Kde je časopis udalostí v systéme Windows 10, ako ho pozrieť a nájsť chyby

Windows vie, čo ste urobili minulé leto. A včera a dnes a práve teraz. Nie, nie je pomstychtivá, len píše všetko - vedie denník udalostí.

Udalosti sú akékoľvek akcie, ktoré sa konajú v počítači: zapnutie, vypnutie, vstup do systému, spúšťanie aplikácií, stlačení klávesov atď. D. A časopis o udalostiach s okienmi je úložisko, kde sa zhromažďujú informácie o najvýznamnejších akciách. Prezeranie udalostí pomáha administrátorom a vývojárom nájsť dôvody zlyhaní pri prevádzke zariadení, komponentov systému a programov, ako aj monitorovať bezpečnosť v podnikových sieťach. Zistíme teda, kde sa časopis udalostí nachádza v systéme Windows 10, ako ho otvoriť, prezerať a analyzovať.

Spokojnosť

• Kde je časopis Event a ako ho otvoriť
• Čo robiť, ak sa časopis udalosti neotvorí
• Štruktúra diváka časopisu Event
• Ako sa pozerať do časopisov o udalostiach záujmu
  • Ako používať funkciu filtrácie
  • Ako vytvoriť vlastné predstavenia
  • Zdroje, úrovne a kódy udalostí. Ako pochopiť, čo znamená konkrétny kód
• Získajte informácie o systéme - alternatíva k štandardným systémom prehliadača Windows

Kde je časopis Event a ako ho otvoriť

Konštantná „registrácia“ súboru súborov súborov - EventVWR.MSC, - Priečinok \ Windows \ System32. Ale kvôli prístupu k nemu, nikto v tomto priečinku, samozrejme, neliezje, pretože existujú jednoduchšie spôsoby. Tu sú:

• Hlavná ponuka Windows - “Štart„. Kliknite na jeho tlačidlo, ktoré by nemalo zostať, ale s pravým kľúčom myši. Odsek "Zobraziť udalosti" - Štvrté zhora.

• Vyhľadávanie systému - Tlačidlo s ikonou vo forme lupiny blízko “Štart„. Stačí začať predstavovať slovo „pohľad ...“ - a tu sa nachádza.

• Windows Utility “Hrať„(Run) je jednoducho vytvorený pre tých, ktorí uprednostňujú horúce kľúče. Kliknite na klávesnicu Windows+K (ruština), vložte do riadku “OTVORENÉ"Tím EventVWR (Názov súboru prehliadača) a kliknite na tlačidlo OK.

• Príkazový riadok alebo konzola PowerShell (je tiež vhodné ich otvoriť prostredníctvom kontextovej ponuky na tlačidlo Štart). Znovu zadajte spustenie denníka udalostí EventVWR A kliknite na Enter.

• Ovládací panel starého druhu (mimochodom, ak ho chcete vrátiť do kontextu Štart, prečítajte si tento článok). Prejdite do sekcie “systém a bezpečnosť„Prejdite do okien do bodu“Podávanie„A kliknite“Zobraziť udalosti udalostí„.

• Systémový nástroj “možnosti„Ovládací panel vymenil. Stále je mi potešením pochovať vo svojich útroboch, ale môžete uľahčiť začať riadiť slovo „administratíva“ do vyhľadávacej linky. Potom prejdite do nájdenej sekcie a kliknite na štítok s kefou.

• Nájdite časopis Windows Events Journal s fascinujúcim čítaním? Potom sa vám bude páčiť myšlienka, aby ste si to udržali vždy po ruke. Ak chcete umiestniť štítok kefy -desktop, choďte na ktorékoľvek z metód na riadiace panely “Podávanie„Skopírujte štítok stlačením klávesov Ctrl+C, kliknite na myš na pracovnej ploche a stlačte Ctrl+V.

Čo robiť, ak sa časopis udalosti neotvorí

Služba rovnakého názvu je zodpovedná za prácu tohto systému systému. A najbežnejším dôvodom problémov s jeho otvorením je zastavenie služby.

Ak chcete skontrolovať túto verziu a obnoviť prácu diváka, otvorte zariadenie “Služby„. Najjednoduchší spôsob, ako to urobiť prostredníctvom správcu úloh: Prejdite na kartu “Služby„A kliknite na spodnú časť okna“Otvorené služby„.

Potom nájdite v zozname služieb “Protokol udalostí Okná„A ak je zastavené, stlačte tlačidlo Štart na hornom paneli okna.

Služba sa nezačína? Alebo je uvedený na trh, ale časopis je stále neprístupný? To môže byť spôsobené nasledujúcim:

• Váš vedecký vstup je obmedzený v právach bezpečnostných politikov.
• Účet lokálneho servisného systému je obmedzený v mene, ktorého časopis Event Works funguje.
• Niektoré komponenty systému sú poškodené alebo blokované škodlivým programom.

Ak chcete obísť obmedzenia bezpečnostných politík, ak váš účet nemá administratívne právomoci, pravdepodobne nebude fungovať. V iných prípadoch je možné problém spravidla vyriešiť pomocou štandardných nástrojov na obnovenie systému Windows:

• Vráťte sa do riadiaceho bodu vytvorené, keď všetko fungovalo správne.
• Spustenie nástroja na kontrolu a obnovenie bezpečných systémových súborov SFC.exe -Skenovanie teraz Na príkazovom riadku.
• Skenovacie disky na vírusovú infekciu.
• Obnovenie prístupových práv systémových účtov do priečinkov \Windows \ System32 \ Winevt A \ System32 \ logFiles. Pracovné nastavenia sú uvedené v snímkach obrazovky nižšie.

Štruktúra diváka časopisu Event

Užitočnosť prezerania udalostí nie je príliš priateľská pre neskúseného používateľa. Nemôžete to nazvať intuitívne zrozumiteľným. Ale napriek desivému vzhľadu je celkom možné ho použiť.

Ľavá strana okna obsahuje katalógy časopisov, medzi ktorými sú 2 hlavné. Toto sú časopisy Windows, kde sa ukladajú záznamy o udalostiach operačného systému; a aplikácie denníky a služby, v ktorých sú vstupy prebiehajúce služby a nainštalované programy. Katalóg "Vlastné predstavenia„Obsahuje vzorky používateľov - skupiny udalostí zoradených podľa akéhokoľvek atribútu, napríklad podľa kódu, podľa typu, podľa dátumu alebo naraz.

V strede okna zobrazuje vybraný časopis. Na vrchole je tabuľka udalostí, v ktorých sú uvedené úrovne, dátumy, zdroje, kódy a kategória úloh. Pod ňou - časť podrobných informácií o konkrétnych záznamoch.

Pravá strana obsahuje ponuku dostupných operácií s časopismi.

Ako sa pozerať do časopisov o udalostiach záujmu

Prezeranie všetkých záznamov v rade je nepohodlné a neinformatívne. Na uľahčenie hľadania iba tých, ktorí sú predmetom záujmu, používajú tento nástroj “Filter súčasného časopisu„Čo vám umožňuje vylúčiť všetky ďalšie z relácie. Je k dispozícii v ponuke “Akcie„Keď myš izolovala akýkoľvek časopis.

Ako používať funkciu filtrácie

Zvážte konkrétny príklad. Predpokladajme, že máte záujem o chyby, kritické udalosti a varovania za posledný týždeň. Zdroj informácií - časopis “Systém„. Vyberte ho v katalógu Windows a kliknite na “Filter súčasného časopisu„.

Ďalej vyplňte kartu “Filter„:

• Zo zoznamu “dátum„Výber posledných 7 dní.
• V kapitole “Úroveň udalosti„Zaznamenávame kritické, chyby a varovanie.
• Na zozname “Zdroje udalostí„Nájdeme záujem o parameter. Ak nie je známy, vyberieme si všetko.
• Uvádzame kódy udalostí (ID udalostí), o ktorých zhromažďujeme informácie.
• V prípade potreby si všimneme kľúčové slová na zúženie vyhľadávacieho kruhu a určenie používateľa (ak máte záujem o informácie o konkrétnom účte).

Takto vyzerá časopis po tom, čo sme v ňom hľadali, zostáva v ňom:

Čítanie sa stalo oveľa pohodlnejšie.

Ako vytvoriť vlastné predstavenia

Zastúpenia na mieru sú, ako je uvedené vyššie, vzorky používateľov udalostí uložené v samostatnom adresári. Ich rozdiel od bežných filtrov je iba v tom, že sú uložené v samostatných súboroch a sú naďalej doplňované záznamami, ktoré spadajú do ich kritérií.

Ak chcete vytvoriť vlastný výkon, urobte takto:

• Zvýraznite časopisu záujmu v sekcii katalógov.
• Kliknite na položku “Vytvorte si vlastné zobrazenie„V kapitole“Akcia„.
• Vyplňte nastavenia okna “Filter„Podľa vyššie uvedeného príkladu.
• Uložte filter pod ľubovoľným názvom vo vybranom katalógu.

V budúcnosti je možné editovať na mieru -vytvorené reprezentácie, skopírovanie, odstránené, exportované do súborov .XML, uložte ako časopisy formátových udalostí .EVTX a priviažte k nim problémy plánovača.

Zdroje, úrovne a kódy udalostí. Ako pochopiť, čo znamená konkrétny kód

Zdroje udalostí sú komponenty OS, ovládače, aplikácie alebo dokonca ich jednotlivé komponenty, ktoré vytvárajú poznámky v časopisoch.

Úrovne udalostí sú ukazovateľmi ich významu. Všetky poznámky časopisu sa pripisujú jednej zo šiestich úrovní:

• Kritická chyba Označuje najzávažnejšie zlyhanie, ktoré viedlo k odmietnutiu zdroja, ktorý ho generoval bez možnosti nezávislej obnovy. Príkladom vonkajšieho prejavu takéhoto zlyhania je obrazovka modrej smrti Windows (BSOD) alebo náhle reštartovanie počítača.
• Chyba tiež naznačuje zlyhanie, ale s menej kritickými dôsledkami pre fungovanie systému. Napríklad odchod programu bez uloženia údajov z dôvodu nedostatku zdrojov, chýb pri spúšťaní služieb atď. P.
• POZOR - Záznam, ktorý podáva správy o problémoch, ktoré negatívne ovplyvňujú prevádzku systému, ale nevedú k zlyhaniam, ako aj o možnosti chýb v budúcnosti, ak nevylúčia svoju príčinu. Príklad: Aplikácia bola spustená dlhšie ako obvykle, čo viedlo k spomaleniu načítania systému.
• Oznámenie - Obvyklá informačná správa, napríklad, že operačný systém začal inštalovať aktualizáciu.
• Úspešná správa (audit) - správa o informovaní o úspechu akejkoľvek udalosti. Príklady: Program je úspešne nainštalovaný, používateľ úspešne zadal účet.
• Afektívna správa (audit) - Správa o neúspešnom dokončení operácie. Napríklad inštalácia programu nebola dokončená z dôvodu zrušenia používateľa.

Kódovať (ID udalosti) je číslo, ktoré označuje kategóriu udalostí. Napríklad záznamy týkajúce sa načítania systému Windows sú označené 100-110 kódmi a na konci svojich pracovných kódov 200-210.

Ak chcete vyhľadať ďalšie informácie o konkrétnom kóde, spolu so zdrojom udalosti, je vhodné použiť webový prostriedok Eventid.Slepo Je to, aj keď je to anglicky, je ľahké ho používať.

Kód prevzatý z časopisu Event (na obrázku nižšie) vstupujeme do poľa “Vstup Okná Udalosť Id", Source - B"Udalosť Zdroj„. Stlač tlačidlo "Vyhľadávanie„ - a nižšie je znamenie s dekódovaním udalosti a komentárov používateľov, v ktorých ľudia zdieľajú tipy na odstránenie súvisiacich problémov.

Získajte informácie o systéme - alternatíva k štandardným systémom prehliadača Windows

Nerád si prezerám časopisy prostredníctvom štandardnej aplikácie Windows? Existujú alternatívy, ktoré predstavujú informácie v vizuálnej a pohodlnejšej forme analýzy. Jedným z nich je užitočnosť laboratória Kaspersky Dostať Systém Info.

Získajte informácie o systéme zobrazuje rôzne informácie o operačnom systéme, nainštalovaných programoch, nastaveniach siete, zariadeniach, ovládačoch atď. D. Záznamy časopisu Event sú iba jedným z jeho ukazovateľov.

Výhodou tohto užitočnosti oproti štandardným prostriedkom Windows je pohodlie prezerania a zobrazovania komplexných informácií o počítači, ktoré uľahčujú diagnostiku porúch. A nevýhodou je, že zaznamenáva nie všetko, ale iba najnovšie a najvýznamnejšie udalosti.

Informácie o systéme nevyžadujú inštaláciu na počítači, ale na prečítanie výsledkov, ktoré sa bude musieť stiahnuť na stránku analyzátora, to znamená, že potrebujete prístup na internet.

Ako používať informácie o systéme:

• Spustite program Amin Rights Utility. Pred kliknutím na tlačidlo “Štart„Uveďte priečinok ukladania denníka (v predvolenom nastavení je to pracovná plocha) a označte bod“Zahrnúť Okná Udalosť Protokoly„.

• Po archívnom súbore s názvom sa zobrazí na pracovnej ploche alebo v priečinku, ktorý ste uviedliGSI6_MYA_PK_user_data_ a t.D.„Otvorte stránku v prehliadači GetSystemInfo.Com a stiahnite si tam archív.

• Po načítaní správy o GetSystemInfo.Com Prejdite na kartu “Vlastnosti systému„Otvorte sekciu“Protokol udalostí„.

Utilita zhromažďuje informácie z časopisov “Systém„A“Žiadosti„. Udalosti sa zobrazujú v chronologickom poradí, každá úroveň je zvýraznená vo svojej farbe. Ak chcete zobraziť informácie o konkrétnom zázname, stačí kliknúť na riadok na riadku.

Neexistujú žiadne vlastné výkony a filtrovanie, ale existuje vyhľadávanie a funkcia triedenia záznamov.

Vyhľadajte linku podľa časopisov a zoznamu. “Zobraziť počet prvkov„Nachádza sa nad stolom. A na triedenie údajov podľa typu, dátumu a času, zdroja, kategórie, kódu, súboru alebo používateľa, stačí kliknúť na nadpis požadovaného stĺpca.

Informácie o udalostiach zhromaždených informáciami o systéme pomáhajú nájsť zdroj problému s počítačom, ak je spojený so zariadením, Windowsom alebo softvérom.  Ak máte záujem o údaje o konkrétnej aplikácii, komponente systému alebo zabezpečení, budete musieť použiť štandardný prehliadač. Okrem toho teraz viete, ako ho otvoriť bez zbytočného úsilia.