Цель работы: изучить средство просмотра событий Windows.
¶ Краткие теоретические и учебно-методические материалы по теме лабораторной работы:
Средство просмотра событий Windows показывает журнал приложений и системных сообщений, включая ошибки, информационные сообщения и предупреждения. Это полезный инструмент для устранения всевозможных проблем с Windows.
Обратите внимание, что даже правильно функционирующая система будет отображать различные предупреждения и ошибки в журналах, которые вы можете просмотреть с помощью средства просмотра событий. Мошенники даже иногда используют этот факт, чтобы обмануть людей, заставив их поверить в то, что в их системе есть проблема, которую может решить только мошенник. В одном печально известном мошенничестве человек, утверждающий, что он из Microsoft, звонит кому–то и дает указание открыть средство просмотра событий. Человек обязательно увидит здесь сообщения об ошибках, и мошенник запросит номер кредитной карты человека, чтобы исправить их.
При условии, что ваш компьютер работает нормально, вы можете игнорировать ошибки и предупреждения, которые появляются в средстве просмотра событий. Тем не менее, стоит иметь базовые практические знания об этом инструменте и знать, когда он может быть вам полезен.
¶ Задания для лабораторной работы:
¶ 1. Запуск просмотра событий:
Чтобы запустить запуск просмотра событий, необходимо нажать клавиши Windows + R и ввести eventvwr.msc в окно «Выполнить».
Еще один способ, который также подойдет для всех актуальных версий ОС – найти Средства администрирования Windows (В Windows 11 название было изменено на "Инструменты Windows") и выбрать там соответствующий пункт:
И еще один вариант – кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстное меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.
¶ 2. Интерфейс просмотра событий
Журналы Windows (в которых хранятся события) делятся на различные категории. Хотя категорий много, большинство действий по устранению неполадок, которые вам могут понадобиться, относятся к трем из них:
- Приложение: в журнале приложений записываются события, связанные с системными компонентами Windows, такими как драйверы и встроенные элементы интерфейса.
- Система: в системный журнал записываются события, связанные с программами, установленными в системе.
- Безопасность: если ведение журнала безопасности включено (в Windows оно отключено по умолчанию), в этот журнал записываются события, связанные с безопасностью, такие как попытки входа в систему и доступ к ресурсам.
¶ 3. Интерфейс данного инструмента администрирования можно условно разделить на три части:
В левой панели находится древовидная структура, в которой отсортированы события по различным параметрам. Кроме этого, сюда же можно добавить собственные «Настраиваемые представления», в которых будут отображаться лишь нужные вам события.
По центру, при выборе одной из «папок» слева будет отображаться сам список событий, а при выборе любого из них, в нижней части вы увидите более подробную информацию о нем.
В правой части собраны ссылки на действия, позволяющие отфильтровать события по параметрам, найти нужные, создать настраиваемые представления, сохранить список и создать задачу в планировщике заданий, которая будет связана с определенным событием.
¶ 4. Информация о событиях
Когда мы выбираем событие в одной из категорий Журналов Windows, то видим:
- Имя журнала – имя файла журнала, куда была сохранена информация о событии.
- Источник – название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
- Код – код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
- Код операции – как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
- Уровень – тип события, занесенного в журнал.
- Дата – дата, когда произошло событие.
- Категория задачи, ключевые слова – обычно не используются.
- Пользователь и компьютер – сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.
Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.
Также стоит отметить, что большинство предупреждений не представляют из себя что–то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что–то не так.
¶ 5. События и что они означают.
Как мы уже с вами узнали, Журналы Windows делятся на категории, в этих категориях хранятся события, но события тоже бывают разные:
| Событие | Значение события |
|---|---|
| Критический | Серьезная проблема, требующая немедленного вмешательства для предотвращения значительных последствий |
| Ошибка | Проблема, которая требует внимания, но не критична для функционирования системы |
| Предупреждение | Не серьезное событие, указывающее на потенциальную проблему в будущем |
| Сведения | Информация о нормальном состоянии системы или процессе |
| Аудит успеха | Подтверждение успешного завершения действия с учетной записью (вход, назначение привилегий и т.д.) |
¶ 6. Просмотр журнала производительности Windows
В просмотре событий Windows можно найти достаточное количество интересных вещей, например – посмотреть на проблемы с производительностью компьютера.
Для этого в правой панели откройте Журналы приложений и служб – Microsoft — Windows – Diagnostics–Perfomance – Работает и посмотрите, есть ли среди событий какие–либо ошибки – они сообщают о том, что какой–то компонент или программа привела к замедлению загрузки Windows.
¶ 7. Поиск по журналу событий. Фильтрация журнала.
Перейдите в Журналы Windows - Система.
Чтобы использовать фильтры для поиска определенного типа журнала, выполните следующие действия. Откройте просмотр событий, разверните группу событий, щелкните категорию правой кнопкой мыши и выберите параметр «Фильтр текущего журнала».
Вот пример фильтрации, я вывел в журнал только события с уровнями - Критическая и Ошибка:
¶ 8. Поиск по журналу событий. Быстрый поиск
¶ 9. Создание пользовательских представлений
В случае, если вы часто ищете события одного и того же типа, средство просмотра событий также имеет возможность создавать настраиваемые представления для быстрой фильтрации журналов для просмотра только тех, которые имеют отношение к вам.
В таком случае можно создать настраиваемое приложение. Для этого нужно: открыть просмотр событий, развернуть группу событий, щелкнуть категорию правой кнопкой мыши и выбрать параметр «Создать настраиваемое представление», выбрать фильтр и настроить его.
Настройка фильтра для сведений с кодом событий «1796» за последний час.
¶ 10. Очистка истории журнала
В Windows журналы помогают отслеживать состояние устройства и устранять неполадки, и их следует хранить как можно дольше. Однако вы можете очистить историю журнала, чтобы освободить место или упростить отслеживание существующей проблемы.
¶ Контрольные вопросы:
- С каким инструментов вы работали на этой практической работе? Для чего он нужен?
- На какие основные категории делятся Журналы Windows?
- Назовите все типы событий в Журналах Windows.
- Возможно ли очистить журнал Windows полностью?
- Что такое код события и для чего он может пригодиться?