Как просмотреть журналы Windows Server 2016

Обновлено: 26.06.2024

При устранении неполадок с компьютером представитель службы поддержки клиентов Майкрософт может попросить вас собрать журналы с серверов, компьютеров в сети или и тех, и других с помощью сборщика журналов Windows Server Essentials.

Сборщик журналов копирует журналы программы, журналы просмотра событий и связанную информацию о среде в один ZIP-файл в указанном месте. Вы можете запустить сборщик журналов непосредственно с сервера или любого компьютера в сети или с помощью удаленного подключения к компьютерам.

Сборщик журналов не анализирует сетевые проблемы и не вносит изменения на какой-либо сервер или компьютер в сети. Сведения об устранении неполадок в сети см. в справочной документации для вашего серверного продукта. В этом руководстве компьютеры в вашей сети, кроме вашего сервера, называются сетевыми компьютерами.

Чтобы установить и запустить сборщик журналов, выполните действия, описанные в следующих разделах:

Сбор информации об окружающей среде

Для каждого указанного вами сетевого компьютера или сервера сборщик журналов собирает следующую информацию о среде и помещает ее в файл сбора журналов.

Версия операционной системы

Производитель процессора и описание

Объем памяти и распределение

Сетевые адаптеры, привязанные к TCP/IP

Информация о хост-файле

Журналы событий, включая приложения, систему, Windows Server и Media Center

Сообщения диспетчера управления службами

События перезагрузки и события Центра обновления Windows

Системные ошибки и ошибки приложений

Сбор информации об услугах

Серверные службы

Служба резервного копирования клиентских компьютеров Windows Server

Служба поставщика резервного копирования клиентских компьютеров Windows Server

Поставщик устройств Windows Server

Управление доменными именами Windows Server

Реестр поставщиков услуг Windows Server

Поставщик настроек Windows Server

Служба устройств Windows Server UPnP

Провайдер администрирования удаленного веб-доступа для Windows Server

Служба работоспособности Windows Server

Служба хранилища Windows Server

Служба Windows Server SQM

Сетевые компьютерные службы

Служба поставщика резервного копирования клиентских компьютеров Windows Server

Служба работоспособности Windows Server

Реестр поставщиков услуг Windows Server

Служба Windows Server SQM

Журналы и собранная информация реестра

Для каждого указанного сетевого компьютера или сервера сборщик журналов собирает информацию журнала и реестра с сервера и сетевого компьютера следующим образом.

Журналы сервера и информация реестра

Журналы продукта сервера, из

Журналы Центра обновления Windows

Файл предупреждений о работоспособности

Файл с информацией об устройствах

Файл журнала резервного копирования сервера

Файл журнала Panther

Ключи реестра, из

Журналы сетевых компьютеров и информация реестра

Журналы продукта сетевого компьютера в

Файл предупреждений о состоянии здоровья в

Журналы Центра обновления Windows

Информация о запланированных задачах

Ключи реестра из \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server\

Журналы для компьютеров, на которых не установлена версия операционной системы Windows

Сборщик журналов не собирает файлы журналов с компьютеров, на которых не установлена операционная система Windows. Для компьютеров, отличных от Windows, вручную скопируйте следующие файлы журналов в то же место, где хранятся файлы сборщика журналов.

Library/Logs/CrashReporter/LaunchPad- (скопируйте все файлы LaunchPad-.crash)

Library/Logs/DiagnosticReports/LaunchPad- (скопируйте все файлы LaunchPad-.crash)

Применимо к: Windows Server 2022, Windows 10, Windows 8, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

В этом разделе обсуждается, как устранять неполадки при загрузке и выгрузке профилей пользователей с помощью журналов событий и трассировки. В следующих разделах описано, как использовать три журнала событий, в которые записывается информация профиля пользователя.

Шаг 1. Проверка событий в журнале приложений

Первым шагом в устранении неполадок с загрузкой и выгрузкой профилей пользователей (включая перемещаемые профили пользователей) является использование средства просмотра событий для проверки любых событий предупреждений и ошибок, которые служба профилей пользователей записывает в журнал приложений.

Вот как просмотреть события User Profile Services в журнале приложений:

Запустите средство просмотра событий. Для этого откройте панель управления, выберите «Система и безопасность», а затем в разделе «Администрирование» выберите «Просмотреть журналы событий». Откроется окно просмотра событий.
В дереве консоли сначала перейдите к Журналам Windows, а затем к Приложениям.
На панели "Действия" выберите "Фильтровать текущий журнал". Откроется диалоговое окно "Фильтровать текущий журнал".
В поле "Источники событий" установите флажок "Служба профилей пользователей" и нажмите кнопку "ОК".
Просмотрите список событий, уделяя особое внимание событиям ошибок.
Когда вы обнаружите заслуживающие внимания события, выберите ссылку онлайн-справки журнала событий, чтобы отобразить дополнительную информацию и процедуры устранения неполадок.
Чтобы выполнить дальнейшие действия по устранению неполадок, отметьте дату и время заслуживающих внимания событий, а затем просмотрите журнал операций (как описано в шаге 2), чтобы просмотреть сведения о том, что делала служба профилей пользователей во время событий ошибки или предупреждения.

Вы можете спокойно игнорировать событие службы профилей пользователей 1530 "Windows обнаружила, что ваш файл реестра все еще используется другими приложениями или службами".

Шаг 2. Просмотрите рабочий журнал службы профилей пользователей

Если вы не можете решить проблему только с помощью журнала приложений, используйте следующую процедуру для просмотра событий службы профилей пользователей в рабочем журнале. Этот журнал показывает некоторые внутренние процессы службы и может помочь определить, где в процессе загрузки или выгрузки профиля возникает проблема.

Журнал приложений Windows и рабочий журнал службы профилей пользователей включены по умолчанию во всех установках Windows.

Вот как просмотреть журнал операций для службы профилей пользователей:

В дереве консоли средства просмотра событий выберите Журналы приложений и служб, затем Microsoft, затем Windows, затем Служба профилей пользователей, а затем Операционные.
Изучите события, которые произошли примерно во время событий ошибки или предупреждения, которые вы отметили в журнале приложений.

Шаг 3. Включите и просмотрите журналы аналитики и отладки

Если вам требуется больше сведений, чем предусмотрено в рабочем журнале, вы можете включить ведение журналов аналитики и отладки на соответствующем компьютере. Этот уровень ведения журнала гораздо более подробен, и его следует отключать, за исключением случаев, когда вы пытаетесь устранить проблему.

Вот как включить и просмотреть журналы аналитики и отладки:

На панели "Действия" средства просмотра событий выберите "Просмотр", а затем выберите "Показать журналы аналитики и отладки".
Перейдите к журналам приложений и служб, затем к Microsoft, затем к Windows, затем к Службе профилей пользователей, а затем к Диагностике.
Выберите «Включить журнал», а затем выберите «Да». Это активирует журнал диагностики, который начнет ведение журнала.
Если вам нужна еще более подробная информация, см. Шаг 4. Создание и декодирование трассировки, чтобы получить дополнительную информацию о том, как создать журнал трассировки.
После устранения проблемы перейдите к журналу диагностики, выберите «Отключить журнал», выберите «Просмотр», а затем снимите флажок «Показать журналы аналитики и отладки», чтобы скрыть журналы аналитики и отладки.

Шаг 4. Создание и расшифровка трассировки

Если вы не можете решить проблему с помощью событий, вы можете создать журнал трассировки (файл ETL) при воспроизведении проблемы, а затем расшифровать его, используя общедоступные символы с сервера символов Microsoft. Журналы трассировки предоставляют очень конкретную информацию о том, что делает служба профилей пользователей, и могут помочь определить, где произошел сбой.

Наилучшая стратегия при использовании трассировки ETL – сначала собрать журнал наименьшего возможного размера. После расшифровки журнала выполните поиск ошибок в журнале.

Вот как создать и расшифровать трассировку для службы профилей пользователей:

Войдите на компьютер, на котором у пользователя возникают проблемы, используя учетную запись, которая является членом локальной группы администраторов.

В командной строке с повышенными привилегиями введите следующие команды, где

это путь к ранее созданной локальной папке, например C:\logs:

На начальном экране выберите имя пользователя, а затем выберите Сменить учетную запись, стараясь не выйти из системы администратора. Если вы используете удаленный рабочий стол, закройте сеанс администратора, чтобы установить сеанс пользователя.

Воспроизведите проблему. Процедура воспроизведения проблемы обычно состоит в том, чтобы войти в систему как пользователь, столкнувшийся с проблемой, выйти из системы как пользователь или и то, и другое.

После воспроизведения проблемы снова войдите в систему как локальный администратор.

В командной строке с повышенными привилегиями выполните следующую команду, чтобы сохранить журнал в файл ETL:

Введите следующую команду, чтобы экспортировать файл ETL в удобочитаемый файл в текущем каталоге (вероятно, в вашей домашней папке или в папке %WINDIR%\System32):

В этой статье описывается, как переместить файлы журналов Microsoft Windows 2000 и Windows Server 2003 Event Viewer в другое место на жестком диске.

Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 315417

Обзор

Windows 2000 и Windows Server 2003 записывают события в следующие журналы:

Журнал приложений содержит события, зарегистрированные программами. События, записываемые в журнал приложений, определяются разработчиками программного обеспечения.

Журнал безопасности содержит такие события, как действительные и недействительные попытки входа в систему.Он также содержит события, связанные с использованием ресурсов, например, при создании, открытии или удалении файлов. Вы должны войти в систему как администратор или как член группы администраторов, чтобы включить, использовать и указать, какие события записываются в журнал безопасности.

Системный журнал содержит события, зарегистрированные системными компонентами Windows. Эти события предопределены Windows.

Журнал службы каталогов

Журнал службы каталогов содержит события, связанные с Active Directory. Этот журнал доступен только на контроллерах домена.

Журнал DNS-сервера содержит события, связанные с разрешением DNS-имен в адреса интернет-протокола (IP) или из них. Этот журнал доступен только на DNS-серверах.

Журнал службы репликации файлов

Журнал службы репликации файлов содержит события, зарегистрированные в процессе репликации между контроллерами домена. Этот журнал доступен только на контроллерах домена.

По умолчанию файлы журнала средства просмотра событий имеют расширение .evt и находятся в папке %SystemRoot%\System32\Config.

Имя файла журнала и информация о местоположении хранятся в реестре. Вы можете отредактировать эту информацию, чтобы изменить расположение файлов журнала по умолчанию. Вы можете переместить файлы журнала в другое место, если вам требуется больше места на диске для записи данных.

Переместить файлы журнала просмотра событий в другое место

Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в разделе Резервное копирование и восстановление реестра в Windows.

Чтобы переместить файлы журнала средства просмотра событий в другое место на жестком диске, выполните следующие действия:

Нажмите "Пуск", а затем "Выполнить".

В поле "Открыть" введите regedit и нажмите "ОК".

Найдите и щелкните раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog .

Нажмите подраздел, представляющий журнал событий, который вы хотите переместить, например, щелкните Приложение.

На правой панели дважды щелкните Файл.

Введите полный путь к новому расположению (включая имя файла журнала) в поле «Значение» и нажмите «ОК».

Например, если вы хотите переместить журнал приложений (Appevent.evt) в папку Eventlogs на диске E, введите e:\eventlogs\appevent.evt.

Повторите шаги с 4 по 6 для каждого файла журнала, который вы хотите переместить.

Нажмите «Выход» в меню «Реестр».

Перезагрузите компьютер.

Просмотр имени и расположения файлов журнала просмотра событий

Чтобы просмотреть имя и расположение файлов журнала средства просмотра событий, выполните следующие действия:

Нажмите "Пуск", выберите "Настройки" и выберите "Панель управления".

Дважды щелкните "Администрирование", а затем дважды щелкните "Просмотр событий".

Можно также открыть оснастку, содержащую средство просмотра событий.

Нажмите, чтобы развернуть средство просмотра событий (если оно еще не развернуто).

Щелкните правой кнопкой мыши журнал, который хотите просмотреть, и выберите "Свойства".

Перейдите на вкладку "Общие".

Имя и расположение файла журнала отображаются в разделе Имя журнала.

Ссылки

Дополнительную информацию о том, как просматривать журналы в средстве просмотра событий и управлять ими, см. в следующей статье:

Дополнительные сведения об использовании средства просмотра событий см. в справке средства просмотра событий. Для этого откройте меню «Действие» в средстве просмотра событий и нажмите «Справка».

В целях устранения неполадок может потребоваться экспорт журналов событий Windows.

Решение

Экспорт журналов событий Windows

Windows 8/8.1/10, Windows Server 2012/2016/2019:
- нажмите Win + R;
- в открывшемся окне "Выполнить" введите eventvwr.msc и нажмите Enter

Windows 7/8/8.1/2008/2008R2/2012/2012R2 и более поздние версии

Windows 7/8/8.1, Windows Vista, Windows Server 2008/2008R2/2012/2012R2 и более поздние версии: Действие –> Сохранить все события как.
Windows XP/2000/2003: Действие ->Сохранить файл журнала как(!) Рекомендуется сохранить Систему и журналы событий приложений и присвойте им соответствующие имена.

Просмотр журналов событий Windows