Просмотр событий Windows XP

Обновлено: 02.07.2024

Обновление от 18 мая 2020 г.: похоже, в Windows 10 1909 этой проблемы нет.

Несмотря на то, что эра Windows XP закончилась, все еще существует большое количество компьютеров, работающих под управлением этой операционной системы или Windows 2003 Server. Согласно разным исследованиям, в 2018 году доля рынка Windows XP составляла более 4% всех настольных операционных систем. Windows 2003 Server по-прежнему используется более чем в 10% серверных операционных систем. Кроме того, Microsoft по-прежнему поддерживает Windows Embedded POSReady 2009, основанную на Windows XP.

Это означает, что миллионы компьютеров по всему миру по-прежнему работают под управлением ОС на базе XP и регистрируют свои события в классических (evt) журналах событий.

Когда в 2007 году появилась Windows Vista, в ней появился новый формат журнала событий, а также новое средство просмотра событий. Этот Event Viewer прошел через Windows 7, 8 и добрался до Windows 10 практически без изменений. Он был разработан для открытия файлов журнала событий в обоих форматах — новом (evtx) и устаревшем (evt).

К сожалению, Windows API больше не поддерживает файлы evt, а функция API OpenBackupEventLog возвращает ошибку 1500 (файл журнала поврежден) при открытии файлов evt. Вот почему многие сторонние средства просмотра событий не могут читать файлы evt в современных Windows. Средство просмотра событий анализирует файлы evt и отображает их как собственные файлы evtx. Однако средство просмотра событий Windows 10 перестало работать корректно. Во-первых, мы заметили, что оно не отображает дату и время события для файлов журнала evt, экспортированных с помощью Event Log Explorer (наше приложение может экспортировать события в устаревший формат). Предполагая, что эта проблема может быть ошибкой Event Log Explorer, мы взяли несколько файлов журналов событий из Windows XP — мы сохранили несколько журналов событий в виде файлов с помощью Windows XP Event Viewer и получили пару «живых» устаревших журналов событий. В каждом случае средству просмотра событий Windows 10 не удавалось отобразить дату и время события для этих файлов журнала.

Поскольку отметка времени события является ключевым полем для любой судебной экспертизы, это делает невозможным использование средства просмотра событий Windows в качестве криминалистического инструмента для анализа устаревшего журнала.

Event Log Explorer не имеет этой проблемы и правильно отображает дату и время события.

Windows использует журнал событий Windows XP для отслеживания ряда важных событий в системе и программах. Он делает это в фоновом режиме, поэтому вы ничего не заметите, пока не откроете журнал событий для проверки.

Журнал событий Windows XP — отличная отправная точка при устранении неполадок на компьютере.

Все должны время от времени проверять журнал событий. Это может открыть удивительные возможности для улучшения, вы можете быть удивлены. Даже на поющем компьютере.

Всегда есть возможности для улучшения.

Используйте средство просмотра событий для проверки содержимого журнала событий:

• Нажмите кнопку "Пуск".
• Выберите "Выполнить".
• Введите "eventvwr" (без кавычек) в поле "Открыть".
• Нажмите "ОК".

Windows открывает средство просмотра событий.

В левой части экрана вы увидите (как минимум) три типа журналов, которые поддерживает Windows XP:

• Журнал приложений: здесь приложения/программы регистрируют свои события. Например, когда ваш антивирусный сканер обнаруживает проблему, он может сообщить об этом через журнал приложений. Разработчики программы несут ответственность за тип событий, которые регистрируются здесь. Именно там вы часто можете найти ОЧЕНЬ полезную информацию о вещах, которые идут не так, как надо за кулисами. Вещи, которые могут значительно замедлить работу вашего компьютера.
• Журнал безопасности: используется, чтобы обратить ваше внимание на действительные и недействительные попытки входа в систему. Также здесь можно регистрировать доступ к файлам, создание и удаление файлов. У вас должна быть учетная запись с правами администратора, чтобы включать, использовать и указывать, какие события регистрируются в журнале безопасности.
• Системный журнал: здесь вы найдете события, зарегистрированные системными компонентами Windows. Также может раскрыть ОЧЕНЬ интересную информацию об устранении неполадок в вашей системе.

Теперь щелкните системный журнал в левой части экрана. С правой стороны (в области сведений) вы увидите список сгенерированных системных событий, организованный в несколько столбцов.

Вы можете нажать на заголовки столбцов, чтобы отсортировать столбцы. Нажмите еще раз на заголовок того же столбца, чтобы выполнить сортировку в другом направлении.

Вы можете чувствовать себя немного ошеломленным переизбытком информации здесь и возможным появлением желтых вопросительных знаков (предупреждений).

Три типа событий в журнале событий Windows XP

В основном существует три типа событий: информация, предупреждение и ошибка.

Не нужно беспокоиться об информативных событиях: они просто информируют вас о том, что что-то произошло, например. загрузился драйвер или запущена служба.

Предупреждения: не критично. Может свидетельствовать о будущих проблемах, например, когда заканчивается место на диске.

Ошибки: постарайтесь избавиться от них. Они указывают на серьезную проблему, такую ​​как сбой критической задачи. Например, когда системная служба не запускается. Это может привести к потере данных или функциональности.

Если вы изолировали событие ошибки в журнале событий Windows XP, которое хотите устранить, дважды щелкните событие на панели сведений средства просмотра событий. Windows открывает диалоговое окно свойств события с подробной информацией о событии.

Предложение решения для каждого возможного события в журнале событий Windows XP выходит за рамки и возможности этой статьи. Вы можете записать идентификатор события в диалоговом окне свойств события и выполнить поиск этого идентификатора события в Google или вашей любимой поисковой системе, чтобы начать работу.

Чтобы лучше понять журнал событий, нажмите Richt на "Приложение", "Система" или "Безопасность" в средстве просмотра событий и выберите "Свойства". Windows открывает это диалоговое окно свойств:

Здесь вы можете отследить системный файл, в котором хранится информация журнала событий. Это диалоговое окно также позволяет вам управлять максимальным размером журнала событий и действием, которое вы хотите, чтобы Windows выполняла при заполнении журнала событий. По умолчанию события старше 7 дней перезаписываются.

В целях устранения неполадок может потребоваться экспорт журналов событий Windows.

Решение

Экспорт журналов событий Windows

Windows 8/8.1/10, Windows Server 2012/2016/2019:
- нажмите Win + R;
- в открывшемся окне "Выполнить" введите eventvwr.msc и нажмите Enter

Windows 7/8/8.1/2008/2008R2/2012/2012R2 и более поздние версии

• Windows 7/8/8.1, Windows Vista, Windows Server 2008/2008R2/2012/2012R2 и более поздние версии: Действие > Сохранить все события как.
• Windows XP/2000/2003: Действие ->Сохранить файл журнала как(!) Рекомендуется сохранить Систему и журналы событий приложений и присвойте им соответствующие имена.

Просмотр журналов событий Windows

Windows 8/8.1/10, Windows Server 2012/2016/2019:
- нажмите Win + R;
- в открывшемся окне "Выполнить" введите eventvwr.msc и нажмите Enter

• Windows 7/8/8.1/10, Windows Vista, Windows Server 2008 и более поздние версии: Действие –> Открыть сохраненный журнал
• Windows XP/2000/2003: Действие –>Открыть файл журнала.

(!) Если журнал находится в ZIP-файле, сначала извлеките его.

(!) В Windows XP при открытии журнала необходимо выбрать тип журнала (Приложение, Система, Безопасность и т. д.).

Крис Хоффман

< бр />

Крис Хоффман
Главный редактор

Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld.Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.

В средстве просмотра событий Windows отображается журнал приложений и системных сообщений, включая ошибки, информационные сообщения и предупреждения. Это полезный инструмент для устранения всевозможных неполадок Windows.

Обратите внимание, что даже правильно функционирующая система будет отображать различные предупреждения и ошибки в журналах, которые вы можете просмотреть с помощью средства просмотра событий. Мошенники даже иногда используют этот факт, чтобы обмануть людей, заставив их поверить в то, что в их системе есть проблема, которую может решить только мошенник. В одном печально известном мошенничестве человек, утверждающий, что он из Microsoft, звонит кому-то и дает указание открыть средство просмотра событий. Человек обязательно увидит здесь сообщения об ошибках, и мошенник запросит номер кредитной карты человека, чтобы исправить их.

Как правило, при условии, что ваш компьютер работает правильно, вы можете игнорировать ошибки и предупреждения, которые появляются в средстве просмотра событий. Тем не менее, стоит иметь базовые практические знания об этом инструменте и знать, когда он может быть вам полезен.

Запуск средства просмотра событий

Чтобы запустить средство просмотра событий, просто нажмите "Пуск", введите "Просмотр событий" в поле поиска и нажмите на результат.

События помещаются в разные категории, каждая из которых связана с журналом, который Windows ведет для событий, относящихся к этой категории. Хотя существует множество категорий, огромное количество действий по устранению неполадок, которые вы, возможно, захотите выполнить, относятся к трем из них:

• Приложение. В журнале приложений записываются события, связанные с системными компонентами Windows, такими как драйверы и встроенные элементы интерфейса.
• Система: в системный журнал записываются события, связанные с программами, установленными в системе.
• Безопасность. Если ведение журнала безопасности включено (в Windows оно отключено по умолчанию), в этот журнал записываются события, связанные с безопасностью, например попытки входа в систему и доступ к ресурсам.

Не паникуйте!

Вы обязательно увидите некоторые ошибки и предупреждения в средстве просмотра событий, даже если ваш компьютер работает нормально.

Просмотр событий помогает системным администраторам следить за своими компьютерами и устранять неполадки. Если с вашим компьютером нет проблем, ошибки здесь вряд ли будут важны. Например, вы часто будете видеть ошибки, указывающие на сбой программы в определенное время (это могло произойти несколько недель назад) или на то, что службу не удалось запустить в Windows, но, вероятно, она была запущена при последующей попытке.

На изображении ниже, например, вы можете видеть, что возникла ошибка, когда клиентская служба Steam не смогла своевременно запуститься. Однако у нас не было проблем с клиентом Steam на тестовом компьютере, так что, скорее всего, это разовая ошибка, которая исправилась при последующем запуске.

Теоретически другие приложения также должны записывать события в эти журналы. Однако многие приложения не предоставляют очень полезную информацию о событиях.

Использование средства просмотра событий

В этот момент вы, вероятно, задаетесь вопросом, зачем вам программа просмотра событий, но на самом деле она может быть полезна, если вы устраняете конкретную проблему. Например, если ваш компьютер показывает синий экран или случайно перезагружается, программа просмотра событий может предоставить дополнительную информацию о причине. Например, событие ошибки в разделе «Системный журнал» может информировать вас о сбое драйвера оборудования, что может помочь определить неисправный драйвер или неисправный компонент оборудования. Просто найдите сообщение об ошибке, связанное со временем зависания или перезагрузки компьютера — сообщение об ошибке о зависании компьютера будет помечено как критическое.

Вы также можете найти определенные идентификаторы событий в Интернете, что может помочь найти информацию, относящуюся к ошибке, с которой вы столкнулись. Просто дважды щелкните ошибку в средстве просмотра событий, чтобы открыть окно ее свойств, и найдите запись «Идентификатор события».

Есть и другие интересные способы использования средства просмотра событий. Например, Windows отслеживает время загрузки вашего компьютера и регистрирует его в журнале событий, поэтому вы можете использовать средство просмотра событий, чтобы узнать точное время загрузки вашего ПК. Если вы используете сервер или другой компьютер, который должен редко выключаться, вы можете включить отслеживание событий выключения. Всякий раз, когда кто-то выключает или перезагружает компьютер, он должен указать причину. Вы можете просмотреть каждое завершение работы или перезагрузку системы и их причину в средстве просмотра событий.

• › Как узнать, кто вошел в компьютер (и когда)
• › Что такое файл журнала (и как его открыть)?
• › Как просмотреть системный журнал на Mac
• › PSA: если компания звонит вам без запроса, возможно, это мошенничество.
• › Что такое хост поставщика WMI (WmiPrvSE.exe) и почему он использует так много ресурсов ЦП?
• › Самые полезные сочетания клавиш для панели задач Windows
• › Скажите своим родственникам: нет, Microsoft не будет звонить вам по поводу вашего компьютера
• › Как восстановить метки панели задач в Windows 11

Читайте также:

  
• Ускорение ПК, как удалить в Windows 10
  
• Как запустить Truckers 2 на Windows 8
  
• Как установить Windows XP на виртуальный бокс
  
• Как обновить Linux Mint до последней версии
  
• Серьезный Сэм 3 не запускается на Windows 10