викликали різні негативні події в системі, час та дату їх появи, джерело, а також ступінь проблемності.

Дія користувача у відповідь на події

Вивчивши, як відкрити журнал подій windows 7 та яким чином ним користуватися, слід далі навчитися застосовувати з цим корисним додатком«Планувальник завдань». Для цього необхідно правою клавішею миші клікнути на будь-яку подію і у вікні вибрати меню прив'язки завдання до події. Наступного разу, коли станеться така подія в системі, операційна система автоматично запустить встановлене завдання на обробку помилки та її виправлення.