• Event Viewer.

    Использовать журнал просмотр событий Windows для решения многих задач, проблемы с системой, слежка за пк и другие.

    1. Начну наверное с самого волнующего вопроса это про слежку, по запросам можно понять что это волнует более чем проблемы пк. Журнал событий Windows это еще один способ узнать ведется за вашим компьютером или ноутбуком слежка. На блоге есть статья в которой рассказывается 100% способ выявления, кому интересно переходим: "Выявление слежки за компьютером". В этом способе можно посмотреть какие приложения запускаются и из этого сделать вывод, можно воспользоваться поиском по журналу, искать конкретное название программы шпиона. Но в этой статье не об этом, не много в сторону уйдем, скажем так.
    2. В статье поговорим как работать с журналом событий, как искать ответ на исправление ошибок в системе. Искать ответы будем на официальном сайте поддержки Microsoft. Здесь можно найти много ответов, но только в англоязычном сегменте скажем так сайта. Да можно переключить сайт на Русский язык, но тогда ваши поиски не дадут результата, так как на Русский нет перевода. Это все Вы узнаете в самом конце статьи когда доберемся до поиска ошибок.
    3. Журнал событий хранит свои файлы по пути:
    4. %SystemRoot%/System32/Winevt/Logs
    5. Расширение этих файлов "evtx" и открываются они только утилитой которая входит в состав Windows это утилита Event Viewer. Ниже приведу несколько способов как открыть или запустить утилиту Event Viewer.
    6. Открываем Event Viewer.

    7. Чтобы открыть журнал событий Windows :
    8. Можно открыть через панель управления, это будет путь:
    9. Панель Управления => Администрирование => Просмотр событий
    10. Можно через окно выполнить, нажать сочетание клавиш:
    11. Win + R
    12. В открывшемся окне Выполнить или Run, набираете название утилиты и расширение:
    13. eventvwr.msc
    14. Нажимаете "Enter" или кнопку "OK" после чего запуститься окно "журнала событий Windows"оно будет поделено на три вертикальных части. Слева будет древовидное меню, в котором выбираете какие события а точнее чьи события вам надо. По середине расположилась информация, которую запрашивали слева в меню. Ну и с право можно выбрать действия над выбранными элементами. Приведу пример с обновлениями системы, которые я удалял через командную строку но они не удалились, их и разберем почему так произошло.
    15. Слева в древовидном меню открываем путь:
    16. Журналы Windows => Установка
    17. В колонке по середине выбираем первую попавшуюся ошибку, смотрим картинку ниже:
    18. В колонке по середине, где выбирали ошибку, еще ниже будет дана информация по ошибке, более развернутая. Если вам мало этой информации то вы можете нажать на ссылку "Справка в интернете". Откроется окно в котором будет значится информация, которая будет передана в поддержку для более быстрого поиска. В основном там идет версия операционной системы, чтобы знать для какой системы искать исправления. Если вы согласны, подтверждаете нажатием на кнопку "ДА", можно поставить галочку "всегда отправлять информацию" и тогда после нажатия на ссылку откроется сразу сайт поддержки, в следующий раз.
    19. После чего откроется сайт поддержки Microsoft, на странице будет строка поиска. В строку поиска можно вводить разные данные. Скажем искать по названию ошибки, по пути до файла который вызвал ошибку.
    20. Я начал искать по названию обновления, оно показано в пути, сам файл название. Можно копировать прямо из окна журнала событий, любые строчки или слова, которые выделяются мышкой. Только контекстное меню после как выделили мышкой вызвать не получится, а вот сочетание клавиш на выделенный фрагмент сработает, это если кто не знал:
    21. Ctrl + C
    22. Как пример ниже на картинке, выделил даже в области которая не предназначена для этого:
    23. После как скопировали в буфер обмена, если кто не знает, буфер обмена это то место, куда попадает скопированная информация до того как будет сохранена в новом месте, временное хранилище скажем так. Выделили с помощью мышки и сочетание клавиш отправили выделенное в буфер. Далее переходим на уже открытый сайт технической поддержки Microsoft, который открывали по ссылке в окне, журнала событий. Вставляете как обычно это делаете, любым удобным способом, на сайте все работает как обычно. По названию файла или названию обновления, как хотите называйте оно сходится, мне на англоязычном сегменте сайта поддержки выдало много ответов, на Русском языке не одного ответа не нашел.
    24. Страшного нечего не произошло, вить много способов перевести текст с одного языка на другой без проблем. Слева в древовидном меню остались еще разделы, такие как "Система" в этом разделе записываются события связанные с системой, также "Безопасность" и "Приложение" все названия говорят сами за себя.
    25. Приложение – хранит важные события, связанные с приложением.
    26. Система – хранит события операционной системы или ее компонентов (неудачи при запуске служб или инициализации драйверов).
    27. Безопасность – хранит события связанные с безопасностью, такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам.
    28. Очистка Event Viewer.

    29. Очистить журнал событий очень легко и для этого надо выбрать какой раздел будете очищать, потом вызвать контекстное меню мышкой, нажать "Очистить журнал". На картинке ниже все досконально показано:
    30. Можно очистить сразу все разделы, вариант для Windows 10, но для этого надо открыть командную строку, так как именно очистка всего журнала не предусмотрена в меню графическом, самого журнала событий. Кто не знает как открыть командную строку, читаем статью "Ярлык командной строки на рабочий стол". В командной строке пишем
    31. for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
    32. Подтверждаете нажатием "Enter" и дожидаетесь окончания очистки, закройте все окна журнала если они открыты.
    33. Способ очистки журнала событий с помощью PowerShell и для этого открываете консоль PS или это можно проделать в командной строке. Чтобы запустить выполнение команд PowerShell в командной строке, набираете команду в открытой CMD от имени администратора:
    34. PowerShell
    35. Подтверждаете "Enter" и теперь можно работать в CMD выполняя команды PowerShell. Набираете команду для очистки журнала и перед этим не забываем закрыть сам журнал событий, окно:
    36. Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
    37. Собственно команды все получились как на картинке ниже:
    38. Заметьте когда работаете просто в CMD то командная строка начинает подставлять путь "C:\Windows\System32>" а когда перешли на PowerShell то в самом начале подставляет "PS", так чтоб не запутались если будете работать. Разобрались как искать исправление ошибки и даже научились очищать сам журнал событий. Не хватает научится поиску по журналу событий.
    39. Поиск в журнале событий Windows:

    40. Чтобы найти нужную запись, многие подумают надо воспользоваться поиском, но можно еще проще и лучше это воспользоваться фильтром. Давайте просто уберем то что не надо а то что надо оставим, поможет в этом фильтр, это и будет своеобразный поиск даже лучше. В поиске вы ищите только по имени а тут можно выбрать много критериев по которым фильтровать журнал. Выбираете журнал в древовидном меню слева, в котором будете искать, точнее для какого журнала будет фильтр. Просто выделяете нажав один раз мышкой нужный журнал и далее переходите в правую колонку и кликаете "Фильтр текущего журнала":
    41. В открывшемся окне настройки фильтра, как открывать показал на картинке выше, можно выбрать время ошибки, час назад была или более. Последний вариант это "настраиваемый диапазон" там в новом окне можно выбрать дату или промежуток, несколько недель, месяцев, картинка ниже:
    42. Далее можно включить фильтрацию "Уровень события" это какая была ошибка, критическая, предупреждение, собственно ставите галочки на тех пунктах которые считаете нужными для поиска, точнее для фильтрации.
    43. Далее "Источник событий" можно выбрать на какую утилиту, программу или службу была создана запись в журнале:
    44. Здесь вы можете вписать код под которым была создана запись, его можно увидеть в средней колонке, когда читаете информацию по записи, событию. Если не помните то просто поставьте минус.
    45. Ключевые слова, можно поставить галочки напротив пунктов в раскрывающемся меню или оставить по умолчанию "Все ключевые слова":
    46. Далее идет две строчки это "Пользователи" и "Компьютеры", с пользователем еще можно для некоторых служб вписать, у которых есть своя учетка и то это больше для удаленного выполнения. А компьютер это для администраторов локальной сети, если есть доступ к другому компьютеру, можно там искать удаленно.

    47. Ссылки на материалы упоминающиеся в статье:

      Перейти На оф., страницу Support Microsoft.

      Статьи похожей тематики:

      Создание загрузочной флешки с помощью командной строки
      Оптимизация загрузки Windows, выявляем тормозящие приложения? загружаем по очереди стартующие программы.
      Планировщик заданий, выполнить действие в нужное время
      Различные способы открытия командной строки в Windows
      Сканирование системных файлов
      Процесс или программа не отвечает, завершение одним кликом в Windows 10
      Пропал магазин в Windows 10?
      Все о всех версиях Windows
      Ошибка входа: Ваш компьютер не в сети
      Bash в Windows 10
      Не прекращающийся поиск обновлений Windows(не найти обновления цо)
      Расширенное контекстное меню Windows/
      Напоминание обновления до Windows10
      Альтернативная замена диспетчеру задач Windows
      Добавить иконки на рабочий стол Windows 8.1 и 8
      Старые версии Windows не поддерживают новые процессоры.
      Выключение компьютера в заданное время
      Ночной режим в Windows 10
      Активация Windows через командную строку
      Файловая система REFS
      Клонирование системы
      Отключение телеметрии в 7, 8, 8.1
      Запуск файлов PowerShell из контекстного меню Windows
      Все варианты как зайти в безопасный режим Windows
      Карманная Операционная Система или переносная Windows
      Как безопасно загружать файлы на ПК с помощью приложения Guard на Microsoft Edge
      Принудительное выключение компьютера с ос Windows