лог загрузки windows 10 с временем
Как использовать журнал загрузки в Windows 10
Когда вы сталкиваетесь с проблемами в системе Windows, высока вероятность того, что виноваты драйверы. В таких ситуациях наличие как можно большего количества информации о том, какие драйверы загружаются, а какие нет, может помочь вам устранить неполадки в системе. К счастью, в Windows есть функция, называемая «журнал загрузки», которая регистрирует каждый драйвер, загружаемый при запуске системы.
В этой статье показано, как включить или отключить функцию журнала загрузки в Windows.
Примечание: это руководство также должно работать для Windows 7 и 8.
Журнал загрузки в настройках конфигурации системы
Самый простой способ включить журнал загрузки в Windows – использовать параметры, предоставляемые инструментом конфигурации системы.
Как только вы закончите устранение неполадок, я рекомендую вам отключить функцию ведения журнала загрузки. В противном случае Windows будет продолжать добавлять записи в журнал при каждом запуске системы. Это быстро увеличивает размер журнала загрузки, не говоря уже о том, что становится очень трудно найти то, что вы ищете.
Журнал загрузки с помощью командной строки
Вы также можете включить журнал загрузки с помощью инструмента командной строки BCDEdit.
В разделе «Загрузка Windows» вы найдете идентификатор своей операционной системы рядом с «идентификатором». Обратите на это внимание. В моем случае это . Как правило, ваш идентификатор будет таким же, как мой.
Прокомментируйте ниже, поделитесь своими мыслями и впечатлениями об использовании функции журнала загрузки Windows.
Лог загрузки в Windows 10
Компания Microsoft в ходе обновления своих операционных систем часто меняет способы активации функций, к которым все пользователи привыкли. Зачастую даже опытным пользователям Windows сложно разобраться, где в Windows 10 включить лог загрузки операционной системы, чтобы после его можно было посмотреть и проанализировать. В рамках данной статьи рассмотрим, как в Windows 10 включить лог загрузки.
Зачем нужен лог загрузки
Многие пользователи вовсе не знают, что такое лог (или журнал) загрузки, и зачем он нужен. Если не вдаваться в детали, то лог загрузки — это простой текстовый файл, который содержит в себе информацию для анализа процесса старта компьютера и операционной системы.
Чаще всего лог загрузки необходим системным администраторам, чтобы понять, какие проблемы препятствуют загрузке операционной системы, вызывают те или иные ошибки при запуске программ или в процессе работы Windows. В логе загрузки отображается полный список загружаемых при старте компьютера драйверов и библиотек.
Где находится лог загрузки в Windows 10
В операционной системе Windows 10 лог загрузки располагается на системном диске в папке Windows. Файл называется ntbtlog.txt.
Обратите внимание: Как можно видеть, это обычный текстовый файл. Его можно открыть при помощи стандартного приложения “Блокнот” или других сторонних программ, которые позволяют работать с txt файлами.
Как включить лог загрузки в Windows 10
Чтобы текстовый файл ntbtlog.txt появился в папке Windows, нужно его сгенерировать. По умолчанию в Windows 10 отключен процесс создания данного файла при загрузке компьютера.
Включить создание файла журнала загрузки можно двумя способами:
Если на компьютере установлена одна операционная система Windows 10 (как на примере на скриншоте), тогда будет отображаться два списка элементов — диспетчер загрузки и загрузка Windows. Необходимо обратиться к загрузке Windows, у которой имеется идентификатор current. Пропишите в командной строке следующее:
Важно: Если у вас идентификатор отличный от
После выполнения этой команды необходимо перезагрузить компьютер, чтобы лог загрузки был создан в папке Windows.
Как читать лог загрузки Windows 10
Несмотря на то что лог загрузки — это текстовый документ исключительно для системных администраторов, что-то полезное из него может вынести и обычный пользователь.
В журнале загрузки указывается перед каждым из компонентов — был он исполнен или нет:
На основании этой информации можно сделать выводы о том, с какими драйверами на компьютере могут быть проблемы.
Вадим Стеркин
Сегодня в моем блоге авторский дебют участника конференции OSZone Phoenix, чья статья отлично вписалась в серию материалов об ускорении загрузки Windows и ее диагностике.
Иногда мы замечаем, что операционная система стала загружаться дольше обычного. Если это эпизодический случай, повода для беспокойства нет. Но когда данное явление приобретает систематический характер или прогрессирует, тут уже стоит задуматься о причинах такого «странного» поведения системы. В этой статье мы рассмотрим один из способов диагностики причин длительной загрузки Windows, используя ее штатное средство – журнал «Просмотр событий». Быстрый доступ к этому инструменту обеспечивает нажатие сочетания клавиш Win+R и последующий ввод команды: eventvwr.msc /s.
Фильтруем журнал событий
В разделе «Microsoft Windows» имеется подкатегория «Diagnostics-Performance», а в ней — операционный журнал, в котором есть категория задачи «Контроль производительности при загрузке» (рис. 1).
Коды событий (Event ID ) в этой категории варьируются от 100 до 110. Просмотрев все события с кодом 100, можно выяснить, сколько времени требуется Windows на загрузку, начиная с самого первого запуска после установки. А проанализировав события в диапазоне от 101 до 110, можно узнать, в каких случаях загрузка замедлялась и почему.
Можно, конечно, просматривать журнал «Diagnostics-Performance» вручную (например, отсортировать по возрастанию столбец «Код события»), но гораздо удобнее создать собственное настраиваемое представление. Это фильтр, который можно сохранить и использовать в дальнейшем для облегчения работы.
Рисунок 3
Рисунок 4
Узнаем продолжительность загрузки
Чтобы выяснить, сколько Windows требуется времени на загрузку на вашем компьютере, выберите в левой части окна, созданный ранее фильтр Boot Time (Время загрузки) в разделе «Настраиваемые представления» и отсортируйте столбец «Дата и время» по возрастанию. Так вы сможете посмотреть, как изменялась продолжительность загрузки системы со дня ее установки (рис. 5).
Из рисунка видно, что длительность самой первой загрузки моей Windows (дата ее установки) по состоянию на 15 марта 2010 года составила 44 498 миллисекунд — или, если разделить на 1000, примерно 45 секунд. Для первого запуска этот показатель нормальный, поскольку после установки система выполняет целый ряд задач: устанавливает драйверы, инициализирует программы в автозагрузке, настраивает профиль пользователя и так далее.
По состоянию на 30 января 2011 года время загрузки возросло, и составило 115652 ms, т.е. почти 2 минуты. Это много.
Настраиваемое представление «Время загрузки» предоставляет информацию обо всех случаях загрузки системы за время ее существования. Иногда загрузка затягивается по вполне объяснимым причинам — из-за установки обновлений, драйверов или программного обеспечения.
На вкладке «Подробности» процесс загрузки описывается во всех деталях, однако для анализа продолжительности загрузки достаточно будет только трех параметров на вкладке «Подробности» (рис 6).
Рассмотрим суть значений этих параметров подробнее.
И наконец, мы подошли к самому важному и интересному.
Диагностируем медленную загрузку
Чтобы выяснить причину замедления загрузки Windows, выделите фильтр «Замедление загрузки» в левой части окна в разделе «Настраиваемые представления» и отсортируйте столбец «Код события» (Event ID) по возрастающей. Каждый код соответствует определенному событию, увеличивающему продолжительность загрузки.
Всего существует десять кодов событий такого рода, мы же в этой статье рассмотрим только некоторые из них.
У меня, например, обнаружились два события. Одно с кодом ID 108 :
Другое с кодом 109:
Столь маленькое время задержки на рисунках 7 и 8 не трагично, они приведены тут лишь для наглядности.
Проведенный таким образом анализ и элементарные навыки пользования поиском в сети Интернет, позволят вам составить представление о причинах увеличения времени загрузки операционной системы.
Диагностика загрузки Windows: лог ntbtlog.
Диагностика загрузки Windows: процесс загрузки драйверов для системы в текстовом формате.
Привет всем, продолжаем знакомиться с Windows более внимательно, и сейчас мы рассмотрим возможность изучить порядок загрузки драйверов поэтапно. Система позволяет это сделать, предлагая пользователю создавать одновременно с загрузкой лог-файл, в который она внесёт список загружаемых и выгружаемых драйверов. По умолчанию он именуется, дополняется (не обновляется) и хранится в виде C:\Windows\ntbtlog.txt. Относительно опытные пользователи наверняка знакомы с такой функцией, которая в нормально работающей системе доступна прямо из графического интерфейса. Она видна в одной из вкладок утилиты Конфигурации системы msconfig. Быстрый способ на неё выйти это набрать в строке Выполнить или через поиск (клавиша WIN) команду вызова
и выставить галку у чек-бокса Журнал загрузки:
Диагностика загрузки Windows из консоли cmd.
Следующий способ позволит создать журнал загрузки из консоли, что даёт возможность делать это (в том числе) и для Windows, которая уже или не загружается или даёт при загрузке очевидный сбой. Смысл способа в коррекции содержания директив загрузчика, который может находится где угодно. Т.е. возможно и на «побитом» носителе. После чего, изучив в указанном месте указанный файл, ошибка может проявиться в логе отчётливо. Рассмотрим пару вариантов, когда диагностика загрузки Windows активируется в функционирующей системе и когда включить ведение лога через msconfig уже нельзя.
Windows работает.
Запускаем консоль от имени администратора с последующей командой
и завершаем ввод клавишей Ёптр, дождавшись вывода информации из загрузчика. Ориентируемся на сектор Загрузка Windows в части идентификатор. Описание
Активируем его тут же:
Проверяем сделанное повторной командой (если консоль вы не покидали, просто щёлкните пару раз по стрелочке вверх — это поиск и выбор ранее набранных команд)
Пока не забыли: обратная команда примет вид
Windows не работает или «опрокидывается».
Смысл тот же, просто стоит учесть, откуда запускаемая в консоли команда bcdedit будет инициирована. Вариантов тут два: из ремонтной консоли (через восстановление системы) или с внешнего диска (флешки или через дисковод). В любом случае, команда примет такой вид:
Просто вместо идентификатор подсуньте тот, что соответствует незагружаемой Windows. Если загружаетесь из среды восстановления, с флешки или с оптического дисковода, для такой Windows это будет default. При этом при первоначальном запросе командой bcdedit информация о ведении журнала не выводится :
Ознакомиться с содержимым документа можно будет прямо из консоли командой
Диагностика загрузки Windows: анализ документа.
Наиболее частое применение фиксирования загрузки в логах — сравнение журналов для нормального и Безопасного режимов загрузки. Или, реже и как уже указывалось, в случае, если система не загружается или загружается с ошибками в работе с подозрением на какой-то из драйверов. Содержимое файла можно использовать и в тех случаях, если система стала очень уж долго загружаться. Очень давно я лично проводил собственные изыскания по поводу, какие настройки можно легко отключить именно при помощи документа %WinDir%\Ntbtlog.txt. Структура файла, помимо краткой информации по системе и даты создания, содержит список загружаемых драйверов по типу:
Loaded \SystemRoot\System32\DRIVERS\драйвер — т.е. драйвер загрузился
Not loaded \SystemRoot\System32\DRIVERS\драйвер — драйвер не загрузился
Как вы поняли, именно запись Did Not Load свидетельствует о том, что запуск этого драйвера Windows пропустила. Что, впрочем, далеко не всегда означает, что этот драйвер проблемный. По той простой причине, что многим драйверам загружаться одновременно с системой не обязательно. А вот при поиске побитого драйвера могут помочь простые правила.
Сравниваем логи для обоих режимов (даже если ни в одном система уже не загружается). Бывает так, что лога для какого-то режима уже нет. В таком случае вам придётся воспользоваться журналом с другого компьютера со схожей конфигурацией Windows (хотя бы в части версии и сборки). И вот почему. Драйвер, мешающий загрузке вашей Windows даже в Безопасном режиме, не отображается в журнале вообще. Но именно он появится в журнале с пометкой Loaded Driver, когда система в Безопасном режиме работает нормально. Такая процедура часто прокатывает и для служб, загружающихся только в нормальном режиме. Они — службы — начинают подгружаться только после успешной загрузки нужных драйверов. Именно в этот момент вы начинаете видеть окна приветствия Windows. Кстати, и запуск служб также можно контролировать. А сейчас вам остаётся удалить побитый (или предположительно побитый) драйвер из консоли и загрузиться в нормальном режиме.
Насколько метода точна?
Диагностика загрузки Windows с помощью ntbtlog — не панацея . В Windows «в базовой комплектации» никогда для нас с вами «точного» не было и не будет. Одной из альтернатив могло бы стать применение Windows Assessment Toolkit с каким-нибудь Windows Performance Analyzer внутри. Вы же вполне можете столкнуться с ситуацией, когда список «успешно и не очень» подгруженных драйверов от сеанса к сеансу пусть немного, но будет отличаться. Не редки случаи, когда успешно загруженный в логе драйвер в следующей же строчке того же лога отваливается. Не уверены, должен загружаться драйвер или нет? Копайте вручную: узнавайте, принадлежит ли он системе или другому ПО, каков должен быть в размерах, есть шанс скачать его из официальных источников или вытащить с установочного образа. Но помним, что если он туда полез, не загрузился тот не просто так. Но в тех случаях, когда логи содержат отказы по слишком уж большому количеству драйверов, следует предпринять действия уже по проверки целостности диска и корректной работы RAM. Так что не бойтесь предыдущие логи удалять (или переименовывать) для получения более свежих данных о процессе загрузки Windows. Так или иначе, параллельные варианты диагностики у вас есть:
Лог загрузки windows 10 с временем
Технологии шагнули очень далеко вперед
Как посмотреть журнал
Как посмотреть журнал
Windows 10: как просмотреть журналы событий
Windows?
Что такое журнал событий
Всё, что происходит на ПК под управлением ОС Windows (клик мыши, нажатие клавиши, запуск программы, etc…), – это события (events). Наиболее важные (с точки зрения Windows!) события (например, неполадки оборудования, приложений и системы) фиксируются операционной системой в так называемых журналах событий.
Журналы событий можно использовать для устранения неполадок операционной системы и прикладного программного обеспечения
Как просмотреть журналы событий Windows 10:
• с помощью Панели управления:
– нажмите кнопку Поиск в Windows (стилизованное изображение лупы справа от кнопки Пуск);
– в строке поиска введите слово Панель;
– в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Панель управления;
– в диалоговом окне Все элементы панели управления нажмите Администрирование;
– в диалоговом окне Администрирование нажмите Просмотр событий;
– в диалоговом окне Просмотр событий откройте нужный журнал;
• с помощью диалогового окна Выполнить:
– нажмите клавишу с логотипом Windows («флажок» Microsoft) + клавишу R;
– в текстовое поле диалогового окна Выполнить введите eventvwr.msc;
– нажмите клавишу OK;
• с помощью Поиска в Windows:
– нажмите кнопку Поиск в Windows (стилизованное изображение лупы справа от кнопки Пуск);
– в строке поиска введите слово журнал;
– в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Просмотр журналов событий
Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.
Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.
Как открыть журнал
Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.
В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.
Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».
Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.
Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.
Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.
Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.
Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».
Как использовать содержимое журнала
Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера
Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.
Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.
Очистка, удаление и отключение журнала
На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».
Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:
for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»
Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:
wevtutil el | Foreach-Object
При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.
Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.
Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».
Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.
Фильтруем журнал событий
В разделе «Microsoft Windows» имеется подкатегория «Diagnostics-Performance», а в ней — операционный журнал, в котором есть категория задачи «Контроль производительности при загрузке» (рис. 1).
Увеличить рисунок
Рисунок 1
Коды событий (Event ID ) в этой категории варьируются от 100 до 110. Просмотрев все события с кодом 100, можно выяснить, сколько времени требуется Windows на загрузку, начиная с самого первого запуска после установки. А проанализировав события в диапазоне от 101 до 110, можно узнать, в каких случаях загрузка замедлялась и почему.
Можно, конечно, просматривать журнал «Diagnostics-Performance» вручную (например, отсортировать по возрастанию столбец «Код события»), но гораздо удобнее создать собственное настраиваемое представление. Это фильтр, который можно сохранить и использовать в дальнейшем для облегчения работы.
Увеличить рисунок
Рисунок 2
Рисунок 3
Рисунок 4
Узнаем продолжительность загрузки
Чтобы выяснить, сколько Windows требуется времени на загрузку на вашем компьютере, выберите в левой части окна, созданный ранее фильтр Boot Time (Время загрузки) в разделе «Настраиваемые представления» и отсортируйте столбец «Дата и время» по возрастанию. Так вы сможете посмотреть, как изменялась продолжительность загрузки системы со дня ее установки (рис. 5).
Увеличить рисунок
Рисунок 5
Из рисунка видно, что длительность самой первой загрузки моей Windows (дата ее установки) по состоянию на 15 марта 2010 года составила 44 498 миллисекунд — или, если разделить на 1000, примерно 45 секунд. Для первого запуска этот показатель нормальный, поскольку после установки система выполняет целый ряд задач: устанавливает драйверы, инициализирует программы в автозагрузке, настраивает профиль пользователя и так далее.
По состоянию на 30 января 2011 года время загрузки возросло, и составило 115652 ms, т.е. почти 2 минуты. Это много.
Настраиваемое представление «Время загрузки» предоставляет информацию обо всех случаях загрузки системы за время ее существования. Иногда загрузка затягивается по вполне объяснимым причинам — из-за установки обновлений, драйверов или программного обеспечения.
На вкладке «Подробности» процесс загрузки описывается во всех деталях, однако для анализа продолжительности загрузки достаточно будет только трех параметров на вкладке «Подробности» (рис 6).
Увеличить рисунок
Рисунок 6
Рассмотрим суть значений этих параметров подробнее.
И наконец, мы подошли к самому важному и интересному.
Диагностируем медленную загрузку
Чтобы выяснить причину замедления загрузки Windows, выделите фильтр «Замедление загрузки» в левой части окна в разделе «Настраиваемые представления» и отсортируйте столбец «Код события» (Event ID) по возрастающей. Каждый код соответствует определенному событию, увеличивающему продолжительность загрузки.
Всего существует десять кодов событий такого рода, мы же в этой статье рассмотрим только некоторые из них.
У меня, например, обнаружились два события. Одно с кодом ID 108 :
Увеличить рисунок
Рисунок 7
Другое с кодом 109:
Увеличить рисунок
Рисунок 8
Столь маленькое время задержки на рисунках 7 и 8 не трагично, они приведены тут лишь для наглядности.
Проведенный таким образом анализ и элементарные навыки пользования поиском в сети Интернет, позволят вам составить представление о причинах увеличения времени загрузки операционной системы.
Как включить лог загрузки в Windows 10
Чтобы текстовый файл ntbtlog.txt появился в папке Windows, нужно его сгенерировать. По умолчанию в Windows 10 отключен процесс создания данного файла при загрузке компьютера.
Включить создание файла журнала загрузки можно двумя способами:
Важно: Если у вас идентификатор отличный от
После выполнения этой команды необходимо перезагрузить компьютер, чтобы лог загрузки был создан в папке Windows.
Журналы Windows
В Журналах Windows операционная система регистрирует и сохраняет все происходящие события, регистрирует ошибки, информационные сообщения и предупреждения программ, а также информацию о работе пользователей и операционной системы.
Чтобы перейди к Журналам Windows, откройте Панель управления / Администрирование / Управление компьютером.
В инструменте «Управление компьютером» перейдите в Служебные программы / Просмотр событий / Журналы Windows.
Журналы разнесены по категориям. Например, журналы приложений находятся в категории Приложения, а системные журналы – в категории Система. Если на компьютере настроен аудит событий безопасности, например, аудит событий входа в систему – тогда события аудита регистрируются в категории Безопасность.
Конечно же информация, которая отображается в журналах событий Windows предназначена для системных администраторов, и прочесть её обычному пользователю не просто. Тем не менее, если внимательно посмотреть, то в журнале Приложение, можно увидеть события, которые сгенерированы приложениями в хронологической последовательности.
А также данные о дате и времени входа в операционную систему и выхода из неё. А другими словами включения или отключения ПК. Такие данные можно увидеть в журналах Безопасность и Система.
Планировщик заданий и привязка задачи к событию
Используя Журналы Windows можно привязать выполнение установленного задания к определённому событию журнала. Например, можно настроить отправку сообщения на вашу электронную почту при каждом входе Windows в учётную запись.
Так, у меня есть событие журнала Безопасность о входе в систему. Код такого события 4624. Чтобы привязать к каждому такому события выполнение задания, кликните на нём правой кнопкой мыши и выберите «Привязать задачу к событию».
Далее идите по пунктам Мастера создания простой задачи, и в пункте Действие выберите функцию «Отправить сообщение электронной почты».
Введите адреса для отправки сообщений, их тему и текст, а также сервер SMTP вашего почтового сервиса.
Аналогичным образом можно создать привязанную к событию журнала задачу используя планировщик заданий. Для этого, перейдите в Планировщик заданий и выберите «Создать простую задачу…».
И настройте её используя тот же Мастер создания простой задачи.
Здесь показано как настроить отправку сообщения на вашу электронную почту при каждом входе Windows в учётную запись. Но таким же образом можно настроить и выполнение других задач, на любое событие из журнала.
>
Журнал действий пользователей
Отображение изменений в журнале действий
В журнале действий пользователей можно посмотреть изменения в полях карточек за выбранный период.
Рассмотрим на примере изменений в карточке занятия «Английский для детей»
Нажмите – 
(редактировать) >> Журнал изменений
Перед вами откроется журнал изменений, внесенных в это занятие
Вверху перечислены поля, контролируемые в этом модуле:
Количество бонусов, Ставка по умолчанию для преподавателя (ID), Ответственный(ая) (ID), Макс. время до начала занятия для записи, Мин. время до начала занятия для записи, Дата завершения, Дата начала, Филиал, Фото, URL с информацией о предмете
Ниже – список изменений
Внесите свои изменения в карточку занятия.
Например, добавим новые значения:
Количество бонусов – 50
Филиал – Марьино
Сменим ответственного с Сергей на Наталья
В журнале изменений отобразились все изменения, внесенные в эту карточку
Чтобы посмотреть изменения, внесенные во все карточки, перейдите в модуль Журнал действий
В журнале действий отображается:
— дата изменения
— модуль
— карточка модуля
— пользователь, который внес изменения
— тип действия в карточке (изменение, удаление, создание)
— описание измененных полей
Журналы событий Windows
Что такое журнал событий Windows?
Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений. Когда возникают подобные типы событий, система Windows создает записи в журналах событий. В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.
Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами. Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей — событий Windows.
Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий — управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.
Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году. Начиная с этой версии в любой Windows присутствуют 3 основных журнала — журнал Приложения, журнал Система и журнал Безопасность. В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.
Как просматривать журналы событий?
Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.
Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов
Преимущества Event Log Explorer для руководителей
Что такое служба «Журнал событий Windows»?
Служба (сервис) «Журнал событий Windows» — это специальная служба (сервис) для управления событиями и журналами событий. Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п. По умолчанию, после установки системы Windows служба «Журнал событий Windows» включена и запускается автоматически. Не стоит останавливать или выключать эту службу. Остановка службы «Журнал событий Windows» может ухудшить стабильность и безопасность системы.
Что такое файлы журналов событий Windows?
Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате. Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.
Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой «Журнал событий Windows» и их невозможно непосредственно открыть на живой, работающей системе. Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру. По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге
«C:\Windows\System32\winevt\Logs\»
Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги:
Запустите приложение Просмотр событий.
Нажмите «Открыть сохраненный журнал» в панели «Действия», расположенной в правой части окна.
Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку «Открыть» и его содержимое отобразиться в области просмотра событий в приложении.
Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем «Просмотр событий». Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.
Что такое журнал событий Приложения?
Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой. Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения. Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях возникающих при работе SQL-сервера, таких как «недостаточно памяти», «сбой при резервном копировании базы данных» и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений. Приложения идентифицируются как разные «источники» в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников. Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.
Что такое журнал событий Система?
Журнал событий Система содержит события, сгенерированные системными компонентами. Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий. Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows. Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником. Журнал событий Система — важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.
Что такое журнал событий Безопасность?
Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д. Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен. Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события. Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.