В этой статье я опишу инструмент с помощью которого осуществляется просмотр событий, или по другому говоря логов, в системе Windows.

Оглавление скрыть
Открытие оснастки «Просмотр событий»
Сводная информация
Журналы Windows
Действия над журналами
Фильтр журнала
Свойство журнала
Сохранить или открыть журнал
Создать настраиваемое представление
Журналы приложений и служб
Итог

Открытие оснастки «Просмотр событий»

Для просмотра логов в Windows, вы можете открыть оснастку «Просмотр событий». Она находится в меню «Пуск» или может быть запущена с помощью команды eventvwr в командной строке.

Открытие оснастки "Просмотр событий" из меню "Пуск"

Сводная информация

После открытия оснастки, если вы нажмёте слева на пункт «Просмотр событий (Локальный)», то увидите сводную информацию.

Просмотр событий Windows. Сводная информация

Здесь вы можете посмотреть:

  • общее количество событий по уровням важности;
  • недавно просмотренные узлы, то есть какие журналы вы недавно просматривали;
  • сводка журнала, то есть какие журналы включены а какие выключены.

Журналы Windows

После открытия оснастки и разворачивания пункта «Журналы Windows» вы увидите следующие журналы:

  • Приложение. Установленные в системе приложения будут писать свои логи в этот журнал.
  • Безопасность. Сюда будут попадать события относящиеся ко входам в систему, привилегиям, запросам прав и подобное.
  • Установка. Этот журнал будет содержать логи, созданные в процессе установки или изменения программ.
  • Система. Это журнал операционной системы, и события операционной системы будут логироваться в нём.
  • Перенаправленные события. События, передаваемые другими компьютерами.
Просмотр событий Windows. Журналы Windows

Когда вы выберете определенный журнал (1) для просмотра, вы увидите список событий (2). Если вы выделите определенное событие (3), то снизу вы увидите описание этого события (4).

Просмотр событий Windows

Описание определённого события можно просматривать в двух вкладках:

  • Вкладка «Общее». Описание события и некоторая информация о нём.
  • Вкладка «Подробности». Больше информации о событии, например какой процесс произвёл это событие. Здесь можно смотреть событие в понятном для человека представлении, или в формате XML.
Просмотр событий Windows. Вкладка "Подробности" в описании события.

Существует несколько уровней событий:

  • Информация. Было выполнено какое-то успешное действие.
  • Предупреждение. Произошло событие, которое может вызвать проблемы.
  • Ошибка. Возникла какая-то проблема.
  • Критическое. Возникла серьезная проблема. Скорее всего такая проблема приведёт к перезагрузке компьютера.

Действия над журналами

С журналом можно выполнять различные действия. Посмотреть их можно справа в оснастке «Просмотр событий».

Просмотр событий Windows. Действия

Ниже разберём некоторые действия.

Фильтр журнала

Мы можем отфильтровать журнал по разным параметрам. Для этого существует действие «Фильтр текущего журнала».

Здесь можно:

  • выбрать период, за который нам нужно просмотреть журнал;
  • установить уровни событий;
  • указать источники событий;
  • определить коды событий.
Просмотр событий Windows. Фильтровать текущий журнал

Свойство журнала

Здесь мы можем посмотреть, в каком файле хранится журнал, его текущий и максимальный размеры. Также мы можем изменить максимальный размер файла или очистить журнал.

Свойства журнала Winsows

Сохранить или открыть журнал

Можем сохранить журнал в формате журнала Windows (.evtx) или в других форматах (.xml, .txt, .csv). Для этого нужно нажать «Сохранить все события как».

Затем мы сможем открыть сохранённый журнал в любом из этих форматах. Для этого нужно нажать «Открыть сохранённый журнал».

Создать настраиваемое представление

Можем задать произвольный фильтр по разным журналам, и все события будут попадать в Настраиваемые представления. Для этого нажимаем «Создать настраиваемое представление».

Просмотр событий. Создание настраиваемого представления

Затем вы можете сохранить настраиваемое представление нажав «Экспортировать настраиваемое представление». Оно сохраниться в формате .xml. И в будущем вы можете «Импортировать настраиваемое представление». Это удобно проделать на одном компьютере, чтобы в будущем пользоваться на других.

Журналы приложений и служб

Существует также категория Журналы приложений и служб, которая содержит журналы отдельных приложений или служб. 

Просмотр событий. Журналы приложений и служб

Мне очень часто приходится здесь смотреть логи служб удалённых рабочих столов. Я использую следующие фильтры для настраиваемых представлений:

  • Успешные подключения. Журнал: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational. Код события 1149.
  • Неудачные попытки входа. Журнал: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Работает. Уровень события: Предупреждение.
  • Подключения и отключения сессий. Журнал: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.

У клиента RDP можно смотреть следующие журналы:

  • Процесс подключения RDP. Microsoft-Windows-TerminalServices-RDPClient/Operational

В журнале приложений и служб также будут храниться журналы из PowerShell и других командных строк.

Итог

После прочтения статьи у вас должны появиться навыки работы с оснасткой «Просмотр событий» в операционной системе Windows.

По теме просмотра событий в Windows я также писал статью: Узнаём причину перезагрузки Windows.

Другие мои статьи по операционной системе Windows вы можете найти здесь.

Сводка
Просмотр событий в Windows
Имя статьи
Просмотр событий в Windows
Описание
В этой статье я опишу инструмент с помощью которого осуществляется просмотр событий, или по другому говоря - логов в системе Windows
windows
By Администрирование WindowsLeave a Comment on Просмотр событий Windows

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *