Jak otworzyć dziennik błędów w systemie Windows 7. Podgląd zdarzeń w systemie Windows Vista

System operacyjny Windows 7 stale monitoruje różne godny uwagi zdarzenia, które występują w twoim systemie. W systemie Microsoft Windows wydarzenie czy jakiś incydent w? system operacyjny A, który jest zarejestrowany lub wymaga powiadomienia użytkowników lub administratorów. Może to być usługa, która nie chce się uruchomić, instalacja urządzenia lub błąd aplikacji. Zdarzenia są rejestrowane i przechowywane w dziennikach zdarzeń systemu Windows i dostarczają ważnych informacji historycznych, które pomagają monitorować system, utrzymywać bezpieczeństwo systemu, rozwiązywać problemy i przeprowadzać diagnostykę. Informacje zawarte w tych logach powinny być regularnie przeglądane. Należy regularnie monitorować dzienniki zdarzeń i konfigurować system operacyjny w celu zapisywania ważnych zdarzeń systemowych. Jeśli jesteś administratorem serwerów Windows, musisz monitorować bezpieczeństwo ich systemów, normalne działanie aplikacji i usług, a także sprawdzać serwer pod kątem błędów, które mogą obniżyć wydajność. Jeśli jesteś użytkownikiem komputera PC, powinieneś upewnić się, że masz dostęp do odpowiednich dzienników potrzebnych do utrzymania systemu i rozwiązywania problemów.

Program Podgląd zdarzeń to przystawka Microsoft Management Console (MMC) do przeglądania dzienników zdarzeń i zarządzania nimi. Jest to niezbędne narzędzie do monitorowania stanu systemu i rozwiązywania problemów. Usługa Windows, która zarządza rejestrowaniem zdarzeń, nazywa się „Dziennik zdarzeń”. Jeśli jest uruchomiony, system Windows zapisuje w dziennikach ważne dane. Z pomocą programu Podgląd zdarzeń możesz wykonać następujące czynności:

• Zobacz zdarzenia z określonych dzienników;
• Zastosuj filtry zdarzeń i zapisz je do późniejszego wykorzystania jako widoki niestandardowe;
• Twórz subskrypcje wydarzeń i zarządzaj nimi;
• Przypisz wykonanie określonych czynności do wystąpienia określonego zdarzenia.

Uruchamianie przeglądarki zdarzeń

Załącznik Podgląd zdarzeń można otworzyć w następujący sposób:

Dzienniki zdarzeń w systemie Windows 7

Na sali operacyjnej system Windows 7, podobnie jak w systemie Windows Vista, istnieją dwie kategorie dzienników zdarzeń: Dzienniki Windows oraz logi aplikacji i usług. Dzienniki Windows- są używane przez system operacyjny do rejestrowania ogólnosystemowych zdarzeń związanych z działaniem aplikacji, komponentów systemu, bezpieczeństwem i uruchamianiem. ALE logi aplikacji i usług- są wykorzystywane przez aplikacje i usługi do rejestrowania zdarzeń związanych z ich działaniem. Możesz użyć przystawki do zarządzania dziennikami zdarzeń Podgląd zdarzeń lub program wiersz poleceń wewtutil które zostaną omówione w drugiej części artykułu. Wszystkie typy dzienników są opisane poniżej:

Załącznik- sklepy ważne wydarzenia związane z konkretną aplikacją. Na przykład Exchange Server przechowuje zdarzenia związane z przekazywaniem poczty, w tym zdarzenia dotyczące przechowywania informacji, zdarzenia skrzynek pocztowych i uruchomione usługi. Domyślna lokalizacja to %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Bezpieczeństwo- Przechowuje zdarzenia związane z bezpieczeństwem, takie jak logowanie/wylogowanie, użycie uprawnień i dostęp do zasobów. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Instalacja- ten dziennik rejestruje zdarzenia, które występują podczas instalacji i konfiguracji systemu operacyjnego i jego komponentów. Domyślna lokalizacja to %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

System- przechowuje zdarzenia systemu operacyjnego lub jego komponentów, takie jak awarie uruchamiania usług lub inicjalizacji sterowników, komunikaty ogólnosystemowe i inne komunikaty związane z systemem jako całością. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\System.Evtx

Zdarzenia przekazane- jeśli skonfigurowano przekazywanie zdarzeń, ten dziennik zawiera zdarzenia przekazywane z innych serwerów. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- ten dziennik rejestruje zdarzenia, które występują podczas konfigurowania i pracy z przeglądarką Internet Explorer. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell— Zdarzenia związane z użyciem powłoki PowerShell są rejestrowane w tym dzienniku. Domyślnie znajduje się w %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Imprezy sprzętowe- jeśli skonfigurowana jest rejestracja zdarzeń urządzeń, zdarzenia generowane przez urządzenia są zapisywane w tym dzienniku. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

W systemie Windows 7 infrastruktura zapewniająca rejestrowanie zdarzeń opiera się na tej samej, co w Windows Vista do XML. Dane dla każdego zdarzenia są zgodne ze schematem XML, co umożliwia dostęp do kodu XML dla dowolnego zdarzenia. Ponadto można tworzyć zapytania oparte na języku XML, aby pobierać dane z dzienników. Do korzystania z tych nowych funkcji nie jest wymagana znajomość języka XML. olinowanie Podgląd zdarzeń udostępnia prosty interfejs graficzny umożliwiający dostęp do tych funkcji.

Właściwości wydarzenia

Istnieje kilka właściwości zdarzeń przystawek Podgląd zdarzeń które są wyszczególnione poniżej:

Źródło to program, który zarejestrował zdarzenie. Może to być nazwa programu (na przykład „Serwer Exchange”) lub nazwa składnika systemu lub dużej aplikacji (na przykład nazwa sterownika). Na przykład „Elnkii” oznacza sterownik EtherLink II.

Kod wydarzenia to liczba określająca konkretny typ zdarzenia. Pierwsza linia opisu zwykle zawiera nazwę typu zdarzenia. Na przykład 6005 to identyfikator zdarzenia, który występuje po uruchomieniu usługi rejestrowania zdarzeń. W związku z tym na początku opisu tego zdarzenia znajduje się wiersz „Uruchomiona usługa dziennika zdarzeń”. Identyfikator zdarzenia i nazwa źródła rekordu mogą być używane przez zespół wsparcia produktu oprogramowania do rozwiązywania problemów.

Poziom to poziom ważności wydarzenia. W dziennikach systemowych i aplikacji zdarzenia mogą mieć następujące poziomy ważności:

• Powiadomienie- oznacza zmianę w aplikacji lub komponencie, taką jak wystąpienie zdarzenia informacyjnego związanego z udaną akcją, utworzeniem zasobu lub uruchomieniem usługi.
• Ostrzeżenie- wskazuje ogólne ostrzeżenie o problemie, który może mieć wpływ na usługę lub prowadzić do poważniejszego problemu, jeśli zostanie pozostawiony bez opieki;
• Błąd- wskazuje, że wystąpił problem, który może wpływać na funkcje zewnętrzne aplikacji lub komponentu, który wywołał zdarzenie;
• Błąd krytyczny- wskazuje, że wystąpiła awaria, z której aplikacja lub składnik, który wywołał zdarzenie, nie może odzyskać automatycznie;
• Audyt sukcesu- Pomyślne ukończenie działań śledzonych przez audyt, takich jak korzystanie z przywileju;
• Audyt awarii- niepowodzenie działań, które śledzisz poprzez audyt, takie jak niepowodzenie logowania.

Użytkownik- określa konto użytkownika, w imieniu którego miało miejsce to zdarzenie. Użytkownicy obejmują określone podmioty, takie jak usługa lokalna, usługa sieciowa i logowanie anonimowe, a także konta rzeczywistych użytkowników. Ta nazwa jest identyfikatorem klienta, jeśli zdarzenie zostało faktycznie wywołane przez proces serwera, lub identyfikatorem głównym, jeśli nie ma miejsca personifikacja. W niektórych przypadkach wpis w dzienniku zabezpieczeń zawiera oba identyfikatory. A także w tym polu może być N/A (N/A), jeśli w takiej sytuacji Rachunek nie dotyczy. Personifikacja ma miejsce, gdy serwer zezwala jednemu procesowi na przypisanie atrybutów bezpieczeństwa innego procesu.

Kod roboczy- zawiera wartość numeryczna A, który określa operację lub punkt w operacji, która wyzwoliła to zdarzenie. Na przykład inicjowanie lub zamykanie.

Czasopismo- nazwa dziennika, w którym zostało zarejestrowane to zdarzenie.

Kategoria i zadania- określa kategorię zdarzenia, czasami używaną do dalszego opisania ważnej akcji. Każde źródło zdarzenia ma swoje własne kategorie. Na przykład następujące kategorie to: logowanie/wylogowanie, korzystanie z uprawnień, zmiana zasad i zarządzanie kontem.

Słowa kluczowe to zestaw kategorii lub etykiet, których można używać do filtrowania lub wyszukiwania zdarzeń. Na przykład: „Sieć”, „Zabezpieczenia” lub „Nie znaleziono zasobu”.

Komputer- identyfikuje nazwę komputera, na którym wystąpiło zdarzenie. Jest to zwykle nazwa komputera lokalnego, ale może to być również nazwa komputera, który przesłał zdarzenie, lub nazwa komputera lokalnego przed zmianą.

Data i godzina- określa datę i godzinę wystąpienia tego zdarzenia w logu.

Identyfikator procesu- reprezentuje numer identyfikacyjny procesu, który wygenerował to zdarzenie. program komputerowy jest tylko pasywnym zbiorem instrukcji, podczas gdy proces jest bezpośrednim wykonaniem tych instrukcji

Identyfikator wątku- reprezentuje numer identyfikacyjny wątku, który utworzył to zdarzenie. Proces utworzony w systemie operacyjnym może składać się z kilku wątków działających „równolegle”, to znaczy bez określonej kolejności w czasie. W przypadku niektórych zadań ten rozdział może zapewnić bardziej efektywne wykorzystanie zasobów komputera.

Identyfikator procesora- reprezentuje numer identyfikacyjny procesora, który przetworzył zdarzenie.

Kod sesji to numer identyfikacyjny sesji na serwerze terminali, w której wystąpiło zdarzenie.

Czas jądra Określa czas spędzony na wykonywaniu instrukcji trybu jądra, w jednostkach czasu procesora. Tryb jądra ma nieograniczony dostęp do pamięci systemowej i urządzeń zewnętrznych. Jądro systemu NT nazywa się jądrem hybrydowym lub makrojądrem.

Czas pracy w trybie użytkownika Określa czas spędzony na wykonywaniu instrukcji trybu użytkownika w jednostkach czasu procesora. Tryb użytkownika składa się z podsystemów, które przekazują żądania we/wy do odpowiedniego sterownika trybu jądra za pośrednictwem menedżera we/wy.

Obciążenie procesora to czas spędzony na wykonywaniu instrukcji trybu użytkownika w taktach procesora.

Kod korelacji- określa akcję w procesie, dla którego zdarzenie jest wykorzystywane. Ten kod jest używany do określenia proste relacje między wydarzeniami. Korelacja to statystyczna zależność między dwoma lub więcej zmienne losowe(lub wartości, które można uznać za takie z pewnym akceptowalnym stopniem dokładności). Jednocześnie zmiany jednej lub więcej z tych wielkości prowadzą do systematycznej zmiany innych lub innych wielkości.

Względny identyfikator korelacji- definiuje względne działanie w procesie, w którym zdarzenie jest wykorzystywane

Praca z dziennikami zdarzeń

Podgląd zdarzeń

Możesz zobaczyć log na poniższym zrzucie ekranu. "Aplikacje", który zawiera informacje o zdarzeniach, ostatnich widokach i dostępnych akcjach. Aby wyświetlić zdarzenia dziennika aplikacji, wykonaj następujące kroki:

1. W drzewie konsoli wybierz „Dzienniki systemu Windows”;
2. Wybierz magazyn "Aplikacje".

Wskazane jest częstsze przeglądanie dzienników zdarzeń "Załącznik" oraz "System" i przestudiuj istniejące problemy i ostrzeżenia, które mogą zwiastować problemy w przyszłości. Po wybraniu dziennika w środkowym oknie wyświetlane są dostępne zdarzenia, w tym data zdarzenia, godzina i źródło, poziom zdarzenia i inne.

Płyta "obszar widoku" pokazuje podstawowe dane zdarzenia na zakładce "Ogólny" oraz dodatkowe dane szczegółowe w zakładce "Detale". Możesz włączyć i wyłączyć ten panel, wybierając menu "Pogląd" a potem polecenie "obszar widoku".

W przypadku systemów krytycznych zaleca się prowadzenie dzienników z ostatnich kilku miesięcy. Z reguły przypisywanie logom takiej wielkości, aby wszystkie informacje się w nich mieściły, jest niewygodne, z reguły problem ten można rozwiązać w inny sposób. Dzienniki można eksportować do plików znajdujących się w określonym folderze. Aby zapisać wybrany dziennik, wykonaj następujące czynności:

1. W drzewie konsoli wybierz dziennik zdarzeń, który chcesz zapisać;
2. Wybierz drużynę "Zapisz wydarzenia jako" z menu "Akcja" lub z menu kontekstowego dziennika wybierz polecenie "Zapisz wszystkie wydarzenia jako";
3. W wyświetlonym oknie dialogowym "Zapisz jako" wybierz folder, w którym plik ma zostać zapisany. Jeśli chcesz zapisać plik w nowym folderze, możesz go utworzyć bezpośrednio z tego okna dialogowego za pomocą menu kontekstowego lub przycisku "Nowy folder" na pasku akcji. W terenie "Typ pliku" należy wybrać żądany format pliku z dostępnych: pliki zdarzeń - *.evtx, plik xml - *.xml, tekst oddzielony tabulatorami - *.txt, csv oddzielony przecinkami - *.csv. W terenie "Nazwa pliku" "Ratować". Aby anulować zapisywanie, naciśnij przycisk "Anulować";
4. W przypadku, gdy dziennik zdarzeń nie jest przeznaczony do przeglądania na innym komputerze, w oknie dialogowym „Wyświetl szczegóły” pozostaw opcję domyślną „Nie wyświetlaj szczegółów”, a jeśli dziennik ma być przeglądany na innym komputerze, to w oknie dialogowym „Wyświetl szczegóły” Wybierz opcję "Wyświetl informacje dla następujące języki» i kliknij przycisk "OK".

Czyszczenie dziennika zdarzeń

Czasami konieczne jest wyczyszczenie pełnych dzienników zdarzeń, aby zapewnić skuteczną analizę ostrzeżeń systemu operacyjnego i błędów krytycznych. Aby wyczyścić wybrany dziennik, wykonaj następujące czynności:

1. W drzewie konsoli wybierz dziennik zdarzeń, który chcesz wyczyścić;
2. Wyczyść dziennik w jeden z następujących sposobów:
   • W menu "Akcja" wybierz drużynę "Wyczyść log";
   • W wybranym dzienniku kliknij prawym przyciskiem myszy, aby otworzyć menu kontekstowe. W menu kontekstowym wybierz polecenie "Wyczyść log";
3. Następnie możesz wyczyścić dziennik lub zarchiwizować go, jeśli nie zostało to zrobione wcześniej:
   • Aby wyczyścić dziennik zdarzeń bez zapisywania, kliknij przycisk "Jasny";
   • Aby wyczyścić dziennik zdarzeń po jego zapisaniu, kliknij przycisk „Zapisz i wyczyść”. W wyświetlonym oknie dialogowym "Zapisz jako" wybierz folder, w którym plik ma zostać zapisany. Jeśli chcesz zapisać plik w nowym folderze, możesz go utworzyć bezpośrednio z tego okna dialogowego za pomocą menu kontekstowego lub przycisku "Nowy folder" na pasku akcji. W terenie "Nazwa pliku" wprowadź nazwę i kliknij przycisk "Ratować". Aby anulować zapisywanie, naciśnij przycisk "Anulować".

Ustawianie maksymalnego rozmiaru dziennika

Jak wspomniano powyżej, dzienniki zdarzeń są przechowywane jako pliki w folderze %SystemRoot%\System32\Winevt\Logs\. Domyślnie maksymalny rozmiar tych plików jest ograniczony, ale możesz go zmienić w następujący sposób:

1. Wybierz drużynę "Nieruchomości" z menu "Akcja"
2. W terenie „Maksymalny rozmiar dziennika (KB)” ustawić żądaną wartość za pomocą licznika lub ustawić ręcznie bez korzystania z licznika. W takim przypadku wartość zostanie zaokrąglona w górę do najbliższej wielokrotności 64 KB, ponieważ rozmiar pliku dziennika musi być wielokrotnością 64 KB i nie może być mniejszy niż 1024 KB.

Zdarzenia są przechowywane w pliku dziennika, który może rozrosnąć się tylko do określonego maksymalnego rozmiaru. Gdy plik osiągnie maksymalny rozmiar, przetwarzanie przychodzących zdarzeń będzie określane przez zasady przechowywania dzienników. Dostępne są następujące zasady przechowywania dzienników:

Przepisz zdarzenia, jeśli to konieczne (najpierw stare pliki)- w takim przypadku nowe wpisy są nadal rejestrowane po zapełnieniu. Każde nowe zdarzenie zastępuje najstarsze w dzienniku;

Dziennik archiwum, gdy jest pełny; nie przepisuj wydarzeń- w takim przypadku plik dziennika jest automatycznie archiwizowany w razie potrzeby. Nieaktualne wydarzenia nie są nadpisywane.

Nie przepisuj zdarzeń (ręcznie wyczyść dziennik)- w tym przypadku dziennik jest czyszczony ręcznie, a nie automatycznie.

Aby wybrać żądaną zasadę przechowywania dzienników, wykonaj następujące kroki:

1. W drzewie konsoli wybierz dziennik zdarzeń, którego rozmiar chcesz zmienić;
2. Wybierz drużynę "Nieruchomości" z menu "Akcja" lub z menu kontekstowego wybranego czasopisma;
3. Na karcie "Ogólny", W rozdziale "Po osiągnięciu maksymalnego rozmiaru" wybierz żądany parametr i naciśnij przycisk "OK".

Włącz logowanie analityczne i debugowania

Dzienniki analityczne i debugowania są domyślnie wyłączone. Po aktywacji szybko się zapełniają. duża ilość wydarzenia. Z tego powodu wskazane jest włączenie tych dzienników na określony czas w celu zebrania danych niezbędnych do rozwiązywania problemów, a następnie ponowne ich wyłączenie. Logi można aktywować w następujący sposób:

1. W drzewie konsoli znajdź i wybierz dziennik analityczny lub debugowania, który chcesz aktywować;
2. Wybierz drużynę "Nieruchomości" z menu "Akcja" lub z menu kontekstowego wybranego dziennika analitycznego lub debugowania;
3. Na karcie "Ogólny" zaznacz pole przy opcjach "Włącz logowanie"

Otwieranie i zamykanie zapisanego dziennika

Z pomocą sprzętu Podgląd zdarzeń możesz otwierać i przeglądać wcześniej zapisane logi. Możesz otworzyć wiele zapisanych dzienników jednocześnie i uzyskać do nich dostęp w dowolnym momencie w drzewie konsoli. Magazyn otwarty w Podgląd zdarzeń, można zamknąć bez usuwania zawartych w nim informacji. Aby otworzyć zapisany dziennik, wykonaj następujące czynności:

1. Wybierz drużynę "Otwórz zapisany dziennik" w menu "Akcja" lub z menu kontekstowego w drzewie konsoli;
2. 3. W oknie dialogowym "Otwórz zapisany dziennik", poruszając się po drzewie katalogów, otwórz folder zawierający żądany plik. Domyślnie wszystkie pliki dziennika zdarzeń będą wyświetlane w oknie dialogowym. Ponadto podczas otwierania możesz wybrać typ plików, które chcesz wyświetlić w otwartym oknie dialogowym. Dostępne typy plików to: pliki dziennika zdarzeń (*.evtx, *.evt, *.etl), a także pliki zdarzeń (*.evtx), starsze pliki zdarzeń (*.evt) lub pliki dziennika śledzenia (*.etl ). Po znalezieniu żądanego pliku dziennika wybierz go, klikając go lewym przyciskiem myszy, co spowoduje umieszczenie jego nazwy w wierszu do wpisania nazwy pliku i kliknij przycisk "Otwarty".
3. W dialogu "Otwórz zapisany dziennik", w terenie "Nazwać" wprowadź nową nazwę, która będzie używana dla dziennika w drzewie konsoli. Jest używany tylko do reprezentowania dziennika w drzewie konsoli, a nazwa pliku dziennika nie jest zmieniana.Można również użyć istniejąca nazwa plik dziennika. W terenie "Opis" wprowadź opis dziennika. Zostanie wyświetlony w środkowym panelu, gdy nadrzędny folder dziennika zostanie podświetlony w drzewie konsoli;
4. Aby utworzyć folder, w którym będzie się znajdował zapisany dziennik, kliknij przycisk "Utwórz folder". W terenie "Nazwać" wprowadź nazwę folderu, w którym będzie się znajdował otwarty dziennik, a następnie kliknij przycisk "OK". Jeśli nie zostanie wybrany żaden folder nadrzędny, nowy folder zostanie umieszczony w folderze „Zapisane dzienniki”.
5. Aby otwarty dziennik zdarzeń był niedostępny dla innych użytkowników komputera, możesz wyczyścić pole wyboru "Wszyscy użytkownicy". Jeśli to pole wyboru pozostanie aktywne, otwarty dziennik będzie dostępny dla wszystkich użytkowników, ale do usunięcia go z drzewa konsoli będą wymagane uprawnienia administratora;
6. Aby otworzyć magazyn, kliknij przycisk "OK".

Aby usunąć otwarty dziennik z drzewa zdarzeń, wykonaj następujące czynności:

1. W drzewie konsoli wybierz dziennik, który chcesz usunąć;
2. Wybierz drużynę "Usunąć" z menu "Akcja" lub z menu kontekstowego wybranego czasopisma;
3. W dialogu Podgląd zdarzeń kliknij przycisk "Tak".

Wniosek

W tej części artykułu o przystawce Podgląd zdarzeń przedstawiono samą przystawkę i szczegółowo opisano podstawowe operacje związane z monitorowaniem i konserwacją systemu za pomocą Podglądu zdarzeń. Kolejna część artykułu będzie przeznaczona dla doświadczonych użytkowników systemu Windows. Obejmuje zadania z niestandardowymi widokami, filtrowaniem, grupowaniem/sortowaniem zdarzeń i zarządzaniem subskrypcjami.

Wiersz Windows OS rejestruje wszystkie główne zdarzenia, które występują w systemie, a następnie ich wpis do dziennika. Rejestrowane są błędy, ostrzeżenia i tylko różne powiadomienia. Na podstawie tych zapisów doświadczony użytkownik może poprawić działanie systemu i wyeliminować błędy. Dowiedzmy się, jak otworzyć dziennik zdarzeń w systemie Windows 7.

Dziennik zdarzeń jest przechowywany w narzędziu systemowym o nazwie Podgląd zdarzeń. Zobaczmy, jak używać różne drogi możesz do niego iść.

Metoda 1: „Panel sterowania”

Jednym z najczęstszych sposobów uruchamiania narzędzia opisanego w tym artykule, choć dalekim od najłatwiejszego i najwygodniejszego, jest użycie "Panel kontrolny".

Metoda 2: Uruchom narzędzie

Dużo łatwiej zainicjować aktywację opisywanego narzędzia za pomocą narzędzia "Biegać".

Podstawową wadą tej szybkiej i wygodnej metody jest konieczność pamiętania o poleceniu okna.

Metoda 3: Pole wyszukiwania w menu Start

Bardzo podobny sposób wywoływania badanego przez nas narzędzia odbywa się za pomocą pola wyszukiwania w menu "Początek".

Metoda 4: „Wiersz poleceń”

Wywołanie narzędzia przez "Wiersz poleceń" raczej niewygodna, ale taka metoda istnieje, dlatego też warto o niej wspomnieć. Najpierw musimy wywołać okno "Wiersz poleceń".

Metoda 5: Bezpośrednie uruchomienie pliku eventvwr.exe

Możesz użyć takiej „egzotycznej” opcji do rozwiązania problemu, jak bezpośredni start pliku z "Poszukiwacz". Jednak i Ta metoda może być przydatne w praktyce, na przykład, jeśli awarie osiągnęły taką skalę, że inne opcje uruchomienia narzędzia są po prostu niedostępne. Jest to niezwykle rzadkie, ale całkiem możliwe.

Przede wszystkim musisz przejść do lokalizacji pliku eventvwr.exe. Znajduje się w katalogu systemowym pod następującą ścieżką:

C:\Windows\System32

Metoda 6: Wprowadzanie ścieżki pliku w pasku adresu

Z pomocą "Poszukiwacz" możemy uruchomić interesujące nas okno i szybciej. W takim przypadku nie musisz nawet szukać eventvwr.exe w katalogu „System32”. Aby to zrobić, w polu adresu "Poszukiwacz" wystarczy podać ścieżkę do tego pliku.

Metoda 7: Utwórz skrót

Jeśli nie chcesz zapamiętywać różnych poleceń ani poruszać się po sekcjach "Panel kontrolny" uważasz za zbyt niewygodne, ale jednocześnie często korzystasz z magazynu, to w takim przypadku możesz utworzyć ikonę na "Pulpit" lub w innym dogodnym dla Ciebie miejscu. Następnie uruchom narzędzie Podgląd zdarzeń zostanie przeprowadzone tak prosto, jak to tylko możliwe i bez konieczności zapamiętywania czegoś.

Problemy z otwieraniem magazynu

Zdarzają się sytuacje, w których występują problemy z otwarciem magazynka w sposób opisany powyżej. Najczęściej dzieje się tak z powodu dezaktywacji usługi odpowiedzialnej za działanie tego narzędzia. Podczas próby uruchomienia narzędzia Podgląd zdarzeń zostanie wyświetlony komunikat informujący, że usługa dziennika zdarzeń jest niedostępna. Następnie musisz go aktywować.

1. Przede wszystkim musisz iść do "Kierownik serwisu". Można to zrobić z sekcji "Panel kontrolny", który jest nazywany "Administracja". Jak do niego przejść zostało szczegółowo opisane przy rozważaniu Metoda 1. W tej sekcji poszukaj przedmiotu „Usługi”. Kliknij na to.

   

   W "Kierownik serwisu" możesz iść z narzędziem "Biegać". Zadzwoń, wpisując Wygraj+R. Wpisz w polu wprowadzania:

   Kliknij OK.



2. Niezależnie od tego, czy dokonałeś przejścia "Panel sterowania" lub użyłeś polecenia w polu narzędzia "Biegać", zaczyna się "Kierownik serwisu". Poszukaj elementu na liście „Dziennik zdarzeń systemu Windows”. Aby ułatwić wyszukiwanie, możesz uporządkować wszystkie obiekty na liście w kolejności alfabetycznej, klikając nazwę pola "Nazwać". Po znalezieniu żądanego wiersza spójrz na odpowiednią wartość w kolumnie "Stan". Jeśli usługa jest włączona, powinien pojawić się napis "Pracuje". Jeśli jest pusty, oznacza to, że usługa jest dezaktywowana. Spójrz także na wartość w kolumnie „Typ uruchomienia”. W normalnym stanie powinien być napis "Automatycznie". Jeśli istnieje wartość "Niepełnosprawny", oznacza to, że usługa nie jest aktywowana przy starcie systemu.



3. Aby to naprawić, przejdź do właściwości usługi, klikając dwukrotnie nazwę lakier.



4. Otworzy się okno. Kliknij obszar „Typ uruchomienia”.



5. Wybierz z listy rozwijanej "Automatycznie".



6. Kliknij podpisy "Stosować" oraz OK.



7. Powracać do "Kierownik serwisu", sprawdzać „Dziennik zdarzeń systemu Windows”. W lewym obszarze muszli kliknij napis "Biegać".



8. Usługa została uruchomiona. Teraz w odpowiednim polu kolumny "Stan" zostanie wyświetlona wartość "Pracuje", a w polu kolumny „Typ uruchomienia” pojawi się napis "Automatycznie". Teraz magazyn można otworzyć w dowolny z opisanych powyżej sposobów.

Istnieje kilka opcji aktywacji dziennika zdarzeń w systemie Windows 7. Oczywiście najwygodniejsze i najbardziej popularne sposoby to przejrzenie "Pasek narzędzi", aktywacja za pomocą narzędzia "Biegać" lub pola wyszukiwania w menu "Początek". Aby ułatwić dostęp do opisanej funkcji, możesz utworzyć ikonę na "Pulpit". Czasami są problemy z uruchomieniem okna Podgląd zdarzeń. Następnie musisz sprawdzić, czy odpowiednia usługa jest aktywna.

Windows 7 i Windows 10 stale monitorują system pod kątem wszelkich nietypowych lub godnych uwagi sytuacji, takich jak niedziałająca usługa, instalacja urządzenia lub błąd aplikacji. Wszystkie te sytuacje nazywane są zdarzeniami i są rejestrowane w kilku różnych dziennikach.

Na przykład dziennik aplikacji przechowuje zdarzenia związane z działaniem aplikacji, zarówno samych programów systemu Windows 7, jak i aplikacji innych firm, a dziennik systemu przechowuje zdarzenia generowane przez system Windows 7, 10 oraz składniki, takie jak sterowniki urządzeń i usługi systemowe.

Jak otworzyć dziennik zdarzeń systemu Windows?

Aby otworzyć dziennik zdarzeń w oknach, kliknij przycisk Początek wpisując w polu wyszukiwania Podgląd zdarzeń i naciskając klawisz<Wchodzić>. Poniższy rysunek pokazuje, jak wygląda strona główna przystawki, pokazując dziennik zdarzeń systemu Windows, listę ostatnio przeglądanych węzłów i różne dostępne akcje.

Przeglądanie dziennika zdarzeń systemu Windows

Panel po prawej stronie zawiera trzy sekcje: Widoki niestandardowe, Dzienniki systemu Windows oraz Dzienniki aplikacji i usług.

Sekcja Widoki niestandardowe zawiera listę wszystkich typów zdarzeń zdefiniowanych w bieżącym systemie (które zostaną omówione bardziej szczegółowo nieco później). Jeśli wykonasz filtrowanie w jednym z dzienników zdarzeń lub utworzysz nowy widok zdarzeń, nowy widok zostanie zapisany w tej sekcji.

Sekcja Dzienniki systemu Windows wyświetla kilka podsekcji, z których cztery reprezentują główne dzienniki obsługiwane przez sam system.

Dzienniki zdarzeń aplikacji i systemu powinny być regularnie sprawdzane pod kątem wczesnego wykrywania istniejących problemów i ostrzeżeń, że niektóre problemy mogą pojawić się w przyszłości. Dziennik bezpieczeństwa nie jest niezbędny w codziennej procedurze konserwacji. Powinieneś zajrzeć do niego tylko wtedy, gdy istnieją podejrzenia o naruszenie bezpieczeństwa komputera, na przykład, aby dowiedzieć się, kto loguje się do systemu.

Błędy sterownika urządzenia są rejestrowane w dzienniku systemu, ale w systemie Windows 7 dostępne są inne narzędzia ułatwiające badanie problemów z urządzeniem. Na przykład Menedżer urządzeń, który wyświetla ikonę dla urządzeń, w których występują problemy, i umożliwia wyświetlenie opisu tych problemów poprzez otwarcie arkuszy właściwości urządzenia. Istnieje również narzędzie Informacje o systemie (Msinfo32.exe), który odzwierciedla informacje o wszystkich problemach ze sprzętem w sekcjach Informacje o systemie > Zasoby sprzętowe > Konflikty i udostępnianie oraz Informacje o systemie > Składniki > Urządzenia z problemami.

Po wybraniu jednego lub drugiego dziennika w centralnym oknie pojawia się lista wszystkich zdarzeń dostępnych w tym dzienniku, wraz z informacjami o dacie i godzinie wystąpienia każdego zdarzenia, jego źródle, typie (Szczegóły, Ostrzeżenie lub Błąd) i inne podobne informacje. Poniżej przedstawiono główne zmiany interfejsu i nowe funkcje, które zostały dodane do przystawki Podgląd zdarzeń systemu Windows.

• W panelu Obszar wyświetlania podstawowe dane o zdarzeniach są teraz wyświetlane na karcie Ogólne, a dodatkowe, bardziej szczegółowe dane są wyświetlane na karcie Szczegóły. To okienko można włączać i wyłączać, wybierając opcję View Area z menu View.
• Dane zdarzeń są teraz przechowywane w formacie XML. Możesz wyświetlić ich schemat, wybierając przycisk opcji Tryb XML na karcie Szczegóły w okienku Rzutnia.
• Polecenie Filtr umożliwia teraz generowanie zapytań w formacie XML.
• Kliknięcie linku Utwórz widok niestandardowy umożliwia teraz utworzenie nowego widoku na podstawie określonego dziennika zdarzeń, określonego typu zdarzenia, identyfikatora zdarzenia itd.
• Możesz teraz powiązać zadania ze zdarzeniami, klikając najpierw interesujące zdarzenie, a następnie link Połącz zadanie ze zdarzeniem, a następnie używając odpowiedniego kreatora, aby utworzyć żądane zadanie, które albo uruchamia program lub skrypt, albo wysyła wiadomość e-mail za każdym razem, gdy wystąpi to zdarzenie.
• Ulubione wydarzenia można teraz zapisywać jako plik wydarzenia (.elf).

Najczęstsze obszary działalności, dla których stworzono specjalistyczne oprogramowanie. 1s 8 online to rachunkowość regulowana, rachunkowość handlowa i magazynowa, rachunkowość zarządcza i rozwiązania zintegrowane

Sekcja Dzienniki aplikacji i usług zawiera listę programów, funkcji i usług obsługujących standardowy format rejestrowania zdarzeń, który jest nowością w systemie Windows 7. Wcześniej wszystkie elementy w tej sekcji były rejestrowane w oddzielnych plikach tekstowych, do których nie można było uzyskać dostępu w starszych wersjach przystawka Podgląd zdarzeń w inny sposób niż przez otwarcie pliku dziennika.

Może to być usługa, która nie chce się uruchomić, instalacja urządzenia lub błąd aplikacji. Zdarzenia są rejestrowane i przechowywane w dziennikach zdarzeń systemu Windows i dostarczają ważnych informacji historycznych, które pomagają monitorować system, utrzymywać bezpieczeństwo systemu, rozwiązywać problemy i przeprowadzać diagnostykę. Informacje zawarte w tych logach powinny być regularnie przeglądane. Należy regularnie monitorować dzienniki zdarzeń i konfigurować system operacyjny w celu zapisywania ważnych zdarzeń systemowych. Jeśli jesteś administratorem serwera Windows, musisz monitorować bezpieczeństwo ich systemów, normalne działanie aplikacji i usług, a także sprawdzać serwer pod kątem błędów, które mogą obniżyć wydajność. Jeśli jesteś użytkownikiem komputera PC, powinieneś upewnić się, że masz dostęp do odpowiednich dzienników potrzebnych do utrzymania systemu i rozwiązywania problemów.

Podgląd zdarzeń to przystawka Microsoft Management Console (MMC) do przeglądania dzienników zdarzeń i zarządzania nimi. Jest to niezbędne narzędzie do monitorowania stanu systemu i rozwiązywania problemów. Usługa systemu Windows, która zarządza rejestrowaniem zdarzeń, nosi nazwę „Dziennik zdarzeń”. Jeśli jest uruchomiony, system Windows zapisuje w dziennikach ważne dane. Dzięki Podglądowi zdarzeń możesz wykonać następujące czynności:

Zobacz zdarzenia z określonych dzienników;
Zastosuj filtry zdarzeń i zapisz je do późniejszego wykorzystania jako widoki niestandardowe;
Twórz subskrypcje wydarzeń i zarządzaj nimi;
Przypisz wykonanie określonych czynności do wystąpienia określonego zdarzenia.

Uruchamianie przeglądarki zdarzeń

Aplikację Event Viewer można otworzyć w następujący sposób:
Kliknij przycisk „Start”, aby otworzyć menu, otwórz „Panel sterowania”, wybierz „Narzędzia administracyjne” z listy składników panelu sterowania i wybierz „Podgląd zdarzeń” z listy składników administracyjnych;
Otwórz „Konsolę zarządzania MMC”. Aby to zrobić, kliknij przycisk „Start”, wpisz mmc w polu wyszukiwania, a następnie naciśnij przycisk „Enter”. Otworzy się pusta konsola MMC. Z menu Konsola wybierz polecenie Dodaj lub usuń przystawkę lub użyj skrótu klawiaturowego Ctrl+M. W oknie dialogowym „Dodaj/usuń przystawki” wybierz przystawkę „Podgląd zdarzeń” i kliknij przycisk „Dodaj”. Następnie kliknij przycisk „Zakończ”, a następnie przycisk „OK”;
Użyj kombinacji klawiszy WIN + R, aby otworzyć okno dialogowe „Uruchom”. W oknie dialogowym „Uruchom” w polu „Otwórz” wpisz eventvwr.msc i kliknij przycisk „OK”, przejdź do paska zadań i zobacz ten dziennik.

Dzienniki zdarzeń w systemie Windows 7

W systemie operacyjnym Windows 7, a także w systemie Windows Vista, istnieją dwie kategorie dzienników zdarzeń: dzienniki systemu Windows oraz dzienniki aplikacji i usług. Dzienniki systemu Windows — używane przez system operacyjny do rejestrowania ogólnosystemowych zdarzeń związanych z działaniem aplikacji, składników systemu, bezpieczeństwem i uruchamianiem. Dzienniki aplikacji i usług są wykorzystywane przez aplikacje i usługi do rejestrowania zdarzeń związanych z ich działaniem. Do zarządzania dziennikami zdarzeń można użyć przystawki Podgląd zdarzeń lub narzędzia wiersza polecenia wevtutil, które omówię w części 2 tego artykułu. Wszystkie typy dzienników są opisane poniżej:
Aplikacja - przechowuje ważne zdarzenia związane z konkretną aplikacją. Na przykład Exchange Server przechowuje zdarzenia związane z przekazywaniem poczty, w tym zdarzenia dotyczące przechowywania informacji, zdarzenia skrzynek pocztowych i uruchomione usługi. Domyślna lokalizacja to %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Bezpieczeństwo- Przechowuje zdarzenia związane z bezpieczeństwem, takie jak logowanie/wylogowanie, użycie uprawnień i dostęp do zasobów. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Instalacja- ten dziennik rejestruje zdarzenia, które występują podczas instalacji i konfiguracji systemu operacyjnego i jego komponentów. Domyślna lokalizacja to %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

System- przechowuje zdarzenia systemu operacyjnego lub jego komponentów, takie jak awarie uruchamiania usług lub inicjalizacji sterowników, komunikaty ogólnosystemowe i inne komunikaty związane z systemem jako całością. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\System.Evtx

Zdarzenia przekazane- jeśli skonfigurowano przekazywanie zdarzeń, ten dziennik zawiera zdarzenia przekazywane z innych serwerów. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- ten dziennik rejestruje zdarzenia, które występują podczas konfigurowania i pracy z przeglądarką Internet Explorer. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell— Zdarzenia związane z użyciem powłoki PowerShell są rejestrowane w tym dzienniku. Domyślnie znajduje się w %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Imprezy sprzętowe- jeśli skonfigurowana jest rejestracja zdarzeń urządzeń, zdarzenia generowane przez urządzenia są zapisywane w tym dzienniku. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

W systemie Windows 7 infrastruktura rejestrowania zdarzeń jest oparta na języku XML, podobnie jak w systemie Windows Vista. Dane dla każdego zdarzenia są zgodne ze schematem XML, co umożliwia dostęp do kodu XML dla dowolnego zdarzenia. Ponadto można tworzyć zapytania oparte na języku XML, aby pobierać dane z dzienników. Do korzystania z tych nowych funkcji nie jest wymagana znajomość języka XML. Przystawka Podgląd zdarzeń zapewnia prosty interfejs graficzny umożliwiający dostęp do tych funkcji.

Właściwości wydarzenia

Istnieje kilka właściwości zdarzeń Podglądu zdarzeń, które są szczegółowo opisane poniżej:
Źródłem jest program, który zarejestrował zdarzenie. Może to być nazwa programu (na przykład „Serwer Exchange”) lub nazwa systemu lub dużego składnika aplikacji (na przykład nazwa sterownika). Na przykład „Elnkii” oznacza sterownik EtherLink II.

Kod wydarzenia to liczba określająca konkretny typ zdarzenia. Pierwsza linia opisu zwykle zawiera nazwę typu zdarzenia. Na przykład 6005 to identyfikator zdarzenia, który występuje po uruchomieniu usługi rejestrowania zdarzeń. W związku z tym na początku opisu tego zdarzenia znajduje się wiersz „Uruchomiona usługa dziennika zdarzeń”. Identyfikator zdarzenia i nazwa źródła rekordu mogą być używane przez zespół wsparcia produktu oprogramowania do rozwiązywania problemów.

Poziom to poziom ważności wydarzenia. W dziennikach systemowych i aplikacji zdarzenia mogą mieć następujące poziomy ważności:

Powiadomienie- oznacza zmianę w aplikacji lub komponencie, taką jak wystąpienie zdarzenia informacyjnego związanego z udaną akcją, utworzeniem zasobu lub uruchomieniem usługi.
Ostrzeżenie- wskazuje ogólne ostrzeżenie o problemie, który może mieć wpływ na usługę lub prowadzić do poważniejszego problemu, jeśli zostanie pozostawiony bez opieki;
Błąd- wskazuje, że wystąpił problem, który może wpływać na funkcje zewnętrzne aplikacji lub komponentu, który wywołał zdarzenie;
Błąd krytyczny- wskazuje, że wystąpiła awaria, z której aplikacja lub składnik, który wywołał zdarzenie, nie może odzyskać automatycznie;
Audyt sukcesu- Pomyślne ukończenie działań śledzonych przez audyt, takich jak korzystanie z przywileju;
Audyt awarii- niepowodzenie działań, które śledzisz poprzez audyt, takie jak niepowodzenie logowania.
Użytkownik- określa konto użytkownika, w imieniu którego miało miejsce to zdarzenie. Użytkownicy obejmują określone podmioty, takie jak usługa lokalna, usługa sieciowa i logowanie anonimowe, a także konta rzeczywistych użytkowników. Ta nazwa jest identyfikatorem klienta, jeśli zdarzenie zostało faktycznie wywołane przez proces serwera, lub identyfikatorem głównym, jeśli nie ma miejsca personifikacja. W niektórych przypadkach wpis w dzienniku zabezpieczeń zawiera oba identyfikatory. A także w tym polu może być N/A (N/A), jeśli konto nie ma zastosowania w tej sytuacji. Personifikacja ma miejsce, gdy serwer zezwala jednemu procesowi na przypisanie atrybutów bezpieczeństwa innego procesu.

Kod roboczy— zawiera wartość liczbową określającą operację lub punkt w operacji, który wywołał zdarzenie. Na przykład inicjowanie lub zamykanie.

Czasopismo- nazwa dziennika, w którym zostało zarejestrowane to zdarzenie.

Kategoria i zadania- określa kategorię zdarzenia, czasami używaną do dalszego opisania ważnej akcji. Każde źródło zdarzenia ma swoje własne kategorie. Na przykład następujące kategorie to: logowanie/wylogowanie, korzystanie z uprawnień, zmiana zasad i zarządzanie kontem.

Słowa kluczowe to zestaw kategorii lub etykiet, których można używać do filtrowania lub wyszukiwania zdarzeń. Na przykład: „Sieć”, „Zabezpieczenia” lub „Nie znaleziono zasobu”.

Komputer- identyfikuje nazwę komputera, na którym wystąpiło zdarzenie. Jest to zwykle nazwa komputera lokalnego, ale może to być również nazwa komputera, który przesłał zdarzenie, lub nazwa komputera lokalnego przed zmianą.

Data i godzina- określa datę i godzinę wystąpienia tego zdarzenia w logu.

Identyfikator procesu- reprezentuje numer identyfikacyjny procesu, który wygenerował to zdarzenie. Program komputerowy jest tylko pasywnym zbiorem instrukcji, podczas gdy proces jest bezpośrednim wykonaniem tych instrukcji.

Identyfikator wątku- reprezentuje numer identyfikacyjny wątku, który utworzył to zdarzenie. Proces utworzony w systemie operacyjnym może składać się z kilku wątków działających „równolegle”, to znaczy bez określonej kolejności w czasie. W przypadku niektórych zadań ten rozdział może zapewnić bardziej efektywne wykorzystanie zasobów komputera.

Identyfikator procesora- reprezentuje numer identyfikacyjny procesora, który przetworzył zdarzenie.

Kod sesji to numer identyfikacyjny sesji na serwerze terminali, w której wystąpiło zdarzenie.

Czas jądra Określa czas spędzony na wykonywaniu instrukcji trybu jądra, w jednostkach czasu procesora. Tryb jądra ma nieograniczony dostęp do pamięci systemowej i urządzeń zewnętrznych. Jądro systemu NT nazywa się jądrem hybrydowym lub makrojądrem.

Czas pracy w trybie użytkownika Określa czas spędzony na wykonywaniu instrukcji trybu użytkownika w jednostkach czasu procesora. Tryb użytkownika składa się z podsystemów, które przekazują żądania we/wy do odpowiedniego sterownika trybu jądra za pośrednictwem menedżera we/wy.

Obciążenie procesora to czas spędzony na wykonywaniu instrukcji trybu użytkownika w taktach procesora.

Kod korelacji — identyfikuje akcję w procesie, dla którego zdarzenie jest używane. Ten kod służy do określania prostych relacji między zdarzeniami. Korelacja to statystyczna zależność między co najmniej dwiema zmiennymi losowymi (lub zmiennymi, które można uznać za takie z pewnym akceptowalnym stopniem dokładności). Jednocześnie zmiany jednej lub więcej z tych wielkości prowadzą do systematycznej zmiany innych lub innych wielkości.

Względny identyfikator korelacji- określa względną akcję w procesie, w którym zdarzenie jest wykorzystywane;

Praca z dziennikami zdarzeń:

Podgląd zdarzeń
Aby wyświetlić zdarzenia dziennika aplikacji, wykonaj następujące kroki:
W drzewie konsoli wybierz „Dzienniki systemu Windows”;
Wybierz dziennik aplikacji.

Dobrym pomysłem jest częste przeglądanie dzienników zdarzeń aplikacji i systemu oraz szukanie istniejących problemów i ostrzeżeń, które mogą zwiastować problemy w przyszłości. Po wybraniu dziennika w środkowym oknie wyświetlane są dostępne zdarzenia, w tym data zdarzenia, godzina i źródło, poziom zdarzenia i inne.

Panel Viewport pokazuje podstawowe dane o zdarzeniach na karcie Ogólne oraz dodatkowe dane szczegółowe na karcie Szczegóły. Możesz włączać i wyłączać ten panel, wybierając menu Widok, a następnie polecenie Rzutnia.

W przypadku systemów krytycznych zaleca się prowadzenie dzienników z ostatnich kilku miesięcy. Z reguły przypisywanie logom takiej wielkości, aby wszystkie informacje się w nich mieściły, jest niewygodne, z reguły problem ten można rozwiązać w inny sposób. Dzienniki można eksportować do plików znajdujących się w określonym folderze. Aby zapisać wybrany dziennik, wykonaj następujące czynności:

W drzewie konsoli wybierz dziennik zdarzeń, który chcesz zapisać;
Wybierz polecenie „Zapisz zdarzenia jako” z menu „Akcja” lub wybierz polecenie „Zapisz wszystkie zdarzenia jako” z menu kontekstowego dziennika;
W wyświetlonym oknie dialogowym „Zapisz jako” wybierz folder, w którym plik ma zostać zapisany. Jeśli chcesz zapisać plik w nowym folderze, możesz go utworzyć bezpośrednio z tego okna dialogowego, korzystając z menu kontekstowego lub przycisku „Nowy folder” na pasku akcji. W polu „Typ pliku” wybierz żądany format pliku z dostępnych: pliki zdarzeń - *.evtx, plik xml - *.xml, tekst oddzielony tabulatorami - *.txt, csv oddzielony przecinkami - *.csv. Wpisz nazwę w polu „Nazwa pliku” i kliknij przycisk „Zapisz”. Aby anulować zapisywanie, kliknij przycisk „Anuluj”;
Jeśli dziennik zdarzeń nie jest przeznaczony do przeglądania na innym komputerze, pozostaw domyślną opcję „Nie wyświetlaj informacji” w oknie dialogowym „Wyświetl szczegóły”, a jeśli dziennik ma być wyświetlany na innym komputerze, w „ Wyświetl szczegóły" w oknie dialogowym " wybierz opcję "Wyświetl informacje dla następujących języków" i kliknij przycisk "OK".

Czyszczenie dziennika zdarzeń

Czasami konieczne jest wyczyszczenie pełnych dzienników zdarzeń, aby zapewnić skuteczną analizę ostrzeżeń systemu operacyjnego i błędów krytycznych. Aby wyczyścić wybrany dziennik, wykonaj następujące czynności:
W drzewie konsoli wybierz dziennik zdarzeń, który chcesz wyczyścić;
Wyczyść dziennik w jeden z następujących sposobów:
Z menu Akcja wybierz Wyczyść dziennik

W wybranym dzienniku kliknij prawym przyciskiem myszy, aby otworzyć menu kontekstowe. W menu kontekstowym wybierz polecenie „Wyczyść dziennik”
Następnie możesz wyczyścić dziennik lub zarchiwizować go, jeśli nie zostało to zrobione wcześniej:
Aby wyczyścić dziennik zdarzeń bez zapisywania, kliknij przycisk „Wyczyść”;
Aby wyczyścić dziennik zdarzeń po jego zapisaniu, kliknij przycisk „Zapisz i wyczyść”. W wyświetlonym oknie dialogowym „Zapisz jako” wybierz folder, w którym plik ma zostać zapisany. Jeśli chcesz zapisać plik w nowym folderze, możesz go utworzyć bezpośrednio z tego okna dialogowego, korzystając z menu kontekstowego lub przycisku „Nowy folder” na pasku akcji. Wpisz nazwę w polu „Nazwa pliku” i kliknij przycisk „Zapisz”. Aby anulować zapisywanie, kliknij przycisk „Anuluj”.

Ustawianie maksymalnego rozmiaru dziennika

Jak wspomniano powyżej, dzienniki zdarzeń są przechowywane jako pliki w folderze %SystemRoot%\System32\Winevt\Logs\. Domyślnie maksymalny rozmiar tych plików jest ograniczony, ale możesz go zmienić w następujący sposób:

Wybierz polecenie „Właściwości” z menu „Działanie” lub z menu kontekstowego wybranego dziennika

W polu „Maksymalny rozmiar dziennika (KB)” ustaw wymaganą wartość za pomocą licznika lub ustaw ją ręcznie bez korzystania z licznika. W takim przypadku wartość zostanie zaokrąglona w górę do najbliższej wielokrotności 64 KB, ponieważ rozmiar pliku dziennika musi być wielokrotnością 64 KB i nie może być mniejszy niż 1024 KB.
Zdarzenia są przechowywane w pliku dziennika, który może rozrosnąć się tylko do określonego maksymalnego rozmiaru. Gdy plik osiągnie maksymalny rozmiar, przetwarzanie przychodzących zdarzeń będzie określane przez zasady przechowywania dzienników. Dostępne są następujące zasady przechowywania dzienników:
Przepisz zdarzenia w razie potrzeby (najpierw stare pliki) - w takim przypadku nowe wpisy są nadal zapisywane w dzienniku po jego zapełnieniu. Każde nowe zdarzenie zastępuje najstarsze w dzienniku;

Dziennik archiwum, gdy jest pełny; nie przepisuj zdarzeń - w takim przypadku plik dziennika jest automatycznie archiwizowany w razie potrzeby. Nieaktualne wydarzenia nie są nadpisywane.

Nie zapisuj ponownie zdarzeń (ręczne czyszczenie dziennika) – w tym przypadku dziennik jest czyszczony ręcznie, a nie automatycznie.

Aby wybrać żądaną zasadę przechowywania dzienników, wykonaj następujące kroki:

W drzewie konsoli wybierz dziennik zdarzeń, którego rozmiar chcesz zmienić;
Wybierz polecenie „Właściwości” z menu „Akcja” lub z menu kontekstowego wybranego dziennika;
Na karcie „Ogólne” w sekcji „Po osiągnięciu maksymalnego rozmiaru” wybierz żądaną opcję i kliknij przycisk „OK”.
Włącz logowanie analityczne i debugowania

Dzienniki analityczne i debugowania są domyślnie wyłączone. Po aktywacji szybko wypełniają się dużą liczbą wydarzeń. Z tego powodu wskazane jest włączenie tych dzienników na określony czas w celu zebrania danych niezbędnych do rozwiązywania problemów, a następnie ponowne ich wyłączenie. Logi można aktywować w następujący sposób:

W drzewie konsoli znajdź i wybierz dziennik analityczny lub debugowania, który chcesz aktywować;
Wybierz polecenie „Właściwości” z menu „Akcja” lub z menu kontekstowego wybranego dziennika analitycznego lub debugowania;
Na karcie Ogólne zaznacz pole obok „Włącz rejestrowanie”

Otwieranie i zamykanie zapisanego dziennika

Możesz użyć przystawki Podgląd zdarzeń, aby otworzyć i wyświetlić wcześniej zapisane dzienniki. Możesz otworzyć wiele zapisanych dzienników jednocześnie i uzyskać do nich dostęp w dowolnym momencie w drzewie konsoli. Dziennik otwarty w Podglądzie zdarzeń można zamknąć bez usuwania zawartych w nim informacji. Aby otworzyć zapisany dziennik, wykonaj następujące czynności:

Wybierz polecenie „Otwórz zapisany dziennik” z menu „Akcja” lub z menu kontekstowego w drzewie konsoli;
W oknie dialogowym Otwórz zapisany dziennik przejdź przez drzewo katalogów, aby otworzyć folder zawierający żądany plik. Domyślnie wszystkie pliki dziennika zdarzeń będą wyświetlane w oknie dialogowym. Ponadto podczas otwierania możesz wybrać typ plików, które chcesz wyświetlić w otwartym oknie dialogowym. Dostępne typy plików to: pliki dziennika zdarzeń (*.evtx, *.evt, *.etl), a także pliki zdarzeń (*.evtx), starsze pliki zdarzeń (*.evt) lub pliki dziennika śledzenia (*.etl ). Po znalezieniu żądanego pliku dziennika wybierz go, klikając go lewym przyciskiem myszy, co spowoduje umieszczenie jego nazwy w wierszu do wpisania nazwy pliku i kliknij przycisk „Otwórz”

W oknie dialogowym Otwórz zapisany dziennik w polu Nazwa wprowadź nową nazwę, która będzie używana dla dziennika w drzewie konsoli. Jest używany tylko do reprezentowania dziennika w drzewie konsoli i nie zmienia nazwy pliku dziennika.Można również użyć istniejącej nazwy pliku dziennika. W polu Opis wprowadź opis dziennika. Zostanie wyświetlony w środkowym panelu, gdy nadrzędny folder dziennika zostanie podświetlony w drzewie konsoli;
Aby utworzyć folder, w którym będzie się znajdował zapisany dziennik, kliknij przycisk „Utwórz folder”. W polu Nazwa wprowadź nazwę folderu, który będzie zawierał otwarty dziennik, a następnie kliknij przycisk OK. Jeśli nie zostanie wybrany żaden folder nadrzędny, nowy folder zostanie umieszczony w folderze Zapisane dzienniki

Aby otwarty dziennik zdarzeń był niedostępny dla innych użytkowników komputera, możesz odznaczyć pole „Wszyscy użytkownicy”. Jeśli to pole wyboru pozostanie aktywne, otwarty dziennik będzie dostępny dla wszystkich użytkowników, ale do usunięcia go z drzewa konsoli będą wymagane uprawnienia administratora;
Aby otworzyć dziennik, kliknij przycisk „OK”.
Aby usunąć otwarty dziennik drzewa zdarzeń, wykonaj następujące czynności:

W drzewie konsoli wybierz dziennik, który chcesz usunąć;
Wybierz polecenie „Usuń” z menu „Działanie” lub z menu kontekstowego wybranego dziennika

W oknie „Przeglądarka zdarzeń” kliknij przycisk „Tak”.

Wniosek

W tej części artykułu o przystawce Podgląd zdarzeń przedstawiono samą przystawkę i szczegółowo opisano podstawowe operacje związane z monitorowaniem i konserwacją systemu za pomocą Podglądu zdarzeń.

Instrukcja

Zaloguj się z uprawnieniami administratora. Aby to zrobić, aktualny użytkownik musi być członkiem grupy Administratorzy lub uzyskać odpowiednie uprawnienia przez delegację. Jeśli komputer jest podłączony do , Tej procedury może to zrobić członkowie grupy Administratorzy domeny. W takim przypadku, aby zapewnić bezpieczeństwo, użyj polecenia „Uruchom jako”.

Przejdź do menu głównego, aby usunąć zdarzenia z dziennika, w tym celu kliknij przycisk „Start”, wybierz polecenie „Panel sterowania”, kliknij dwukrotnie ikonę „Narzędzia administracyjne”. W tym oknie wybierz ikonę „Przeglądarka zdarzeń” i kliknij ją dwukrotnie lub naciśnij przycisk Enter.

Otwórz okno Podglądu zdarzeń. W drzewie tej konsoli wybierz dziennik, który chcesz wyczyścić. Przejdź do menu „Akcja”, wybierz opcję „Wyczyść wszystkie zdarzenia”. Aby zapisać dziennik przed jego wyczyszczeniem, kliknij przycisk Tak. Jeśli dziennik jest przechowywany w pliku, nie można go w ten sposób wyczyścić. Aby wyczyścić dziennik, musisz usunąć plik, w którym jest przechowywany.

Usuń wpisy w systemie operacyjnym Windows 7. W tym celu przejdź do menu głównego i wybierz „Panel sterowania”, a następnie wybierz opcję „Administracja” z elementów panelu. Następnie wybierz polecenie administracyjne „Podgląd zdarzeń”.

Następnie otwórz „Konsolę zarządzania MMC”, w tym celu kliknij przycisk „Start”, wpisz Mmc w polu wyszukiwania, naciśnij Enter. Z menu Konsola wybierz opcję Dodaj lub usuń przystawkę lub naciśnij klawisze Crtl+M. W oknie dialogowym wybierz „Przeglądarka zdarzeń”, kliknij „Dodaj”, a następnie „Zakończ” i „OK”.

Kliknij Start, Uruchom, wpisz Eventvwr.msc. Następnie przejdź do menu „Akcja”, polecenie „Wyczyść dziennik”. Aby zapisać po czyszczeniu, wybierz Zapisz i wyczyść. Wprowadź nazwę pliku i kliknij przycisk „Zapisz”.

Powiązane wideo

Każda przeglądarka posiada funkcję naprawy odwiedzanych stron internetowych. Adres otwartej strony jest zapisywany w specjalnym pliku - czasopismo i zostaje zapisany. Tę funkcję można zmienić lub wyłączyć.

Instrukcja

Oczyścić czasopismo w Enternet Explorer musisz otworzyć pozycję menu "Narzędzia". Wybierz „Opcje internetowe”. Okno dialogowe otworzy się na karcie Ogólne. Na dole znajduje się sekcja „Dziennik”. Kliknij przycisk „Wyczyść”. Aby całkowicie wyłączyć tę funkcję czasopismo a, ustaw wartość w pozycji "Ile dni przechowywać linki" na "0". Kliknij przycisk OK.

W przeglądarce Opera kliknij ikonę „Opera” w lewym górnym rogu. Wybierz Ustawienia, a następnie Ustawienia ogólne. W oknie, które zostanie otwarte, wybierz zakładkę „Zaawansowane”. Po lewej stronie zobaczysz listę przedmiotów. Wybierz „Historia”. W sekcji „Zapamiętaj odwiedzane adresy dla historii i autouzupełniania” w pozycji „Zapamiętaj adresy” znajduje się liczba zapamiętanych adresów internetowych. Możesz ustawić wartość na „0”. Pod tą pozycją znajduje się wiersz „Zapamiętaj zawartość odwiedzanych stron”. Jeśli chcesz wyłączyć tę funkcję czasopismo i odznacz to pole. Następnie kliknij przycisk „Wyczyść”, a następnie „OK”.

W Mozilla Firefox wybierz górne menu "Narzędzia", ​​a następnie pozycję "Ustawienia". W oknie dialogowym Ustawienia kliknij kartę Prywatność. W sekcji "Historia" w pierwszym akapicie "Zapamiętaj adresy stron internetowych odwiedzanych w ciągu ostatnich... dni" ustaw wartość "0". Odznacz ten element, stanie się nieaktywny. Ponadto, jeśli nie chcesz, aby dane wprowadzone w wyszukiwarce zostały zapisane, odznacz pole „Zapamiętaj dane wprowadzone w formularzach i panelu wyszukiwania”. Kliknij przycisk OK.

W wyszukiwarce Google Chrome kliknij ikonę klucza w prawym górnym rogu. Wybierz "Narzędzia" - "Wyczyść dane przeglądania". W oknie " Wyczyść dane"Wybierz czas, dla którego chcesz wyczyścić czasopismo(od ostatniej godziny do łącznego czasu wizyt). Zaznacz pole „Wyczyść” i kliknij przycisk „Wyczyść dane przeglądania”.

System operacyjny Windows 7 ma usługi specjalne umożliwiając monitorowanie wszystkich wydarzenia w systemie komputerowym. Zobacz aplikację wydarzenia„ to przystawka Microsoft Management Console (MMC) do przeglądania i zarządzania czasopisma wydarzenia.

Będziesz potrzebować

• System Windows 7.

Instrukcja

Naciśnij przycisk „Start”, aby wywołać menu główne i przejdź do „panelu sterowania”.

Wybierz „Administracja” z listy komponentów i wybierz „Widok wydarzenia».

Wróć do menu głównego i wprowadź wartość mmc w polu paska wyszukiwania, aby wywołać "Konsolę zarządzania MMC".

Potwierdź wykonanie polecenia, naciskając przycisk Enter.

Wybierz polecenie „Dodaj lub usuń przystawkę” z menu, które otwiera pustą „Konsolę zarządzania MMC”.

Określ przystawkę „Widok wydarzenia w oknie dialogowym Dodaj/Usuń przystawki i kliknij przycisk Dodaj.

Potwierdź wykonanie polecenia, naciskając przycisk „Zakończ”.

Naciśnij przycisk OK, aby potwierdzić swój wybór.

Wybierz żądany magazyn wydarzenia by to uratować.

Określ folder, w którym chcesz zapisać wybrany plik w oknie dialogowym Zapisz jako. Wybierz żądany format zapisu pliku w polu Typ pliku i wprowadź nazwę zapisanego pliku w polu Nazwa pliku.

Wróć do menu „Akcja”, aby przeprowadzić operację wyczyszczenia danych dziennika.

Określ polecenie „Wyczyść dziennik”.

Wywołaj menu kontekstowe, klikając prawym przyciskiem myszy wiersz wybranego dziennika i wybierz „Wyczyść dziennik”.

Kliknij przycisk „Wyczyść”, aby wyczyścić dziennik bez zapisywania.
Kliknij przycisk „Zapisz i wyczyść”, aby zarchiwizować dane, a następnie usunąć wpisy dziennika. W takim przypadku określ folder do zapisywania danych dziennika w oknie dialogowym Zapisz jako i wprowadź nazwę w polu Nazwa pliku.

Uwaga

Użyj skrótu klawiaturowego Microsoft Icon+K, aby otworzyć okno dialogowe Uruchom, wprowadź eventvwr.msc w polu Otwórz, a następnie kliknij przycisk OK, aby otworzyć aplikację Podgląd zdarzeń.

Pomocna rada

Główne zastosowania Podglądu zdarzeń to: przeglądanie zdarzeń w wybranych dziennikach, stosowanie filtrów zdarzeń, tworzenie subskrypcji zdarzeń i przypisywanie określonych akcji, które mają zostać podjęte w przypadku wystąpienia określonego zdarzenia.

Źródła:

• asusfans.ru
• gdzie znaleźć dziennik zdarzeń

Dość często użytkownicy systemów operacyjnych używają „ czasopismo wydarzenia”. Ta aplikacja pozwala śledzić awarie, błędy i awarie w systemie. To narzędzie może służyć do przeprowadzania diagnostycznych kontroli kondycji, ale w niektórych przypadkach nie jest potrzebne, więc należy je usunąć jako dodatkowy składnik.

Będziesz potrzebować

• Praca z apletem Podgląd zdarzeń.

Instrukcja

O istnieniu czasopismo a wydarzenia w systemie operacyjnym Windows nie wszyscy użytkownicy wiedzą. Można powiedzieć, że aby dostać się do tego komponentu, trzeba dogłębnie przestudiować system. Jest to dość łatwe do znalezienia, jeśli korzystasz z systemu Windows 7 lub Windows Vista. Otwórz menu Start, aktywuj pasek wyszukiwania i wpisz polecenie „Widok wydarzenia”. Wybierz pierwszą linię w wynikach wyszukiwania i kliknij ją.

Zobaczysz aplet przeglądarki. wydarzenia”. Ten składnik jest również nazywany przystawką Podgląd. wydarzenia”. Przed usunięciem „ czasopismo wydarzenia”, należy go najpierw otworzyć lub utworzyć (w niektórych przypadkach opcja pracy) czasopismo ale wyłączone). Otworzyć czasopismo i kliknij górne menu "Akcja", z rozwijanej listy menu wybierz pozycję "Otwórz zapisane czasopismo».

W otwartym oknie „Otwórz zapisane czasopismo» znajdź plik « czasopismo a wydarzenia”. Użyj paska bocznego Eksploratora plików, aby szybko znaleźć potrzebny plik. Warto zauważyć, że domyślnie system oferuje otwarcie kilku rozszerzeń, z których nie każdemu odpowiada czasopismo tak. W oknie dialogowym zobaczysz pliki w następujących formatach - evtx, evt i etl. rozszerzenie evtx - pliki wydarzenia, rozszerzenie evt - przestarzałe pliki wydarzenia rozszerzenie etl - pliki czasopismo i ślady.

Po wybraniu żądanego pliku kliknij przycisk „Otwórz” w prawym dolnym rogu okna dialogowego. Aby usunąć ostatnio otwarty czasopismo wydarzenia, musisz iść do swojego czasopismo tak. Kliknij ikonę trójkąta obok Zapisane czasopismo s” po lewej stronie okna, a następnie „Folder z zapisanymi czasopismo Jestem". Wewnątrz tego folderu będzie wszystko czasopismo s, które zostały utworzone przez system.

Wybierz czasopismo wydarzenia, obok której znajduje się ikona dyskietki. Kliknij prawym przyciskiem myszy wybrany element. Wybierz „Usuń” z menu kontekstowego. W oknie, które się otworzy, jako potwierdzenie operacji usunięcia kliknij przycisk „Tak”.

Każda przeglądarka internetowa przechowuje historię przeglądania Internetu przez użytkowników. Być może wolisz zachować tę sprawę w tajemnicy. W takim przypadku musisz wyczyścić czasopismo Odwiedziny.

Instrukcja

Jeśli używasz IE7, z menu Narzędzia wybierz Usuń czasopismo” i kliknij „Usuń historię” w sekcji „Historia”. W tym oknie możesz usunąć pliki cookie, tymczasowe pliki internetowe i inne dane utworzone podczas odwiedzania różnych stron internetowych.

Do czyszczenia czasopismo aw IE8 uruchom przeglądarkę z menu Start i przejdź do zakładki Bezpieczeństwo. Wybierz polecenie „Usuń czasopismo... ”. Jeśli chcesz zapisywać pliki cookie i dane z niektórych witryn, zaznacz pole „Zachowaj dane z wybranych witryn”. Zaznacz pola obok danych, które chcesz usunąć dysk twardy i kliknij Usuń.

Oczyścić czasopismo odwiedza Mozilla Firefox powyżej wersji 3, użyj polecenia „Wyczyść najnowszą historię” z menu „Narzędzia”. W oknie „Wyczyść” kliknij strzałkę i z listy rozwijanej wybierz przedział czasu, który wymaga czyszczenia czasopismo a. Rozwiń listę „Szczegóły”, klikając strzałkę i zaznacz pole danych, które chcesz usunąć. Kliknij „Wyczyść teraz”.