Как сохранить журнал событий Windows 10

Обновлено: 03.07.2024

Просмотр событий в Windows — это централизованная служба журналов, используемая приложениями и компонентами операционной системы для сообщения о произошедших событиях, таких как сбой при выполнении действия или запуске компонента или программы.

В средстве просмотра событий есть несколько разделов, например «Приложения и безопасность» в разделе «Журналы Windows» и «Журналы приложений и служб». Списки событий в каждом разделе в средстве просмотра событий со временем накапливаются, и списки могут быть очень длинными и замедлять время загрузки средства просмотра событий. Это также может затруднить поиск проблем. Вы даже можете столкнуться с сообщением о том, что журнал событий заполнен.

В этой статье объясняется, как экспортировать журналы событий для их резервного копирования, как очистить их и как увеличить размер журнала событий.

Экспорт журнала событий Windows

Рекомендуется экспортировать журнал событий, чтобы создать его резервную копию перед очисткой. Для этого щелкните правой кнопкой мыши журнал, который вы хотите экспортировать, в дереве в левой части окна просмотра событий и выберите «Сохранить все события как» во всплывающем меню. Используйте стрелки справа от элементов дерева, чтобы разворачивать и сворачивать различные разделы дерева.

Выбор

ПРИМЕЧАНИЕ. Вы также можете нажать «Сохранить все события как» в списке «Действия» в правой части окна. Имя выбранного журнала отображается в виде заголовка над доступными параметрами.

Выбор ширины списка

Если вы не видите доступные параметры, которые также доступны во всплывающем меню под названием выбранного журнала, нажмите стрелку вниз в заголовке, чтобы развернуть список.

Расширение списка действий

В диалоговом окне "Сохранить как" перейдите туда, куда вы хотите сохранить файл журнала событий. Введите имя сохраненного файла журнала в поле Имя файла и выберите тип файла в раскрывающемся списке Тип файла.

ПРИМЕЧАНИЕ. Вы можете сохранить файл журнала как файл событий (.evtx), XML-файл (.xml), файл с разделителями табуляции (.txt) или файл с разделителями-запятыми (.csv). Единственный тип файла, который вы можете снова импортировать в средство просмотра событий, — это тип .evtx. Другие типы позволяют просматривать данные журнала за пределами средства просмотра событий, но файлы нельзя импортировать обратно в средство просмотра событий.

Нажмите "Сохранить", чтобы сохранить журнал событий в файл.

Сохранение файла журнала событий

Если вы выбрали тип файла .evtx, появится диалоговое окно «Отображение информации». Если вы хотите иметь возможность импортировать данные журнала в средство просмотра событий на другом компьютере, вам может потребоваться включить отображаемую информацию в экспортированный файл журнала. Выберите переключатель Показать информацию для этих языков. Если вам нужен другой язык, установите флажок Показать все доступные языки и установите флажок для нужного языка, если он доступен. Нажмите "ОК".

Отобразить диалоговое окно информации

Каталог, содержащий метаданные для вашей локали, записывается в тот же каталог, что и сохраненный вами файл журнала.

Папка с метаданными

Открыть сохраненный журнал

Чтобы открыть файл журнала, который вы экспортировали как файл .evtx, выберите «Открыть сохраненный журнал» в меню «Действие».

Выбор открытого сохраненного журнала

В диалоговом окне "Открыть сохраненный журнал" перейдите туда, где вы сохранили файл .evtx, выберите его и нажмите "Открыть".

Открытие сохраненного файла журнала

Очистить журнал событий

После экспорта журнала его можно легко очистить. Для этого выберите «Очистить журнал» в меню «Действие».

ПРИМЕЧАНИЕ. Вы также можете щелкнуть журнал правой кнопкой мыши и выбрать «Очистить журнал» во всплывающем меню или щелкнуть «Очистить журнал» в списке «Действия» в правой части окна «Просмотр событий».

Выбор очистки журнала

Откроется диалоговое окно, позволяющее сохранить журнал перед очисткой, если вы еще не экспортировали его. Если вы нажмете «Сохранить и очистить», отобразится то же диалоговое окно «Сохранить как», о котором упоминалось ранее, и диалоговое окно «Отображение информации», если вы выберете тип файла .evtx. Если вы уже сохранили файл журнала, нажмите «Очистить», чтобы очистить журнал.

Нажмите

Увеличить максимальный размер журнала событий

Если вы получили сообщение о том, что журнал событий заполнен, вы можете увеличить максимально допустимый размер этого журнала. Для этого щелкните правой кнопкой мыши нужный журнал и выберите «Свойства» во всплывающем меню.

ПРИМЕЧАНИЕ. Опять же, вы можете получить доступ к параметру «Свойства» из меню «Действие» или в списке «Действия».

Получение свойств журнала событий

Откроется диалоговое окно "Свойства журнала". Чтобы увеличить максимально допустимый размер выбранного журнала, щелкните стрелку вверх в поле редактирования Максимальный размер журнала, чтобы изменить число (в килобайтах). Вы также можете выделить текущий номер и ввести новый номер.

Выберите действие, которое будет выполняться при достижении максимального размера журнала событий. Вы можете выбрать Перезаписывать события по мере необходимости, начиная с самых старых событий, Архивировать журнал при заполнении, что не перезаписывает никакие события, или Не перезаписывать события, что означает, что вы должны очищать журнал событий вручную.

Вы также можете очистить выбранный журнал в диалоговом окне "Свойства журнала", нажав "Очистить журнал". Нажмите OK, когда закончите вносить изменения.

Изменение максимального размера журнала

Чтобы закрыть средство просмотра событий, выберите "Выход" в меню "Файл".

Закрытие средства просмотра событий

Просмотр событий Windows — это полезный инструмент для получения информации об оборудовании, программном обеспечении и системных компонентах. Это может помочь вам определить текущие системные проблемы, например, почему произошел сбой вашего компьютера или что вызвало последнюю проблему с определенной программой. Наслаждайтесь!

Основатель Help Desk Geek и главный редактор. Он начал вести блог в 2007 году и уволился с работы в 2010 году, чтобы вести блог на постоянной основе. Он имеет более чем 15-летний опыт работы в отрасли информационных технологий и имеет несколько технических сертификатов. Прочитать полную биографию Асема

Понравился ли вам этот совет? Если это так, загляните на наш канал YouTube на нашем родственном сайте Online Tech Tips. Мы охватываем Windows, Mac, программное обеспечение и приложения, а также предлагаем множество советов по устранению неполадок и обучающих видеороликов. Нажмите кнопку ниже, чтобы подписаться!

Хотя вы можете думать, что в Windows есть один файл журнала событий, на самом деле их много — административный, операционный, аналитический и отладочный, а также файлы журнала приложений.

Журналы просмотра событий

Каждая программа, которая запускается на вашем ПК, публикует уведомление в журнале событий, а каждая хорошо работающая программа публикует уведомление перед остановкой. Каждый доступ к системе, изменение безопасности, подергивание операционной системы, аппаратный сбой и сбой драйвера — все это попадает в тот или иной журнал событий.

Средство просмотра событий сканирует эти текстовые файлы журналов, объединяет их и добавляет привлекательный интерфейс к смертельно скучному, объемному набору машинно-генерируемых данных. Думайте о Event Viewer как о программе создания отчетов для базы данных, в которой базовая база данных представляет собой всего лишь несколько простых текстовых файлов.

Теоретически журналы событий отслеживают «важные события» на вашем ПК. На практике термин «значительный» находится в глазах смотрящего. Или программист. В обычном ходе событий немногим людям когда-либо приходилось просматривать какие-либо журналы событий. Но если ваш компьютер начинает портиться, средство просмотра событий может дать вам важную информацию об источнике проблемы.

Как найти средство просмотра событий

Нажмите на поле поиска в левом нижнем углу экрана. Найдите средство просмотра событий. Нажмите «Просмотр событий» в результатах поиска.

Появится средство просмотра событий.

Слева выберите «Пользовательские представления», а под ним — «Административные события».

Это может занять некоторое время, но в конце концов вы увидите список заметных событий, подобный показанному.

Даже в самой хорошо организованной системе есть множество устрашающих сообщений об ошибках — сотни, если не тысячи. Это нормально. Разбивку смотрите в таблице.

События регистрируются различными частями Windows.

Другие журналы для проверки

Вы можете видеть не только журнал административных событий; это квинтэссенция других журналов событий с упором на то, что может захотеть увидеть простой человек.

Другие журналы включают следующее:

События приложений: программы сообщают о своих проблемах.

События безопасности. Они называются "аудитами" и отображают результаты действий по обеспечению безопасности. Результаты могут быть успешными или неудачными в зависимости от события, например, когда пользователь пытается войти в систему.

События установки. В основном это относится к контроллерам домена, о которых вам не нужно беспокоиться.

Системные события. Большинство ошибок и предупреждений, отображаемых в журнале административных событий, связаны с системными событиями. Это отчеты из системных файлов Windows о проблемах, с которыми они столкнулись. Почти все они самовосстанавливаются.

Перенаправленные события: они отправляются на этот компьютер с других компьютеров.

Если Windows 10 или приложение ведут себя не так, как ожидалось, вы можете использовать средство просмотра событий, чтобы понять и устранить проблему, и в этом руководстве мы покажем вам, как это сделать.

Просмотр событий Windows 10

Источник: Windows Central

В Windows 10 средство просмотра событий представляет собой удобный устаревший инструмент, предназначенный для объединения журналов событий из приложений и системных компонентов в легко усваиваемую структуру, которую затем можно анализировать для устранения неполадок и устранения программных или аппаратных проблем на вашем компьютере.

Как правило, большинство пользователей не используют или не знают о средстве просмотра событий. Тем не менее, это должно быть первым местом для проверки для устранения неполадок, поскольку практически каждый сбой оборудования, сбой приложения, сбой драйвера, системная проблема, доступ к системе безопасности и события из приложений и служб, работающих без проблем, будут записаны в эту базу данных.

Если ваше устройство внезапно без причины перезагружается, зависает, драйверы ведут себя не так, как ожидалось, или у вас возникает синий экран смерти (BSoD), средство просмотра событий в Windows 10 может содержать журналы с необходимой вам информацией. решить проблему или, по крайней мере, найти подсказки, которые помогут вам найти решение.

В этом руководстве по Windows 10 мы покажем вам, как перемещаться и использовать средство просмотра событий на вашем устройстве.

Как использовать средство просмотра событий в Windows 10

В Windows 10 средство просмотра событий помогает отслеживать приложения и системные компоненты, а также устранять неполадки.

Навигация по интерфейсу

Чтобы открыть средство просмотра событий в Windows 10, просто откройте меню "Пуск", выполните поиск средства просмотра событий и щелкните верхний результат, чтобы запустить консоль.

Опыт разделен на четыре основные группы, в том числе "Пользовательские представления", "Журналы Windows", "Журналы приложений и служб" и "Подписки", и в каждой группе хранятся связанные журналы.

Секции просмотра событий

Источник: Windows Central

Несмотря на то, что каждая группа может содержать разные журналы приложений и системные журналы, в большинстве случаев для изучения проблемы вы будете анализировать только журналы приложений, безопасности и системы внутри группы "Журналы Windows".

Журналы Windows для просмотра событий

Источник: Windows Central

В разделе "Приложение" вы найдете события, связанные с интерфейсом и другими важными компонентами для запуска приложения. В категории «Безопасность» сгруппированы события журналов, связанные с попытками входа в систему и функциями безопасности, а в категории «Система» записываются журналы, связанные с приложениями, установленными в Windows 10.

Просмотр событий может отслеживать три уровня событий, включая ошибки, предупреждения и информацию. Журналы «Ошибок», как следует из названия, указывают на проблемы, требующие немедленного внимания. Журналы «Предупреждение» не обязательно являются значительными. Однако они могут сигнализировать о том, что что-то работает не так, как ожидалось, а журналы «Информация» — это просто события, в которых записывается нормальная работа приложений и служб.

Обычно все приложения должны регистрировать события в этой базе данных, но это не всегда верно для многих сторонних приложений.

Если устройство работает нормально, вы все равно будете видеть ошибки и предупреждения, но они, скорее всего, не будут вас беспокоить. Например, иногда вы можете увидеть ошибку, если служба не может загрузиться при запуске, но нормально перезапускается позже.Служба времени не могла правильно синхронизироваться, Windows 10 не могла получить доступ к файлу в общей сетевой папке из-за проблемы с подключением — или приложение внезапно зависало, но затем вы снова открывали его, и оно продолжало работать без проблем.

Находясь в консоли, вы можете выбрать одну из основных групп для просмотра дополнительной информации, такой как количество событий и размер на диске для каждого представления. Или вы можете выбрать "Просмотр событий" в левом верхнем углу, чтобы получить обзор и сводку событий, последние просмотренные заметки и сводку журнала.

Обзор и сводка средства просмотра событий

Источник: Windows Central

Если вы выберете одну из групп, справа вы увидите все события с их информацией об «Уровне», «Дате и времени» создания, «Источнике», «Идентификаторе события» и « Категория задач». Если вы хотите увидеть более подробную информацию, вы можете выбрать событие, и информация будет отображаться в нижней части консоли, или вы можете дважды щелкнуть событие, чтобы получить дополнительные сведения.

Сведения о средстве просмотра событий Windows 10

Источник: Windows Central

Вкладка "Общие" в окне свойств события содержит простое для понимания описание ошибки, предупреждения или информацию.

Свойства событий Windows 10

Источник: Windows Central

Обычно в описании должно быть достаточно информации, чтобы понять и решить проблему. Однако «Идентификатор события» также является важной частью информации, так как вы можете использовать его для поиска в Интернете дополнительной информации и возможных инструкций по устранению проблемы.

Поиск определенных журналов

Если вы ищете определенное событие, в консоли есть как минимум два способа поиска событий с помощью фильтров или поиска по ключевым словам.

Расширенный поиск

Чтобы использовать фильтры для поиска определенного типа журнала, выполните следующие действия:

  1. Откройте Пуск.
  2. Выполните поиск средства просмотра событий и выберите верхний результат, чтобы открыть консоль.
  3. Разверните группу событий.

Нажмите правой кнопкой мыши на категорию и выберите параметр "Фильтровать текущий журнал".

Просмотр событий Фильтровать текущие журналы

Источник: Windows Central

Небольшое примечание: вы также можете получить доступ к фильтру и другим стандартным параметрам на панели действий, расположенной в правой части консоли.

Используйте раскрывающееся меню "Зарегистрировано" и выберите диапазон времени, когда могло произойти событие, в том числе:

  • В любое время.
  • Последний час.
  • Последние 12 часов.
  • Последние 24 часа.
  • Последние 7 дней.
  • Последние 30 дней.
  • Пользовательский диапазон.

Выберите интересующий вас уровень события, в том числе:

  • Критический.
  • Предупреждение.
  • Подробно.
  • Ошибка.
  • Информация.

Настройки фильтра просмотра событий

Источник: Windows Central

После выполнения этих шагов соответствующие журналы отфильтруются в консоли. Если вы хотите очистить текущий фильтр, щелкните группу правой кнопкой мыши и выберите параметр "Очистить фильтр".

Базовый поиск

Чтобы использовать ключевое слово для поиска ошибки, предупреждения или информационного события в средстве просмотра событий, выполните следующие действия:

  1. Откройте Пуск.
  2. Выполните поиск средства просмотра событий и выберите верхний результат, чтобы открыть консоль.
  3. Разверните группы событий.

Нажмите правой кнопкой мыши на категорию и выберите параметр "Найти".

Параметры поиска средства просмотра событий

Источник: Windows Central

Введите ключевое слово и нажмите кнопку "Найти далее".

Поиск запроса средства просмотра событий

Источник: Windows Central

После выполнения этих шагов событие будет выделено в списке, если будет найдено совпадение.

Создание пользовательских представлений

Если вы часто ищете события одного и того же типа, в средстве просмотра событий также есть возможность создавать настраиваемые представления, чтобы быстро фильтровать журналы и просматривать только те, которые имеют отношение к вам.

Чтобы создать собственное представление в средстве просмотра событий, выполните следующие действия:

  1. Откройте Пуск.
  2. Выполните поиск средства просмотра событий и выберите верхний результат, чтобы открыть консоль.
  3. Разверните группу событий.

Нажмите правой кнопкой мыши на категорию и выберите параметр "Создать пользовательский вид".

Настраиваемая опция просмотра событий

Источник: Windows Central

Используйте раскрывающееся меню "Журналы событий" и выберите категорию событий, которую хотите отфильтровать. Например, Система.

Просмотр событий создать пользовательский вид

Источник: Windows Central

Подтвердите имя пользовательского представления.

Сохранить пользовательский вид фильтра

Источник: Windows Central

Выберите, где сохранить представление.

Небольшое примечание: всегда рекомендуется расположение по умолчанию, но вы всегда можете создать новую папку для их хранения.

После выполнения этих шагов в следующий раз, когда вам потребуется просмотреть определенные журналы, вы можете развернуть папку "Пользовательские представления" и выбрать созданное вами представление.

Очистить историю журнала

В Windows 10 журналы помогают отслеживать состояние устройства и устранять неполадки, и их следует хранить как можно дольше. Однако вы можете очистить историю журнала, чтобы освободить место или упростить отслеживание существующей проблемы.

Чтобы очистить историю журналов определенной категории, выполните следующие действия:

  1. Откройте Пуск.
  2. Выполните поиск средства просмотра событий и выберите верхний результат, чтобы открыть консоль.
  3. Разверните группу событий.

Нажмите правой кнопкой мыши категорию и выберите параметр "Очистить журнал".

Опция очистки журнала просмотра событий

Источник: Windows Central

Нажмите кнопку "Очистить".

Примечание: если вы хотите заархивировать историю журнала в файле вне средства просмотра событий, вы также можете нажать кнопку "Сохранить и очистить".

После выполнения этих шагов события будут удалены, а консоль начнет запись новых событий.

Дополнительные ресурсы по Windows 10

Для получения дополнительных полезных статей, обзоров и ответов на распространенные вопросы о Windows 10 посетите следующие ресурсы:

Рейтинг всех 15 Elden Ring

Рейтинг всех 15 боев с главными боссами Elden Ring

В Elden Ring есть 15 различных сражений с главными боссами, но какие из них самые лучшие (а какие ужасные)? Вот наш окончательный рейтинг всех без исключения главных боссов в игре.

Найдена древняя пасхалка Windows 1.0 с Гейбом Ньюэллом

Обнаружено древнее пасхальное яйцо Windows 1.0 с участием Гейба Ньюэлла

Как раз в тот момент, когда вы думали, что хранилища знаний старой Windows 1.0 исчерпаны, появляется новая запись. И это становится еще более захватывающим: этот конкретный самородок знаний содержит отсылку ни к кому иному, как к самому Гейбу Ньюэллу из Valve.

Присоединяйтесь к нам в прямом эфире для Windows Central Video Podcast сегодня в 13:30 по восточному времени

Сегодня в 13:30 по восточному времени мы в прямом эфире с подкастом Windows Central Video, обязательно будьте там!

Познакомьтесь с этими обязательными приложениями Windows для Суперкубка LVI

Ознакомьтесь с этими обязательными приложениями Windows для Суперкубка LVI

Суперкубок LVI наконец-то здесь. Чтобы получить наилучшие впечатления от большой игры, обязательно скачайте эти приложения для Windows 11 и Windows 10.

Подписываясь, вы соглашаетесь на управление вашей личной информацией в соответствии с условиями Политики конфиденциальности Veeam.

Спасибо, что доверили нам место в вашем почтовом ящике!

С этим еженедельным дайджестом вы вряд ли пропустите то, что назревало в нашей базе знаний

Ой! Что-то пошло не так.

Цель

При отправке запроса в службу технической поддержки иногда необходимо загрузить соответствующие журналы событий Windows в дополнение к журналам Veeam. В журналах событий, экспортированных с настройками по умолчанию, может отсутствовать важная информация. В этой статье описываются три разных метода экспорта журналов событий Windows и какие журналы наиболее полезны для определенных типов обращений в службу поддержки.

Решение

Ниже приведены три распространенных способа, которыми инженер службы поддержки Veeam может попросить вас собрать для них журналы событий. Если они указали конкретный метод, используйте запрошенный метод.

Нажмите здесь, чтобы узнать, какие журналы следует собирать для решения распространенных проблем.

Способ 1: экспортировать EVTX с отображаемой информацией (метаданные)

Файл .evtx сам по себе не содержит текста большинства событий, поэтому загрузка файла .evtx без соответствующей отображаемой информации может привести к задержке решения вашего запроса в службу поддержки. Даже с отображаемой информацией файл .evtx содержит только время UTC событий, а не исходный часовой пояс (средство просмотра событий настраивает отображаемое время в соответствии с вашим местным часовым поясом).

Этапы экспорта .evtx с отображаемой информацией

  1. Откройте средство просмотра событий (eventvwr.msc).
  2. Найдите журнал, который нужно экспортировать, в левом столбце.
  3. Нажмите правой кнопкой мыши имя журнала и выберите "Сохранить все события как...".
  4. Введите имя файла, включающее тип журнала и сервер, с которого он был экспортирован.
    Например, при экспорте журнала событий приложений с сервера с именем HV01 введите Application_HV01.
  5. В поле "Тип файла" выберите "Файлы событий" .
  6. Включить отображаемую информацию.


Пожалуйста, упакуйте все файлы в один архив .zip. Информацию о загрузке файлов в службу поддержки см. в разделе Как прикрепить файлы к запросу в службу поддержки

Чтобы экспортировать, а затем заархивировать журнал событий из командной строки, см. Архивация журнала событий

Способ 2. Экспорт в формате CSV

  1. Откройте средство просмотра событий (eventvwr.msc).
  2. Найдите журнал, который нужно экспортировать, в левом столбце.
  3. Нажмите правой кнопкой мыши имя журнала и выберите "Сохранить все события как...".
  4. Введите имя файла, включающее тип журнала и сервер, с которого он был экспортирован.

Например, при экспорте журнала событий приложений с сервера с именем HV01 введите Application_HV01.

Пожалуйста, упакуйте все файлы в один архив .zip. Информацию о загрузке файлов в службу поддержки см. в разделе Как прикрепить файлы к запросу в службу поддержки

Чтобы экспортировать, а затем заархивировать журнал событий из командной строки, см. Архивация журнала событий

Способ 3. Соберите всю папку журналов из Windows.

  1. Перейдите к C:\Windows\System32\winevt\Logs
  2. Заархивируйте (ZIP\7z\RAR) все содержимое папки Logs.

Пожалуйста, упакуйте все файлы в один архив .zip. Информацию о загрузке файлов в службу поддержки см. в разделе Как прикрепить файлы к запросу в службу поддержки

Чтобы экспортировать, а затем заархивировать журнал событий из командной строки, см. Архивация журнала событий

Какие журналы экспортировать

Поддержка Veeam будет запрашивать журналы по мере необходимости, но вы можете ускорить рассмотрение нового обращения, проверив, относится ли оно к одной из перечисленных ниже категорий, и загрузив соответствующие журналы событий во время создания обращения.

Читайте также: