Как проверить журналы событий в Windows

Средство просмотра событий - это административный инструмент, который записывает события, происходящие на вашем компьютере. Когда система или приложение сталкивается с какими-либо ошибками или проблемами безопасности, в журналах событий будет содержаться информация, вызвавшая проблему. Хотя это не решает проблему, журналы событий предоставляют необходимую информацию для начала процесса устранения неполадок.

Понимание структуры средства просмотра событий

В окне просмотра событий вы увидите три панели. Левая сторона - это панель навигации, средняя отображает сведения о событии, а правая сторона предназначена для выполнения действий, таких как сохранение или загрузка журналов событий. 

Панель навигации

Панель навигации - это левая боковая панель, где журналы событий распределены по трем определенным папкам. Эти папки являются общими во всех версиях и выпусках Windows. Это пользовательские представления, журналы Windows, а также журналы приложений и служб.

Журналы Windows отслеживают каждое событие из ОС Windows и содержат список следующих категорий журналов событий:

• Приложение: Журналы из приложений
• Система: Журналы, созданные ОС
• Безопасность: события входа в систему
• Установка: регистрирует события производительности установки Windows
• Перенаправленные события: События, пересылаемые удаленными компьютерами

Журналы приложений и служб содержат события из подключений к оборудованию / оповещений, сторонних приложений и событий PowerShell.

Наконец, любой пользовательский фильтр, который вы создаете с помощью панели действий, будет сохранен в журнале событий пользовательских представлений. По умолчанию в этом разделе будет подкатегория с именем Административные события. Вы можете использовать это для просмотра всех критических событий, предупреждений и ошибок из журнала.

Пользовательские журналы событий с именем Административные события создаются автоматически во всех версиях Windows.

На панели навигации, если вы нажмете на средство просмотра событий (локальное), вы получите обзор и сводку на панели сведений. Здесь вы можете получить краткий обзор всех административных событий, недавно просмотренных журналов и сводку журнала. 

Панель событий

На панели "События" отображается список записанных журналов событий и уровень записанного события, является ли оно информацией, предупреждением, ошибкой или критическим. Среди них журналы событий, указывающие на ошибку, должны иметь высокий приоритет и должны быть изучены немедленно. 

Если дважды щелкнуть по событиям, откроется новое диалоговое окно со всеми свойствами события. Он содержит описание журнала вместе с многочисленными записями. Среди этих записей имя журнала, источник, идентификатор события, зарегистрированные, уровень и код операции являются одними из важнейших.

• Logged записывает дату и время в журнале событий, и это самое важное. Вы можете отметить дату и время сбоя системы или когда в системе возникают проблемы, и сравнить их с записанными, чтобы определить записанный журнал событий.
• Получив журнал событий, проверьте его название. Используя имя журнала, вы можете определить, относится ли журнал к приложению, безопасности, установке, системе или к перенаправленным событиям.
• В столбце Уровень указано, является ли журнал событий предупреждением, ошибкой или просто информацией. Мы рекомендуем проверить описание журнала, идентификатор события и источник.
• Идентификатор события и источник - это то, что вам понадобится для определения точных сведений о записанном журнале событий.

Панель действий

Действия с событиями позволяют выполнять такие действия, как сохранение журналов, открытие сохраненных журналов, создание пользовательского представления, очистка журналов событий, фильтрация текущих журналов и просмотр свойств выбранного журнала.

Сохраняйте и открывайте журналы событий

Сохранение журналов событий позволяет получить подробную информацию о событиях и просмотреть их на другом компьютере. Для сохранения журналов в средстве просмотра событий,

1. На левой панели выберите категорию журнала событий, которую вы хотите сохранить.
2. Теперь на правой панели нажмите на Сохранить все события как. 
3. Выберите расположение файла, в котором вы хотите сохранить файл событий, и назовите файл.

Чтобы открыть сохраненные журналы,

1. Нажмите на Открыть сохраненный журнал в правой части окна просмотра событий. 
2. Теперь найдите файл событий с .evtx, .evt или .etl расширением.

Как только вы откроете сохраненные журналы, на панели просмотра событий, расположенной с левой стороны, появится категория журналов с именем Сохраненные журналы.

Отфильтровать журнал событий и создать пользовательский вид

Фильтруя журналы, программа просмотра событий извлекает события, которые не соответствуют свойствам события, установленным в пользовательском фильтре. Чтобы установить фильтр в программе просмотра событий,

1. Выберите категорию журнала событий, которую вы хотите отфильтровать.
2. Нажмите на Фильтровать текущие журналы на панели Действий. 
3. Здесь заполните зарегистрированные данные, уровень события, источники событий, идентификаторы событий и другие категории в зависимости от того, что вы хотите отфильтровать. 
4. Нажмите на OK.
5. Теперь вы получите только отфильтрованные журналы событий.

Создание пользовательского представления работает аналогично фильтрации журналов событий. Однако при создании пользовательских журналов будет создана новая категория журналов в пользовательских представлениях. Создание пользовательского представления может быть особенно удобно, когда вы хотите просматривать только отфильтрованные журналы событий.

Как проверить журналы событий?

Административные события в пользовательских представлениях фильтруют все критические события, предупреждения и ошибки из всей истории журнала. Поэтому это первое, что вам нужно проверить, когда система выдает ошибку или вылетает.

Пользовательские журналы событий с именем Административные события создаются автоматически во всех версиях Windows.

1. Нажмите клавишу Windows + R, чтобы открыть "Выполнить".
2. Введите eventvwr и нажмите OK. 
3. Кроме того, вы также можете щелкнуть правой кнопкой мыши значок Windows на панели задач и выбрать Просмотр событий.
4. В программе просмотра событий разверните Пользовательские представления и нажмите на Административные события.
5. На средней панели сравните дату и время возникновения системной ошибки со столбцом даты и времени.
6. Дважды щелкните журнал событий, который соответствует дате и времени сбоя / ошибки. 
   
   
   
   
7. Обратите внимание на название журнала, идентификатор события и источник. Идентификатор события отличается для каждой категории журналов событий. 
8. Если в названии журнала отображаются события приложений, безопасности, установки, системы или пересылки, разверните Журналы Windows и щелкните категорию журнала (название журнала), которую вы отметили на шаге 7. 
   
9. Если в названии журнала отображаются какие-то другие имена, разверните "Журналы приложений и служб" на панели навигации. Здесь вам нужно найти категорию журналов (название журнала) из шага 7. 
   
10. Теперь на панели сведений о событии выполните поиск события, используя дату и время системной ошибки.
11. Как только вы найдете журнал событий, соответствующий событию из шага 6, проверьте другие события, ведущие к журналу событий сбоя системы.
12. Вы также можете выполнить поиск в Интернете или на странице официальной документации Microsoft по идентификатору события и источнику, чтобы определить точную причину журнала ошибок. 

Период хранения программы просмотра событий

Период хранения по умолчанию для событий в одной категории журналов событий составляет около 20 МБ. И поскольку эти журналы событий вводятся в соответствии с политикой FIFO (Первый вход - первый выход), записи, записанные первыми, удаляются первыми, когда они достигают предела в 20 МБ.

Однако вы можете увеличить размер хранилища программы просмотра событий, если хотите записать больше журналов событий.

1. Выберите категорию журнала событий, размер хранилища которой вы хотите изменить.
2. Щелкните правой кнопкой мыши и выберите Свойства. 
3. Измените максимальный размер журнала, чтобы записывать большее количество событий. 

Здесь вы также можете проверить текущий размер журнала, созданные, измененные и доступные данные, путь к журналу и что делает система при достижении максимального размера журнала событий.