Где посмотреть журнал загрузки windows 10



Как использовать журнал загрузки в Windows 10

Когда вы сталкиваетесь с проблемами в системе Windows, высока вероятность того, что виноваты драйверы. В таких ситуациях наличие как можно большего количества информации о том, какие драйверы загружаются, а какие нет, может помочь вам устранить неполадки в системе. К счастью, в Windows есть функция, называемая «журнал загрузки», которая регистрирует каждый драйвер, загружаемый при запуске системы.

В этой статье показано, как включить или отключить функцию журнала загрузки в Windows.

Примечание: это руководство также должно работать для Windows 7 и 8.

Журнал загрузки в настройках конфигурации системы

Самый простой способ включить журнал загрузки в Windows – использовать параметры, предоставляемые инструментом конфигурации системы.

  1. Сначала нажмите Win + R , введите msconfig текстовое поле и нажмите Enter , чтобы открыть конфигуратор системы.
  2. Перейдите на вкладку Загрузка, выберите операционную систему и затем установите флажок Журнал загрузки в разделе «Параметры загрузки». Нажмите кнопки Применить и ОК , чтобы сохранить изменения.

  • Вы успешно включили функцию журнала загрузки. Вам будет предложено перезагрузить вашу систему. Нажмите кнопку «Перезагрузить», чтобы начать регистрацию процесса загрузки.
  • После перезапуска вы можете получить доступ к журналу загрузки в любое время. Для этого откройте проводник и перейдите в папку «C:\Windows». Найдите текстовый файл с именем «ntbtlog.txt» и дважды щелкните его.

    Совет: введите «* .txt» или, если вы хотите быть более конкретным, введите «ntbtlog.txt» в строке поиска, чтобы быстро найти файл.

    В файле журнала вы увидите все драйверы, которые загружаются и не загружаются при запуске Windows.

    Как только вы закончите устранение неполадок, я рекомендую вам отключить функцию ведения журнала загрузки. В противном случае Windows будет продолжать добавлять записи в журнал при каждом запуске системы. Это быстро увеличивает размер журнала загрузки, не говоря уже о том, что становится очень трудно найти то, что вы ищете.

    Чтобы отключить ведение журнала загрузки, перейдите на вкладку «Загрузка», выберите операционную систему и снимите флажок «Журнал загрузки». Сохраните изменения, нажав кнопку ОК .

    Журнал загрузки с помощью командной строки

    Вы также можете включить журнал загрузки с помощью инструмента командной строки BCDEdit.

    1. Откройте «Командную строку» от имени администратора.
    2. Прежде чем вы сможете включить журнал загрузки, вам сначала нужно узнать идентификатор текущей операционной системы, которую вы используете. Чтобы узнать это, введите bcdedit и нажмите Enter .

    В разделе «Загрузка Windows» вы найдете идентификатор своей операционной системы рядом с «идентификатором». Обратите на это внимание. В моем случае это . Как правило, ваш идентификатор будет таким же, как мой.

  • Получив идентификатор, выполните следующую команду, чтобы включить журнал загрузки. Если ваш идентификатор отличается, замените в приведенной ниже команде на свой фактический идентификатор операционной системы. bcdedit /set bootlog yes
  • После перезапуска системы вы можете найти журнал загрузки в папке «C:\Windows\».
  • Когда вы закончите устранение неполадок, вам следует подумать об отключении журнала загрузки. Чтобы отключить журнал загрузки через командную строку, выполните следующую команду: bcdedit /set bootlog no
  • Прокомментируйте ниже, поделитесь своими мыслями и впечатлениями об использовании функции журнала загрузки Windows.

    Источник

    Как получить список загружаемых драйверов при запуске Windows 10

    На Windows 10, если у вас возникли проблемы драйверами, вы можете включить опцию «логирования загрузки», чтобы создать специальный ntbtlog.txt файл, который содержит подробный список загрузки и выгрузки драйверов во время запуска компьютера.

    Это не исправит любые проблемы вашего устройства, но вы можете проанализировать эту информацию, чтобы понять, что мешает правильной загрузке ОС Windows 10 и найти соответствующее исправление.

    В этом уроке по Windows 10 мы покажем как включить «журнал загрузки» для сбора информации о загруженных и не загруженных драйверах во время запуска с помощью конфигурации системы и командной строки.

    Как включить «журнал загрузки» с помощью конфигурации системы

    Чтобы зарегистрировать сведения о драйвере во время загрузки с помощью конфигурации системы, выполните следующие действия:

      В меню поиска введите конфигурация системы и нажмите на первый результат, чтобы открыть опыт.

    Подсказка: вы можете также использовать сочетание клавиш Win + R на клавиатуре, чтобы открыть окно «Выполнить», ввести команду msconfig команду и нажать кнопку ОК , чтобы открыть системный конфигуратор.

  • Откройте вкладку Загрузка.
  • Активируйте настройку Журнал загрузки .

  • Щелкните кнопку Применить и ОК .
  • Перезагрузите компьютер.
  • Как только вы выполните эти шаги, будет создан специальный файл со списком драйверов, которые были загружены, включая те, загрузка которых не удалась.

    Просмотр текстового файла ntbtlog

    Чтобы найти и просмотреть ntbtlog.txt файл, используйте эти шаги:

    1. Откройте командное окно «Выполнить», используя сочетание клавиш Win + R .
    2. Введите следующий путь к файлу: C:\Windows\ntbtlog.txt
    3. Нажмите кнопку OK .

    В текстовом файле можно просмотреть список загруженных и выгруженных драйверов, который теперь можно использовать в процессе устранения неполадок для поиска проблемного драйвера.

    Если вам больше не нужен «загрузочный журнал», вы можете отключить эту функцию, используя те же инструкции, но на шаге 3, обязательно снимите флажок.

    Как включить «журнал загрузки» с помощью командной строки

    Чтобы зарегистрировать сведения о драйвере во время загрузки с помощью командной строки, выполните следующие действия:

    1. Откройте командную строку от имени администратора.
    2. Введите следующую команду и нажмите клавишу Enter : bcdedit
    3. В разделе «Загрузка Windows», обратите внимание на «идентификатор» и «bootlog». Например:
      • идентификатор.
      • bootlog – No.

    Введите следующую команду, чтобы включить логи во время загрузки и нажмите клавишу Enter : bcdedit /set bootlog Yes

    В команде заменить на свой идентификатор.

    После выполнения этих действий в папке Windows будет создан файл журнала с загруженными драйверами, включая те, которые не были загружены.

    Просмотр текстового файла ntbtlog осуществляется также, как в предыдущем случае: по адресу – C:\Windows\ntbtlog.txt

    Вы всегда можете отменить изменения, используя те же инструкции, описанные выше, но на шаге 4 обязательно используйте эту команду: bcdedit /set bootlog No

    Хотя это руководство сосредоточено на Windows 10, но «журнал загрузки» доступен в течение многих лет, и Вы также можете использовать те же инструкции на Windows 8.1 и Windows 7.

    Источник

    Как посмотреть журнал событий в ОС Windows 10

    «Просмотр событий» — один из множества стандартных инструментов Виндовс, предоставляющий возможность просмотра всех событий, происходящих в среде операционной системы. В числе таковых всевозможные неполадки, ошибки, сбои и сообщения, связанные как непосредственно с ОС и ее компонентами, так и сторонними приложениями. О том, как в десятой версии Windows открыть журнал событий с целью его дальнейшего использования для изучения и устранения возможных проблем, пойдет речь в нашей сегодняшней статье.

    Просмотр событий в Виндовс 10

    Существует несколько вариантов открытия журнала событий на компьютере с Windows 10, но в целом все они сводятся к ручному запуску исполняемого файла или его самостоятельному поиску в среде операционной системы. Расскажем подробнее о каждом из них.

    Способ 1: «Панель управления»

    Как понятно из названия, «Панель» предназначена для того, чтобы управлять операционной системой и входящими в ее состав компонентами, а также быстрого вызова и настройки стандартных инструментов и средств. Неудивительно, что с помощью этого раздела ОС можно вызвать в том числе и журнал событий.

    1. Любым удобным способом откройте «Панель управления». Например, нажмите на клавиатуре «WIN+R», введите в строку открывшегося окна выполнить команду «control» без кавычек, нажмите «ОК» или «ENTER» для запуска.
    2. Найдите раздел «Администрирование» и перейдите в него, кликнув левой кнопкой мышки (ЛКМ) по соответствующему наименованию. Если потребуется, предварительно измените режим просмотра «Панели» на «Мелкие значки».

    Журнал событий Windows будет открыт, а значит, вы сможете перейти к изучению его содержимого и использованию полученной информации для устранения потенциальных проблем в работе операционной системы либо же банальному изучению того, что происходит в ее среде.

    Способ 2: Окно «Выполнить»

    И без того простой и быстрый в своем выполнении вариант запуска «Просмотра событий», который нами был описан выше, при желании можно немного сократить и ускорить.

    1. Вызовите окно «Выполнить», нажав на клавиатуре клавиши «WIN+R».
    2. Введите команду «eventvwr.msc» без кавычек и нажмите «ENTER» или «ОК».

    Способ 3: Поиск по системе

    Функцию поиска, которая в десятой версии Виндовс работает особенно хорошо, тоже можно использовать для вызова различных системных компонентов, и не только их. Так, для решения нашей сегодняшней задачи необходимо выполнить следующее:

      Нажмите по значку поиска на панели задач левой кнопкой мышки или воспользуйтесь клавишами «WIN+S».

  • Начните вводить в поисковую строку запрос «Просмотр событий» и, когда увидите в перечне результатов соответствующее приложение, кликните по нему ЛКМ для запуска.
  • Это откроет журнал событий Windows.

    Создание ярлыка для быстрого запуска

    Если вы планируете часто или хотя бы время от времени обращаться к «Просмотру событий», рекомендуем создать на рабочем столе его ярлык – это поможет ощутимо ускорить запуск необходимого компонента ОС.

    1. Повторите шаги 1-2, описанные в «Способе 1» данной статьи.
    2. Отыскав в списке стандартных приложений «Просмотр событий», кликните по нему правой кнопкой мышки (ПКМ). В контекстном меню выберите поочередно пункты «Отправить»«Рабочий стол (создать ярлык)».
    3. Сразу же после выполнения этих простых действий на рабочем столе Windows 10 появится ярлык под названием «Просмотр событий», который и можно использовать для открытия соответствующего раздела операционной системы.

    Заключение

    Из этой небольшой статьи вы узнали о том, как на компьютере с Windows 10 можно посмотреть журнал событий. Сделать это можно с помощью одного из трех рассмотренных нами способов, но если к данному разделу ОС приходится обращаться довольно часто, рекомендуем создать ярлык на рабочем столе для его быстрого запуска. Надеемся, данный материал был полезен для вас.

    Источник

    Где посмотреть журнал загрузки windows 10

    Технологии шагнули очень далеко вперед

    Как посмотреть журнал

    • Главная &nbsp / &nbspСтатьи &nbsp / &nbsp
    • Как посмотреть журнал

    Как посмотреть журнал

    Windows 10: как просмотреть журналы событий
    Windows?

    Что такое журнал событий

    Всё, что происходит на ПК под управлением ОС Windows (клик мыши, нажатие клавиши, запуск программы, etc…), – это события (events). Наиболее важные (с точки зрения Windows!) события (например, неполадки оборудования, приложений и системы) фиксируются операционной системой в так называемых журналах событий.

    Журналы событий можно использовать для устранения неполадок операционной системы и прикладного программного обеспечения

    Как просмотреть журналы событий Windows 10:

    • с помощью Панели управления:

    – нажмите кнопку Поиск в Windows (стилизованное изображение лупы справа от кнопки Пуск);

    – в строке поиска введите слово Панель;

    – в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Панель управления;

    – в диалоговом окне Все элементы панели управления нажмите Администрирование;

    – в диалоговом окне Администрирование нажмите Просмотр событий;

    – в диалоговом окне Просмотр событий откройте нужный журнал;

    • с помощью диалогового окна Выполнить:

    – нажмите клавишу с логотипом Windows («флажок» Microsoft) + клавишу R;

    – в текстовое поле диалогового окна Выполнить введите eventvwr.msc;

    – нажмите клавишу OK;

    • с помощью Поиска в Windows:

    – нажмите кнопку Поиск в Windows (стилизованное изображение лупы справа от кнопки Пуск);

    – в строке поиска введите слово журнал;

    – в появившемся списке (ниже заголовка Лучшее соответствие) нажмите Просмотр журналов событий

    • 0поделились
    • 0Facebook
    • 0Twitter
    • 0VKontakte
    • 0Google+
    • 0Odnoklassniki

    Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

    Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

    Как открыть журнал

    Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

    В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

    Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

    Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

    Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

    Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

    Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

    Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

    Как использовать содержимое журнала

    Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

    Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

    Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

    Очистка, удаление и отключение журнала

    На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

    Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

    for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

    Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

    wevtutil el | Foreach-Object

    При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

    Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

    Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

    Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

    Фильтруем журнал событий

    В разделе «Microsoft Windows» имеется подкатегория «Diagnostics-Performance», а в ней — операционный журнал, в котором есть категория задачи «Контроль производительности при загрузке» (рис. 1).


    Увеличить рисунок
    Рисунок 1

    Коды событий (Event ID ) в этой категории варьируются от 100 до 110. Просмотрев все события с кодом 100, можно выяснить, сколько времени требуется Windows на загрузку, начиная с самого первого запуска после установки. А проанализировав события в диапазоне от 101 до 110, можно узнать, в каких случаях загрузка замедлялась и почему.

    Можно, конечно, просматривать журнал «Diagnostics-Performance» вручную (например, отсортировать по возрастанию столбец «Код события»), но гораздо удобнее создать собственное настраиваемое представление. Это фильтр, который можно сохранить и использовать в дальнейшем для облегчения работы.

    1. Выберите опцию «Создать настраиваемое представление» из меню «Действие».
    2. В открывшемся диалоговом окне оставьте значение «Любое время» в поле «Дата» и отметьте флажками все опции в поле «Уровень события». Выберите опцию «По журналу», если она еще не выбрана, и раскройте список. В дереве разделов найдите категорию «Журналы приложений и служб — Microsoft — Windows – «Diagnostics-Performance» и поставьте флажок «Работает» (рис. 2).


    Увеличить рисунок
    Рисунок 2

    В поле «Включение или исключение кодов событий» введите 100 и нажмите «OK» – (рис. 3). События с кодом 100 показывают, сколько времени уходит на загрузку системы.


    Рисунок 3

    В диалоговом окне «Сохранить фильтр в настраиваемое представление», введите подходящее имя (например, «Boot Time» — Время загрузки) и нажмите «OK» — (см. рисунок 4).


    Рисунок 4

  • Далее нам нужно точно таким же образом создать еще одно настраиваемое представление, но в поле «Включение или исключение кодов событий» ввести на этот раз значения 101-110 и сохранить фильтр, например с именем «Замедление загрузки».
  • Узнаем продолжительность загрузки

    Чтобы выяснить, сколько Windows требуется времени на загрузку на вашем компьютере, выберите в левой части окна, созданный ранее фильтр Boot Time (Время загрузки) в разделе «Настраиваемые представления» и отсортируйте столбец «Дата и время» по возрастанию. Так вы сможете посмотреть, как изменялась продолжительность загрузки системы со дня ее установки (рис. 5).


    Увеличить рисунок
    Рисунок 5

    Из рисунка видно, что длительность самой первой загрузки моей Windows (дата ее установки) по состоянию на 15 марта 2010 года составила 44 498 миллисекунд — или, если разделить на 1000, примерно 45 секунд. Для первого запуска этот показатель нормальный, поскольку после установки система выполняет целый ряд задач: устанавливает драйверы, инициализирует программы в автозагрузке, настраивает профиль пользователя и так далее.

    По состоянию на 30 января 2011 года время загрузки возросло, и составило 115652 ms, т.е. почти 2 минуты. Это много.

    Настраиваемое представление «Время загрузки» предоставляет информацию обо всех случаях загрузки системы за время ее существования. Иногда загрузка затягивается по вполне объяснимым причинам — из-за установки обновлений, драйверов или программного обеспечения.

    На вкладке «Подробности» процесс загрузки описывается во всех деталях, однако для анализа продолжительности загрузки достаточно будет только трех параметров на вкладке «Подробности» (рис 6).


    Увеличить рисунок
    Рисунок 6

    Рассмотрим суть значений этих параметров подробнее.

    • Параметр «MainPathBootTime » обозначает временной интервал между возникновением на экране анимированного логотипа Windows и появлением рабочего стола. В этот момент систему уже можно использовать, но в фоновом режиме продолжается загрузка низкоприоритетных задач.
    • Параметр «BootPostBootTime » указывает, через какой промежуток времени после появления рабочего стола системой можно начинать пользоваться в полном объеме.
    • Параметр «BootTime » — это та же самая величина, что и на вкладке «Общие» обозначена как «Время загрузки». Она представляет собой сумму параметров «MainPathBootTime» и «BootPostBootTime».

    И наконец, мы подошли к самому важному и интересному.

    Диагностируем медленную загрузку

    Чтобы выяснить причину замедления загрузки Windows, выделите фильтр «Замедление загрузки» в левой части окна в разделе «Настраиваемые представления» и отсортируйте столбец «Код события» (Event ID) по возрастающей. Каждый код соответствует определенному событию, увеличивающему продолжительность загрузки.

    Всего существует десять кодов событий такого рода, мы же в этой статье рассмотрим только некоторые из них.

    • Код события 101. Событие 101 возникает, когда приложение загружается дольше обычного. Это часто связано с установкой обновлений. Если замедление загрузки наблюдается эпизодически, ничего страшного в этом нет. Но если какое-то приложение всякий раз загружается слишком долго или время замедления оказывается ненормально большим, тут нужно уже задуматься.
    • Код события 102. Событие 102 свидетельствует о замедлении инициализации драйвера. Это, опять же, может быть вызвано обновлением, но если ситуация возникает регулярно или замедление оказывается серьезным, стоит установить более свежую версию драйвера. Если таковой не имеется, попробуйте удалить и переустановить драйвер.
    • Код события 103. Событие 103 возникает при замедлении загрузки служб. Иногда это случается, но если это происходит регулярно, попробуйте изменить тип запуска службы на «Автоматически отложенный запуск» или «Вручную» в консоли «Службы».
    • Код события 106. Событие 106 свидетельствует о том, что выполнение фоновой операции по оптимизации затянулось. Поскольку оптимизация — операция продолжительная, ничего страшного в этом нет.
    • Код события 109. Событие 109 возникает при замедлении инициализации устройства. Если это явление редкое, беспокоиться не стоит. Но если инициализация затягивается всякий раз, не забывайте регулярно делать резервное копирование и будьте готовы к замене проблемного устройства.

    У меня, например, обнаружились два события. Одно с кодом ID 108 :


    Увеличить рисунок
    Рисунок 7

    Другое с кодом 109:


    Увеличить рисунок
    Рисунок 8

    Столь маленькое время задержки на рисунках 7 и 8 не трагично, они приведены тут лишь для наглядности.

    Проведенный таким образом анализ и элементарные навыки пользования поиском в сети Интернет, позволят вам составить представление о причинах увеличения времени загрузки операционной системы.

    Как включить лог загрузки в Windows 10

    Чтобы текстовый файл ntbtlog.txt появился в папке Windows, нужно его сгенерировать. По умолчанию в Windows 10 отключен процесс создания данного файла при загрузке компьютера.

    Включить создание файла журнала загрузки можно двумя способами:

    • Через настройки конфигурации системы. Чтобы это сделать, необходимо запустить утилиту “Конфигурация системы”. Для запуска этой утилиты нажмите на клавиатуре сочетание Win+R, чтобы открылось окошко “Выполнить”. В нем пропишите команду для запуска утилиты — msconfig. Откроется окно “Конфигурация систему”, где нужно сверху переключиться на вкладку “Загрузка” и далее в разделе “Параметры загрузки” установить галочку у пункта “Журнал загрузки”. После этого нажмите “Применить” и “ОК”, чтобы изменения вступили в силу. Появится сообщение с предложением перезагрузить компьютер. Нажмите “Перезагрузка”, чтобы сразу выполнить создание лога загрузки в папке Windows. В таком случае компьютер перезагрузится. Если нажать “Выход без перезагрузки”, тогда лог загрузки будет создан после следующей перезагрузки компьютера.
    • Через командную строку. Второй способ предлагает использование командной строки. Чтобы создать через нее лог загрузки, запустите командную строку от имени администратора и используйте в ней команду bcdedit. После этой команды в окне консоли командной строки появятся сведения обо всех операционных системах, установленных на компьютере, и их загрузочных записях. Если на компьютере установлена одна операционная система Windows 10 (как на примере на скриншоте), тогда будет отображаться два списка элементов — диспетчер загрузки и загрузка Windows. Необходимо обратиться к загрузке Windows, у которой имеется идентификатор current. Пропишите в командной строке следующее: bcdedit /set bootlog Yes

    Важно: Если у вас идентификатор отличный от , необходимо заменить на него часть команды, используемой выше.
    После выполнения этой команды необходимо перезагрузить компьютер, чтобы лог загрузки был создан в папке Windows.

    Журналы Windows

    В Журналах Windows операционная система регистрирует и сохраняет все происходящие события, регистрирует ошибки, информационные сообщения и предупреждения программ, а также информацию о работе пользователей и операционной системы.

    Чтобы перейди к Журналам Windows, откройте Панель управления / Администрирование / Управление компьютером.

    В инструменте «Управление компьютером» перейдите в Служебные программы / Просмотр событий / Журналы Windows.

    Журналы разнесены по категориям. Например, журналы приложений находятся в категории Приложения, а системные журналы – в категории Система. Если на компьютере настроен аудит событий безопасности, например, аудит событий входа в систему – тогда события аудита регистрируются в категории Безопасность.

    Конечно же информация, которая отображается в журналах событий Windows предназначена для системных администраторов, и прочесть её обычному пользователю не просто. Тем не менее, если внимательно посмотреть, то в журнале Приложение, можно увидеть события, которые сгенерированы приложениями в хронологической последовательности.

    А также данные о дате и времени входа в операционную систему и выхода из неё. А другими словами включения или отключения ПК. Такие данные можно увидеть в журналах Безопасность и Система.


    Планировщик заданий и привязка задачи к событию

    Используя Журналы Windows можно привязать выполнение установленного задания к определённому событию журнала. Например, можно настроить отправку сообщения на вашу электронную почту при каждом входе Windows в учётную запись.

    Так, у меня есть событие журнала Безопасность о входе в систему. Код такого события 4624. Чтобы привязать к каждому такому события выполнение задания, кликните на нём правой кнопкой мыши и выберите «Привязать задачу к событию».

    Далее идите по пунктам Мастера создания простой задачи, и в пункте Действие выберите функцию «Отправить сообщение электронной почты».

    Введите адреса для отправки сообщений, их тему и текст, а также сервер SMTP вашего почтового сервиса.

    Аналогичным образом можно создать привязанную к событию журнала задачу используя планировщик заданий. Для этого, перейдите в Планировщик заданий и выберите «Создать простую задачу…».

    И настройте её используя тот же Мастер создания простой задачи.

    Здесь показано как настроить отправку сообщения на вашу электронную почту при каждом входе Windows в учётную запись. Но таким же образом можно настроить и выполнение других задач, на любое событие из журнала.

    >
    Журнал действий пользователей

    Отображение изменений в журнале действий

    В журнале действий пользователей можно посмотреть изменения в полях карточек за выбранный период.

    Рассмотрим на примере изменений в карточке занятия «Английский для детей»

    Нажмите – (редактировать) >> Журнал изменений

    Перед вами откроется журнал изменений, внесенных в это занятие

    Вверху перечислены поля, контролируемые в этом модуле:

    Количество бонусов, Ставка по умолчанию для преподавателя (ID), Ответственный(ая) (ID), Макс. время до начала занятия для записи, Мин. время до начала занятия для записи, Дата завершения, Дата начала, Филиал, Фото, URL с информацией о предмете

    Ниже – список изменений

    Внесите свои изменения в карточку занятия.

    Например, добавим новые значения:
    Количество бонусов – 50
    Филиал – Марьино
    Сменим ответственного с Сергей на Наталья

    В журнале изменений отобразились все изменения, внесенные в эту карточку

    Чтобы посмотреть изменения, внесенные во все карточки, перейдите в модуль Журнал действий

    В журнале действий отображается:
    — дата изменения
    — модуль
    — карточка модуля
    — пользователь, который внес изменения
    — тип действия в карточке (изменение, удаление, создание)
    — описание измененных полей

    Вы можете отфильтровать действия. Нажмите на фильтр , выберите Базовый поиск или Расширенный поиск , нажмите Найти

    Журналы событий Windows

    Что такое журнал событий Windows?

    Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений. Когда возникают подобные типы событий, система Windows создает записи в журналах событий. В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

    Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами. Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей — событий Windows.

    Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий — управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

    Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году. Начиная с этой версии в любой Windows присутствуют 3 основных журнала — журнал Приложения, журнал Система и журнал Безопасность. В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

    Как просматривать журналы событий?

    Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

    Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

    Преимущества Event Log Explorer для руководителей

    Что такое служба «Журнал событий Windows»?

    Служба (сервис) «Журнал событий Windows» — это специальная служба (сервис) для управления событиями и журналами событий. Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п. По умолчанию, после установки системы Windows служба «Журнал событий Windows» включена и запускается автоматически. Не стоит останавливать или выключать эту службу. Остановка службы «Журнал событий Windows» может ухудшить стабильность и безопасность системы.

    Что такое файлы журналов событий Windows?

    Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате. Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

    Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой «Журнал событий Windows» и их невозможно непосредственно открыть на живой, работающей системе. Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру. По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге
    «C:\Windows\System32\winevt\Logs\»
    Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги:

    Запустите приложение Просмотр событий.

    Нажмите «Открыть сохраненный журнал» в панели «Действия», расположенной в правой части окна.

    Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку «Открыть» и его содержимое отобразиться в области просмотра событий в приложении.

    Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем «Просмотр событий». Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

    Что такое журнал событий Приложения?

    Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой. Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения. Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях возникающих при работе SQL-сервера, таких как «недостаточно памяти», «сбой при резервном копировании базы данных» и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений. Приложения идентифицируются как разные «источники» в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников. Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

    Что такое журнал событий Система?

    Журнал событий Система содержит события, сгенерированные системными компонентами. Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий. Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows. Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником. Журнал событий Система — важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

    Что такое журнал событий Безопасность?

    Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д. Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен. Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
    Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события. Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

    Источник

    You may also like...