Как использовать журнал событий в Windows

Опубликовано: 28 сентября 2020

Журнал событий в WindowsВ Windows есть инструмент, который ведет детальный журнал всех событий, которые происходят в системе. Фактически это системная служба, которая фиксирует все значимые события в специальный файл — журнал событий.

Речь идет как о событиях, инициированных самой операционной системой, так и установленными в ней программами. Все предупреждения, ошибки или информационные сообщения также фиксируются в журнале событий.

Журнал событий может быть весьма полезным при решение различных проблем, например, когда компьютер стал самопроизвольно перегружаться, зависать или стал появляться так называемый «синий экран смерти».

Как запустить журнал событий

Файлы журнала событий не являются обычными текстовыми, поэтому их нельзя открыть простым текстовым редактором. Для просмотра журнала событий используется специальный инструмент — Просмотр событий.

Чтобы запустить журнал событий щелкаем правой кнопкой мыши по меню Пуск и выбираем пункт Просмотр событий из меню.

Как открыть журнал событий Windows

Категории событий

Все журналы событий распределяются по категориям.

Категории просмотра событий Windows

Категорий довольно много, но обычно при решении проблем приходится обращаться только к трем из них — Приложение, Безопасность и Система.

Из названия категорий логично вытекает и природа событий, которые в них фиксируются. Так, например, в журнале событий Приложение фиксируются события, сгенерированные приложениями, а не системой. При этом разработчики программ решают какие события имеет смысл фиксировать в журнале

В журнале событий Система фиксируются события, сгенерированные системными компонентами, а журнал событий Безопасность содержит события, влияющие на безопасность системы. Это информация о неудачных и удачных попытках входа в систему, использование ресурсов, управление учетными записями и так далее.

Типы событий

В журнале отображаются три основных типа событий.

Типы событий

Сведения — эти события описывают запуск или остановку программы или системой службы, которые прошли в штатном режиме, то есть без сбоев и проблем.

Предупреждение — сигнализируют о том, что программа запущена, но возникла проблема, которая может стать причиной сбоя.


Ошибка — такое событие сигнализирует о критической проблеме, которая может привести к сбою в работе программы или к потере данных.

Не стоит расстраиваться или впадать в панику если в журнале вы обнаружите предупреждения или ошибки. Более того я уверен, что вы их обязательно найдете и чем больше на компьютере установлено программ, тем больше подобных событий будет в журнале. Дело в том, что не всегда коммуникация между операционной системой и установленной в ней программой проходит удачно, в результате в журнале появляется соответствующая запись, хотя при этом подобное событие никак не повлияет на работу программы или Windows. Таких событий большинство и нет никакого смысла пытаться докопаться до сути каждой такой ошибки. Я бы даже сказал так — к журналу событий стоит обращаться только в том случае, если что-то пошло не так…

Когда использовать просмотр событий

Если в работе компьютера появились сбои, то тут в первую очередь и стоит заглянуть в Просмотр событий. Например, компьютера стал внезапно перезагружаться, зависать или периодически стал появляться так называемый «синий экран смерти» (BSoD). В подобных ситуациях журнал событий сможет подсказать направление для поиска причины проблемы.

Чтобы было проще найти причину стоит запомнить время возникновения внештатной ситуации. Тогда в журнале событий будет легко найти ошибку, которая случилась в этот временной промежуток. Запись об ошибке можно открыть в отдельном окне и более детально изучить информацию о ней.

Ошибка в журнале событий

К сожалению, здесь нет какого-то универсального алгоритма решения всех проблем и в каждой конкретной ситуации нужно будет исходить из той информации, которая была зафиксирована в журнале. Это может быть ссылка на проблемный файл, код ошибки вызывающей синий экран смерти или даже указание конкретного устройства.

Располагая этой информацией можно продолжить поиск. В этом всегда поможет интернет где, например, по коду ошибки можно найти возможные варианты решения проблемы.

Как сохранить журнал событий

При необходимости можно сохранить лог события, щелкнув первой кнопкой мыши и выбрав соответствующий пункт из контекстного меню.

Сохранение журнала собтий

Журнал можно сохранить, например,в файл в формате CSV и затем его можно будет открыть, например, с помощью Excel.

Где находятся файлы журнала событий

Сами файлы журналов событий Windows по умолчанию находятся на системном диске — C:\Windows\System32\winevt\Logs

Если служба «Журнал событий Windows» запущена, то рабочие файлы журналов будут защищены системой и их нельзя будет ни удалить, ни переместить. Этого делать и не следует, так как может быть нарушена работа Windows.

Как очистить журнал событий

Если возникает необходимость очистить журнал событий, то сделать это можно в Просмотре событий — щелкаем на нужном разделе правой кнопкой мышкой и выбираем пункт «Очистить журнал…».

Очистить журнал событий

Также многие утилиты очистки системы (вроде программы CCleaner) позволяют очищать журналы событий.

Очистка журнала событий в Ccleaner

Итак, я постарался дать ответы на самые частые вопросы, касающиеся журнала событий.