Журнал ошибок в Windows 10

«Журнал ошибок» в Виндовс 10

Упомянутый ранее журнал — это лишь малая часть системного инструмента «Просмотр событий», который по умолчанию присутствует во всех версиях Windows 10. Далее мы разберем три важных аспекта, связанных с журналом ошибок — включить ведение журнала, запустить «Просмотр событий» и анализ системных сообщений.

Включение логирования

Чтобы система записывала все события в лог, необходимо его включить. Для этого выполните следующие действия:

1. Щелкните правой кнопкой мыши в любом месте панели задач. В контекстном меню выберите «Диспетчер задач».
2. В открывшемся окне перейдите на вкладку «Услуги», а затем нажмите кнопку «Открыть услуги» на самой странице в самом низу».
3. Затем в списке служб нужно найти «Журнал событий Windows». Убедитесь, что он запущен и работает автоматически. Об этом должны свидетельствовать надписи в столбцах «Статус» и «Тип запуска».
4. Если значение указанных строк отличается от тех, что вы видите на скриншоте выше, откройте окно редактора сервиса. Для этого дважды щелкните левой кнопкой мыши по названию. Затем измените «Тип запуска» на «Автоматически» и активируйте саму службу, нажав кнопку «Пуск». Нажмите «ОК» для подтверждения».

После этого остается проверить, активирован ли файл подкачки на компьютере. Дело в том, что при его отключении система просто не сможет уследить за всеми событиями. Поэтому очень важно установить значение виртуальной памяти не менее 200 МБ. Об этом напоминает сама Windows 10 в сообщении, возникающем при полном отключении файла подкачки.

О том, как использовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Проверьте это, если необходимо.

Подробнее: Включение файла подкачки на ПК с Windows 10

Выяснили включение логирования. Теперь мы идем дальше.

Запуск «Просмотра событий»

Как мы упоминали ранее, журнал ошибок является частью стандартной оснастки средства просмотра событий. Это очень легко начать. Это делается следующим образом:

1. Нажмите одновременно клавиши «Windows» и «R» на клавиатуре».
2. В строке открывшегося окна введите eventvwr.msc и нажмите «Enter» или кнопку «ОК» ниже.

В результате на экране появится главное окно упомянутого инструмента. Обратите внимание, что существуют и другие методы, позволяющие запустить «Просмотр событий». О них мы подробно рассказывали ранее в отдельной статье.

Анализ журнала ошибок

После запуска средства просмотра событий вы увидите на экране следующее окно.

В левой части находится древовидная система разделов. Нас интересует вкладка «Windows Logger». Нажмите на название один раз ЛКМ. В результате вы увидите список вложенных подразделов и общую статистику в центральной части окна.

Для дальнейшего анализа необходимо перейти в подраздел «Система». Он содержит большой список событий, которые ранее происходили на компьютере. Всего можно выделить четыре типа событий: критические, ошибки, предупреждения и информационные. Кратко расскажем о каждом из них. Обратите внимание, что мы не можем только физически описать все возможные неисправности.

Их много и все они зависят от разных факторов. Поэтому, если вы не можете что-то решить самостоятельно, вы можете описать проблему в комментариях.

Критическое событие

Это событие отмечено в журнале красным кружком с крестом внутри и соответствующей припиской. Нажав на название такой ошибки из списка, чуть ниже можно посмотреть общую информацию о событии.

Часто предоставленной информации достаточно, чтобы найти решение проблемы. В этом примере система сообщает, что компьютер был внезапно выключен. Чтобы ошибка больше не появлялась, достаточно правильно выключить ПК.

Подробнее: Выключите Windows 10

Для более продвинутого пользователя есть специальная вкладка «Подробности», где все события представлены с кодами ошибок и последовательно расписаны.

Ошибка

Этот тип мероприятия является вторым по значимости. Каждая ошибка отмечается в журнале красным кружком с восклицательным знаком. Как и в случае критического события, просто нажмите ЛКМ на название ошибки, чтобы просмотреть подробности.

Если вам не понятно какое-либо сообщение в поле «Общие», вы можете попробовать найти информацию об ошибке в сети. Для этого используйте название источника и код события. Они указаны в соответствующих столбцах напротив названия самой ошибки. Для решения проблемы в нашем случае нужно просто переустановить обновление с нужным номером

Предупреждение

Сообщения этого типа появляются в ситуациях, когда проблема не является серьезной. В большинстве случаев на них можно не обращать внимания, но если событие повторяется снова и снова, на него стоит обратить внимание.

Чаще всего причиной предупреждения является DNS-сервер, а точнее неудачная попытка программы подключиться к нему. В таких ситуациях программное обеспечение или инструмент просто ссылаются на альтернативный адрес.

Интеллект

Этот тип событий является самым безобидным и создан только для того, чтобы вы могли быть в курсе всего происходящего. Как следует из названия, сообщение содержит сводную информацию обо всех установленных обновлениях и программах, созданных точках восстановления и т д

Такая информация будет очень полезна тем пользователям, которые не хотят устанавливать стороннее ПО для просмотра последних действий Windows 10.

Как видите, процесс активации, запуска и анализа журнала ошибок очень прост и не требует от вас глубоких знаний ПК. Помните, что таким образом вы сможете найти информацию не только о системе, но и о других ее компонентах. Для этого просто выберите другой раздел в средстве просмотра событий.

Читайте также: Как распилитить жесткий диск на разделы: на два, три, несколько разделов

Как открыть журнал и посмотреть ошибки

Есть несколько способов открыть журнал событий.

Панель управления

1. 1. откройте поиск Windows и введите «Панель управления».

1. 1. В появившемся диалоговом окне выберите меню «Система и безопасность», «Администрирование».

1. Нажмите на ярлык просмотра событий».

Консоль Выполнить

Одновременно нажмите клавиши «Win» и «R» и во всплывающем окне на строке «Открыть» введите eventvwr.msc и нажмите Enter.

Где находится журнал событий Windows

Физически журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, их нельзя открыть с помощью Блокнота или любого другого текстового редактора, поскольку они имеют двоичный формат. Так как же просмотреть журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрен специальный общий инструмент eventvwr.

Как использовать содержимое журнала

Хорошо, теперь мы знаем, где находится журнал событий и как его открыть, осталось научиться им пользоваться. Сразу нужно сказать, что в силу своей специфики информация в нем мало что может рассказать о рядовом пользователе. Что означает, например, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не удалась в выделенное время ожидания»?

Пользователю, не обладающему нужными знаниями, будет непросто найти причину проблемы, с другой стороны, что мешает поискать ответ в Интернете?

Итак, описание вышеописанной ошибки есть на сайте Microsoft, и оно указывает на проблемы со SkyDrive, который, кстати, никакой угрозы не представляет. Если вы не используете эту службу, вы можете игнорировать ошибку или отключить источник в «Планировщике заданий». Вы также можете отправить описание ошибки разработчику, сохранив его в файле XML, CSV или TXT.

Пользователи также могут связывать отслеживаемые события с задачами в планировщике заданий. Для этого щелкните запись правой кнопкой мыши, выберите «Связать задачу с событием» и создайте нужную задачу с помощью запущенного мастера. В следующий раз, когда такое событие произойдет, система сама запустит задачу.

Как пользоваться функцией фильтрации

Давайте рассмотрим конкретный пример. Предположим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации — журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтровать текущий журнал».

Затем заполните вкладку «Фильтр»:

• В списке «Дата» выберите последние 7 дней.
• В разделе «Уровень события» вы отмечаете критические, ошибки и предупреждения.
• В списке «Источники событий» находим интересующий параметр. Если неизвестно, выберите все.
• Укажите коды событий (ID событий), о которых мы собираем информацию.
• При необходимости отметьте ключевые слова, чтобы сузить круг поиска и определить пользователя (если вас интересует информация о конкретном аккаунте).

Это интересно: Как войти в безопасный режим в Windows 10. Что делать, если не загружается безопасный режим

Вот как выглядит лог после того, как в нем осталось только то, что мы искали:

Как создавать настраиваемые представления

Пользовательские представления — это, как упоминалось выше, настраиваемые выборки событий, хранящиеся в отдельном каталоге. Они отличаются от обычных фильтров только тем, что хранятся в отдельных файлах и продолжают обновляться записями, соответствующими их критериям.

Чтобы создать настраиваемый вид, выполните следующие действия:

• Отметьте интересующий журнал в разделе каталога.
• Нажмите «Создать пользовательский вид» в разделе «Действие».
• Заполните настройки окна «Фильтр» по примеру выше.
• Сохраните фильтр под любым именем в выбранной директории.

Пользовательские представления позже можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий .evtx и назначать им задачи планировщика.

Очистка, удаление и отключение журнала

Файлы журналов занимают относительно немного места на жестком диске, но пользователю может потребоваться их очистить. Есть много способов сделать это: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной метод.

Необходимо зайти в журнал событий, щелкнуть правой кнопкой мыши по очищаемому журналу в левой колонке и выбрать в меню пункт «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться командной строкой, запущенной от имени администратора. Команда очистки выглядит так:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки вы также можете использовать консоль PowerShell для быстрой и полной очистки журнала. Откройте его с повышенными привилегиями и выполните в нем следующую команду:

веб-утилита | Foreach-Object {wevtutil cl «$_»}

Очистка через PowerShell может оставить несколько записей в журнале. Не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, умеем его использовать и удалять, в завершение посмотрим, как отключить его полностью, хотя делать это без особой надобности не рекомендуется, так как некоторые сервисы, которые могут вам понадобиться, будут отключен вместе с журналом событий.

С помощью команды services.msc откройте оснастку «Службы», найдите справа «Журнал событий Windows», дважды щелкните его, выберите «Отключено» в открывшемся окне свойств и нажмите «Остановить». » кнопка».

Изменения вступят в силу после перезагрузки компьютера. Все, больше никаких системных и программных событий регистрироваться не будет.