Журнал событий в Windows 7/10 – где находится и как открыть?

В этой статье описывается, как добавить собственные записи в журнал событий операционной системы с помощью Microsoft .NET Framework.

Открытие файла

Посмотреть последние действия на компьютере получится с помощью записей о неполадках. Он не может быть пустым, так как сообщения об ошибках возникают даже на нормально функционирующем устройстве. Есть два способа запустить данную оснастку – из Панели управления Windows и с помощью командной строки. Чтобы открыть журнал событий windows 7, не запуская командную строку, повторите алгоритм:

Открытие файла
Открытие файла
  1. Пройдите по пути Пускà Панель управления à Система и обслуживание à Администрирование;
  2. В открывшемся окне найдите Просмотр событий;
  3. Сделайте двойной клик;
Открытие файла

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

Скриншот №3. Интерфейс программы

  • Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
  • Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
  • Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
  • Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).

Для удобства просмотра и управления системные журналы разбиты по категориям:

Описание интерфейса программы

В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.

Сами события также разделяются на типы:

  • Сведения (Information) — информируют о штатной работе приложений.
  • Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
  • Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
  • Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
  • Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
  • Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).

Работа с журналом событий (для начинающих)

Как его открыть

Работа с журналом событий (для начинающих)

Вариант 1

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

  1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
  2. ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);

    eventvwr — команда для вызова журнала событий

  3. после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…

    Просмотр событий

Работа с журналом событий (для начинающих)

Вариант 2

  1. сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность»;

    Система и безопасность

  2. далее необходимо перейти в раздел «Администрирование»;

    Администрирование

  3. после кликнуть мышкой по ярлыку «Просмотр событий».

    Просмотр событий — Администрирование

Работа с журналом событий (для начинающих)

Вариант 3

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Работа с журналом событий (для начинающих)

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Работа с журналом событий (для начинающих)

Журналы Windows

Работа с журналом событий (для начинающих)

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

Работа с журналом событий (для начинающих)
  1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
  2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
  3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Работа с журналом событий (для начинающих)

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».

Работа с журналом событий (для начинающих)

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

Критические ошибки

Работа с журналом событий (для начинающих)

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft).

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Работа с журналом событий (для начинающих)

Можно ли отключить журналы событий

Работа с журналом событий (для начинающих)

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск) 

Для отключения журналов событий нужно:

  1. открыть «службы» (для этого нажмите Win+R, введите команду  и нажмите OK);

    Открываем службы — (универсальный способ)

  2. далее нужно найти службу «Журнал событий Windows» и открыть ее;

    Службы — журналы событий

  3. после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.

    Отключена — остановить

Работа с журналом событий (для начинающих)

На этом пока всё, удачи!

RSS (как читать Rss)

Полезный софт:

  • Видео-Монтаж
  • Отличное ПО для начала создания своих собственных видеороликов (все действия идут по шагам!). Видео сделает даже новичок!

  • Ускоритель компьютера
  • Программа для очистки Windows от мусора (ускоряет систему, удаляет мусор, оптимизирует реестр).

Работа с журналом событий (для начинающих)

Другие записи:

  • Как очистить историю посещения сайтов, чтобы нельзя было восстановить! Удаление кэша в браузерах
  • Ускорение игр: лучшие программы и утилиты
  • Монтаж видео на Андроид: выбираем лучшие приложения. Топ-10 видеоредакторов
  • Как посмотреть, кто и чем занимался на компьютере в мое отсутствие: определяем последние действия …
  • На что телефон тратит интернет? Как поставить ограничение на мобильный интернет
  • Как узнать сколько лет компьютеру, ноутбуку. Требуется ли его обновлять (проводить апгрейд)
  • Как обновить браузер, плеер, антивирус и другие программы в Windows автоматически
  • Как определить в каком режиме работает диск (SSD, HDD): SATA I, SATA II или SATA III

Запись записей в журнал событий

Ведение журнала событий обеспечивает стандартный централизованный способ, позволяющий приложениям записывать важные события программного обеспечения и оборудования. Windows предоставляет стандартный пользовательский интерфейс для просмотра журналов: "Просмотр событий". Используя компонент EventLog общеязыковой среды выполнения, вы можете легко подключаться к существующим журналам событий на локальном и удаленном компьютере, а также записывать записи в эти журналы. Вы также можете читать записи из существующих журналов и создавать собственные журналы событий. В самой простой форме запись в журнал событий включает несколько шагов для создания примера приложения.

Для этого выполните указанные ниже действия.

  1. Запустите Visual Studio .NET.

  2. Создайте новый проект приложения с управляемым C++ для Visual C++.

  3. Добавьте ссылку на , добавив следующую строку в код:

    #using <>

  4. Используйте using директиву для System System::Diagnostics пространств имен, чтобы не было необходимости уточнять объявления из этих пространств имен позже в коде. Перед всеми другими объявлениями можно использовать следующие операторы:

    using namespace System; using namespace System::Diagnostics;

  5. Для записи в журнал событий необходимо иметь несколько частей данных:

    • Ваше сообщение
    • Имя журнала, в котором необходимо создать запись (если он еще не существует).
    • Строка, представляющая источник события

    Вы можете зарегистрировать определенный источник только с одним журналом событий. Если вы хотите записывать сообщения в несколько журналов, необходимо определить несколько источников.

    String *sSource; String *sLog; String *sEvent; sSource = new String("dotNET Sample App1"); sLog = new String("Application1"); sEvent = new String("Sample Event1");

  6. Используйте два статических метода EventLog класса, чтобы проверить, существует ли источник, и если источник не существует, создайте этот источник, связанный с определенным журналом событий. Если указанное имя журнала не существует, имя создается автоматически при записи первой записи в журнал. По умолчанию, если для метода не указано имя журнала CreateEventSource , то файл журнала называется log Application.

    if(!EventLog::SourceExists(sSource)) EventLog::CreateEventSource(sSource,sLog);

  7. Чтобы записать сообщение в журнал событий, можно использовать статический метод . Этот метод имеет несколько разных перегруженных версий. В приведенном ниже примере кода показан простейший метод (принимающий строку источника и сообщение), а также один из более сложных методов (который поддерживает указание идентификатора события и типа события):

    EventLog::WriteEntry(sSource,sEvent); EventLog::WriteEntry(sSource, sEvent, EventLogEntryType::Warning, 235);

  8. Сохраните свое приложение. Запустите приложение, а затем проверьте наличие новых событий в разделе Просмотр событий в приложении "Просмотр событий".

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Свойства событий

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Свойства событий

Включение записи событий

По умолчанию запись событий на Windows 10 включена. Однако нелишним будет проверить работоспособность соответствующей службы — вдруг она не запускается в автоматическом режиме.

  1. Щёлкаем правой кнопкой по «Пуску» и в контекстном меню выбираем пункт «Диспетчер задач». Можно также использовать сочетание клавиш Ctrl+Shift+Esc.
  2. Переходим на вкладку «Службы».
  3. Кликаем по ссылке «Открыть службы».

Перейти в список служб можно и другим способом, но это один из самых удобных

4. Находим в списке «Журнал событий Windows».

5. Открываем свойства службы двойным кликом.

6. Устанавливаем тип запуска «Автоматически».

7. В поле «Состояние» нажимаем «Запустить».

8. Сохраняем конфигурацию, нажимая на кнопку «ОК».

Служба записи событий должна запускаться автоматически при загрузке Windows 10

Для корректного ведения логов должно быть также включено использование файла подкачки размером не менее 200 Мб.

  1. Нажимаем сочетание клавиш Win+R.
  2. В окне «Выполнить» вводим запрос

Это самый быстрый способ попасть в «Параметры быстродействия» системы

3. Переходим на вкладку «Дополнительно».

4. В разделе «Быстродействие» нажимаем на кнопку «Параметры».

5. Переходим на вкладку «Дополнительно»

6. В поле «Виртуальная память» смотрим общий объём файла подкачки. Если он менее 200 Мб, нажимаем на кнопку «Изменить».

Файл подкачки должен быть не менее 200 Мб

7. В окне настройки указываем исходный и максимальный размер.

8. Сохраняем конфигурацию

Можно указать размер самостоятельно или оставить его на выбор системы

После включения ведения логов и настройки размера файла подкачки все события точно будут сохраняться в системную утилиту «Просмотр событий». Это значит, что мы можем переходить к изучению «Журнала ошибок».

Журналы просмотра событий Windows

Средство просмотра событий Windows обрабатывает различные типы регистров, разделенных на две основные категории: Журналы Windows и Журналы приложений и служб.

Чтобы просмотреть информацию об этих журналах, в дереве консоли средства просмотра событий (левая панель) щелкните стрелку рядом с категорией журнала, который хотите просмотреть. Нажмите раздел, который вас интересует.

В центральном окне отметьте событие, которое хотите проанализировать. Нажмите на событие, чтобы получить описание события и его наиболее важные свойства (видимые на вкладке «Общие»), или дважды щелкните событие, чтобы открыть окно «Свойства события».

Давайте посмотрим подробно, что содержат журналы средства просмотра событий Windows.

Журналы Windows

В журнале Windows хранятся события, относящиеся ко всей системе. Они делятся на следующие категории:

  • Применение. В журнале приложений содержатся события, связанные с программами и приложениями. Разработчики программного обеспечения решают, какие события записывать в журнале приложений, а какие – в журнале приложений и служб. События классифицируются в соответствии с их серьёзностью:
    • Ошибка: указывает на критическую проблему, которая могла привести к потере данных или функциональности.
    • Предупреждение: указывает на менее значительную проблему, которая может вызвать проблему в будущем.
    • Информация: описывает правильную работу драйвера, программы или службы.
  • Безопасность. Журнал безопасности содержит события аудита, связанные с попытками пользователя подключиться и использованием защищенных ресурсов (создание, открытие, удаление файлов). Журнал безопасности идентифицирует события, используя два типа значков: значок ключа и значок замка.
    • Ключ: идентифицирует события типа успешная проверка.
    • Замок: идентифицирует события типа проверка не удалась.
  • Установка. Журнал установки содержит события, связанные с установкой приложений.
  • Система. В журнале системы указываются события, создаваемые системными компонентами Windows и установленными функциями, такие как драйвер. Например, если драйвер не загружается во время сеанса загрузки, это событие сохраняется в системном журнале. Также в этом журнале события классифицируются как Ошибка, Предупреждение или Информация.
  • Перенаправленные события. В журнале сохраняются события, произошедшие на удаленных компьютерах.

Журналы приложений и служб

В Журнал приложений и служб сохраняются события, относящиеся к отдельным программам, приложениям и специфическим службам Windows.

Разница между этими журналами и журналами Windows заключается в том, что журналы приложений и служб относятся к конкретной программе или к функциональности, а остальные относятся ко всей системе.

Если мы развернем узел Microsoft, то увидим папку Windows. Эта папка содержит папку для каждой из многих функций Windows.

Как очистить

Утилита записывает мегабайты информации о работе ОС, отправляет их на сервер Microsoft не удаляя из системы. Они сохраняются на HDD. Чтобы удалить, используются такие способы:

Как очистить
  1. Выборочное удаление;
  2. Удалить используя Командную строку;
  3. Использование стороннего софта.

Рассмотрим их подробнее.

Как очистить

Выборочная очистка

Откройте утилиту, выполните действия как на скриншоте:

Как очистить

Очищаем Журнал событий Windows 10 через cmd (командную строку)

Как очистить

Нажмите «Win+X», далее: Пропишите команду:

Приложение CCleaner

Как очистить

Откройте программу. В разделе «Очистка» о. Нажмите кнопки «Анализ», потом «Очистка».

Подробнее о работе приложения смотрите в статье: «Очистка ПК».

Читайте также:  Как использовать команды Netstat для мониторинга сети в Windows?