Kde je časopis událostí v systému Windows 10, jak jej zobrazit a najít chyby

Windows ví, co jste udělali minulé léto. A včera a dnes a právě teď. Ne, není pomstychtivá, jen píše všechno - vede Journal of Events.

Události jsou jakékoli akce, které se odehrávají na počítači: zapnutí, vypnutí, vstup do systému, spuštění aplikací, klávesnic atd. D. A časopis The Window Events je úložištěm, kde se hromadí informace o nejvýznamnějších akcích. Prohlížení událostí pomáhá správcům a vývojářům najít důvody selhání při provozu zařízení, komponent systému a programů a také monitorovat bezpečnost v podnikových sítích. Zjistíme tedy, kde se časopis událostí nachází v systému Windows 10, jak jej otevřít, zobrazit a analyzovat.

Obsah

• Kde je časopis události a jak jej otevřít
• Co dělat, pokud se časopis události neotevře
• Struktura diváka časopisu Event
• Jak se podívat do časopisů zájmu
  • Jak používat filtrační funkci
  • Jak vytvářet vlastní představení
  • Zdroje, úrovně a kódy událostí. Jak pochopit, co znamená konkrétní kód
• Získejte informace o systému - alternativa ke standardním oknům prohlížeče

Kde je časopis události a jak jej otevřít

Konstantní „registrace“ souboru pro prohlížeč souboru - Eventvwr.MSc, - Složka \ Windows \ System32. Ale kvůli přístupu k němu, nikdo v této složce samozřejmě necestává, protože existují jednodušší způsoby. Zde jsou:

• Hlavní nabídka Windows - "Start". Kliknutím na jeho tlačítko by nemělo být ponecháno, ale s pravým klíčem myši. Odstavec "Zobrazit události" - čtvrtý shora.

• Vyhledávání systému - tlačítko s ikonou ve formě zvětšovacího skla poblíž "Start". Stačí začít zavádět slovo „Zobrazit ...“ - a tady je, nalezen.

• Nástroj Windows "Provést"(Run) je jednoduše vytvořen pro ty, kteří dávají přednost horkým klícím. Klikněte na klávesnici Windows+K (ruština), vjeďte do řádku “OTEVŘENO"Tým Eventvwr (Název souboru prohlížeče) a klikněte na OK.

• Příkazový řádek nebo konzole PowerShell (je také vhodné je otevřít prostřednictvím nabídky kontextu startu). Zadejte znovu a spusťte protokol událostí Eventvwr A klikněte na Enter.

• Starý ovládací panel Kind (mimochodem, pokud jej chcete vrátit do kontextu Start, přečtěte si tento článek). Přejít na sekci "systém a bezpečnost", Jděte dolů okna k věci"Správa"A klikněte"Zobrazit události událostí".

• Systémový nástroj "Možnosti„Ovládací panel byl nahrazen. Je stále potěšením pochovat ve svých střevech, ale můžete usnadnit začít řídit slovo „Administrace“ do vyhledávací linie. Pak přejděte do nalezené sekce a klikněte na štítek na kartáč -.

• Najděte časopis Windows Events s fascinujícím čtením? Pak se vám možná bude líbit, že ho bude mít vždy po ruce. Chcete -li umístit štítk štětce -desktop, přejděte na některou z metod do ovládacích panelů “Správa", Zkopírujte štítek stisknutím kláves Ctrl+C, klikněte na myši na ploše a stiskněte Ctrl+V.

Co dělat, pokud se časopis události neotevře

Služba stejného názvu je zodpovědná za práci této systémové komponenty. A nejčastějším důvodem problémů s jeho otevřením je zastavení služby.

Chcete -li zkontrolovat tuto verzi a obnovit práci diváka, otevřete zařízení “Služby". Nejjednodušší způsob, jak to udělat prostřednictvím správce úloh: přejděte na kartu “Služby"A klikněte na spodní část okna"Otevřené služby".

Pak najdete v seznamu služeb “Protokol událostí Okna„A pokud je zastaven, stiskněte tlačítko Start na horním panelu okna.

Služba nezačne? Nebo je spuštěn, ale časopis je stále nepřístupný? To může být způsobeno následujícím:

• Váš vědecký vstup je omezen na práva bezpečnostních politiků.
• Účet místního servisu je omezený, jménem, ​​jehož časopis Event funguje.
• Některé systémové komponenty jsou poškozeny nebo blokovány škodlivým programem.

Chcete -li obejít omezení bezpečnostních politik, pokud váš účet nemá administrativní pravomoci, pravděpodobně to nebude fungovat. V jiných případech lze problém zpravidla vyřešit pomocí standardních nástrojů pro obnovení systému Windows:

• Vrácení do kontrolního bodu vytvořeného, ​​když všechno fungovalo správně.
• Spuštění nástroje pro kontrolu a obnovení zabezpečených systémových souborů SFC.Exe -Scannow Na příkazovém řádku.
• Skenování disků pro virovou infekci.
• Obnovení přístupových práv systémových účtů do složek \Windows \ System32 \ Winevt A \ System32 \ logfiles. Pracovní nastavení jsou uvedeny na snímcích obrazovek níže.

Struktura diváka časopisu Event

Užitečnost událostí při prohlížení není pro nezkušeného uživatele příliš přátelská. Nemůžete to nazvat intuitivně pochopitelným. Ale navzdory děsivému vzhledu je docela možné jej použít.

Levá strana okna obsahuje katalogy časopisu, mezi nimiž jsou 2 hlavní. Jedná se o časopisy Windows, kde jsou ukládány záznamy o událostech operačního systému; a protokoly aplikací a služby, kde položky probíhají služby a nainstalované programy. Katalog "Vlastní představení„Obsahuje uživatelské vzorky - skupiny událostí tříděných podle jakéhokoli atributu, například podle kódu, podle typu, podle data nebo najednou.

Uprostřed okna zobrazuje vybraný časopis. V horní části je tabulka událostí, kde jsou uvedeny jejich úrovně, data, zdroje, kódy a kategorie úkolů. Pod ním - část podrobných informací o konkrétních záznamech.

Pravá strana obsahuje nabídku dostupných operací s časopisy.

Jak se podívat do časopisů zájmu

Prohlížení všech záznamů v řadě je nepohodlné a neinformativní. Pro usnadnění hledání pouze těch, které jsou zajímavé, používají nástroj “Filtr aktuálního časopisu", což vám umožní vyloučit všechny navíc z show. Bude k dispozici v nabídce "Akce„Když myš izolovala jakýkoli časopis.

Jak používat filtrační funkci

Zvažte konkrétním příkladem. Předpokládejme, že máte zájem o chyby, kritické události a varování za poslední týden. Zdroj informací - časopis "Systém". Vyberte jej v katalogu Windows a klikněte na "Filtr aktuálního časopisu".

Dále vyplňte kartu “Filtr":

• Ze seznamu "datum„Výběr posledních 7 dnů.
• V kapitole "Úroveň události„Všimneme si kritického, chyb a varování.
• Na seznamu "Zdroje událostí„Zjistili jsme zájem o parametr. Pokud není znám, vybereme si všechno.
• Uvádíme kódy událostí (ID události), o kterých shromažďujeme informace.
• V případě potřeby si všimneme klíčových slov pro zúžení vyhledávacího kruhu a určení uživatele (pokud máte zájem o informace o konkrétním účtu).

Takto vypadá časopis poté, co jsme v něm hledali jen to, co jsme v něm hledali:

Bylo mnohem pohodlnější číst.

Jak vytvářet vlastní představení

Vzorky na míru -jak je uvedeno výše, uživatelé událostí uložených v samostatném adresáři. Jejich rozdíl od obyčejných filtrů je pouze to, že jsou uloženy v samostatných souborech a nadále jsou doplněny záznamy, které spadají do jejich kritérií.

Chcete -li vytvořit vlastní výkon, proveďte následující:

• Zdůrazněte časopis Journal of Head of Catalogs sekce.
• Klikněte na položku “Vytvořte vlastní pohled"V kapitole"Akce".
• Vyplňte nastavení okna "Filtr„Po výše uvedeném příkladu.
• Uložte filtr pod jakýmkoli názvem ve vybraném katalogu.

V budoucnu mohou být reprezentace vyráběné na míru upraveny, kopírovat, smazat, exportovat do souborů .XML, Ušetřete jako časopisy o formátu .Evtx a navazujte problémy plánovače.

Zdroje, úrovně a kódy událostí. Jak pochopit, co znamená konkrétní kód

Zdroje událostí jsou komponenty OS, ovladače, aplikace nebo dokonce jejich jednotlivé komponenty, které vytvářejí poznámky v časopisech.

Úrovně událostí jsou ukazatele jejich významu. Všechny poznámky časopisu jsou připisovány jedné ze šesti úrovní:

• Kritická chyba Označuje nejzávažnější selhání, které vedlo k odmítnutí zdroje, který jej vytvořil bez možnosti nezávislé obnovy. Příkladem externího projevu takového selhání je obrazovka modré smrti Windows (BSOD) nebo náhlý restart počítače.
• Chyba také označuje selhání, ale s méně kritickými důsledky pro provoz systému. Například odchod programu bez uložení údajů z důvodu nedostatku zdrojů, chyb při spouštění služeb atd. Str.
• Varování - Záznam, který podává zprávy o problémech, které negativně ovlivňují provoz systému, ale nevede k selhání, jakož i možnosti chyb v budoucnu, pokud jejich příčinu nevylučují. Příklad: Aplikace byla spuštěna déle než obvykle, což vedlo ke zpomalení načítání systému.
• Oznámení - Obvyklá informační zpráva například, že operační systém začal instalovat aktualizaci.
• Úspěšná zpráva (audit) - Zpráva informující o úspěchu jakékoli události. Příklady: Program je úspěšně nainstalován, uživatel úspěšně vstoupil na účet.
• Afektivní zpráva (audit) - Zpráva o neúspěšném dokončení operace. Například instalace programu nebyla dokončena kvůli zrušení uživatele.

Kód (ID události) je číslo, které označuje kategorii událostí. Například záznamy týkající se načítání Windows jsou označeny 100-110 kódy a do konce jeho pracovních kódů 200-210.

Chcete -li hledat další informace o konkrétním kódu, spolu se zdrojem události je vhodné používat webový zdroj Eventid.Síť Je to, i když je to angličtiny, je snadné jej používat.

Kód převzatý z časopisu Event (na níže uvedeném obrazovce) vstupujeme do pole “Zadejte Okna událost Id", Zdroj - B"událost Zdroj". Zmáčknout tlačítko "Vyhledávání„ - a pod ní je znamení s dekódováním události a komentářů uživatele, ve kterých lidé sdílejí tipy, jak odstranit související problémy.

Získejte informace o systému - alternativa ke standardním oknům prohlížeče

Nerad si prohlížím časopisy prostřednictvím standardní aplikace Windows? Existují alternativy, které představují informace ve vizuální a pohodlnější formě pro analýzu. Jedním z nich je užitečnost Kaspersky Laboratory Dostat Systém Informace.

Získejte informace o systému zobrazují různé informace o operačním systému, nainstalovaných programech, nastavení sítě, zařízení, ovladačů atd. D. Záznamy časopisu Event jsou pouze jedním z jeho ukazatelů.

Výhodou této užitečnosti oproti standardním prostředkům oken je pohodlí sledování a zobrazování komplexních informací o počítači, které usnadňují diagnózu poruch. A nevýhodou je, že zaznamenává ne všechno, ale pouze nejnovější a nejvýznamnější události.

Získat informace o systému nevyžaduje instalaci na PC, ale ke čtení výsledků bude muset být stáhnuto na webu analyzátoru, to znamená, že potřebujete přístup k internetu.

Jak používat získání informací o systému:

• Spusťte nástroj pro práva AMIN. Před kliknutím na tlačítko "Start„Uveďte složku pro úsporu log (ve výchozím nastavení je to plocha) a označte bod“Zahrnout Okna událost Protokoly".

• Po archivním souboru s názvem se objeví na ploše nebo ve složce, kterou jste uvedliGsi6_mya_pk_user_data_ a t.D.", Otevřete web v prohlížeči GetsystemInfo.Com a stáhněte si tam archiv.

• Po načtení zprávy o getsystenfo.Com jít na kartu "Vlastnosti systému"A otevřete sekci"Protokol událostí".

Nástroj shromažďuje informace z časopisů “Systém" A "Aplikace". Události jsou zobrazeny v chronologickém pořadí, každá úroveň je zvýrazněna ve své barvě. Chcete -li zobrazit informace o konkrétním záznamu, stačí kliknout na řádek na řádku.

Zde nejsou žádná vlastní představení a filtrování, ale existuje vyhledávání a funkce třídění záznamů.

Hledat řádek podle časopisů a padající seznamu “Zobrazit počet prvků„Nachází se nad stolem. A třídit data podle typu, data a času, zdroje, kategorie, kódu, souboru nebo uživatele, stačí kliknout na záhlaví požadovaného sloupce.

Informace o událostech shromážděných Info System pomáhají najít zdroj problému s počítačem, pokud jsou spojeny se zařízením, okny nebo softwarem.  Pokud máte zájem o data o konkrétní aplikaci, komponentě nebo zabezpečení, budete muset použít standardní prohlížeč. Navíc nyní víte, jak jej otevřít bez zbytečného úsilí.