Файлы журнала программы установки windows 10 при установке

При чистой установке Windows 10 на ноутбук с установочной USB флешки столкнулся со странной ошибкой. При выборе раздела, на который установить Windows появилась ошибка:

Нам не удалось создать новый или найти существующий раздел. Дополнительные сведения см. в файлах журнала программы установки.
We couldn't create a new system partition or locate an existing system partition. For more information, see the Setup log files.

Программе установки Windows не удалось создать новый раздел

При этом вы можете создавать, удалять разделы в окне установки Windows, но установить операционную систему ни на один из разделов невозможно.

Чтобы понять причину ошибку, запустите командную строку прямо с экрана установки Windows, нажав Shift+F10.

Выведите содержимое файла ошибок установки Windows (setuperr.log):

type X:\Windows\panther\setuperr.log

В моем случае в логе была ошибка:

Error [0x06069d] IBS GetMachineInfo:Couldn't find info for boot disk [0]

Также может быть ошибка:

IBSLIB LogReasons: [BLOCKING reason for disk 0: CanBeSystemVolume] The selected disk is not the computer's boot disk.

Проблема в том, что установщик Windows не может создать новый раздел из-за некорректной структуры разделов, либо на компьютере доступно несколько физическим дисков (флешки, SATA/IDE HDD, SSD, USB накопители).

Что нужно сделать, чтобы установить Windows на проблемный диск? Сначала попробуйте самые простые вещи:

  1. Если на компьютере установлено несколько HDD/SSD дисков, временно отключите их все, кроме того, на который вы хотите установить Windows;
  2. Измените порядок загрузки в настройках BIOS/UEFI, чтобы ваш жесткий диск оказался первым в списке Fixed Boot Order. Для загрузки компьютера с установочной USB флешки нужно при загрузке открыть Boot Menu с помощью клавиш F8-F12, Esc, F1 или F2 (в зависимости от производителя компьютера/ноутбука и версии BIOS). Если компьютер загрузится с установочной флешки и запустит мастер установки Windows, попробуйте продолжить установки Windows в штатном режиме;
  3. Если на диске нет важных данных, очистите его, удалив все разделы в окне Windows Setup и попробуйте установить Windows в неразмеченное пространство (Unallocated).

Если рассмотренный выше способ не помог, нужно скопировать установочный файлы Windows с USB флешки непосредственно на жесткий диск компьютера и установить Windows прямо с жесткого диска (USB флешку нужно обязательно отключить, чтобы у вас осталось только одно загрузочное устройство).

Для этого загрузите компьютер с флешки, на экране установки Windows создайте раздел, на который вы хотите установить ОС. Затем нажмите Shift+F10 на экране установки Windows чтобы открыть командную строку. Выполните следующие команды:

diskpart

List disk
– команда выведет список подключенных к компьютеру дисков. У вас должно быть два диска Disk 0 и Disk 1 (один из них это USB флешка, а второй – жесткий диск компьютера). Определите ваш жесткий диск по размеру и выберите его (по его номеру, в нашем примере это Disk 0:

select disk 0

Выведите список разделов на диске:

list partition

Найдите номер раздела, на который вы хотите установить Windows. Например, это Partition 1. Выберите его:

select partition 1

Сделайте раздел активным:

active

Отформатируйте раздел в файловую систему NTFS и назначьте ему букву диска M:

format fs=ntfs quick
assign letter=M

Следующая команда поможет вам определить букву диска, назначенную вашей USB флешке (например, у вас это диск C:):

list volume

Закройте diskpart:

exit

Теперь можно скопировать установочные файлы Windows с USB флешки (C:) на ваш жесткий диск (M:):

xcopy C: M: /e /h /k

После завершения копирования нужно обновить загрузочный сектор на жестком диске и сделает ваш жесткий диск загрузочным:

bootsect.exe /nt60 M:

Выключите компьютер, извлеките флешку. При следующей загрузке должна запуститься обычная установка Windows (установочные файлы дистрибутива при этом хранятся на вашем жестком диске).

После окончания установки Windows нужно запустить msconfig и удалить лишнюю загрузочную запись Windows Setup из меню Windows Boot Manager на вкладке Boot. Перезагрузите компьютер и удалите установочные файлы Windows с жесткого диска:

  • Каталоги: boot, efi, sources, support
  • Файлы: autorun.inf, setup.exe

Ошибка
We couldn’t create a new partition or locate an existing one
также может появится в Windows Server при установке ОС на SAN LUN, доступный по нескольким путям. Т.к. модуль multipath (MPIO) Windows Server в WinPE не доступен, вам нужно изменить конфигурацию вашей SUN сети, чтобы диск (LUN )был доступен только по одному пути.

Если после выполнения указанных действий ошибка пропала, но появилась другая:

Установка Windows на данный диск невозможна. На выбранном диске находится таблица MBR-разделов. В системах EFI Windows можно установить только на GPT-disk

Это означает что на вашем компьютере используется современная UEFI вместо BIOS, и вы не можете установить Windows на диск с таблицей разделов MBR. Чтобы продолжить установку, вам нужно включить в настройках UEFI режим совместимости с BIOS (называется CSM или Legacy), либо сконвертировать таблицу разделов на диске из MBR и GPT и продолжить установку:

Для конвертации MBR в GPT без потери данных можно использовать утилиту mbr2gpt (доступна в среде WinPE). Сначала выполните валидацию диска (в этом примере disk 0 – диск, на котором нужно изменить таблицу разделов, его номер можно узнать с помощью diskpart как описано выше):

mbr2gpt /validate /disk:0 /allowFullOS

Затем сконвертируйте таблицу разделов:

mbr2gpt /convert /disk:0 /allowFullOS

Подробнее структура GPT диска для Windows (разделы EFI, MSR) описана в этой статье.

Не удалось создать новый или найти существующий раздел Windows 10Среди ошибок, мешающих установке Windows 10 на компьютер или ноутбук и часто непонятных начинающему пользователю — сообщение о том, что «Нам не удалось создать новый или найти существующий раздел. Дополнительные сведения см. в файлах журнала программы установки.» (Или We couldn’t create a new partition or locate an existing one в англоязычных версиях системы). Чаще всего, ошибка появляется при установке системы на новый диск (HDD или SSD) или после предварительных действий по форматированию, конвертации между GPT и MBR и изменению структуры разделов на диске.

В этой инструкции — информация о том, почему возникает такая ошибка, и, естественно, о способах исправить её в различных ситуациях: когда важных данных на системном разделе или диске нет, или же в тех случаях, когда такие данные есть и их нужно сохранить. Похожие ошибки при установке ОС и способы их решения (которые в том числе могут появиться после некоторых предлагаемых в Интернете способов исправить описываемую здесь проблему): На диске находится таблица MBR разделов, Выбранный диск имеет стиль разделов GPT, Ошибка «Установка Windows на данный диск невозможна» (в контекстах, отличных от GPT и MBR).

Причина ошибки «Нам не удалось создать новый или найти существующий раздел»

Основная причина невозможности установки Windows 10 с указанным сообщением о том, что не удается создать новый раздел — уже имеющаяся структура разделов на жестком диске или SSD, мешающая созданию необходимых системных разделов с загрузчиком и средой восстановления.

Если из описанного не до конца ясно, что именно происходит, пробую пояснить иначе

  1. Ошибка возникает в двух ситуациях. Первый вариант: на единственном HDD или SSD, на который устанавливается система, существуют только разделы, созданные вами вручную, в diskpart (или с помощью сторонних программ, например, средств Acronis), при этом они занимают всё пространство диска (например, один раздел на весь диск, если он ранее использовался для хранения данных, был вторым диском на компьютере или только что куплен и отформатирован). При этом, проблема проявляет себя при загрузке в EFI режиме и установке на GPT диск. Второй вариант: на компьютере более одного физического диска (или флешка определяется как локальный диск), вы устанавливаете систему на Диск 1, а Диск 0, который находится перед ним, содержит какие-то свои разделы, которые не могут использоваться в качестве системного раздела (а системные разделы всегда записываются установщиком на Диск 0).Нам не удалось создать новый раздел
  2. В данной ситуации программе установки Windows 10 «негде» создать системные разделы (которые можно увидеть на следующем скриншоте), а ранее созданные системные разделы также отсутствуют (так как диск не был ранее системным или, если был, был переформатирован без учета необходимости места под системные разделы) — именно так трактуется «Нам не удалось создать новый или найти существующий раздел». Системные разделы Windows 10 на GPT диске

Уже это объяснение может быть достаточно для более опытного пользователя, чтобы понять суть проблемы и исправить её. А для начинающих пользователей несколько решений описаны далее.

Внимание: приведенные далее решения предполагают, что вы устанавливаете одну единственную ОС (а не, например, Windows 10 после установки Linux), и, кроме этого, диск, на который производится установка обозначен как Диск 0 (если это не так, когда у вас несколько дисков на ПК, измените порядок жестких дисков и SSD в БИОС/UEFI таким образом, чтобы целевой диск оказался на первом месте, либо просто переключите SATA-кабели).

Несколько важных примечаний:

  1. Если в программе установки Диск 0 — это не тот диск (речь о физическом HDD), на который планируется устанавливать систему (т.е. вы ставите ее на Диск 1), а, например, диск с данными, то можно поискать в БИОС/UEFI параметры, отвечающие за порядок следования жестких дисков в системе (не то же самое, что порядок загрузки) и установить диск, на который следует ставить ОС на первое место. Уже этого может оказаться достаточно для решения проблемы. В разных версиях БИОС параметры могут находиться в разных местах, чаще всего в отдельном подразделе Hard Disk Drive Priority на вкладке Boot configuration (но может быть и в конфигурации SATA). Если найти такого параметра найти не удается, можно просто поменять местами шлейфы между двумя дисками, это изменит их очередность.
  2. Иногда при установке Windows с флешки или внешнего жесткого диска, именно они отображаются как Диск 0. В этом случае попробуйте установить загрузку не с флешки, а с первого жесткого диска в БИОС (при условии, что ОС на нем не установлена). Загрузка все равно произойдет с внешнего накопителя, но теперь под Диск 0 у нас будет нужный жесткий диск.

Исправление ошибки при отсутствии важных данных на диске (разделе)

Первый из способов исправить проблему предполагает один из двух вариантов:

  1. На диске, на который планируется установить Windows 10 нет важных данных и всё подлежит удалению (или уже удалено).
  2. На диске есть более одного раздела и на первом из них нет важных данных, которые требуется сохранить, при этом размер раздела достаточен для установки системы.

В этих ситуациях решение будет очень простым (данные с первого раздела будут удалены):

  1. В программе установки выделите тот раздел, на который вы пробуете установить Windows 10 (обычно Диск 0 раздел 1). Удалить первый раздел с диска
  2. Нажмите «Удалить». Еще лучше удалить все разделы с Диска 0 (при условии, что систему ставим на него и важных данных нет).
  3. Выделите «Незанятое пространство на диске 0» и нажмите «Далее». Подтвердите создание системных разделов, если будет такой запрос, установка продолжится. Если не сработало, то перезагрузите компьютер, начните установку заново и снова запустите установку в незанятое пространство.

Как видите, все довольно просто и какие-либо действия в командной строке с помощью diskpart (удаление разделов или очистка диска с помощью команды clean) в большинстве случаев не требуются. Внимание: программе установки необходимо создавать системные разделы именно на диске 0, а не 1 и т.д.

В завершение — видео инструкция по исправлению ошибки при установке описанным выше способом, а затем — дополнительные методы решения проблемы.

Как исправить «Не удалось создать новый или найти существующий раздел» при установке Windows 10 на диск с важными данными

Вторая распространенная ситуация — установка Windows 10 производится на диск, который ранее служил для хранения данных, при этом, скорее всего, как описано в предыдущем решении, содержит всего один раздел, но данные на нем пострадать не должны.

В этом случае наша задача — сжать раздел и высвободить место на диске, чтобы там были созданы системные разделы операционной системы.

Сделать это можно как средствами программы установки Windows 10, так и в сторонних бесплатных программах для работы с разделами дисков, причем в данном случае второй способ, при возможности его использовать, будет предпочтительнее (далее объясняется, почему).

Освобождаем место для системных разделов с помощью diskpart в программе установки

Этот способ хорош тем, что для его использования нам не потребуется что-то дополнительное, помимо уже запущенной программы установки Windows 10. Минус способа в том, что после установки мы получим не совсем обычную структуру разделов на диске, когда загрузчик находится на разделе с системой, а дополнительные скрытые системные разделы — в конце диска, а не в его начале, как это обычно бывает (при этом все будет работать, но в дальнейшем, например, при возникновении проблем с загрузчиком, некоторые стандартные способы решений проблем могут работать не так, как ожидается).

В этом сценарии необходимые действия будут следующими:

  1. Находясь в программе установки Windows 10 нажмите клавиши Shift+F10 (или Shift+Fn+F10 на некоторых ноутбуках).
  2. Откроется командная строка, в ней по порядку используйте следующие команды
  3. diskpart
  4. list volume
  5. select volume N (где N — номер единственного тома на жестком диске или последнего раздела на нем, если их несколько, номер берется из результата выполнения предыдущей команды. Важно: на нем должно быть около 700 Мб свободного места).
  6. shrink desired=700 minimum=700 (у меня на скриншоте — 1024, потому что не было уверенности в том, сколько места действительно нужно. 700 Мб достаточно, как оказалось).
  7. exit

Уменьшение раздела в diskpart при установке Windows 10

После этого закройте командную строку, а в окне выбора раздела для установки нажмите «Обновить». Выберите раздел для установки (не незанятое пространство) и нажмите «Далее». При этом установка Windows 10 продолжится, а незанятое пространство будет использовано для создания системных разделов.

Использование Minitool Partition Wizard Bootable для освобождения места под системные разделы

Для того, чтобы освободить место для системных разделов Windows 10 (при этом не в конце, а в начале диска) и не потерять важные данные подойдет, по сути, любое загрузочное ПО для работы со структурой разделов на диске. В моем примере это будет бесплатная утилита Minitool Partition Wizard, доступная в виде ISO образа на официальном сайте https://www.partitionwizard.com/partition-wizard-bootable-cd.html (Обновление: с официального сайта убрали загрузочный ISO но он есть в веб-архиве, если просматривать указанную страницу за предыдущие годы).

Этот ISO вы можете записать на диск или загрузочную флешку (загрузочную флешку можно сделать с помощью программы Rufus, выбираем MBR или GPT для BIOS и UEFI соответственно, файловая система — FAT32. Для компьютеров с EFI загрузкой, а это, вероятнее всего, ваш случай можно просто скопировать все содержимое ISO образа на флешку с файловой системой FAT32).

Затем загружаемся с созданного накопителя (безопасная загрузка должна быть отключена, см. Как отключить Secure Boot) и производим следующие действия:

  1. На заставке программы нажимаем Enter и дожидаемся загрузки.
  2. Выберите первый раздел на диске, а затем нажмите «Move/Resize» для изменения размера раздела.
  3. В следующем окне с помощью мыши или указания чисел освободите место «слева» от раздела, около 700 Мб должно быть достаточным. Добавление незанятого пространства на диск
  4. Нажмите Ок, а затем, в главном окне программы — Apply.

После применения изменений, перезагрузите компьютер с дистрибутива Windows 10 — в этот раз ошибка о том, что не удалось создать новый или найти существующий раздел появиться не должна, а установка пройдет успешно (при установке выбирайте раздел, а не незанятое пространство на диске).

Надеюсь, инструкция смогла помочь, а если вдруг что-то не получилось или остаются вопросы — задавайте в комментариях, буду стараться ответить.

Windows upgrades used to be something you only had to worry about every few years. But in the Windows 10 era, each twice-yearly feature update is essentially a full upgrade.

When an upgrade or feature update fails, Windows Setup typically doesn’t provide any obvious indication of the underlying problem. But it does keep detailed records of every activity as it works, and if you know how to read setup log files, you can often pinpoint the issue.

These log files are typically saved in a compressed folder called Panther. (The exact location of the Panther folder when an upgrade fails depends on what stage Setup was in when the failure occurred.) If Setup fails and rolls back to the previous Windows version, the log files are stored in a folder called $windows.~bt\Sources\Rollback.

Reading raw log files requires expert skills and specialized tools. A much simpler option is to use a new diagnostic utility, SetupDiag.exe, which is designed specifically to read log files and generate a report identifying the most likely problems.

You’ll find full instructions for using SetupDiag at this page, which also includes a download link.

Copy SetupDiag.exe to its own folder and double-click to identify setup problems on the current PC. The program is smart enough to look in locations where log files are commonly saved, so you don’t need to specify any command-line switches for the tool.

If you’re diagnosing a problem on a different PC, copy the folders containing the log files to a local folder. Then run SetupDiag using the /Mode:Offline switch and the /LogsPath:<folder> parameter, replacing <folder> with the name of the location where you copied the log files.

The output for SetupDiag is a plain text file that is saved in the same folder as the program file. You can open the results file in any text editor, including Notepad, to examine its output and figure out what to do next.

PREVIOUS AND RELATED CONTENT

Need more details about the right way to do a clean Windows 10 install? See these previous articles:

FAQ

Windows 10 tip: Create a recovery drive

If your Windows 10 PC is operating perfectly right now, great. Take advantage of the opportunity to create a recovery drive so you have a way to perform repairs if something ever goes wrong.

After Windows 10 upgrade, do these seven things immediately

You’ve just upgraded to the most recent version of Windows 10. Before you get back to work, use this checklist to ensure that your privacy and security settings are correct and that you’ve cut annoyances to a bare minimum.

How to install, reinstall, upgrade and activate Windows 10

Here’s everything you need to know before you repair, reinstall, or upgrade Windows 10, including details about activation and product keys.

Windows 10 tip: Repair your Windows 10 installation

Performing a clean install or a reset means you have to reinstall apps and desktop programs and start over with settings and preferences. If you suspect Windows has become damaged, there’s a less drastic solution: Run Setup to repair Windows. Here’s how.

Editorial standards

При чистой установке Windows 10 на ноутбук с установочной USB флешки столкнулся со странной ошибкой. При выборе раздела, на который установить Windows появилась ошибка:

Нам не удалось создать новый или найти существующий раздел. Дополнительные сведения см. в файлах журнала программы установки.
We couldn't create a new system partition or locate an existing system partition. For more information, see the Setup log files.

Программе установки Windows не удалось создать новый раздел

При этом вы можете создавать, удалять разделы в окне установки Windows, но установить операционную систему ни на один из разделов невозможно.

Чтобы понять причину ошибку, запустите командную строку прямо с экрана установки Windows, нажав Shift+F10.

Выведите содержимое файла ошибок установки Windows (setuperr.log):

type X:Windowspanthersetuperr.log

В моем случае в логе была ошибка:

Error [0x06069d] IBS GetMachineInfo:Couldn't find info for boot disk [0]

Также может быть ошибка:

IBSLIB LogReasons: [BLOCKING reason for disk 0: CanBeSystemVolume] The selected disk is not the computer's boot disk.

Проблема в том, что установщик Windows не может создать новый раздел из-за некорректной структуры разделов, либо на компьютере доступно несколько физическим дисков (флешки, SATA/IDE HDD, SSD, USB накопители).

Что нужно сделать, чтобы установить Windows на проблемный диск? Сначала попробуйте самые простые вещи:

  1. Если на компьютере установлено несколько HDD/SSD дисков, временно отключите их все, кроме того, на который вы хотите установить Windows;
  2. Измените порядок загрузки в настройках BIOS/UEFI, чтобы ваш жесткий диск оказался первым в списке Fixed Boot Order. Для загрузки компьютера с установочной USB флешки нужно при загрузке открыть Boot Menu с помощью клавиш F8-F12, Esc, F1 или F2 (в зависимости от производителя компьютера/ноутбука и версии BIOS). Если компьютер загрузится с установочной флешки и запустит мастер установки Windows, попробуйте продолжить установки Windows в штатном режиме;
  3. Если на диске нет важных данных, очистите его, удалив все разделы в окне Windows Setup и попробуйте установить Windows в неразмеченное пространство (Unallocated).

Если рассмотренный выше способ не помог, нужно скопировать установочный файлы Windows с USB флешки непосредственно на жесткий диск компьютера и установить Windows прямо с жесткого диска (USB флешку нужно обязательно отключить, чтобы у вас осталось только одно загрузочное устройство).

Для этого загрузите компьютер с флешки, на экране установки Windows создайте раздел, на который вы хотите установить ОС. Затем нажмите Shift+F10 на экране установки Windows чтобы открыть командную строку. Выполните следующие команды:

diskpart

List disk
– команда выведет список подключенных к компьютеру дисков. У вас должно быть два диска Disk 0 и Disk 1 (один из них это USB флешка, а второй – жесткий диск компьютера). Определите ваш жесткий диск по размеру и выберите его (по его номеру, в нашем примере это Disk 0:

select disk 0

Выведите список разделов на диске:

list partition

Найдите номер раздела, на который вы хотите установить Windows. Например, это Partition 1. Выберите его:

select partition 1

Сделайте раздел активным:

active

Отформатируйте раздел в файловую систему NTFS и назначьте ему букву диска M:

format fs=ntfs quick
assign letter=M

Следующая команда поможет вам определить букву диска, назначенную вашей USB флешке (например, у вас это диск C:):

list volume

Закройте diskpart:

exit

Теперь можно скопировать установочные файлы Windows с USB флешки (C:) на ваш жесткий диск (M:):

xcopy C: M: /e /h /k

После завершения копирования нужно обновить загрузочный сектор на жестком диске и сделает ваш жесткий диск загрузочным:

bootsect.exe /nt60 M:

Выключите компьютер, извлеките флешку. При следующей загрузке должна запуститься обычная установка Windows (установочные файлы дистрибутива при этом хранятся на вашем жестком диске).

После окончания установки Windows нужно запустить msconfig и удалить лишнюю загрузочную запись Windows Setup из меню Windows Boot Manager на вкладке Boot. Перезагрузите компьютер и удалите установочные файлы Windows с жесткого диска:

  • Каталоги: boot, efi, sources, support
  • Файлы: autorun.inf, setup.exe

Ошибка
We couldn’t create a new partition or locate an existing one
также может появится в Windows Server при установке ОС на SAN LUN, доступный по нескольким путям. Т.к. модуль multipath (MPIO) Windows Server в WinPE не доступен, вам нужно изменить конфигурацию вашей SUN сети, чтобы диск (LUN )был доступен только по одному пути.

Если после выполнения указанных действий ошибка пропала, но появилась другая:

Установка Windows на данный диск невозможна. На выбранном диске находится таблица MBR-разделов. В системах EFI Windows можно установить только на GPT-disk

Это означает что на вашем компьютере используется современная UEFI вместо BIOS, и вы не можете установить Windows на диск с таблицей разделов MBR. Чтобы продолжить установку, вам нужно включить в настройках UEFI режим совместимости с BIOS (называется CSM или Legacy), либо сконвертировать таблицу разделов на диске из MBR и GPT и продолжить установку:

Для конвертации MBR в GPT без потери данных можно использовать утилиту mbr2gpt (доступна в среде WinPE). Сначала выполните валидацию диска (в этом примере disk 0 – диск, на котором нужно изменить таблицу разделов, его номер можно узнать с помощью diskpart как описано выше):

mbr2gpt /validate /disk:0 /allowFullOS

Затем сконвертируйте таблицу разделов:

mbr2gpt /convert /disk:0 /allowFullOS

Подробнее структура GPT диска для Windows (разделы EFI, MSR) описана в этой статье.

Содержание

  1. Файлы журналов программы установки Windows
  2. Журналы событий установки Windows
  3. Просмотр журналов событий установки Windows
  4. Экспорт журнала в файл
  5. Как посмотреть журнал установки windows
  6. Как узнать кто установил программу и когда
  7. Автоматизация оповещения по событиям 11707
  8. Как найти события установки программ не методом MsiInstaller
  9. Как узнать кто удалил программу с сервера или компьютера
  10. Дополнительно
  11. Журнал событий в Windows: как его открыть и найти информацию об ошибке
  12. Работа с журналом событий (для начинающих)

Установка Windows® создает файлы журналов для всех действий, выполняемых во время установки. При наличии проблем с установкой Windows просмотрите файлы журналов для поиска и устранения неполадок.

Файлы журналов установки Windows сохраняются в следующих каталогах:

Местоположение журнала перед доступом установки к диску.

Расположение журнала при откате установки в случае неустранимой ошибки.

Расположение журнала действий установки после настройки диска.

Используется для регистрирования установок устройств Plug and Play.

Местоположение дампа памяти для проверки на ошибки.

Местоположение зарегистрированных мини-дампов для проверки на ошибки.

Местоположение журналов программы Sysprep.

Журналы событий установки Windows

Установка Windows теперь позволяет просматривать события производительности установки Windows в средстве просмотра журнала событий Windows. Это упрощает просмотр действий, выполненных во время установки Windows, и позволяет просматривать статистику производительности для различных компонентов установки Windows. Для просмотра только необходимых записей в журнале можно использовать фильтр. Дополнительные сведения о средстве просмотра событий см. на данном веб-сайте Майкрософт (страница может быть на английском языке).

События производительности установки Windows регистрируются в файле журнала с именем Setup.etl, который находится в каталоге %WINDIR%Panther всех установок Windows® 7.

Чтобы просмотреть эти журналы, необходимо воспользоваться средством просмотра событий в Windows 7, Windows Vista®, Windows Server® 2008 или Windows Server® 2008 R2.

Чтобы просмотреть эти журналы на компьютере под управлением Windows Vista без Windows AIK 2.0 или Windows OPK 2.0, необходимо из корневого каталога носителя с Windows 7 или Windows Server 2008 R2 запустить сценарий, который устанавливает поставщика отслеживания событий Windows. В командной строке введите:

где — это буква DVD-диска Windows.

Просмотр журналов событий установки Windows

  1. Запустите средство просмотра событий, разверните узел «Журналы Windows», а затем выберите Система.

На панели Действия выберите команду Открыть сохраненный журнал, а затем выберите файл Setup.etl. По умолчанию этот файл находится в каталоге %WINDIR%Panther.

В средстве просмотра событий отображается содержимое файла журнала.

Экспорт журнала в файл

Для сохранения журнала в XML- или текстовый файл введите в командной строке команду Wevtutil или Tracerpt. Дополнительные сведения об этих программах см. в справке командной строки. В следующих примерах показано, как можно использовать эти программы:

Как посмотреть журнал установки windows

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.

Как узнать кто установил программу и когда

И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.

Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,

первое это событие с ID 1040 покажет вам начало установки программы:

Далее идет сообщение с кодом ID 10000.

Далее вы увидите событие, где заканчивается установка программы ID 1042

Завершается сеанс событием с кодом ID 10001

И заканчивается установка программы событием с кодом ID 11707

Иногда вы можете увидеть событие с ID 1033.

Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»

В источниках событий выберите из выпадающего списка пункт MsiInstaller.

В итоге у меня получилось вот так.

Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOTАдминистратор.

Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM

Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.

Автоматизация оповещения по событиям 11707

Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.

Тут главное заполнить:

  • Адрес вашего SMTP сервера
  • От кого будет письмо
  • Кому отправлять письмо
  • Пароль от ящика отправителя

В результате вы получите письмо вот такого содержания:

Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.

Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:

Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.

Как найти события установки программ не методом MsiInstaller

Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.

Выглядит событие ID 7045 вот так:

Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeApplication80.0.361.111elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Как узнать кто удалил программу с сервера или компьютера

По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.

Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.

Дополнительно

Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

  1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
  2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

    сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;

Система и безопасность

далее необходимо перейти в раздел «Администрирование» ;

после кликнуть мышкой по ярлыку «Просмотр событий» .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

  1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
  2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
  3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

    открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.

Adblock
detector

Расположение файла журнала Описание

Не удалось создать новый или найти существующий раздел Windows 10Среди ошибок, мешающих установке Windows 10 на компьютер или ноутбук и часто непонятных начинающему пользователю — сообщение о том, что «Нам не удалось создать новый или найти существующий раздел. Дополнительные сведения см. в файлах журнала программы установки.» (Или We couldn’t create a new partition or locate an existing one в англоязычных версиях системы). Чаще всего, ошибка появляется при установке системы на новый диск (HDD или SSD) или после предварительных действий по форматированию, конвертации между GPT и MBR и изменению структуры разделов на диске.

В этой инструкции — информация о том, почему возникает такая ошибка, и, естественно, о способах исправить её в различных ситуациях: когда важных данных на системном разделе или диске нет, или же в тех случаях, когда такие данные есть и их нужно сохранить. Похожие ошибки при установке ОС и способы их решения (которые в том числе могут появиться после некоторых предлагаемых в Интернете способов исправить описываемую здесь проблему): На диске находится таблица MBR разделов, Выбранный диск имеет стиль разделов GPT, Ошибка «Установка Windows на данный диск невозможна» (в контекстах, отличных от GPT и MBR).

Причина ошибки «Нам не удалось создать новый или найти существующий раздел»

Основная причина невозможности установки Windows 10 с указанным сообщением о том, что не удается создать новый раздел — уже имеющаяся структура разделов на жестком диске или SSD, мешающая созданию необходимых системных разделов с загрузчиком и средой восстановления.

Если из описанного не до конца ясно, что именно происходит, пробую пояснить иначе

  1. Ошибка возникает в двух ситуациях. Первый вариант: на единственном HDD или SSD, на который устанавливается система, существуют только разделы, созданные вами вручную, в diskpart (или с помощью сторонних программ, например, средств Acronis), при этом они занимают всё пространство диска (например, один раздел на весь диск, если он ранее использовался для хранения данных, был вторым диском на компьютере или только что куплен и отформатирован). При этом, проблема проявляет себя при загрузке в EFI режиме и установке на GPT диск. Второй вариант: на компьютере более одного физического диска (или флешка определяется как локальный диск), вы устанавливаете систему на Диск 1, а Диск 0, который находится перед ним, содержит какие-то свои разделы, которые не могут использоваться в качестве системного раздела (а системные разделы всегда записываются установщиком на Диск 0).Нам не удалось создать новый раздел
  2. В данной ситуации программе установки Windows 10 «негде» создать системные разделы (которые можно увидеть на следующем скриншоте), а ранее созданные системные разделы также отсутствуют (так как диск не был ранее системным или, если был, был переформатирован без учета необходимости места под системные разделы) — именно так трактуется «Нам не удалось создать новый или найти существующий раздел». Системные разделы Windows 10 на GPT диске

Уже это объяснение может быть достаточно для более опытного пользователя, чтобы понять суть проблемы и исправить её. А для начинающих пользователей несколько решений описаны далее.

Внимание: приведенные далее решения предполагают, что вы устанавливаете одну единственную ОС (а не, например, Windows 10 после установки Linux), и, кроме этого, диск, на который производится установка обозначен как Диск 0 (если это не так, когда у вас несколько дисков на ПК, измените порядок жестких дисков и SSD в БИОС/UEFI таким образом, чтобы целевой диск оказался на первом месте, либо просто переключите SATA-кабели).

Несколько важных примечаний:

  1. Если в программе установки Диск 0 — это не тот диск (речь о физическом HDD), на который планируется устанавливать систему (т.е. вы ставите ее на Диск 1), а, например, диск с данными, то можно поискать в БИОС/UEFI параметры, отвечающие за порядок следования жестких дисков в системе (не то же самое, что порядок загрузки) и установить диск, на который следует ставить ОС на первое место. Уже этого может оказаться достаточно для решения проблемы. В разных версиях БИОС параметры могут находиться в разных местах, чаще всего в отдельном подразделе Hard Disk Drive Priority на вкладке Boot configuration (но может быть и в конфигурации SATA). Если найти такого параметра найти не удается, можно просто поменять местами шлейфы между двумя дисками, это изменит их очередность.
  2. Иногда при установке Windows с флешки или внешнего жесткого диска, именно они отображаются как Диск 0. В этом случае попробуйте установить загрузку не с флешки, а с первого жесткого диска в БИОС (при условии, что ОС на нем не установлена). Загрузка все равно произойдет с внешнего накопителя, но теперь под Диск 0 у нас будет нужный жесткий диск.

Исправление ошибки при отсутствии важных данных на диске (разделе)

Первый из способов исправить проблему предполагает один из двух вариантов:

  1. На диске, на который планируется установить Windows 10 нет важных данных и всё подлежит удалению (или уже удалено).
  2. На диске есть более одного раздела и на первом из них нет важных данных, которые требуется сохранить, при этом размер раздела достаточен для установки системы.

В этих ситуациях решение будет очень простым (данные с первого раздела будут удалены):

  1. В программе установки выделите тот раздел, на который вы пробуете установить Windows 10 (обычно Диск 0 раздел 1). Удалить первый раздел с диска
  2. Нажмите «Удалить». Еще лучше удалить все разделы с Диска 0 (при условии, что систему ставим на него и важных данных нет).
  3. Выделите «Незанятое пространство на диске 0» и нажмите «Далее». Подтвердите создание системных разделов, если будет такой запрос, установка продолжится. Если не сработало, то перезагрузите компьютер, начните установку заново и снова запустите установку в незанятое пространство.

Как видите, все довольно просто и какие-либо действия в командной строке с помощью diskpart (удаление разделов или очистка диска с помощью команды clean) в большинстве случаев не требуются. Внимание: программе установки необходимо создавать системные разделы именно на диске 0, а не 1 и т.д.

В завершение — видео инструкция по исправлению ошибки при установке описанным выше способом, а затем — дополнительные методы решения проблемы.

Как исправить «Не удалось создать новый или найти существующий раздел» при установке Windows 10 на диск с важными данными

Вторая распространенная ситуация — установка Windows 10 производится на диск, который ранее служил для хранения данных, при этом, скорее всего, как описано в предыдущем решении, содержит всего один раздел, но данные на нем пострадать не должны.

В этом случае наша задача — сжать раздел и высвободить место на диске, чтобы там были созданы системные разделы операционной системы.

Сделать это можно как средствами программы установки Windows 10, так и в сторонних бесплатных программах для работы с разделами дисков, причем в данном случае второй способ, при возможности его использовать, будет предпочтительнее (далее объясняется, почему).

Освобождаем место для системных разделов с помощью diskpart в программе установки

Этот способ хорош тем, что для его использования нам не потребуется что-то дополнительное, помимо уже запущенной программы установки Windows 10. Минус способа в том, что после установки мы получим не совсем обычную структуру разделов на диске, когда загрузчик находится на разделе с системой, а дополнительные скрытые системные разделы — в конце диска, а не в его начале, как это обычно бывает (при этом все будет работать, но в дальнейшем, например, при возникновении проблем с загрузчиком, некоторые стандартные способы решений проблем могут работать не так, как ожидается).

В этом сценарии необходимые действия будут следующими:

  1. Находясь в программе установки Windows 10 нажмите клавиши Shift+F10 (или Shift+Fn+F10 на некоторых ноутбуках).
  2. Откроется командная строка, в ней по порядку используйте следующие команды
  3. diskpart
  4. list volume
  5. select volume N (где N — номер единственного тома на жестком диске или последнего раздела на нем, если их несколько, номер берется из результата выполнения предыдущей команды. Важно: на нем должно быть около 700 Мб свободного места).
  6. shrink desired=700 minimum=700 (у меня на скриншоте — 1024, потому что не было уверенности в том, сколько места действительно нужно. 700 Мб достаточно, как оказалось).
  7. exit

Уменьшение раздела в diskpart при установке Windows 10

После этого закройте командную строку, а в окне выбора раздела для установки нажмите «Обновить». Выберите раздел для установки (не незанятое пространство) и нажмите «Далее». При этом установка Windows 10 продолжится, а незанятое пространство будет использовано для создания системных разделов.

Использование Minitool Partition Wizard Bootable для освобождения места под системные разделы

Для того, чтобы освободить место для системных разделов Windows 10 (при этом не в конце, а в начале диска) и не потерять важные данные подойдет, по сути, любое загрузочное ПО для работы со структурой разделов на диске. В моем примере это будет бесплатная утилита Minitool Partition Wizard, доступная в виде ISO образа на официальном сайте https://www.partitionwizard.com/partition-wizard-bootable-cd.html (Обновление: с официального сайта убрали загрузочный ISO но он есть в веб-архиве, если просматривать указанную страницу за предыдущие годы).

Этот ISO вы можете записать на диск или загрузочную флешку (загрузочную флешку можно сделать с помощью программы Rufus, выбираем MBR или GPT для BIOS и UEFI соответственно, файловая система — FAT32. Для компьютеров с EFI загрузкой, а это, вероятнее всего, ваш случай можно просто скопировать все содержимое ISO образа на флешку с файловой системой FAT32).

Затем загружаемся с созданного накопителя (безопасная загрузка должна быть отключена, см. Как отключить Secure Boot) и производим следующие действия:

  1. На заставке программы нажимаем Enter и дожидаемся загрузки.
  2. Выберите первый раздел на диске, а затем нажмите «Move/Resize» для изменения размера раздела.
  3. В следующем окне с помощью мыши или указания чисел освободите место «слева» от раздела, около 700 Мб должно быть достаточным. Добавление незанятого пространства на диск
  4. Нажмите Ок, а затем, в главном окне программы — Apply.

После применения изменений, перезагрузите компьютер с дистрибутива Windows 10 — в этот раз ошибка о том, что не удалось создать новый или найти существующий раздел появиться не должна, а установка пройдет успешно (при установке выбирайте раздел, а не незанятое пространство на диске).

Надеюсь, инструкция смогла помочь, а если вдруг что-то не получилось или остаются вопросы — задавайте в комментариях, буду стараться ответить.

Содержание

  1. Файлы журналов программы установки Windows
  2. Журналы событий установки Windows
  3. Просмотр журналов событий установки Windows
  4. Экспорт журнала в файл
  5. Включения ведения журнала установщика Windows
  6. Ведение журнала установщика Windows
  7. Включить Windows установки вручную
  8. Включить Windows установки с помощью групповых политик
  9. Лог установки программ windows 10
  10. Как узнать кто установил программу и когда
  11. Автоматизация оповещения по событиям 11707
  12. Как найти события установки программ не методом MsiInstaller
  13. Как узнать кто удалил программу с сервера или компьютера
  14. Дополнительно
  15. Вертим логи как хотим ― анализ журналов в системах Windows
  16. Журналы и командная строка
  17. Работаем с журналами посредством запросов SQL
  18. Как посмотреть логи Windows?
  19. Просмотр событий для проверки логов.
  20. Фильтрация событий.
  21. Просмотр PowerShell логов.

Установка Windows® создает файлы журналов для всех действий, выполняемых во время установки. При наличии проблем с установкой Windows просмотрите файлы журналов для поиска и устранения неполадок.

Файлы журналов установки Windows сохраняются в следующих каталогах:

Местоположение журнала перед доступом установки к диску.

Расположение журнала при откате установки в случае неустранимой ошибки.

Расположение журнала действий установки после настройки диска.

Используется для регистрирования установок устройств Plug and Play.

Местоположение дампа памяти для проверки на ошибки.

Местоположение зарегистрированных мини-дампов для проверки на ошибки.

Местоположение журналов программы Sysprep.

Журналы событий установки Windows

Установка Windows теперь позволяет просматривать события производительности установки Windows в средстве просмотра журнала событий Windows. Это упрощает просмотр действий, выполненных во время установки Windows, и позволяет просматривать статистику производительности для различных компонентов установки Windows. Для просмотра только необходимых записей в журнале можно использовать фильтр. Дополнительные сведения о средстве просмотра событий см. на данном веб-сайте Майкрософт (страница может быть на английском языке).

События производительности установки Windows регистрируются в файле журнала с именем Setup.etl, который находится в каталоге %WINDIR%Panther всех установок Windows® 7.

Чтобы просмотреть эти журналы, необходимо воспользоваться средством просмотра событий в Windows 7, Windows Vista®, Windows Server® 2008 или Windows Server® 2008 R2.

Чтобы просмотреть эти журналы на компьютере под управлением Windows Vista без Windows AIK 2.0 или Windows OPK 2.0, необходимо из корневого каталога носителя с Windows 7 или Windows Server 2008 R2 запустить сценарий, который устанавливает поставщика отслеживания событий Windows. В командной строке введите:

Просмотр журналов событий установки Windows

Экспорт журнала в файл

Для сохранения журнала в XML- или текстовый файл введите в командной строке команду Wevtutil или Tracerpt. Дополнительные сведения об этих программах см. в справке командной строки. В следующих примерах показано, как можно использовать эти программы:

Источник

Включения ведения журнала установщика Windows

Windows включает службу ведения журнала с активированным реестром, чтобы помочь диагностировать проблемы Windows установки. В этой статье описывается, как включить эту службу ведения журнала.

Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 223300

Запись реестра в этой статье действительна для всех Windows операционных систем.

Ведение журнала установщика Windows

Windows Установщик может использовать ведение журнала, чтобы помочь в устранении неполадок при установке пакетов программного обеспечения. Этот журнал включен путем добавления ключей и значений в реестр. После того как записи были добавлены и включены, можно повторить установку проблемы и Windows установщик будет отслеживать ход и размещать его в папке Temp. Имя файла нового журнала является случайным. Однако первыми буквами являются Msi, а имя файла имеет расширение журнала. Чтобы найти папку Temp, введите следующую строку в командной строке:

Чтобы включить Windows установки вручную, см. в следующем разделе.

Включить Windows установки вручную

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

Чтобы включить Windows установки самостоятельно, откройте реестр с помощью Regedit.exe, а затем создайте следующий подкай и клавиши:

Буквы в поле значения могут идти в любом порядке. Каждая буква включает отдельный режим ведения журнала. Фактическая функция каждой буквы следующим образом для версии MSI 1.1:

Это изменение должно использоваться только для устранения неполадок и не должно быть оставлено на месте, так как оно будет иметь негативные последствия для производительности системы и дискового пространства. При каждом использовании элемента Добавить или Удалить программы в панели управления создается новый файл Msi*.log. Чтобы отключить ведение журнала, удалите значение реестра журнала.

Включить Windows установки с помощью групповых политик

Вы можете включить ведение журнала с помощью групповых политик, редактировать соответствующую политику группы OU или Directory. В соответствии с групповой политикой расширяйте конфигурацию компьютера, расширяйте административные шаблоны, Windows компоненты, а затем выберите Windows установщика.

Дважды щелкните журнал журнала и нажмите кнопку Включено. В поле Ведение журнала введите параметры, которые необходимо ввести в журнал. Файл журнала Msi.log отображается в папке Temp тома системы.

Дополнительные сведения о журнале MSI см. в Windows Help. Для этого выберите поиск с помощью журнала msi фразы, а затем выберите параметры управления для компьютеров с помощью групповой политики.

Добавление x-флага доступно в Windows Server 2003 и более поздних операционных системах, в MSI-перераспределяемой версии 3.0 и в более поздних версиях MSI, которые можно перераспределить.

Источник

Лог установки программ windows 10

udalit

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.

Как узнать кто установил программу и когда

И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.

kto ustanovil programmu 02

первое это событие с ID 1040 покажет вам начало установки программы:

kto ustanovil programmu 03

Далее идет сообщение с кодом ID 10000.

kto ustanovil programmu 04

Далее вы увидите событие, где заканчивается установка программы ID 1042

kto ustanovil programmu 05

Завершается сеанс событием с кодом ID 10001

kto ustanovil programmu 06

И заканчивается установка программы событием с кодом ID 11707

kto ustanovil programmu 07

Иногда вы можете увидеть событие с ID 1033.

kto ustanovil programmu 11

Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»

kto ustanovil programmu 08

В источниках событий выберите из выпадающего списка пункт MsiInstaller.

kto ustanovil programmu 09

В итоге у меня получилось вот так.

kto ustanovil programmu 10

Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOTАдминистратор.

Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM

kto ustanovil programmu 12

Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.

windows admin center

Автоматизация оповещения по событиям 11707

Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.

Тут главное заполнить:

В результате вы получите письмо вот такого содержания:

Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.

kto ustanovil programmu 13

Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:

kto ustanovil programmu 18

Как найти события установки программ не методом MsiInstaller

Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.

kto ustanovil programmu 14

Выглядит событие ID 7045 вот так:

Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

kto ustanovil programmu 17

Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeApplication80.0.361.111elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

kto ustanovil programmu 15

kto ustanovil programmu 16

Как узнать кто удалил программу с сервера или компьютера

По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.

kto udalil programmu 01

kto udalil programmu 02

Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.

Дополнительно

Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.

Источник

Вертим логи как хотим ― анализ журналов в системах Windows

tfpwrbwca kyem942aii m bbs4

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

Журналы и командная строка

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:


Смотрим за ходом обновления Windows.

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

klwjzgfj74l2oxqtevwfpfhm sg
Смотрим, кто пытается пролезть на наш дедик.

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Для получения списка доступных системных журналов можно выполнить следующую команду:

mlc5npx6i spjltcq0i i onfts
Вывод доступных журналов и информации о них.

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

uz2avrrtisboqgrfhhljpns8rjy
Последние записи в журнале System.

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

j6ktiwwhht1wuzt659d9af8wtmm
Ошибки и предупреждения журнала System.

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Работаем с журналами посредством запросов SQL

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

Посмотрим на результат:


Смотрим журнал Windows Firewall.

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManagerOperational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%System32WinevtLogsMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%test.evtx.

Данные будем получать таким запросом:

sei0cflxix zzj 3ft jptsyork
Смотрим, кто и когда подключался к нашему серверу терминалов.

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.


Выполняем запрос и открываем получившуюся картинку…

4xbj2lxqwz0rsy 8 8zth6 4k
Любуемся результатом.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.


Интерфейс Log Parser Studio.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:

n89x0fnfekzdmjl36od1 9l8sa8
Выборка наиболее активных ящиков.

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Источник

Как посмотреть логи Windows?

Ищете сервер с Windows? Выбирайте наши Windows VDS

Просмотр событий для проверки логов.

После нажатия комбинации “ Win+R и введите eventvwr.msc ” в любой системе Виндовс вы попадаете в просмотр событий. У вас откроется окно, где нужно развернуть Журналы Windows. В данном окне можно просмотреть все программы, которые открывались на ОС и, если была допущена ошибка, она также отобразится.

1

Аудит журнал поможет понять, что и кто и когда делал. Также отображается информация по запросам получения доступов.

2

В пункте Установка можно посмотреть логи ОС Виндовс, например, программы и обновления системы.

3

4

5

Фильтрация событий.

С помощью Фильтра текущего журнала (раздел Действия) можно отфильтровать информацию, которую вы хотите просмотреть.

6

Обязательно нужно указать уровень Событий:

Для сужения поиска можно отфильтровать источник событий и код.

7

Просмотр PowerShell логов.

В результате вы получите логи Системы

8

9

Также обязательно ознакомьтесь с перечнем аббревиатур:

Для выведения событий в командной оболочке только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система» используйте:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

10

Если нужна подробная информация, замените Format-Table на Format-List на

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Формат информации станет более легким

11

Для фильтрации журнала, например, для фильтрации последних 20 сообщений, используйте команду

Get-EventLog –Logname ‘System’ –Newest 20

vyivesti sobyitiya min

Если нужен список, позднее даты 1 января 2018 года, команда

Get-EventLog –LogName ‘System’ –After ‘1 января 2018’

Надеемся, данная статья поможет вам быстро и просто читать логи ОС Windows.

Желаем приятной работы!

Как установить свой образ на ВДС сервер с Виндовс, читайте в предыдущей статье.

Источник

Adblock
detector

Расположение файла журнала Описание

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

  1. Зажатием клавиш «Win» + «R» вызвать окно.
  2. Прописать команду «eventvwr».
  3. Нажать «OK».

А второй требует использования панели управления, где требуется:

  1. Выбрать раздел «Система и безопасность».
  2. Проследовать в подраздел «Администрирование».
  3. Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

  • Приложение (основная) — записи, созданные программами.
  • Безопасность (основная) — сведения о безопасности системы.
  • Установка (дополнительная).
  • Система (основная) — сведения о работе системных компонентов.
  • Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Нюансы работы в журнале

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

  • важности;
  • времени;
  • источнику;
  • имени компьютера и пользователя;
  • коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Вручную

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

  1. Открыть журнал событий.
  2. Нажать правой кнопкой мыши на необходимый раздел.
  3. Выбрать команду «Очистить журнал…».

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Создание файла .bat

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Его необходимо использовать в следующем алгоритме:

  1. Создайте текстовый документ.
  2. Скопируйте в него код, указанный выше.
  3. Сохраните документ с расширением .bat (подробнее о расширениях можно прочесть в статье «Расширения файлов Windows. Как открыть и изменить расширения файлов»)
  4. Запустите полученный файл от имени администратора.

После этого все отчеты будут удалены.

Через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

  1. Нажать клавишу «Win».
  2. Вести «Командная строка».
  3. Запустить утилиту от имени администратора.
  4. Ввести указанную ниже команду и нажать «Enter».

for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1″

Через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

Вертим логи как хотим ― анализ журналов в системах Windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

findstr «Fail» *.log >> fail.txt

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Get-Content -Path ‘C:Program FilesUpdate ServicesLogFilesSoftwareDistribution.log’ | Out-Host -Paging

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

>Get-Content -Path «C:WindowsWindowsUpdate.log» -Tail 5 -Wait

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Select-String -Path «C:WindowsSystem32LogFilesFirewallpfirewall.log» -Pattern ‘Drop’ | Select-Object -Last 20 | Format-Table Line

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Select-String ‘C:WindowsClusterReportsCluster.log’ -Pattern ‘ err ‘ ‑Context 3

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Get-Content ‘C:Windowsdebugnetlogon.log’ | Select-Object -First 30 -Skip 45

Журналы системы ведутся в формате .evtx, и для работы с ними существуют отдельные командлеты. Для работы с классическими журналами («Приложение», «Система», и т.д.) используется Get-Eventlog. Этот командлет удобен, но не позволяет работать с остальными журналами приложений и служб. Для работы с любыми журналами, включая классические, существует более универсальный вариант ― Get-WinEvent. Остановимся на нем подробнее.

Для получения списка доступных системных журналов можно выполнить следующую команду:

Get-WinEvent -ListLog *

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Get-WinEvent -LogName ‘System’ -MaxEvents 20

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

Get-WinEvent -FilterHashTable @{LogName=’System’;ID=’1′,’6013′}

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

  • 0 ― всегда записывать;
  • 1 ― критический;
  • 2 ― ошибка;
  • 3 ― предупреждение;
  • 4 ― информация;
  • 5 ― подробный (Verbose).

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

Get-WinEvent -FilterHashtable @{LogName=’system’} | Where-Object -FilterScript {($_.Level -eq 2) -or ($_.Level -eq 3)}

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

  • Get-EventLog.
  • Get-WinEvent.

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

SELECT extract_token(text, 0, ‘ ‘) as date, extract_token(text, 1, ‘ ‘) as time, extract_token(text, 2, ‘ ‘) as action, extract_token(text, 4, ‘ ‘) as src-ip, extract_token(text, 7, ‘ ‘) as port FROM ‘C:WindowsSystem32LogFilesFirewallpfirewall.log’ WHERE action=’DROP’ AND port=’3389′ ORDER BY date,time DESC

Посмотрим на результат:

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManagerOperational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%System32WinevtLogsMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%test.evtx.

Данные будем получать таким запросом:

SELECT timegenerated as Date, extract_token(strings, 0, ‘|’) as user, extract_token(strings, 2, ‘|’) as sourceip FROM ‘%temp%test.evtx’ WHERE EventID = 21 ORDER BY Date DESC

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

SELECT TO_LOCALTIME(TO_TIMESTAMP(EXTRACT_PREFIX(TO_STRING([#Fields: date-time]),0,’T’), ‘yyyy-MM-dd’)) AS Date, COUNT(*) AS FROM ‘C:Program FilesMicrosoftExchange ServerV15TransportRolesLogsMessageTracking*.LOG’ WHERE (event-id=’RECEIVE’) GROUP BY Date ORDER BY Date ASC

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

$LogQuery = New-Object -ComObject «MSUtil.LogQuery» $InputFormat = New-Object -ComObject «MSUtil.LogQuery.FileSystemInputFormat» $InputFormat.Recurse = -1 $OutputFormat = New-Object -ComObject «MSUtil.LogQuery.CSVOutputFormat» $SQLQuery = «SELECT Top 20 Path, Size INTO ‘%temp%output.csv’ FROM ‘C:*.*’ ORDER BY Size DESC» $LogQuery.ExecuteBatch($SQLQuery, $InputFormat, $OutputFormat) $CSV = Import-Csv $env:TEMP’output.csv’ $CSV | fl Remove-Item $env:TEMP’output.csv’ $LogQuery=$NULL $InputFormat=$NULL $OutputFormat=$NULL

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

Свойства события

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Как открыть

Для запуска нажмите «Win+R», пропишите «control». Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

  • приложений;
  • служб;
  • подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

  1. Система. Содержит действия, которые созданы драйверами и модулями ОС;
  2. Установка;
  3. Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
  4. Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
  5. Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Как использовать просмотр событий Windows для решения проблем с компьютером

05.06.2014 windows | для начинающих
Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

  • Администрирование Windows для начинающих
  • Редактор реестра
  • Редактор локальной групповой политики
  • Работа со службами Windows
  • Управление дисками
  • Диспетчер задач
  • Просмотр событий (эта статья)
  • Планировщик заданий
  • Монитор стабильности системы
  • Системный монитор
  • Монитор ресурсов
  • Брандмауэр Windows в режиме повышенной безопасности

Как запустить программу Просмотра событий

Что такое Просмотр событий

Чтобы осуществить запуск программы Просмотр событий нужно:

  1. Открыть меню Пуск.
  2. Ввести в строке поиска «Просмотр событий».
  3. Нажать Ввод.

Также данная программа открывается через папку Администрирование в меню Пуск.

Важно знать, что все события распределены по категориям – к примеру, в категории Приложения размещены события приложений, в категории Система находятся системные новости. Если же на ПК настроен анализ событий безопасности (аудит событий входа в систему), то сообщения аудита поступают в категорию Безопасность.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Содержание

  • 1 Как посмотреть установленные обновления на Windows 10?
  • 2 Как узнать установленные обновления с командной строкой?
  • 3 Как в Windows 10 посмотреть установленные обновления
  • 4 Просмотр обновлений Виндовс

Сегодня хочу рассказать о том, как посмотреть установленные обновления в Windows 10. Дело в том, что после обновления системы в ранних версиях Windows мы могли зайти в Центр обновлений и посмотреть в журнале обновлений какие же установились. Некоторые пользователи жалуются, что не могут найти этот Центр обновлений в Windows 10 и думаю, что его там нет.

Дорогие друзья, на самом деле Центр обновлений из Windows 10 никуда не пропал, его просто нужно поискать. В данной статье я покажу, где он находится и как посмотреть установленные обновления. А делать все это будем несколькими способами.

Это интересно: Ошибка 80070003 и 80070002 при обновлении windows. Как исправить?

Так как многие уже перешли на глобальное обновление Anniversary Update для «десятки», то и обновлений они получили достаточно много. Посмотреть, какие изменения произошли можно на самом сайте Microsoft: https://support.microsoft.com/ru-ru/help/12387/windows-10-update-history.

posmotret-ustanovlennye-obnovleniya-windows-10-700x512.png

Там будет вкладка «Показать все» и раскроется список всех обновлений, с описанием изменений и исправлений ошибок. По коду обновления вы можете узнать, какие установлены у вас, и нужны ли они вам.

1-posmotret-ustanovlennye-obnovleniya-windows-10-700x422.png

Как посмотреть установленные обновления на Windows 10?

Зайдите в параметры системы, для этого нажмите сочетание Win+I, а потом перейдите в раздел «Обновление и безопасность».

2-posmotret-ustanovlennye-obnovleniya-windows-10-700x583.png

Перейдите на вкладку «Центр обновления Windows» и нажмите справа на ссылку «Журнал обновлений».

3-posmotret-ustanovlennye-obnovleniya-windows-10-700x513.png

Откроется окно, где показаны все установленные обновления с кодом и время, когда это произошло. Вот так все просто делается.

4-posmotret-ustanovlennye-obnovleniya-windows-10-700x513.png

Как узнать установленные обновления с командной строкой?

Это интересно: Как отключить обновление Windows 10 в Windows 7 и 8.1

Еще один способ, который некоторым, может быть, придётся не по вкусу, так как нужно что-то вводить. Откройте командную строку от имени администратора, это можно сделать при нажатии правой кнопкой мыши по меню Пуск. Далее вводим туда команду:

wmic qfe list

5-posmotret-ustanovlennye-obnovleniya-windows-10-700x366.pngТаким образом, вы узнаете, что за обновления у вас установлены в системе, там указан и код, и время, и другая информация.

Есть еще одна команда, выводящая немного информации по обновлениям, хотя в основном она предназначена для вывода системной информации:

systeminfo

6-posmotret-ustanovlennye-obnovleniya-windows-10-700x335.png

Если вы не обнаружили ни одного обновления, то рекомендую их установить, особенно, если у вас система жутко тормозит, так как многие обновления как раз ориентированы на исправление таких проблем, а также на добавление новых функций.

Это интересно: Обновления для Windows 10 не устанавливаются. Что делать?

Если Центр обновлений отказывается искать обновления, возможно у вас он вообще отключен, тогда вам нужно зайти в службы и включить его. В поиске Windows вводим фразу «службы» и ищем среди большого списка «Центр обновления Windows», если он выключен, то включаем.

Информация к новости

  • Просмотров: 18 181
  • Автор: admin
  • Дата: 21-10-2016

21-10-2016

Категория: —

Здравствуйте админ! Как в Windows 10 посмотреть установленные обновления?Два месяца назад я обновил на своём ноутбуке Windows 10 до финального выпуска «Anniversary Update build 1607» и с тех пор не замечал, чтобы моя операционная система обновлялась, хотя по вашим словам с тех пор уже вышло около двадцати важных обновлений!На Windows 7, 8.1 делалось всё просто, можно было зайти в «Панель управления», затем в «Центр обновления Windows» и открыть «Журнал обновлений» и посмотреть установленные обновления, но в Windows 10 всё по другому и в «Панели управления» нет «Центра обновлений Windows».

Как в Windows 10 посмотреть установленные обновления

Привет друзья! «Центр обновления Windows 10» существует, только добираться до него нужно немного по другому. В сегодняшней статье мы узнаем, как посмотреть установленные обновления в нашей Windows 10 тремя очень простыми способами: с помощью параметров ОС и командной строки. Выберите сами, какой способ вам удобней.С выхода финального выпуска Anniversary Update Windows 10 build 1607 вышло уже достаточно важных обновлений, посмотреть их можно на официальном сайте Майкрософт по ссылкеhttps://support.microsoft.com/ru-ru/help/12387/windows-10-update-history

Нажмите на кнопку «Показать всё»

1477026103_149.jpg

и откроется полный список обновлений с подробнейшим описанием проблем, которые они устраняют в вашей операционной системе. Например обновление KB3194798 направлено на улучшение качества работы операционной системы. Повышена надежность Bluetooth. Устранена проблема, связанная с работой драйверов принтера. Улучшена поддержка сетей и так далее.

Как видите, идёт очень подробное описание работы обновления и конечно многим пользователям интересно знать, установлено ли у них в системе то или иное обновление.

(Щёлкните на скриншоте левой мышью для увеличения)

1477045653_4.jpg

Чтобы в Windows 10 посмотреть все установленные обновления, пройдите:

«Пуск»—>«Параметры»

</span>

1477040990_1.jpg

«Обновления и безопасность»

1477041294_2.jpg

Нажмите на кнопку «Журнал обновлений»

1477041253_3.jpg

В открывшемся журнале обновлений можно увидеть все установленные в операционную систему обновления за всё время её существования. 

1477040976_4.jpg

Узнаём установленные обновления Windows 10 с помощью командной строки

Открываем командную строку администратора и вводим команду: wmic qfe list 

Так как операционную систему я установил только что, обновлений у меня не так много, всего четыре.

(Щёлкните на скриншоте левой мышью для увеличения)

1477044620_5.jpg

Ещё одна команда выведет нам аналогичный результат: systeminfo

1477045087_6.jpg

Друзья, если у вас нет обновлений совсем или вашей операционной системой получены не все обновления, то примените «Средство устранения неполадок Центра обновлени Windows 10», как пользоваться данным средством можете узнать из нашей статьи. Также можете применить инструмент «Устранение неполадок Windows 10». Вполне возможно вы сами отключили обновления Windows 10 в параметрах компьютера и забыли об этом, включить их обратно очень просто.

Полезная статьи на эту тему:

Как с помощью накопительного обновления KB3216755 повысить версию сборки Windows 10 до самой последней 1607 (14393.726)

Как отключить автоматическое обновление Windows 10 при помощи программы Win Updates Disabler

ВернутьсяКомментариев: 0 Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!

Prosmotr-zhurnala-obnovlenij-v-Windows-10.png Операционная система Windows регулярно выполняет проверку, загрузку и установку апдейтов для своих компонентов и приложений. В этой статье мы разберемся, каким образом можно получить данные о процедуре обновления и установленных пакетах.

Просмотр обновлений Виндовс

Существуют различия между списками установленных апдейтов и непосредственно журналом. В первом случае мы получаем информацию о пакетах и их назначении (с возможностью удаления), а во втором — непосредственно лог, отображающий выполненные операции и их статус. Рассмотрим оба варианта.

Вариант 1: Списки обновлений

Существует несколько способов получить перечень установленных на ПК обновлений. Самым простым из них является классическая «Панель управления».

  1. Открываем системный поиск, нажав на значок с изображением лупы на «Панели задач». В поле начинаем вводить «Панель управления» и кликаем по появившемуся пункту в выдаче. Perehod-k-klassicheskoj-Paneli-upravleniya-iz-sistemnogo-poiska-v-Windows-10.png
  2. Включаем режим просмотра «Мелкие значки» и переходим к апплету «Программы и компоненты». Perehod-k-appletu-Programmy-i-komponenty-v-kalsiicheskoj-Paneli-upravleniya-Windows-10.png
  3. Далее идем в раздел установленных обновлений. Perehod-v-razdel-ustanovlennyh-obnovlenij-v-klassicheskoj-Paneli-upravleniya-Windows-10.png
  4. В очередном окне мы увидим список всех пакетов, имеющихся в системе. Здесь указаны названия с кодами, версии, если таковые имеются, целевые приложения и даты инсталляции. Удалить апдейт можно, нажав по нему ПКМ и выбрав соответствующий (единственный) пункт в меню. Prosmotr-i-udalenie-paketov-obnovleniya-v-klassicheskoj-Paneli-upravleniya-Windows-10.png

Читайте также: Как удалить обновления в Windows 10

Следующим инструментом является «Командная строка», запущенная от имени администратора.

Подробнее: Как запустить командную строку в Виндовс 10

Первая команда выводит список обновлений с указанием их назначения (обычное или для обеспечения безопасности), идентификатора (KBXXXXXXX), пользователя, от чьего имени производилась установка, а также даты.

wmic qfe list brief /format:table

Poluchenie-spiska-ustanovlennyh-obnovlenij-iz-komandnoj-stroki-v-Windows-10.png

Если не использовать параметры «brief» и «/format:table», то кроме прочего, можно увидеть адрес страницы с описанием пакета на сайте Майкрософт.

Prosmotr-adresa-sranitsy-s-opisaniem-paketa-obnovleniya-v-Komandnoj-stroke-Windows-10.png

Еще одна команда, позволяющая получить некоторую информацию об апдейтах

systeminfo

Komanda-dlya-polucheniya-informatsii-o-sisteme-v-Komandnoj-stroke-Windows-10.png

Искомое находится в разделе «Исправления».

Razdel-ispravlenij-v-bloke-informatsii-sisteme-v-Komandnoj-stroke-Windows-10.png

Вариант 2: Логи обновлений

Логи отличаются от списков тем, что в них также содержатся данные обо всех попытках выполнить апдейт и их успешности. В сжатом виде такая информация хранится непосредственно в журнале обновлений Windows 10.

  1. Жмем сочетание клавиш Windows+I, открыв «Параметры», а затем переходим в раздел обновления и безопасности. Perehod-v-razdel-obnovlenij-i-bezopasnosti-v-Paramtrah-OS-Windows-10.png
  2. Жмем на ссылку, ведущую к журналу. Perehod-kprosmotru-zhurnala-obnovlenij-v-Windows-10.png
  3. Здесь мы увидим все уже установленные пакеты, а также неудачные попытки выполнения операции. Prosmotr-statusa-operatsij-obnovleniya-v-zhurnale-Windows-10.png

Более подробную информацию можно получить с помощью «PowerShell». Данный прием в основном используется для «отлова» ошибок при обновлении.

  1. Запускаем «PowerShell» от имени администратора. Для этого жмем ПКМ по кнопке «Пуск» и выбираем нужный пункт в контекстном меню или, при условии отсутствия такового, пользуемся поиском. Zapusk-PowerShell-ot-imeni-administratora-v-Windows-10.png
  2. В открывшемся окне выполняем команду

    Get-WindowsUpdateLog

    Vypolnenie-komandy-dlya-polucheniya-zhurnala-obnovlenij-v-PowerShell-v-Windows-10.png

    Она конвертирует файлы журнала в удобочитаемый текстовый формат, создав на рабочем столе файл с названием «WindowsUpdate.log», который можно открыть в обычном блокноте.

    Tekstovyj-dokument-v-zhurnalom-obnovlenij-v-Windows-10.png

«Простому смертному» прочитать данный файл будет весьма тяжело, но сайте Майкрософт есть статья, дающая некоторое представление о том, что содержат строки документа.

Перейти на сайт Microsoft

Применительно к домашнему ПК эту информацию можно использовать для выявления ошибок на всех стадиях операции.

Vyyavlenie-oshibok-v-operatsiyah-obnovleniya-v-tesktovom-fajle-zhurnala-Windows-10.png

Заключение

Как видите, просмотреть журнал обновлений Windows 10 можно несколькими способами. Система дает нам достаточно инструментов для получения сведений. Классическую «Панель управления» и раздел в «Параметрах» удобно использовать на домашнем компьютере, а «Командную строку» и «PowerShell» можно применять для администрирования машин в локальной сети. close.pngМы рады, что смогли помочь Вам в решении проблемы.close.pngОпишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

Используемые источники:

  • https://computerinfo.ru/posmotret-ustanovlennye-obnovleniya-windows-10/
  • https://remontcompa.ru/1083-kak-v-windows-10-posmotret-ustanovlennye-obnovleniya.html
  • https://lumpics.ru/view-the-update-log-in-windows-10/

  • Файлы гибернации windows 10 как очистить
  • Файлы реестра windows 10 по умолчанию скачать
  • Факсы и сканирование windows 10 не видит сканер
  • Файловая система windows nt ntfs на маке
  • Факсы и сканеры windows скачать бесплатно для windows