Как использовать просмотр событий в Windows 10

В Windows 10 Event Viewer остается одним из самых эффективных и часто упускаемых из виду диагностических инструментов. Хотя это старый инструмент, он по-прежнему играет важную роль, поскольку собирает подробные журналы приложений, драйверов, служб и основных системных компонентов. Независимо от того, имеете ли вы дело с аппаратными сбоями, сбоями приложений, проблемами драйверов, системными ошибками или даже успешными операциями, Event Viewer, скорее всего, уже записал подробности.

Если вы когда-либо сталкивались с перезагрузкой компьютера без предупреждения, неожиданным зависанием или отображением синего экрана смерти (BSoD), решение может быть уже в журналах. По моему опыту, Event Viewer должен быть одним из первых мест для проверки, когда что-то идет не так с вашим компьютером. Даже если вы не сразу понимаете журналы, они часто содержат подсказки (временные метки, коды ошибок, предупреждения), которые могут помочь вам исправить проблему, исследовать ее или объяснить ее технической поддержке.

Обычно большинство пользователей игнорируют этот инструмент просто потому, что не знают о нем или считают его пугающим. Однако, как только вы поймете, как читать его журналы, он станет ценной частью вашего набора инструментов для устранения неполадок.

В этом руководстве я проведу вас через шаги, необходимые для навигации и использования Event Viewer в Windows 10. Мы рассмотрим, как получить к нему доступ, фильтровать события, понимать различные типы журналов и как использовать информацию в журналах для выявления и решения проблем. Event Viewer — это мощный инструмент, который поможет вам поддерживать работу Windows 10 в наилучшем состоянии.

Эти инструкции были обновлены для обеспечения точности и отражения изменений в процессе работы операционной системы.

Как использовать просмотр событий в Windows 10

В Windows 10 Event Viewer — это мощный инструмент для мониторинга производительности различных приложений и компонентов системы, а также для устранения неполадок. Эта программа позволяет регистрировать важные события, происходящие в системе, помогая вам выявлять и эффективно анализировать причины сбоев или потенциальных проблем. Независимо от того, являетесь ли вы системным администратором или продвинутым пользователем, понимание того, как использовать Event Viewer, может предоставить ценную информацию о состоянии вашей системы и помочь вам поддерживать ее стабильность.

Изучение пользовательского интерфейса Event Viewer

Чтобы открыть Event Viewer в Windows 10, просто откройте меню «Пуск» и выполните поиск по запросу «Event Viewer». Щелкните первый результат, чтобы запустить консоль.

Пользовательский интерфейс Event Viewer делится на четыре основные группы: Custom Views, Windows Logs, Applications and Services Logs и Subscriptions. Каждая группа хранит соответствующие журналы.

Хотя каждая группа может содержать различные журналы приложений и системы, обычно для исследования проблемы проверяются только журналы приложений, безопасности и системы в группе журналов Windows.

В журнале приложений вы найдете события, связанные с пользовательским интерфейсом и другими критически важными компонентами, необходимыми для запуска приложений. Журнал безопасности содержит события, связанные с попытками входа и функциями безопасности. Наконец, системный журнал записывает события, связанные с важными системными процессами, включая службы и приложения, установленные в Windows 10.

Просмотрщик событий классифицирует журналы по трем основным уровням событий:

• Ошибка: Указывает на серьезные проблемы, которые обычно требуют немедленного внимания.
• Предупреждение: Указывает на потенциальные проблемы, которые не являются критическими, но могут повлиять на производительность или поведение системы.
• Информация: Регистрирует стандартные операции и успешную реализацию процессов и услуг.

Хотя большинство приложений (особенно от Microsoft) регистрируют события в Event Viewer, это не всегда относится к сторонним программам. Многие сторонние приложения не всегда используют эту систему регистрации.

Также нормально видеть некоторые ошибки или предупреждения, даже если ваша система работает правильно. Например:

• Служба может не загрузиться во время запуска, но затем успешно перезапуститься.
• Если вы временно не можете подключиться к Интернету, могут возникнуть проблемы с синхронизацией службы времени Windows.
• Файл на сетевом ресурсе может стать недоступным из-за кратковременной потери соединения.
• Приложение может неожиданно аварийно завершить работу, но затем снова открыться и продолжить работу в обычном режиме.

Эти события обычно являются нормальными и ожидаемыми и не являются поводом для беспокойства, если только они не происходят часто или не оказывают отрицательного влияния на ваш бизнес.

В консоли Event Viewer вы можете выбрать любую из основных категорий (Application, Security или System) для доступа к подробной информации, включая количество зарегистрированных событий и их размер на диске. В качестве альтернативы, выбор Event Viewer (Local) на верхней левой панели обеспечивает централизованный обзор. Эта сводка включает недавно просмотренные журналы, сводку событий по категориям и сведения об общем состоянии вашей системы.

Если вы выберете одну из групп, справа отобразятся все события, а также информация об уровне, дате и времени создания, источнике, идентификаторе события и категории задачи. Для просмотра более подробной информации выберите событие, и информация отобразится в нижней части консоли. Также можно дважды щелкнуть событие, чтобы получить более подробную информацию.

В окне свойств события на вкладке «Общие» содержится понятное описание ошибки, предупреждения или информации.

Обычно описание должно предоставлять достаточно информации для понимания и решения проблемы. Однако идентификатор события также является важной частью информации, поскольку вы можете использовать его для поиска в Интернете дополнительной информации и возможных инструкций по устранению неполадок.

Поиск определенных записей в Event Viewer

Если вы ищете определенное событие в системных журналах, Event Viewer предоставляет два эффективных способа поиска этих событий: использование расширенных фильтров или поиск по ключевому слову.

Расширенный поиск с использованием фильтров

Для поиска определенного типа записи с использованием фильтров выполните следующие действия:

1. открыть меню Начать (никогда).
2. Ищу Просмотр событий (Просмотр событий) и выберите первый результат, чтобы открыть приложение.
3. Расширьте набор событий, которые вы хотите найти (например, журналы приложений или системные журналы).
4. Щелкните правой кнопкой мыши по категории, которую вы хотите отфильтровать, и выберите нужный параметр. «Фильтровать текущий журнал» (Фильтровать текущую запись).

• Быстрое примечание: С этой панели вы также можете получить доступ к другим популярным параметрам фильтрации. «Действие» (Действия) расположены в правой части окна просмотра событий.

5. Щелкните вкладку ФИЛЬТР (фильтрация).
6. Используйте раскрывающийся список «Зарегистрировано», чтобы выбрать временной диапазон, в течение которого могло произойти событие, включая:

• В любое время
• Последний час
• Последние 12 часов.
• Последние 24 часов.
• Последние 7 дней.
• Последние 30 дней.
• Индивидуальный ассортимент.

7. Выберите интересующий вас уровень мероприятия, включая:

• Критический (важный).
• Предупреждение.
• Подробный (подробный).
• Ошибка.
• Информация

8. (Необязательно) Укажите источники событий. Это могут быть одно или несколько приложений и служб, установленных в системе.
9. (Необязательно) Выберите Категория задачи (Категория задачи).
10. (Необязательно) Выберите или выделите ключевое слово, чтобы сузить круг поиска.
11. Оставьте выбор по умолчанию для Информация о пользователе (Пользователь) и компьютеры (компьютеры).
12. Нажмите кнопку OK (ХОРОШО).

После выполнения шагов соответствующие записи появятся отфильтрованными в консоли. Если вы хотите очистить текущий фильтр, щелкните правой кнопкой мыши группу и выберите опцию Очистить фильтр (Очистить фильтр).

Базовый поиск по ключевым словам

Чтобы выполнить поиск ошибки, предупреждения или информационного события с помощью ключевого слова в средстве просмотра событий, выполните следующие действия:

1. открыть меню Начать (никогда).
2. Ищу Просмотр событий (Просмотр событий) и выберите первый результат, чтобы открыть приложение.
3. Расширить группы событий.
4. Щелкните правой кнопкой мыши по категории и выберите опцию. Найти (исследовать).

Создание пользовательских представлений в Event Viewer

Если вы часто ищете одни и те же типы событий в системных журналах, Event Viewer предлагает возможность создания пользовательских представлений. Эта функция позволяет вам быстро фильтровать журналы, чтобы отображать только события, соответствующие вашим интересам, экономя ваше время и усилия на ручной поиск.

Чтобы создать пользовательское представление в средстве просмотра событий в Windows, выполните следующие действия:

1. Откройте меню. Начинать.
2. Найдите Просмотрщик событий, затем выберите первый результат, чтобы открыть приложение.
3. В левой части окна разверните группу, содержащую интересующие вас события. Например, вы можете развернуть «Журналы Windows».
4. Щелкните правой кнопкой мыши по категории, которую вы хотите отфильтровать, и выберите опцию «Создать пользовательский вид…» из раскрывающегося меню.

5. В окне «Создание пользовательского представления» щелкните вкладку Фильтр.
6. Используйте раскрывающееся меню "Logged", чтобы выбрать временной диапазон для событий, которые вы хотите включить в свой пользовательский вид. Вы можете выбрать из предопределенных опций, таких как "Last hour" или указать пользовательский временной диапазон.
7. Выберите вариант По журналу Определить источник событий.
8. Выберите категорию событий, которые вы хотите отфильтровать (например, Система) Использование настройки Журналы событий. Вы можете выбрать один или несколько журналов.

9. Выберите или подтвердите Ключевое слово Чтобы сузить круг отображаемых записей, вы можете ввести определенное ключевое слово для поиска в сведениях о событии.
10. Оставьте значения по умолчанию для обеих настроек. "Пользователь" и Компьютеры.
11. Щелкните кнопку ХОРОШО.
12. Введите описательное имя для пользовательского представления в диалоговом окне «Сохранить пользовательское представление фильтра», чтобы вы могли легко идентифицировать его позже.

Очистить журнал событий

В Windows 10 журналы событий помогают отслеживать состояние устройства и устранять неполадки, и рекомендуется хранить их как можно дольше. Однако вам может потребоваться очистить журнал событий, чтобы освободить место на диске или упростить отслеживание определенной проблемы.

Чтобы очистить журнал событий для определенной категории, выполните следующие действия:

1. Откройте меню. Начать.
2. Найдите Просмотр событий (Просмотр событий) и выберите первый результат, чтобы открыть приложение.
3. Разверните группу, содержащую нужное событие.
4. Щелкните правой кнопкой мыши по категории, историю которой вы хотите очистить, а затем выберите опцию Очистить журнал (Очистить историю).

5. Щелкните кнопку Очистить (удалить)

Быстрая заметкаЕсли вы хотите заархивировать журнал событий в файл за пределами Event Viewer, вы также можете нажать кнопку «Сохранить и очистить» (Сохранить и стереть). Эта функция полезна для резервного копирования записей перед их удалением.

После выполнения этих шагов существующие события будут удалены, и система начнет записывать новые события. Рекомендуется сделать резервную копию важных журналов перед их удалением на случай чрезвычайной ситуации.