Cum să utilizați Windows Event Viewer pentru a rezolva problemele computerului. Ce este Event Viewer în Windows și cum îl puteți utiliza Windows 8 System Log

În linia sistemului de operare Windows, toate evenimentele majore care apar în sistem sunt înregistrate și apoi înregistrate în jurnal. Sunt înregistrate erori, avertismente și doar diverse notificări. Pe baza acestor înregistrări, un utilizator experimentat poate corecta funcționarea sistemului și poate elimina erorile. Să învățăm cum să deschidem jurnalul de evenimente în Windows 7.

Jurnalul de evenimente este stocat într-un instrument de sistem numit "Vizualizator de eveniment". Să vedem cum poți ajunge acolo folosind diferite metode.

Metoda 1: „Panou de control”

Una dintre cele mai comune moduri de a lansa instrumentul descris în acest articol, deși departe de a fi cel mai simplu și mai convenabil, se face folosind „Panouri de control”.

Metoda 2: Executați instrumentul

Este mult mai ușor să inițiezi activarea instrumentului descris folosind instrumentul "Alerga".

Dezavantajul de bază al acestei metode rapide și convenabile este necesitatea de a vă aminti comanda de a apela fereastra în minte.

Metoda 3: Caseta de căutare meniul Start

O metodă foarte similară de apelare a instrumentului pe care îl studiem este efectuată folosind câmpul de căutare din meniu "Start".

Metoda 4: „Linia de comandă”

Apelarea unui instrument prin "Linie de comanda" destul de incomod, dar o astfel de metodă există și, prin urmare, merită menționată în mod special. Mai întâi trebuie să sunăm la fereastră "Linie de comanda".

Metoda 5: Porniți direct fișierul eventvwr.exe

Puteți utiliza o astfel de opțiune „exotică” pentru rezolvarea problemei, cum ar fi pornirea directă a unui fișier din "Conductor". Cu toate acestea, această metodă poate fi utilă în practică, de exemplu, dacă eșecurile au atins o asemenea amploare încât alte opțiuni pentru lansarea instrumentului pur și simplu nu sunt disponibile. Acest lucru se întâmplă extrem de rar, dar este foarte posibil.

În primul rând, trebuie să mergeți la locația fișierului eventvwr.exe. Se află în directorul de sistem la această cale:

C:\Windows\System32

Metoda 6: Introducerea căii fișierului în bara de adrese

Cu ajutor "Conductor" putem lansa mai repede fereastra care ne interesează. În acest caz, nici măcar nu trebuie să căutați eventvwr.exe în director „Sistem32”. Pentru a face acest lucru, în câmpul de adresă "Conductor" trebuie doar să specificați calea către acest fișier.

Metoda 7: Creați o comandă rapidă

Dacă nu doriți să vă amintiți diferite comenzi sau salturi de secțiune „Panouri de control” ti se pare prea incomod, dar in acelasi timp folosesti des revista, apoi in acest caz poti crea o pictograma pe „Desktop” sau într-un alt loc convenabil pentru tine. După aceasta, lansați instrumentul "Vizualizator de eveniment" se va desfășura cât mai simplu și fără a fi nevoie să ne amintim nimic.

Probleme la deschiderea revistei

Există cazuri când apar probleme la deschiderea unui jurnal folosind metodele descrise mai sus. Cel mai adesea acest lucru se întâmplă deoarece serviciul responsabil de funcționarea acestui instrument este dezactivat. Când încercați să rulați instrumentul "Vizualizator de eveniment" Apare un mesaj care indică faptul că serviciul Jurnal de evenimente nu este disponibil. Apoi trebuie să-l activați.

1. În primul rând, trebuie să mergi la "Manager de servicii". Acest lucru se poate face din secțiune „Panouri de control” Care e numit "Administrare". Cum să intrați în el a fost descris în detaliu atunci când luați în considerare Metoda 1. Odată ajuns în această secțiune, căutați articolul "Servicii". Apasa pe el.

   

   ÎN "Manager de servicii" puteți merge folosind instrumentul "Alerga". Sună-l tastând Win+R. Introduceți în zona de introducere:

   Clic "BINE".



2. Indiferent dacă ai făcut tranziția "Panou de control" sau a folosit intrarea comenzii în câmpul de instrumente "Alerga", începe "Manager de servicii". Căutați un element în listă „Jurnal de evenimente Windows”. Pentru a vă ușura căutarea, puteți aranja toate obiectele din listă în ordine alfabetică făcând clic pe numele câmpului "Nume". Odată ce rândul dorit este găsit, priviți valoarea corespunzătoare din coloană "Stat". Dacă serviciul este activat, atunci ar trebui să existe o inscripție "Lucrări". Dacă este gol, înseamnă că serviciul este dezactivat. Uită-te și la valoarea din coloană „Tipul de pornire”. În stare normală ar trebui să existe o inscripție acolo "Automat". Dacă există o valoare acolo "Dezactivat", aceasta înseamnă că serviciul nu este activat la pornirea sistemului.



3. Pentru a remedia acest lucru, accesați proprietățile serviciului făcând dublu clic pe nume LMB.



4. Se deschide o fereastră. Faceți clic pe zonă „Tipul de pornire”.



5. Selectați din lista derulantă "Automat".



6. Faceți clic pe inscripții "Aplica"Și "BINE".



7. Revenind la "Manager de servicii", marcă „Jurnal de evenimente Windows”. În zona stângă a carcasei, faceți clic pe inscripție "Alerga".



8. Serviciul a început. Acum, în câmpul de coloană corespunzător "Stat" va fi afișată valoarea "Lucrări", și în câmpul coloanei „Tipul de pornire” va apărea inscripţia "Automat". Acum revista poate fi deschisă în oricare dintre modurile pe care le-am descris mai sus.

Există destul de multe opțiuni pentru a activa jurnalul de evenimente în Windows 7. Desigur, cele mai convenabile și populare metode sunt să parcurgeți „Bara de instrumente”, activare folosind instrumentul "Alerga" sau câmpurile de căutare din meniu "Start". Pentru acces ușor la funcția descrisă, puteți crea o pictogramă „Desktop”. Uneori apar probleme la pornirea ferestrei "Vizualizator de eveniment". Apoi trebuie să verificați dacă serviciul corespunzător este activat.

Sistemul de operare Windows 7 monitorizează în mod constant diverse evenimente demne de remarcat care apar pe sistemul dumneavoastră. Pe Microsoft Windows eveniment este orice incident în sistemul de operare care este înregistrat sau necesită notificare utilizatorilor sau administratorilor. Acesta ar putea fi un serviciu care nu dorește să pornească, o instalare a dispozitivului sau o eroare a aplicației. Evenimentele sunt înregistrate și stocate în jurnalele de evenimente Windows și oferă informații istorice importante care vă ajută să vă monitorizați sistemul, să mențineți securitatea sistemului, să depanați erorile și să efectuați diagnostice. Informațiile conținute în aceste jurnaluri ar trebui revizuite în mod regulat. Ar trebui să monitorizați în mod regulat jurnalele de evenimente și să configurați sistemul de operare pentru a salva evenimentele importante ale sistemului. Dacă sunteți administrator de servere Windows, trebuie să monitorizați securitatea sistemelor acestora, funcționarea normală a aplicațiilor și serviciilor și, de asemenea, să verificați serverul pentru erori care pot afecta performanța. Dacă sunteți un utilizator de computer personal, ar trebui să vă asigurați că aveți acces la jurnalele adecvate de care aveți nevoie pentru a vă susține sistemul și pentru a remedia erorile.

Program "Vizualizator de eveniment" este un snap-in Microsoft Management Console (MMC) pentru vizualizarea și gestionarea jurnalelor de evenimente. Acesta este un instrument indispensabil pentru monitorizarea performanței sistemului și depanarea problemelor. Serviciul Windows care gestionează înregistrarea evenimentelor este numit „Jurnalul evenimentelor”. Dacă rulează, Windows scrie date importante în jurnalele. Folosind programul "Vizualizator de eveniment" puteți face următoarele:

• Vizualizați evenimente din jurnale specifice;
• Aplicați filtre de evenimente și salvați-le pentru utilizare ulterioară ca vizualizări personalizate;
• Creați și gestionați abonamente la evenimente;
• Alocați acțiuni specifice care trebuie efectuate atunci când are loc un anumit eveniment.

Lansarea Vizualizatorului de evenimente

Aplicație "Vizualizator de eveniment" poate fi deschis în următoarele moduri:

Jurnalele de evenimente în Windows 7

În sistemul de operare Windows 7, precum și în Windows Vista, există două categorii de jurnale de evenimente: Jurnalele WindowsȘi jurnalele de aplicații și servicii. Jurnalele Windows- utilizat de sistemul de operare pentru a înregistra evenimente la nivelul întregului sistem legate de funcționarea aplicațiilor, componentelor sistemului, securitate și pornire. A jurnalele de aplicații și servicii- utilizate de aplicații și servicii pentru a înregistra evenimente legate de funcționarea acestora. Puteți folosi snap-in-ul pentru a gestiona jurnalele de evenimente "Vizualizator de eveniment" sau program de linie de comandă wevtutil, despre care va fi discutat în partea a doua a articolului. Toate tipurile de jurnal sunt descrise mai jos:

Aplicație- stochează evenimente importante legate de o anumită aplicație. De exemplu, Exchange Server stochează evenimente legate de redirecționarea e-mailurilor, inclusiv evenimente pentru depozitul de informații, cutiile poștale și serviciile care rulează. Implicit este plasat în %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Siguranță- stochează evenimente legate de securitate, cum ar fi autentificarea/deconectarea sistemului, utilizarea privilegiilor și accesările la resurse. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Instalare- Acest jurnal înregistrează evenimentele care au loc în timpul instalării și configurării sistemului de operare și a componentelor acestuia. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Sistem- stochează evenimente ale sistemului de operare sau ale componentelor acestuia, cum ar fi eșecurile la pornirea serviciilor sau inițializarea driverelor, mesaje la nivelul întregului sistem și alte mesaje legate de sistem în ansamblu. În mod implicit, este plasat în %SystemRoot%\System32\Winevt\Logs\System.Evtx

Evenimente transmise- dacă este configurată redirecționarea evenimentelor, acest jurnal include evenimente redirecționate de la alte servere. În mod implicit, este plasat în %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- acest jurnal înregistrează evenimentele care apar la configurarea și lucrul cu browser-ul Internet Explorer. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Acest jurnal înregistrează evenimente legate de utilizarea PowerShell. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Evenimente cu echipamente- dacă înregistrarea evenimentelor hardware este configurată, evenimentele generate de dispozitive sunt înregistrate în acest jurnal. În mod implicit, este plasat în %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

În Windows 7, infrastructura care oferă înregistrarea evenimentelor se bazează pe XML, la fel ca în Windows Vista. Datele fiecărui eveniment corespund unei scheme XML, permițându-vă să accesați codul XML al oricărui eveniment. De asemenea, puteți crea interogări bazate pe XML pentru a prelua date din jurnale. Nu sunt necesare cunoștințe de XML pentru a utiliza aceste noi funcții. Echipamente "Vizualizator de eveniment" oferă o interfață grafică simplă pentru a accesa aceste caracteristici.

Proprietăți eveniment

Există mai multe proprietăți pentru evenimente snap-in "Vizualizator de eveniment", care sunt descrise în detaliu mai jos:

Sursă este programul care a înregistrat evenimentul. Acesta poate fi fie numele unui program (de exemplu, „Exchange Server”), fie numele unei componente de sistem sau al unei aplicații mari (de exemplu, numele unui driver). De exemplu, „Elnkii” înseamnă driverul EtherLink II.

Cod eveniment este un număr care identifică un anumit tip de eveniment. Prima linie a descrierii conține de obicei numele tipului de eveniment. De exemplu, 6005 este ID-ul evenimentului care are loc la pornirea serviciului de înregistrare a evenimentelor. În consecință, la începutul descrierii acestui eveniment există linia „Serviciul de jurnal de evenimente a fost pornit”. Codul evenimentului și numele sursei de înregistrare pot fi folosite de echipa de asistență pentru produse software pentru a depana problemele.

Nivel- acesta este nivelul de importanță al evenimentului. În jurnalele de sistem și aplicații, evenimentele pot avea următoarele niveluri de severitate:

• Notificare- denotă o schimbare într-o aplicație sau componentă, cum ar fi apariția unui eveniment informațional asociat cu o acțiune reușită, crearea unei resurse sau pornirea unui serviciu.
• Avertizare- indică un avertisment general despre o problemă care ar putea afecta service-ul sau poate duce la o problemă mai gravă dacă este lăsată nesupravegheată;
• Eroare- indică faptul că a apărut o problemă care poate afecta funcții externe aplicației sau componentei care a provocat evenimentul;
• Eroare critica- indică faptul că a avut loc o eroare din care aplicația sau componenta care a inițiat evenimentul nu se poate recupera automat;
• Auditul succeselor- executarea cu succes a acțiunilor pe care le monitorizați prin audit, cum ar fi utilizarea unui privilegiu;
• Auditul eșecului- neefectuarea acțiunilor pe care le monitorizați prin auditare, cum ar fi o eroare de conectare în sistem.

Utilizator- definește contul de utilizator în numele căruia a avut loc acest eveniment. Utilizatorii includ entități speciale, cum ar fi serviciul local, serviciul de rețea și conectarea anonimă, precum și conturi de utilizator reale. Acest nume este identificatorul clientului dacă evenimentul a fost de fapt declanșat de un proces de server sau identificatorul principal dacă nu se efectuează uzurparea identității. În unele cazuri, intrarea din jurnalul de securitate conține ambele ID-uri. Acest câmp poate conține și N/A dacă contul nu este aplicabil în această situație. Uzurparea identității are loc în cazurile în care un server permite unui proces să-și asume atributele de securitate ale altui proces.

Cod de lucru- conține o valoare numerică care identifică operația sau punctul din cadrul operației în timpul căreia a avut loc acest eveniment. De exemplu, inițializare sau închidere.

Revistă- numele jurnalului în care a fost înregistrat acest eveniment.

Categorie și sarcini- definește o categorie de eveniment, uneori folosită pentru a descrie ulterior o acțiune validă. Fiecare sursă de eveniment are propriile categorii. De exemplu, următoarele categorii: autentificare/deconectare, privilegii de utilizare, politici de modificare și gestionarea contului.

Cuvinte cheie este un set de categorii sau etichete care pot fi folosite pentru a filtra sau a căuta evenimente. De exemplu: „Rețea”, „Securitate” sau „Resursa nu a fost găsită”.

Calculator- identifică numele computerului pe care a avut loc evenimentul. Acesta este de obicei numele computerului local, dar poate fi și numele computerului care a transmis evenimentul sau numele computerului local înainte ca acesta să fie modificat.

data si ora- determină data și ora apariției acestui eveniment în jurnal.

ID proces- reprezintă numărul de identificare al procesului care a generat evenimentul. Un program de calculator este doar un set pasiv de instrucțiuni, în timp ce un proces este execuția directă a acestor instrucțiuni

ID-ul firului- reprezinta numarul de identificare al thread-ului care a generat evenimentul. Un proces generat într-un sistem de operare poate consta din mai multe fire care rulează „în paralel”, adică fără o ordine prescrisă în timp. La îndeplinirea unor sarcini, o astfel de diviziune poate realiza o utilizare mai eficientă a resurselor computerului

ID procesor- reprezinta numarul de identificare al procesorului care a procesat evenimentul.

Cod de sesiune este numărul de identificare al sesiunii de pe serverul terminal în care a avut loc evenimentul.

Timp de funcționare în modul Kernel- definește timpul petrecut în executarea instrucțiunilor în modul kernel, în unități de timp CPU. Modul Kernel are acces nerestricționat la memoria sistemului și la dispozitivele externe. Nucleul sistemului NT este numit nucleu hibrid sau macrokernel.

Timp de funcționare în modul utilizator- definește timpul petrecut în executarea instrucțiunilor în modul utilizator, în unități de timp CPU. Modul utilizator constă din subsisteme care transmit cererile I/O driverului corespunzător modului kernel prin intermediul managerului I/O.

sarcina procesorului este timpul petrecut executând instrucțiunile modului utilizator, în ticks CPU.

Cod de corelare- definește acțiunea din procesul pentru care este utilizat evenimentul. Acest cod este folosit pentru a specifica relații simple între evenimente. Corelația este o relație statistică între două sau mai multe variabile aleatoare (sau valori care pot fi considerate ca atare cu un grad acceptabil de acuratețe). Mai mult, modificările uneia sau mai multor dintre aceste cantități conduc la o modificare sistematică a unei alte cantități sau a altor cantități.

ID corelație relativă- defineste actiunea relativa in procesul pentru care este folosit evenimentul

Lucrul cu jurnalele de evenimente

Vizualizator de eveniment

În următoarea captură de ecran puteți vedea jurnalul „Aplicații”, unde puteți găsi informații despre evenimente, vizualizări recente și acțiuni disponibile. Pentru a vizualiza evenimentele din jurnalul de aplicații, urmați acești pași:

1. În arborele consolei, selectați „Jurnalele Windows”;
2. Selectați o revistă „Aplicații”.

Este recomandabil să revizuiți mai des jurnalele de evenimente "Aplicație"Și "Sistem"și să examineze problemele existente și avertismentele care pot prefigura probleme viitoare. Când selectați un jurnal, fereastra din mijloc afișează evenimentele disponibile, inclusiv data evenimentului, ora și sursa, nivelul evenimentului și alte detalii.

Panou „Vizualizare” afișează datele de bază ale evenimentului în filă "Sunt comune", iar date specifice suplimentare sunt în filă "Detalii". Puteți activa și dezactiva acest panou selectând meniul "Vedere" iar apoi comanda „Vizualizare”.

Pentru sistemele critice, se recomandă păstrarea jurnalelor cu câteva luni înapoi. De regulă, este incomod să atribuiți o dimensiune revistelor tot timpul, astfel încât toate informațiile să încapă în ele, această problemă să poată fi rezolvată în alt mod. Puteți exporta jurnalele în fișiere situate într-un folder specificat. Pentru a salva jurnalul selectat, urmați acești pași:

1. În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl salvați;
2. Selectați o echipă „Salvați evenimentele ca” din meniu "Acțiune" sau din meniul contextual jurnal selectați comanda „Salvați toate evenimentele ca”;
3. În dialogul care apare "Salvează ca" selectați folderul în care ar trebui să fie salvat fișierul. Dacă trebuie să salvați fișierul într-un folder nou, îl puteți crea direct din acest dialog folosind meniul contextual sau butonul "Dosar nou" pe bara de acțiuni. În câmp "Tip fișier" trebuie să selectați formatul de fișier dorit dintre cele disponibile: fișiere de evenimente - *.evtx, fișier xml - *.xml, text delimitat de tabulatori - *.txt, csv separat prin virgulă - *.csv. În câmp "Nume de fișier" "Salva". Pentru a anula salvarea, faceți clic pe butonul "Anulare";
4. În cazul în care jurnalul de evenimente nu este destinat a fi vizualizat pe alt computer, în caseta de dialog „Afișează detalii” lăsați opțiunea implicită „Nu afișați informații”, iar dacă jurnalul este destinat să fie vizualizat pe alt computer, atunci în caseta de dialog „Afișează detalii” selecteaza o optiune „Afișați informații pentru următoarele limbi”și faceți clic pe butonul "BINE".

Stergerea jurnalului de evenimente

Uneori este necesar să ștergeți jurnalele complete de evenimente pentru a asigura o analiză eficientă a avertismentelor și a erorilor critice ale sistemului de operare. Pentru a șterge jurnalul selectat, urmați acești pași:

1. În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl ștergeți;
2. Ștergeți jurnalul folosind una dintre următoarele metode:
   • În meniu "Acțiune" alege echipa "Curăță Jurnalul";
   • Faceți clic dreapta pe jurnalul selectat pentru a deschide meniul contextual. În meniul contextual, selectați comanda "Curăță Jurnalul";
3. Apoi, puteți fie să ștergeți jurnalul, fie să îl arhivați dacă acest lucru nu a fost făcut anterior:
   • Pentru a șterge jurnalul de evenimente fără a salva, faceți clic pe butonul "Clar";
   • Pentru a șterge jurnalul de evenimente după ce l-ați salvat, faceți clic pe butonul „Salvați și ștergeți”. În dialogul care apare "Salvează ca" selectați folderul în care ar trebui să fie salvat fișierul. Dacă trebuie să salvați fișierul într-un folder nou, îl puteți crea direct din acest dialog folosind meniul contextual sau butonul "Dosar nou" pe bara de acțiuni. În câmp "Nume de fișier" introduceți un nume și faceți clic pe butonul "Salva". Pentru a anula salvarea, faceți clic pe butonul "Anulare".

Setarea dimensiunii maxime a jurnalului

După cum sa menționat mai sus, jurnalele de evenimente sunt stocate ca fișiere în folderul %SystemRoot%\System32\Winevt\Logs\. În mod implicit, dimensiunea maximă a acestor fișiere este limitată, dar o puteți modifica în felul următor:

1. Selectați o echipă „Proprietăți” din meniu "Acțiune"
2. În câmp „Dimensiunea maximă a jurnalului (KB)” setați valoarea necesară folosind un contor sau setați manual fără a utiliza un contor. În acest caz, valoarea va fi rotunjită la cel mai apropiat multiplu de 64 KB, deoarece dimensiunea fișierului jurnal trebuie să fie un multiplu de 64 KB și nu poate fi mai mică de 1024 KB.

Evenimentele sunt stocate într-un fișier jurnal care poate crește doar până la o dimensiune maximă specificată. Odată ce fișierul atinge dimensiunea maximă, procesarea evenimentelor primite va fi determinată de politica de păstrare a jurnalelor. Sunt disponibile următoarele politici de păstrare a jurnalelor:

Rescrie evenimentele dacă este necesar (în primul rând cele mai vechi fișiere)- în acest caz, înregistrările noi continuă să fie introduse în jurnal după ce acesta este completat. Fiecare eveniment nou îl înlocuiește pe cel mai vechi din jurnal;

Arhivați jurnalul când este completat; nu rescrie evenimentele- în acest caz, fișierul jurnal este arhivat automat dacă este necesar. Evenimentele învechite nu sunt suprascrise.

Nu suprascrieți evenimentele (ștergeți manual jurnalul)- în acest caz, jurnalul este șters manual și nu automat.

Pentru a selecta politica de păstrare a jurnalelor dorită, urmați acești pași:

1. În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl redimensionați;
2. Selectați o echipă „Proprietăți” din meniu "Acțiune" sau din meniul contextual al jurnalului selectat;
3. Pe fila "Sunt comune", În capitolul „La atingerea dimensiunii maxime” selectați parametrul necesar și faceți clic pe butonul "BINE".

Activarea jurnalului analitic și de depanare

Jurnalele analitice și de depanare sunt inactive în mod implicit. Odată activate, acestea se umplu rapid cu un număr mare de evenimente. Din acest motiv, este recomandabil să activați aceste jurnale pentru o perioadă limitată de timp pentru a colecta datele necesare pentru depanare și apoi să le dezactivați din nou. Puteți activa jurnalele după cum urmează:

1. În arborele consolei, găsiți și selectați jurnalul analitic sau de depanare pe care doriți să îl activați;
2. Selectați o echipă „Proprietăți” din meniu "Acțiune" sau din meniul contextual al jurnalului analitic sau de depanare selectat;
3. Pe fila "Sunt comune" bifați caseta de opțiuni „Activați înregistrarea în jurnal”

Deschiderea și închiderea unui jurnal salvat

Utilizarea echipamentelor "Vizualizator de eveniment" Puteți deschide și vizualiza jurnalele salvate anterior. Puteți deschide mai multe jurnale salvate în același timp și le puteți accesa în orice moment în arborele consolei. Revista deschisă în "Vizualizator de eveniment", poate fi închis fără a șterge informațiile pe care le conține. Pentru a deschide un jurnal salvat, urmați acești pași:

1. Selectați o echipă „Deschideți jurnalul salvat”în meniu "Acțiune" sau din meniul contextual din arborele consolei;
2. 3. În caseta de dialog „Deschideți jurnalul salvat”, deplasându-vă prin arborele de directoare, deschideți folderul care conține fișierul dorit. În mod implicit, caseta de dialog va afișa toate fișierele jurnal de evenimente. De asemenea, la deschidere, puteți selecta tipul de fișiere pe care doriți să le afișați în dialogul de deschidere. Tipurile de fișiere disponibile sunt fișiere jurnal de evenimente (*.evtx, *.evt, *.etl), precum și fișiere de evenimente (*.evtx), fișiere de evenimente vechi (*.evt) sau fișiere de jurnal de urmărire (*.etl) . Odată ce fișierul jurnal dorit a fost găsit, selectați-l făcând clic stânga pe el, care va plasa numele său în linia de nume de fișier și faceți clic pe butonul "Deschis".
3. În dialog „Deschideți jurnalul salvat”, în câmp "Nume" Introduceți un nume nou de utilizat pentru jurnal în arborele consolei. Este folosit doar pentru a afișa jurnalul în arborele consolei și nu modifică numele fișierului jurnal. De asemenea, puteți utiliza un nume de fișier jurnal existent. În câmp "Descriere" introduceți o descriere pentru jurnal. Acesta va fi afișat în zona centrală atunci când folderul de jurnal părinte este selectat în arborele consolei;
4. Pentru a crea un folder în care va fi localizat jurnalul salvat, faceți clic pe butonul „Creează un folder”. În câmp "Nume" introduceți numele folderului în care va fi localizat jurnalul deschis, apoi faceți clic "BINE". Dacă nu este selectat un folder părinte, noul folder va fi localizat în dosar „Jurnalele salvate”.
5. Pentru a face jurnalul de evenimente deschis inaccesibil pentru alți utilizatori de computer, puteți debifa "Toți utilizatorii". Dacă această casetă de selectare rămâne activă, jurnalul deschis va fi disponibil pentru toți utilizatorii, dar vor fi necesare drepturi de administrator pentru a-l șterge din arborele consolei;
6. Pentru a deschide revista, faceți clic pe butonul "BINE".

Pentru a șterge un jurnal deschis din arborele de evenimente, urmați acești pași:

1. În arborele consolei, selectați jurnalul de șters;
2. Selectați o echipă "Șterge" din meniu "Acțiune" sau din meniul contextual al jurnalului selectat;
3. În dialog "Vizualizator de eveniment" faceți clic pe butonul "Da".

Concluzie

Această parte a articolului, dedicată snap-in-ului Event Viewer, vorbește despre snap-in-ul în sine și descrie în detaliu cele mai simple operațiuni asociate cu monitorizarea și întreținerea sistemului folosind Event Viewer. Următoarea parte a articolului va fi concepută pentru utilizatorii Windows experimentați. Acesta va acoperi sarcini cu vizualizări personalizate, filtrare, grupare/sortare evenimente și gestionarea abonamentelor.

Subiectul acestui articol este utilizarea unui instrument Windows care nu este familiar pentru majoritatea utilizatorilor: Vizualizatorul de evenimente sau Vizualizatorul de evenimente.

La ce poate fi util acest lucru? În primul rând, dacă doriți să vă dați seama singur ce se întâmplă cu computerul și să rezolvați diferite tipuri de probleme în funcționarea sistemului de operare și a programelor, acest utilitar vă poate ajuta, cu condiția să știți cum să îl utilizați.

Interfața acestui instrument de administrare poate fi împărțită în trei părți:

• Panoul din stânga conține o structură arborescentă în care evenimentele sunt sortate după diferiți parametri. În plus, puteți adăuga aici propriile „Vizualizări personalizate”, care vor afișa doar evenimentele de care aveți nevoie.
• În centru, când selectați unul dintre „dosare”, lista de evenimente în sine va fi afișată în stânga, iar când selectați oricare dintre ele, în partea de jos veți vedea informații mai detaliate despre aceasta.
• Partea dreaptă conține link-uri către acțiuni care vă permit să filtrați evenimentele după parametri, să găsiți pe cei de care aveți nevoie, să creați vederi personalizate, să salvați lista și să creați o sarcină în planificatorul de activități care va fi asociată cu un anumit eveniment.

Informații despre eveniment

După cum am spus mai sus, atunci când selectați un eveniment, informațiile despre acesta vor fi afișate în partea de jos. Aceste informații vă pot ajuta să găsiți o soluție la problema pe Internet (cu toate acestea, nu întotdeauna) și merită să înțelegeți ce proprietate înseamnă:

• Nume jurnal - numele fișierului jurnal în care au fost salvate informațiile despre eveniment.
• Sursă - numele programului, procesului sau componentei de sistem care a generat evenimentul (dacă vedeți aici Eroare de aplicație), atunci puteți vedea numele aplicației în sine în câmpul de mai sus.
• Cod- codul evenimentului, vă poate ajuta să găsiți informații despre acesta pe Internet. Adevărat, merită să căutați în segmentul în limba engleză ID eveniment + desemnarea digitală a codului + numele aplicației care a cauzat eșecul (deoarece codurile de eveniment pentru fiecare program sunt unice).
• Cod de operare - de regulă, „Detalii” este întotdeauna indicat aici, astfel încât acest câmp este de puțin folos.
• Categorie de sarcini, cuvinte cheie - de obicei nu sunt utilizate.
• Utilizator și computer - raportează în numele cărui utilizator și pe ce computer a fost lansat procesul care a provocat evenimentul.

În partea de jos, în câmpul „Detalii”, puteți vedea și un link „Ajutor online”, care raportează informații despre eveniment pe site-ul Microsoft și ar trebui, teoretic, să afișeze informații despre acest eveniment. Cu toate acestea, în majoritatea cazurilor, veți vedea un mesaj care spune că pagina nu a fost găsită.

Pentru a găsi informații despre o eroare, este mai bine să utilizați următoarea interogare: Nume aplicație + ID eveniment + Cod + Sursă. Puteți vedea un exemplu în captură de ecran. Puteți încerca și să căutați în rusă, dar există rezultate mai informative în engleză. Informațiile text despre eroare sunt, de asemenea, potrivite pentru căutare (fă dublu clic pe eveniment).

Notă: pe unele site-uri puteți găsi o ofertă de descărcare a programelor pentru a corecta erorile cu unul sau altul cod și toate codurile de eroare posibile sunt colectate pe un site - nu ar trebui să descărcați astfel de fișiere, acestea nu vor rezolva problemele și cel mai probabil vor conduc la altele suplimentare.

De asemenea, merită remarcat faptul că majoritatea avertismentelor nu sunt nimic periculos, iar mesajele de eroare nu înseamnă întotdeauna că este ceva în neregulă cu computerul dvs.

Vedeți istoricul performanței Windows

În Vizualizatorul de evenimente Windows puteți găsi o mulțime de lucruri interesante, de exemplu, uitați-vă la problemele cu performanța computerului dvs.

Pentru a face acest lucru, în panoul din dreapta, deschideți Jurnalele de aplicații și servicii - Microsoft - Windows - Diagnostics-Perfomance - Running și vedeți dacă există erori printre evenimente - ei raportează că o anumită componentă sau program a făcut ca Windows să se încarce mai lent. Făcând dublu clic pe un eveniment, puteți consulta informații detaliate despre acesta.

Folosind filtre și vizualizări personalizate

Numărul mare de evenimente din jurnalele le face dificil de navigat. În plus, cele mai multe dintre ele nu conțin informații critice. Cel mai bun mod de a afișa numai evenimentele de care aveți nevoie este să utilizați vizualizări personalizate: puteți specifica nivelul de evenimente pe care doriți să le afișați - erori, avertismente, erori fatale și sursa sau jurnalul acestora.

Pentru a crea o vizualizare personalizată, faceți clic pe elementul corespunzător din panoul din dreapta. După ce creați o vizualizare personalizată, aveți posibilitatea de a-i aplica filtre suplimentare făcând clic pe „Filtrați vizualizarea personalizată curentă”.

Desigur, pentru aceasta nu poate fi util Windows Event Viewer, dar acesta, după cum am menționat, este un articol pentru utilizatorii începători, adică pentru cei care nu știu deloc despre acest utilitar. Poate că va încuraja studiul suplimentar al acestui și al altor instrumente de administrare a sistemului de operare.

Sistemul de operare Windows Vista monitorizează cu atenție și neobosit tot ceea ce i se întâmplă. Absolut toate acțiunile, care sunt numite „evenimente”, sunt constant înregistrate și distribuite în diferite categorii. Programul Event Viewer (care, în caz că vă întrebați, este un instrument al MMC) poate fi gândit ca un jurnal ținut de o bătrână scrupuloasă și meticuloasă pe o bancă de la intrare. Înregistrează cine intră și iese din casă, ce conversații au loc între rezidenți, cine a divorțat de cine și s-a luat la bătaie. Cu alte cuvinte, are o imagine completă a modului în care locuiește casa.

O funcție similară de spionaj este realizată de programul Event Viewer, care, spre deosebire de curiozitatea bătrânei, este conceput pentru a diagnostica și identifica problemele în funcționarea sistemului de operare despre care utilizatorul habar nu avea.

Toate evenimentele care au loc în sistem sunt înregistrate în jurnalele speciale ale sistemului. Event Viewer vă permite să vizualizați conținutul acestor jurnale, să le arhivați și să le ștergeți. Cum poti folosi mai exact acest program? Scopul principal este de a identifica problemele care au apărut și cauza apariției lor. Dacă dispozitivul funcționează defectuos, hard disk-ul este plin, un program îngheață constant sau are loc un alt eveniment neplăcut, informațiile despre ceea ce s-a întâmplat vor fi înregistrate în jurnalul de sistem corespunzător. Apoi, lansați Vizualizatorul de evenimente și obțineți informații complete și clare din jurnalul de sistem.

Puteți porni Event Viewer în unul dintre următoarele moduri.

• Selectați o echipă Start>Panou de control, apasa pe link Sistemul și întreținerea acestuia, apoi pe link Administrare si in final pe link Vizualizator de eveniment.
• A doua metodă pentru nerăbdători: introduceți comanda în linia de comandă eventvwr.

Amintiți-vă că, pe lângă a face clic pe butonul start, puteți deschide fereastra liniei de comandă apăsând combinația de taste . De asemenea, rețineți că sunt necesare privilegii administrative pentru a utiliza toate capabilitățile instrumentului de vizualizare a evenimentelor.

În orice caz, se va deschide fereastra de mai jos.

• Vizualizați evenimente din mai multe jurnale de sistem.
• Creați filtre de evenimente ca vizualizări personalizate.
• Abilitatea de a crea o sarcină care rulează automat cu un anumit eveniment.

Să aruncăm o privire mai atentă la fereastra prezentată mai sus. Fereastra este împărțită în trei panouri. Pe panoul din stânga Vizualizator de eveniment Există mai multe dosare care conțin vizualizări personalizate, povești și abonamente. Panoul central conține mai multe submeniuri, cum ar fi Și Noduri vizualizate recent. În sfârșit, pe panoul din dreapta Acțiuni Puteți alege anumite acțiuni, cum ar fi crearea unei vizualizări personalizate sau conectarea la un alt computer.

Panou vă permite să identificați rapid toate evenimentele importante înregistrate în ultima oră, zi sau săptămână. Fiecare tip de eveniment poate fi extins pentru a dezvălui informații detaliate despre eveniment. Panoul oferă o imagine generală a ceea ce se întâmplă în sistem și, pentru a obține informații specifice, ar trebui să mergeți la un anumit eveniment.

Deoarece Event Viewer este folosit pentru a vizualiza jurnalele de sistem, faceți clic pe pictogramele folderului Și Jurnalele de aplicații și serviciiîn panoul din stânga pentru a extinde lista revistelor disponibile. Să ne uităm la asta mai detaliat. În dosar Sunt prezentate următoarele reviste.

• Aplicație. Evenimentele din acest jurnal sunt generate de aplicații, inclusiv de programele instalate care vin cu Windows Vista și de serviciile sistemului de operare. Exact ce evenimente sunt înregistrate în acest jurnal depinde de programul specific.
• Siguranță. Acest jurnal listează încercările de conectare ale utilizatorilor (reușite și nereușite), precum și acțiunile legate de resursele partajate, cum ar fi acțiunile de creare, modificare sau ștergere a fișierelor sau folderelor.
• Setări. Evenimentele din acest jurnal sunt create atunci când sunt instalate programe.
• Sistem. Evenimentele de sistem sunt generate de Windows însuși și de componentele instalate, cum ar fi driverele de dispozitiv. Jurnalul este util pentru identificarea driverelor care nu s-au încărcat la pornirea Windows.
• Evenimente transmise. Acest jurnal conține evenimente colectate de la alte computere din rețea.

În dosar Jurnalele de aplicații și servicii puteți găsi intrări pentru aplicații și servicii individuale. În timp ce alte jurnaluri oferă intrări generale, acest jurnal oferă informații despre funcționarea unor programe specifice. Observați subfolderul Microsoft, care, la rândul său, conține un subfolder Windows. În acest folder puteți găsi intrări pentru o mare varietate de componente Windows Vista, prezentate în foldere separate.

Vizualizatorul de evenimente din Windows afișează un istoric (jurnal) al mesajelor de sistem și al evenimentelor generate de programe - erori, mesaje informaționale și avertismente. Apropo, escrocii pot folosi uneori vizualizarea evenimentelor pentru a înșela utilizatorii - chiar și pe un computer care funcționează normal, vor exista întotdeauna mesaje de eroare în jurnal.

Lansați Vizualizatorul de evenimente

Pentru a porni Windows Event Viewer, tastați această expresie în căutare sau accesați „Control Panel” - „Administration” - „Event Viewer”

De fapt, de ce scriu despre asta, deoarece nu există nimic interesant pentru utilizatorul obișnuit în Windows Event Viewer? Totuși, această funcție (sau program, utilitar) a Windows poate fi utilă dacă apar probleme cu computerul - atunci când ecranul albastru al morții Windows apare aleatoriu sau are loc o repornire aleatorie - în vizualizatorul de evenimente puteți găsi cauza acestor evenimente. . De exemplu, o eroare în jurnalul de sistem poate oferi informații despre driverul hardware care a cauzat eșecul pentru acțiunile ulterioare de corectare a situației. Căutați doar o eroare care a apărut în timp ce computerul a repornit, a înghețat sau a afișat un ecran albastru al morții - eroarea va fi marcată ca critică.

Există și alte utilizări pentru Event Viewer. De exemplu, Windows înregistrează timpul necesar pentru ca sistemul de operare să pornească complet. Sau, dacă computerul dvs. găzduiește un server, puteți activa înregistrarea evenimentelor de închidere și repornire - de fiecare dată când cineva închide computerul, i se va cere să introducă un motiv pentru aceasta, iar ulterior puteți vedea toate închiderile și repornirile și motivul introdus. pentru eveniment.

În plus, puteți utiliza vizualizatorul de evenimente împreună cu planificatorul de activități - faceți clic dreapta pe orice eveniment și selectați „Legați sarcina la eveniment”. Ori de câte ori are loc acest eveniment, Windows va executa sarcina corespunzătoare.