Power Spy
Стороннее приложение, простое в использовании и понятное даже неопытному человеку. Поддерживается большинством версий ОС Windows, прописывается в автозапуске и начинает работу при загрузке компьютера. Программа сохраняет данные обо всем, что происходит на компьютере, а затем позволяет посмотреть отчет о всех действиях, совершавшихся на устройстве. Если есть такая необходимость, данные можно сохранить в файл в одном из удобных форматов.
Вся необходимая информация о происходивших на компьютере в недавнем времени событиях будет отражена в Журнале событий. Чтобы просмотреть его, нужно выбрать и открыть интересующий раздел. К примеру, если пользователю потребуется информация о всех открытых окнах, необходимо запустить утилиту и кликнуть по иконке «Windows opened». Необходимые сведения появится на экране.
Аналогичным образом можно просмотреть и другую информацию, подобных разделов в меню программы большое количество.
Анализируем файлы журналов
Журналы Windows содержат довольно много информации о работе пользователей, ходе загрузки операционной системы и ошибках в работе приложений и ядра системы. Вот туда мы и заглянем в первую очередь.
Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management).
Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows». Их несколько: Приложение, Безопасность, Установка, Система.
Журнал безопасности
Нас сейчас больше всего интересует журнал безопасности. Он обязательно содержит информацию о входе в систему всех пользователей. Найдите запись о вашем последнем выходе из системы. А все записи журнала, которые будут расположены между вашим последним выходом и сегодняшним входом — это следы деятельности другого лица.
Журнал приложений
Теперь перейдем к журналу приложений. Он тоже очень важен для нашего маленького расследования. Этот журнал содержит информацию о приложениях, которые были запущены в наше отсутствие. Для подтверждения факта, что не вы эти приложения запускали, ориентируйтесь на время события.
Итак, анализируя два этих журнала, вы точно определите не только сам факт входа под вашим именем в ваше отсутствие, но и определите приложения, которые запускал этот неизвестный.
Поисковая система
Для осуществления поиска нужного сайта, страницы, видео или любой другой информации в Интернете, требуется два обязательных инструмента: интернет браузер и поисковая система. И оба эти инструмента умеют хранить историю посещаемых пользователем страниц, историю просмотров (если говорить о видео в YouTube), историю поиска и поисковых запросов, а некоторые инструменты также и комментарии или записи в сообществах.
Поэтому следующий способ посмотреть действия пользователя на компьютере с использованием интернета – это посмотреть историю сетевой активности в онлайн аккаунтах поисковых систем.
Детальную статью об этом читайте здесь.
Классификация событий ОС
Далее мы приведем классификацию записей в журнале по их значению для пользователя. События делятся на те, что генерируются самой операционной системой, и те, что исходят от приложений и служб. Однако такая классификация не учитывает смысла фиксируемых явлений. Более подробная их группировка выглядит следующим образом:
- Группа «Приложение» включает реакции системы на некоторые результаты работы приложений. Например, почтовый сервер может оставлять в журнале записи об отправке и получении электронной почты. Соответствующие данные хранятся в файле %SystemRoot%\System32\Winevt\Logs\Application.Evtx.
- Группа «Безопасность» не нуждается в комментариях – сюда складируется все, что так или иначе затрагивает подсистему защиты от незаконных вторжений. Например, отмечаются удачные и неудачные попытки пользователя войти в систему. Адрес файла: %SystemRoot%\System32\Winevt\Logs\Security.Evtx.
- Группа «Установка» — здесь журнал событий Windows 7 логирует успешные и неуспешные попытки инсталлировать те или иные компоненты в процессе установки ОС. Так что если установка не увенчалась успехом или привела к нестабильной работе поставленной системы – анализ этого лога может помочь выявить источник проблемы. Файл хранится тут: %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.
- Группа «Система» — самая обширная сюда помещаются результаты инициализации драйверов, запуска служб и прочие критически важные для ОС сообщения. Файл %SystemRoot%\System32\Winevt\Logs\System.Evtx – место хранения этих сведений.
- Группа «Пересылаемые события» — это собрание информации о пересылках данных между серверами. Все результаты таких пересылок накапливаются в файле %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx.
- Хранилище «Internet Explorer» (%SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx) содержит логи работы браузера.
- Просмотреть логи взаимодействия пользователя с обновленным интерфейсом командной строки «Power Shell» можно тут: %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx.
- Регистрация неадекватного поведения оборудования ведется в файле %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx.
Все данные хранятся в популярном формате XML, поэтому для их чтения и обработки необходима оболочка наподобие журнала событий. Непосредственный просмотр событий в системе Windows 7 в файлах хотя и возможен, но крайне затруднителен. Однако заниматься этим нет нужды, так как журнал событий Windows 7 делает это за нас.
Как использовать Event Viewer для проверки событий безопасности
Нажмите на меню Безопасность на левой панели. Здесь вы можете найти другой список сообщений, большинство из которых должны быть помечены как Audit Success . Windows выполняет аудит безопасности каждый раз, когда вы входите в систему, и каждый раз, когда вы создаете, изменяете или удаляете файл. Он также регистрирует любую попытку использовать ресурсы, к которым у вас нет авторизованного доступа, и в этом случае метка будет Audit Fail . Он также проверяет целостность вашей системы. При необходимости прокрутите экран вправо или перетащите ширину столбца, чтобы увидеть метки для каждого события.
Как использовать содержимое журнала
Журнал ошибок Windows 10: как просмотреть отчет
Журнал событий прост в использовании. В первую очередь нужно понять, что означает тот или иной код ошибки и почему возникла ошибка. В операционной системе есть несколько журналов событий: исторический архив и служебный журнал. В архиве хранятся данные о том, какие неисправности зарегистрированы в данный момент. В свою очередь, история содержит архивы критических ошибок, произошедших ранее.
Анализ лога действий и ошибок
Анализ реестра файлов реестра Windows 7:
Название функции | Что это показывает |
Информация | Эта функция позволит вам узнать, какая проблема привела к нестабильной работе операционной системы, и исправить синий экран в случае сбоя BSOD. |
Предупреждение | Эта функция позволяет просматривать те неисправности, которые не требуют обязательного устранения. |
Ошибка | Эта функция позволяет просматривать информацию о тех ошибках, которые затронули программные компоненты операционной системы и привели к неактивности служб и фоновых процессов. |
Системный аудит прошел успешно | Эта функция присутствует только в журнале безопасности и записывает количество неудачных сетевых подключений или ошибок при входе в профиль пользователя. |
Аудит не проводился | Эта функция позволяет просматривать те события, которые связаны с некорректным или неудачным открытием файлов и папок TrustedInstaller. |
Анализ журнала ошибок поможет определить причину критической ошибки
Описание интерфейса программы
Окно программы состоит из следующих компонентов:
Скриншот №3. Интерфейс программы
- Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
- Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
- Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
- Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).
Для удобства просмотра и управления системные журналы разбиты по категориям:
- Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
- Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
- Система (System) – здесь регистрируются события операционной системы и системных сервисов;
- Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.
В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.
Сами события также разделяются на типы:
- Сведения (Information) — информируют о штатной работе приложений.
- Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
- Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
- Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
- Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
- Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).
Открытие файла
Посмотреть последние действия на компьютере получится с помощью записей о неполадках. Он не может быть пустым, так как сообщения об ошибках возникают даже на нормально функционирующем устройстве. Есть два способа запустить данную оснастку – из Панели управления Windows и с помощью командной строки. Чтобы открыть журнал событий windows 7, не запуская командную строку, повторите алгоритм:
- Пройдите по пути Пускà Панель управления à Система и обслуживание à Администрирование;
- В открывшемся окне найдите Просмотр событий;
- Сделайте двойной клик;
Откроется необходимое окно просмотра событий
Второй способ того, как посмотреть журнал посещений на компьютере – запустить его с помощью командной строки. Способ подходить для любых версий ОС от ХР и выше. Запустите командную строку, зажав Win+R и введя в открывшемся окне cmd. Еще один способ – пройти по пути Пуск à Все программы à Стандартные àКомандная строка. В открывшееся поля командной строки введите комбинацию eventvwr.
Запуск журнала событий с помощью командной строки
Способы применения (краткий инструктаж по работе)
Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это не так. Данный инструмент невероятно полезен в отдельных ситуациях.
Например, если появляется синий экран (BSOD) или ОС сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно узнать в журнале событий. Если ошибка связана с обновлением драйверов, то будет указано оборудование, с которым возникла проблема, и эффективные пути для ее решения.
Знакомство
Коротко разберем интерфейc журнала событий, чтобы не потеряться и понимать, где и что находится.
В левой части — навигационное меню с категориями. Наиболее интересны:
- Журналы Windows.
- Приложение. Отображает информацию об установленном программном обеспечении.
- Безопасность. В основном здесь находятся данные о времени и дате входа в Windows, а также важных изменениях безопасности.
- Установка. Перечисляются сведения об установленных программах, драйверах и обновлениях.
- Система. Общая информация о состоянии винды. Критические ошибки (в том числе синие экраны), предупреждения, загрузки, перезагрузки — все располагается здесь.
- Журналы приложений и служб. Располагаются сведения об установленном софте.
В центральной части можно просмотреть список событий за последнее время и подробную информацию о каждом из них.
Правая часть окна — область действий. Доступны опции удаления, сохранения, копирования и другие.
Предлагаю войти в «Систему», найти интересующее нас событие и щелкнуть по нему мышкой.
Снизу появятся общие сведения о неполадке. Читаем описание, запоминаем значение из поля «Источник» и «Код». Открываем «Google» или «Yandex» и по имеющимся данным ищем способы исправления неполадки.
Методы очистки
Существует пять основных способов, с помощью которых можно очистить журнал событий.
- Ручной.
- «Батник» – специальный файл с расширением «*.bat».
- Через консоль «CMD».
- Через «PowerShell».
- Утилиту CCleaner.
Подробно рассмотрим каждый из них и узнаем, как их применить на практике.
Ручной
В первую очередь предлагаю разобрать вариант самостоятельной очистки. Он достаточно простой и не требует использования специальных команд и установки стороннего софта.
Нужно лишь:
- Открыть журнал событий (как? — рассказано в самом начале).
- Нажать по нужному разделу правой кнопкой мыши и выбрать пункт «Очистить».
Создание и использование «.bat»
Пожалуй, это еще один достаточно простой метод. Разберем более подробно.
- Создаем обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
- Вставляем в него специальный код.
- В верхнем меню выбираем «Файл – Сохранить как».
- Указываем любое имя. В конце имени выставляем расширение «.bat». В графе «Тип» выбираем «Все» и нажимаем «Сохранить».
- Готово. Щелкаем по нему правой кнопкой мыши и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.
Если вам лень создавать этот файл, то вот готовый вариант. Используйте спокойно, вирусов нет.
Командная строка
Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «CMD».
- Заходим в консоль.
- Копируем и вставляем следующий код: for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1». Жмем «Enter» и дожидаемся окончания процесса.
После этого все отчеты удалятся.
PowerShell
В Windows 10 предусмотрена более подвинутая версия стандартной консоли — PowerShell. Воспользуемся ей.
Действуем по шагам:
- Жмем по клавишам — вводим PowerShell и выбираем «От имени администратора».
- В появившееся окно вводим: Wevtutil el | ForEach {wevtutil cl «$_»}.
Не обращайте внимания на возможные ошибки, на результат они не влияют. Разделы очистятся.
CCleaner
Специализированный софт по очистке ОС и исправлению проблем в реестре. Распространяется бесплатно. Поддерживает Windows 10 – 8 – 7.
- Скачиваем с официального сайта, устанавливаем и открываем.
- Переходим во вкладку «Стандартная очистка». В «Windows» устанавливаем галочку напротив нужного пункта. Галочки с остальных пунктов снимать необязательно (дополнительно оптимизируется работа ОС).
- Жмем по кнопке «Очистка»
История включения компьютера в журнале событий Windows
Windows Event Viewer — это отличный инструмент Windows, который сохраняет все системные события, происходящие на компьютере. Во время каждого события средство просмотра событий регистрирует запись. Средство просмотра событий обрабатывается службой журнала событий, которую нельзя остановить или отключить вручную, поскольку это базовая служба Windows.
Средство просмотра событий также регистрирует время начала и окончания службы журнала событий. Мы можем использовать это время, чтобы понять, когда был запущен или выключен компьютер.
События службы журнала событий регистрируются с двумя кодами событий. Идентификатор события 6005 указывает, что служба журнала событий была запущена, а идентификатор события 6009 указывает, что службы журнала событий были остановлены. Давайте пройдем через весь процесс извлечения этой информации из журнала Windows.
- Откройте журнал Windows (Event Viewer). Для этого нажмите клавиши Win + R и в появившемся окне введите eventvwr.
Просмотр событий в журнале событий Windows - На левой панели откройте Журналы Windows —> Система.
Система просмотра событий в журнале событий Windows - В средней панели вы увидите список событий, которые произошли во время работы Windows. Наша задача — отобразить только три события. Давайте сначала отсортируем журнал событий по идентификатору события. Нажмите на метку идентификатора события, чтобы отсортировать данные по столбцу идентификатора события.
Просмотр событий Сортировка событий - Если журнал событий большой, сортировка не будет работать. Вы также можете создать фильтр из панели действий на правой стороне. Просто нажмите «Фильтровать текущий журнал».
- Введите 6005, 6006 в поле Идентификаторы событий, помеченные как <Все идентификаторы событий>. Вы также можете указать период времени в разделе Журнал.
Журнал запуска ПК Завершение журнала просмотра событий Фильтр Журнал
- Событие с кодом 6005 будет помечено как «Служба журнала событий была запущена». Это синоним запуска системы.
- Событие с кодом 6006 будет помечено как «Журнал событий был остановлен». Это синоним выключения системы.
Если вы хотите дополнительно изучить журнал событий, вы можете просмотреть код события 6013, который будет отображать время работы компьютера, а код события 6009 указывает информацию о процессоре, обнаруженную во время загрузки. Событие с кодом 6008 сообщит вам, что система запустилась после того, как она не была выключена должным образом.
Как использовать Event Viewer для проверки событий приложения
Разверните пункт меню « Журналы Windows» на левой панели, чтобы увидеть журналы приложений, безопасности, настройки, системы и переадресованных событий, о которых мы говорили в предыдущем разделе этого руководства.
Обратите внимание, что журнал безопасности является единственным, который недоступен для обычных пользователей. Вы можете увидеть его содержимое, только если вы вошли в систему с использованием учетной записи администратора или щелкнув правой кнопкой мыши и выбрав Запуск от имени администратора, при запуске средства просмотра событий
Разверните окно просмотра событий, чтобы вы могли видеть, что происходит более четко. Затем нажмите на одну из категорий событий на левой панели. На данный момент, нажмите / нажмите на приложения . В центре окна просмотра событий вы должны увидеть много сообщений.
Windows отслеживает все, что она делала, и классифицирует информацию одним из трех способов: Ошибка, Предупреждение или Информация . Вы можете нажать или нажать на любую отдельную запись (в один клик), чтобы увидеть объяснение, отображаемое на нижней панели. Вы также можете увидеть событие, показанное на правой панели, с меню действий, которые вы можете предпринять.
Появляющиеся объяснения часто загадочны, а некоторые сообщения об ошибках выглядят зловеще. Просто помните, что большинство сообщений — это просто сообщения. Они не означают, что что-то не так. Каждое событие также имеет идентификатор события, и их много. Чтобы получить информацию об этих идентификаторах событий, найдите их на этом веб-сайте: EventIDNet. Когда вы найдете событие, не забудьте также проверить комментарии внизу первой веб-страницы. Именно здесь другие пользователи объясняют, что произошло, и где вы с большей вероятностью увидите объяснение, которое могут понять и обычные пользователи.
Когда вы выбрали событие, вы увидите, что его имя дублируется и выделено в нижней половине правой панели. Попробуйте нажать на разные события, чтобы увидеть это изменение дисплея.
Обратите внимание, что информация на правой панели одинакова для всех журналов Windows на левой панели. Часть того, что появляется на правой панели, дублирует то, что вы видите на нижней панели
Например, если вы щелкнете « Свойства события» на правой панели, появится окно с тем же сообщением об ошибке, которое вы видите на нижней панели. Однако вы можете сделать больше с информацией из окна « Свойства события» .
Если вы нажмете « Копировать», он не просто скопирует сообщение об ошибке: он скопирует весь раздел журнала ошибок. Если вы обсуждаете проблему со службой технической поддержки, специалист службы технической поддержки может попросить вас предоставить расшифровку журнала ошибок. Это самый быстрый и простой способ получить его. Нажмите кнопку « Копировать», а затем используйте Ctrl + V, чтобы вставить результат. Вот как это выглядит, когда вы вставляете одно такое сообщение в Блокнот.
На правой панели также есть отдельный пункт меню «Копировать», в котором есть две опции: «Копировать таблицу» и «Копировать данные как текст» :
- «Копировать таблицу» копирует однострочное сообщение об ошибке, отображаемое в верхней панели.
- «Копировать детали как текст» работает так же, как кнопка « Копировать» в окне свойств события .
Чтобы получить более полное объяснение ошибки, в окне « Свойства события» вы можете щелкнуть « Справка по журналу событий» и перейти на веб-сайт Microsoft TechNet. Тем не менее, похоже, что они больше не онлайн. Тем не менее, поскольку TechNet был разработан с расчетом на опытного пользователя, объяснение, которое вы могли найти, могло быть не более поучительным, чем оригинальное загадочное сообщение. Так что, вероятно, лучший вариант для вас — выделить сообщение, скопировать его, а затем вставить в любимую поисковую систему. Мы обнаружили, что использование Bing с большей вероятностью приводит к списку страниц Microsoft, но ваш опыт может быть другим. Чтобы получить понятные результаты, стоит попробовать несколько поисковых систем. Обычно вы находите форум, где кто-то спрашивает об этом сообщении. Ответы на вопрос могут или не могут быть полезны. Было бы неплохо, если бы Microsoft предоставила несколько веб-страниц, чтобы объяснить эти вещи обычным пользователям.
Если вы нажмете « Сохранить выбранное событие», появится окно с вашей папкой « Документы ». Если вы храните свои документы где-то еще, вы можете использовать это окно так же, как вы используете File Explorer или Windows Explorer, чтобы найти предпочитаемую папку для хранения. Событие сохраняется в виде файла события с суффиксом «.EVTX» . Если дважды щелкнуть этот файл, откроется окно просмотра событий : второй экземпляр программы, если она уже запущена.
Журналы событий в Windows 7
В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows
– используются операционной системой для регистрации общесистемных
событий, связанных с работой приложений, системных компонентов,
безопасностью и запуском. А журналы приложений и служб
– используются приложениями и службами для регистрации событий,
связанных с их работой. Для управления журналами событий можно
использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:
Приложение
– хранит важные события, связанные с конкретным приложением. Например,
Exchange Server сохраняет события, относящиеся к пересылке почты, в том
числе события информационного хранилища, почтовых ящиков и запущенных
служб. По умолчанию помещается в
%SystemRoot%\System32\Winevt\Logs\Application.Evtx.
Безопасность
– хранит события, связанные с безопасностью, такие как вход/выход из
системы, использование привилегий и обращение к ресурсам. По умолчанию
помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx
Установка
– в этот журнал записываются события, возникающие при установке и
настройке операционной системы и ее компонентов. По умолчанию
размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.
Система
– хранит события операционной системы или ее компонентов, например
неудачи при запусках служб или инициализации драйверов, общесистемные
сообщения и прочие сообщения, относящиеся к системе в целом. По
умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx
Пересылаемые события
– если настроена пересылка событий, в этот журнал попадают события,
пересылаемые с других серверов. По умолчанию помещается в
%SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx
Internet Explorer
– в этот журнал записываются события, возникающие при настройке и
работе с браузером Internet Explorer. По умолчанию помещается в
%SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx
Windows PowerShell
– в этом журнале регистрируются события, связанные с использованием
оболочки PowerShell. По умолчанию размещается в
%SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx
События оборудования
– если настроена регистрация событий оборудования, в этот журнал
записываются события, генерируемые устройствами. По умолчанию
помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx
В
Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана
также как и в Windows Vista на XML. Данные о каждом событии
соответствуют XML-схеме, что позволяет получить доступ к XML-коду
любого события. Кроме того, можно создавать основанные на XML запросы
для получения данных из журналов. Для использования этих новых
возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.
Переход в журнал событий в Windows 7, как открыть
Открыть журнал на семерке можно несколькими способами:
- Использовать панель управления.
- Зайти в командную строку.
- Создать ярлык на рабочем столе.
- С помощью штатной утилиты «Выполнить».
Через панель управления
Как открыть Msconfig Windows 7 — настройка дополнительных параметров
Инструкция:
- Необходимо открыть стартовое окно и в правом столбце выбрать «Панель управления».
- Далее открыть пункт «Безопасность» и «Администрирование».
- В списке штатных инструментов найти компонент «События».
- Далее откроется окно оснастки, где следует выбрать пункт «Журналы логирования Windows».
- Появится список из следующих пунктов: «Программы», «Инсталляция», «Параметры ОС», «Перенаправленные логи».
Через командную строку
Многие пользователи спрашивают, как посмотреть ошибки Виндовс 7? Чтобы осуществить просмотр сбоев нужно открыть журнал при помощи командной строки:
- Требуется на физической клавиатуре нажать одновременно клавиши WIN+R.
- Затем в окне штатной утилиты прописать исполняемый код с наименованием «CMD».
- После этого в окне консоли следует ввести код «eventvwr».
- На экране отобразится окно консоли, где нужно выбрать подраздел «Сборщик событий Windows».
Важно! Пользователи часто спрашивают, почему через командную строку сборщик событий перестал запускаться? В этой ситуации решение достаточно простое: нужно запустить командную строку с расширенными правами доступа. Запуск утилиты в этом случае производится через стартовое меню
Открытие системного компонента при помощи командной строки
Создание ярлыка на рабочем столе
Инструкция:
- Правой кнопкой мыши нужно кликнуть по пустой области рабочего стола.
- В диалоговом меню необходимо нажать «Создать».
- Затем следует выбрать «Ярлык».
- В новом окне необходимо указать путь к исполняемому файлу. Путь выглядит следующим образом: C://(Локальный том)/Windows/System32/eventvwr.exe/.
Чтобы запустить сборщик событий, нужно применять расширенные права доступа.
Использование утилиты «Выполнить»
Журнал Виндовс 7, как открыть через утилиту «Выполнить»:
- Необходимо на физической клавиатуре выполнить следующую операцию: нажать одновременно сочетание клавиш WIN+R.
- Далее в поисковой строке ввести исполняемый код с наименованием «eventvwr».
- На экране отобразится консоль оснастки.
Работа с журналами событий Windows 7
Работа заключается в сортировке, группировке, очистке журналов и создании настраиваемых представлений для удобства нахождения тех или иных событий.
Сортировка событий
Выбираем любой журнал. Например Приложение и в таблице по центру кликаем по шапке любого столбца левой кнопкой мышки. Произойдет сортировка событий по этому столбцу
Если вы еще раз нажмете то получите сортировку в обратном направлении. Принципы сортировки такие же как и для проводника Windows. Ограничения в невозможности выполнить сортировку более чем по одному столбцу.
Группировка событий
Для группировки событий по определенному столбцу кликаем по его шапке правой кнопкой мышки и выбираем Группировать события по этому столбцу. В примере события сгруппированы по столбцу Уровень
В этом случае удобна работать с определенной группой событий. Например с Ошибками. После группировки событий у вас появится возможность сворачивать и разворачивать группы. Это можно делать и в самой таблице событий дважды щелкнув по названию группы. Например по Уровень: Предупреждение (74).
Для удаления группировки необходимо снова кликнуть по шапке столбца правой кнопкой мышки и выбрать Удалить группировку событий.
Очистка журнала
Если вы исправили ошибки в системе приводившие к записи событий в журнале, то вероятно вы захотите очистить журнал, чтобы старые записи не мешали диагностировать новые состояния компьютера. Для этого нажимаем правой кнопкой на журнале который нужно очистить и выбираем Очистить журнал…
В открывшемся окошке мы можем просто очистить журнал и можем Сохранить его в файл перед очищением
Сохранить и очистить предпочтительно, так как удалить всегда успеем.
Настраиваемые представления
Настроенные сортировки и группировки пропадают при закрытии окошка Просмотр событий. Если вам приходится часто работать с событиями то можно создать настраиваемые представления. Это определенные фильтры которые сохраняются в соответствующем разделе дерева консоли и никуда не пропадают при закрытии Просмотра событий.
Для создания настраиваемого представления нажимаем на любом журнале правой кнопкой мышки и выбираем Создать настраиваемое представление…
В открывшемся окошке в разделе Дата выбираем из выпадающего списка диапазон времени за который нам нужно выбирать события
В разделе Уровень события ставим галочки для выбора важности событий. Мы можем сделать выборку по определенному журналу или журналам или по источнику
Переключаем радиобокс в нужное положение и из выпадающего списка устанавливаем необходимые галочки
Мы можем сделать выборку по определенному журналу или журналам или по источнику. Переключаем радиобокс в нужное положение и из выпадающего списка устанавливаем необходимые галочки
Можно выбрать определенные коды событий чтобы они показывались или не показывалась в созданном вами представлении.
Когда все параметры представления выбрали жмем ОК
В появившемся окошке задаем имя и описание настраиваемого представления и жмем ОК
Для примера создал настраиваемое представление для Ошибок и критических событий из журналов Приложение и Безопасность
Это представление в последствии можно редактировать и оно никуда не пропадет при закрытии утилиты Просмотр событий. Для редактирования нажимаем на представлении правой кнопкой мышки и выбираем Фильтр текущего настраиваемого представления…
В открывшемся окошке делаем дополнительные настройки в представлении.
Можно провести аналогию Настраиваемого представления с сохраненными условиями поиска в проводнике Windows 7.