Windows 10

Къде е списанието за събития в Windows 10, как да го видите и да намерите грешки

Къде е списанието за събития в Windows 10, как да го видите и да намерите грешки

Windows знае какво сте направили миналото лято. И вчера и днес, и точно сега. Не, тя не е отмъстителна, тя просто пише всичко - води списание за събития.

Събитията са всякакви действия, които се извършват на компютъра: Включване, изключване, влизане в системата, стартиране на приложения, натискане на клавиши и т.н. Д. А списанието за събития на прозореца е хранилище, където се натрупва информация за най -значимите действия. Прегледът на събитията помага на администраторите и разработчиците да намерят причините за повредите в работата на оборудването, компонентите на системата и програмите, както и да наблюдават безопасността в корпоративните мрежи. И така, ще разберем къде се намира списанието за събития в Windows 10, как да го отворим и анализираме.


Съдържание

  • Къде е списанието за събития и как да го отворим
  • Какво да правя, ако списанието за събития не се отвори
  • Структурата на зрителя на списанието за събития
  • Как да търсим в списанията на събития, които представляват интерес
    • Как да използвам функцията за филтриране
    • Как да създадете персонализирани изпълнения
    • Източници, нива и кодове на събитията. Как да разбера какво означава конкретен код
  • Вземете информация за системата - алтернатива на стандартните прозорци на зрителя

Къде е списанието за събития и как да го отворим

Постоянна "регистрация" на файла на файла на файла на файла - EventVwr.MSC, - Папка \ Windows \ System32. Но в името на достъпа до него, никой в ​​тази папка, разбира се, не се изкачва, защото има по -лесни начини. Ето ги и тях:

  • Главното меню на Windows - "Започнете". Кликнете върху бутона му не трябва да се оставя, но с десния клавиш на мишката. Параграф "Преглед на събития" - Четвърти отгоре.

  • Бутон за търсене на системата - с икона под формата на лупа в близост до "Започнете". Достатъчно е да започнете да представяте думата "изглед ..." - и ето го, намерен.

  • Windows Utility "Изпълнява"(Run) е просто създаден за тези, които предпочитат горещи ключове. Кликнете върху клавиатурата Windows+K (руски), карайте в линия "Отворен"Екипът EventVwr (Име на файла на зрителя) и щракнете върху OK.

  • Командният ред или конзолата PowerShell (също е удобно да ги отворите през контекстното меню за стартиране на бутона). Въведете отново, за да стартирате дневника на събитията EventVwr И щракнете върху Enter.

  • Старият любезен контролен панел (между другото, ако искате да го върнете в контекста на стартиране, прочетете тази статия). Отидете на раздел "система и безопасност", Слезте по прозорците до точката"Администрация"И щракнете"Преглед на събитията на събитията".

  • Системна помощна програма "Настроики"Контролният панел смени. Все още е удоволствие да погребете в червата си, но можете да улесните да започнете да вкарате думата „администрация“ в линията за търсене. След това просто отидете на намерената секция и щракнете върху етикета на четката -скрийн.

  • Намерете The Windows Events Journal с завладяващо четене? Тогава, може би, ще ви хареса идеята да я държите винаги под ръка. За да поставите етикет с четка -desktop, отидете на някой от методите на контролните панели "Администрация", Копирайте етикета с натискане на клавишите Ctrl+C, щракнете върху мишката на работния плот и натиснете Ctrl+V.

Какво да правя, ако списанието за събития не се отвори

Услугата със същото име е отговорно за работата на този компонент на системата. И най -честата причина за проблемите с нейното отваряне е спирането на услугата.

За да проверите тази версия и да възстановите работата на зрителя, отворете оборудването "Услуги". Най -лесният начин да направите това чрез мениджъра на задачите: Отидете в раздела "Услуги"И щракнете върху долната част на прозореца"Отворени услуги".

След това намерете в списъка на услугите "Дневника на събитията Windows"И ако е спрян, натиснете бутона Старт на горния панел на прозореца.

Услугата не започва? Или е стартирано, но списанието все още е недостъпно? Това може да бъде причинено от следното:

  • Вашето научно влизане е ограничено в правата на политиците по сигурността.
  • Местната система за обслужване на системата е ограничена, от името на който списанието за събития работи.
  • Някои компоненти на системата са повредени или блокирани от злонамерена програма.

За да заобиколите ограниченията на политиките за сигурност, ако акаунтът ви няма административни правомощия, най -вероятно той няма да работи. В други случаи проблемът като правило може да бъде решен със стандартни инструменти за възстановяване на Windows:

  • Връщане към контролната точка, създадена, когато всичко работи правилно.
  • Стартиране на помощна програма за проверка и възстановяване на защитените системни файлове SFC.Exe -Сканирай сега На командния ред.
  • Сканиращи дискове за вирусна инфекция.
  • Възстановяване на правата за достъп на системните акаунти в папки \Windows \ System32 \ winevt И \ System32 \ logfiles. Работните настройки са показани на екрани по -долу.

Структурата на зрителя на списанието за събития

Полезността на гледане на събития не е твърде приятелска за неопитен потребител. Не можете да го наречете интуитивно разбираем. Но въпреки плашещия външен вид, е напълно възможно да го използвате.

Лявата страна на прозореца съдържа каталози на списания, сред които има 2 основни. Това са списания на Windows, където се съхраняват записи на събитията от операционната система; и регистрационни файлове и услуги на приложения, където записите са текущи услуги и инсталирани програми. Каталог "Персонализирани изпълнения„Съдържа потребителски проби - групи събития, сортирани от всеки атрибут, например по код, по тип, по дата или от всички наведнъж.

Средата на прозореца показва избраното списание. Отгоре има таблица от събития, при които са посочени техните нива, дати, източници, кодове и категория задачи. Под него - разделът с подробна информация за конкретни записи.

Дясната страна съдържа менюто на наличните операции със списания.

Как да търсим в списанията на събития, които представляват интерес

Прегледът на всички записи подред е неудобно и неинформативно. За да улеснят търсенето само на интерес, те използват инструмента "Филтъра на текущото списание", Което ви позволява да изключите всички допълнителни от шоуто. Тя става достъпна в менюто "Действия„Когато мишка изолира всяко списание.

Как да използвам функцията за филтриране

Помислете от конкретен пример. Да предположим, че се интересувате от грешки, критични събития и предупреждения през изминалата седмица. Източник на информация - списание "Система". Изберете го в каталога на Windows и щракнете върху "Филтъра на текущото списание".

След това попълнете раздела "Филтър":

  • От списъка "дата„Избор на последните 7 дни.
  • В глава "Нивото на събитието„Забелязваме критичните, грешките и предупреждението.
  • В списъка "Източници на събитията„Ние намираме интерес към параметъра. Ако той е неизвестен, ние избираме всичко.
  • Посочваме кодовете на събитията (идентификатор на събитието), за които събираме информация.
  • Ако е необходимо, отбелязваме ключовите думи за стесняване на кръга за търсене и определяне на потребителя (ако се интересувате от информация за конкретен акаунт).

Ето как изглежда списанието след само това, което търсихме в него, остава в него:

Стана много по -удобно да го прочетете.

Как да създадете персонализирани изпълнения

Персонализирани -направени представи, както бе споменато по -горе, потребителски проби от събития, съхранявани в отделна директория. Разликата им от обикновените филтри е само, че те се съхраняват в отделни файлове и продължават да се попълват с записи, които попадат под критериите им.

За да създадете персонализирана производителност, направете следното:

  • Маркирайте списанието за интерес в секцията Каталози.
  • Щракнете върху елемента "Създайте персонализиран изглед"В глава"Действие".
  • Попълнете настройките на прозореца "Филтър„Следвайки примера по -горе.
  • Запазете филтъра под всяко име в избрания каталог.

В бъдеще по поръчка -направени представители могат да бъдат редактирани, копирани, изтрити, експортирани във файлове .XML, Запазете като списания на събития във формат .EVTX и свържете проблемите на планиращия с тях.

Източници, нива и кодове на събитията. Как да разбера какво означава конкретен код

Източници на събития са компоненти на OS, драйвери, приложения или дори техните индивидуални компоненти, които създават бележки в списанията.

Нивата на събитията са показатели за тяхното значение. Всички бележки на списанията се приписват на едно от шестте нива:

  • Критична грешка показва най -сериозния провал, довел до отказа от източника, който го е генерирал без възможността за независимо възстановяване. Пример за външна проява на такъв провал е синият екран на смъртта на Windows (BSOD) или внезапно рестартиране на компютъра.
  • Грешка Също така показва провал, но с по -малко критични последици за работата на системата. Например, напускането на програмата, без да спестява данни поради липса на ресурси, грешки в стартирането на услуги и т.н. P.
  • Внимание - Запис, който отчита проблеми, които влияят негативно върху работата на системата, но не водят до повреди, както и възможността за грешки в бъдеще, ако те не премахнат каузата си. Пример: Приложението беше стартирано по -дълго от обикновено, което доведе до забавяне на зареждането на системата.
  • уведомление - Обичайното информационно съобщение, например, че операционната система е започнала да инсталира актуализацията.
  • Успешен доклад (Одит) - Съобщение, информиращо за успеха на всяко събитие. Примери: Програмата е успешно инсталирана, потребителят успешно е въвел акаунта.
  • Афективен доклад (Одит) - Съобщение за неуспешното завършване на операцията. Например инсталирането на програмата не е завършено поради анулирането на потребителя.

Код (ID на събитието) е число, което показва категорията на събитията. Например записите, свързани с зареждането на Windows, са обозначени със 100-110 кодове, а до края на работните му кодове 200-210.

За да търсите допълнителна информация за конкретен код, заедно с източника на събитието, е удобно да използвате уеб ресурс Eventid.Нета Това е, въпреки че е по английски език, е лесно да го използвате.

Кодът, взет от списанието за събития (на екрана по -долу), ние влизаме в полето “Въведете Windows Събитие документ за самоличност", Източник - B"Събитие Източник". Натисни бутона "Търсене" - И по -долу има знак с декодирането на събитието и коментарите на потребителите, в които хората споделят съвети, за да премахнат свързаните проблеми.

Вземете информация за системата - алтернатива на стандартните прозорци на зрителя

Не обичам да гледам списания чрез стандартното приложение на Windows? Има алтернативи, които представят информация в по -визуална и удобна форма за анализ. Една от тях е полезността на лабораторията на Касперски Вземете Система Информация.

Получете информация за системата показва различна информация за операционната система, инсталирани програми, мрежови настройки, устройства, драйвери и т.н. Д. Записите на списанията за събития са само един от неговите показатели.

Предимството на тази помощна програма пред стандартните средства на Windows е удобството на гледане и показване на изчерпателна информация за компютъра, което улеснява диагностицирането на неизправности. И недостатъкът е, че той записва не всичко, а само най -новите и най -значими събития.

Вземете информацията за системата не изисква инсталиране на компютър, но за да прочетете резултатите, които ще трябва да бъдат изтеглени на сайта на анализатора, тоест се нуждаете от достъп до Интернет.

Как да използвате информацията за системата:

  • Стартирайте полезността за права на Amin. Преди да щракнете върху бутона "Започнете„Посочете папката за запазване на дневника (по подразбиране е работен плот) и маркирайте точката“Включете Windows Събитие Трупи".

  • След архивен файл с името ще се появи на работния плот или в папката, която сте посочилиGsi6_mya_pk_user_data_ и t.Д.", Отворете сайта в браузъра GetSysteminfo.Com и изтеглете архива там.

  • След зареждане на доклада за GetSysteminfo.Com отидете на раздела "Свойства на системата"И отворете секцията"Дневника на събитията".

Помощната програма събира информация от списания "Система" И "Приложения". Събитията се показват в хронологичен ред, всяко ниво е подчертано в нейния цвят. За да видите информация за конкретен запис, просто кликнете върху линията на линията.

Тук няма персонализирани изпълнения и филтриране, но има търсене и функция на сортиране на записи.

Ред за търсене по списания и падащ списък "Покажете броя на елементите„Намира се над масата. И за да сортирате данни по вид, дата и час, източник, категория, код, файл или потребител, просто щракнете върху заглавието на желаната колона.

Информация за събитията, събрани от Get System Info, помага да се намери източникът на проблема с компютъра, ако е свързан с оборудване, прозорци или софтуер.  Ако се интересувате от данни за конкретно приложение, компонент на системата или сигурност, ще трябва да използвате стандартния зрител. Освен това сега знаете как да го отворите без ненужни усилия.