Журнал запуска компьютера windows 7

Как посмотреть когда включался и выключался компьютерWindows сохраняет информацию о различных системных событиях в системных журналах, с помощью которой можно определить время включения и выключения компьютера. Если вам требуется получить эту информацию, сделать это можно несколькими несложными способами.

В этой инструкции подробно о том, как посмотреть время, когда компьютер включался и когда выключался как средствами системы, так и с помощью сторонних инструментов.

Просмотр событий Windows

Первая возможность — посмотреть соответствующие события вручную, с помощью утилиты «Просмотр событий», встроенной в Windows, для этого достаточно использовать следующие шаги:

  1. Нажмите клавиши Win+R на клавиатуре (в Windows 11 и Windows 10 можно нажать правой кнопкой мыши по кнопке «Пуск» и выбрать пункт «Выполнить»), введите eventvwr.msc и нажмите Enter.
  2. В открывшемся окне просмотра событий в панели слева выберите «Журналы Windows» — «Система».
  3. Используйте сортировку по столбцу «Код события», либо настройте фильтр журнала (в панели справа) с указанием кодов событий 6005 (запуск) и 6006 (остановка), при необходимости — даты и времени события (при клике по заголовку столбца «Дата и время» вы можете отсортировать события по значениям в этом столбце). Фильтр по событиям 6005 и 6006 в просмотре событий
  4. Вы увидите список событий, когда компьютер включался и выключался (есть нюансы, о которых далее). Время включения и выключения компьютера в Просмотре событий

События с указанными кодами не указывают напрямую на включение компьютера и завершение работы, а записываются в момент запуска и остановки службы журнала событий, но поскольку при штатной работе запуск и остановка происходят при включении и выключении соответственно — эту информацию можно использовать для получения требуемых сведений. Однако, в случае, например, загрузки компьютера с флешки, события записаны не будут.

Некоторые другие коды событий, имеющие отношение к включению, выключению и перезагрузке:

  • 41 — перезагрузка или выключение без правильного завершения работы.
  • 1074 — при инициации завершения работы или перезагрузки какой-либо программой.
  • 6008 — при неправильном выключении компьютера.

Получение информации в командной строке и PowerShell

Информацию о времени событий с кодами 6005 (обычно соответствует времени запуска) и 6006 (завершения работы) можно получить с помощью командной строки или PowerShell.

В первом случае: запустите командную строку от имени администратора, а затем используйте команду

wevtutil qe system "/q:*[System [(EventID=6005)]]" /rd:true /f:text /c:1

Последнее число в команде указывает на то, сколько последних событий с указанным кодом (6005 в примере) следует отобразить. Посмотреть время включения и выключения компьютера в командной строке

В PowerShell от имени администратора можно использовать следующую команду:

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

При выполнении этой команды вы получите список всех событий с указанными кодами, датой и временем. Время включения и выключения компьютера в PowerShell

Бесплатная утилита TurnedOnTimesView

Если вы предпочитаете использовать простые приложения, показывающие нужные сведения, время включения и выключения компьютера можно посмотреть в с помощью программы TurnedOnTimesView, доступной бесплатно на официальном сайте разработчика.

Достаточно скачать утилиту, запустить её и получить нужную информацию в удобной таблице, где показаны:

Программа TurnedOnTimesView

  • Дата и время включения (Startup Time)
  • Дата и время выключения (Shutdown Time)
  • Продолжительность работы (Duration)
  • Причина выключения
  • Тип выключения

И некоторые другие сведения, имеющие отношение к включению ПК и завершению работы.

Программа позволяет получить сведения о включении и выключении не только для локального компьютера, но и для компьютеров в локальной сети — соответствующие настройки можно найти в параметрах программы:

Кстати, у того же разработчика есть ещё одна программа — LastActivityView, которая покажет не только время включения и выключения, но и события, связанные с запуском программ, сбоями, запуском EXE-файлов (с указанием этих файлов), подключением к сети и другие.

Источник


Прочитано:
12 384

Для того чтобы наблюдать лог загрузки операционной системы Windows 7 следует активировать следующие опции, предполагаю, что на системы Вы имеете Административные права, далее запускаем меню “Выполнить

сочетанием клавиш “Win + R” и набираем msconfig:

Открываем консоль меню "Выполнить".

В открывшемся окне «Конфигурация системы» переходим на вкладку «Загрузка» и активируем подпункты: «Журнал загрузки» и «Информация об ОС».

Активируем опции в окне "Конфигурация системы".

Перезагружаем систему. После в системном каталоге будет создан текстовый документ.

C:\Windows файл ntbtlog.txt

Сформированный лог загрузки системы.

Открыв сформированный текстовый файл с помощью встроенного редактора “Notepad

Пример содержимого сформированного лога.

Можно провести детальную диагностику, как загружается система, где у неё ошибки, какие службы не загружаются, какие драйверы не загружаются, а после обратиться к поисковой системе google для дальнейшего разбирательства. На этом всё, удачи!!!

Источник

Содержание:

  • 1 Где находится журнал событий Windows
  • 2 Как открыть журнал
  • 3 Как использовать содержимое журнала
  • 4 Очистка, удаление и отключение журнала

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Файлы журнала событий

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

Переход в Журнал событий

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Просмотр событий

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Фильтрация записей

Отфильтрованные события

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Свойства события

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Создание задачи

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Очистка журнала через программу просмотра

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1”

Очистка журнала с помощью командной строки фото 1

Очистка журнала с помощью командной строки фото 2

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

Очистка журнала через консоль PowerShell

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Отключение протоколирования

Связанные службы

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Источник

murzix

Есть старая система windows 7. На которой не установлено никакого лишнего барахла. Но грузится медленнее, чем 6 лет назад. Хочется понять почему, но журнал событий, msconfig и прочие стандартные средства на этот вопрос не отвечают.

Чем бы снять лог?


  • Вопрос задан

  • 8633 просмотра

Пригласить эксперта

1) msconfig
a) Загрузка -> Журнал загрузки
2) Перезагрузка
3) %WinDir%\ntbtlog.txt — правда без времен, но это вопрос уже к другим людям.


  • Показать ещё
    Загружается…

09 окт. 2023, в 13:56

2520000 руб./за проект

09 окт. 2023, в 13:49

200 руб./за проект

09 окт. 2023, в 12:49

2000 руб./за проект

Минуточку внимания

Источник

Здравствуйте, дорогие читатели, с вами снова Тришкин Денис.
Хотелось бы вам рассказать об одном интересном стандартном приложении в Windows. Корпорация Microsoft всегда отличалась тем, что в своих операционных системах она старалась реализовать высокую безопасность и быстродействие путем слежения за программами и различными движениями в системе. Конечно же это не всегда выходило. Одним из инструментов, позволяющих наблюдать за системой, является журнал событий Windows 7. Именно в нем регистрируются все некорректные установки и неудачные запуски программ. В нем все действия расположены в хронологическом порядке. Желательно время от времени заглядывать в этот реестр, чтобы вовремя реагировать на новую информацию.

Содержание статьи

  • Возможности журнала Windows
  • Запуск программы
  • Описание
  • Дополнительные пункты
  • Описание событий
  • Работа с журналом
  • Очистка журнала
  • Ошибка в журнале
  • Увеличение объема памяти для записей в журнале
  • Проблемы запуска
  • Отключение

Возможности журнала Windows( к содержанию ↑ )

журнал событий

увеличить

Приложение имеет следующие возможности:

  • создание реестра данных, которые в хронологическом порядке записаны в архив;

  • наличие специальных фильтров, позволяющих удобно просматривать и настраивать систему;

  • подписка на некоторые категории действий;

  • при появлении определенного рода действий можно задать последовательность.

Запуск программы( к содержанию ↑ )

Каталог можно открыть, как и многие другие системные утилиты. Он запускается так:

  1. 1Нужно зайти в «Пуск» и «Панель управления». Далее выбираем «Администрирование». В отрывшемся окне нужно найти «Просмотр событий». Кроме того, можно написать в поиске «журнал событий».

    запуск журнала событий

    увеличить

  2. 2Появится окно, где нужно выбрать подходящий параграф, который означает удаление или добавление действия. После этого появляется «Просмотр событий» на основном окне.

    3. просмотр журнала событий

    увеличить

Описание( к содержанию ↑ )

Итак, узнав, где находится журнал, нужно теперь выяснить, что это такое. В Windows седьмой версии предусмотрено несколько реестров движений. Так, существует служебная база приложений и системный архив. Действие последнего направлено на запись всех происшествий, происходящий в операционке с программами. Первый нужен для запоминания изменений, которые прошли со служебными приложениями. Основной является вкладка «Просмотр», которая включает несколько пунктов:

  1. 1Приложение. В этом меню сохраняются перемены, связанные с определенной программой. Например, здесь можно найти данные, которые использует почтовая служба – историю пересылки, события в ящиках и многое другое.

    Приложение

    увеличить

  2. 2Безопасность. Здесь показывается информация, касающаяся входов и выходов из системы, использования возможностей администратора, обращения к разным ресурсам.

    Безопасность

    увеличить

  3. 3Установка. Отображаются данные, появляющиеся в результате установки и настройки разных программ.

    Установка

    увеличить

  4. 4Система. Тут фиксируются сбои, произошедшие при запуске встроенных приложений. Кроме того, именно здесь находятся данные о проблемных установках драйверов и различные сообщения, связанные с работой ОС.

    Система

    увеличить

  5. 5Пересылаемые события. Пункт нужно предварительно настраивать. Если это сделано, здесь будут храниться данные, пришедшие с других серверов.

    Пересылаемые события

    увеличить

Дополнительные пункты( к содержанию ↑ )

Кроме того, предусмотрены и дополнительные подразделения:

  1. 1Internet Explorer. Здесь можно найти информацию, которая отображает изменения, произошедшие с браузером.

    Internet Explorer

    увеличить

  2. 2Windows PowerShell. В этом разделе показываются происшествия, связанные с PowerShell.

    Windows PowerShell

    увеличить

  3. 3События оборудования. Пункт не всегда может быть настроен. Если он подключен, в файле отображаются данные о работе устройств.

    События оборудования

    увеличить

Описание событий( к содержанию ↑ )

Информацию в базе можно посмотреть, как и любую другую на компьютере. Но вместе тем, пользователь должен знать несколько основных определений, касающихся работы приложения:

  1. 1Источник – программа, которая отправила данные в журнал. Это может быть название приложения, драйвера или другого отдельного компонента.

    Источник

    увеличить

  2. 2Коды события – ряд цифр, указывающих на определенный тип действия. Первая строка в большинстве случаев содержит название типа. Обычно код и источник являются основными показателями, по которым специалист определяют ошибку в системе и пытаются ее исправить.

    Коды события

    увеличить

  3. 3Уровень – важность, которая делится на шесть пунктов:

    Уровень

    увеличить

    • уведомление – какое-либо изменение в приложении (чаще появление информационного сообщения);

    • предупреждение – указывает на неполадку, которая в будущем может привести к серьезной проблеме;

    • ошибка – сбой, влияющий на функции события или программы;

    • критическая ошибка – неполадка, в результате которой, компонент или программа не могут автоматически восстановить работоспособность;

    • аудит успехов – правильное выполнение действий, отслеживающихся пользователем;

    • аудит отказов – не правильное выполнение действий, за которыми наблюдает клиент.

  4. 4Пользователь – указывает на учетную запись, при которой и произошло изменение.

    Пользователь

    увеличить

  5. 5Рабочий код – числовое значение, определяющее промежуток в пределах которого произошел сбой.

    Рабочий код

    увеличить

  6. 6Дата и время – показывается, когда именно это случилось.

    Дата и время

    увеличить

Помимо этого, в реестре событий предусмотрена масса других свойств. Подробное знакомство с ними поможет более точно настраивать и следить за системой.

Работа с журналом( к содержанию ↑ )

Чтобы предохранить систему от сбоев и зависания, желательно своевременно просматривать базу «Приложение», в котором указываются все происшествия, действия с разными программами и предоставляется выбор возможных операций.

Приложение

увеличить

Там же показано время и дата появления, источник. Консоль позволяет сохранить все изменения, очистить их и изменить саму таблицу, в которой указаны нужные данные.

Очистка журнала( к содержанию ↑ )

Кроме простого просмотра, программу можно очистить, как это делается, я расскажу далее. Это необходимо для быстрого анализа всех ошибок ОС. Как удалить события? Просто выполните некоторые действия:

  1. 1Выбираем нужный раздел.

    Выбираем нужный раздел

    увеличить

  2. 2В разделе «Действие» нажимаем «Очистить журнал».

    Очистить журнал

    увеличить

Ошибка в журнале( к содержанию ↑ )

Постоянно просматривая реестр операционной системы, можно увидеть, что здесь часто появляются разные ошибки и предупреждения. При этом не стоит сразу паниковать – многие из них никак не угрожают компьютеру. Но вместе с тем они могут появляться даже на идеально работающей машине.

Ошибка в журнале

увеличить

По факту, это приложение разрабатывалось для системных администраторов, чтобы они могли в кратчайшие сроки узнать о проблеме и убрать ее.

Увеличение объема памяти для записей в журнале( к содержанию ↑ )

Первоначально файл, в котором хранятся данные сам по себе имеет небольшой размер. Но его можно увеличить. Для этого необходимо:

  1. 1Выбрать раздел и перейти в его свойства.

    Выбрать раздел и перейти в его свойства

    увеличить

  2. 2На поле «Максимальный размер…» нужно указать желаемое значение. По умолчанию число округляется в ближайшую сторону до кратности к 64 Кб. При этом файл журнала не может быть меньше 1024 Кб.

    Максимальный размер

    увеличить

После достижения максимального размера, обработка осуществляется политикой их хранения. Существуют такие виды:

  1. 1Переписывание при необходимости. Новые строки заменяют самые старые.

  2. 2Не переписывание. Очистка файла происходит вручную.

Чтобы выбрать желаемую политику, нужно:

  1. 1Выделить подходящий журнал, а затем «Свойства».

    Свойства

    увеличить

  2. 2На вкладке «Общие» находим «При достижении максимального…» выбираем желаемый параметр и подтверждаем действие.

    Максимальный размер

    увеличить

Проблемы запуска( к содержанию ↑ )

Иногда происходит так, что журнал не запускается.

Решение проблемы хоть и не простое, тем не менее эффективное. Итак, в папке Windows находим System32, а затем wineyf. Ей и всем файлам внутри нужно дать полный доступ для юзера Local Service. Именно под ним и проходит работа программы. Иногда то же самое нужно сделать для папки LogFiles, расположенной в той же директории.

Отключение( к содержанию ↑ )

Журнал событий можно отключить, как и любую другую службу.

Заходим в Панель управления, «Администрирование».

Здесь находим «Службы», выбираем нужную и меняем тип запуска на «Отключено». Эта программа будет продолжать работу до первой перезагрузки.

Службы

увеличить

Журнал событий в Windows 7 представляет собой удобный инструмент, позволяющий следить за различными операциями, происходящими на компьютере. Это позволит исправлять ошибки, что улучшит взаимодействие с системой.

Подписывайтесь и рассказывайте друзьям обо мне.

Материалы по теме

Источник

  • Журнал доступа к файлам windows
  • Журнал защиты windows 10 как открыть
  • Журнал защиты windows 10 как найти
  • Журнал действий windows 10 что это
  • Журнал вызовов windows 10 что это