Как посмотреть журнал событий Windows 7. Журнал виндовс


Журнал событий Windows 7 | Компьютерная помощь КомСервис

журнал событий windows 7Здравствуйте читатели блога компании КомСервис (г. Набережные Челны). В этой статье рассмотрим журнал событий Windows 7. Операционная система записывает практически всё, что с ней происходит в этот журнал. Просматривать его удобно с помощью приложения Просмотр событий, которое устанавливается вместе с Windows 7. Сказать что записываемых событий много — ничего не сказать. Их тьма. Но, запутаться в них сложно так как все отсортировано по категориям.

Благодаря журналу событий специалистам и простым пользователям гораздо легче найти ошибки и исправить ее. Говоря легче я не имел в виду легко. Практически всегда для исправления повторяющейся ошибки придется сильно пользоваться поиском и перечитать кучу материала. Иногда это стоит того, что бы избавиться от нестандартного поведения операционной системы.

Структура статьи

  1. Запуск и обзор утилиты Просмотр событий
  2. Свойства событий
  3. Журналы событий
  4. Работа с журналами событий Windows 7
  5. Заключение
  6.  

    1. Запуск и обзор утилиты Просмотр событий

    Что бы операционная система успешно заполняла журналы событий необходима что бы работала служба Журнал событий Windows за это отвечающая. Проверим запущена ли эта служба. В поле поиска главного меню Пуск ищем Службы

    поиск утилиты службы

    Находим службу Журнал событий Windows и проверяем Состояние — Работает и Тип запуска — Автоматически

    служба журнал событий windows

    Если у вас эта служба не запущена — дважды кликаете на ней левой мышкой и в свойствах в разделе Тип запуска выбираете Автоматически. Затем нажимаете Запустить и ОК

    запуск службы журнал событий windows

    Служба запущена и журналы событий начнут заполняться.

    Запускаем утилиту Просмотр событий воспользовавшись поиском из меняю Пуск

    поиск утилиты просмотр событий

    Утилита по умолчанию имеет следующий вид

    утилита просмотр событий

    Многое здесь можно настроить под себя. Например с помощью кнопок под областью меню можно скрыть или отобразить Дерево консоли слева и панель Действия справа

    кнопки настройки отображения панелей

    Область по центру внизу называется Областью просмотра. В ней показываются сведения о выбранном событии. Ее можно убрать сняв соответствующую галочку в меню Вид или нажав на крестик в правом верхнем углу области просмотра

    область просмотра

    Главное поле находится по центру вверху и представляет из себя таблицу с событиями журнала который вы выбрали в Дереве консоли. По умолчанию отображаются не все столбцы. Можно добавить и поменять их порядок отображения. Для этого по шапке любого столбца жмем правой мышкой и выбираем Добавить или удалить столбцы…

    добавить и удалить столбцы

    В открывшемся окошке в колонку Отображаемые столбцы добавляете необходимые столбики из левого поля

    добавление и удаление столбцов

    Для изменения порядка отображения столбцов в правом поле выделяем нужный столбец и с помощью кнопок Вверх и Вниз меняем месторасположение.

     

    2. Свойства событий

    Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

    свойства событий

    Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

    свойства события

    На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

     

    3. Журналы событий

    В операционной системе Windows 7 журналы делятся на две категории:

  • Журналы Windows
  • Журналы приложений и служб

журналы windows 7

В журналы Windows попадает информация связанная только с операционной системой. В журналы приложений и служб соответственно о всех службах и отдельно-установленных приложениях.

Все журналы располагаются по адресу

%SystemRoot%System32WinevtLogs = C:WindowsSystem32winevtLogs

Рассмотрим основные из них

Приложение — записываются события о утилитах которые устанавливаются с операционной системой

Безопасность — записываются события о входе и выходе из Windows и фиксирование доступа к ресурсам. То есть, если пользователь не туда полез это скорее всего запишется в событии

Установка — записываются события о установке и удалении компонентов Windows. У меня этот журнал пуст наверное потому что не изменял никаких компонентов системы

Система — записываются системные события. Например сетевые оповещения или сообщения обновления антивируса Microsoft Antimalware

Перенаправленные события — записываются события перенаправленные с других компьютеров. То есть на одном компьютере администратора сети можно отслеживать события о других компьютерах в сети если сделать перенаправление

ACEEventLog — эта служба появилась сегодня после обновления драйверов от AMD. До этого момента ее не было. Если у вас компьютер на базе процессора AMD или укомплектован видеокартой AMD, то скорее всего у вас она также будет

Internet Explorer — записываются все события связанные со встроенным браузером в Windows

Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.

Media Center, Windows PowerShell и События оборудования — эти три журнала у меня пусты. Соответственно если в системе возникают какие-либо события относящиеся к этим компонентам они будут записаны. Журнал События оборудования необходимо как-то включить (кто знает просьба поделиться в комментариях).

У журналов так же есть свои Свойства. Что бы их посмотреть жмем правой кнопкой мышки на журнале и в контекстном меню выбираем Свойства

свойства журнала событий

В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт

свойства журнала - приложение

Так же установлена галочку Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.

В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, что бы можно было в случае нештатной ситуации отследить когда началась неисправность.

 

4. Работа с журналами событий Windows 7

Работа заключается в сортировке, группировке, очистке журналов и создании настраиваемых представлений для удобства нахождения тех или иных событий.

Сортировка событий

Выбираем любой журнал. Например Приложение и в таблице по центру кликаем по шапке любого столбца левой кнопкой мышки. Произойдет сортировка событий по этому столбцу

сортировка событий

Если вы еще раз нажмете то получите сортировку в обратном направлении. Принципы сортировки такие же как и для проводника Windows. Ограничения в невозможности выполнить сортировку более чем по одному столбцу.

Группировка событий

Для группировки событий по определенному столбцу кликаем по его шапке правой кнопкой мышки и выбираем Группировать события по этому столбцу. В примере события сгруппированы по столбцу Уровень

группировка событий

В этом случае удобна работать с определенной группой событий. Например с Ошибками. После группировки событий у вас появится возможность сворачивать и разворачивать группы. Это можно делать и в самой таблице событий дважды щелкнув по названию группы. Например по Уровень: Предупреждение (74).

Для удаления группировки необходимо снова кликнуть по шапке столбца правой кнопкой мышки и выбрать Удалить группировку событий.

Очистка журнала

Если вы исправили ошибки в системе приводившие к записи событий в журнале, то вероятно вы захотите очистить журнал, что бы старые записи не мешали диагностировать новые состояния компьютера. Для этого нажимаем правой кнопкой на журнале который нужно очистить и выбираем Очистить журнал…

В открывшемся окошке мы можем просто очистить журнал и можем Сохранить его в файл перед очищением

очистить журнал

Сохранить и очистить предпочтительно, так как удалить всегда успеем.

Настраиваемые представления

Настроенные сортировки и группировки пропадают при закрытии окошка Просмотр событий. Если вам приходится часто работать с событиями то можно создать настраиваемые представления. Это определенные фильтры которые сохраняются в соответствующем разделе дерева консоли и никуда не пропадают при закрытии Просмотра событий.

Для создания настраиваемого представления нажимаем на любом журнале правой кнопкой мышки и выбираем Создать настраиваемое представление…

создать настраиваемое представление

В открывшемся окошке в разделе Дата выбираем из выпадающего списка диапазон времени за который нам нужно выбирать события

создание настраиваемого представления

В разделе Уровень события ставим галочки для выбора важности событий.

Мы можем сделать выборку по определенному журналу или журналам или по источнику. Переключаем радиобокс в нужное положение и из выпадающего списка устанавливаем необходимые галочки

выбор журналов для настраиваемого представления

Можно выбрать определенные коды событий что бы они показывались или не показывалась в созданном вами представлении.

Когда все параметры представления выбрали жмем ОК

В появившемся окошке задаем имя и описание настраиваемого представления и жмем ОК

сохранить фильтр в настраиваемое представление

Для примера создал настраиваемое представление для Ошибок и критических событий из журналов Приложение и Безопасность

отображение событий в соответствии с настраиваемым представлением

Это представление в последствии можно редактировать и оно никуда не пропадет при закрытии утилиты Просмотр событий. Для редактирования нажимаем на представлении правой кнопкой мышки и выбираем Фильтр текущего настраиваемого представления…

фильтр текущего настраиваемого представления

В открывшемся окошке делаем дополнительные настройки в представлении.

Можно провести аналогию Настраиваемого представления с сохраненными условиями поиска в проводнике Windows 7.

 

Заключение

В этой статье мы рассмотрели журнал событий Windows 7. Рассказали про практически все основные операции с ним для удобства нахождения событий об ошибках и критических событий. И тут возникает закономерный вопрос — «А как же исправлять эти ошибки в системе». Здесь все сильно сложнее. В сети информации мало и поэтому возможно придется затратить уйму времени на поиск информации. Поэтому, если работа компьютера в целом вас устраивает, то можно этим не заниматься. Если же вы хотите попробовать поправить смотрите видео ниже.

Так же с помощью журнала событий можно провести диагностику медленной загрузки Windows 7.

Буду рад любым комментариям и предложениям.

Благодарю за то, что поделились статьей в социальных сетях. Всего Вам Доброго!

Источник: youpk.ru

comservice-chelny.ru

Консоль “Просмотр событий” | Энциклопедия Windows

Консоль Просмотр событий позволяет отслеживать работу аппаратного и программного обеспечения, а также контролировать события службы безопасности Windows XP.

Событие — это любое значительное происшествие в работе системы. При возникновении многих внутренних системных событий во время работы Windows XP на экран выводятся сообщения об ошибках, вызванных различными причинами. В соответствующих журналах отображаются сведения о том, насколько то или иное событие опасно для системы в целом.

Если вы хотите знать, что на самом деле происходит во внутренней кухне Windows XP, вам непременно нужно просмотреть системные события, которые помогут найти часто зависающие программы, проблемные службы, выявить некоторые проблемы безопасности и т.д.

В Windows XP существуют различные типы файлов журналов, среди которых выделяются три стандартных.

  • Журнал приложений. Содержит события, зарегистрированные приложениями или программами. Журнал содержит ошибки и прочие события, определяемые разработчиком.
  • Журнал безопасности. Регистрирует события в работе системы безопасности. Журнал содержит такие события, как попытки входа в систему, использование системных ресурсов, создание, открытие и удаление файлов и прочие, определяемые системным администратором.
  • Журнал системы. Содержит записи, связанные с системными событиями, такими как запуск или выключение ПК, загрузка драйверов, ошибки и конфликты портов, оптических накопителей и аудиокарт. Регистрируемые события определяются Windows XP и не могут быть изменены пользователями и администратором.

Консоль Просмотр событий используется для выполнения таких задач.

  • Просмотр файлов журналов.
  • Сортировка, поиск и фильтрация событий.
  • Управление параметрами, влияющими на ведение записей в журнале.
  • Очистка журнала.
  • Архивирование журналов на диске для дальнейшего просмотра.

Работа с журналами

Для работы с журналами запустите консоль Просмотр событий из папки Администрирование (или раскройте меню Просмотр событий в консоли Управление компьютером).

Просмотр событий

В левой панели окна консоли выберите журнал для просмотра, содержимое которого будет показано в правой панели. Чтобы обновить содержимое журнала, можно использовать клавишу <F5>. Как правило, событие, которое произошло последним, располагается в верхней части списка.

Консоль Просмотр событий

Для изменения этого порядка на обратный выберите команду меню Вид>>От старых к новым. При необходимости выполните фильтрацию событий. В частности, на экран можно вывести события, произошедшие за определенный период, события, связанные с кодом или типом ошибок либо предупреждений. Для этого выберите команду меню Вид>>Фильтр. Укажите в диалоговом окне Свойства параметры поиска.

Для поиска в журнале того или иного события выберите команду меню Вид>>Найти и укажите в диалоговом окне Поиск-локальный параметры поиска. Для получения дополнительных сведений о каком-либо событии дважды щелкните на нем на правой панели окна консоли. Отобразится диалоговое окно Свойства: Событие, которое содержит сведения о выбранном событии.

Свойства события

Параметры журналов событий

Журналы событий могут принести огромную пользу для обнаружения неисправностей и прогнозирования возможных отказов в работе аппаратного обеспечения и всей системы. Наибольшую помощь журнал может оказать при поиске скрытых дефектов и неполадок в работе программного обеспечения.

Для использования журналов в качестве мощного инструмента предотвращения неполадок следует иметь представление о параметрах, которые отображаются в журналах.

В журналах регистрируется пять следующих видов событий.

  • Ошибка. Событие высшей категории, отображающее регистрацию серьезного события.
  • Предупреждение. Не самое серьезное событие, которое со временем может привести к ошибкам и переводу события в высшую категорию.
  • Уведомление. Несерьезное событие, которое свидетельствует об успешном завершении операции приложением, драйвером или службой.
  • Аудит успехов. Свидетельствует об успешном выполнении процедуры.
  • Аудит отказов. Свидетельствует о сбое при выполнении процедуры. Такие события нередко свидетельствуют о попытках доступа к ресурсам системы без соответствующих прав.

Каждый файл журнала представляет собой базу данных, состоящую из восьми столбцов, описанных далее.

  • Тип. Отображает один из пяти типов события.
  • Дата. Указывает дату регистрации события.
  • Время. Сообщает время регистрации события.
  • Источник. Указывает источник, который привел к регистрации события.
  • Категория. Отображает классификацию событий. Каждый из трех типов журналов имеет свою категорию.
  • Событие. Сообщает идентификационный номер события. Идентификатор присваивается событию на основе системы кодирования Microsoft. Каждому идентификатору соответствует определенный файл сообщения, причем это сообщение можно просмотреть в окне описания событий.
  • Пользователь. Содержит название учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию событий. Многие события связаны с определенными пользователями, и их имена указаны в этом поле. Информация особенно полезна для отслеживания событий в системе безопасности.
  • Компьютер. Указывает компьютер, на котором зарегистрировано событие. Значения в этом столбце отличаются в тех случаях, когда программа используется для обработки данных, экспортированных из различных журналов. Для экспорта журнала выберите название журнала и воспользуйтесь командой меню ДействиеðЭкспортировать список.

Параметры события

Существует ряд настроек, управляющих параметрами регистрации событий в журнале. Для просмотра или изменения параметров файла журнала щелкните правой кнопкой мыши на значке одного из журналов на левой панели окна консоли и выберите команду Свойства, после чего перейдите на вкладку Общие.

Когда объем журнала достигнет максимального значения, новые события не будут регистрироваться. Поэтому журнал можно периодически очищать с помощью команды меню Действие>>Стереть все события, но в этом обычно нет необходимости, поскольку на вкладке Общие по умолчанию выбрано удаление всех событий, старше 7 дней. Большинство базовых параметров, указанных на этой вкладке, вполне приемлемы для большинства случаев. При наличии особых условий можно изменить некоторые параметры и сохранить зарегистрированные события, выбрав переключатель По достижении максимального размера журнала в положение Не затирать события (очистка журнала вручную).

Свойства события

Консоль Просмотр событий может показаться безмерно скучной, но, если вникнуть в нее как следует, она принесет свои безусловные плоды. Например, вы сможете наповал поразить своими знаниями девушку на первом свидании, после чего она непременно захочет встретиться с вами снова ;)

windata.ru

Файлы журналов (Windows)

Вы можете использовать журнал средства миграции пользовательской среды (USMT) 10.0, чтобы отслеживать выполнение миграции и диагностировать возникающие ошибки и сбои миграции. В этом разделе описаны доступные параметры командной строки, необходимые для использования журналов USMT, а также новые XML-элементы, с помощью которых можно указать, какие типы ошибок являются неустранимыми и должны привести к остановке миграции, а какие устранимы и должны быть пропущены, чтобы продолжить миграцию.

Параметры командной строки журнала

Журналы ScanState и LoadState

Журнал выполнения

Журнал файлов

Журнал диагностики

Параметры командной строки журнала

Ниже в таблице приводятся определения всех параметров командной строки для работы с журналами, указывается имя каждого журнала и описывается содержащийся в нем тип информации.

Параметр командной строкиИмя файлаОписание

/l[Path\]FileName

Scanstate.log или LoadState.log

Задает путь и имя файла для журнала ScanState.log или LoadState.log.

/progress[Path\]FileName

Задает путь и имя файла для журнала хода выполнения.

Содержит информацию о состоянии миграции (процент выполнения).

/v[VerbosityLevel]

Неприменимо

См. раздел "Параметры наблюдения" в материале Синтаксис ScanState.

/listfiles[Path\]FileName

Задает путь и имя файла для журнала Listfiles log.

Содержит список перенесенных файлов.

Установите значение переменной среды MIG_ENABLE_DIAG, указав путь к XML-файлу.

USMTDiag.xml

Журнал диагностики содержит подробную информацию о системной среде, пользовательской среде, о собираемых объектах миграции (migunits) и их содержимом.

 

Примечание  

Файлы журнала нельзя сохранять в каталоге StorePath. Если вы это сделаете, журнал будет перезаписан при запуске USMT.

 

Журналы ScanState и LoadState

Журналы ScanState и LoadState представляют собой текстовые файлы, создаваемые при работе средств ScanState и LoadState. Эти журналы помогают следить за ходом миграции. Содержимое журнала зависит от параметров командной строки и заданного уровня детализации. Подробнее об уровнях детализации см. в разделе "Параметры наблюдения" материала Синтаксис ScanState.

Журнал выполнения

Можно создать журнал выполнения, воспользовавшись параметром /progress. Внешние средства, например Microsoft System Center Operations Manager 2007, способны анализировать журнал выполнения и обновлять данные систем мониторинга. Первые три поля в каждой строке зафиксированы. Это поля:

  • Дата: дата в формате day shortNameOfTheMonth year. Например: 08 июня 2006.

  • Местное время: время в формате hrs:minutes:seconds (используется 24-часовое представление времени). Например: 13:49:13.

  • Время миграции: срок, в течение которого было запущено USMT, выраженное в формате hrs:minutes:seconds. Например: 0:00:10.

Остальные поля представляют собой пары "ключ-значение" (см. таблицу ниже).

КлючЗначение

program

ScanState.exe или LoadState.exe.

рroductVersion

Полный номер версии USMT.

computerName

Имя исходного или целевого компьютера, на котором запущено средство USMT.

commandLine

Полная команда, используемая для запуска USMT.

PHASE

Извещает о начале нового этапа миграции. Возможные значения:

  • Initializing (инициализация)

  • Scanning (сканирование)

  • Collecting (сбор данных)

  • Saving (сохранение)

  • Estimating (оценка)

  • Applying (применение)

detectedUser

  • Для средства ScanState отображаются пользователи, обнаруженные с помощью USMT на исходном компьютере, для которых возможна миграция.

  • Для средства LoadState отображаются пользователи, обнаруженные с помощью USMT в хранилище, для которого возможна миграция.

includedInMigration

Определяет, включен ли в миграцию профиль или компонент пользователя. Допустимые значения: Yes (да) или No (нет).

forUser

Задает одно из следующих значений.

  • Пользовательскую среду, для которой выполняется миграция.

  • This Computer, что означает: файлы и параметры не связаны с этим пользователем.

detectedComponent

Задание компонента, обнаруженного средством миграции пользовательской среды.

  • Для ScanState — компонент или приложение, установленное на исходном компьютере.

  • Для LoadState — компонент или приложение, обнаруженное в хранилище.

totalSizeInMBToTransfer

Указывает общий размер переносимых файлов и параметров в мегабайтах (МБ).

totalPercentageCompleted

Указывает общий процент миграции, выполненной средством ScanState или LoadState.

collectingUser

Указывает пользователя, для которого ScanState собирает файлы и параметры.

totalMinutesRemaining

Указывает примерное время завершения миграции в минутах.

error

Указывает тип возникшей некритической ошибки. Возможные значения:

  • UnableToCopy: не удается выполнить копирование в хранилище, поскольку диск, на котором размещено хранилище, заполнен.

  • UnableToOpen: не удается открыть файл для миграции, поскольку файл уже открыт с исключительными правами другим приложением или службой.

  • UnableToCopyCatalog: не удается выполнить копирование, поскольку хранилище повреждено.

  • UnableToAccessDevice: не удается получить доступ к устройству.

  • UnableToApply: невозможно применить этот параметр на целевом компьютере.

objectName

Указывает имя файла или параметра, вызвавшего некритическую ошибку.

action

Действие, предпринимаемое USMT при возникновении ошибки, которая не является неустранимой. Возможные значения:

  • Пропустить: некритическая ошибка пропускается, а миграция продолжается, поскольку параметр /c задан в командной строке.

  • Прервать: миграция остановлена, поскольку не указан параметр /c.

Код ошибки

Указывает код ошибки или возвращаемое значение.

numberOfIgnoredErrors

Общее количество некритических ошибок, пропущенных средством USMT.

message

Указывает сообщение, соответствующее коду ошибки.

 

Журнал файлов

Журнал файлов (Listfiles.txt) содержит список перенесенных файлов. Этот список можно использовать для диагностики проблем с XML-файлом или сохранить как перечень файлов, собранных в хранилище миграции. Журнал файлов доступен только при использовании ScanState.exe.

Журнал диагностики

Журнал диагностики можно сформировать, указав для переменной среды MIG_ENABLE_DIAG путь к XML-файлу.

Журнал диагностики содержит:

  • Подробные сведения о системной среде

  • Подробные сведения о пользовательской среде

  • Сведения о собираемых объектах миграции (migunits) и их содержимом

Использование журнала диагностики

Журнал диагностики по существу является отчетом обо всех объектах миграции, включенных в миграцию. Объект миграции — это коллекция данных, определяемая соответствующим ей компонентом XML-файла. Хранилище миграции образуют все включенные в миграцию объекты миграции. Журнал диагностики позволяет проверить, какие объекты миграции включены в миграцию, и устранить ошибки при создании XML-файлов миграции.

Далее в примерах описаны типичные сценарии, в которых можно использовать журнал диагностики.

Почему не выполняется миграция файла, если для него было создано правило включения?

Предположим, что имеется следующая структура каталогов и в миграцию нужно включить каталог data и файл "Новый текстовый документ.txt" из папки "Новая папка". Каталог C\data содержит:

01/21/2009 10:08 PM <DIR> . 01/21/2009 10:08 PM <DIR> .. 01/21/2009 10:08 PM <DIR> New Folder 01/21/2009 09:19 PM 13 test (1).txt 01/21/2009 09:19 PM 13 test.txt 2 File(s) 26 bytes

Каталог C\data\Новая папка содержит:

01/21/2009 10:08 PM <DIR> . 01/21/2009 10:08 PM <DIR> .. 01/21/2009 10:08 PM 0 New Text Document.txt 1 File(s) 0 bytes

Для миграции этих файлов создается следующий XML-файл миграции:

<?xml version="1.0" encoding="UTF-8"?> <migration urlid="http://www.microsoft.com/migration/1.0/TestSuite_BUGFIX"> <component context="System" type="Application"> <displayName>DATA1</displayName> <role role="Data"> <rules> <include> <objectSet> <pattern type="File">c:\data\ [*]</pattern> </objectSet> </include> </rules> </role> </component> </migration>

Однако при проверке миграции вы замечаете, что файл "Новый текстовый документ.txt" не включен в миграцию. Для диагностики этого сбоя можно повторить миграцию, задав для переменной среды MIG_ENABLE_DIAG параметр, обеспечивающий создание журнала диагностики. При поиске компонента "DATA1" в журнале диагностики обнаруживается следующий XML-раздел:

<MigUnitList> <MigUnit Name="&lt;System&gt;\DATA1 (CMXEAgent)" Context="System" ConfidenceLevel="100" Group="Applications" Role="UserData" Agent="CMXEAgent" Selected="true" Supported="true"> <Patterns Type="Include"> <Pattern Type="File" Path="C:\data [*]"/> </Patterns> </MigUnit> </MigUnitList> <Perform Name="Gather" User="System"> <MigUnit Name="&lt;System&gt;\DATA1 (CMXEAgent)"> <Operation Name="Store" Type="File" Path="C:\data" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data [test (1).txt]" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data [test.txt]" SimObj="false" Success="true"/> </MigUnit> </Perform>

Анализе этого XML-раздела показывает, что при обработке правила миграции был создан объект миграции. Раздел <Perform> содержит сведения о файлах, запланированных для сбора, и результаты операции сбора. Этот раздел не содержит файл "Новый текстовый документ.txt", и таким образом подтверждается, что правило миграции было создано неверно.

При анализе раздела руководства по XML-элементам выясняется, что тег <pattern> нужно изменить следующим образом:

<pattern type="File">c:\data\* [*]</pattern>

При повторном выполнении миграции после изменения тега в журнале диагностики обнаруживаются следующие сведения:

<MigUnitList> <MigUnit Name="&lt;System&gt;\DATA1 (CMXEAgent)" Context="System" ConfidenceLevel="100" Group="Applications" Role="UserData" Agent="CMXEAgent" Selected="true" Supported="true"> <Patterns Type="Include"> <Pattern Type="File" Path="C:\data\* [*]"/> </Patterns> </MigUnit> </MigUnitList> <Perform Name="Gather" User="System"> <MigUnit Name="&lt;System&gt;\DATA1 (CMXEAgent)"> <Operation Name="Store" Type="File" Path="C:\data" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data [test (1).txt]" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data [test.txt]" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data\New Folder" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data\New Folder [New Text Document.txt]" SimObj="false" Success="true"/> </MigUnit> </Perform>

Журнал диагностики подтверждает, что измененное значение тега <pattern> обеспечило миграцию файла.

Почему переносится файл, если для него было создано правило исключения?

В этом сценарии имеется следующая структура каталогов и требуется перенести все файлы каталога data, за исключением текстовых. Папка C\Data содержит:

Directory of C:\Data 01/21/2009 10:08 PM <DIR> . 01/21/2009 10:08 PM <DIR> .. 01/21/2009 10:08 PM <DIR> New Folder 01/21/2009 09:19 PM 13 test (1).txt 01/21/2009 09:19 PM 13 test.txt 2 File(s) 26 bytes

Папка C\Data\Новая папка содержит:

01/21/2009 10:08 PM <DIR> . 01/21/2009 10:08 PM <DIR> .. 01/21/2009 10:08 PM 0 New Text Document.txt 1 File(s) 0 bytes

Создается следующий XML-файл миграции:

<?xml version="1.0" encoding="UTF-8"?> <migration urlid="http://www.microsoft.com/migration/1.0/TestSuite_BUGFIX"> <component context="System" type="Application"> <displayName>DATA1</displayName> <role role="Data"> <rules> <include> <objectSet> <pattern type="File">c:\data\* [*]</pattern> </objectSet> </include> </rules> <rules> <exclude> <objectSet> <pattern type="File">c:\* [*.txt]</pattern> </objectSet> </exclude> </rules> </role> </component>

Однако при проверке миграции оказывается, что в миграцию включены все текстовые файлы. Для диагностики этой проблемы можно выполнить миграцию, задав для переменной среды MIG_ENABLE_DIAG параметр, обеспечивающий создание журнала диагностики. При поиске компонента "DATA1" в журнале диагностики обнаруживается следующий XML-раздел:

<MigUnitList> <MigUnit Name="&lt;System&gt;\DATA1 (CMXEAgent)" Context="System" ConfidenceLevel="100" Group="Applications" Role="UserData" Agent="CMXEAgent" Selected="true" Supported="true"> <Patterns Type="Include"> <Pattern Type="File" Path="C:\data\* [*]"/> </Patterns> <Patterns Type="Exclude"> <Pattern Type="File" Path="C:\* [*.txt]"/> </Patterns> </MigUnit> </MigUnitList> <Perform Name="Gather" User="System"> <MigUnit Name="&lt;System&gt;\DATA1 (CMXEAgent)"> <Operation Name="Store" Type="File" Path="C:\data" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data [test (1).txt]" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data [test.docx]" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data [test.txt]" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data\New Folder" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data\New Folder [New Text Document.txt]" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data\New Folder [test.docx]" SimObj="false" Success="true"/> </MigUnit> </Perform>

При анализе журнала диагностики подтверждается, что файлы по-прежнему переносятся и что проблема связана с созданным XML-правилом миграции. Для XML-скрипта миграции создается следующее обновление:

<?xml version="1.0" encoding="UTF-8"?> <migration urlid="http://www.microsoft.com/migration/1.0/TestSuite_BUGFIX"> <component context="System" type="Application"> <displayName>DATA1</displayName> <role role="Data"> <rules> <include> <objectSet> <pattern type="File">c:\data\* [*]</pattern> </objectSet> </include> </rules> <rules> <exclude> <objectSet> <pattern type="File">c:\data\* [*.txt]</pattern> </objectSet> </exclude> </rules> </role> </component> </migration>

Измененный XML-скрипт миграции позволяет исключить требуемые файлы из миграции, что подтверждает журнал диагностики:

<MigUnitList> <MigUnit Name="&lt;System&gt;\DATA1 (CMXEAgent)" Context="System" ConfidenceLevel="100" Group="Applications" Role="UserData" Agent="CMXEAgent" Selected="true" Supported="true"> <Patterns Type="Include"> <Pattern Type="File" Path="C:\data\* [*]"/> </Patterns> <Patterns Type="Exclude"> <Pattern Type="File" Path="C:\data\* [*.txt]"/> </Patterns> </MigUnit> </MigUnitList> <Perform Name="Gather" User="System"> <MigUnit Name="&lt;System&gt;\DATA1 (CMXEAgent)"> <Operation Name="Store" Type="File" Path="C:\data" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data [test.docx]" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data\New Folder" SimObj="false" Success="true"/> <Operation Name="Store" Type="File" Path="C:\data\New Folder [test.docx]" SimObj="false" Success="true"/> </MigUnit> </Perform>

Связанные разделы

Библиотека XML-элементов Синтаксис команды ScanState Синтаксис команды LoadState

 

 

technet.microsoft.com

Файлы журналов программы установки Windows

Установка Windows® создает файлы журналов для всех действий, выполняемых во время установки. При наличии проблем с установкой Windows просмотрите файлы журналов для поиска и устранения неполадок.

Файлы журналов установки Windows сохраняются в следующих каталогах:

Расположение файла журнала Описание

$windows.~bt\Sources\Panther

Местоположение журнала перед доступом установки к диску.

$windows.~bt\Sources\Rollback

Расположение журнала при откате установки в случае неустранимой ошибки.

%WINDIR%\Panther

Расположение журнала действий установки после настройки диска.

%WINDIR%\Inf\Setupapi*.log

Используется для регистрирования установок устройств Plug and Play.

%WINDIR%\Memory.dmp

Местоположение дампа памяти для проверки на ошибки.

%WINDIR%\Minidump\*.dmp

Местоположение зарегистрированных мини-дампов для проверки на ошибки.

%WINDIR%\System32\Sysprep\Panther

Местоположение журналов программы Sysprep.

Установка Windows теперь позволяет просматривать события производительности установки Windows в средстве просмотра журнала событий Windows. Это упрощает просмотр действий, выполненных во время установки Windows, и позволяет просматривать статистику производительности для различных компонентов установки Windows. Для просмотра только необходимых записей в журнале можно использовать фильтр. Дополнительные сведения о средстве просмотра событий см. на данном веб-сайте Майкрософт (страница может быть на английском языке).

События производительности установки Windows регистрируются в файле журнала с именем Setup.etl, который находится в каталоге %WINDIR%\Panther всех установок Windows® 7.

Чтобы просмотреть эти журналы, необходимо воспользоваться средством просмотра событий в Windows 7, Windows Vista®, Windows Server® 2008 или Windows Server® 2008 R2.

Чтобы просмотреть эти журналы на компьютере под управлением Windows Vista без Windows AIK 2.0 или Windows OPK 2.0, необходимо из корневого каталога носителя с Windows 7 или Windows Server 2008 R2 запустить сценарий, который устанавливает поставщика отслеживания событий Windows. В командной строке введите:

cscript <WindowsDVD>:\sources\etwproviders\etwproviderinstall.vbs install <WindowsDVD>:\sources\etwproviders

где <WindowsDVD> - это буква DVD-диска Windows.

Просмотр журналов событий установки Windows

  1. Запустите средство просмотра событий, разверните узел «Журналы Windows», а затем выберите Система.
  2. На панели Действия выберите команду Открыть сохраненный журнал, а затем выберите файл Setup.etl. По умолчанию этот файл находится в каталоге %WINDIR%\Panther.
  3. В средстве просмотра событий отображается содержимое файла журнала.

Экспорт журнала в файл

Для сохранения журнала в XML- или текстовый файл введите в командной строке команду Wevtutil или Tracerpt. Дополнительные сведения об этих программах см. в справке командной строки. В следующих примерах показано, как можно использовать эти программы:

wevtutil qe /lf c:\windows\panther\setup.etl

Или:

tracerpt /l c:\windows\panther\setup.etl

systemscenter.ru

Журналы событий в Windows 7 (Часть 1) - Windows 7 - Windows 7 - Каталог статей

Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий». В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:

  • Просматривать события определенных журналов;
  • Применять фильтры событий и сохранять их для последующего использования в виде настраиваемых представлений;
  • Создавать подписки на события и управлять ими;
  • Назначать выполнение конкретных действий на возникновение определенного события.

Запуск приложения «Просмотр событий»

Приложение «Просмотр событий» можно открыть следующими способами:

  • Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Администрирование» и из списка административных компонентов стоит выбрать «Просмотр событий»;
  • Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Просмотр событий» и нажмите на кнопку «Добавить». Затем нажмите на кнопку «Готово», а после этого - кнопку «ОК»;
  • Воспользоваться комбинацией клавиш *+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите eventvwr.msc и нажмите на кнопку «ОК»;

*

Журналы событий в Windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

*

Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.

Свойства событий

Существует несколько свойств событий оснастки «Просмотр событий», которые подробно описаны немного ниже:

Источник – это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II.

Код события – это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий». Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок.

Уровень – это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:

  • Уведомление - обозначает изменение в приложении или компоненте, такое как возникновение информационного события, связанного с успешным действием, создание ресурса или запуск службы.
  • Предупреждение - обозначает предупреждение общего характера на неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания;
  • Ошибка - обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие;
  • Критическая ошибка - обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически;
  • Аудит успехов – успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
  • Аудит отказов – неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.

Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса.

Рабочий код - содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие.

Журнал - имя журнала, в который было записано данное событие.

Категория и задачи – определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.

Ключевые слова – это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден».

Компьютер – идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.

Дата и время – определяет дату и время возникновения данного события в журнале.

ИД процесса – представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс — это непосредственное выполнение этих инструкций

ИД потока – представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени. При выполнении некоторых задач такое разделение может достичь более эффективного использования ресурсов вычислительной машины

ИД процессора – представляет идентификационный номер процессора, обработавшего событие.

Код сеанса – это идентификационный номер сеанса на сервере терминалов, в котором произошло событие.

Время работы в режиме ядра – определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром.

Время работы в пользовательском режиме – определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы ввода\вывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода.

Загруженность процессора – это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.

Код корреляции – определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция — статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин.

ИД относительной корреляции – определяет относительное действие в процессе, для которого используется событие

Работа с журналами событий

Просмотр событий

На следующем скриншоте можно увидеть журнал «Приложения», в котором можно узнать сведения о событиях, недавних представлениях и доступных действиях. Для того чтобы просмотреть события журнала приложений, выполните следующие действия:

  1. В дереве консоли выберите «Журналы Windows»;
  2. Выберите журнал «Приложения».

*

Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будущем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.

Панель «Область просмотра» показывает основные данные о событиях на вкладке «Общие», а дополнительные специфические данные – на вкладке «Подробности». Включить и выключить эту панель можно, выбрав меню «Вид», а затем команду «Область просмотра».

Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:

  1. В дереве консоли выберите журнал событий, который нужно сохранить;
  2. Выберите команду «Сохранить события как» из меню «Действие» или из контекстного меню журнала выберите команду «Сохранить все события как»;
  3. В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Тип файла» нужно выбрать желаемый формат файла из доступных: файлы событий - *.evtx, xml-файл - *.xml, текст с разделением табуляции - *.txt, csv с разделением запятыми - *.csv. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить». Для отмены сохранения нажмите на кнопку «Отмена»;
  4. В том случае, если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне «Отображать сведения» оставьте заданный по умолчанию вариант «Не отображать сведения», а если журнал предназначается для просмотра на другом компьютере, то в диалоговом окне «Отображать сведения» выберите вариант «Отображать сведения для следующих языков» и нажмите на кнопку «ОК».

*

Очистка журнала событий

Иногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:

  1. В дереве консоли выберите журнал событий, который требуется очистить;
  2. Очистите журнал одним из следующих способов:
    • В меню «Действие» выберите команду «Очистить журнал»;
    • На выбранном журнале нажмите правой кнопкой для открытия контекстного меню. В контекстном меню выберите команду «Очистить журнал»;
  3. *

  4. Далее можно либо очистить журнал, либо заархивировать его в том случае, если это не было сделано ранее:
    • Чтобы очистить журнал событий без сохранения нажмите нажать на кнопку «Очистить»;
    • Чтобы очистить журнал событий после его сохранения нажмите на кнопку «Сохранить и очистить». В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить». Для отмены сохранения нужно нажать на кнопку «Отмена».

Установка максимального размера журнала

Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%\System32\Winevt\Logs\. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:

  1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
  2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;
  3. *

  4. В поле «Максимальный размер журнала (КБ)» установите требуемое значение при помощи счетчика или установите вручную без использования счетчика. В этом случае значение будет округлено до ближайшего числа, кратного 64 КБ так как размер файла журнала должен быть кратен 64 КБ и не может быть меньше 1024 КБ.

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Переписывать события при необходимости (сначала старые файлы) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;

Архивировать журнал при заполнении; не переписывать события – в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется.

Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически.

Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:

  1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
  2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;
  3. На вкладке «Общие», в разделе «При достижении максимального размера» выберите требуемый параметр и нажмите на кнопку «ОК».

*

Активация аналитического и отладочного журнала

Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:

  1. В дереве консоли найдите и выберите аналитический или отладочный журнал, который необходимо активировать;
  2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного аналитического или отладочного журнала;
  3. На вкладке «Общие» установите флажок на опции «Включить ведение журнала»

Открытие и закрытие сохраненного журнала

При помощи оснастки «Просмотр событий» можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в «Просмотре событий», может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:

  1. Выберите команду «Открыть сохраненный журнал» в меню «Действие» или из контекстного меню в дереве консоли;
  2. 3. В диалоговом окне «Открыть сохраненный журнал», передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. По умолчанию в диалоговом окне будут выведены все файлы журналов событий. Также при открытии можно выбрать тип файлов, которые нужно отображать в диалоге открытия. Доступные типы файлов: файлы журнала событий (*.evtx, *.evt, *.etl), а также файлы событий (*.evtx), старые файлы событий (*.evt) или файлы журнала трассировки (*.etl). После того, как нужный файл журнала будет найден, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку «Открыть».
  3. *

  4. В диалоге «Открыть сохраненный журнал», в поле «Имя» введите новое имя, которое будет использоваться для журнала в дереве консоли. Оно используется только для представления журнала в дереве консоли и имя файла журнала при этом не изменяется Можно также использовать существующее имя файла журнала. В поле «Описание» введите описание журнала. Оно будет отображаться в центральной области при выделении родительской папки журнала в дереве консоли;
  5. Для создания папки, в которой будет расположен сохраненный журнал, нажмите на кнопку «Создать папку». В поле «Имя» введите имя папки, в которой будет находиться открытый журнал, а затем нажмите кнопку «ОК». Если родительская папка не выбрана, новая папка будет расположена в папке «Сохраненные журналы».
  6. *

  7. Для того чтобы открытый журнал событий стал недоступным для других пользователей компьютера, вы можете снять флажок «Все пользователи». В том случае, если этот флажок останется активным, открытый журнал будет доступен всем пользователям, но для его удаления из дерева консоли потребуются права администратора;
  8. Для открытия журнала, нажмите на кнопку «ОК».

Для того чтобы удалить открытый журнал их дерева событий, выполните следующие действия:

  1. В дереве консоли выберите журнал, который следует удалить;
  2. Выберите команду «Удалить» из меню «Действие» или из контекстного меню выбранного журнала;
  3. *

  4. В диалоге «Просмотр событий» нажмите на кнопку «Да».

Заключение

В этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками.

antonov-andrey.ucoz.ru

Как посмотреть журнал событий Windows 7. Совет

В операционной системе Microsoft Windows все программные и аппаратные события записываются в так называемый журнал событий, благодаря чему администратор может просматривать и анализировать информацию об этих событиях. О том, как посмотреть журнал событий Windows 7, расскажет сборник советов AnyDayLife.

Просмотр журнала событий в ОС Windows 7 может потребоваться, если, к примеру, произошла какая-то ошибка в самой системе или приложениях либо же произошел какой-нибудь аппаратный сбой. В этом случае анализ событий из журнала поможет установить причину ошибки и затем исправить ее.

Доступ к журналу событий в Windows 7 осуществляется с помощью «Панели управления» (вызывается через меню «Пуск»). После открытия «Панели управления» необходимо найти пункт «Администрирование» и в открывшемся окне найти пункт «Просмотр событий». Открывшееся в результате окно — это и есть искомый журнал событий.

В журнале событий основная часть окна отведена для отображения сводки административных событий, перечня недавно просмотренных узлов, а также сводки журнала. В левой части окна отображается проводник по журналу, а правая часть отведена под меню доступных действий с журналом и сохраненными в нем событиями.

В ОС Windows 7 есть 2 категории журналов событий. Это журналы Windows и журналы приложений и служб. В журналы Windows операционная система заносит данные об общесистемных событиях, которые связаны с запуском ОС, безопасностью, работой системных компонентов и приложений. В журналы приложений и служб в свою очередь заносятся данные о работе установленных на компьютере служб и приложений.

В категории журналов Windows представлено 5 журналов: «Приложение», «Безопасность», «Установка», «Система» и «Перенаправленные события». В категории журналов служб и приложений число журналов может варьироваться в зависимости от количества служб и приложений. При этом обязательными являются журналы «Windows PowerShell», «События оборудования», «Internet Explorer», «Key Management Service», «Media Center», а также папка журналов «Microsoft».

Каждый журнал событий содержит такие данные о зарегистрированном событии:

  • уровень — уровень важности зарегистрированного события;
  • дата и время — дата и время регистрации события;
  • источник — программа, которая зарегистрировала событие в журнале;
  • код события — число, по которому определяется тип события
  • категория задачи — категория события;
  • общие сведения — общие сведения о событии;
  • подробности — подробное описание события.

Итак, основная структура журнала событий Windows 7 ясна. А какие же действия доступны при просмотре журнала событий?

Помимо непосредственно анализа зарегистрированных в журнале событий администратор системы может при необходимости экспортировать журнал событий в файл, очищать журнал событий, устанавливать его максимальный размер. Кроме того, администратор системы имеет возможность выполнять фильтрацию событий с помощью создания настраиваемых представлений, привязывать задачи к событиям, сохранять выбранные события и т. д.

Просмотр журнала событий Windows 7 позволяет более гибко управлять системой, выявлять ошибки в работе системы и установленных на ней приложений. Стоит регулярно просматривать журнал событий, чтобы полноценно контролировать работу операционной системы Windows 7.

Как посмотреть журнал событий Windows 7

anydaylife.com


Смотрите также