Просмотр событий в Windows 10

Event Viewer - средство просмотра событий.

Если что-то случается в Windows, почти всегда, об этом остаётся запись на системном диске. Как и предыдущие версии, Windows 10 хранит большое количество логов о своей деятельности. В первую очередь это требуется ИТ-специалистам и технической поддержке, которые используют их для устранения неполадок или в попытке понять работу определённого компонента.

Для просмотра содержимого этих журналов, Windows 10 использует последнюю версию встроенного средства просмотра событий. Большинство людей только слегка касались этого удивительно мощного инструмента поиска и устранения неполадок. Обычно он используется для отслеживания проблем на одном компьютере, но ИТ-специалисты, для устранения неполадок, легко могут подключаться к удалённому компьютеру не покидая службы поддержки. Поиск информации в журналах событий занимает некоторое время, а должная интерпретация этих событий может быть сложной задачей.

Попробуем понять некоторые скрытые силы средства просмотра событий.

Обзор средства просмотра событий

Хотя вы можете начать просмотр событий, покопавшись в панели управления, самый простой способ открыть эту консоль, ввести в поле поиска event/события, а затем, в верхней части списка результатов поиска, щёлкнуть ярлык средства просмотра событий. Альтернативный вариант щёлкнуть правой кнопкой мыши на значке "Пуск" (или нажать клавишу Windows+X), а затем выбрать из меню быстрых ссылок средство просмотра событий. Если вы предпочитаете полное имя команды, введите в поле «Выполнить» или в любой командной строке eventvwr.exe или eventvwr.msc.

Если расширение имени файла .msc не объясняет, что это приложение использует оснастку консоли управления Microsoft (MMC), главное окно должно убрать все сомнения. Вид по умолчанию, предлагает знакомое расположение трёх панелей. С элементом управления дерева навигации в левой панели, действиями справа и полезным резюме последних событий в центре.

Эта страница обзор и резюме отправная точка для просмотра событий. Предлагает представление последних событий в свёртываемом, классифицированном по уровню серьёзности списке.

При открытии средства просмотра событий, левая навигационная панель свёрнута, и вверху выбран (локальный) узел просмотра событий. Суммарный вид административных событий предоставляется в центре.

Просмотр журналов событий на удалённом компьютере

Как и многие из своих братьев в средствах администрирования Windows, средство просмотра событий может подключаться к удалённому компьютеру, так что администратор может просматривать и управлять журналами событий, не покидая своего кабинета.

Выберите действие - подключиться к другому компьютеру, чтобы открыть диалоговое окно, в которое можно ввести имя компьютера или IP-адрес. (Для этой функции также можно использовать средство командной строки Wevtutil.) Пошаговые инструкции смотрите в статье TechNet «Работа с журналами событий на удалённом компьютере» https://technet.microsoft.com/library/cc766438.aspx.

Даже если система работает безупречно, резюме административных событий стоит проверять как можно чаще. Показанные здесь записи журнала, делятся на шесть категорий, перечисленных в порядке убывания по их важности:

 Критические. Этот тип событий указывает на сбой в приложении или части операционной системы, которые не могут быть восстановлены автоматически. Здесь появляются STOP ошибки (как синий экран смерти). Любое событие, которое появляется в этой категории, заслуживает тщательного устранения неполадок.
 Ошибка. Перечисленные здесь проблемы, как правило, влияют на функциональность приложения или части операционной системы, восстановление которой может оказаться невозможным. Некоторые ошибки безвредны, их можно смело игнорировать, а другие указывают на сбои в аппаратных драйверах или периферийных устройствах, которые стоит изучить.
 Предупреждение. Эти события, как правило, несерьёзны, но могут быть признаком временных вопросов (таких, как отсутствие сетевого подключения) или проблем с конфигурацией.
 Информация. Записи в этой категории, как правило, отчёты о состоянии. Например, здесь вы найдёте отчёты об успешных инсталляциях из клиента Windows Update. Как правило, в ответ на эти события, никаких действий не требуется.
 Успешная проверка а также Неудачная проверка. Эти данные поступают из журналов безопасности и указывают, удалось или не удалось осуществление права пользователя. Имеют небольшой интерес для поиска неисправностей. Хотя могут представлять интерес для профессиональной безопасности, отслеживающей необычную активность с этой учётной записи пользователя.

Windows составляет события из нескольких журналов: Windows логов (приложений, безопасности и системы). События из всей операционной системы; журналы установок, логи приложений и служб, хранящих события из одного приложения или компонента операционной системы.

Резюме сочетает в себе наиболее важные из этих событий в едином представлении, где вы можете свернуть или развернуть каждый из разделов и увидеть больше деталей. На рисунке ниже, нажат знак плюс, слева от заголовка «Ошибки», чтобы развернуть его и отобразить полный список событий в этой категории. (При развёрнутом списке, в поле отображается знак минуса, на который вы можете нажать и снова свернуть категорию.)

В резюме административных событий, вы можете развернуть любую категорию и увидеть подробные, отсортированные по идентификатору события, данные об аварийных ошибках.

Каждая строка в разделе суммарных административных событий перечисляет основные сведения об этой группе: идентификатор события (числовой код, который можно использовать для поиска технических деталей и советы по устранению неисправностей), источник события, и из какого журнала это событие поступило. Общая информация, справа, разбита на три колонки, показывая, сколько раз событие в этой категории произошло за последний час, последние 24 часа и за прошедшую неделю.

Двойной клик по любой строке, открывает сводку всех событий в этой категории. Суммарная страница событий имеет заранее настраиваемый вид, который генерируется автоматически и содержит гораздо более детальную информацию (в том числе дата и время) о каждом событии в списке. Например, на рисунке ниже показан полный список событий, генерируемых после запуска ПК Windows 10, DeviceSetupManager.

Двойной щелчок на любую запись в административном резюме, генерирует подробный список, полную информацию, которую вы можете использовать для определения, нуждается ли эта ошибка в большем внимании.

На этом примере становится ясно, что источник этого события DeviceSetupManager, не выполняется как ожидалось. В этом списке видно, что все ошибки произошли в течение нескольких секунд друг от друга. Стоит ли об этом беспокоиться? Как вы можете видеть на рисунке, выбранная в списке запись отображает, в области предварительного просмотра в нижней части окна просмотра событий, её детали. С помощью клавиш со стрелками перемещайтесь вверх и вниз по списку, чтобы быстро получить представление об частых ошибках.

В этом случае, можно использовать данные из этого списка, в частности, событие с кодом 131 из DeviceSetupManager, для получения дополнительной информации и подтверждения того, что ошибки, хотя и раздражающие по частоте, не были серьёзными, и, вероятно, были вызваны проблемой на другом конце сети, вне вашего контроля.

Не теряйте сон из-за безвредных ошибок

Проведите достаточно времени в средстве просмотра событий, и вы обнаружите, что его списки заполнены сообщениями об ошибках, которые не указывают на реальные проблемы. Иногда "ошибки" являются обычном результатом работы приложения, которое не обеспечивает Windows кодами событий для статуса сообщений. В результате, простое подтверждение, например, проверка лицензирования, может превратиться в ошибку, поскольку не удаётся найти соответствующее событию описание ID. Бывает очень заманчиво рассматривать каждую партию сообщений просмотра событий, как тайну, которую нужно решить, но ради производительности, часто бывает столь же полезно знать, когда эти события игнорировать.

Следующий рисунок показывает ошибку из другого источника, клиента DHCPv6. В этом случае, сведения об ошибке помогают определить проблему, которая была вызвана неправильной настройки DHCP-сервера локальной сети.

Область просмотра, под сводкой событий, показывает сведения для выбранного события. Вкладка «Общие» обычно содержит удобочитаемую сводку события.

В этой области просмотра можно увидеть две вкладки. Вкладка Общие содержит (как правило) понятное описание ошибки или информационное сообщение. Кликните вкладку сведения, чтобы выбрать из двух дополнительных видов нужный — показ деталей в форматированном списке или отображение сведений в формате XML.

Можно дважды щёлкнуть по любому событию и увидеть его в своём собственном окне, с вкладками «Общие» и «Детали». (При просмотре события в окне, используйте стрелки вверх/вниз/вправо для прокрутки между записями. Используйте находящуюся внизу кнопку «Копировать», чтобы сохранить полный комплект свойств событий в буфер обмена Windows.)

Открытие события в своём собственном окне обеспечивает те же представления, как и в области просмотра. Кнопка «Копировать» сохраняет сведения о событии в буфер обмена.

Изменение вида Event Viwer

Область навигации, на левой стороне окна просмотра событий, содержит несколько узлов, все они первоначально свёрнуты. При развёртывании они, по умолчанию, должны выглядеть как на рисунке ниже.

Вы можете развернуть область переходов и увидеть полное содержание группы журналов событий. Разверните заголовок окна (внизу списка), чтобы увидеть сотни специализированных журналов.

Сторонние приложения, для отслеживания собственных событий, добавляют записи в разделе «Журналы приложений и служб». Выбрав опцию «Меню вид», можно расширить этот список и включить журнал аналитики и журнал отладки. Но эти журналы технически сложные и не используются для устранения обычных неполадок.

На рисунке можно заметить, что заголовок окна не развернут (под Microsoft в группе «Журналы приложений и служб»). Это потому, что такой вид раскрывает действительно огромный список, содержащий сотни журналов, охватывающих отдельные части операционной системы Windows. (Даже MSPaint имеет свой собственный журнал событий)! Перечисление всех этих записей займёт несколько страниц, что мало полезно.

По большей части, можно спокойно игнорировать практически все эти журналы. Многие из которых должны быть выключены и оставаться пустыми на протяжении всего срока службы вашего компьютера. Некоторые интересные записи, для диагностики производительности, вы найдёте в оперативном журнале, в котором записаны события для каждого запуска и завершения работы. Это имеет смысл, если какая-то операция занимает больше времени, чем обычно и её хотелось бы ускорить. (Суммарный журнал, в нижней части страницы обзора, более полезное место, чем листинг журналов только, что произошедших действий.)

В отличие от суммарного вида, список событий в отдельных журналах не классифицирован. Вместо этого, он отображается по дате. Как и в случае с любыми другими табличными списками в Windows 10, можно щёлкнуть по любому заголовку столбца и отсортировать по определённому столбцу. А также, список можно группировать по любому выбранному вами заголовку. Щёлкните правой кнопкой мыши на любом заголовке, чтобы вызвать меню "Группировать по...". Щёлкните правой кнопкой мыши "Уровень", затем выберите, как показано на рисунке, "Группа событий в этой колонке" и переместите события, классифицированные в этой группе как ошибки, ниже критических, но выше группы предупреждения.

Как упоминалось ранее, порядок сортировки по умолчанию, колонка по дате и времени. Если вы просто просматриваете список в поиске потенциальной проблемы, можно выполнить сортировку по идентификатору события. Чтобы сделать это, вам не нужно открывать меню. Дважды щёлкните заголовок столбца "Идентификатор события".

А также, простым перетаскиванием заголовков, вы можете изменить ширину или расположение столбцов. (Этот процесс похож на настройку вида подробностей в проводнике).

Стандартное представление журнала событий включает пять столбцов. Для некоторых специализированных задач, столбцы можно добавить или удалить. Например, если вы сохранили журналы с нескольких компьютеров, можно добавить столбец "Компьютер", чтобы вы сразу могли видеть компьютер, на котором создаётся данное событие. Для этого щёлкните правой кнопкой мыши по любому заголовку столбца и выберите пункт "Добавить или удалить столбцы". Откроется диалоговое окно, в котором, с левой стороны, можно выбрать столбец и нажать кнопку "Добавить". (Чтобы отменить изменения, выберите, справа, имя столбца и нажмите "Удалить". Или, чтобы избавиться от всех ваших настроек, используйте "Восстановить значения по умолчанию".)

Как и в файловом проводнике, с помощью этого диалогового окна, вы можете добавить отображение столбцов в окне просмотра событий.

Панель действий, на правой стороне, контекстно-зависимая, поэтому видимые параметры зависят от текущего выбора. Действия в верхней секции, применяются к текущему открытому журналу или виду. Если выбрано одно или несколько событий, действия для этих событий доступны в нижней части. Ниже показан типичный ассортимент действий, в том числе опции для копирования выбранных событий в виде таблицы.

Содержимое панели "Действия" контекстно-зависимое, нижняя группа видима только когда выбрано одно или несколько событий.

Фильтрация журналов событий

Объем информации, содержащийся в журналах событий Windows, может быть огромным. Создание фильтра позволяет сосредоточиться на нужной вам информации.

Фильтры - быстрый способ удалить лишний "мусор" из журнала событий. Чтобы иметь возможность быстро находить нужную вам информацию, можно сохранить фильтр в качестве пользовательского вида.

Чтобы создать фильтр для текущего журнала, нажмите на панели "Действия", кнопку "Фильтровать текущий журнал". Если вы в пользовательском представлении, соответствующий параметр фильтра "Текущий пользовательский вид". (Но учтите, что вы не можете выбирать встроенный пользовательский вид, в том числе на странице "Сводка событий"). Как вы можете видеть на рисунке ниже, отображаются только записанные в течение последних семи дней, события журнала диагностики производительности. И только из категории критических или предупреждающих, и имеющий идентификатор события 100.

Этот фильтр обнуляет события с определенным идентификатором и уровнем события в определённый период времени, определяя точную информацию из длинного списка, который включает в себя сотни не связанных между собой записей.

Почему идентификатор события 100? Потому что это идентификатор времени запуска Windows. ID события 101 связан с временем запуска приложений, а 200 - определяет время завершения работы Windows. С помощью этого фильтра можно быстро проверить, сколько времени потребовалось Windows для завершения процесса запуска, для каждого запуска на прошлой неделе.

Чтобы повторно использовать фильтр, без прохождения утомительных этапов повторного создания его настроек, сохраните его в виде пользовательского вида.

С помощью средства просмотра событий, вы также можете найти слова или значения в текущем журнале или представлении. На панели "Действия" нажмите кнопку "Найти" или используйте интуитивную комбинацию клавиш Ctrl+F, чтобы открыть простое окно поиска. Введите любой текст, чтобы найти следующее событие, содержащее этот текст в любой области.

Введите текст в поле и нажмите кнопку "Искать далее", чтобы найти следующее событие, содержащее этот текст в любой области, в том числе источник и описание.

Создание пользовательских представлений

Фильтры отлично подходит для поиска шаблонов в журнале событий. Но процесс создания фильтра может быть немного утомительным. Сохраните параметры любого фильтра, который вы планируете использовать снова, как пользовательское представление.

После применения фильтра для текущего журнала или пользовательского вида, в области действий, нажмите кнопку "Сохранить фильтр в пользовательском представлении". Откроется диалоговое окно, где можно ввести его название и описание. (В этом примере используются показанные ранее параметры фильтра).

При сохранении фильтра как пользовательское представление, он отображается в узле пользовательских представлений. Если у вас большое количество сохранённых видов, можно добавлять подпапки.

По умолчанию, создаваемые вами в средстве просмотра событий пользовательские виды, доступны для всех пользователей текущего компьютера. Если вы хотите зарезервировать пользовательское представление только для своего использования, снимите флажок "Все пользователи".

При запуске фильтра для просмотра существующего журнала или открытия ранее сохранённого пользовательского представления, его область автоматически устанавливается в поле журнала и не может быть изменена. Для большей гибкости, в области действия, выберите команду "Создать пользовательское представление" и создайте новое пользовательское представление полностью с нуля. В этой опции, из полного перечня имеющихся источников, включая те, которые ещё не имеют каких-либо записанных событий, вы можете выбрать нужный источник. Во всех важных отношениях, параметры фильтрации одинаковы.

При создании пользовательского представления с нуля, для указания источников, которые не имеют в настоящее время событий, можно использовать параметр "Из источников".

Если вы создали пользовательские представления на одном компьютере, легко можно сохранить эти представления в формате XML и импортировать их на различные устройства под Windows 10. Выберите на панели действий "Экспортировать пользовательский вид и сохранить его настройки в виде файла XML". На целевом компьютере откройте окно просмотра событий и, опять же в панели действий, выберите "Импортировать пользовательский вид" и укажите сохранённый ранее файл.

Копировать (а затем настроить) вид административных событий

Хотя, вы не можете применить фильтр к встроенному виду административных событий (источник информации для обзорной и суммарной страницы), вы можете сделать копию этого представления, а затем отфильтровать свою копию. На панели навигации, в группе пользовательских представлений, выберите «Административные события» (если они не видны, необходимо перезапустить средство просмотра событий с помощью опции Run As Administrator). Затем, в панели "Действия", выберите "Копировать пользовательский вид". Дайте вашей копии уникальное имя, а затем выберите, из списка пользовательских представлений, только что созданную копию. Теперь вы можете применять фильтры и сохранять результаты в виде пользовательского представления.

Сохранение журнала событий

С помощью фильтров и пользовательских видов, вы можете увидеть ту картину, что средство просмотра событий записало в последнее время. Но каждый журнал событий имеет свой встроенный предельный размер. То есть, более старые события, могут быть удалены. Для долгосрочных оценок, вы можете сохранить реальное содержание конкретного журнала или вида, так, чтобы можно было просмотреть его содержимое позже.

Команды в панели действий "Сохранить все":

 Чтобы сохранить все содержимое текущего журнала выберите "Сохранить все события как...".
 Чтобы сохранить все содержимое текущего пользовательского вида, выберите "Сохранить все события пользовательского вида как...".
 Чтобы сохранить только выбранные события журнала или пользовательского вида, выберите "Сохранить выбранные события" (из нижней группы в панели действий).

Тип файла по умолчанию, для всех действий файла событий, с расширением .evtx. При сохранении файла в этом формате, вы можете открыть его с помощью Event Viewer, где его содержимое появится под заголовком "Сохранённые журналы". При открытии файла, вам будет предложено дать ему имя. Вы можете изменить это название (и видеть, когда файл был создан), щёлкнув правой кнопкой мыши по записи под заголовком "Сохранённые журналы".

Вы можете сохранить содержимое любого файла журнала или пользовательского вида и открыть этот снимок позже. Щёлкните, в разделе "Сохранённые журналы", правой кнопкой мыши на записи, а затем, чтобы увидеть детали, нажмите кнопку "Свойства".

Контекстное меню для любого пользовательского вида или сохранённого журнала, включает в себя опцию "Удалить", с помощью которой можно удалить запись из панели навигации. В случае пользовательского вида, с помощью этой опции сохранённые настройки удаляются полностью. Для сохранённого журнала, .evtx файл остаётся там, где вы его оставили, так что вы можете открыть его в любое время, когда захотите.

Если вы применили фильтр к журналу или пользовательскому представлению, вы можете очистить его с помощью команды "Очистить фильтр", в панели "Действия".

Когда вы читаете журнал (в отличие от пользовательского вида), на панели действий, вы увидите некоторые дополнительные команды. "Очистить журнал" - удаляет все сохранённые записи из текущего журнала. Используйте эту команду с осторожностью, особенно если просматриваете журналы всей системы. Опция "Отключить журнал" доступна для отдельных журналов приложений и служб(в том числе сторонних дополнений и тех, что под заголовком Microsoft / Windows). В общем, нет никакой необходимости когда-либо нажимать это.