Как посмотреть логи загрузки windows 10

Компания Microsoft в ходе обновления своих операционных систем часто меняет способы активации функций, к которым все пользователи привыкли. Зачастую даже опытным пользователям Windows сложно разобраться, где в Windows 10 включить лог загрузки операционной системы, чтобы после его можно было посмотреть и проанализировать. В рамках данной статьи рассмотрим, как в Windows 10 включить лог загрузки.

---

Оглавление: 
1. Зачем нужен лог загрузки
2. Где находится лог загрузки в Windows 10
3. Как включить лог загрузки в Windows 10
4. Как читать лог загрузки Windows 10

---

Зачем нужен лог загрузки

Многие пользователи вовсе не знают, что такое лог (или журнал) загрузки, и зачем он нужен. Если не вдаваться в детали, то лог загрузки — это простой текстовый файл, который содержит в себе информацию для анализа процесса старта компьютера и операционной системы.

Чаще всего лог загрузки необходим системным администраторам, чтобы понять, какие проблемы препятствуют загрузке операционной системы, вызывают те или иные ошибки при запуске программ или в процессе работы Windows. В логе загрузки отображается полный список загружаемых при старте компьютера драйверов и библиотек.

Где находится лог загрузки в Windows 10

В операционной системе Windows 10 лог загрузки располагается на системном диске в папке Windows. Файл называется ntbtlog.txt.

Обратите внимание: Как можно видеть, это обычный текстовый файл. Его можно открыть при помощи стандартного приложения “Блокнот” или других сторонних программ, которые позволяют работать с txt файлами.

Как включить лог загрузки в Windows 10

Чтобы текстовый файл ntbtlog.txt появился в папке Windows, нужно его сгенерировать. По умолчанию в Windows 10 отключен процесс создания данного файла при загрузке компьютера.

Включить создание файла журнала загрузки можно двумя способами:

• Через настройки конфигурации системы. Чтобы это сделать, необходимо запустить утилиту “Конфигурация системы”. Для запуска этой утилиты нажмите на клавиатуре сочетание Win+R, чтобы открылось окошко “Выполнить”. В нем пропишите команду для запуска утилиты — msconfig. Откроется окно “Конфигурация систему”, где нужно сверху переключиться на вкладку “Загрузка” и далее в разделе “Параметры загрузки” установить галочку у пункта “Журнал загрузки”. После этого нажмите “Применить” и “ОК”, чтобы изменения вступили в силу. Появится сообщение с предложением перезагрузить компьютер. Нажмите “Перезагрузка”, чтобы сразу выполнить создание лога загрузки в папке Windows. В таком случае компьютер перезагрузится. Если нажать “Выход без перезагрузки”, тогда лог загрузки будет создан после следующей перезагрузки компьютера.
• Через командную строку. Второй способ предлагает использование командной строки. Чтобы создать через нее лог загрузки, запустите командную строку от имени администратора и используйте в ней команду bcdedit. После этой команды в окне консоли командной строки появятся сведения обо всех операционных системах, установленных на компьютере, и их загрузочных записях. Если на компьютере установлена одна операционная система Windows 10 (как на примере на скриншоте), тогда будет отображаться два списка элементов — диспетчер загрузки и загрузка Windows. Необходимо обратиться к загрузке Windows, у которой имеется идентификатор current. Пропишите в командной строке следующее:

  bcdedit /set {current} bootlog Yes

  Важно: Если у вас идентификатор отличный от {current}, необходимо заменить на него часть команды, используемой выше.
  После выполнения этой команды необходимо перезагрузить компьютер, чтобы лог загрузки был создан в папке Windows.

Как читать лог загрузки Windows 10

Несмотря на то что лог загрузки — это текстовый документ исключительно для системных администраторов, что-то полезное из него может вынести и обычный пользователь.

В журнале загрузки указывается перед каждым из компонентов — был он исполнен или нет:

• BOOTLOG_LOADED — означает, что драйвер был загружен без ошибок.
• BOOTLOG_NOT_LOADED — указывает, что во время загрузки операционной системы старт данного драйвера был пропущен.

На основании этой информации можно сделать выводы о том, с какими драйверами на компьютере могут быть проблемы.

Загрузка…

При выполнении анализа процедуры загрузки иногда бывает очень важно получить полный список загружающихся и незагружающихся драйверов и библиотек. Использовать для этих целей специальные утилиты необязательно, получить список загружаемых программных компонентов можно средствами самой операционной системы. Список представляет собой обычный текстовый файл ntbtlog.tхt, сохраняемый в корневой системной папке Windows.

Как в Windows 10 включить лог загрузки

На место идентификатора подставьте его значение. В нашем примере это current (смотрите скриншот). Теперь выполните перезагрузку. Как и в предыдущем случае, журнал загрузки будет создан в папке Windows. Как понять из содержимого журнала, был ли загружен драйвер или нет? Очень просто. Запись BOOTLOG_LOADED указывает, что драйвер загрузился, запись BOOTLOG_NOT_LOADED будет указывать, что во время старта операционной системы загрузка драйвера была пропущена.

Диагностика загрузки Windows: процесс загрузки драйверов для системы в текстовом формате.

Привет всем, продолжаем знакомиться с Windows более внимательно, и сейчас мы рассмотрим возможность изучить порядок загрузки драйверов поэтапно. Система позволяет это сделать, предлагая пользователю создавать одновременно с загрузкой лог-файл, в который она внесёт список загружаемых и выгружаемых драйверов. По умолчанию он именуется, дополняется (не обновляется) и хранится в виде C:\Windows\ntbtlog.txt. Относительно опытные пользователи наверняка знакомы с такой функцией, которая в нормально работающей системе доступна прямо из графического интерфейса. Она видна в одной из вкладок утилиты Конфигурации системы msconfig. Быстрый способ на неё выйти это набрать в строке Выполнить или через поиск (клавиша WIN) команду вызова

msconfig -2

и выставить галку у чек-бокса Журнал загрузки:

Диагностика загрузки Windows из консоли cmd.

Следующий способ позволит создать журнал загрузки из консоли, что даёт возможность делать это (в том числе) и для Windows, которая уже или не загружается или даёт при загрузке очевидный сбой. Смысл способа в коррекции содержания директив загрузчика, который может находится где угодно. Т.е. возможно и на «побитом» носителе. После чего, изучив в указанном месте указанный файл, ошибка может проявиться в логе отчётливо. Рассмотрим пару вариантов, когда диагностика загрузки Windows активируется в функционирующей системе и когда включить ведение лога через msconfig уже нельзя.

Windows работает.

Запускаем консоль от имени администратора с последующей командой

bcdedit

и завершаем ввод клавишей Ёптр, дождавшись вывода информации из загрузчика. Ориентируемся на сектор Загрузка Windows в части идентификатор. Описание {current} означает, что это и есть текущая Windows. Короче, если система на компьютере одна — вообще не парьтесь. Смотрите вниз: последней строчкой загрузчик скажет, ведётся ли журнал. В части bootlog по умолчанию всегда No (ведение журнала отключено).

Активируем его тут же:

bcdedit /set {current} bootlog Yes

Проверяем сделанное повторной командой (если консоль вы не покидали, просто щёлкните пару раз по стрелочке вверх — это поиск и выбор ранее набранных команд)

bcdedit

Пока не забыли: обратная команда примет вид

bcdedit /set {current} bootlog No

Windows не работает или «опрокидывается».

Смысл тот же, просто стоит учесть, откуда запускаемая в консоли команда bcdedit будет инициирована. Не важно, на каком этапе загрузка системы стопорится (даже в случае BSOD), регистрацию лога можно начать в любом случае. Вариантов тут два: из ремонтной консоли (через восстановление системы) или с внешнего диска (флешки или через дисковод). Если нет загрузочной флешки, путь к созданию и прочтению лога будет таким. Пару раз прерываем загрузку системы кнопкой Reset с корпуса компьютера, вызывая процесс автоматического восстановления:

После перезапуска в корне диска С сформируется файл по адресу C:\Windows\ntbtlog.txt. В любом случае, можно задействовать (в обоих вариантах) и консоль команд. Команда из консоли cmd может принять такой вид:

bcdedit /set {идентификатор} bootlog Yes

Просто вместо идентификатор подсуньте тот, что соответствует незагружаемой Windows. Если загружаетесь из среды восстановления, с флешки или с оптического дисковода, для такой Windows это будет default. При этом при первоначальном запросе командой bcdedit информация о ведении журнала не выводится:

Ознакомиться с содержимым документа можно будет прямо из консоли командой

notepad.exe %WinDir%\ntbtlog.txt

Вот видео для ознакомления с маленькой хитростью, позволяющей «вытаскивать» информацию с незагружаемой Windows и, в том числе, читать текстовые документы прямо из консоли:

Диагностика загрузки Windows: анализ документа.

Наиболее частое применение фиксирования загрузки в логах — сравнение журналов для нормального и Безопасного режимов загрузки. Или, реже и как уже указывалось, в случае, если система не загружается или загружается с ошибками в работе с подозрением на какой-то из драйверов. Содержимое файла можно использовать и в тех случаях, если система стала очень уж долго загружаться. Очень давно я лично проводил собственные изыскания по поводу, какие настройки можно легко отключить именно при помощи документа %WinDir%\Ntbtlog.txt. Структура файла, помимо краткой информации по системе и даты создания, содержит список загружаемых драйверов по типу:

Loaded \SystemRoot\System32\DRIVERS\драйвер — т.е. драйвер загрузился

Not loaded \SystemRoot\System32\DRIVERS\драйвер — драйвер не загрузился

Как вы поняли, именно запись Did Not Load свидетельствует о том, что запуск этого драйвера Windows пропустила. Что, впрочем, далеко не всегда означает, что этот драйвер проблемный. По той простой причине, что многим драйверам загружаться одновременно с системой не обязательно. А вот при поиске побитого драйвера могут помочь простые правила.

• Если Windows в Безопасном режиме (в отличие от обычного) загрузилась без проблем. Сравнивайте два журнала, созданные в обычном и Безопасном режимах: проблема лежит в списке тех драйверов, которые в обычном режиме получили статус Loaded, а в Безопасном — Did not loaded. Оставаясь в Безопасном режиме вы легко можете удалить любой из незагруженных драйверов, начиная с недавно установленных или обновлённых по одному-два за раз. При этом пробуя загрузиться в обычном режиме, пока Windows не выкажет признаки стабильности.
• Если Windows не загрузилась даже в Безопасном режиме. Читаем лог из консоли командой

notepad %WinDir%\ntbtlog.txt

Сравниваем логи для обоих режимов (даже если ни в одном система уже не загружается). Бывает так, что лога для какого-то режима уже нет. В таком случае вам придётся воспользоваться журналом с другого компьютера со схожей конфигурацией Windows (хотя бы в части версии и сборки). И вот почему. Драйвер, мешающий загрузке вашей Windows даже в Безопасном режиме, не отображается в журнале вообще. Но именно он появится в журнале с пометкой Loaded Driver, когда система в Безопасном режиме работает нормально. Такая процедура часто прокатывает и для служб, загружающихся только в нормальном режиме. Они — службы — начинают подгружаться только после успешной загрузки нужных драйверов. Именно в этот момент вы начинаете видеть окна приветствия Windows. Кстати, и запуск служб также можно контролировать. А сейчас вам остаётся удалить побитый (или предположительно побитый) драйвер из консоли и загрузиться в нормальном режиме.

Насколько метода точна?

Диагностика загрузки Windows с помощью ntbtlog — не панацея. В Windows «в базовой комплектации» никогда для нас с вами «точного» не было и не будет. Одной из альтернатив могло бы стать применение Windows Assessment Toolkit с каким-нибудь Windows Performance Analyzer внутри. Вы же вполне можете столкнуться с ситуацией, когда список «успешно и не очень» подгруженных драйверов от сеанса к сеансу пусть немного, но будет отличаться. Не редки случаи, когда успешно загруженный в логе драйвер в следующей же строчке того же лога отваливается. Не уверены, должен загружаться драйвер или нет? Копайте вручную: узнавайте, принадлежит ли он системе или другому ПО, каков должен быть в размерах, есть шанс скачать его из официальных источников или вытащить с установочного образа. Но помним, что если он туда полез, не загрузился тот не просто так. Но в тех случаях, когда логи содержат отказы по слишком уж большому количеству драйверов, следует предпринять действия уже по проверки целостности диска и корректной работы RAM. Так что не бойтесь предыдущие логи удалять (или переименовывать) для получения более свежих данных о процессе загрузки Windows. Так или иначе, параллельные варианты диагностики у вас есть:

Windows не загружается: виноват драйвер?

Далее. Есть смысл присмотреться к драйверам, которые пытаются безуспешно подключиться множественное количество раз — это прямой путь к разгадке, почему Windows загружается очень долго на фоне предпринятых действий по оптимизации (очистке, дефрагментации, коррекции содержимого Автозагрузки и т.п.). Быть может, это какой-нибудь dxgkrnl.sys дискретной видеокарты, которому мешает встроенный видеоадаптер Microsoft Basic Display и есть смысл тот отключить в Диспетчере устройств? Вполне вероятно, что причиной долгой загрузки служит злополучный системный NDPROXY.SYS, «тормозящий» добрую половину компьютеров планеты, находящихся под управлением Windows. Им так любят крутить DNS-управлялки… Вобщем, ремонтные утилиты Windows и антивирус при анализе обнаруженных вам в помощь.

Успехов нам всем.

Одной из полезных функций операционной системы Windows 10 является возможность просматривать лог загрузки компьютера. Лог загрузки содержит информацию о процессе загрузки операционной системы, и может быть полезным инструментом для диагностирования проблем, связанных с запуском компьютера. В этой статье мы расскажем, как найти и использовать лог загрузки Windows 10.

Для того чтобы найти лог загрузки Windows 10, откройте Панель управления и перейдите в «Просмотр событий». Затем выберите «Журналы Windows» и «Система». Здесь вы увидите список событий, связанных с загрузкой компьютера. Вы можете использовать функцию поиска, чтобы найти конкретные события.

Когда вы нашли интересующее вас событие, вы можете щелкнуть по нему, чтобы открыть его подробности. Здесь вы найдете информацию о времени загрузки, длительности процесса загрузки, а также возможные ошибки или предупреждения, которые могут помочь вам определить причину проблемы.

Лог загрузки Windows 10

Лог загрузки Windows 10 — это файл, в котором записываются события, происходящие во время процесса загрузки операционной системы. Этот лог может быть полезен для диагностики проблем с загрузкой компьютера или поиска ошибок.

Для того чтобы найти лог загрузки Windows 10, нужно выполнить следующие действия:

1. Откройте Панель управления, выберите «Администрирование» и откройте «События».
2. В левой части окна выберите «Журналы Windows», затем «Система».
3. В правой части окна выберите «Фильтровать текущий журнал» и установите фильтр на «Ядро — Boot».
4. Теперь вам отобразятся все события, связанные с процессом загрузки Windows 10.

Лог загрузки Windows 10 содержит информацию о каждом этапе загрузки операционной системы, включая запуск и загрузку драйверов, служб и программ. Он также может содержать сообщения об ошибках, которые могут помочь вам определить причину проблемы с загрузкой.

Используя лог загрузки Windows 10, вы можете найти информацию о проблемах, связанных с загрузкой операционной системы, и попробовать найти способы их решения. Это может быть полезно при поиске ошибок, вызывающих сбои или замедление загрузки компьютера.

Важно помнить, что анализ лога загрузки Windows 10 требует некоторых знаний и опыта. Если вы не уверены, что делаете, лучше обратиться за помощью к специалисту или воспользоваться другими инструментами для диагностики проблем с загрузкой компьютера.

В конце, лог загрузки Windows 10 представляет собой полезный инструмент, который может помочь вам найти причины проблем с загрузкой операционной системы и решить их. Будьте осторожны при его использовании и всегда делайте бэкапы перед внесением изменений в систему.

Как найти и использовать

Логи загрузки Windows 10 могут быть полезны для диагностики проблем при запуске системы. Они содержат информацию о каждом этапе загрузки и помогают определить возможные ошибки или задержки. В этом разделе мы рассмотрим, как найти и использовать логи загрузки Windows 10.

Шаг 1: Открытие Журнала событий

Для поиска логов загрузки Windows 10 откройте Журнал событий. Есть несколько способов сделать это:

1. Способ 1: Нажмите правой кнопкой мыши на кнопке «Пуск» в левом нижнем углу экрана и выберите «Журнал событий» в контекстном меню.

2. Способ 2: Нажмите комбинацию клавиш Win + R, введите «eventvwr.msc» и нажмите Enter.

Шаг 2: Навигация по Журналу событий

В Журнале событий выберите «Пользовательские журналы» в левой панели и разверните раздел «Windows Logs». Здесь вы найдете несколько журналов, включая «System», «Application» и «Security».

Для поиска логов загрузки откройте журнал «Система» и проскролльте вниз, чтобы найти последнюю запись события загрузки. Обычно она будет иметь идентификатор события 12 и содержать информацию о загрузке системы.

Шаг 3: Анализ логов загрузки

При анализе логов загрузки обратите внимание на следующую информацию:

• Длительность загрузки системы.
• Состояние каждого этапа загрузки (например, инициализация ядра ОС, загрузка драйверов, запуск служб).
• Возможные ошибки или предупреждения, указывающие на проблемы загрузки.
• Задержки или зависания в процессе загрузки.

Если вы заметите какие-либо проблемы или ошибки в логах загрузки, вы можете использовать полученную информацию для исправления проблемы или обратиться за помощью к специалисту по поддержке или в форум пользователей Windows.

На этом наша статья о поиске и использовании логов загрузки Windows 10 завершается. Мы надеемся, что эта информация поможет вам более эффективно диагностировать и решать проблемы с загрузкой системы.

Зачем нужно знать лог загрузки

Лог загрузки в операционной системе Windows 10 является инструментом, позволяющим отслеживать и анализировать процесс загрузки компьютера. Знание лога загрузки может быть полезно в следующих случаях:

• Диагностика проблем при загрузке – если компьютер не загружается нормально или возникают ошибки во время загрузки, лог может предоставить информацию о причине проблемы. Зная, какие процессы выполнены успешно, а какие вызвали ошибку, можно проанализировать и устранить неисправность.
• Оптимизация времени загрузки – лог загрузки может показать, какие процессы занимают больше всего времени при загрузке системы. Зная это, можно принять меры для оптимизации загрузки, например, отключить ненужные программы или службы, задерживающие процесс загрузки.
• Отслеживание изменений – просмотр лога загрузки позволяет следить за изменениями в системе. Если вдруг появились новые записи или ошибки, можно проанализировать, что могло вызвать такие изменения и принять соответствующие меры.
• Поддержка клиентов – если вы работаете в сфере информационных технологий и оказываете техническую поддержку пользователям, знание лога загрузки может помочь вам разобраться в проблемах клиентов и предложить наиболее эффективное решение.

В общем, знание лога загрузки является полезным инструментом для диагностики и оптимизации процесса загрузки операционной системы Windows 10. Оно может помочь решить проблемы с загрузкой, улучшить производительность и повысить эффективность работы компьютера.

Важность и преимущества

Лог загрузки Windows 10 является важным инструментом для диагностики и устранения проблем с операционной системой.

Протокол загрузки содержит подробную информацию о каждом этапе загрузки Windows 10, включая загрузочные драйверы, системные файлы и сервисы. Использование лога загрузки позволяет выявить и исправить проблемы, связанные с загрузкой операционной системы.

Вот несколько преимуществ использования лога загрузки Windows 10:

• Поиск и устранение ошибок: Лог загрузки помогает найти и исправить ошибки, возникающие во время загрузки операционной системы. Это может иметь решающее значение при устранении проблем синего экрана (BSOD), задержками при загрузке или зависанием системы.
• Оптимизация загрузки: Анализ лога загрузки позволяет определить, какие компоненты и службы занимают больше всего времени при загрузке. С этой информацией можно принять меры для оптимизации загрузки и ускорения работы операционной системы.
• Совместимость и конфликты: Лог загрузки помогает обнаружить конфликты между драйверами или программами, которые могут замедлять загрузку или вызывать сбои. Это полезно при установке новых драйверов или программ, чтобы избежать совместимостей и проблем загрузки.
• Отладка и диагностика: Лог загрузки предоставляет ценную информацию для отладки и диагностики проблем с загрузкой. Это помогает разработчикам и технической поддержке Microsoft и других компаний в поиске и исправлении ошибок в операционной системе.

В целом, использование лога загрузки Windows 10 позволяет повысить стабильность и производительность операционной системы, а также эффективно решать проблемы, связанные с ее загрузкой. При возникновении проблем с загрузкой Windows 10 рекомендуется просмотреть логи загрузки и использовать их для идентификации и устранения возможных проблем.

Где найти лог загрузки в Windows 10

В Windows 10 можно найти лог загрузки по нескольким путям:

• Через Просмотрщик событий
• С помощью командной строки
• Используя специальные программы

Просмотрщик событий

Просмотрщик событий является встроенным инструментом в Windows 10, который позволяет просматривать журнал событий различных системных компонентов. Чтобы найти лог загрузки, выполните следующие действия:

1. Нажмите правой кнопкой мыши на кнопке «Пуск» и выберите «Просмотр событий».
2. В левой части окна выберите «Журналы Windows» и раскройте его.
3. Выберите «Система» для просмотра событий, связанных с загрузкой системы.
4. В правой части окна появятся записи о событиях, включая информацию о загрузке системы.

Командная строка

Другой способ найти лог загрузки в Windows 10 — использовать командную строку. Следуйте инструкциям:

1. Откройте командную строку, нажав на кнопку «Пуск» и вводе команды «cmd».
2. Введите команду «wevtutil qe system /f:text | findstr /c:»[boot]» /c:»Event» > C:\bootlog.txt» и нажмите Enter.
3. Эта команда извлечет информацию о загрузке системы из журнала событий и сохранит ее в файле bootlog.txt на диске C:.
4. Откройте файл bootlog.txt в любом текстовом редакторе для просмотра информации о загрузке системы.

Специальные программы

Кроме встроенных инструментов в Windows 10, также существуют специальные программы, которые помогают анализировать логи загрузки и предоставляют более детализированную информацию. Некоторые из них включают:

• BootRacer
• Windows Performance Toolkit
• Soluto

Выбрав одну из этих программ, вы сможете получить более подробные сведения о времени загрузки системы, процессах, запускаемых программ и других параметрах, связанных с загрузкой Windows 10.

Методы поиска

Существует несколько способов для поиска журнала загрузки Windows 10. Ниже приведены наиболее распространенные методы.

1. Поиск с помощью приложения «События»

Приложение «События» предоставляет доступ к журналам системных событий, включая журнал загрузки Windows 10. Для использования этого метода выполните следующие действия:

1. Нажмите на кнопку «Пуск» в левом нижнем углу экрана.
2. Запустите приложение «События», введя его название в поле поиска.
3. В приложении «События» выберите «Просмотреть журналы событий» в левой панели.
4. Раскройте раздел «Windows Logs» и выберите «System».
5. В правой панели выберите «Действия» и затем «Найти…».
6. Введите «Спартанский журнал» в поле поиска и нажмите кнопку «Найти».

2. Поиск в файловой системе

Если вы не можете использовать приложение «События» или хотите найти журнал загрузки Windows 10 непосредственно в файловой системе, вы можете воспользоваться следующими шагами:

1. Откройте проводник и перейдите в корневую папку системного диска (обычно это диск C:).
2. В строке адреса введите путь «C:\Windows\Logs» и нажмите клавишу «Ввод».
3. Откройте папку «Boot«.
4. Внутри папки «Boot» вы должны увидеть несколько файлов, связанных с загрузкой системы, включая файл «ntbtlog.txt». Этот файл содержит журнал загрузки Windows 10.

3. Поиск с помощью командной строки

Вы также можете использовать командную строку для поиска журнала загрузки Windows 10. Вот несколько команд, которые вы можете использовать:

1. Откройте командную строку, нажав комбинацию клавиш «Win + X» и выбрав «Командная строка».
2. Введите команду «cd C:\Windows\Logs\Boot» и нажмите клавишу «Enter».
3. Введите команду «dir» и нажмите клавишу «Enter». Затем вы увидите список файлов в папке «Boot», включая «ntbtlog.txt».

Использование одного из этих методов позволит вам найти и использовать журнал загрузки Windows 10 для диагностики проблем с запуском операционной системы.

Как использовать лог загрузки

Лог загрузки Windows 10 предоставляет информацию о процессе загрузки операционной системы. Эти логи могут быть полезны при поиске и устранении проблем, возникающих во время загрузки компьютера. В этом разделе мы рассмотрим, как использовать лог загрузки и в каких случаях он может пригодиться.

1. Открыть лог загрузки

Чтобы открыть лог загрузки Windows 10, выполните следующие шаги:

1. Нажмите на кнопку «Пуск» в левом нижнем углу экрана.
2. Введите «Просмотр событий» в поле поиска и нажмите Enter.
3. В окне «Просмотр событий» выберите «Журналы Windows» > «Система».
4. Справа будет отображаться список событий. Чтобы открыть лог загрузки, выберите событие с идентификатором «12» и названием «Загрузка операционной системы».
2. Просмотреть информацию о загрузке

После открытия лога загрузки вы увидите информацию о процессе загрузки операционной системы. Здесь отображаются различные события, произошедшие во время загрузки, включая успешные и неудачные события.

3. Использование информации о загрузке

Информация, содержащаяся в логе загрузки, может быть полезной при устранении проблем, возникающих во время загрузки компьютера. Например, если вы столкнулись с длительной или прерывистой загрузкой, вы можете найти записи в логе, указывающие на проблемные участки загрузки и помогающие вам определить причину проблемы.

4. Анализ лога загрузки

Когда вы обнаружите проблемные события в логе загрузки, вы можете использовать дополнительные ресурсы, такие как сообщества пользователей и сайты поддержки, чтобы получить помощь в анализе и устранении проблемы.

Использование лога загрузки Windows 10 — один из способов получить информацию о процессе загрузки операционной системы и справиться с возможными проблемами. Используйте этот инструмент, чтобы облегчить диагностику и устранение ошибок, связанных с загрузкой системы.

***

Что такое журнал событий

Всё, что происходит на ПК под управлением ОС Windows (клик мыши, нажатие клавиши, запуск программы, etc…), – это события (events). Наиболее важные (с точки зрения Windows!) события (например, неполадки оборудования, приложений и системы) фиксируются операционной системой в так называемых журналах событий.

Журналы событий можно использовать для устранения неполадок операционной системы и прикладного программного обеспечения

.

***

Как просмотреть журналы событий Windows 10:

• с помощью Панели управления:

– нажмите кнопку Поиск в Windows (стилизованное изображение лупы справа от кнопки Пуск);

– в строке поиска введите слово Панель;

– в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Панель управления;

– в диалоговом окне Все элементы панели управления нажмите Администрирование;

– в диалоговом окне Администрирование нажмите Просмотр событий;

– в диалоговом окне Просмотр событий откройте нужный журнал;

• с помощью диалогового окна Выполнить:

– нажмите клавишу с логотипом Windows («флажок» Microsoft) + клавишу R;

– в текстовое поле диалогового окна Выполнить введите eventvwr.msc;

– нажмите клавишу OK;

• с помощью Поиска в Windows:

– нажмите кнопку Поиск в Windows (стилизованное изображение лупы справа от кнопки Пуск);

– в строке поиска введите слово журнал;

– в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Просмотр журналов событий

• 0поделились
• 0Facebook
• 0Twitter
• 0VKontakte
• 0Google+
• 0Odnoklassniki

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Фильтруем журнал событий

В разделе «Microsoft Windows» имеется подкатегория «Diagnostics-Performance», а в ней — операционный журнал, в котором есть категория задачи «Контроль производительности при загрузке» (рис. 1).

Увеличить рисунок
Рисунок 1

Коды событий (Event ID ) в этой категории варьируются от 100 до 110. Просмотрев все события с кодом 100, можно выяснить, сколько времени требуется Windows на загрузку, начиная с самого первого запуска после установки. А проанализировав события в диапазоне от 101 до 110, можно узнать, в каких случаях загрузка замедлялась и почему.

Можно, конечно, просматривать журнал «Diagnostics-Performance» вручную (например, отсортировать по возрастанию столбец «Код события»), но гораздо удобнее создать собственное настраиваемое представление. Это фильтр, который можно сохранить и использовать в дальнейшем для облегчения работы.

Для этого:

1. Выберите опцию «Создать настраиваемое представление» из меню «Действие».
2. В открывшемся диалоговом окне оставьте значение «Любое время» в поле «Дата» и отметьте флажками все опции в поле «Уровень события». Выберите опцию «По журналу», если она еще не выбрана, и раскройте список. В дереве разделов найдите категорию «Журналы приложений и служб — Microsoft — Windows – «Diagnostics-Performance» и поставьте флажок «Работает» (рис. 2).


Увеличить рисунок
Рисунок 2

3. В поле «Включение или исключение кодов событий» введите 100 и нажмите «OK» – (рис. 3). События с кодом 100 показывают, сколько времени уходит на загрузку системы.


Рисунок 3

4. В диалоговом окне «Сохранить фильтр в настраиваемое представление», введите подходящее имя (например, «Boot Time» — Время загрузки) и нажмите «OK» — (см. рисунок 4).


Рисунок 4

5. Далее нам нужно точно таким же образом создать еще одно настраиваемое представление, но в поле «Включение или исключение кодов событий» ввести на этот раз значения 101-110 и сохранить фильтр, например с именем «Замедление загрузки».

Узнаем продолжительность загрузки

Чтобы выяснить, сколько Windows требуется времени на загрузку на вашем компьютере, выберите в левой части окна, созданный ранее фильтр Boot Time (Время загрузки) в разделе «Настраиваемые представления» и отсортируйте столбец «Дата и время» по возрастанию. Так вы сможете посмотреть, как изменялась продолжительность загрузки системы со дня ее установки (рис. 5).

Увеличить рисунок
Рисунок 5

Из рисунка видно, что длительность самой первой загрузки моей Windows (дата ее установки) по состоянию на 15 марта 2010 года составила 44 498 миллисекунд — или, если разделить на 1000, примерно 45 секунд. Для первого запуска этот показатель нормальный, поскольку после установки система выполняет целый ряд задач: устанавливает драйверы, инициализирует программы в автозагрузке, настраивает профиль пользователя и так далее.

По состоянию на 30 января 2011 года время загрузки возросло, и составило 115652 ms, т.е. почти 2 минуты. Это много.

Настраиваемое представление «Время загрузки» предоставляет информацию обо всех случаях загрузки системы за время ее существования. Иногда загрузка затягивается по вполне объяснимым причинам — из-за установки обновлений, драйверов или программного обеспечения.

На вкладке «Подробности» процесс загрузки описывается во всех деталях, однако для анализа продолжительности загрузки достаточно будет только трех параметров на вкладке «Подробности» (рис 6).

Увеличить рисунок
Рисунок 6

Рассмотрим суть значений этих параметров подробнее.

• Параметр «MainPathBootTime » обозначает временной интервал между возникновением на экране анимированного логотипа Windows и появлением рабочего стола. В этот момент систему уже можно использовать, но в фоновом режиме продолжается загрузка низкоприоритетных задач.
• Параметр «BootPostBootTime » указывает, через какой промежуток времени после появления рабочего стола системой можно начинать пользоваться в полном объеме.
• Параметр «BootTime » — это та же самая величина, что и на вкладке «Общие» обозначена как «Время загрузки». Она представляет собой сумму параметров «MainPathBootTime» и «BootPostBootTime».

И наконец, мы подошли к самому важному и интересному.

Диагностируем медленную загрузку

Чтобы выяснить причину замедления загрузки Windows, выделите фильтр «Замедление загрузки» в левой части окна в разделе «Настраиваемые представления» и отсортируйте столбец «Код события» (Event ID) по возрастающей. Каждый код соответствует определенному событию, увеличивающему продолжительность загрузки.

Всего существует десять кодов событий такого рода, мы же в этой статье рассмотрим только некоторые из них.

• Код события 101. Событие 101 возникает, когда приложение загружается дольше обычного. Это часто связано с установкой обновлений. Если замедление загрузки наблюдается эпизодически, ничего страшного в этом нет. Но если какое-то приложение всякий раз загружается слишком долго или время замедления оказывается ненормально большим, тут нужно уже задуматься.
• Код события 102. Событие 102 свидетельствует о замедлении инициализации драйвера. Это, опять же, может быть вызвано обновлением, но если ситуация возникает регулярно или замедление оказывается серьезным, стоит установить более свежую версию драйвера. Если таковой не имеется, попробуйте удалить и переустановить драйвер.
• Код события 103. Событие 103 возникает при замедлении загрузки служб. Иногда это случается, но если это происходит регулярно, попробуйте изменить тип запуска службы на «Автоматически отложенный запуск» или «Вручную» в консоли «Службы».
• Код события 106. Событие 106 свидетельствует о том, что выполнение фоновой операции по оптимизации затянулось. Поскольку оптимизация — операция продолжительная, ничего страшного в этом нет.
• Код события 109. Событие 109 возникает при замедлении инициализации устройства. Если это явление редкое, беспокоиться не стоит. Но если инициализация затягивается всякий раз, не забывайте регулярно делать резервное копирование и будьте готовы к замене проблемного устройства.

У меня, например, обнаружились два события. Одно с кодом ID 108 :

Увеличить рисунок
Рисунок 7

Другое с кодом 109:

Увеличить рисунок
Рисунок 8

Столь маленькое время задержки на рисунках 7 и 8 не трагично, они приведены тут лишь для наглядности.

Проведенный таким образом анализ и элементарные навыки пользования поиском в сети Интернет, позволят вам составить представление о причинах увеличения времени загрузки операционной системы.

Как включить лог загрузки в Windows 10

Чтобы текстовый файл ntbtlog.txt появился в папке Windows, нужно его сгенерировать. По умолчанию в Windows 10 отключен процесс создания данного файла при загрузке компьютера.

Включить создание файла журнала загрузки можно двумя способами:

• Через настройки конфигурации системы. Чтобы это сделать, необходимо запустить утилиту “Конфигурация системы”. Для запуска этой утилиты нажмите на клавиатуре сочетание Win+R, чтобы открылось окошко “Выполнить”. В нем пропишите команду для запуска утилиты — msconfig. Откроется окно “Конфигурация систему”, где нужно сверху переключиться на вкладку “Загрузка” и далее в разделе “Параметры загрузки” установить галочку у пункта “Журнал загрузки”. После этого нажмите “Применить” и “ОК”, чтобы изменения вступили в силу. Появится сообщение с предложением перезагрузить компьютер. Нажмите “Перезагрузка”, чтобы сразу выполнить создание лога загрузки в папке Windows. В таком случае компьютер перезагрузится. Если нажать “Выход без перезагрузки”, тогда лог загрузки будет создан после следующей перезагрузки компьютера.
• Через командную строку. Второй способ предлагает использование командной строки. Чтобы создать через нее лог загрузки, запустите командную строку от имени администратора и используйте в ней команду bcdedit. После этой команды в окне консоли командной строки появятся сведения обо всех операционных системах, установленных на компьютере, и их загрузочных записях. Если на компьютере установлена одна операционная система Windows 10 (как на примере на скриншоте), тогда будет отображаться два списка элементов — диспетчер загрузки и загрузка Windows. Необходимо обратиться к загрузке Windows, у которой имеется идентификатор current. Пропишите в командной строке следующее: bcdedit /set {current} bootlog Yes

  Важно: Если у вас идентификатор отличный от {current}, необходимо заменить на него часть команды, используемой выше.
  После выполнения этой команды необходимо перезагрузить компьютер, чтобы лог загрузки был создан в папке Windows.

Журналы Windows

В Журналах Windows операционная система регистрирует и сохраняет все происходящие события, регистрирует ошибки, информационные сообщения и предупреждения программ, а также информацию о работе пользователей и операционной системы.

Чтобы перейди к Журналам Windows, откройте Панель управления / Администрирование / Управление компьютером.

В инструменте «Управление компьютером» перейдите в Служебные программы / Просмотр событий / Журналы Windows.

Журналы разнесены по категориям. Например, журналы приложений находятся в категории Приложения, а системные журналы – в категории Система. Если на компьютере настроен аудит событий безопасности, например, аудит событий входа в систему – тогда события аудита регистрируются в категории Безопасность.

Конечно же информация, которая отображается в журналах событий Windows предназначена для системных администраторов, и прочесть её обычному пользователю не просто. Тем не менее, если внимательно посмотреть, то в журнале Приложение, можно увидеть события, которые сгенерированы приложениями в хронологической последовательности.

А также данные о дате и времени входа в операционную систему и выхода из неё. А другими словами включения или отключения ПК. Такие данные можно увидеть в журналах Безопасность и Система.

Планировщик заданий и привязка задачи к событию

Используя Журналы Windows можно привязать выполнение установленного задания к определённому событию журнала. Например, можно настроить отправку сообщения на вашу электронную почту при каждом входе Windows в учётную запись.

Так, у меня есть событие журнала Безопасность о входе в систему. Код такого события 4624. Чтобы привязать к каждому такому события выполнение задания, кликните на нём правой кнопкой мыши и выберите «Привязать задачу к событию».

Далее идите по пунктам Мастера создания простой задачи, и в пункте Действие выберите функцию «Отправить сообщение электронной почты».

Введите адреса для отправки сообщений, их тему и текст, а также сервер SMTP вашего почтового сервиса.

Аналогичным образом можно создать привязанную к событию журнала задачу используя планировщик заданий. Для этого, перейдите в Планировщик заданий и выберите «Создать простую задачу…».

И настройте её используя тот же Мастер создания простой задачи.

Здесь показано как настроить отправку сообщения на вашу электронную почту при каждом входе Windows в учётную запись. Но таким же образом можно настроить и выполнение других задач, на любое событие из журнала.

>
Журнал действий пользователей

Отображение изменений в журнале действий

В журнале действий пользователей можно посмотреть изменения в полях карточек за выбранный период.

Рассмотрим на примере изменений в карточке занятия «Английский для детей»

Откройте занятие

Нажмите – (редактировать) >> Журнал изменений

Перед вами откроется журнал изменений, внесенных в это занятие

Вверху перечислены поля, контролируемые в этом модуле:

Количество бонусов, Ставка по умолчанию для преподавателя (ID), Ответственный(ая) (ID), Макс. время до начала занятия для записи, Мин. время до начала занятия для записи, Дата завершения, Дата начала, Филиал, Фото, URL с информацией о предмете

Ниже – список изменений

Внесите свои изменения в карточку занятия.

Например, добавим новые значения:
Количество бонусов – 50
Филиал – Марьино
Сменим ответственного с Сергей на Наталья

Нажмите Сохранить

В журнале изменений отобразились все изменения, внесенные в эту карточку

Чтобы посмотреть изменения, внесенные во все карточки, перейдите в модуль Журнал действий

В журнале действий отображается:
— дата изменения
— модуль
— карточка модуля
— пользователь, который внес изменения
— тип действия в карточке (изменение, удаление, создание)
— описание измененных полей

Вы можете отфильтровать действия. Нажмите на фильтр , выберите Базовый поиск или Расширенный поиск , нажмите Найти

Журналы событий Windows

Что такое журнал событий Windows?

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений. Когда возникают подобные типы событий, система Windows создает записи в журналах событий. В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами. Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей — событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий — управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году. Начиная с этой версии в любой Windows присутствуют 3 основных журнала — журнал Приложения, журнал Система и журнал Безопасность. В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

Преимущества Event Log Explorer для руководителей

Что такое служба «Журнал событий Windows»?

Служба (сервис) «Журнал событий Windows» — это специальная служба (сервис) для управления событиями и журналами событий. Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п. По умолчанию, после установки системы Windows служба «Журнал событий Windows» включена и запускается автоматически. Не стоит останавливать или выключать эту службу. Остановка службы «Журнал событий Windows» может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате. Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой «Журнал событий Windows» и их невозможно непосредственно открыть на живой, работающей системе. Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру. По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге
«C:\Windows\System32\winevt\Logs\»
Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги:

Запустите приложение Просмотр событий.

Нажмите «Открыть сохраненный журнал» в панели «Действия», расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку «Открыть» и его содержимое отобразиться в области просмотра событий в приложении.

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем «Просмотр событий». Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой. Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения. Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях возникающих при работе SQL-сервера, таких как «недостаточно памяти», «сбой при резервном копировании базы данных» и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений. Приложения идентифицируются как разные «источники» в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников. Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами. Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий. Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows. Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником. Журнал событий Система — важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д. Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен. Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события. Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.