Де знайти системний журнал windows 7. Де знаходиться журнал подій windows

В ОС лінійки Віндовс проводиться реєстрація всіх основних подій, які відбуваються в системі з подальшою їх записом в журналі. Записуються помилки, попередження і просто різні повідомлення. На основі цих записів досвідчений користувач може підкоригувати роботу системи і усунути помилки. Давайте дізнаємося, як відкрити журнал подій в Windows 7.

Журнал подій зберігається в системному інструменті, який має назву «Перегляд подій». Подивимося, як за допомогою різних способів в нього можна перейти.

Спосіб 1: «Панель управління»

Один з найпоширеніших способів запуску описуваного в даній статті інструменту, хоча далеко не найлегший і зручний, здійснюється за допомогою «Панелі управління».

Спосіб 2: Засіб «Виконати»

Набагато простіше ініціювати активацію описуваного інструменту за допомогою засобу «Виконати».

Базовий недолік цього швидкого і зручного способу полягає в необхідності утримати в умі команду виклику вікна.

Спосіб 3: Поле пошуку меню «Пуск»

Дуже схожий метод виклику досліджуваного нами інструменту здійснюється із залученням поля пошуку меню «Пуск».

Спосіб 4: «Командний рядок»

Виклик інструменту через «Командний рядок» досить незручний, але і такий спосіб існує, а тому він теж варто окремої згадки. Спочатку нам потрібно викликати вікно «Командного рядка».

Спосіб 5: Прямий старт файлу eventvwr.exe

Можна скористатися таким «екзотичним» варіантом вирішення поставленого завдання, як прямий старт файлу з «Провідника». Проте, і даний спосіб може стати в нагоді на практиці, наприклад, якщо збої досягли такого масштабу, що інші варіанти запустити інструмент просто недоступні. Таке буває вкрай рідко, але цілком можливо.

Перш за все, необхідно перейти в місце знаходження файлу eventvwr.exe. Він розташований в системному каталозі таким шляхом:

C: \\ Windows \\ System32

Спосіб 6: Введення шляху до файлу в адресному рядку

За допомогою «Провідника» можна запустити цікавить нас вікно і швидше. При цьому навіть не доведеться шукати eventvwr.exe в каталозі «System32». Для цього в адресному полі «Провідника» просто потрібно буде вказати шлях до даного файлу.

Спосіб 7: Створення ярлика

Якщо ви не хочете запам'ятовувати різні команди або переходи по розділах «Панелі управління» вважаєте занадто незручними, але при цьому часто користуєтеся журналом, то в такому випадку можете сформувати іконку на «Робочому столі» або в іншому зручному для вас місці. Після цього запуск інструменту «Перегляд подій» буде здійснюватися максимально просто і без необхідності щось запам'ятовувати.

Проблеми з відкриттям журналу

Бувають такі випадки, коли виникають проблеми з відкриттям журналу вищеописаними способами. Найчастіше це відбувається через те, що відповідає за роботу даного інструменту служба деактивовано. При спробі запуску інструменту «Перегляд подій» відобразиться повідомлення, де йдеться про те, що служба журналу подій недоступна. Тоді необхідно провести її активацію.

1. Перш за все, потрібно перейти в «Диспетчер служб». Це можна зробити з розділу «Панелі управління», який називається «Адміністрування». Як в нього перейти, докладно описувалося при розгляді способу 1. Потрапивши в даний розділ, шукайте пункт «Служби». Клацніть по ньому.

   

   В «Диспетчер служб» можете перейти за допомогою засобу «Виконати». Викличте його, набравши Win + R. В область для введення вбийте:

   тисніть «OK».



2. Незалежно від того, вчинили ви перехід через "Панель управління" або використовували введення команди в поле інструменту «Виконати», запускається «Диспетчер служб». У списку шукайте елемент «Журнал подій Windows». Щоб полегшити пошук, можете вибудувати всі об'єкти переліку в алфавітному прядки, клікнувши по назві поля «Ім'я». Після того, як потрібний рядок знайдена, погляньте на відповідне їй значення в колонці «Стан». Якщо служба включена, то там повинна знаходитися напис «Працює». Якщо ж там порожньо, то це означає, що служба деактивовано. Також подивіться на значення в колонці «Тип запуску». У нормальному стані там повинна знаходитися напис «Автоматично». Якщо там стоїть значення «Відключено», То це означає, що служба не активується при запуску системи.



3. Щоб це виправити, перейдіть в якості роботи, клікнувши по найменуванню двічі ЛФМ.



4. Відкривається вікно. Клацніть по області «Тип запуску».



5. З списку, що розкрився вибирайте «Автоматично».



6. Тисніть по написам «Застосувати» і «OK».



7. Повернувшись в «Диспетчер служб», відзначте «Журнал подій Windows». У лівій області оболонки клікніть по напису «Запустити».



8. Запуск служби проведений. Тепер у відповідному їй поле колонки «Стан» відобразиться значення «Працює», А в поле колонки «Тип запуску» з'явиться напис «Автоматично». Тепер журнал можна відкрити будь-яким з тих способів, які ми описували вище.

Існує досить багато варіантів активувати журнал подій в Віндовс 7. Звичайно, найзручніші і популярні способи - це перехід через "Панель інструментів", Активація за допомогою засобу «Виконати» або поля пошуку меню «Пуск». Для зручного доступу до описуваної функції можете створити іконку на «Робочому столі». Іноді виникають проблеми з запуском вікна «Перегляд подій». Тоді потрібно перевірити, чи активована відповідна служба.

Windows 7 і Windows 10 постійно стежить за появою в системі будь-яких незвичайних або заслуговують на увагу ситуацій, на зразок НЕ запущеної служби, встановлення пристрою або помилки в додатку. Всі ці ситуації називаються подіями і реєструються в декількох різних журналах.

Наприклад, в журналі Додаток зберігаються події, пов'язані з роботою додатків, причому як програм самої Windows 7, так і додатків сторонніх виробників, а в журналі Система - події, що генеруються системою Windows 7, 10 і компонентами типу драйверів пристроїв і системних служб.

Як відкрити журнал подій windows

Щоб відкрити журнал подій в windows, клацніть на кнопку Пуск, Ввівши в поле пошуку рядок перегляд подій і натиснувши клавішу<Enter\u003e. На малюнку нижче показано, як виглядає домашня сторінка цієї оснастки, на якій відображається журнал подій windows, Перелік недавно переглядати вузлів і різноманітні доступні дії.

Перегляд журналу подій Windows

В панелі справа пропонується три розділи: Настроювані подання, Журнали Windows і Журнали додатків і служб.

У розділі Настроювані подання перераховано всі певні в поточній системі види подій (яких більш детально розглядаються трохи пізніше). У разі виконання фільтрації в якомусь із журналів подій або створення нового уявлення подій, нове уявлення зберігається саме в цьому розділі.

У розділі Журнали Windows відображається кілька підрозділів, чотири з яких представляють основні журнали, які веде сама система.

У журнали подій Додаток і Система слід заглядати регулярно для своєчасного виявлення будь-яких існуючих проблем і попереджень про те, що якісь проблеми можуть з'явитися в майбутньому. Журнал Безпека не є важливим для щоденної процедури обслуговування. У нього потрібно заглядати тільки при наявності підозр у порушенні безпеки комп'ютера, наприклад, для з'ясування того, хто входить в систему.

У журналі Система фіксуються помилки драйверів пристроїв, але в Windows 7 доступні і інші інструменти, що дозволяють більш простим чином вивчати проблеми з пристроями. Наприклад, диспетчер пристроїв, який, відображає значок для тих пристроїв, з якими виникли проблеми, і дозволяє переглядати опис цих проблем, відкриваючи відомості властивостей пристроїв. Також є утиліта Відомості про систему (Msinfo32.exe), Яка відображає відомості про всі неполадки з обладнанням в розділах Відомості про систему\u003e Апаратні ресурси\u003e Конфлікти і спільне використання та відомості про систему\u003e Компоненти\u003e Пристрої з неполадками.

При виборі того чи іншого журналу в центральному вікні з'являється список всіх доступних в даному журналі подій разом з інформацією про дату і час, коли сталося кожна подія, його джерелі, типі (Відомості, Попередження або Помилка) і іншими подібними відомостями. Нижче перераховані основні інтерфейсні зміни і нові функціональні можливості, Які з'явилися в оснащенні Перегляд подій в Windows.

• В панелі Область перегляду основні дані про події тепер відображаються на вкладці Загальні, а додаткові конкретніші - на вкладці Подробиці. Цю панель можна включати і вимикати, вибираючи в меню Вид пункт Область перегляду.
• Дані про події тепер зберігаються в форматі XML. Переглядати їх схему можна, вибираючи перемикач Режим XML на вкладці Подробиці всередині панелі Область перегляду.
• Команда Фільтр тепер дозволяє генерувати запити в форматі XML.
• Клацання на засланні Створити настроюється уявлення тепер дозволяє створювати нове подання на підставі того чи іншого журналу подій, конкретного типу подій, ідентифікатора події і т.д.
• До подій тепер можна прив'язувати завдання, виконуючи клацання спочатку на сюжеті подію, а потім на засланні Прив'язати завдання до події і потім створюючи за допомогою відповідного майстра потрібну задачу, яка передбачає або запуск якоїсь програми або сценарію, або відправку електронного повідомлення при кожному виникненні даної події.
• Вибрані події тепер можна зберігати в файлі формату Event File (.elf).

Найбільш поширені сфери діяльності, спеціально для яких створені профільні програмні продукти. 1с 8 онлайн - це регламентований облік, торговий і складської облік, управлінський облік і комплексні рішення

У розділі Журнали додатків і служб перераховуються програми, компоненти і служби, для яких підтримується стандартний формат реєстрації подій, що є новинкою в Windows 7. Раніше журнали всіх елементів в цьому розділі зберігалися в окремих текстових файлах, До яких не можна було отримувати доступ в старіших версіях оснащення Перегляд подій крім як шляхом спеціального відкриття журнального файлу.

Це може бути служба, яка не хоче запускатися, установка пристрою або помилка в роботі програми. Події реєструються і зберігаються в журналах подій Windows і надають важливі хронологічні відомості, що допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки і виконувати діагностику. Необхідно регулярно аналізувати інформацію, що міститься в цих журналах. Вам слід регулярно стежити за журналами подій і налаштовувати операційну систему на збереження важливих системних подій. У тому випадку, якщо ви адміністратор серверів Windows, то необхідно стежити за безпекою їх систем, нормальною роботою додатків і сервісів, а також перевіряти сервер на наявність помилок, здатних погіршити продуктивність. Якщо ви користувач персонального комп'ютера, То вам слід переконатися в тому, що вам доступні відповідні журнали, необхідні для підтримки своєї системи і усунення помилок.

Програма "Перегляд подій" представляє собою оснащення консолі управління Microsoft (MMC) і призначена для перегляду і управління журналами подій. Це незамінний інструмент для спостереження за працездатністю системи та усунення виниклих неполадок. Служба Windows, яка управляє протоколированием подій, називається "Журнал подій". У тому випадку, якщо вона запущена, Windows записує важливі дані в журнали. За допомогою програми "Перегляд подій" ви можете виконувати наступні дії:

Переглядати події певних журналів;
Застосовувати фільтри подій і зберігати їх для подальшого використання у вигляді настроюються уявлень;
Створювати підписки на події та керувати ними;
Призначати виконання конкретних дій на виникнення певної події.

Запуск програми "Перегляд подій"

Додаток "Перегляд подій" можна відкрити наступними способами:
Натисніть на кнопку "Пуск" для відкриття меню, відкрийте "Панель управління", зі списку компонентів панелі управління виберіть "Адміністрування" і зі списку адміністративних компонентів варто вибрати "Перегляд подій";
Відкрийте "Консоль управління MMC". Для цього натисніть на кнопку "Пуск", в полі пошуку введіть mmc, а потім натисніть на кнопку "Enter". Відкриється порожня консоль MMC. В меню "Консоль" виберіть команду "Додати або видалити оснастку" або за допомогою комбінації клавіш Ctrl + M. У діалозі "Додавання і видалення оснасток" виберіть оснастку "Перегляд подій" і натисніть на кнопку "Додати". Потім натисніть на кнопку "Готово", а після цього - кнопку "ОК";
Скористатися комбінацією клавіш WIN + R для відкриття діалогу "Виконати". У діалоговому вікні "Виконати", в поле "Відкрити" введіть eventvwr.msc і натисніть на кнопку "ОК"; (Від себе додам: На фіг ці заморочки? Просто тиснете ПУСК-ПОШУК і тупо РОСІЯНАМИ ЛІТЕРАМИ вводите ЖУРНАЛ ПОДІЙ. Закріплюєте якщо треба на панель задач і дивіться цей журнал.

Журнали подій в Windows 7

В операційній системі Windows 7, так само як і в Windosw Vista, існують дві категорії журналів подій: журнали Windows і журнали додатків і служб. Журнали Windows - використовуються операційною системою для реєстрації загальносистемних подій, пов'язаних з роботою додатків, системних компонентів, Безпекою і запуском. А журнали додатків і служб - використовуються додатками і службами для реєстрації подій, пов'язаних з їх роботою. Для управління журналами подій можна використовувати оснастку "Перегляд подій" або програму командного рядка wevtutil, про яку буде розказано в другій частині статті. Всі типи журналів описані нижче:
Додаток - зберігає важливі події, пов'язані з конкретним додатком. Наприклад, Exchange Server зберігає події, пов'язані з пересилання пошти, в тому числі події інформаційного сховища, поштових скриньок і запущених служб. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ Application.Evtx.

Безпека - зберігає події, пов'язані з безпекою, такі як вхід / вихід з системи, використання привілеїв і звернення до ресурсів. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ Security.Evtx

установка - в цей журнал записуються події, що виникають при установці і настройці операційної системи і її компонентів. За замовчуванням розміщується в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ Setup.Evtx.

система- зберігає події операційної системи або її компонентів, наприклад невдачі при запусках служб або ініціалізації драйверів, загальносистемні повідомлення та інші повідомлення, що відносяться до системи в цілому. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ System.Evtx

пересилаються події - якщо налаштована пересилання подій, в цей журнал потрапляють події, що надсилаються з інших серверів. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ ForwardedEvents.Evtx

Internet Explorer - в цей журнал записуються події, що виникають при налаштуванні і роботі з браузером Internet Explorer. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ InternetExplorer.Evtx

Windows PowerShell - в цьому журналі реєструються події, пов'язані з використанням оболонки PowerShell. За замовчуванням розміщується в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ WindowsPowerShwll.Evtx

події обладнання - якщо налаштована реєстрація подій обладнання, в цей журнал записуються події, які генеруються пристроями. За замовчуванням поміщається в% SystemRoot% \\ System32 \\ Winevt \\ Logs \\ HardwareEvent.Evtx

У Windows 7 інфраструктура, що забезпечує реєстрацію подій, заснована також як і в Windows Vista на XML. Дані про кожну подію відповідають XML-схемою, що дозволяє отримати доступ до XML-коду будь-якої події. Крім того, можна створювати засновані на XML запити для отримання даних з журналів. Для використання цих нових можливостей не потрібні знання про XML. Оснастка "Перегляд подій" надає простий графічний інтерфейс для доступу до цих можливостей.

властивості подій

Існує кілька властивостей подій оснастки "Перегляд подій", які докладно описані трохи нижче:
Джерело - це програма, яка зареєструвала подія в журналі. Це може бути як ім'я програми (наприклад, "Exchange Server"), так і назва компонента системи або великого додатки (наприклад, ім'я драйвера). Наприклад, "Elnkii" означає драйвер EtherLink II.

код події - це число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005 - це ідентифікатор події, яке відбувається при запуску служби ведення журналів подій. Відповідно, на початку опису цієї події перебуває рядок "Запущена служба журналу подій". Код події і ім'я джерела записи можуть використовуватися представниками групи підтримки програмного продукту для усунення неполадок.

рівень - це рівень важливості події. У журналах системи і додатків події можуть мати такі рівні важливості:

повідомлення - позначає зміна в додатку або компоненті, таке як виникнення інформаційного події, пов'язаного з успішним дією, створення ресурсу або запуск служби.
попередження - позначає попередження загального характеру на неполадку, здатну вплинути на службу або привести до більш серйозної проблеми, якщо залишити її без уваги;
Помилка - позначає, що виникла проблема, яка може вплинути на функції, зовнішні по відношенню до додатка або компоненту, що викликав подія;
Критична помилка - позначає, що стався збій, після якого додаток або компонент, які ініціювали подія, не можуть відновитися автоматично;
аудит успіхів - успішне виконання дій, які ви відстежуєте через аудит, наприклад використання будь-якої привілеї;
аудит відмов - невдале виконання дій, які ви відстежуєте через аудит, наприклад помилка при вході в систему.
Користувач - визначає обліковий запис користувача, від імені якого виникло дана подія. До користувачів ставляться особливі сутності, наприклад Local Service, Network Service і Anonymous Logon, а також облікові записи реальних користувачів. Це ім'я являє собою ідентифікатор клієнта, якщо подія фактично було викликано серверним процесом, або основний ідентифікатор, якщо уособлення не проводиться. У деяких випадках запис журналу безпеки містить обидва ідентифікатора. А також в цьому полі може стояти N / A (Н / Д), якщо в даній ситуації обліковий запис непридатна. Уособлення відбувається у випадках, коли сервер дозволяє одному процесу привласнити атрибути безпеки іншого процесу.

Робочий код - містить числове значення, яке визначає операцію або точку в межах операції, при виконанні якої виникло дана подія. Наприклад, ініціалізації або закриття.

Журнал - ім'я журналу, в який було записано дана подія.

Категорія і завдання - визначає категорію події, іноді використовується для подальшого опису допустимого дії. У кожного джерела подій свої категорії. Наприклад такі категорії: вхід / вихід, використання привілеїв, зміна політики і управління обліковим записом.

Ключові слова - це набір категорій або міток, які можуть використовуватися для фільтрації або пошуку подій. Наприклад: "Мережа", "Безпека" або "Ресурс не найден".

комп'ютер - ідентифікує ім'я комп'ютера, на якому відбулася подія. Зазвичай це ім'я локального комп'ютера, Але також може бути ім'я комп'ютера, який переслав подія, або ім'я локального комп'ютера до того, як воно було змінено.

дата і час - визначає дату і час виникнення даної події в журналі.

ВД процесу - представляє ідентифікаційний номер процесу, який створив цю подію. Комп'ютерна програма вдає із себе тільки пасивну сукупність інструкцій, в той час як процес - це безпосереднє виконання цих інструкцій

ВД потоку - представляє ідентифікаційний номер потоку, який створив цю подію. Процес, породжений в операційній системі, може складатися з декількох потоків, що виконуються "паралельно", тобто без запропонованого порядку в часі. При виконанні деяких завдань такий поділ може досягти більш ефективного використання ресурсів обчислювальної машини

ВД процесора - представляє ідентифікаційний номер процесора, що обробив подія.

код сеансу - це ідентифікаційний номер сеансу на сервері терміналів, в якому відбулася подія.

Час роботи в режимі ядра - визначає час, витрачений на виконання інструкцій режиму ядра, в одиницях часу ЦП. Режим ядра має необмежений доступ до системної пам'яті і зовнішніх пристроїв. Ядро системи NT називають гібридним ядром або макроядра.

Час роботи в режимі користувача - визначає час, витрачений на виконання інструкцій для користувача режиму, в одиницях часу ЦП. Режим користувача складається з підсистем, які передають запити введення \\ виведення відповідного драйверу режиму ядра за допомогою менеджера Введення-виведення.

завантаженість процесора - це час, витрачений на виконання інструкцій для користувача режиму, в тиках ЦП.

Код кореляції - визначає дію в процесі, для якого використовується подія. Цей код використовується для вказівки простих відносин між подіями. Кореляція - статистичний взаємозв'язок двох або кількох випадкових величин (або величин, які можна з деякою допустимої ступенем точності вважати такими). При цьому, зміни однієї або декількох з цих величин призводять до систематичного зміни іншої або інших величин.

ВД відносної кореляції - визначає відносне дію в процесі, для якого використовується подія

Робота з журналами подій:

Перегляд подій
Для того щоб переглянути події журналу додатків, виконайте наступні дії:
У дереві консолі виберіть "Журнали Windows";
Виберіть журнал "Додатки".

Бажано частіше переглядати журнали подій "Додаток" і "Система" і вивчати існуючі проблеми та попередження, які можуть провіщати про проблеми в будещем. При виборі журналу в середньому вікні відображається доступна події, включаючи дату події, час і джерело, рівень події та інші дані.

Панель "Область перегляду" показує основні дані про події на вкладці "Загальні", а додаткові специфічні дані - на вкладці "Подробиці". Включити і вимкнути цю панель можна, вибравши меню "Вид", а потім команду "Область перегляду".

Для критичних систем рекомендується зберігати журнали за останні кілька місяців. Весь час призначати журналам такий розмір, щоб в них вміщувалася вся інформація, як правило, незручно, вирішити це завдання можна по-іншому. Можна експортувати журнали в файли, розплоджені в заданій папці. Для того щоб зберегти обраний журнал виконайте наступні дії:

У дереві консолі виберіть журнал подій, який потрібно зберегти;
Виберіть команду "Зберегти події як" з меню "Дія" або з контекстного меню журналу виберіть команду "Зберегти всі події як";
У діалозі "Зберегти як" виберіть папку, в яку необхідно зберегти файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку " Нова папка"На панелі дій. В поле" Тип файлу "потрібно вибрати бажаний формат файлу з доступних: файли подій - * .evtx, xml-файл - * .xml, текст з поділом табуляції - * .txt, csv з поділом запитом - *. csv. В поле "ім'я файлу" введіть ім'я та натисніть на кнопку "Зберегти". Для скасування збереження натисніть на кнопку "Скасувати";
У тому випадку, якщо журнал подій не призначений для перегляду на іншому комп'ютері, в діалоговому вікні "Відображати відомості" залиште заданий за замовчуванням варіант "Не додавати відомості", а якщо журнал призначається для перегляду на іншому комп'ютері, то в діалоговому вікні "Відображати відомості "виберіть варіант" Відображати відомості для наступних мов "і натисніть на кнопку" ОК ".

Очищення журналу подій

Іноді доводиться очищати заповнені журнали подій для забезпечення ефективного аналізу попереджень і критичних помилок операційної системи. Для того щоб очистити обраний журнал виконайте наступні дії:
У дереві консолі виберіть журнал подій, який потрібно очистити;
Очистіть журнал одним із таких способів:
В меню "Дія" виберіть команду "Очистити журнал"

На обраному журналі натисніть правою кнопкою для відкриття контекстного меню. У контекстному меню виберіть команду "Очистити журнал"
Далі можна або очистити журнал, або заархівувати його в тому випадку, якщо це не було зроблено раніше:
Щоб очистити журнал подій без збереження натисніть натиснути на кнопку "Очистити";
Щоб очистити журнал подій після його збереження натисніть на кнопку "Зберегти і очистити". У діалозі "Зберегти як" виберіть папку, в яку необхідно зберегти файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу використовуючи контекстне меню або кнопку "Нова папка" на панелі дій. В поле "Ім'я файлу" введіть ім'я та натисніть на кнопку "Зберегти". Щоб скасувати реєстрацію потрібно натиснути на кнопку "Скасувати".

установка максимального розміру журналу

Як було сказано вище, журнали подій зберігаються у вигляді файлів в папці% SystemRoot% \\ System32 \\ Winevt \\ Logs \\. За замовчуванням максимальний розмір цих файлів обмежений, але його можна змінити в такий спосіб:

Виберіть команду "Властивості" з меню "Дія" або з контекстного меню вибраного журналу

В поле "Максимальний розмір журналу (КБ)" встановіть необхідне значення за допомогою лічильника або встановіть вручну без використання лічильника. У цьому випадку значення буде округлено до найближчого числа, кратного 64 КБ так як розмір файлу журналу повинен бути кратний 64 КБ і не може бути менше 1024 КБ.
Події зберігаються в файлі журналу, розмір якого може збільшуватися тільки до заданого максимального значення. Після досягнення файлом максимального розміру, обробка вступників подій буде визначатися політикою зберігання журналів. В наявності є таке політики збереження журналу:
Переписувати події при необхідності (спочатку старі файли) - в цьому випадку нові записи продовжують заноситися в журнал після його заповнення. Кожне нове подія замінює в журналі найбільш старе;

Архівувати журнал при заповненні; НЕ переписувати події - в цьому випадку файл журналу автоматично архівується при необхідності. Перезапис застарілих подій не виконується.

Чи не переписувати події (очистити журнал вручну) - в цьому випадку журнал очищається вручну, а не автоматично.

Для того щоб вибрати потрібну політику збереження журналів виконайте наступні дії:

У дереві консолі виберіть журнал подій, для якого слід змінити розмір;
Виберіть команду "Властивості" з меню "Дія" або з контекстного меню вибраного журналу;
На вкладці "Загальні", в розділі "При досягненні максимального розміру" виберіть необхідний параметр і натисніть на кнопку "ОК".
Активація аналітичного і налагоджувального журналу

Аналітичний і оцінний журнали за замовчуванням неактивні. Після активації вони швидко заповнюються великою кількістю подій. З цієї причини бажано активувати зазначені журнали на обмежений період часу для того, щоб зібрати необхідні для пошуку і усунення неполадок дані, а потім знову їх відключити. Активацію журналів можна виконати наступним чином:

У дереві консолі знайдіть і виберіть аналітичний або оцінний журнал, який необхідно активувати;
Виберіть команду "Властивості" з меню "Дія" або з контекстного меню вибраного аналітичного або отладочного журналу;
На вкладці "Загальні" встановіть прапорець на опції "Включити ведення журналу"

Відкриття та закриття збереженого журналу

За допомогою оснастки "Перегляд подій" можна відкривати і переглядати збережені раніше журнали. Одночасно можна відкрити декілька збережених журналів і звертатися до них в будь-який час в дереві консолі. Журнал, відкритий в "Перегляді подій", може бути закритий без видалення містяться в ньому відомостей. Для відкриття збереженого журналу виконайте наступні дії:

Виберіть команду "Відкрити збережений журнал" в меню "Дія" або з контекстного меню в дереві консолі;
У діалоговому вікні "Відкрити збережений журнал", пересуваючись по дереву каталогів, відкрийте папку, яка містить потрібний файл. За замовчуванням в діалоговому вікні будуть виведені всі файли журналів подій. Також при відкритті можна вибрати тип файлів, які потрібно відображати в діалозі відкриття. Доступні типи файлів: файли журналу подій (* .evtx, * .evt, * .etl), а також файли подій (* .evtx), старі файли подій (* .evt) або файли журналу трасування (* .etl). Після того, як потрібний файл журналу буде знайдений, виділіть його, клацнувши на ньому лівою кнопкою миші, що помістить його ім'я в рядок для введення імені файлу і натисніть на кнопку "Відкрити"

У діалозі "Відкрити збережений журнал", в поле "Ім'я" введіть нове ім'я, яке буде використовуватися для журналу в дереві консолі. Воно використовується тільки для подання журналу в дереві консолі і ім'я файлу журналу при цьому не змінюється Можна також використовувати існуюче ім'я файлу журналу. В поле "Опис" введіть опис журналу. Воно буде відображатися в центральній області при виділенні батьківської папки журналу в дереві консолі;
Для створення папки, в якій буде розташований збережений журнал, натисніть на кнопку "Створити папку". В поле "Ім'я" введіть ім'я папки, в якій буде перебувати відкритий журнал, а потім натисніть кнопку "ОК". Якщо батьківська папка не вибрана, нова папка буде розташована в папці "Збережені журнали"

Для того щоб відкритий журнал подій став недоступним для інших користувачів комп'ютера, ви можете зняти прапорець "Усі користувачі". У тому випадку, якщо цей прапорець залишиться активним, відкритий журнал буде доступний всім користувачам, але для його видалення з дерева консолі будуть потрібні права адміністратора;
Для відкриття журналу, натисніть на кнопку "ОК".
Для того щоб видалити відкритий журнал їх дерева подій, виконайте такі дії:

У дереві консолі виберіть журнал, який слід видалити;
Виберіть команду "Видалити" з меню "Дія" або з контекстного меню вибраного журналу

У діалозі "Перегляд подій" натисніть на кнопку "Так".

висновок

У цій частині статті, присвяченій оснащенні "Перегляд подій", розповідається про саму оснащенні і детально описані найпростіші операції, пов'язані з моніторингом та обслуговуванням системи за допомогою "Перегляду подій".

Використовуючи журнал подій windows 7 або XP, можна вирішити більшість проблем комп'ютера.

У ньому не тільки реєструється все те, що відбувається, але і вказуються причини, чому виникають неполадки.

Єдине що погано - іноді вони надані в кодах і розшифровку доводиться шукати по всій мережі.

Інструкція - де знаходиться журнал windows

У ній знаходимо одне слово «адміністрування» і кликнемо на нього.

Що в ньому вас повинно цікавити. З лівого боку перебувати розширене меню. У ньому навпроти рядка «журнали виндовс», натисніть на маленький трикутничок і виберіть система.

Тепер можете ознайомитися з усіма помилками вашого комп'ютера. Їх знайти легко. Вони в верхньому вікні, позначені червоними крапками (колами), менш важливі - жовтими - це попередження.

У нижньому вікні вказуються причини виникнення неполадок. Зазвичай новачкам самостійно в них розібратися неможливо.

Тому з того що там зазначено, сформулюйте логічно правильне питання і шукайте відповідь в пошуковій системі.

Тепер знаючи де журнал подій windows - багато недоліків (помилки, несправності), при правильному підході зможете вирішити самі, в крайньому випадку, зверніться в сервіс, вказавши фахівцям що написано в нижньому вікні.

Рубрики: Без рубрики

Всім величезний привіт !!

Ні для кого вже не секрет що в операційній системі Windows СІМ, точно так само як і в Windows Vista, є дві категорії журналів подій: журнали додатків і служб а також журнали Windows.

Журнали Windows - операційна система використовує для реєстрації загальносистемних подій, які пов'язані з роботою системних компонентів, додатків, безпекою і запуском. Журнали ж додатків і служб - додатками і службами використовуються для реєстрації подій, які пов'язані з їх роботою. Щоб керувати журналами подій можна використовувати оснастку "Перегляд подій" або програму командного рядка wevtutil
Хочу зупинитися на тому, як можна працювати з журналами подій:
Для того, щоб переглянути ці самі події журналу додатків нам необхідно виконати наступні дії:
Вибрати "Журнали Windows" в дереві консолі.
Вибрати журнал "Додатки".
При можливості бажано частіше переглядати журнали подій "Система" і "Додаток" і вивчати наявне проблеми і попередження, які можуть передбачити про проблеми в майбутньому. В середньому вікні при виборі журналу відображаються доступні події, включаючи дату події, рівень події, час і джерело, і інші дані.
На панелі "Область перегляду" показуються дані про події на вкладці "Загальні", а на вкладці "Подробиці" - додаткові специфічні дані.

Цю панель можна включити і вимкнути, якщо вибрати меню "Вид", і потім команду "Область перегляду".
Рекомендовано зберігати журнали за кілька останніх місяців для критичних систем. Весь час журналам призначати такий розмір, щоб вміщувалася в них вся інформація, як правило, не зовсім зручно, і тому це завдання вирішити можна по-іншому. Журнали можна експортувати в файли, які розташовано в заданій папці. Щоб зберегти обраний журнал треба виконати наступні дії:
Виберіть журнал подій, який необхідно зберегти в дереві консолі;
Вибирайте команду "Зберегти події як" з меню "Дія" або виберіть команду "Зберегти всі події як" з контекстного меню журналу;
У діалозі "Зберегти як" вибирайте папку, в яку файл повинен бути збережений. Якщо треба в новій папці зберегти файл, то можна її створити прямо з цього діалогу, використовуючи контекстне меню або на панелі дій кнопку "Нова папка". В поле "Тип файлу" необхідно з доступних вибрати бажаний формат файлу: файли подій - * .evtx, xml-файл - * .xml, текст з поділом табуляції - * .txt, csv з поділом запитом - * .csv. В поле "Ім'я файлу" вводите ім'я і натискайте на кнопку "Зберегти". Натисніть на кнопку "Скасувати" для скасування збереження.
У разі, якщо журнал подій для перегляду на іншому компі не призначений, залиште заданий за замовчуванням варіант "Не додавати відомості" в діалоговому вікні "Відображати відомості", а якщо журнал для перегляду на іншому комп'ютері призначається, то в діалоговому вікні "Відображати відомості" вибирайте варіант "Відображати відомості для наступних мов" і тисніть на кнопку "ОК".
Як працювати з журналами подій:
Перегляд подій
Якщо хочете переглянути події журналу додатків, виконуйте ці дії:
Виберіть "Журнали Windows" в дереві консолі;
Виберіть журнал "Додатки".
Бажано переглядати журнали подій "Система" і "Додаток" і вивчати наявні проблеми та попередження. При виборі журналу відображаються доступні події в середньому вікні.
Панель "Область перегляду" покаже на вкладці "Загальні" основні дані про події, а додаткові дані отоброзятся на вкладці "Подробиці". Включити і вимкнути можна цю панель, вибравши меню "Вид" і команду "Область перегляду".
Рекомендується для критичних систем зберігати журнали за останні місяці.

Весь час такий розмір призначати журналам, щоб в них вся інформація вміщувалася, як правило, незручно, вирішити задачу цю можна по-іншому. Можете експортувати журнали в файли, які розташовано в заданій папке.Чтоби зберегти обраний журнал виконайте дії:
У дереві консолі вибирайте журнал подій, який треба зберегти;
Вибирайте команду "Зберегти події як" з меню "Дія" або виберіть команду "Зберегти всі події як" з меню журналу;
У діалозі "Зберегти як" вибирайте папку, в якій файл повинен бути збережений. Якщо файл потрібно зберегти в новій папці, то можна її створити з цього діалогу, використовуючи контекстне меню або на панелі дій кнопку "Нова папка". В поле "Тип файлу" вибирайте потрібний формат файлу із запропонованих: файли подій - * .evtx, текст з поділом табуляції - * .txt,
xml-файл - * .xml,
csv з поділом запитом - * .csv. В поле "Ім'я файлу" ввести ім'я і тисніть на кнопку "Зберегти". Для скасування збереження тисніть на "Скасувати"; У тому випадку, якщо не призначається для перегляду на іншому комп'ютері журнал подій, в діалоговому вікні "Відображати відомості" залиште варіант "Не додавати відомості" заданий за замовчуванням, а якщо призначається для перегляду на іншому комп'ютері журнал, то в діалоговому вікні "Відображати відомості "вибирайте варіант" Відображати відомості для наступних мов "і тисніть" ОК ".
Очищення журналу подій
Виберіть журнал подій в дереві консолі, який треба очистити; Очистіть журнал одним із способів:
В меню "Дія" вибирайте команду "Очистити журнал"
На обраному журналі натисніть для відкриття контекстного меню правою кнопкою. У контекстному меню вибирайте команду "Очистити журнал"
Далі можна очистити журнал або заархівувати його в разі, якщо це раніше не було зроблено:
Якщо журнал подій очистити без збереження тисніть на кнопку "Очистити";
Щоб журнал подій очистити після його збереження тисніть на "Зберегти і очистити". У діалозі "Зберегти як" оберіть папку, в яку файл повинен бути збережений. Якщо потрібно в новій папці зберегти файл, то можна її створити з цього діалогу, використовуючи контекстне меню або на панелі дій кнопку "Нова папка". В поле "Ім'я файлу" вводите ім'я і тисніть на "Зберегти". Для скасування збереження жати "Скасування" .Уф ніби все але якщо не зрозуміло то чекаю ваших коментарів.

На цьому Все і до нових зустрічей ....