Windows event viewer что это

From Wikipedia, the free encyclopedia

Event Viewer in Windows 10
Developer(s)	Microsoft
Operating system	Microsoft Windows
Service name	Windows Event log (eventlog)
Type	Utility software

Event Viewer is a component of Microsoft’s Windows NT operating system that lets administrators and users view the event logs on a local or remote machine. Applications and operating-system components can use this centralized log service to report events that have taken place, such as a failure to start a component or to complete an action. In Windows Vista, Microsoft overhauled the event system.^[1]

Due to the Event Viewer’s routine reporting of minor start-up and processing errors (which do not, in fact, harm or damage the computer), the software is frequently used by technical support scammers to trick the victim into thinking that their computer contains critical errors requiring immediate technical support.^[2] An example is the «Administrative Events» field under «Custom Views» which can have over a thousand errors or warnings logged over a month’s time.

Overview[edit]

Windows NT has featured event logs since its release in 1993.

The Event Viewer uses event IDs to define the uniquely identifiable events that a Windows computer can encounter. For example, when a user’s authentication fails, the system may generate Event ID 672.

Windows NT 4.0 added support for defining «event sources» (i.e. the application which created the event) and performing backups of logs.

Windows 2000 added the capability for applications to create their own log sources in addition to the three system-defined «System», «Application», and «Security» log-files. Windows 2000 also replaced NT4’s Event Viewer with a Microsoft Management Console (MMC) snap-in.

Windows Server 2003 added the AuthzInstallSecurityEventSource() API calls so that applications could register with the security-event logs, and write security-audit entries.^[3]

Versions of Windows based on the Windows NT 6.0 kernel (Windows Vista and Windows Server 2008) no longer have a 300-megabyte limit to their total size. Prior to NT 6.0, the system opened on-disk files as memory-mapped files in kernel memory space, which used the same memory pools as other kernel components.

Event Viewer log-files with filename extension evtx typically appear in a directory such as C:\Windows\System32\winevt\Logs\

Command-line interface[edit]

Windows XP introduced set of three command-line interface tools, useful to task automation:

• eventquery.vbs – Official script to query, filter and output results based on the event logs.^[4] Discontinued after XP.
• eventcreate – a command (continued in Vista and 7) to put custom events in the logs.^[5]
• eventtriggers – a command to create event driven tasks.^[6] Discontinued after XP, replaced by the «Attach task to this event» feature.

Windows Vista[edit]

Event Viewer consists of a rewritten event tracing and logging architecture on Windows Vista.^[1] It has been rewritten around a structured XML log-format and a designated log type to allow applications to more precisely log events and to help make it easier for support technicians and developers to interpret the events.

The XML representation of the event can be viewed on the Details tab in an event’s properties. It is also possible to view all potential events, their structures, registered event publishers and their configuration using the wevtutil utility, even before the events are fired.

There are a large number of different types of event logs including Administrative, Operational, Analytic, and Debug log types. Selecting the Application Logs node in the Scope pane reveals numerous new subcategorized event logs, including many labeled as diagnostic logs.

Analytic and Debug events which are high frequency are directly saved into a trace file while Admin and Operational events are infrequent enough to allow additional processing without affecting system performance, so they are delivered to the Event Log service.

Events are published asynchronously to reduce the performance impact on the event publishing application. Event attributes are also much more detailed and show EventID, Level, Task, Opcode, and Keywords properties.

Users can filter event logs by one or more criteria or by a limited XPath 1.0 expression, and custom views can be created for one or more events. Using XPath as the query language allows viewing logs related only to a certain subsystem or an issue with only a certain component, archiving select events and sending traces on the fly to support technicians.

Filtering using XPath 1.0[edit]

1. Open Windows Event Log
2. Expand out Windows Logs
3. Select the log file that is of interest (In the example below, the Security event log is used)
4. Right-click on the Event Log and select Filter Current Log…
5. Change the selected tab from Filter to XML
6. Check the box to Edit query manually’
7. Paste the query into the text box. Sample queries can be found below.

Here are examples of simple custom filters for the new Window Event Log:

1. Select all events in the Security Event Log where the account name involved (TargetUserName) is «JUser»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>

2. Select all events in the Security Event Log where any Data node of the EventData section is the string «JUser»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>

3. Select all events in the Security Event Log where any Data node of the EventData section is «JUser» or «JDoe»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>

4. Select all events in the Security Event Log where any Data node of the EventData section is «JUser» and the Event ID is «4471»

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>

5. Real-world example for a package called Goldmine which has two @Names

   <QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Caveats:

• There are limitations to Microsoft’s implementation of XPath^[7]
• Queries using XPath string functions will result in error^[8]

Event subscribers[edit]

Major event subscribers include the Event Collector service and Task Scheduler 2.0. The Event Collector service can automatically forward event logs to other remote systems, running Windows Vista, Windows Server 2008 or Windows Server 2003 R2 on a configurable schedule. Event logs can also be remotely viewed from other computers or multiple event logs can be centrally logged and monitored without an agent and managed from a single computer. Events can also be directly associated with tasks, which run in the redesigned Task Scheduler and trigger automated actions when particular events take place.

See also[edit]

• List of Microsoft Windows components
• Microsoft Management Console
• Technical support scam

References[edit]

External links[edit]

• Official sources:
  • Event Viewer — Inside Show on Microsoft Learn
  • Events and Errors (Windows Server 2008) on Microsoft Learn

Инструмент Event Viewer — излюбленный фон мошенников и шарлатанов, которые используют его, чтобы убедить вас, что ваш компьютер нуждается в ремонте (конечно, за определённую плату), когда с ним все в порядке.

Event Viewer

Каждому пользователю Windows необходимо знать о средстве просмотра событий Event Viewer, хотя бы для защиты от мошенников, которые зарабатывают большие деньги на страхах людей. Мошенники звонят людям по всему миру, пытаясь убедить пользователей Windows позволить этим мошенникам захватить системы жертв через удалённый помощник.

Мошенники обычно утверждают, что они из Microsoft или как-то связаны с Microsoft. Они могут узнать ваш номер телефона, посмотрев имена людей, публикующих сообщения на форумах.

Некоторые из них просто холодные звонки. Любой случайный телефонный звонок в семью имеет очень хорошие шансы найти резонанс, когда речь заходит о проблемах Windows. Если вы случайным образом позвоните десяти людям в вашем городе и скажете, что звоните от имени Microsoft, чтобы помочь с проблемой Windows, и ваш голос будет звучать так, будто вы знаете, о чем говорите, можно поспорить, что хотя бы один или два ваших соседа воспримут ваше предложение.

Жульничество связано с функцией просмотра событий Windows. Это интересный и полезный инструмент, но только в том случае, если вы проявите инициативу и не позволите какому-нибудь быстро говорящему человеку использовать его, чтобы лишить вас пары тысяч.

Использование Event Viewer

Средство просмотра событий в Windows существует уже почти десять лет. Об этом мало кто знает. По сути, Event Viewer просматривает небольшую горстку журналов, которые ведёт Windows на вашем компьютере. Журналы представляют собой простые текстовые файлы, записанные в формате XML. Хотя вы можете думать, что Windows имеет один файл журнала событий, на самом деле их много — административный, рабочий, аналитический и отладочный, а также файлы журнала приложений.

Каждая, запускаемая на вашем ПК, программа отправляет уведомление в журнал событий. И каждая хорошо настроенная программа отправляет уведомление перед своей остановкой. Каждый доступ к системе, изменение безопасности, зависание операционной системы, сбой оборудования и сбой драйвера — все это попадает в тот или иной журнал событий.
Средство просмотра событий сканирует эти текстовые файлы журналов, объединяет их и помещает красивый интерфейс в сгенерированных машиной скучный, объёмный набор данных. Думайте о Event Viewer как о программе создания отчётов для базы данных, где базовая база данных представляет собой всего лишь несколько простых текстовых файлов.

Запомните. Теоретически журналы событий отслеживают важные события на вашем ПК. На практике, термин «важный» на совести смотрящего. Или программиста. В обычном ходе событий, мало кому, когда-либо, нужно заглядывать в журналы событий. Но если ваш компьютер начинает давать сбои, программа просмотра событий может дать вам важную информацию об источнике проблемы.

Вот как использовать Event Viewer:

1. Щёлкните правой кнопкой мыши значок «Пуск». Выберите «Просмотр событий». Появится Event Viewer.
2. Слева, выберите «Просмотр событий», «Пользовательские представления», «Административные события». Это может занять некоторое время, но в конце концов вы увидите список заметных событий.

1. Не волнуйтесь. Даже в самой ухоженной системе может быть множество устрашающих сообщений об ошибках — сотни, если не тысячи из них. Это нормально.

События и что они означают

Журнал административных событий — не единственный журнал, который вы можете видеть. Это квинтэссенция других журналов событий с упором на то, что может захотеть увидеть простой человек.

Другие журналы включают следующее:

• События приложений (Application events): программы сообщают о своих проблемах.
• События безопасности (Security events): они называются аудитами и показывают результаты действий безопасности. Результаты могут быть успешными или неудачными в зависимости от события, например, когда пользователь пытается войти в систему.
• События установки (Setup events): это в первую очередь относится к контроллерам домена, о чем вам не нужно беспокоиться.
• Системные события (System events): большинство ошибок и предупреждений, которые вы видите в журнале административных событий, связаны с системными событиями. Это отчёты из системных файлов Windows о проблемах, с которыми они столкнулись. Практически все они излечиваются сами.
• Перенаправленные события (Forwarded events): они отправляются на этот компьютер с других компьютеров.

События достойные и недостойные просмотра

Прежде чем вы начнёте беспокоиться о тысячах ошибок на вашем компьютере, внимательно посмотрите на поле даты и времени. В списке могут быть тысячи событий, но они, вероятно, относятся к тому моменту, когда вы впервые установили компьютер. Скорее всего, вы можете видеть несколько элементов каждый день и большинство событий — это просто повторения одной и той же ошибки или предупреждения. Скорее всего, они практически не влияют на то, как вы используете Windows.

Например, просматривая журнал событий, можно увидеть группу, сгенерированных источником с именем DistributedCOM, ошибок с идентификатором 10010, которые говорят, что сервер не зарегистрировался в DCOM в течение требуемого тайм-аута. Ничего страшного.

Если у вас нет проблем, не беспокойтесь о том, что есть в Event Viewer. Даже если у вас возникли проблемы, программа просмотра событий может вам помочь, а может и не помочь.

Подсказка. Чем может помочь программа просмотра событий. Смотрите столбец «Идентификатор события» (Event ID). Запишите идентификационный номер и найдите его на www.eventid.net. Они могут указать вам правильное направление или, по крайней мере, перевести идентификатор события на человеческий язык. На рисунке ниже показаны результаты поиска события с идентификатором 10010 — проблема DCOM.

Вы можете щёлкнуть внизу каждого описания, чтобы просмотреть комментарии, оставленные кем-то, кто решил проблему. Если вы пытаетесь отследить конкретную проблему и видите событие, которое может иметь отношение к проблеме, используйте Google, чтобы узнать, сможете ли вы найти кого-нибудь, у кого была такая же проблема.

Средство просмотра событий также может помочь вам решить проблемы с доступом к сети, поскольку, управляющие сетевым обменом данными, программы Windows, передают в журналы событий большое количество деталей. К сожалению, перевод журналов на понятный язык может оказаться непростой задачей, но, по крайней мере, вы сможете определить, где возникла проблема, даже если вы не знаете, как её решить.