Как создать файл журнала в Windows 10

Обновлено: 03.07.2024

Журналы – это записи событий, происходящих на вашем компьютере, будь то действия пользователя или работающего процесса. Они помогают отслеживать, что произошло, и устранять неполадки.

Журнал событий Windows содержит журналы операционной системы и приложений, таких как SQL Server или службы IIS. Журналы используют формат структурированных данных, что упрощает их поиск и анализ. Некоторые приложения также записывают файлы журналов в текстовом формате. Например, журналы доступа IIS.

В этой статье рассматриваются интерфейс и функции средства просмотра событий, а также представлены другие основные журналы приложений и служб. Приведены примеры, чтобы дать вам полное представление о том, как мониторинг событий может помочь вам управлять своими системами для обеспечения работоспособности и безопасности.

Журналы событий Windows

Просмотр событий Windows отображает журналы событий Windows. Используйте это приложение для просмотра журналов и навигации по ним, поиска и фильтрации определенных типов журналов, экспорта журналов для анализа и многого другого. Мы покажем вам, как получить доступ к средству просмотра событий Windows и продемонстрируем доступные функции.

Запуск средства просмотра событий Windows

Доступ к средству просмотра событий Windows Server 2019 можно получить несколькими способами:

  • Панель управления Windows
  • Диспетчер серверов
  • Центр администрирования Windows
  • Управление компьютером
  • Службы компонентов
  • Командная строка

Панель управления Windows

Панель управления — это стандартный компонент Windows для просмотра и изменения системных настроек. Его можно найти в выпусках Windows Server и Windows для настольных ПК. Чтобы получить доступ к средству просмотра событий:


Диспетчер серверов

Консоль диспетчера серверов позволяет управлять настройками на локальном и удаленных серверах. Чтобы получить доступ к средству просмотра событий из диспетчера серверов:


Центр администрирования Windows

Windows Admin Center – это браузерное приложение для управления серверами, кластерами, настольными ПК и другими компонентами инфраструктуры. Чтобы получить доступ к средству просмотра событий из центра администрирования Windows:

  1. Откройте Центр администрирования Windows в поддерживаемом браузере.
    1. Нажмите "События".


    Управление компьютером

    Консоль управления компьютером обеспечивает доступ к административным задачам на локальном или удаленном сервере. Чтобы открыть средство просмотра событий из управления компьютером:


    Служба компонентов Windows

    Еще одним встроенным приложением является Диспетчер служб компонентов Windows, который позволяет нам настраивать приложения DCOM, работающие в Windows. Средство просмотра событий Windows также доступно из диспетчера служб компонентов:


    Командная строка

    Наконец, вы можете открыть средство просмотра событий непосредственно из командной строки. Для этого:

    Использование интерфейса средства просмотра событий Windows

    Просмотр событий имеет интуитивно понятный пользовательский интерфейс. Главный экран разделен на три части:

    • Панель навигации
    • Панель сведений
    • Панель действий

    Вы можете создавать сводные и настраиваемые представления. Мы расскажем вам об этих вариантах.

    Панель навигации

    На панели навигации вы выбираете журнал событий для просмотра. По умолчанию существует пять категорий журналов Windows:

    • Приложение — информация, регистрируемая приложениями, размещенными на локальном компьютере.
    • Безопасность. Информация о попытках входа в систему (успешных и неудачных), повышенных привилегиях и других проверенных событиях.
    • Настройка — сообщения, генерируемые при установке и обновлении операционной системы Windows. Если система Windows является контроллером домена, эти сообщения также регистрируются здесь.
    • Система — сообщения, созданные операционной системой Windows.
    • Переадресованные события — события, пересылаемые другими компьютерами, когда локальный компьютер функционирует как центральный подписчик.

    Есть также раздел для журналов приложений и служб, включая категории для аппаратных событий, событий Internet Explorer и Windows PowerShell.

    Панель навигации средства просмотра событий:


    Панель сведений

    При открытии средства просмотра событий на панели сведений отображаются обзор и сводка. Мы обсудим сводные представления позже. Выберите элемент на панели навигации, чтобы просмотреть список событий.

    Записи о событиях по умолчанию перечислены в хронологическом порядке, причем самые последние события находятся вверху. Щелкните заголовок любого столбца, чтобы отсортировать события по этому полю в порядке возрастания или убывания. Второй щелчок в заголовке того же столбца меняет порядок сортировки на противоположный. Например, нажмите «Уровень», чтобы отсортировать по серьезности. Символ вставки ^ или обратная вставка указывает на поле сортировки и направление сортировки.

    Каждое событие имеет уровень серьезности:

    < td width="591">Критические сообщения указывают на возникновение серьезной проблемы.
    Информационные сообщения указывают на успешное действие.
    Предупреждающие сообщения указывают на то, что произошло событие, которое может стать проблемой.
    Сообщения об ошибках указывают на возникновение серьезной проблемы.
    Аудит связан с успехом с событиями безопасности.
    Ошибка аудита связана с событиями безопасности.

    Панель сведений средства просмотра событий с ошибками и предупреждениями:


    Нажмите на событие, чтобы отобразить подробную информацию. В этом примере мы видим источник выделенного события (TerminalServices-Printers), а также дату и время его возникновения. На вкладке «Общие» отображается дополнительная информация: необходимо установить драйвер принтера.

    Панель сведений средства просмотра событий, вкладка "Общие":


    Откройте вкладку "Подробности", чтобы просмотреть необработанные данные о событиях. Вы можете переключаться между дружественным представлением и представлением XML.



    Вы можете щелкнуть событие правой кнопкой мыши и выбрать «Копировать» > «Копировать сведения как текст», а затем вставить результаты в текстовый редактор. Перечислены системные поля, за которыми следует все событие в формате XML.

    Для этой критической ошибки мы видим, что система неожиданно отключилась.


    Панель действий

    Панель «Действия» обеспечивает быстрый доступ к действиям, доступным для текущего выбора. Панель действий разделена на две части:

    • Действия, доступные для выбранного журнала панели навигации
    • Действия, доступные для выбранного события в области сведений.

    В этом примере мы выбрали журнал приложений и событие 9027, диспетчер окон рабочего стола:


    Как видите, существует ряд возможных действий, когда определенный журнал событий активен. Например, нажмите «Фильтровать текущий журнал», чтобы найти определенное событие или группу событий. Всплывающее окно позволяет указать критерии запроса. Когда вы нажмете OK, отфильтрованные результаты отобразятся на панели сведений.


    Очистка больших журналов

    Вы можете выполнить некоторую очистку выбранного журнала с помощью действия «Очистить журнал», если он станет слишком большим. Это удалит все события, сохраненные в журнале. Чтобы проверить размер файлов журналов, выберите «Журналы Windows» или «Журналы приложений и служб» на панели навигации. Количество событий и размер отображаются на панели сведений.


    Экспорт событий

    Вы можете нажать Сохранить все события как или Сохранить все события в пользовательском представлении как (выбранные события) или Сохранить все события как (все события), чтобы экспортировать события из текущего журнала в файл событий. Файл событий имеет расширение EVTX.

    Где бы вы использовали такие функции? Предположим, вы хотите отправить информацию о состоянии вашей системы стороннему поставщику — вы можете предоставить им экспортированный файл событий. Кроме того, вы можете заархивировать свои журналы перед их удалением или отправить сохраненные журналы на централизованный резервный носитель. Удобно сохранять журналы событий в файле событий. Администраторы нажимают «Открыть сохраненный журнал» и переходят к расположению журнала, чтобы открыть сохраненный журнал.

    Пользовательские представления

    Просмотр событий позволяет легко создавать собственные представления. Это обеспечивает быстрый доступ, если вы заинтересованы в определенных типах событий или событий в зависимости от уровня серьезности.

    Создайте собственное представление:

    Теперь доступно ваше пользовательское представление.


    Подобно сохранению журналов в файле событий, вы можете экспортировать пользовательские представления.

    1. Выберите пользовательское представление на панели навигации.
    2. Нажмите «Экспорт пользовательского представления» на панели «Действия».
    3. Введите имя XML-файла, который нужно создать для пользовательского представления.

    Файл XML можно импортировать в средство просмотра событий в другой системе, нажав «Импортировать настраиваемое представление» и перейдя к местоположению файла.

    Сводные просмотры

    Просмотр событий (локальный) — это верхний узел на панели навигации. Если этот флажок установлен, обзор и сводка отображаются на панели сведений.

    • Сводка административных событий отображает итоги для всех типов событий в течение недели.
    • Недавно просмотренные узлы отображают историю просмотренных узлов в хронологическом порядке. Дважды щелкните узел, чтобы открыть его.
    • Сводка журнала отображает основные свойства каждого файла журнала. Дважды щелкните, чтобы открыть события для журнала.


    Глядя на этот пример, за последний час было зафиксировано шесть ошибок, а количество ошибок за последнюю неделю составило 18. Нажмите +, чтобы развернуть список ошибок:


    Дважды щелкните ошибку, чтобы открыть ее на панели сведений.


    Другие журналы приложений

    В Windows есть и другие журналы с собственными механизмами просмотра событий:

    • Диспетчер DNS
    • Диспетчер отказоустойчивого кластера
    • Доступ к IIS
    • История планировщика заданий
    • Служба компонентов Windows

    Диспетчер DNS

    Если Windows Server настроен как сервер службы доменных имен (DNS), устанавливается диспетчер DNS. В небольших сетях это обычно сервер домена Active Directory.

    Диспетчер DNS имеет собственный список событий:


    Диспетчер отказоустойчивого кластера

    Служба Windows Server Failover Clustering позволяет двум или более серверам Windows работать как кластер — отказоустойчивая конфигурация, в которой физический аппаратный сбой одного сервера автоматически обнаруживается и заменяется другим сервером. Служба отказоустойчивой кластеризации Windows Server автоматически перенаправляет весь сетевой трафик на работоспособный экземпляр, создавая высокодоступную среду. В кластере приложения подключаются к общей точке доступа — виртуальному IP-адресу или имени кластера — и Windows направляет весь трафик на нужный узел. При возникновении сбоя приложения продолжают работать в обычном режиме. Отказоустойчивая кластеризация Windows Server используется в качестве основы для современных решений высокой доступности SQL Server, таких как группы доступности AlwaysOn.

    Диспетчер отказоустойчивого кластера — это встроенное приложение Windows с собственным средством просмотра событий. Используя это средство просмотра событий, системные администраторы могут устранять неполадки, когда их кластер выходит из строя или перестает функционировать должным образом. На следующем снимке экрана показан узел просмотра событий Cluster Manager на панели навигации. При выборе этого узла будут отображаться события, связанные с кластером.


    Журналы доступа к IIS

    Журналы доступа к Internet Information Services содержат информацию о запрошенных URI и статусе, указывающем, был ли ответ успешно доставлен. Он записывает эти журналы в виде файлов в расширенном формате журнала W3C. Этот формат представляет собой тип значения, разделенного запятыми (CSV). Местоположение файла журнала указывается в параметрах ведения журнала диспетчера IIS. По умолчанию расположение:

    Например, вот файл журнала на диске C: с W3SVC1 в качестве виртуального хоста и u_ex150428 в качестве имени файла, закодированного датой 2015-04-28:

    Вот выдержка из файла журнала. Определение столбца находится в комментарии. Запрос /manager/html вернул код состояния 404, так как страница не существует.

    Журналы истории планировщика заданий

    Планировщик заданий запускает фоновые задачи и приложения по расписанию, подобно подсистеме cron в Linux. Примером может служить сценарий ночного резервного копирования, который создает резервные копии локальных баз данных SQL Server.

    С каждой задачей связаны события истории, которые вы можете просмотреть на панели сведений планировщика заданий:


    Вкратце

    Windows и связанные приложения записывают различные события в несколько журналов. Перехват и понимание этих событий является ключевой частью роли системного администратора. В этом руководстве рассказывается, как можно использовать различные методы для сбора, централизации и защиты этих журналов.

    Какие инструменты вы используете для мониторинга событий и работоспособности системы? Добавьте комментарий, чтобы сообщить нам!

    < бр />

    Брэди Гэвин


    Брэди Гэвин
    Писатель

    Брэйди Гэвин уже 15 лет занимается технологиями и написал более 150 подробных руководств и пояснений. Он рассмотрел все, от взломов реестра Windows 10 до советов по браузеру Chrome. Брэди имеет диплом в области компьютерных наук в колледже Камосан в Виктории, Британская Колумбия. Подробнее.

    Иногда лучший способ устранения неполадок операционной системы, приложения или службы – просмотреть файлы журналов, создаваемые приложением или службой в процессе своей работы. Но что такое LOG-файл и как посмотреть, что в нем содержится?

    Что такое файл журнала?

    LOG — это расширение файла для автоматически создаваемого файла, который содержит запись событий из определенного программного обеспечения и операционных систем. Хотя они могут содержать ряд вещей, файлы журналов часто используются для отображения всех событий, связанных с системой или приложением, которые их создали. Например, ваша программа резервного копирования может хранить файлы журналов, показывающие, что именно произошло (или не произошло) во время резервного копирования. Windows хранит всевозможные файлы журналов для различных служб.

    Цель файла журнала — отслеживать, что происходит за кулисами, и если что-то произойдет в сложной системе, у вас будет доступ к подробному списку событий, которые произошли до неисправности. По сути, все, что, по мнению приложения, сервера или ОС, необходимо записать.

    Хотя большинство файлов журналов имеют расширение .log, иногда приложения могут вместо этого использовать расширение .txt или другое проприетарное расширение.

    Как его открыть?

    Поскольку большинство файлов журналов записываются в виде простого текста, их можно открыть с помощью любого текстового редактора. По умолчанию Windows будет использовать Блокнот, чтобы открыть файл журнала при двойном щелчке по нему.

    Почти наверняка у вас уже есть встроенное или установленное в вашей системе приложение для открытия файлов LOG. Для начала, если у вас установлено какое-либо приложение для обработки текстов — Microsoft Word, LibreOffice, OpenOffice, Notepad++ и т. д., — вы можете открыть с его помощью файл LOG.

    Если у вас нет текстового редактора, некоторые веб-браузеры также поддерживают просмотр файлов журналов. Все, что вам нужно сделать, это перетащить файл, который вы хотите открыть, на новую вкладку.

    Ваш браузер отобразит все, что содержится в файле, на новой вкладке.

    Если вы предпочитаете, чтобы файлы LOG открывались в программе, отличной от программы по умолчанию, вы можете изменить ее. Как в Windows, так и в macOS просто щелкните файл правой кнопкой мыши и выберите команду «Открыть с помощью», чтобы выбрать программу, которую вы хотите использовать.

    Вот окно, которое появится в Windows (macOS аналогично) после того, как вы нажмете на него. Все, что вам нужно сделать, это выбрать программу, которую вы хотите использовать, установить флажок «Всегда использовать это приложение для открытия файлов .LOG» и нажать «ОК».

    Также имейте в виду, что некоторые операционные системы и приложения имеют собственные инструменты для просмотра генерируемых ими журналов. Например, события, зарегистрированные Windows и многими другими приложениями Windows, удобнее просматривать в средстве просмотра событий — инструменте, который позволяет вам искать и устранять неполадки, связанные со всевозможными проблемами Windows.

    Типы файлов
    Расширение DAT · 7Z · XML · RTF · XLSX · WEBP · EPUB · MP4 · AVI · MOBI · SVG · MP3 · REG · PHP · LOG · PPTX · PDF · MPEG · WMA · M4V · AZW · LIT
    • › Почему прозрачные чехлы для телефонов желтеют?
    • › Почему СМС должен умереть
    • › Худшее, что есть в телефонах Samsung, — это программное обеспечение Samsung.
    • › Что такое GrapheneOS и как она делает Android более приватным?
    • › Что означает XD и как вы его используете?
    • ›5 шрифтов, которые следует прекратить использовать (и лучшие альтернативы)

    Тим Фишер имеет более чем 30-летний опыт работы в сфере технологий. Он пишет о технологиях более двух десятилетий и является вице-президентом и генеральным директором Lifewire.

    В этой статье

    Перейти к разделу

    Файл с расширением LOG – это файл данных журнала (иногда называемый logfile), используемый всеми видами программного обеспечения и операционных систем для отслеживания происходящего. сведения о событии, дату и время. Его действительно можно использовать для всего, что приложение сочтет целесообразным записать.

    Например, антивирусное программное обеспечение может записывать в файл LOG информацию о результатах последнего сканирования, например о том, какие файлы и папки были просканированы или пропущены, а также какие файлы были помечены как содержащие вредоносный код.

    Программа резервного копирования файлов также может использовать файл LOG, который можно открыть позже, чтобы просмотреть предыдущее задание резервного копирования, прочитать все обнаруженные ошибки или посмотреть, куда были сохранены резервные копии файлов.

    Гораздо более простая цель некоторых файлов LOG — просто объяснить новейшие функции, которые были включены в самое последнее обновление программного обеспечения. Обычно они называются примечания к выпуску или журналы изменений.

    Как открыть файл журнала

    Данные, содержащиеся в этих файлах, обычно представляют собой обычные текстовые файлы. Вы можете прочитать файл журнала с помощью любого текстового редактора, например Блокнота Windows.

    Возможно, вы также сможете открыть его в веб-браузере. Просто перетащите его прямо в окно браузера или используйте сочетание клавиш Ctrl+O, чтобы открыть диалоговое окно для поиска файла.

    Как преобразовать файл журнала

    Чтобы изменить формат файла журнала на что-то вроде CSV, PDF или формат Excel, например XLSX, лучше всего скопировать данные в программу, которая поддерживает эти форматы файлов, а затем сохранить их как новый файл.

    Например, вы можете открыть его в текстовом редакторе, затем скопировать весь текст, вставить его в программу для работы с электронными таблицами, например Excel или OpenOffice Calc, а затем сохранить файл в формате CSV или XLSX.

    После того как вы сохранили его в формате CSV, используйте этот онлайн-конвертер CSV в JSON.

    Как выглядит файл журнала

    Этот файл LOG, созданный EaseUS Todo Backup, выглядит так, как большинство файлов LOG:

    Как видите, это сообщение, которое программа записала в файл LOG, и оно включает в себя расположение EXE-файла и точное время записи каждого сообщения.

    Однако некоторые из них могут быть не очень хорошо структурированы, и их может быть трудно читать, например этот, созданный с помощью инструмента для преобразования видео:

    Другие могут даже показаться полной тарабарщиной, поскольку нет никаких временных меток. В подобных случаях журнал записывается в файл с расширением .LOG, но не соответствует стандарту, которого придерживается большинство файлов LOG:

    Дополнительная информация о файлах журнала

    Вы можете создать свой собственный файл LOG в Windows с помощью встроенного приложения "Блокнот", и ему даже не нужно иметь это расширение файла. Просто введите .LOG в самой первой строке, а затем сохраните его как обычный файл TXT.

    Каждый раз, когда вы его открываете, текущая дата и время добавляются в конец файла. Вы можете добавить текст под каждой строкой, чтобы при ее закрытии, сохранении и повторном открытии сообщение оставалось и были доступны следующие текущие дата и время.

    Вы можете видеть, как этот простой пример начинает выглядеть как гораздо более полные файлы LOG, показанные выше:

    С помощью командной строки вы также можете автоматически создать файл журнала через командную строку при установке файла MSI.

    Все еще не можете открыть?

    Если вы получаете сообщение об ошибке прав доступа или вам сообщают, что вы не можете просмотреть файл LOG, скорее всего, он либо все еще используется программой и не откроется до тех пор, пока не будет выпущен, либо он был создан временно и уже был удален с того момента, как вы попытались его открыть.

    Возможно, вместо этого файл LOG хранится в папке, на доступ к которой у вас нет прав.

    На этом этапе, если ваш файл по-прежнему не открывается, как вы думаете, он должен еще раз проверить, правильно ли вы читаете расширение. Он должен читаться как «.LOG», но не как .LOG1 или .LOG2.

    Последние два расширения файлов связаны с реестром Windows как файлы журнала Hive и, как таковые, хранятся в двоичном виде и не читаются в текстовом редакторе. Они находятся в подпапке config папки System32.

    Хотя вы можете думать, что в Windows есть один файл журнала событий, на самом деле их много — административный, операционный, аналитический и отладочный, а также файлы журнала приложений.

    Журналы просмотра событий

    Каждая программа, которая запускается на вашем ПК, публикует уведомление в журнале событий, а каждая хорошо работающая программа публикует уведомление перед остановкой. Каждый доступ к системе, изменение безопасности, подергивание операционной системы, аппаратный сбой и сбой драйвера — все это попадает в тот или иной журнал событий.

    Средство просмотра событий сканирует эти текстовые файлы журналов, объединяет их и добавляет привлекательный интерфейс к смертельно скучному, объемному набору машинно-генерируемых данных. Думайте о Event Viewer как о программе создания отчетов для базы данных, в которой базовая база данных представляет собой всего лишь несколько простых текстовых файлов.

    Теоретически журналы событий отслеживают «важные события» на вашем ПК. На практике термин «значительный» находится в глазах смотрящего. Или программист. В обычном ходе событий немногим людям когда-либо приходилось просматривать какие-либо журналы событий. Но если ваш компьютер начинает портиться, средство просмотра событий может дать вам важную информацию об источнике проблемы.

    Как найти средство просмотра событий

    Нажмите на поле поиска в левом нижнем углу экрана. Найдите средство просмотра событий. Нажмите «Просмотр событий» в результатах поиска.

    Появится средство просмотра событий.

    Слева выберите «Пользовательские представления», а под ним — «Административные события».

    Это может занять некоторое время, но в конце концов вы увидите список заметных событий, подобный показанному.

    Даже в самой хорошо организованной системе есть множество устрашающих сообщений об ошибках — сотни, если не тысячи. Это нормально. Разбивку смотрите в таблице.

    События регистрируются различными частями Windows.

    Другие журналы для проверки

    Вы можете видеть не только журнал административных событий; это квинтэссенция других журналов событий с упором на то, что может захотеть увидеть простой человек.

    Другие журналы включают следующее:

    События приложений: программы сообщают о своих проблемах.

    События безопасности. Они называются "аудитами" и отображают результаты действий по обеспечению безопасности. Результаты могут быть успешными или неудачными в зависимости от события, например, когда пользователь пытается войти в систему.

    События установки. В основном это относится к контроллерам домена, о которых вам не нужно беспокоиться.

    Системные события. Большинство ошибок и предупреждений, отображаемых в журнале административных событий, связаны с системными событиями. Это отчеты из системных файлов Windows о проблемах, с которыми они столкнулись. Почти все они самовосстанавливаются.

    Перенаправленные события: они отправляются на этот компьютер с других компьютеров.

    Читайте также: