Где находится журнал системных событий windows 7. Просмотр событий в Windows Vista

Со мною вот что происходит:

ко мне мой юзер не приходит,

а ходят в праздной суете

разнообразные не те…

Что такое журнал событий

Всё, что происходит на под управлением Windows (клик , нажатие клавиши, запуск программы…), – это события (events ). Наиболее важные (с точки зрения Windows !) события (например, неполадки оборудования, приложений и системы) фиксируются операционной системой в так называемых журналах событий .

Как просмотреть журналы событий

Windows Vista+ : Пуск –> Панель управления –> Администрирование –> Просмотр событий .

Windows XP : Пуск –> Настройка –> Панель управления –> Администрирование –> Просмотр событий (или Пуск –> Выполнить –> в окне Запуск программы в текстовое поле Открыть введите eventvwr.msc /s –> нажмите OK ).

Основные виды журналов:

– журнал приложений (содержит данные, относящиеся к работе приложений и программ. Записи этого журнала создаются самими приложениями. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений);

– журнал безопасности (содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например, о создании, открытии и удалении файлов и других объектов. Решение о событиях, сведения о которых заносятся в журнал безопасности, принимает администратор. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности);

– журнал системы (содержит записи о событиях, внесенные компонентами операционной системы Windows . Например, в журнале системы регистрируются сбои при загрузке или других системных компонентов при запуске системы).

В окне «Просмотр событий» отображаются события следующих типов :

– ошибка (серьезные трудности, например, потеря данных или функциональности. Если происходит сбой загрузки службы при запуске, в журнал заносится сообщение об ошибке. Записи об ошибках отмечаются кругом с крестиком внутри);

– предупреждение (события, которые в момент записи в журнал не были существенными, но могут привести к сложностям в будущем. Например, если на диске осталось мало свободного места, в журнал заносится предупреждение. Предупреждения отмечаются треугольником с восклицательным знаком);

– уведомление (событие, описывающее удачное завершение действия приложением, или службой. Например, после успешной загрузки в журнал заносится событие уведомления. Уведомления отмечаются кругом с «хвостиком» и буквой «i» внутри);

– аудит успехов (событие, соответствующее успешно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае успешного входа пользователя в систему, в журнал заносится событие с типом «Аудит успехов»);

– аудит отказов (событие, соответствующее неудачно завершённому действию, связанному с поддержкой безопасности системы. Например, в случае неудачной попытки доступа пользователя к сетевому диску в журнал заносится событие типа «Аудит отказов»).

Как использовать журналы событий для устранения неполадок

Тщательный анализ журналов событий помогает предотвратить неполадки в работе системы и определить причины их возникновения. Например, если в журнале присутствует предупреждение о том, что диска удаётся считать или записать какой-либо сектор только после нескольких попыток, то, возможно, этот сектор скоро станет непригодным для использования.

Журналы могут также помочь в разрешении вопросов, связанных с работой приложений. Например, если какая-то программа аварийно завершается, в журнале приложений, как правило, присутствуют записи о событиях, которые приводят к этому.

Чтение журналов событий – святая (ежедневная!) обязанность программистов и системных администраторов. Зачастую и рядовому пользователю просмотр этих журналов может сильно облегчить жизнь, сделав общение с под управлением Windows более приятным и продуктивным!

Примечания

1. Служба журналов событий запускается автоматически при запуске Windows .

Любая современная ОС с графическим интерфейсом основана на событиях. То же самое касается и программного обеспечения, для таких ОС разработанного. Событие – краеугольный камень этой инфраструктуры. Под событиями понимаются не только интерактивные действия пользователя, но и результаты разнообразных системных процессов, скрытых от глаз нажимающего на кнопки и щелкающего по клавишам оператора системы.

События бывают встроенные, то есть такие, что предопределены архитектурой, и создаваемые администратором или разработчиком. В нашей статье мы рассмотрим классификацию событий в Windows, средства их журналирования и просмотра, а также методы работы с ними.

Интерфейс для просмотра произошедших в системе событий носит название «системного журнала». Записи в журнале создаются в результате некоторых действий программ или пользователей, зарезервированных ОС в качестве событий. Разумеется, не каждое действие фиксируется в журнале. Для этого их слишком много.

Например, передвижение мыши хотя бы на один пиксель, уже порождает программное исключение и потенциально может обрабатываться «операционкой», что, в сущности, и происходит – такие действия в журнал не попадают. А вот предупреждения системы безопасности – протоколируются, так как составляют критически важные сведения.

Windows допускает тонкую настройку перечня критически важных системных исключений. До некоторой степени вы сами вольны решать, что именно протоколировать, а без какой информации можно и обойтись. Чтобы дать вам представления об этом, перечислим некоторые из стандартных операций с журналом:

Просмотр перечня событий.
Фильтрация перечня по определенным критериям.
Создание «триггеров» реакций на процессы в системе – так называемая «подписка».
Назначение типа реакции на то или иное событие.

Как осуществить просмотр?

Чтобы осуществлять просмотр содержимого журнала, нужно запустить соответствующее приложение. Делается это так:

Переходим в меню «Пуск» => «Панель управления».
Выбираем раздел «Администрирование».
В этом разделе щелкаем по имени компоненты «Просмотр событий».
Запустится программа с окном характерного вида – так называемая «оснастка». Эта оснастка и есть визуальный интерфейс для нашего протокола.

Того же самого можно добиться, если в окошке «Выполнить» (вызывается из того же меню «Пуск») набрать команду mmc. Эта команда запустит общий интерфейс для всех оснасток, в котором нужно будет перейти в меню «Консоль» => «Добавить или удалить оснастку» и из перечня всех оснасток вызвать нужную. В седьмой версии Windows все это проделывается так же, как и в предыдущей. Окошко «Выполнить» можно вызвать и при помощи клавиатурной комбинации «Win» + «R» - результат будет тем же. По итогу наших манипуляций появится окно такого вида:

Классификация событий ОС

Далее мы приведем классификацию записей в журнале по их значению для пользователя. События делятся на те, что генерируются самой операционной системой, и те, что исходят от приложений и служб. Однако такая классификация не учитывает смысла фиксируемых явлений. Более подробная их группировка выглядит следующим образом:

Все данные хранятся в популярном формате XML, поэтому для их чтения и обработки необходима оболочка наподобие журнала событий. Непосредственный просмотр событий в системе Windows 7 в файлах хотя и возможен, но крайне затруднителен. Однако заниматься этим нет нужды, так как журнал событий Windows 7 делает это за нас.

Параметры записей

Каждая запись в журнале ОС Windows имеет единообразный набор параметров, характеризующих ее свойства: указатель на источник происхождения, специальный идентифицирующий код, степень критичности и многие другие.

Операционная система Windows Vista тщательно и неустанно следит за всем, что с ней происходит. Абсолютно все действия, которые называются «событиями», постоянно фиксируются и распределяются по различным категориям. Программу Просмотр событий (которая является, если вам интересно, оснасткой MMC) можно представить в качестве журнала, который ведет скрупулезная и въедливая старушка на скамейке у подъезда. Она фиксирует, кто входит в дом и выходит из него, какие ведутся разговоры между жильцами, кто с кем развелся и подрался. Иными словами, имеет полную картину того, чем живет дом.

Подобную функцию соглядатая и выполняет программа Просмотр событий, которая, в отличие от любопытства старушки, предназначена для диагностики и выявления тех проблем в работе ОС, о которых пользователь и не догадывался.

Все события, происходящие в системе, записываются в специальных системных журналах. Программа Просмотр событий позволяет просматривать содержимое этих журналов, архивировать и удалять их. Как именно можно использовать данную программу? Основное предназначение - выявлять возникшие проблемы и причину их появления. Если произошел сбой в работе устройства, жесткий диск «забился под завязку», какая-то программа постоянно «зависает» или произошло другое неприятное событие, информация об произошедшем будет зафиксирована в соответствующем системном журнале. Далее достаточно запустить Просмотр событий и получить полную и наглядную информацию из системного журнала.

Запустить программу Просмотр событий можно одним из следующих способов.

Выберите команду Пуск>Панель управления , щелкните на ссылке Система и ее обслуживание , затем на ссылке Администрирование и, наконец, на ссылке Просмотр событий .
Второй способ для нетерпеливых: введите в командной строке команду eventvwr .

Напомним, что, кроме щелчка на кнопке Пуск , вызвать окно командной строки можно, нажав комбинацию клавиш . Также не забывайте, что для использования всех возможностей инструмента Просмотр событий требуются административные права доступа.

В любом случае откроется окно, показанное далее.

Просмотр событий из нескольких системных журналов.
Создание фильтров событий в виде настраиваемых представлений.
Возможность создать задачу, выполняемую автоматически с определенным событием.

Рассмотрим более внимательно окно, показанное выше. Окно разделено на три панели. На левой панели Просмотр событий представлено несколько папок, содержащих настраиваемые представления, журналы и подписки. На центральной панели содержится несколько вложенных меню, таких как и Недавно просмотренные узлы . Наконец, на правой панели Действия можно выбрать определенные действия, например, создать настраиваемое представление или подключиться к другому компьютеру.

Панель позволяет быстро выявить все важные события, зафиксированные за прошедший час, день или неделю. Каждый тип события можно раскрыть, чтобы узнать подробную информацию о событии. Панель дает общую картину происходящего в системе, а для получения конкретной информации следует перейти к определенному событию.

Поскольку программа Просмотр событий используется для просмотра системных журналов, щелкните на значках в виде папок и Журналы приложений и служб на левой панели, чтобы раскрыть список доступных журналов. Рассмотрим его более подробно. В папке представлены следующие журналы.

Приложение . События в данном журнале генерируются приложениями, включая установленные программы, поставляемые с Windows Vista, и службы операционной системы. То, какие именно события записываются в данном журнале, зависит от конкретной программы.
Безопасность . В этом журнале перечислены попытки пользователей зайти в систему (удачные и неудачные), а также действия, связанные с общедоступными ресурсами, такие как действия по созданию, изменению или удалению файлов или папок.
Настройки . События в данном журнале создаются при установке программ.
Система . Системные события генерируются самой Windows и устанавливаемыми компонентами, такими как драйверы устройств. Журнал удобно использовать для обнаружения драйверов, в загрузке которых при запуске Windows произошел сбой.
Пересланные события . В этом журнале можно найти события, собранные с других компьютеров в сети.

В папке Журналы приложений и служб можно найти записи для отдельных приложений и служб. В то время как в других журналах представлены общие записи, в этом журнале можно найти сведения о работе конкретных программ. Обратите внимание на вложенную папку Microsoft, в которой, в свою очередь, расположена вложенная папка Windows. В этой папке можно найти записи для самых разнообразных компонентов Windows Vista, представленных в отдельных папках.

Инструкция

Войдите в систему с правами администратора. Для этого нужно, чтобы ваш текущий пользователь входил в группу «Администраторы», либо получите соответствующие полномочия путем проведения делегирования. Если компьютер является присоединенным к , данную процедуру могут проводить члены группы «Администраторы домена». При этом для обеспечения безопасности используйте команду «Запуск от имени».

Перейдите в главное меню, чтобы удалить события из журнала, для этого щелкните по кнопке «Пуск», выберите команду «Панель управления», дважды щелкните по значку «Администрирование». В данном окне выберите значок «Просмотр событий» и щелкните по нему дважды, либо нажмите кнопку Enter.

Откройте окно «Просмотр событий». В дереве данной консоли выберите журнал, который требуется очистить. Перейдите в меню «Действие», выберите опцию «Стереть все события». Для сохранения журнала перед очисткой щелкните по кнопке «Да». Если журнал сохранен в файле, его невозможно будет очистить таким образом. Для очистки журнала необходимо удалить файл, в котором он хранится.

Выполните удаление записей в операционной системе Windows 7. Для этого перейдите в главное меню и выберите «Панель управления», далее выберите из компонентов панели опцию «Администрирование». Далее выберите административную команду «Просмотр событий».

Далее откройте «Консоль управления ММС», для этого щелкните по кнопке «Пуск», введите в поле поиска Mmc, нажмите Enter. В меню «Консоль» выберите опцию «Добавить или удалить оснастку» либо нажмите комбинацию клавиш Crtl+M. В диалоговом окне выберите «Просмотр событий», Нажмите «Добавить», далее «Готово» и «ОК».

Щелкните «Пуск», «Выполнить», введите Eventvwr.msc. Далее перейдите в меню «Действие» команду «Очистить журнал». Для сохранения после очистки выберите «Сохранить и очистить». Введите имя файла и щелкните по кнопке «Сохранить».

Видео по теме

В каждом браузере существует функция фиксирования посещенных веб-сайтов. Адрес открытой страницы записывается в специальный файл – журнал , и сохраняется. Эту функцию можно изменить или отключить.

Инструкция

Чтобы очистить журнал в Enternet Explorer нужно открыть пункт меню «Сервис». Выбрать пункт «Свойства обозревателя». Диалоговое окно откроется на вкладке «Общие». Внизу находится раздел «Журнал». Нажмите кнопку «Очистить». Чтобы полностью отключить функцию журнал а, выставите значение в пункте «Сколько дней хранить ссылки» на «0». Нажмите кнопку «Ок».

В браузере Opera нажмите на значок «Opera» в верхнем левом углу. Выберите пункт «Настройки», затем «Общие настройки». В открывшемся окне выберите вкладку «Расширенные». Слева вы увидите список пунктов. Выберите пункт «История». В разделе «Запоминать посещенные адреса для истории и автозаполнения» в пункте «Помнить адресов» стоит количество запоминаемых веб-адресов. Вы можете поставить значение «0». Под этим пунктом находится строка «Помнить содержимое посещенных страниц». Если вам нужно отключить функцию журнал а снимите галочку с этого пункта. Далее нажмите кнопку «Очистить», затем «Ок».

В Mozilla Firefox выберите верхнее меню «Инструменты», далее пункт «Настройки». В диалоговом окне «Настройки» откройте вкладку «Приватность». В разделе «Журнал посещений» в первом пункте «Запоминать адреса веб-страниц, посещенных за последние … дней» выставите значение «0». Снимите галочку с этого пункта, он станет не активным. Также, если вы не хотите чтобы сохранялись данные, введенные в строку поиска, снимите галочку с пункта «Запоминать введенные в формы и панель поиска данные». Нажмите кнопку «Ок».

В браузере Google Chrome нажмите на значок в виде гаечного ключа в верхнем правом углу. Выберите пункт «Инструменты» – «Удаление данных о просмотренных страницах». В окне «Очистить данные » выберите время за которое вы хотите очистить журнал (от последнего часа до всего времени посещений). Поставьте галочку на пункт «Очистить » и нажмите кнопку «Удалить данные о просмотренных страницах».

Операционная система Windows 7 располагает специальной службой, позволяющей производить мониторинг всех событий в системе компьютера. Приложение «Просмотр событий » - это оснастка консоли управления Microsoft (MMC) для просмотра и управления журналами событий .

Вам понадобится

Windows 7.

Инструкция

Нажмите кнопку «Пуск» для вызова главного меню и перейдите в «панель управления».

Выберите «Администрирование» из списка компонентов и укажите пункт «Просмотр событий ».

Вернитесь в главное меню и введите значение mmc в поле строки поиска для вызова «Консоль управления MMC».

Подтвердите выполнение команды нажатием кнопки Enter.

Выберите команду «Добавить или удалить оснастку» в меню открывшейся пустой «Консоль управления MMC».

Укажите оснастку «Просмотр событий » в диалоговом окне «Добавление и удаление оснасток» и нажмите кнопку «Добавить».

Подтвердите выполнение команды нажатием кнопки «Готово».

Нажмите кнопку OK для подтверждения своего выбора.

Выберите нужный журнал событий для его сохранения.

Укажите папку для сохранения выбранного файла в диалоговом окне «Сохранить как». Выберите желаемый формат сохранения файла в поле «Тип файла» и введите имя сохраняемого файла в поле «Имя файла».

Вернитесь в меню «Действие» для проведения операции очистки данных журнала.

Укажите команду «Очистить журнал».

Вызовите контекстное меню правым кликом мыши на строку выбранного журнала и выберите «Очистить журнал».

Нажмите кнопку «Очистить» для очистки журнала без сохранения.
Нажмите кнопку «Сохранить и очистить» для архивации данных с последующим удалением записей журнала. В этом случае укажите папку для сохранения данных записей журнала в диалоговом окне «Сохранить как» и введите имя в поле «Имя файла».

Обратите внимание

Используйте сочетание клавиш Значок Microsoft+К для вызова диалогового окна «Выполнить», введите значение eventvwr.msc в поле «Открыть» и нажмите кнопку OK для вызова приложения «Просмотр событий».

Полезный совет

Основными применениями программы «Просмотр событий» служат: просмотр событий выбранных журналов, применение фильтров событий, создание подписок на события и назначение выполнения конкретных действий на возникновение определенного события.

Источники:

Asusfans.ru
где найти журнал событий

Довольно часто пользователями операционных систем используется «журнал событий ». Это приложение позволяет отслеживать сбои, ошибки и неполадки в работе системы. При помощи этого инструмента можно производить диагностические проверки на работоспособность, но в некоторых случаях он не нужен, поэтому его приходится удалять, как лишний компонент.

Вам понадобится

Работа с апплетом «Просмотр событий».

Инструкция

Про существование журнал а событий в операционной системе Windows знают далеко не все пользователи. Можно сказать, что нужно углубленно изучать систему, чтобы добраться до этого компонента. Хотя найти его довольно просто, если вы работаете на Windows 7 или Windows Vista. Откройте меню «Пуск», активируйте строку поиска и введите команду «Просмотр событий ». В результатах поиска выберите первую строчку и нажмите на нее.

Перед вами появится апплет «Просмотр событий ». Также этот компонент называют оснасткой «Просмотр событий ». Прежде чем удалить «журнал событий », его следует сначала открыть или создать (в некоторых случаях опция работы журнал а отключена). Для открытия журнал а нажмите верхнее меню «Действие», из выпавшего списка меню выберите пункт «Открыть сохраненный журнал ».

В открывшемся окне «Открыть сохраненный журнал » найдите файл «журнал а событий ». Для быстрого поиска нужного файла используйте боковую панель проводника. Стоит отметить, по умолчанию система предлагает открыть нескольких расширений, из которых не каждое соответствует журнал у. В диалоговом окне вы увидите файлы следующих форматов - evtx, evt и etl. Расширение evtx – файлы событий , расширение evt – устаревшие файлы событий расширение etl – файлы журнал а трассировки.

Выбрав нужный файл, нажмите кнопку «Открыть» в правом нижнем углу диалогового окна. Чтобы удалить открытый недавно журнал событий , необходимо перейти к вашему журнал у. Нажмите на значок треугольника рядом с папкой «Сохраненные журнал ы» в левой части окна, затем «Папка с сохраненными журнал ами». Внутри этой папки будут находиться все журнал ы, которые были созданы системой.

Выберите журнал событий , напротив которого размещается значок дискеты. Нажмите правой кнопкой по выбранному элементу. Из контекстного меню выберите пункт «Удалить». В открывшемся окне, в качестве подтверждения операции удаления, нажмите кнопку «Да».

Каждый веб-браузер хранит историю путешествий пользователей по интернету. Возможно, вы предпочли бы сохранить конфиденциальность в этом вопросе. В таком случае, вам нужно очистить журнал посещений.

Инструкция

Если вы используете IE7, в меню «Сервис» выбирайте опцию «Удалить журнал » и нажмите «Удалить историю» в разделе «Журнал». В этом окне вы можете удалить куки, временные файлы интернета и прочие данные, созданные при посещении различных веб-узлов.

Для очистки журнал а в IE8 запустите браузер из меню «Пуск» и перейдите во вкладку «Безопасность». Выбирайте команду «Удалить журнал …». Если вы хотите сохранить куки и данные некоторых веб-узлов, отметьте флажком пункт «Сохранить данные избранных веб-узлов». Отметьте флажками те данные, от которых хотите очистить жесткий диск, и нажмите «Удалить».

Чтобы очистить журнал посещений Mozilla Firefox выше 3-ей версии, используйте команду «Стереть недавнюю историю» из меню «Инструменты». В окне «Очистить» нажмите на стрелку и выбирайте из раскрывающегося списка временной интервал, который требует очистки журнал а.Раскройте список «Подробности», нажав на стрелку, и отметьте флажком данные, которые будете удалять. Нажмите «Очистить сейчас».

Здравствуйте, дорогие читатели, с вами снова Тришкин Денис.
Хотелось бы вам рассказать об одном интересном стандартном приложении в Windows. Корпорация Microsoft всегда отличалась тем, что в своих операционных системах она старалась реализовать высокую безопасность и быстродействие путем слежения за программами и различными движениями в системе. Конечно же это не всегда выходило. Одним из инструментов, позволяющих наблюдать за системой, является журнал событий Windows 7. Именно в нем регистрируются все некорректные установки и неудачные запуски программ. В нем все действия расположены в хронологическом порядке. Желательно время от времени заглядывать в этот реестр, чтобы вовремя реагировать на новую информацию.

увеличить

Приложение имеет следующие возможности:

создание реестра данных, которые в хронологическом порядке записаны в архив;

наличие специальных фильтров, позволяющих удобно просматривать и настраивать систему;

подписка на некоторые категории действий;

при появлении определенного рода действий можно задать последовательность.

Запуск программы ( )

Каталог можно открыть, как и многие другие системные утилиты. Он запускается так:

Описание ( )

Итак, узнав, где находится журнал, нужно теперь выяснить, что это такое. В Windows седьмой версии предусмотрено несколько реестров движений. Так, существует служебная база приложений и системный архив. Действие последнего направлено на запись всех происшествий, происходящий в операционке с программами. Первый нужен для запоминания изменений, которые прошли со служебными приложениями. Основной является вкладка «Просмотр », которая включает несколько пунктов:

Дополнительные пункты ( )

Кроме того, предусмотрены и дополнительные подразделения:

Описание событий ( )

Информацию в базе можно посмотреть, как и любую другую на компьютере. Но вместе тем, пользователь должен знать несколько основных определений, касающихся работы приложения:

Помимо этого, в реестре событий предусмотрена масса других свойств. Подробное знакомство с ними поможет более точно настраивать и следить за системой.

Работа с журналом ( )

Чтобы предохранить систему от сбоев и зависания, желательно своевременно просматривать базу «», в котором указываются все происшествия, действия с разными программами и предоставляется выбор возможных операций.

увеличить

Там же показано время и дата появления, источник. Консоль позволяет сохранить все изменения, очистить их и изменить саму таблицу, в которой указаны нужные данные.

Очистка журнала ( )

Кроме простого просмотра, программу можно очистить, как это делается, я расскажу далее. Это необходимо для быстрого анализа всех ошибок ОС. Как удалить события? Просто выполните некоторые действия:

( )

Постоянно просматривая реестр операционной системы, можно увидеть, что здесь часто появляются разные ошибки и предупреждения. При этом не стоит сразу паниковать – многие из них никак не угрожают компьютеру. Но вместе с тем они могут появляться даже на идеально работающей машине.