Журнал подій в Windows 7/10 - як відкрити і подивитися системні події
- Де знаходиться журнал подій Windows
- Як відкрити журнал
- Як використовувати вміст журналу
- Очищення, видалення і відключення журналу
Навіть коли користувач ПК не робить ніяких дій, операційна система продовжує зчитувати і записувати безліч даних. Найбільш важливі події відслідковуються і автоматично записуються в особливий лог, який в Windows називається Журналом подій. Але для чого потрібен такий моніторинг? Ні для кого не є секретом, що в роботі операційної системи і встановлених програм можуть виникати збої. Щоб адміністратори могли знаходити причини таких помилок, система повинна їх реєструвати, що власне вона і робить.
Отже, основним призначенням Журналу подій в Windows 7/10 є збір даних, які можуть стати в нагоді при усуненні несправностей в роботі системи, програмного забезпечення і устаткування. Втім, заносяться в нього не тільки помилки, але також і попередження, і цілком вдалі операції, наприклад, установка нової програми або підключення до мережі.
Де знаходиться журнал подій Windows
Фізично Журнал подій являє собою набір файлів у форматі EVTX, що зберігаються в системній папці% SystemRoot% / System32 / Winevt / Logs.
Хоча ці файли містять текстові дані, відкрити їх Блокнотом або іншим текстовим редактором не вийде, оскільки вони мають бінарний формат. Тоді як подивитися Журнал подій в Windows 7/10, запитаєте ви? Дуже просто, для цього в системі передбачена спеціальна штатна утиліта eventvwr.
Як відкрити журнал
Запустити утиліту можна з класичної Панелі управління, перейшовши по ланцюжку Адміністрування - Перегляд подій або виконавши в віконці Run (Win + R) команду eventvwr.msc.
У лівій колонці вікна утиліти можна бачити відсортовані за розділами журнали, в середньої відображається список подій обраної категорії, в правій - список доступних дій з обраним журналом, внизу розташовується панель докладних відомостей про конкретну записи. Всього розділів чотири: настроюються події, журнали Windows, журнали додатків і служб, а також передплати.
Найбільший інтерес представляє розділ «Журнали Windows», саме з ним найчастіше доводиться працювати, з'ясовуючи причини неполадок в роботі системи і програм. Журнал системних подій включає три основних і дві додаткові категорії. Основні це «Система», «Додатки» і «Безпека», додаткові - «Установка» і «перенаправлення події».
Категорія «Система» містить події, згенеровані системними компонентами - драйверами і модулями Windows.
Гілка «Додатки» включає записи, створені різними програмами. Ці дані можуть стати в нагоді як системним адміністраторам і розробникам програмного забезпечення, так і звичайним користувачам, що бажають встановити причину відмови тієї чи іншої програми.
Третя категорія подій «Безпека» містить відомості, пов'язані з безпекою системи. До них відносяться входи користувачів в акаунти, управління обліковими записами, зміна дозволів та прав доступу до файлів і папок, запуск і зупинка процесів і так далі.
Так як число подій може обчислюватися тисячами і навіть десятками тисяч, в eventvwr передбачена можливість пошуку і фільтрації подій за властивостями - важливості, часу, джерела, імені комп'ютера і користувача, коду і так далі. Припустимо, ви хочете отримати список системних помилок. Виберіть зліва Журнали Windows - Система, праворуч натисніть «Фільтр поточного журналу» і відзначте у вікні галочкою рівень події - пункти «Помилка» і «Критичне». Натисніть «OK» і утиліта тут же відфільтрує записи.
Щоб переглянути певний запис, клікніть по ній двічі - відомості відкриються в віконці «Властивості подій».
Як використовувати вміст журналу
Добре, тепер ми в курсі, де знаходиться журнал подій і як його відкрити, залишилося дізнатися, як його можна використовувати. Відразу потрібно сказати, що в силу своєї специфічності містяться в ньому відомості мало що можуть розповісти звичайному користувачеві. Про що говорить, наприклад, помилка «Реєстрація сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не виконано за відведений час очікування»? Що не володіє відповідними знаннями користувачеві буде непросто визначити причину неполадки, з іншого боку, що заважає пошукати відповідь в Інтернеті?
Так, опис наведеної вище помилки є на сайті Microsoft і вказує воно на проблеми зі SkyDrive, до речі, що не представляють абсолютно ніякої загрози. Якщо ви не користуєтеся цим сервісом, помилку можна ігнорувати або відключити її джерело в «Планувальнику завдань». А ще опис помилки можна відправити розробнику, попередньо зберігши його в файл XML, CSV або TХT.
Також користувачі можуть пов'язувати відслідковують події з завданнями в «Планувальнику завдань». Для цього необхідно клікнути ПКМ по запису, вибрати «Прив'язати завдання до події» і створити за допомогою запуститься майстер потрібне завдання. Наступного разу, коли станеться така подія, система сама запустить виконання завдання.
Очищення, видалення і відключення журналу
На жорсткому диску файли журналу займають порівняно небагато місця, проте, у користувача може виникнути необхідність їх очистити. Зробити це можна різними способами: за допомогою оснастки eventvwr, командного рядка і PowerShell. Для вибіркової очищення цілком підійде ручний спосіб. Потрібно зайти в журнал подій, клікнути ПКМ по очищенню журналу в лівій колонці і вибрати в меню опцію «Очистити журнал».
Якщо ви хочете повністю видалити всі записи журналу, зручніше буде скористатися запущеної від імені адміністратора командним рядком. Команда очищення виглядає наступним чином:
for / F «tokens = *»% 1 in ( 'wevtutil.exe el') DO wevtutil.exe cl «% 1»
Замість командного рядка для швидкої і повної очистки журналу також можна скористатися консоллю PowerShell. Відкрийте її з підвищеними правами і виконайте в ній таку команду:
wevtutil el | Foreach-Object {wevtutil cl «$ _»}
При очищенні через PowerShell в журналі можуть залишитися кілька записів. Це не біда, в крайньому випадку події можна видалити вручну.
Отже, ми знаємо, як відкрити журнал подій, знаємо, як його використовувати і очищати, на завершення давайте подивимося, як його повністю відключити, хоча робити це без особливої потреби не рекомендується, так як разом з журналом подій відключаться деякі, можливо потрібні вам служби .
Командою services.msc відкрийте оснащення «Служби», праворуч знайдіть «Журнал подій Windows», клікніть по ньому двічі, в віконці властивостей тип запуску виберіть «Відключено», а потім натисніть кнопку «Зупинити».
Зміни вступлять в силу після перезавантаження комп'ютера. Ось і все, більше системні і програмні події реєструватися не будуть.
Але для чого потрібен такий моніторинг?Тоді як подивитися Журнал подій в Windows 7/10, запитаєте ви?
Про що говорить, наприклад, помилка «Реєстрація сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не виконано за відведений час очікування»?
Що не володіє відповідними знаннями користувачеві буде непросто визначити причину неполадки, з іншого боку, що заважає пошукати відповідь в Інтернеті?