tévék. Konzolok. Projektorok és tartozékok. Technológiák. Digitális TV

Windows 10 magazin megnyitása. Mi az Event Viewer a Windows rendszerben, és hogyan használhatod. Hogyan lehet megnyitni az Eseménynaplóban

BAN BEN Windows rendszer van egy nagyon fontos összetevője - az eseménynapló. Az Eseménynapló a Windows 10 rendszerben egy olyan eszköz, amely segít a programoknak és a rendszernek egy helyen rögzíteni és menteni az értesítéseket. Rögzíti az összes hibakódot, üzenetet és programértesítést.

A gátlástalan emberek gyakran használják a Windows eseménynaplóját a felhasználók megtévesztésére - a számítógépet behatoló rosszindulatú programok figyelmeztetést küldenek a naplóba az operációs rendszer működésének hibájáról. Ezután az információbûnözõ felhívja a megtévesztésre kiválasztott felhasználót. Azt kéri, hogy nyissa meg az Event Viewert, a Microsoft alkalmazottjának kiadva magát, hogy az áldozat értesítést kapjon a rendszer súlyos hibájáról. A megtévesztő tájékoztatást kér a hitelkártya(szám, lejárati dátum és 3 biztonsági számjegy a hátoldalon) a számítógépet állítólagosan károsító hiba feltételezett kijavítására. Ez a megtévesztési séma meglehetősen régi, de még mindig működik.

Ha számítógépe megfelelően működik, figyelmen kívül hagyhatja a Windows 10 Eseménynaplóban megjelenő időnkénti hibákat. Ha azonban problémák lépnek fel a rendszerben, akkor az Eseménynapló segítségével diagnosztizálhatja és megtudhatja, mi okozta azokat.

Az Eseménynéző elindítása

Az Eseménynapló elindításához a következőket kell tennie:

  1. Nyissa meg a Start menüt.
  2. Írja be a keresősávba az „Eseménynéző” kifejezést.
  3. Nyomd meg az Entert.

Is ez a program a Start menü Felügyeleti eszközök mappájában nyílik meg.

Fontos tudni, hogy minden esemény kategóriákra van felosztva – például az alkalmazásesemények az Alkalmazások kategóriában, a rendszerhírek a Rendszer kategóriában találhatók. Ha a számítógépen be van állítva a biztonsági eseményelemzés (bejelentkezési események auditálása), akkor az audit üzenetek a Biztonság kategóriába kerülnek.

Hibák javítása az eseménynaplóban

A különféle hibakódok és értesítések rendszeres megjelenése az Event Viewer programban nem okozhat pánikot. Ezek az értesítések nem mindig jelentenek veszélyt a számítógépes rendszerre. Néha regisztrálhatók egy teljesen működő számítógépes eszközön.

Az Eseménynaplót azért hozták létre, hogy megkönnyítse a rendszeradminisztrátor számára az eszköz megfigyelését, valamint segítse a hibaelhárítást. Ha a számítógép nem omlik le, akkor az eseménynaplóban rögzített hiba nem túl veszélyes.

Még a hibaüzeneteket is rendszeres felhasználó a számítógépek nem komolyak. Ha rendelkezik rendszergazdai jogokkal, akkor a Windows 10 Eseménynaplója segít megoldani a hibát a szerveren. Ha nem rendelkezik rendszergazdai jogokkal, akkor a rendszer ezen információs összetevője nem lesz hasznos.

Eseménynéző: Felhasználói útmutató

Amíg a számítógép normálisan működik, az eseménynaplóra nincs sok szükség. Azonban sokat segít, ha különféle problémák merülnek fel számítógépes eszköz- spontán újraindítás vagy halál képernyők. Az eseménynapló részletes információkat tartalmaz a hibák okairól. Például egy hiba naplózása a Rendszer kategóriában egy rendszerszolgáltatás sikertelen indítását vagy más meghibásodást jelent.

Az eseménynapló a számítógép indításának/leállításának nyomon követésére is használható. Ha olyan szervere van, amelyet nem lehet kikapcsolni, beállíthatja a számítógép leállási eseményeinek ellenőrzését, ami lehetővé teszi a szerver gyors bekapcsolását.

Az Eseménynaplót a Windows 10 rendszerben a Feladatütemezővel együtt is használhatja. Ehhez kattintson a jobb gombbal bármelyik eseményre. Ezután megnyílik egy helyi menü, ahol ki kell választania a „Feladat összekapcsolása eseményhez” lehetőséget. Ilyen esemény megjelenésekor a rendszer automatikusan elindítja a létrehozott feladat végrehajtását.

Ha azt gyanítja, hogy az iroda egyik alkalmazottja bejelentkezik a fiókjába, vagy elvesztette bizalmas információ(jelszavak, fényképek stb.), akkor ez a cikk neked szól.

Bármely operációs rendszerben, legyen szó a legújabb 10-es vagy 8.1-es verzióról, vagy a régiekről, például XP és 7, létezik egy speciális szolgáltatás, amely a rendszerben végzett műveletek felügyeletéért felelős. Egyszerűen fogalmazva, ez egy számítógépes napló, amely tartalmazza a felhasználó és a szoftver által végrehajtott összes műveletet.

Természetesen beállíthat jelszót a fiókjához, de sokan egyszerűen túl lusták ehhez. Korábban már elmondtam, hogyan állíts be jelszót. De most megnézzük, mi történik a rendszernaplókban.

A Számítógép-kezelő alkalmazás elindításának többféle módja van:

1. Kattintson jobb gombbal a Sajátgép ikonra, majd válassza a "Kezelés" lehetőséget.

2. Nyissa meg a vezérlőpultot a Start gombbal vagy a Sajátgép elemmel, majd a „Rendszer és biztonság” részben válassza az „Eseménynapló megtekintése” részt.

A Computer Management alkalmazás elindítása után ki kell választanunk az Event Viewer-> menüpontot Windows naplók-> Rendszer

És itt az alkalmazás jobb oldalán keressük a „Kernel General” forrás sort, ez az, amely felelős a számítógép elindításáért és leállításáért. Ha duplán kattint erre a sorra, láthatjuk az esemény részleteit.

És ha megnézzük a fenti sort, azt látjuk, hogy a számítógép a megadott időpontban bekapcsol.

A naplóban láthat minden felhasználói műveletet, valamint hibákat. operációs rendszerés alkalmazások. Általában mindenki találhat magának valami érdekeset.

Például a Biztonság lapon sokkal könnyebben megtalálhatja a számítógép be- és kikapcsolásakor.

A Telepítés lapon megtekintheti a programok vagy a Windows-frissítések telepítése során fellépő hibákat.

Ezentúl mindenről tudni fog, ami a számítógépén történik, és ha mások behatolásának gyanúja merül fel, állítson be jelszót fiókot. Kifejezetten ehhez készítettem egy oktatóvideót, nézd meg alább.

Üdvözlök mindenkit, a téma a Windows naplók megtekintése. Azt hiszem, mindenki tudja, mi a napló, de ha hirtelen kezdő vagy, akkor a naplók mind a Windows, mind a Linux operációs rendszerében előforduló rendszeresemények, amelyek segítenek nyomon követni, hogy mi, hol és mikor történt és ki csinálta. Minden rendszergazdának képesnek kell lennie a Windows naplók olvasására.

Példa a való életből az a helyzet, amikor az IBM szerverek egyikén a lemez meghibásodott technikai támogatás Szervernaplókat gyűjtöttem, hogy diagnosztizálhassák a problémát. Az Event Viewer szolgáltatás felelős a naplók összegyűjtéséért és rögzítéséért a Windows rendszerben. Az Event Viewer egy kényelmes eszköz a rendszernaplók lekéréséhez.

Hogyan lehet megnyitni az Eseménynaplóban

Nagyon egyszerűen beléphet az Eseménynéző beépülő moduljába, mindenhez megfelelő Windows verziók. Nyomja meg a varázsgombokat

Win+R, és írja be az eventvwr.msc parancsot

Megnyílik egy Windows Eseménynéző ablak, amelyben ki kell bontania a Windows Naplók elemet. Nézzük végig az egyes magazinokat.

A Naplóalkalmazás a számítógépén lévő programokkal kapcsolatos rekordokat tartalmazza. A napló a program indításakor íródik, ha hibával indult, akkor ez itt is megjelenik.

Az ellenőrzési napló szükséges ahhoz, hogy megértsük, ki mit és mikor csinált. Például bejelentkezett vagy kijelentkezett, hozzáférést próbált elérni. Az összes siker vagy kudarc auditja ide van írva.

A Telepítés elem rögzíti a Windows naplóit arról, hogy mi lett telepítve, és mikor, például programok vagy frissítések.

A legfontosabb folyóirat a rendszer. Itt minden szükséges és legfontosabb dolog le van írva. Például volt egy kék képernyős bsod, és ezek az itt rögzített üzenetek segítenek meghatározni az okát.

Vannak Windows naplók is, amelyek specifikusabb szolgáltatásokhoz, például DHCP-hez vagy DNS-hez tartoznak. Az Event Viewer mindent vág :).

Tegyük fel, hogy több mint egymillió esemény van a Biztonsági naplóban, valószínűleg azonnal felteszi a kérdést, hogy van-e szűrés, mivel mindegyik megtekintése mazochizmus. Az Event Viewer ezt figyelembe vette, a Windows naplók kényelmesen kiszűrhetők, csak a szükséges mennyiség marad meg. A jobb oldalon a Műveletek területen található az Aktuális napló szűrése gomb.

Meg kell adnia az esemény szintjét:

  • Kritikai
  • Hiba
  • Figyelem
  • Intelligencia
  • Részletek

Minden a keresési feladattól függ, ha hibát keres, akkor nincs értelme más típusú üzeneteknek. Ezután az eseménymegtekintési keresés hatókörének szűkítése érdekében megadhatja a kívánt eseményforrást és -kódot.

Tehát, mint láthatja, a Windows naplók elemzése nagyon egyszerű, keresünk, találunk, megoldunk. A Windows naplók gyors törlése is hasznos lehet:

A Windows PowerShell-naplók megtekintése

Furcsa lenne, ha a PowerShell nem tudná ezt megtenni a naplófájlok megjelenítéséhez, nyissa meg a PowerShellt, és írja be a következő parancsot

Get-EventLog - Logname "Rendszer"

Ennek eredményeként megjelenik a rendszernaplók listája

Ugyanez megtehető más magazinoknál, például az Alkalmazásoknál

Get-EventLog - Naplónév "Alkalmazás"

a rövidítések kis listája

  • Eseménykód - Eseményazonosító
  • Számítógép – Gépnév
  • Eseménysorszám - Adatok, Index
  • Feladatok kategóriája - Kategória
  • Kategória kód - CategoryNumber
  • Szint – EntryType
  • Esemény üzenet – Üzenet
  • Forrás – Forrás
  • Eseménygenerálás dátuma – ReplacementString, InstanceID, TimeGenerated
  • Az esemény rögzítésének dátuma – TimeWritten
  • Felhasználó – Felhasználónév
  • Weboldal
  • Osztály – konténer

Például annak érdekében, hogy a parancshéjban csak a „Szint”, „Esemény rögzítési dátuma”, „Forrás”, „Eseménykód”, „Kategória” és „Eseményüzenet” oszlopokkal jelenjenek meg események a „Rendszer” naplóban, futtasd a parancsot:

Get-EventLog –LogName ‘Rendszer’ | Format-Table EntryType, TimeWritten, Forrás, Eseményazonosító, Kategória, Üzenet

Ha részletesebben kell megjelenítenie, cserélje ki a Format-Table-t a Format-List-re

Get-EventLog –LogName ‘Rendszer’ | Formátum-lista bejegyzés típusa, írott idő, forrás, eseményazonosító, kategória, üzenet

Mint látható, a formátum már olvashatóbb.

A naplókat szűrheti is, például megjelenítheti az utolsó 20 üzenetet

Get-EventLog – Naplónév ‘Rendszer’ – Legújabb 20

További termékek

Automatizálhatja az események összegyűjtését olyan eszközökkel is, mint például:

  • Zabbix monitoring komplexum
  • Eseménytovábbításon keresztül Windows használatával a gyűjtő szerverre
  • A Netwrix audit csomagon keresztül
  • Ha rendelkezik SCOM-mal, akkor az összes naplót képes összesíteni Windows platformok
  • Bármilyen DLP rendszer

Tehát Ön dönti el, hogy az Eseménynézegetőt vagy a PowerShellt választja-e a Windows események megtekintéséhez. Az oldal anyaga

A naplók távoli megtekintése

  • Első módszer

Nem sokkal ezelőtt a Windows Server 2019 operációs rendszer bemutatta a Windows Admin Center távoli adminisztrációs összetevőjét. Lehetővé teszi, hogy végrehajtsa távirányító számítógépet vagy szervert, már elmondtam neki részletesebben. Itt ezt szeretném megmutatni azzal, hogy magamra helyezem munkaállomás csatlakozhat egy böngészőből más számítógépekhez, és egyszerűen megtekintheti azok eseménynaplóit, ezáltal tanulmányozhatja a Windows naplóit. Az én példámban egy szerver lesz SVT2019S01, Megtaláljuk az elérhetők listájában, és csatlakozunk (Hadd emlékeztessem önöket, hogy a Windows távoli hálózatbeállítását így végeztük).

Ezután válassza ki az „Események” lapot, válassza ki a kívánt naplót a példámban, látni akarom a rendszer összes naplóját. Az én szemszögemből itt sokkal kényelmesebb mindent megnézni, mint eseményeket. Előnye, hogy ezt bármilyen telefonról vagy táblagépről megteheti. A jobb sarokban van egy kényelmes kereső űrlap

Ha pontosabban kell szűrni a naplókat, használhatja a szűrő gombot.

Itt kiválaszthatja az eseményszintet is, például csak a kritikus és a hibákat hagyhatja meg, beállíthatja az időtartományt, az eseménykódot és a forrást.

Íme egy példa a 19. esemény szerinti szűrésre.

Nagyon kényelmes a teljes napló exportálása evxt formátumba, amely ezután könnyen megnyitható az eseménynaplón keresztül. Tehát a Windows Felügyeleti Központ az erős eszköz naplók megtekintésével.

  • Második módszer

A Windows-naplók távoli megtekintésének második módja a Számítógép-kezelés beépülő modul vagy ugyanazon „Eseménynéző” használata. Ha egy másik számítógépen vagy kiszolgálón meg szeretné tekinteni a Windows naplóit, kattintson a jobb gombbal a felső elemre a beépülő modulban, és válasszon helyi menü "".

Egy másik számítógép nevét jelezzük, példámban ez SVT2019S01 lesz

Ha minden rendben van, és nincs akadály a tűzfaltól vagy a vírusirtótól, akkor a távoli eseménymegtekintésre kerül.

Azt is szeretném megjegyezni, hogy léteznek teljes naplóösszesítő rendszerek, mint például a Zabbix vagy az SCOM, de ez a feladatok más szintje.

Figyelem, hosszú és aprólékos problémaleírás!!!
Azonnal elmondom, hogy mindent átnéztem a Google-ban és a Yandexben. A helyzet a következő: a Windows Event Log szolgáltatás a Windows 10 (Enterprise verzió) rendszerben egyáltalán nem akar elindulni. Ha manuálisan indítja el a „Vezérlőpult” -> „Adminisztráció” -> „Szolgáltatások” menüpontot, a következőket látjuk:

A helyzet az, hogy a „Számítógép-kezelésben” van „Eseménynéző”, amely, mint világossá vált számomra, a „Windows Eseménynapló” szolgáltatást használja. Az eseménynézegető elérésekor a következő jelenik meg:


Ez logikus, a szolgáltatás nem indul el. Elkezdtem ásni a mélyet és találtam különféle információk. Legközelebb leírom mit csináltam:

Kínom eredménye egy álmatlan éjszaka és az eredménytelenség! A probléma továbbra is sürgős!
P.S.: Mindez a számítógépre történő telepítés miatt indult Microsoft Office 2007, amely egyértelműen jelezte az írási engedélyekkel kapcsolatos problémát a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog útvonalon, és szinte minden almappa nem nyílik meg ugyanazzal az ítélettel:


Utána már próbáltam a Microsoft Office 2016-ot, szintén nem akar telepíteni. El is mentem odáig, hogy letöltöttem hordozható változatai Az office kétségbe van esve, ezért közölte, hogy a services.exe 0x0000007e hibát ad (elég gyakori hiba, de mivel korábban megismertem a naplószolgáltatás elindítását a segítségével, úgy gondolom, hogy a hordozható office a Windows naplójával is kavar. .

Fú, befejezted az olvasást? :) Na, kérlek segítsetek, mondjátok meg, lehet, hogy valamit rosszul csináltam?? Nem tudom, mit tegyek még, még akkor sem, ha reális az első tízbe kerülni, és telepíteni a Windows 7-et...

UPD: Azon tűnődtem, hogy lehetséges-e nyilvántartó ág HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog visszaállítás/visszaállítás alapértelmezésre? A szolgáltatásbeállítások állapota olyan, mint egy frissen telepített operációs rendszeré. Vannak végső megoldási módszerek?

A Microsoft az operációs rendszereinek frissítésekor gyakran megváltoztatja a minden felhasználó által megszokott funkciók aktiválásának módját. Gyakran akár tapasztalt felhasználók A Windows számára nehéz kitalálni, hogy a Windows 10 rendszerben hol engedélyezheti az operációs rendszer rendszerindítási naplóját, hogy azt utólag meg lehessen tekinteni és elemezni lehessen. Ebben a cikkben megvizsgáljuk, hogyan lehet engedélyezni a rendszerindítási naplót a Windows 10 rendszerben.

Tartalomjegyzék:

Miért van szüksége letöltési naplóra?

Sok felhasználó egyáltalán nem tudja, mi az a letöltési napló (vagy napló), és miért van rá szükség. Anélkül, hogy belemennénk a részletekbe, a letöltési napló egy egyszerű szöveges fájl, amely információkat tartalmaz a számítógép és az operációs rendszer indítási folyamatának elemzéséhez.

A rendszerindító naplóra leggyakrabban azért van szükség a rendszergazdáknak, hogy megértsék, milyen problémák akadályozzák az operációs rendszer betöltését, okoznak bizonyos hibákat a programok indításakor vagy közben. Windows működés. A letöltési napló megjelenik teljes lista a számítógép indításakor betöltött illesztőprogramok és könyvtárak.

Hol található a rendszerindítási napló a Windows 10 rendszerben

A Windows 10 operációs rendszerben a letöltési napló itt található rendszerlemez V Windows mappa.A fájl neve ntbtlog.txt.

Megjegyzés: Amint látja, ez egy normál szöveges fájl. Használatával nyitható szabványos alkalmazás Jegyzettömb vagy mások harmadik féltől származó programok, amelyek lehetővé teszik a txt fájlokkal való munkát.

A rendszerindítási napló engedélyezése a Windows 10 rendszerben

Ahhoz, hogy az ntbtlog.txt szövegfájl megjelenjen a Windows mappában, létre kell hoznia azt. Alapértelmezés szerint a létrehozási folyamat le van tiltva a Windows 10 rendszerben ebből a fájlból amikor a számítógép elindul.

Kétféleképpen engedélyezheti a rendszerindítási naplófájl létrehozását:


A Windows 10 rendszerindítási napló olvasása

Annak ellenére, hogy a letöltési napló az Szöveges dokumentum kizárólag azért rendszergazdák, még egy hétköznapi felhasználó is kihozhat belőle valami hasznosat.

A rendszerindítási napló minden egyes összetevő előtt jelzi, hogy végrehajtották-e vagy sem:

  • BOOTLOG_LOADED- azt jelenti, hogy az illesztőprogram hiba nélkül lett betöltve.
  • BOOTLOG_NOT_LOADED- azt jelzi, hogy az illesztőprogram indítása kimaradt az operációs rendszer betöltése során.

Ezen információk alapján következtetéseket vonhat le arra vonatkozóan, hogy a számítógépén található illesztőprogramok közül melyek lehetnek problémák.



Oszd meg a barátaiddal:
Kapcsolódó kiadványok