Windows 8 

Где находиться журнал событий windows. Как использовать просмотр событий Windows для решения проблем с компьютером Установка максимального размера журнала

Тема этой статьи - использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ- данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.


Интерфейс данного инструмента администрирования можно условно разделить на три части:

  • В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
  • По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
  • В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

  • Имя журнала - имя файла журнала, куда была сохранена информация о событии.
  • Источник - название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
  • Код - код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
  • Код операции - как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
  • Категория задачи, ключевые слова - обычно не используются.
  • Пользователь и компьютер - сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок - не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Просмотр журнала производительности Windows

В просмотре событий Windows можно найти достаточное количество интересных вещей, например - посмотреть на проблемы с производительностью компьютера.

Для этого в правой панели откройте Журналы приложений и служб - Microsoft - Windows - Diagnostics-Perfomance - Работает и посмотрите, есть ли среди событий какие-либо ошибки - они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.

Использование фильтров и настраиваемых представлений

Огромное количество событий в журналах приводит к тому, что в них сложно ориентироваться. К тому же, большинство из них не несут в себе критически важной информации. Лучший способ отобразить только нужные события - использовать настраиваемые представления: вы можете задать уровень событий, которые нужно отображать - ошибки, предупреждения, критические ошибки, а также их источник или журнал.

Для того, чтобы создать настраиваемое представление, нажмите соответствующий пункт в панели справа. Уже после создания настраиваемого представления, вы имеете возможность применить к нему дополнительные фильтры, кликнув по «Фильтр текущего настраиваемого представления».

Конечно, это далеко не все, для чего может пригодиться просмотр событий Windows, но это, как было отмечено, статья для начинающих пользователей, то есть для тех, кто вообще не знает о данной утилите. Быть может, она подвигнет к дальнейшему изучению этого и других инструментов администрирования ОС.

Просмотр событий в Windows отображает историю (журнал) системных сообщений и событий, генерируемых программами - ошибок, информационных сообщений и предупреждений. Кстати, мошенники иногда могут использовать просмотр событий для обмана пользователей - даже на нормально функционирующем компьютере в журнале всегда будут сообщения об ошибках.

Запуск просмотра событий

Для того, чтобы запустить просмотр событий Windows, наберите это самое словосочетание в поиске или же зайдите в «Панель управления» - «Администрирование» - «Просмотр событий»

Собственно, зачем вообще я об этом пишу, раз в просмотре событий Windows нет ничего интересного для обычного пользователя? Все-таки данная функция (или программа, утилита) Windows может быть полезной при возникновении проблем с компьютером - когда случайным образом появляется синий экран смерти Windows, или происходит произвольная перезагрузка - в просмотре событий можно отыскать причину данных событий. К примеру, ошибка в журнале системы может дать информацию о том, драйвер какого именно оборудования вызвал сбой для последующих действий по исправлению ситуации. Просто найдите ошибку, которая возникла в то время, когда компьютер перезагрузился, завис или отобразил синий экран смерти - ошибка будет отмечена как критическая.

Есть и другие применения просмотра событий. Например, Windows записывает время полной загрузки операционной системы. Или, если на вашем компьютере располагается сервер, Вы можете включить запись событий выключения и перезагрузки - всякий раз, когда кто-то будет выключать ПК, ему потребуется ввести причину этого, а вы сможете позже просмотреть все выключения и перезагрузки и введенную причину события.

Кроме этого, можно использовать просмотр событий совместно с планировщиком задач - кликните правой кнопкой мыши по любому событию и выберите «Привязать задачу к событию». Всякий раз, когда будет происходить данное событие, Windows будет запускать соответствующую задачу.

Windows достаточно сложная операционная система и отследить все процессы, в том числе и ошибки, тяжело для неопытного пользователя.

Для этих целей в самой ОС предусмотрено протоколирование всего происходящего и всех действий в системе. Вывести и просмотреть этот протокол можно при помощи функции просмотра событий Windows.

Отображение просмотра событий Windows

Просмотреть информацию о работе ОС можно двумя способами:

  • При помощи cmd (командной строки );
  • С помощью панели управления .

Для вызова строки cmd можно использовать сочетание клавиш Win+R или пройти известную цепочку: Пуск — Все программы — Стандартные — Командная строка .

В открывшемся окне ввести последовательность eventvwr.msc

Либо, через Пуск — Панель управления — Система и обслуживание — Администрирование .

На рабочий стол будет выведено главное окно утилиты. Выбираем пункт «».

Не стоит пугаться, если в списке обнаружены ошибки. Даже в идеально работающей системе могут появляться подобные сообщения. В большинстве случаев они единичные и вызваны незначительными сбоями в работе приложений.

Скорее всего, для рядового пользователя описания ошибок ничего не скажут. Просмотр логов может помочь системному администратору или «продвинутому» пользователю разобраться в возникающих системных сбоях.

Как использовать просмотр

Какую информацию можно поучить из журнала? Если ваш компьютер систематически выдает ошибки, произвольно перезагружается или вылетает «синий экран смерти», то все события, приведшие к сбою в работе, протоколируются системой. При просмотре информации можно узнать в какое время какая служба, драйвер или компонент оборудования вызвали ту или иную ошибку. Исходя из этой информации, можно предпринять необходимые меры к устранению нарушений.

Помимо сведений об ошибках журнал можно использовать и для других целей. К любому происходящему в системе событию можно привязать выполнение конкретной задачи . Это позволит в будущем, при возникновении подобной ситуации автоматически выполнить поставленное условие.

Для этого достаточно на любом элементе из списка вызвать контекстное меню правой кнопкой мыши и выбрать пункт «Привязать задачу ».

Очистка журнала событий

Удалить всю информацию из журнала тоже не составит никакого труда. Для этого в левом блоке окна журнала выбираем элемент дерева меню, который необходимо очистить, правой кнопкой мыши вызываем контекстное меню — «Очистить журнал »

Операционная система Windows Vista тщательно и неустанно следит за всем, что с ней происходит. Абсолютно все действия, которые называются «событиями», постоянно фиксируются и распределяются по различным категориям. Программу Просмотр событий (которая является, если вам интересно, оснасткой MMC) можно представить в качестве журнала, который ведет скрупулезная и въедливая старушка на скамейке у подъезда. Она фиксирует, кто входит в дом и выходит из него, какие ведутся разговоры между жильцами, кто с кем развелся и подрался. Иными словами, имеет полную картину того, чем живет дом.

Подобную функцию соглядатая и выполняет программа Просмотр событий, которая, в отличие от любопытства старушки, предназначена для диагностики и выявления тех проблем в работе ОС, о которых пользователь и не догадывался.

Все события, происходящие в системе, записываются в специальных системных журналах. Программа Просмотр событий позволяет просматривать содержимое этих журналов, архивировать и удалять их. Как именно можно использовать данную программу? Основное предназначение - выявлять возникшие проблемы и причину их появления. Если произошел сбой в работе устройства, жесткий диск «забился под завязку», какая-то программа постоянно «зависает» или произошло другое неприятное событие, информация об произошедшем будет зафиксирована в соответствующем системном журнале. Далее достаточно запустить Просмотр событий и получить полную и наглядную информацию из системного журнала.

Запустить программу Просмотр событий можно одним из следующих способов.

  • Выберите команду Пуск>Панель управления , щелкните на ссылке Система и ее обслуживание , затем на ссылке Администрирование и, наконец, на ссылке Просмотр событий .
  • Второй способ для нетерпеливых: введите в командной строке команду eventvwr .

Напомним, что, кроме щелчка на кнопке Пуск , вызвать окно командной строки можно, нажав комбинацию клавиш . Также не забывайте, что для использования всех возможностей инструмента Просмотр событий требуются административные права доступа.

В любом случае откроется окно, показанное далее.

  • Просмотр событий из нескольких системных журналов.
  • Создание фильтров событий в виде настраиваемых представлений.
  • Возможность создать задачу, выполняемую автоматически с определенным событием.

Рассмотрим более внимательно окно, показанное выше. Окно разделено на три панели. На левой панели Просмотр событий представлено несколько папок, содержащих настраиваемые представления, журналы и подписки. На центральной панели содержится несколько вложенных меню, таких как и Недавно просмотренные узлы . Наконец, на правой панели Действия можно выбрать определенные действия, например, создать настраиваемое представление или подключиться к другому компьютеру.

Панель позволяет быстро выявить все важные события, зафиксированные за прошедший час, день или неделю. Каждый тип события можно раскрыть, чтобы узнать подробную информацию о событии. Панель дает общую картину происходящего в системе, а для получения конкретной информации следует перейти к определенному событию.

Поскольку программа Просмотр событий используется для просмотра системных журналов, щелкните на значках в виде папок и Журналы приложений и служб на левой панели, чтобы раскрыть список доступных журналов. Рассмотрим его более подробно. В папке представлены следующие журналы.

  • Приложение . События в данном журнале генерируются приложениями, включая установленные программы, поставляемые с Windows Vista, и службы операционной системы. То, какие именно события записываются в данном журнале, зависит от конкретной программы.
  • Безопасность . В этом журнале перечислены попытки пользователей зайти в систему (удачные и неудачные), а также действия, связанные с общедоступными ресурсами, такие как действия по созданию, изменению или удалению файлов или папок.
  • Настройки . События в данном журнале создаются при установке программ.
  • Система . Системные события генерируются самой Windows и устанавливаемыми компонентами, такими как драйверы устройств. Журнал удобно использовать для обнаружения драйверов, в загрузке которых при запуске Windows произошел сбой.
  • Пересланные события . В этом журнале можно найти события, собранные с других компьютеров в сети.

В папке Журналы приложений и служб можно найти записи для отдельных приложений и служб. В то время как в других журналах представлены общие записи, в этом журнале можно найти сведения о работе конкретных программ. Обратите внимание на вложенную папку Microsoft, в которой, в свою очередь, расположена вложенная папка Windows. В этой папке можно найти записи для самых разнообразных компонентов Windows Vista, представленных в отдельных папках.

Классический случай Просмотра событий был реализован в виде ActiveX-объекта в файле c:\windows\system32\els.dll. Если вы регистрируете его, то вы получите оснастку Event Viewer для Microsoft Management Console (MMC). Следуйте инструкциям ниже, чтобы узнать, как это можно сделать.

  1. Откройте окно командной строки (нажмите Win+X на клавиатуре клавишу и выберите пункт - «Command Prompt (Admin).
  2. Введите следующую команду regsvr32 els.dll

    Вы получите сообщение «DllRegisterServer в els.dll это удалось». Нажмите кнопку «OK», чтобы закрыть его.

  3. Вернитесь в командное окно и введите mmc , а затем нажмите кнопку Enter. Microsoft Management Console application будет открыта. Выберите пункт меню Файл - Добавить/Удалить Оснастку или нажмите сочетание клавиш Ctrl+M на клавиатуре.
    В списке слева выберите и нажмите на кнопку «Add». В диалоговом окне «Выберите Компьютер» , просто нажмите кнопку «Finish».

В окне диалогового окна «Add or Remove Snap-ins» нажмите кнопку «OK».Запустите пункт меню «Файл - Параметры…» . Здесь вы можете изменить название и значок консоли, прежде чем вы сохраните его в файл.Я рекомендую вам изменить режим консоли в «режим пользователя - полный доступ» и установите флажок на варианте «не сохранять изменения для этой консоли» , в противном случае подтверждения «Сохранить изменения» каждый раз будут Вас раздражать,когда вы его используете.

Нажмите кнопку «OK», чтобы закрыть это окно.В меню пункт выберите «Файл » - » Сохранить» и дайте ему любое имя файла (напр. CEventVwr.msc) и сохраните его в таком месте, как C:\Windows или C:\Windows\system32. Вы можете сохранить его в любом месте на вашем рабочем столе, но сохранение файла в указанном выше каталоге,позволит вам быстро его использовать введя имя в диалоговое окно Запустить и вы даже не должны вводить полный путь к нему каждый раз,когда вы его используете.Или вы можете использовать файл,который был создан специально для этой функции в Windows 8 .

Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить