Какие службы в windows нужны, а какие можно отключить
Содержание:
- Введение
- История включения компьютера в журнале событий Windows
- Очистка, удаление и отключение журнала
- Как узнать КОГДА ВКЛЮЧАЛИ КОМПЬЮТЕР в последний раз в Windows 10
- Информация о событиях
- Как искать в журналах событий интересующие сведения
- Посмотреть логи windows PowerShell
- Как использовать?
- Как открыть журнал, посмотреть ошибки и где он находится
- Способы очистки
- Просмотр журнала событий Windows
- Как очистить журнал событий в Windows
- Просмотр логов через Параметры
- Выводы
- Заберите ссылку на статью к себе, чтобы потом легко её найти 😉
Введение
В своей статье я буду считать, что вы установили и настроили elk stack по моему материалу. Если это не так, то сами подредактируйте представленные конфиги под свои реалии. По большому счету, все самое основное по сбору логов windows серверов уже дано в указанной статье. Как минимум, там рассказано, как начать собирать логи с помощью winlogbeat. Дальше нам нужно их обработать и нарисовать функциональный дашборд для быстрого анализа поступающей информации.
Для того, чтобы оценить представленные мной графики и дашборды, рекомендую собирать логи сразу с нескольких серверов. Так можно будет оценить представленную информацию на практике. С одним сервером не так наглядно получится.
С визуализацией данных из windows журналов проблем нет никаких. Winlogbeat из коробки умеет парсить логи и добавлять все необходимые метаданные. Со стороны logstash не нужны никакие фильтры. Принимаем все данные как есть с winlogbeat.
История включения компьютера в журнале событий Windows
Windows Event Viewer — это отличный инструмент Windows, который сохраняет все системные события, происходящие на компьютере. Во время каждого события средство просмотра событий регистрирует запись. Средство просмотра событий обрабатывается службой журнала событий, которую нельзя остановить или отключить вручную, поскольку это базовая служба Windows.
Средство просмотра событий также регистрирует время начала и окончания службы журнала событий. Мы можем использовать это время, чтобы понять, когда был запущен или выключен компьютер.
События службы журнала событий регистрируются с двумя кодами событий. Идентификатор события 6005 указывает, что служба журнала событий была запущена, а идентификатор события 6009 указывает, что службы журнала событий были остановлены. Давайте пройдем через весь процесс извлечения этой информации из журнала Windows.
- Откройте журнал Windows (Event Viewer). Для этого нажмите клавиши Win + R и в появившемся окне введите eventvwr.
Просмотр событий в журнале событий Windows - На левой панели откройте Журналы Windows —> Система.
Система просмотра событий в журнале событий Windows - В средней панели вы увидите список событий, которые произошли во время работы Windows. Наша задача — отобразить только три события. Давайте сначала отсортируем журнал событий по идентификатору события. Нажмите на метку идентификатора события, чтобы отсортировать данные по столбцу идентификатора события.
Просмотр событий Сортировка событий - Если журнал событий большой, сортировка не будет работать. Вы также можете создать фильтр из панели действий на правой стороне. Просто нажмите «Фильтровать текущий журнал».
- Введите 6005, 6006 в поле Идентификаторы событий, помеченные как <Все идентификаторы событий>. Вы также можете указать период времени в разделе Журнал.
Журнал запуска ПК Завершение журнала просмотра событий Фильтр Журнал
- Событие с кодом 6005 будет помечено как «Служба журнала событий была запущена». Это синоним запуска системы.
- Событие с кодом 6006 будет помечено как «Журнал событий был остановлен». Это синоним выключения системы.
Если вы хотите дополнительно изучить журнал событий, вы можете просмотреть код события 6013, который будет отображать время работы компьютера, а код события 6009 указывает информацию о процессоре, обнаруженную во время загрузки. Событие с кодом 6008 сообщит вам, что система запустилась после того, как она не была выключена должным образом.
Очистка, удаление и отключение журнала
Пользователи часто спрашивают, как удалить журнал ошибок в Windows 7? Удалить историю можно с помощью приложения Telamon:
- Скачать утилиту с проверенного сайта разработчиков программного обеспечения.
- Произвести установку программы в корень локального тома.
- Далее в главном окне найти кнопку «Smart Scan».
- После того, как будет произведено сканирование и оптимизация, пользователю утилита предложит удалить файлы лога-событий.
- В заключении нужно нажать на кнопку «Начать».
Очистка через штатную утилиту журнала событий:
- Требуется нажать клавиши WIN+R и в поисковой строке написать код «eventvwr».
- После того, как будет загружена консоль сборщика, требуется выделить один из логов и щелкнуть по нему правой кнопкой мыши.
- На экране появится контекстное меню, где нужно выбрать параметр «Очистить».
- Появится окно предупреждения о том, что все данные будут стерты, и в заключении необходимо щелкнуть «ОК».
Деактивация журнала действий в Windows 7 производится с помощью отключения соответствующей службы в программе Ashampoo Win Optimizer:
- Нужно скачать утилиту с проверенного сайта в интернете.
- Затем произвести инсталляцию ПО в корень локального тома.
- После этого нужно в главном окне программы найти пункт «Все модули».
- В разделе «Производительность» выбрать «Контроль над привязкой программ и работы служб».
- В списке «Службы» найти пункт «Сборщик событий».
- В левой колонке на панели инструментов щелкнуть «Отключить».
Программа Ashampoo поможет эффективно произвести отключение не только самого сборщика событий, но и всех зависимых служб в автоматическом режиме
Многие спрашивают, как посмотреть журнал событий в OS Windows 7. Сделать это можно через командную строку или с помощью утилиты «Выполнить». Журнал событий Windows помогает обнаружить ошибки ПО и вовремя их устранить. Открыть данный системный компонент можно с помощью командной строки или утилиты «Выполнить». Если журнал не запускается, необходимо проверить состояние зависящих служб. Рекомендуется периодически чистить логи, так как при достижении максимального объема запись будет остановлена.
Как узнать КОГДА ВКЛЮЧАЛИ КОМПЬЮТЕР в последний раз в Windows 10
18:37, 19 мая 2017 21 0 2159
В данном выпуске мы ответим на вопрос: «Как узнать когда включали компьютер в последний раз в Windows 10?». Это необходимо если вы не единственный пользователь компьютера и хотите быть уверены, что ваш компьютер надежно защищен.
Многие пользователи компьютеров на операционной системе Windows 10 защищают вход в свою учетную запись паролем.
Компания Microsoft сразу после установки системы предлагает на выбор несколько способов защиты учетной записи, начиная от простейших PIN-кодов, заканчивая авторизацией по сложным паролям. Но даже такая защита не всегда надежна, и у пользователя может возникнуть сомнение, а не «копается» ли кто-нибудь в его отсутствии под его профилем в компьютере.
Есть пара вариантов, как узнать, когда в последний раз включался компьютер.
Внесение изменений в реестр
Самый простой способ контролировать последнее включение компьютера – это внесение изменения в реестр, чтобы включить информационное окно при загрузке компьютера. Перед тем как приступать к описанным в данном выпуске действиям, рекомендую Вам создать точку восстановления Windows, которая может потребоваться, если вдруг возникнут проблемы в работе компьютера.
Когда точка восстановления будет создана, переходим к редактированию реестра:
Для этого нажмите на клавиатуре сочетание клавиш Windows+R, чтобы открылось окно «Выполнить». В нем пропишите команду regedit и нажмите «ОК», после этого откроется редактор реестра;
В левой части окна вы увидите структуру реестра. В ней нужно проследовать по следующему пути:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System
Оказавшись в папке System, нажмите в правой части окна на любом пустом месте правой кнопкой мыши
Появится меню, в котором нужно выбрать пункты «Создать» — «Параметр DWORD 32 бита».
Обратите внимание: Выбирать требуется именно «Параметр DWORD 32 бита», независимо от того, какая версия операционной системы у вас установлена, в том числе на 64-разрядной версии.
Назовите созданный параметр именем DisplayLastLogonInfo;
После этого нажмите дважды левой кнопкой на новый параметр, чтобы открылись его настройки. Необходимо установить для него значение «1» и убедиться, что система исчисления назначена «Шестнадцатеричная», после чего можно нажимать «ОК».
На этом можно считать настройку законченной. Закройте реестр и перезагрузите компьютер, чтобы изменения вступили в силу.
После загрузки компьютера вы увидите окошко, в котором содержится информация, когда в последний раз включали компьютер. Такое окно будет появляться в будущем каждый раз после перезагрузки компьютера.
Обратите внимание! Данное Информационное окно, отображающее активность пользователя, позволяет увидеть не только, когда в последний раз был выполнен успешный вход в учетную запись, но и отображает, имели ли место быть в последнее время неудачные попытки ввода пароля
Это важно, если у вас имеются подозрения, что кто-то старается подобрать пароль от вашего профиля
Включение информационного окна в редакторе локальной групповой политики
Второй вариант узнать, когда в последний раз включали компьютер, это воспользоваться редактором локальной групповой политики. Сложность здесь в том, что данный редактор доступен только на версиях операционной системы Windows уровня PRO или Enterprise, тогда как на большинстве домашних компьютеров установлена версия Windows 10 Home.
Но, если у вас более продвинутый вариант операционной системы, для просмотра времени последнего включения компьютера, нужно выполнить следующие действия:
- Запустите редактор локальной групповой политики. Проще всего это сделать из строки «Выполнить» — нажмите на клавиатуре Windows+R, чтобы ее запустить, а далее используйте команду gpedit.msc;
- В левой части открывшегося окна редактора проследуйте по пути:
Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Параметры входа Windows
- Среди доступных в правой части окна параметров, нажмите дважды левой кнопкой мыши на вариант «Отображать при входе пользователя сведения о предыдущих попытках входа»;
- Откроется окно, в котором нужно установить галочку около варианта «Включено» и далее сохранить действия, нажав «ОК».
На этом все, со следующего запуска компьютера вы будете знать о предыдущих удачных и неудачных попытках войти под логином и паролем вашего пользователя.
Информация о событиях
Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:
- Имя журнала — имя файла журнала, куда была сохранена информация о событии.
- Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
- Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
- Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
- Категория задачи, ключевые слова — обычно не используются.
- Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.
Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.
Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).
Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.
Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.
Как искать в журналах событий интересующие сведения
Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.
Как пользоваться функцией фильтрации
Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».
Далее заполняем вкладку «Фильтр»:
- Из списка «Дата» выбираем последние 7 дней.
- В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
- В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
- Указываем коды событий (event ID), о которых собираем сведения.
- Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).
Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:
Читать его стало гораздо удобнее.
Как создавать настраиваемые представления
Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.
Чтобы создать настраиваемое представление, сделайте следующее:
- Выделите в разделе каталогов интересующий журнал.
- Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
- Заполните настройки окошка «Фильтр» по примеру выше.
- Сохраните фильтр под любым именем в выбранный каталог.
В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.
Источники, уровни и коды событий. Как понять, что означает конкретный код
Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.
Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:
- Критическая ошибка указывает на самый серьезный сбой, который привел к отказу породившего его источника без возможности самостоятельного восстановления. Пример внешнего проявления такого сбоя – синий экран смерти Windows (BSoD) или внезапная перезагрузка компьютера.
- Ошибка тоже указывает на сбой, но с менее критичными последствиями для работы системы. Например, вылет программы без сохранения данных из-за нехватки ресурсов, ошибки запуска служб и т. п.
- Предупреждение – запись, сообщающая о неполадках, которые негативно влияют на работу системы, но не приводят к сбоям, а также о возможности возникновения ошибок в дальнейшем, если не устранить их причину. Пример: приложение запускалось дольше, чем обычно, что привело к замедлению загрузки системы.
- Уведомление – обычное информационное сообщение, например, о том, что операционная система приступила к установке обновления.
- Успешный отчет (аудит) – сообщение, информирующее об успехе какого-либо события. Примеры: программа успешно установлена, пользователь успешно вошел в учетную запись.
- Неуспешный отчет (аудит) – сообщение о неуспешном завершении операции. Например, установка программы не была завершена из-за отмены действия пользователем.
Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.
Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс Он хоть и англоязычный, но пользоваться им несложно.
Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.
Посмотреть логи windows PowerShell
Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду
Get-EventLog -Logname «System»
В итоге вы получите список логов журнала Система
Тоже самое можно делать и для других журналов например Приложения
Get-EventLog -Logname «Application»
небольшой список абревиатур
- Код события — EventID
- Компьютер — MachineName
- Порядковый номер события — Data, Index
- Категория задач — Category
- Код категории — CategoryNumber
- Уровень — EntryType
- Сообщение события — Message
- Источник — Source
- Дата генерации события — ReplacementString, InstanceID, TimeGenerated
- Дата записи события — TimeWritten
- Пользователь — UserName
- Сайт — Site
- Подразделение — Conteiner
Как использовать?
Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это вовсе не так, ведь данный инструмент невероятно полезен в отдельных ситуациях.
Например, если появляется синий экран или ваша система сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно быстро узнать в журнале событий системы. Если ошибка связана с обновлением драйверов, то там будет указано оборудование, с которым возникает проблема, и эффективные пути для ее решения.
Для упрощения поиска нужного отчета нужно запомнить время возникновения ситуации и, исходя из временных рамок, искать ошибку.
Также еще одной важной функцией является запись загрузки операционной системы, когда указывается ее начало, окончание и длительность. Более того, к выключению компьютера можно привязать необходимость ввода причины
Она будет отображаться в нашем журнале. Это особенно полезно для администраторов серверов, ведь им важна каждая деталь.
Не удалось устранить проблему?Обратитесь за помощью к специалисту!
Как открыть журнал, посмотреть ошибки и где он находится
Чтобы отыскать журнал, где хранятся отчеты об ошибках нужно выполнить следующие действия:
- Требуется перейти на рабочий стол и найти ярлык с наименованием «Компьютер.
- После этого откроется «Проводник», где следует выбрать раздел локальных дисков.
- Пользователю нужно выбрать системный том и найти директорию «Windows».
- В данной папке следует отыскать каталог с наименованием «System32».
- Затем требуется прокрутить список вниз и найти папку «Winevt».
- В директории «Log» будут находиться отчеты, которые имеют расширение «EVTX».
Температура процессора Windows 10: как посмотреть CPU temperature
Чтобы владелец персонального компьютера смог проверить отчеты, необходимо воспользоваться специальной штатной утилитой «eventvwr». Только с помощью данной утилиты можно осуществить просмотр отчетов и узнавать из-за чего произошли неполадки.
К сведению! Открыть файлы с расширением «EVTX» с помощью встроенного текстового редактора невозможно.
При помощи консоли
Открыть журнал сборщика событий можно с помощью консоли системной отладки – PowerShell:
- Необходимо зайти в стартовое окно и в поисковой строке ввести исполняемый код «PowerShell».
- После этого в диалоговом окне выбрать пункт «Запустить с расширенными правами доступа».
- После загрузки консоли отладки следует ввести исполняемую команду с наименованием «eventvwr».
- Затем на экране отобразится консоль сборщика событий.
Открытие сборщика производится с помощью PowerShell
Через панель управления
Посмотреть логи в Windows 10 можно через классическую панель управления и сделать это можно следующим образом:
- Необходимо войти в стартовое меню и в поисковой строке прописать запрос «Панель управления».
- Далее открыть пункт «Безопасность» и прокрутить список вниз.
- Затем нужно перейти в пункт «Администрирование».
- В списке штатных инструментов найти компонент «События».
- Далее откроется окно «Журнал событий», где следует выбрать пункт «Посмотреть события».
- В левой колонке появится список из нескольких пунктов: «Программы», «Установка» и «Параметры ОС», «Перенаправленные логи». Чтобы посмотреть отчет, нужно щелкнуть по одному из компонентов и в главном окне выбрать пункт «Подробнее».
Функция поиска через меню «Пуск»
Для запуска процесса необходимо открыть стартовое меню и кликнуть мышкой по поисковой строке. Далее прописать ключевой запрос «Журнал событий», после чего в верхней части экрана появятся результаты поиска.
Способы очистки
Существует пять основных способов, с помощью которых можно очистить журнал событий:
- Ручной способ.
- «Батник» – специальный файл с расширением «*.bat».
- Через командную консоль «cmd».
- Через «PowerShell».
- Утилита CCleaner.
Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.
Очистка ручным способом
В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.
Все что нужно, это:
- Открыть журнал событий, как мы это делали ранее в начале статьи.
- Нажать по нужному разделу правой мышкой и выбрать пункт «Очистить…».
Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.
Не удалось устранить проблему? Обратитесь за помощью к специалисту!
Создание и использование bat файла
Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:
- Для начала нужно создать обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
- Вставляем в него специальный код .
- В верхнем меню выбираем «Файл – Сохранить как».
- Указываем любое имя. В конце имени указываем расширение «.bat». В графе «Тип файла» выбираем «Все файлы» и нажимаем «Сохранить».
- Теперь наш файл полностью готов к запуску. Щелкаем по нему правой мышкой и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.
Через командную консоль
Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «cmd».
- Щелкам по значку поиска и в открывшуюся строку вводим фразу «командная».
- В результатах поиска видим «Командная строка», нажимаем по ней правой мышкой и запускаем от имени администратора.
- Далее в консоль вставляем код, который находится внутри кавычек «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″», нажимаем «Enter» и ждем окончания процесса.
После этого все отчеты удалятся.
Через PowerShell
В операционной системе Windows 10 предусмотрена более подвинутая версия командной строки — «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.
Давайте разберем все по шагам:
- Нажать на «поиск» и ввести фразу «power». В результатах поиска отобразиться «PowerShell», нужно нажать на него правой мышкой и запускаем с правами администратора.
- В появившееся окно вводим команду внутри кавычек «wevtutil el | Foreach-Object », жмем «Enter» и ожидаем окончание процесса.
Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.
Программа CCleaner
Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.
- В первую очередь ее нужно скачать, установить и запустить.
- Переходим в раздел «Очистка» и во вкладке «Windows» устанавливаем галочку напротив нужного нам пункта.
- Начинаем процесс.
Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.
Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.
Профессиональная помощь
Если не получилось самостоятельно устранить возникшие неполадки, то скорее всего, проблема кроется на более техническом уровне. Это может быть: поломка материнской платы, блока питания, жесткого диска, видеокарты, оперативной памяти и т.д.
Важно вовремя диагностировать и устранить поломку, чтобы предотвратить выход из строя других комплектующих. В этом вам поможет наш специалист
В этом вам поможет наш специалист.
Это бесплатно и ни к чему не обязывает. Мы перезвоним Вам в течении 30 мин.
Просмотр журнала событий Windows
В панели справа предлагается три раздела: Настраиваемые представления, Журналы Windows и Журналы приложений и служб.
В разделе Настраиваемые представления перечислены все определенные в текущей системе виды событий (которых более подробно рассматриваются чуть позже). В случае выполнения фильтрации в каком-то из журналов событий или создания нового представления событий, новое представление сохраняется именно в этом разделе.
В разделе Журналы Windows отображается несколько подразделов, четыре из которых представляют основные журналы, которые ведет сама система.
В журналы событий Приложение и Система следует заглядывать регулярно для своевременного выявления любых существующих проблем и предупреждений о том, что какие-то проблемы могут появиться в будущем. Журнал Безопасность не является важным для каждодневной процедуры обслуживания. В него нужно заглядывать только при наличии подозрений в нарушении безопасности компьютера, например, для выяснения того, кто входит в систему.
В журнале Система фиксируются ошибки драйверов устройств, но в Windows 7 доступны и другие инструменты, позволяющие более простым образом изучать проблемы с устройствами. Например, диспетчер устройств, который, отображает значок для тех устройств, с которыми возникли проблемы, и позволяет просматривать описание этих проблем, открывая ведомости свойств устройств. Также есть утилита Сведения о системе (Msinfo32.exe), которая отражает сведения обо всех неполадках с оборудованием в разделах Сведения о системе > Аппаратные ресурсы > Конфликты и совместное использование и Сведения о системе > Компоненты > Устройства с неполадками.
При выборе того или иного журнала в центральном окне появляется список всех доступных в данном журнале событий вместе с информацией о дате и времени, когда произошло каждое событие, его источнике, типе (Сведения, Предупреждение или Ошибка) и другими подобными сведениями. Ниже перечислены основные интерфейсные изменения и новые функциональные возможности, которые появились в оснастке Просмотр событий в Windows.
- В панели Область просмотра основные данные о событиях теперь отображаются на вкладке Общие, а дополнительные более конкретные — на вкладке Подробности. Эту панель можно включать и выключать, выбирая в меню Вид пункт Область просмотра.
- Данные о событиях теперь хранятся в формате XML. Просматривать их схему можно, выбирая переключатель Режим XML на вкладке Подробности внутри панели Область просмотра.
- Команда Фильтр теперь позволяет генерировать запросы в формате XML.
- Щелчок на ссылке Создать настраиваемое представление теперь позволяет создавать новое представление на основании того или иного журнала событий, конкретного типа событий, идентификатора события и т.д.
- К событиям теперь можно привязывать задачи, выполняя щелчок сначала на интересующем событии, а потом на ссылке Привязать задачу к событию и затем создавая с помощью соответствующего мастера нужную задачу, которая предусматривает либо запуск какой-то программы или сценария, либо отправку электронного сообщения при каждом возникновении данного события.
- Избранные события теперь можно сохранять в файле формата Event File (.elf).
Наиболее распространенные сферы деятельности, специально для которых созданы профильные программные продукты. — это регламентированный учёт, торговый и складской учёт, управленческий учёт и комплексные решения
В разделе Журналы приложений и служб перечисляются программы, компоненты и службы, для которых поддерживается стандартный формат регистрации событий, что является новинкой в Windows 7. Раньше журналы всех элементов в этом разделе сохранялись в отдельных текстовых файлах, к которым нельзя было получать доступ в более старых версиях оснастки Просмотр событий кроме как путем специального открытия журнального файла.
Как очистить журнал событий в Windows
В этом посте показано, как очистить файлы журнала событий с помощью пользовательского интерфейса средства просмотра событий или командной строки. Вы также можете удалить все или даже выбранные файлы журнала с вашего Windows/Server, выполнив шаги, изложенные в этом руководстве.
1] Удалить журнал событий, используя программу просмотра событий
Нажмите кнопку «Пуск», затем введите eventvwr.msc или Просмотр событий . Когда вы увидите значок, щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора», чтобы запустить программу просмотра событий. Наконец, дважды щелкните по папкам на левой панели, щелкните правой кнопкой мыши по событиям, которые вы хотите удалить, и выберите Очистить журнал . Это все файлы журнала для этого раздела. Вы также можете выбрать файл журнала и затем нажать Очистить журнал , который вы видите на правой боковой панели.
2] Очистить выбранные журналы событий с помощью инструмента wevtutil
Лично я люблю использовать Командную строку вместо обычных способов ведения дел. В этом случае мы поговорим о том, как очистить Журнал событий с помощью командной строки, прежде чем касаться другого параметра.
Нажмите кнопку «Пуск», затем введите « cmd.exe », и оттуда вы увидите значок CMD. Щелкните правой кнопкой мыши значок и выберите «Запуск от имени администратора», чтобы запустить командную строку.
Следующим шагом является ввод « wevtutil el » во вновь открытое окно командной строки и убедитесь, что вы делаете это без кавычек. Нажмите клавишу Enter на клавиатуре, и через некоторое время вы увидите список всех журналов ошибок.
Наконец, введите wevtutil cl + имя журнала , который вы хотите удалить. Эта опция позволяет вам очистить только те из них, которые вам не нужны, поэтому не ждите, что она очистит все одновременно.
wevtutil — это встроенный инструмент, который позволяет вам получать информацию о журналах событий и издателях. Эту команду также можно использовать для установки и удаления манифестов событий, для выполнения запросов, а также для экспорта, архивирования и очистки журналов. Вы можете прочитать больше об этом инструменте на docs.microsoft.con.
3] Удалите все файлы журнала событий, используя файл .CMD
Чтобы все очистить, запустите программу «Блокнот», затем скопируйте и вставьте следующую информацию, полученную из MSDN:
@echo off FOR/F «токены = 1,2 *» %% V IN (‘bcdedit’) DO SET adminTest = %% V IF (% adminTest%) == (Доступ) Перейти к noAdmin для/F «токены = *» %% G в («wevtutil.exe el») DO (вызов: do_clear «%% G») эхо. Логи событий эха были очищены! Перейти к концу : do_clear очистка эха% 1 wevtutil.exe cl% 1 goto: eof : NoAdmin
Обязательно сохраните данные в виде файла .CMD, затем, наконец, щелкните правой кнопкой мыши сохраненный файл и выберите «Запуск от имени администратора». Оттуда командная строка должна запуститься сама по себе, и все, что вам нужно сделать, это позволить ей закончить свою работу.
Надеюсь, это поможет!
Просмотр логов через Параметры
Логи отображают весь список исправлений с их статусами, действиями (даже если были неудачные попытки установки), датой и временем их обработки.
1. Вызовите Параметры и посетите раздел «Обновления, безопасность».
Здесь отображается вся информация об операциях и попытках обработки апдейтов.
Больше сведений получите, используя PowerShell.
2. Выполните следующий код: Get-WindowsUpdateLog для импорта данных в текстовый формат, в вид, который проще воспринимать визуально.
3. Откройте текстовый документ WindowsUpdate.log, расположенный на Рабочем столе.
На сайте Microsoft можно отыскать пояснения к основным понятиям, ведь большинство записей рядовому пользователю незнакомы. https://support.microsoft.com/ru-ru/help/902093/how-to-read-the-windowsupdate-log-file
Выводы
Не обязательно устанавливать программы себе на компьютер или запускать какие-то другие внешние сканеры сайта, которые ничего не знают ни о сервере, ни о том, как он работает, и ничего не умеют, кроме как засыпать сервер запросами и отследить время между ответом и запросом… ну и походить по всем встреченным на сайте ссылкам. Первым делом хорошо бы найти лог ошибок сервера, посмотреть и убедиться, что сервер работает без ошибок, как собственно и сам сайт (особенно, если сайт работает под управлением какой-нибудь CMS с кучей фильтров, плагинов и на каком-нибудь хитром шаблоне, написанном для облегчения создания сайта неопытным пользователем так, чтобы всё сложное выполнял бы за пользователя сервер и браузер несчастного пользователя, который по какой-то нелепой случайности решил посмотреть на такой сайт).