Коды событий в журнале windows расшифровка

Время на прочтение
4 мин

Количество просмотров 262K


Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.

О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Типы входов в систему (Logon Types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

Еще раз продублируем ссылку на скачивание документа на сайте Рэнди Франклина Смита www.ultimatewindowssecurity.com/securitylog/quickref/Default.aspx. Нужно будет заполнить небольшую форму, чтобы получить к нему доступ.

P.S. Хотите полностью автоматизировать работу с журналами событий? Попробуйте новую версию NetWrix Event Log Manager 4.0, которая осуществляет сбор и архивирование журналов событий, строит отчеты и генерирует оповещения в режиме реального времени. Программа собирает данные с многочисленных компьютеров сети, предупреждает Вас о критических событиях и централизованно хранит данные обо всех событиях в сжатом формате для удобства анализа архивных данных журналов. Доступна бесплатная версия программы для 10 контроллеров доменов и 100 компьютеров.

Windows 10 – это самая популярная операционная система, используемая миллионами пользователей по всему миру. Однако ни одна ОС не застрахована от возникновения ошибок. Когда что-то идет не так, Windows 10 записывает информацию о проблемах в журнал ошибок. Знание, как расшифровать коды событий в журнале ошибок, может помочь пользователям легко определить причину проблемы и найти решение.

Каждый раз, когда возникает ошибка, Windows 10 генерирует уникальный код события, который идентифицирует тип и характер ошибки. Код события состоит из цифр и букв и может содержать несколько значений. Чтобы понять, какой именно тип ошибки возник, пользователю необходимо расшифровать код события и найти его описание в индексе ошибок Windows.

Коды событий имеют разные уровни важности: от информационных и предупредительных сообщений до критических ошибок, которые могут привести к аварийному завершению работы системы. Расшифровка кодов событий помогает пользователям понять, насколько серьезна ошибка и какие меры необходимо предпринять для ее устранения.

Знание кодов событий в журнале ошибок Windows 10 может быть полезным не только для обычных пользователей, но и для опытных системных администраторов. Они могут использовать эту информацию для быстрого и точного обнаружения и исправления ошибок в сети компьютеров.

В данной статье мы рассмотрим несколько распространенных кодов событий в журнале ошибок Windows 10 и предлагаемые способы их решения. Знакомство с этими кодами поможет пользователям быстро находить решения проблем и снизить время простоя системы.

Содержание

  1. Проблемы Windows 10: коды событий и их значения
  2. Как расшифровать коды ошибок Windows 10
  3. Как понять коды событий в журнале ошибок Windows 10
  4. Практическое применение знания кодов событий Windows 10

Проблемы Windows 10: коды событий и их значения

Когда пользователи сталкиваются с проблемами в Windows 10, они могут проверить журнал ошибок, чтобы получить дополнительную информацию о возникшей проблеме. Журнал ошибок Windows 10 содержит информацию о событиях, произошедших на компьютере, включая коды событий и их значения.

Коды событий являются числовыми значениями, которые помогают определить причину возникшей проблемы. Они могут быть полезными при поиске решения, особенно если появляются однотипные ошибки. Расшифровка кодов событий позволяет понять, что именно произошло и как можно исправить проблему.

Ниже приведена таблица с некоторыми распространенными кодами событий и их значениями:

Код события Значение
0x00000001 Неустановленное приложение вызывает сбой системы.
0x00000002 Ошибки в драйвере оборудования.
0x00000003 Недостаток памяти.
0x00000004 Проблемы с доступом к файлу.
0x00000005 Неисправность оборудования.

Это лишь небольшая часть возможных кодов событий, которые могут появиться в журнале ошибок Windows 10. Чтение этих кодов поможет пользователю более точно определить причину возникшей проблемы и выбрать наиболее подходящий способ ее решения.

Если пользователь сталкивается с регулярными ошибками, связанными с определенным кодом события, рекомендуется обратиться к специалисту или поискать решение в Интернете. Часто проблемы имеют уже готовое решение, которое можно найти на официальных сайтах или форумах сообщества пользователей Windows.

Как расшифровать коды ошибок Windows 10

Когда на компьютере, работающем под управлением операционной системы Windows 10, происходит ошибка, в системном журнале событий сохраняется код, который помогает определить причину проблемы. Расшифровка кодов ошибок Windows 10 может помочь пользователю понять, что именно произошло и как решить проблему.

Ошибки Windows 10 имеют уникальные коды событий, которые выполняют функцию идентификации конкретной ошибки. Для расшифровки кода события можно использовать интегрированный инструмент под названием «Средство просмотра событий». Чтобы открыть этот инструмент, нужно выполнить следующие действия:

  1. Нажмите клавишу Win + X на клавиатуре и выберите «Просмотр событий».
  2. Раскройте раздел «Журналы Windows».
  3. Выберите подраздел, связанный с ошибкой, которую нужно расшифровать. Например, «Журнал приложений и служб».
  4. В правой панели щелкните правой кнопкой мыши на событии с ошибкой и выберите «Свойства».
  5. В открывшемся окне найдите поле «Код события» и скопируйте его значение.

Полученный код события можно использовать для поиска дополнительной информации о возникшей ошибке. Для этого можно воспользоваться поисковыми системами или официальным сайтом Microsoft.

Иногда Windows 10 может предлагать дополнительную информацию о коде ошибки и возможные способы ее устранения. В этом случае можно воспользоваться системными утилитами, такими как «Центр обновления Windows», «Диагностика памяти Windows» или «Инструмент проверки файловой системы».

Расшифровка кодов ошибок Windows 10 может быть сложной задачей, особенно для неподготовленного пользователя. В случае затруднений, рекомендуется обратиться к специалистам или воспользоваться официальной поддержкой Microsoft.

Как понять коды событий в журнале ошибок Windows 10

Расшифровка кодов событий может быть полезной, если вы хотите понять, что вызывает ошибки на вашем компьютере. Кроме того, знание этих кодов может помочь вам найти решение проблемы в Интернете или получить квалифицированную помощь от службы поддержки Microsoft.

Для того, чтобы понять коды событий, вам понадобится открыть журнал ошибок Windows 10. Для этого выполните следующие действия:

  1. Нажмите правой кнопкой мыши на кнопке «Пуск» в левом нижнем углу экрана. В контекстном меню выберите пункт «Просмотр событий».
  2. В открывшемся окне «Обозреватель событий» вы увидите список категорий событий слева. Щелкните на плюсик рядом с категорией «Журнали Windows».
  3. Выберите желаемый журнал ошибок – «Система», «Приложение» или «Запуск» – и дважды щелкните на нем.
  4. В главной области окна появятся записи журнала ошибок. Выберите запись, код события которой вас интересует.

Когда вы выбрали запись с нужным кодом события, важно обращать внимание на значения, которые отображаются в поле «Код события». Обычно код события состоит из нескольких цифр и букв, разделенных дефисами или точками.

После того, как вы нашли код события, можно начинать расшифровку. Есть несколько способов расшифровать код события:

  • Поиск в Интернете. Скопируйте код события и вставьте его в строку поиска браузера. Нажмите «Enter» и просмотрите результаты поиска. Возможно, вы найдете информацию о причине и решении проблемы с данным кодом.
  • Материалы от Microsoft. В официальной документации Microsoft можно найти информацию о различных кодах событий и их значениях. Посетите официальный сайт поддержки компании для получения дополнительных сведений.
  • Консультация со специалистами. Если вам не удается найти решение самостоятельно, вы можете обратиться в службу поддержки Microsoft для получения квалифицированной помощи. При обращении обязательно укажите код события и описание проблемы.

Знание кодов событий в журнале ошибок Windows 10 поможет вам более эффективно решать проблемы и сохранять работоспособность вашего компьютера. Используйте описанные выше методы, чтобы расшифровать коды событий и найти решение проблемы, которая мешает вашей работе.

Практическое применение знания кодов событий Windows 10

Знание и понимание кодов событий Windows 10 может быть весьма полезным для различных целей, связанных с устранением проблем в операционной системе. События в журнале ошибок Windows часто предоставляют информацию о причинах и типах ошибок, что позволяет пользователю или администратору системы быстрее находить решение проблемы.

Основные области применения знания кодов событий Windows 10:

1. Диагностика проблем: Коды событий помогают идентифицировать и классифицировать ошибку, которая произошла на компьютере. Например, код события может указывать на отсутствующий драйвер устройства или некорректные настройки системы. Используя код события, можно быстро определить причину проблемы и найти решение.

2. Поиск соответствующей информации: Зная код события, можно легче найти информацию о нем в интернете. Многие сообщества и форумы обсуждают способы устранения ошибок, связанных с определенными кодами событий. Это позволяет найти рекомендации и решения от других пользователей, которые уже столкнулись с подобной проблемой.

3. Предотвращение возникновения ошибок: Анализируя коды событий, можно выявить определенные тренды ошибок или повторяющиеся проблемы. Это поможет принять проактивные меры для предотвращения возникновения таких ошибок в будущем. Например, если код события указывает на неполадки с драйвером устройства, можно обновить или переустановить драйвер до того, как возникнут серьезные проблемы.

4. Взаимодействие с технической поддержкой: Коды событий Windows 10 – это инструмент, который можно использовать при обращении в службу поддержки Microsoft или другие технические службы. Предоставление кода события позволяет авторитетным специалистам быстро оценить ситуацию и предложить решение проблемы.

В целом, знание кодов событий Windows 10 является полезным навыком для любого пользователя ОС. Оно позволяет быстрее находить решение возникающих проблем, оптимизировать работу системы и предотвращать возникновение ошибок в будущем.

Журнал событий Windows — это инструмент, который регистрирует различные события, возникающие в операционной системе Windows. Он служит для отслеживания и анализа происходящих в системе событий, включая ошибки, предупреждения, информационные сообщения и другие важные данные.

В журнале событий находятся записи, которые содержат подробную информацию о каждом событии, включая его код, тип, идентификатор, время возникновения, а также описание и рекомендации по действиям. Коды событий играют особую роль, так как они позволяют быстро определить причину возникновения проблемы и принять необходимые меры для ее устранения.

В данной статье мы предоставляем полный список кодов событий в журнале событий Windows, а также их значения и значение каждого события. Это поможет пользователям быстрее и точнее определить причину возникновения конкретной проблемы и найти соответствующее решение.

Если вы столкнулись с проблемой, связанной с операционной системой Windows, и хотите узнать ее подробности, вы можете обратиться к данной статье для получения полной информации по каждому коду события. Вы также найдете рекомендации по действиям, которые помогут вам решить проблему самостоятельно или обратиться за помощью специалиста.

Содержание

  1. Полный список кодов событий Windows
  2. События системы
  3. События сети
  4. События безопасности
  5. События приложений

Полный список кодов событий Windows

В операционной системе Windows используется журнал событий (Event Log), который регистрирует различные события, происходящие в системе. Каждое событие имеет уникальный код, который помогает идентифицировать тип и характер произошедшего события. Ниже представлен полный список кодов событий Windows и их значения:

  • 1001 — Информационное событие;
  • 1002 — Предупреждение;
  • 1003 — Ошибка;
  • 1004 — Критическая ошибка;
  • 1005 — Событие с началом и окончанием;
  • 1006 — Серьезная ошибка;
  • 1007 — Событие без сообщения;
  • 1008 — Успешная операция;
  • 1009 — Неудачная операция;
  • 1010 — Неизвестное событие;

Каждый код события помогает быстро определить тип произошедшего события и принять меры по его устранению. Журнал событий Windows является важным инструментом для отслеживания и диагностики проблем, возникающих в операционной системе.

События системы

В журнале событий Windows можно найти различные записи, связанные с функционированием операционной системы. Эти записи называются событиями системы. Каждое событие имеет уникальный код и значение, которые описывают его характеристики и причину возникновения.

События системы могут быть разделены на несколько типов:

  • Системные события: Отражают работу самой операционной системы. Они могут включать в себя информацию о загрузке системы, ошибках ядра и других критических ситуациях.
  • Сетевые события: События, связанные с сетевыми соединениями и активностью сетевых устройств. Такие события могут давать информацию о состоянии сетевого интерфейса, процессе подключения к сети и других сетевых событиях.
  • Приложения: События, связанные с работой приложений. Они могут включать в себя информацию о запуске и завершении процесса, ошибках приложений, проблемах с доступом к файлам и другие сведения о работе приложения.
  • Безопасность: События, связанные с безопасностью операционной системы и приложений. Они могут давать информацию о попытках взлома, аутентификации пользователей, изменении прав доступа и других событиях, связанных с безопасностью.

Записи в журнале событий системы могут быть очень полезны для диагностики и устранения проблем в операционной системе. Они предоставляют информацию о произошедших событиях и помогают выявить их причину. При возникновении проблем в операционной системе всегда стоит обратить внимание на записи в журнале событий системы, чтобы найти полезную информацию и решить проблему более эффективно.

События сети

В журнале событий Windows можно найти различные события, связанные с работой сети на компьютере. Эти события могут помочь в диагностике проблем с сетью или отслеживании ее состояния.

Ниже приведены некоторые распространенные коды событий, связанные с сетью:

  • Событие 1014: Это событие указывает на проблемы с DNS-клиентом. Обычно возникает, когда компьютер не может разрешить имя узла в сети.
  • Событие 1000: Возникает при запуске службы DHCP. Если это событие сопровождается кодом 0xc0040037, это может указывать на проблемы с автоматическим получением IP-адреса.
  • Событие 1054: Это событие указывает на проблему с групповой политикой. Если компьютер не может получить доступ к контроллеру домена, это событие может быть записано в журнале.
  • Событие 1030: Появляется, когда компьютер не может применить групповую политику. Это может быть вызвано проблемами с доступом к сетевым ресурсам или проблемами с контроллером домена.
  • Событие 20103: Это событие указывает на ошибку DHCP-клиента. Возникает, когда компьютер не может подключиться к DHCP-серверу или не получает IP-адрес.

Это лишь некоторые примеры событий, связанных с сетью, которые могут быть записаны в журнале событий Windows. Знание этих кодов и их значений может помочь в диагностике и решении проблем, связанных с сетью на компьютере.

События безопасности

События безопасности в журнале событий Windows представляют собой информацию о различных аспектах безопасности операционной системы и приложений, запущенных на ней. Эти события записываются в журнал при возникновении различных ситуаций, связанных с безопасностью, таких как попытки неавторизованного доступа, атаки на систему или обнаружение уязвимостей.

Коды событий безопасности обычно начинаются с числа 5 и имеют следующий формат: 5ххх. Каждый код события имеет определенное значение, которое указывает на тип события или ошибки, возникшей в системе. Ниже приведены некоторые основные коды событий безопасности:

Код события Значение
5156 Попытка открытия транспортного протокола, такого как TCP или UDP.
4658 Создание объекта безопасности – изменение безопасности.
4625 Неуспешная попытка входа в систему.
5038 Изменение конфигурации аудита безопасности.
6281 Ошибка проверки подлинности файловой системы.

Это только небольшая часть всех возможных событий безопасности, которые могут быть записаны в журнале событий Windows. Каждый код события имеет свое значение и может быть использован для обнаружения и анализа проблем безопасности в системе.

События приложений

Журнал событий Windows обеспечивает возможность отслеживать различные события, связанные с работой приложений. Здесь представлены некоторые коды событий и их значения, которые могут быть полезными при анализе проблем и поиске решений.

  • Event ID 1000: Это событие указывает на то, что произошел сбой приложения. Оно может быть вызвано различными причинами, включая ошибки программирования, несовместимость с операционной системой или нехватку ресурсов.

  • Event ID 1026: Это событие указывает на то, что приложение было принудительно закрыто операционной системой. Это может произойти, например, если приложение перестало отвечать на запросы или вызывает конфликты с другими приложениями.

  • Event ID 1074: Это событие указывает на то, что приложение было закрыто пользователем. Это может быть вызвано, например, если пользователь нажал комбинацию клавиш для закрытия приложения или выбрал пункт «Выход» в меню приложения.

  • Event ID 1001: Это событие указывает на то, что приложение завершило работу с ошибкой. В журнале событий могут быть указаны подробности о причине ошибки, что может помочь в диагностике проблемы.

  • Event ID 5000: Это событие указывает на то, что приложение вызвало исключение. Исключения могут возникать при ошибке выполнения кода приложения и могут быть полезными при отладке и исправлении ошибок.

За фиксацией и анализом событий приложений в журнале событий Windows рекомендуется следить как для повышения безопасности и надежности работы системы, так и для решения возможных проблем и устранения ошибок в приложениях.

Иногда требуется выяснить причину перезагрузки Windows сервера, который не должен был перезагружаться, но всё же сделал это.

В меню «Пуск» найдите приложение: «Просмотр событий» или «Eventvwr«, и запустите его. Дальше перейдите в «Журналы Windows / Система«. Затем справа нажмите «Фильтр текущего журнала«.

Просмотр событий Windows

Просмотр событий Windows

В открывшемся окне, в поле «Все коды событий» впишите следующие коды: 41,1074,1076,6005,6006,6008,6009,6013. Ниже я напишу что они означают.

Фильтр журнала событий Windows

Фильтр журнала событий Windows

После нажатия на OK, журнал сократится и вы будите видеть только те события, которые связаны с перезагрузкой или выключением компьютера.

Используемые коды событий

41 Система была перезагружена без корректного завершения работы.
1074 Система была корректного выключена пользователем или процессом.
1076 Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005 Запуск «Журнала событий». Указывает на включение системы.
6006 Остановка «Журнала событий». Указывает на выключение системы.
6008 Предыдущее выключение системы было неожиданным.
6009 Версия операционной системы, зафиксированная при загрузке системы.
6013 Время работы системы в секундах.
Таблица кодов событий Windows

Узнаём причину перезагрузки Windows на моём примере

Итак, начинаем листать события сверху вниз.

Время работы 58573 сек. Значит компьютер уже работает некоторое время

Время работы 58573 сек. Значит компьютер уже работает некоторое время
Время работы 10 секунд. Значит компьютер только что включился
Время работы 10 секунд. Значит компьютер только что включился
Запущена служба журнала событий. Значит система только что загрузилась
Запущена служба журнала событий. Значит система только что загрузилась
Верия только что загруженной системы - 10.00.19044. Это сообщение пишется сразу после загрузки системы
Верия только что загруженной системы — 10.00.19044. Это сообщение пишется сразу после загрузки системы
Служба журнала событий остановлена. Значит вот вот система начнёт завершение своей работы
Служба журнала событий остановлена. Значит вот вот система начнёт завершение своей работы
И наконец, мы видим причину завершения работы системы. Будет выполнена перезагрузка из за установки пакета обновления
И наконец, мы видим причину завершения работы системы. Будет выполнена перезагрузка из за установки пакета обновления

Вам может быть интересно: Бесплатные утилиты для Windows

Как читать журнал событий Windows ?

Думаю, что каждый из пользователей, который работает с компьютером, сталкивался с проблемами и ошибками. Пора вам научиться читать журнал событий Windows , который отображает сообщения приложений и самой системы: ошибки, информационные сообщения, предупреждения. Здесь содержится информация о событиях, кои система посчитала записать для администратора. Просто так, на всякий пожарный.

В нормально работающей системе пользователь сюда дорогу не знает – просто незачем. Однако при появлении ошибок (лагов) в Windows поводов заглянуть сюда появляется немало, благо отсюда есть что почерпнуть.

  • Где журнал событий находится?
  • Как обнаружить нужное событие?
  • Справка по журналу
  • Очистка журнала
  • Тренируемся: что тормозит Windows при включении и выключении?

Где находится Журнал событий?

Самый быстрый способ попасть в него, это набрать в строке поиска после нажатия клавиши WIN слова «журналы событий». И щёлкнуть по соответствующей ссылке:

журнал событий windows

Или наберите Пуск — команда eventvwr.mscПо умолчанию, Просмотр событий откроет вкладки, в том числе со сводкой административных событий, где перечислена информация по важности для администратора. Важнейшая из них Критический тип события. Погуляйте по разделу Журналы Windows, ключевые директории Приложения и Система. Всё происходящее в системе записывается в нескольких документах. И скорее всего, вы обнаружите там несколько ошибок. Это не значит пока ровным счётом ничего. Если система стабильна, эти ошибки не критичны и не побеспокоят вас никогда. Кстати, можете присмотреться – ошибки сохраняются для программ, которых на компьютере давно уже и нет.

ошибки в журнале событий windows

Игра была закрыта с помощью клавиш Alt + F4 – мама, видимо, зашла в комнату.

Теоретически, остальным программам также велено записывать важные и не очень события в Журнал, однако, на моей памяти, они эти почти не занимаются.

Читателю уже может показаться, что внимание к Журналу можно не уделять. Ан нет. Журнал поможет внимательному и думающему пользователю в случаях появления серьёзных сбоев в работе, например, при появлении BSOD или при неожиданных перезагрузках системы. Так, в Журнале легко обнаружиться «погибший» драйвер. Вам нужно лишь внимательно посмотреть на появившиеся красные значки с надписью Критический уровень и удалить указанный драйвер, а может подумать о замене устройства.

код ошибки журнала событий

ничего страшного ещё не произошло

критический тип события

а здесь уже всё серьёзно: компьютер отключался

Ищем нужные события: процессы и логи результатов

К примеру, после некоторого времени работы мы обнаружили залипание мыши, пропажу некоторых папок и неработающие пути: первый признак появления сбойных секторов на диске. Для работы с ними необходимо последовательно запустить утилиту проверки состояния диска chkdsk /f, которая начнёт работу после перезагрузки, а затем проверим на целостность файловую систему самой Windows sfc /scannow. Так вот, на результаты работы как этих, так и прочих утилит можно посмотреть в том же журнале:

логи приложений в журнале событий

Так как одна из этих утилит запускается системой только перед загрузкой (для тома, который эту систему содержит), есть смысл поискать результаты по флагу Wininit (от Windows Initialisation).

Как научиться читать журнал событий windows ?

Впрочем, можно не гадать. Microsoft имеет официальную страницу поддержки по сообщениям системы. Если вас интересует конкретное событие, вы можете посетить страницу в сети. Однако, по моему мнению, очень хорошим сервисом, который поможет читать журнал событий Windows , является сервис

http://www.eventid.net/

В России ему аналогов нет, однако для владеющих английским и просто любопытствующих я покажу как им пользоваться. Так, для взятого выше примера, на странице сервиса введите в поля код ошибки и службу, которая её вызвала:

как читать журнал событий windows

Остаётся закинуть наши условия в поиск, щёлкнув по кнопке Search и на странице появятся результаты с объяснением возникновения ошибки. Формально, они будут ненамного подробнее объяснений, даваемых самим Журналом, однако, если вы прокрутите страницу результатов ниже, то в описании на английском увидите ссылку на своеобразный форум с готовыми решениями проблемы или причинами, с которыми уже сталкивались пользователи при возникновении одноимённой ошибки. Всё на английском. Учиться надо было… И, если честно, ваш покорный слуга дальше этого сайта редко уходит: всё нечто похожее где-то когда-то уже происходило.

Как всегда, просмотр журнала событий – это не панацея. Однако от бессмысленных гаданий пользователя может спасти, сэкономив на поиске проблемы кучу времени.

Журнал событий Windows — как очистить?

Итак, с проблемами справились, система стабильна. Тогда давайте избавимся от ненужных в Журнале записей: если вы Журнал посещали, некую захламлённость по числу записей в нём наблюдать могли.

Способов очистки существует несколько. Можно это сделать через PowerShell Windows:

wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}

Можно через консоль:

for /f %x in ('wevtutil el') do wevtutil cl "%x"

Я же предложу вам небольшой скрипт, который вы можете поместить в текстовый документ, сохранить с расширением .bat. Я свой так и назвал Очистка логов (итоговый файл запускайте с правами админа):

clear-event-log

Вот скрипт:

@echo off
 FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
 IF (%adminTest%)==(Access) goto noAdmin
 for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
 echo.
 echo goto theEnd
 :do_clear
 echo clearing %1
 wevtutil.exe cl %1
 goto :eof
 :noAdmin
 exit

Дождитесь окончания работы скрипта, окно консоли само захлопнется:

очистить журнал событий windows

Читаем журнал событий самостоятельно.

Прямо сейчас вы сможете обнаружить, например, какие службы или программы тормозят ваш компьютер во время загрузки Windows. Или мешают компьютеру побыстрее выключиться. Из строки Выполнить (WIN + R) запускаем Просмотр событий

eventvwr.msc

Выбираем

Журналы приложений и служб — Microsoft — Windows — Diagnostics-Performance — Работает

Щёлкнем правой мышкой по параметру и выберем в меню пункт Фильтр текущего журнала

фильтр текущего журнала

В поле Все коды событий введите код 203 (Контроль производительности при выключении):

компьютер долго выключается

По выбранному фильтру журнал сгруппирует те события, которые, как посчитала система, привели к задержке при завершении сеанса пользователя…

почему windows долго завершает работу

… с указанием имени службы, точного занимаемого на это времени и т.п. По необходимости вы можете свериться в сети по имени сервиса, за чем он закреплён и по желанию отключить его. Если служба появляется рандомно, беспокоиться, поверьте, оснований нет. Однако в том случае, когда оно и то же имя мелькает частенько и основательно в этом Журнале прописалось, стоит задуматься. Далее. Если предпринятые вами действия возымели результат, проверьте теперь загрузку. Код событий — 103:

компьютер долго загружается журнал событий

Успехов.

  • Кодировка в системе windows 10
  • Коды активации на windows vista
  • Коды активации windows 10 pro 64 bit
  • Коды синего экрана смерти windows xp
  • Кодировка блокнота в windows 10