Служба регистрации ошибок Windows

Обновлено: 02.07.2024

Журналы – это записи событий, происходящих на вашем компьютере, будь то действия пользователя или работающего процесса. Они помогают отслеживать, что произошло, и устранять неполадки.

Журнал событий Windows содержит журналы операционной системы и приложений, таких как SQL Server или службы IIS. Журналы используют формат структурированных данных, что упрощает их поиск и анализ. Некоторые приложения также записывают файлы журналов в текстовом формате. Например, журналы доступа IIS.

В этой статье рассматриваются интерфейс и функции средства просмотра событий, а также представлены другие основные журналы приложений и служб. Приведены примеры, чтобы дать вам полное представление о том, как мониторинг событий может помочь вам управлять своими системами для обеспечения работоспособности и безопасности.

Журналы событий Windows

Просмотр событий Windows отображает журналы событий Windows. Используйте это приложение для просмотра журналов и навигации по ним, поиска и фильтрации определенных типов журналов, экспорта журналов для анализа и многого другого. Мы покажем вам, как получить доступ к средству просмотра событий Windows и продемонстрируем доступные функции.

Запуск средства просмотра событий Windows

Доступ к средству просмотра событий Windows Server 2019 можно получить несколькими способами:

  • Панель управления Windows
  • Диспетчер серверов
  • Центр администрирования Windows
  • Управление компьютером
  • Службы компонентов
  • Командная строка

Панель управления Windows

Панель управления — это стандартный компонент Windows для просмотра и изменения системных настроек. Его можно найти в выпусках Windows Server и Windows для настольных ПК. Чтобы получить доступ к средству просмотра событий:


Диспетчер серверов

Консоль диспетчера серверов позволяет управлять настройками на локальном и удаленных серверах. Чтобы получить доступ к средству просмотра событий из диспетчера серверов:


Центр администрирования Windows

Windows Admin Center – это браузерное приложение для управления серверами, кластерами, настольными ПК и другими компонентами инфраструктуры. Чтобы получить доступ к средству просмотра событий из центра администрирования Windows:

  1. Откройте Центр администрирования Windows в поддерживаемом браузере.
    1. Нажмите "События".


    Управление компьютером

    Консоль управления компьютером обеспечивает доступ к административным задачам на локальном или удаленном сервере. Чтобы открыть средство просмотра событий из управления компьютером:


    Служба компонентов Windows

    Еще одним встроенным приложением является Диспетчер служб компонентов Windows, который позволяет нам настраивать приложения DCOM, работающие в Windows. Средство просмотра событий Windows также доступно из диспетчера служб компонентов:


    Командная строка

    Наконец, вы можете открыть средство просмотра событий непосредственно из командной строки. Для этого:

    Использование интерфейса средства просмотра событий Windows

    Просмотр событий имеет интуитивно понятный пользовательский интерфейс. Главный экран разделен на три части:

    • Панель навигации
    • Панель сведений
    • Панель действий

    Вы можете создавать сводные и настраиваемые представления. Мы расскажем вам об этих вариантах.

    Панель навигации

    На панели навигации вы выбираете журнал событий для просмотра. По умолчанию существует пять категорий журналов Windows:

    • Приложение — информация, регистрируемая приложениями, размещенными на локальном компьютере.
    • Безопасность. Информация о попытках входа в систему (успешных и неудачных), повышенных привилегиях и других проверенных событиях.
    • Настройка — сообщения, генерируемые при установке и обновлении операционной системы Windows. Если система Windows является контроллером домена, эти сообщения также регистрируются здесь.
    • Система — сообщения, созданные операционной системой Windows.
    • Переадресованные события — события, пересылаемые другими компьютерами, когда локальный компьютер функционирует как центральный подписчик.

    Есть также раздел для журналов приложений и служб, включая категории для аппаратных событий, событий Internet Explorer и Windows PowerShell.

    Панель навигации средства просмотра событий:


    Панель сведений

    При открытии средства просмотра событий на панели сведений отображаются обзор и сводка. Мы обсудим сводные представления позже. Выберите элемент на панели навигации, чтобы просмотреть список событий.

    Записи о событиях по умолчанию перечислены в хронологическом порядке, причем самые последние события находятся вверху.Щелкните заголовок любого столбца, чтобы отсортировать события по этому полю в порядке возрастания или убывания. Второй щелчок в заголовке того же столбца меняет порядок сортировки на противоположный. Например, нажмите «Уровень», чтобы отсортировать по серьезности. Символ вставки ^ или обратная вставка указывает на поле сортировки и направление сортировки.

    Каждое событие имеет уровень серьезности:

    < td width="591">Критические сообщения указывают на возникновение серьезной проблемы.
    Информационные сообщения указывают на успешное действие.
    Предупреждающие сообщения указывают на то, что произошло событие, которое может стать проблемой.
    Сообщения об ошибках указывают на возникновение серьезной проблемы.
    Аудит связан с успехом с событиями безопасности.
    Ошибка аудита связана с событиями безопасности.

    Панель сведений средства просмотра событий с ошибками и предупреждениями:


    Нажмите на событие, чтобы отобразить подробную информацию. В этом примере мы видим источник выделенного события (TerminalServices-Printers), а также дату и время его возникновения. На вкладке «Общие» отображается дополнительная информация: необходимо установить драйвер принтера.

    Панель сведений средства просмотра событий, вкладка "Общие":


    Откройте вкладку "Подробности", чтобы просмотреть необработанные данные о событиях. Вы можете переключаться между дружественным представлением и представлением XML.



    Вы можете щелкнуть событие правой кнопкой мыши и выбрать «Копировать» > «Копировать сведения как текст», а затем вставить результаты в текстовый редактор. Перечислены системные поля, за которыми следует все событие в формате XML.

    Для этой критической ошибки мы видим, что система неожиданно отключилась.


    Панель действий

    Панель «Действия» обеспечивает быстрый доступ к действиям, доступным для текущего выбора. Панель действий разделена на две части:

    • Действия, доступные для выбранного журнала панели навигации
    • Действия, доступные для выбранного события в области сведений.

    В этом примере мы выбрали журнал приложений и событие 9027, диспетчер окон рабочего стола:


    Как видите, существует ряд возможных действий, когда определенный журнал событий активен. Например, нажмите «Фильтровать текущий журнал», чтобы найти определенное событие или группу событий. Всплывающее окно позволяет указать критерии запроса. Когда вы нажмете OK, отфильтрованные результаты отобразятся на панели сведений.


    Очистка больших журналов

    Вы можете выполнить некоторую очистку выбранного журнала с помощью действия «Очистить журнал», если он станет слишком большим. Это удалит все события, сохраненные в журнале. Чтобы проверить размер файлов журналов, выберите «Журналы Windows» или «Журналы приложений и служб» на панели навигации. Количество событий и размер отображаются на панели сведений.


    Экспорт событий

    Вы можете нажать Сохранить все события как или Сохранить все события в пользовательском представлении как (выбранные события) или Сохранить все события как (все события), чтобы экспортировать события из текущего журнала в файл событий. Файл событий имеет расширение EVTX.

    Где бы вы использовали такие функции? Предположим, вы хотите отправить информацию о состоянии вашей системы стороннему поставщику — вы можете предоставить им экспортированный файл событий. Кроме того, вы можете заархивировать свои журналы перед их удалением или отправить сохраненные журналы на централизованный резервный носитель. Удобно сохранять журналы событий в файле событий. Администраторы нажимают «Открыть сохраненный журнал» и переходят к расположению журнала, чтобы открыть сохраненный журнал.

    Пользовательские представления

    Просмотр событий позволяет легко создавать собственные представления. Это обеспечивает быстрый доступ, если вы заинтересованы в определенных типах событий или событий в зависимости от уровня серьезности.

    Создайте собственное представление:

    Теперь доступно ваше пользовательское представление.


    Подобно сохранению журналов в файле событий, вы можете экспортировать пользовательские представления.

    1. Выберите пользовательское представление на панели навигации.
    2. Нажмите «Экспорт пользовательского представления» на панели «Действия».
    3. Введите имя XML-файла, который нужно создать для пользовательского представления.

    Файл XML можно импортировать в средство просмотра событий в другой системе, нажав «Импортировать настраиваемое представление» и перейдя к местоположению файла.

    Сводные просмотры

    Просмотр событий (локальный) — это верхний узел на панели навигации. Если этот флажок установлен, обзор и сводка отображаются на панели сведений.

    • Сводка административных событий отображает итоги для всех типов событий в течение недели.
    • Недавно просмотренные узлы отображают историю просмотренных узлов в хронологическом порядке. Дважды щелкните узел, чтобы открыть его.
    • Сводка журнала отображает основные свойства каждого файла журнала. Дважды щелкните, чтобы открыть события для журнала.


    Глядя на этот пример, за последний час было зафиксировано шесть ошибок, а количество ошибок за последнюю неделю составило 18. Нажмите +, чтобы развернуть список ошибок:


    Дважды щелкните ошибку, чтобы открыть ее на панели сведений.


    Другие журналы приложений

    В Windows есть и другие журналы с собственными механизмами просмотра событий:

    • Диспетчер DNS
    • Диспетчер отказоустойчивого кластера
    • Доступ к IIS
    • История планировщика заданий
    • Служба компонентов Windows

    Диспетчер DNS

    Если Windows Server настроен как сервер службы доменных имен (DNS), устанавливается диспетчер DNS. В небольших сетях это обычно сервер домена Active Directory.

    Диспетчер DNS имеет собственный список событий:


    Диспетчер отказоустойчивого кластера

    Служба Windows Server Failover Clustering позволяет двум или более серверам Windows работать как кластер — отказоустойчивая конфигурация, в которой физический аппаратный сбой одного сервера автоматически обнаруживается и заменяется другим сервером. Служба отказоустойчивой кластеризации Windows Server автоматически перенаправляет весь сетевой трафик на работоспособный экземпляр, создавая высокодоступную среду. В кластере приложения подключаются к общей точке доступа — виртуальному IP-адресу или имени кластера — и Windows направляет весь трафик на правильный узел. При возникновении сбоя приложения продолжают работать в обычном режиме. Отказоустойчивая кластеризация Windows Server используется в качестве основы для современных решений высокой доступности SQL Server, таких как группы доступности AlwaysOn.

    Диспетчер отказоустойчивого кластера — это встроенное приложение Windows с собственным средством просмотра событий. Используя это средство просмотра событий, системные администраторы могут устранять неполадки, когда их кластер выходит из строя или перестает функционировать должным образом. На следующем снимке экрана показан узел просмотра событий Cluster Manager на панели навигации. При выборе этого узла будут отображаться события, связанные с кластером.


    Журналы доступа к IIS

    Журналы доступа к Internet Information Services содержат информацию о запрошенных URI и статусе, указывающем, был ли ответ успешно доставлен. Он записывает эти журналы в виде файлов в расширенном формате журнала W3C. Этот формат представляет собой тип значения, разделенного запятыми (CSV). Местоположение файла журнала указывается в параметрах ведения журнала диспетчера IIS. По умолчанию расположение:

    Например, вот файл журнала на диске C: с W3SVC1 в качестве виртуального хоста и u_ex150428 в качестве имени файла, закодированного датой 2015-04-28:

    Вот выдержка из файла журнала. Определение столбца находится в комментарии. Запрос /manager/html вернул код состояния 404, так как страница не существует.

    Журналы истории планировщика заданий

    Планировщик заданий запускает фоновые задачи и приложения по расписанию, подобно подсистеме cron в Linux. Примером может служить сценарий ночного резервного копирования, который создает резервные копии локальных баз данных SQL Server.

    С каждой задачей связаны события истории, которые вы можете просмотреть на панели сведений планировщика заданий:


    Вкратце

    Windows и связанные приложения записывают различные события в несколько журналов. Перехват и понимание этих событий является ключевой частью роли системного администратора. В этом руководстве рассказывается, как можно использовать различные методы для сбора, централизации и защиты этих журналов.

    Какие инструменты вы используете для мониторинга событий и работоспособности системы? Добавьте комментарий, чтобы сообщить нам!

    Самая распространенная причина, по которой люди просматривают журналы Windows, – это поиск и устранение неполадок в своих системах или приложениях.

    В этой статье представлены распространенные примеры использования для устранения неполадок, связанных с безопасностью, сбоями и неисправными службами. Примеры демонстрируют диагностику основной причины проблемы с помощью событий в ваших журналах. Не забудьте проверить предупреждения и ошибки, связанные с критическим событием, чтобы увидеть общую картину.

    События журнала безопасности

    Журнал безопасности включает события, связанные с безопасностью, особенно связанные с аутентификацией и доступом. Эти журналы — лучшее место для поиска попыток несанкционированного доступа к вашей системе.

    Следующие события имеют особое значение в журнале безопасности:

    Вы успешно вошли в систему

    Эти события включают все успешные попытки входа в систему. Каждое событие включает категории информации:

    • Подробности журнала: имя журнала, источник, серьезность, идентификатор события и другая информация журнала.
    • Тема – имя учетной записи, домен и информация о безопасности для входа в систему.
    • Информация для входа в систему — тип — это метод, используемый для входа в систему, например с помощью локальной или удаленной клавиатуры (по сети). Значение этого поля выражается целым числом, чаще всего это 2 (локальная клавиатура) и 3 (сетевая). Также доступны дополнительные сведения о входе в систему.
    • Уровень олицетворения — какие полномочия предоставляются серверу, когда он олицетворяет клиента.
    • Новый вход — имя, домен и другие данные для нового входа в систему для учетной записи, в которую выполнен вход.
    • Информация о процессе — имя и идентификатор исходного процесса.
    • Информация о сети — имя, IP-адрес и порт, на который поступил запрос на удаленный вход. возник. Эти значения остаются пустыми для локальных входов или если информация не может быть найдена.
    • Подробная информация об аутентификации — подробная информация об этом конкретном запросе на вход.

    Чтобы получить объяснение всех возможных полей, найдите идентификатор события вашего журнала. Например, успешные попытки входа имеют идентификатор события 4624, которые описаны здесь. В этом примере показано событие успешного входа в систему, сгенерированное в системе, к которой осуществляется доступ, при создании сеанса входа в систему.

    Не удалось войти в систему

    Проверьте журналы безопасности Windows на наличие неудачных попыток входа в систему и незнакомых шаблонов доступа. Сбои аутентификации происходят, когда человек или приложение передает неверные или иным образом недействительные учетные данные для входа. Неудачные попытки входа имеют идентификатор события 4625.
    Эти события показывают все неудачные попытки входа в систему. Это может быть связано с тем, что кто-то пытается взломать систему. Однако это также может означать, что кто-то забыл свой пароль, срок действия учетной записи истек или приложение было настроено с неправильным паролем. Эти события включают следующую информацию.

    • Подробности журнала — имя, источник и другая информация журнала.
    • Тема – имя учетной записи, домен и информация о безопасности при входе в систему.
    • Тип входа — метод, используемый для входа, например, с помощью локальной или удаленной клавиатуры (по сети). Значение этого поля выражается целым числом, чаще всего это 2 (локальная клавиатура) и 3 (сетевая).
    • Учетная запись, для которой произошел сбой входа — имя, домен и другие сведения о неудачном входе.
    • Информация о сбое — причина сбоя и статус попытки.
    • Информация о процессе — имя и идентификатор исходного процесса.
    • Информация о сети — имя, IP-адрес и порт, откуда поступил запрос на удаленный вход. Эти значения остаются пустыми для локальных входов или если информация не может быть найдена.
    • Подробная информация об аутентификации — подробная информация об этом конкретном запросе на вход.

    Чтобы узнать больше, вы можете прочитать описание всех полей этого события.

    Вот пример неудачной попытки входа в систему, сгенерированной системой, к которой осуществляется доступ, когда попытка не удалась:

    Приложению не удалось войти в систему

    Хорошо написанные приложения также регистрируют события сбоя аутентификации. Вот пример неудачной попытки входа в систему SQL Server. Он включает информацию о том, кто пытался войти в систему и почему попытка не удалась.

    Назначение особых привилегий

    Журнал безопасности фиксирует события, когда учетной записи были предоставлены повышенные привилегии. Несколько разных идентификаторов событий соответствуют событиям назначения привилегий, но событие с идентификатором 4672 предназначено для назначения специальных привилегий. В этом примере пользователю предоставлены права локального администратора. Подробности показывают новую привилегию, кто ее предоставил, а также группу, в которую был добавлен аккаунт.


    Вы можете написать собственные скрипты для фильтрации этих событий для отчетов аудита безопасности. Вы также можете создать собственное представление для просмотра этих событий.

    Эти события включают все успешные входы пользователей с правами администратора.Информация включает такие элементы, как:

    • Сведения о журнале – название, источник и другая информация журнала.
    • Тема – имя учетной записи, домен и информация о безопасности при входе в систему.
    • Участник — добавлен идентификатор безопасности и имя учетной записи
    • Группа — идентификатор безопасности, имя группы и добавленный домен
    • Привилегии – список всех привилегий, назначенных пользователю.

    Чтобы узнать больше, вы можете прочитать описание всех полей этого события журнала.

    Вот еще один пример события с повышенными правами.

    Почему произошел сбой моего сервера или приложения?

    Если вы пытаетесь выяснить, почему произошел сбой вашего сервера или приложения, журнал событий – отличное место для начала поиска. Журналы приложений и системы могут сообщить вам, когда и почему произошел сбой. Например, это может дать вам подсказку, если это произошло из-за проблемы с системой или приложением.

    Почти все критические ошибки создают более одной записи в журнале событий. Обычно перед последней критической ошибкой имеется ряд предыдущих предупреждений или ошибок. При устранении неполадок обязательно просматривайте сообщения, предшествующие ошибке сбоя.

    Чтобы найти эти события, отфильтруйте данные журнала по определенному имени приложения, затем по критическим событиям или ошибкам и, наконец, отсортируйте их по дате. Вот три наиболее распространенных события при устранении сбоя:

    • Неожиданная перезагрузка
    • Приложение зависает
    • Ошибка приложения

    Неожиданная перезагрузка

    В журнале появляется непредвиденная ошибка перезагрузки, когда система не может корректно завершить работу и перезапуститься. Вероятная причина этой ошибки — зависание операционной системы или отказ питания сервера. Найдите события, предшествующие перезагрузке, чтобы увидеть возможную основную причину.

    Вот выдержка из неожиданной перезагрузки:

    Зависание приложения

    Ошибка зависания приложения появляется в журнале событий, когда программа, запущенная на вашем сервере, перестает отвечать на запросы. В этом случае оборудование вашего сервера и операционная система работали нормально, но приложение либо застряло в цикле, либо ожидало недоступный ресурс.

    В этом примере показано, как приложение перестало отвечать Windows, и Windows закрыла его.

    Ошибка приложения

    Ошибка сбоя приложения появляется в журнале событий, когда программа, работающая на вашем сервере, обнаруживает критическую ошибку. Эта ошибка обычно связана с ошибкой в ​​коде приложения или с нехваткой памяти. Вот пример неисправной DLL для svchost.exe.

    Поиск основной причины отказа службы

    Служба Windows – это приложение особого типа, которое работает в фоновом режиме и имеет собственный сеанс Windows. Люди часто хотят знать, почему та или иная служба не запустилась или не работала успешно.

    Вы можете найти сбои службы в журнале приложений, отфильтровав источник Service Control Manager, а затем отфильтровав критические события или ошибки. Ниже приведены распространенные примеры событий, связанных со сбоем службы.

    • Не удалось запустить службу
    • Время ожидания службы
    • Ошибка Центра обновления Windows
    • Запланированная задача отложена или не выполнена

    Не удалось запустить службу

    Эта ошибка регистрируется, когда служба не запускается нормально. В этом примере клиент групповой политики не запустился вовремя. Событие и его сообщение указывают, когда возникла проблема. Просмотрите предыдущие сообщения, чтобы определить основную причину.

    Тайм-аут службы

    Ошибка тайм-аута службы появляется, когда служба не запускается в течение ожидаемого периода времени (по умолчанию — три секунды). Обычно службы предназначены для быстрого запуска и непрерывной работы для распределения вычислительной нагрузки. Эта ошибка может быть связана с тем, что служба ожидает недоступный ресурс. В этом примере показано событие, созданное службой отчетов об ошибках Windows.

    Сбой Центра обновления Windows

    Одна из задач системного администратора — следить за тем, не получают ли компьютеры в сети обновления Windows.

    Служба обновления Windows Server (WSUS) — это инструмент управления исправлениями, который автоматически загружает и применяет исправления и обновления безопасности для продуктов Microsoft с веб-сайта Microsoft. В большинстве производственных установок администраторы хотят иметь какой-то контроль над тем, какие исправления применяются и когда они применяются. Это сделано для того, чтобы избежать неожиданного поведения, такого как автоматическая перезагрузка или сбой приложений после цикла исправления. Во многих организациях для загрузки всех исправлений используется централизованный сервер WSUS, а затем администраторы планируют их распространение. Важно следить за статусом запуска Центра обновления Windows.

    В этом примере обновление Microsoft не удалось установить, и был сгенерирован код ошибки (0x80240017). Мы можем найти дополнительную информацию.

    Запланированная задача отложена или не выполнена

    Еще одна служба, которую люди часто используют, — это Планировщик заданий Windows. Это похоже на демон cron в Linux.Вы можете регулярно планировать и запускать программы, сценарии или команды. Задачи можно планировать на определенное время или запускать в ответ на триггер. Например, задача может запускать сценарий резервного копирования PowerShell каждую ночь или копировать файлы на FTP-сервер раз в неделю.

    События, сгенерированные планировщиком заданий Windows, могут помочь подтвердить, выполняются ли ваши задачи в соответствии с заданными вами триггерами и расписаниями или они не запускаются. Окно планировщика заданий имеет собственное средство просмотра событий. Вот пример события из журнала.

    С какими еще вариантами устранения неполадок вы сталкиваетесь? Добавьте свои комментарии и дайте нам знать!

    Служба журнала событий Windows поддерживает набор журналов событий, которые система, системные компоненты и приложения используют для записи событий. Служба предоставляет функции, которые позволяют программам поддерживать журналы событий и управлять ими, а также выполнять операции с журналами, такие как архивирование и очистка. Таким образом, администраторы могут вести журналы событий и выполнять административные задачи, требующие прав администратора.

    Служба журнала событий Windows не запускается или не работает

    • Планировщик заданий
    • Календарь событий Windows
    • Папки обмена сообщениями

    В таком случае вы можете получить сообщения об ошибках, например:

    Служба журнала событий недоступна. Убедитесь, что служба запущена

    Windows не удалось запустить службу журнала событий Windows на локальном компьютере

    Сначала перезагрузите систему и посмотрите, поможет ли это. Иногда простой перезапуск помогает повторно инициализировать эту службу. Если журнал событий Windows отображается как запущенный, перезапустите его из диспетчера служб.

    Чтобы проверить, запущена или остановлена ​​служба журнала событий Windows, запустите services.msc и нажмите Enter, чтобы открыть диспетчер служб. Здесь снова щелкните правой кнопкой мыши Службу журнала событий Windows, проверьте ее свойства.


    < /p>

    Убедитесь, что для параметра "Тип запуска" установлено значение "Автоматически" и что службы запущены; и что он работает в учетной записи локальной службы.


    Также убедитесь, что на вкладке «Восстановление» во всех трех раскрывающихся списках отображается параметр «Перезапустить службу» в случае сбоя. Перезагрузитесь, если требуется.


    Иногда служба журнала событий Windows по-прежнему не запускается, и вместо этого вы можете получить следующее сообщение об ошибке:

    Системе не удается найти указанный файл

    В этом случае откройте следующую папку:

    Эта папка журналов содержит журналы событий в формате .evtx и может быть прочитана только с помощью средства просмотра событий. Предоставьте этой папке журналов права доступа на чтение и запись и посмотрите, поможет ли это.

    Вы также можете сделать следующее.

    Откройте редактор реестра и перейдите к следующему разделу:

    Служба журнала событий Windows не запускается

    Дважды щелкните ObjectName и убедитесь, что его значение равно NT AUTHORITY\LocalService. Если это не так, измените его.

    Если это по-прежнему не помогает, запустите средство проверки системных файлов и просмотрите его журналы.

    событие Windows служба журнала недоступна

    "Служба журнала событий недоступна" — известная ошибка Windows. Я неоднократно сталкивался с этой проблемой при долгом использовании Windows. В большинстве случаев причиной являются либо испорченные права доступа к файлам, либо невозможность перезапуска службы событий журнала Windows. Вот как это можно быстро исправить.

    Служба журнала событий недоступна

    Что такое служба журнала событий?

    Служба журнала событий, как следует из названия, представляет собой встроенную сервисную программу Windows. Расположение программы журнала событий: C:\Windows\System32\svchost.exe. По сути, он регистрирует всю информацию, а также сообщения об ошибках в текстовом файле. Большинство внутренних системных заданий Windows зависят от службы журнала событий Windows. Несколько приложений Windows, таких как «Расписание задач», «Календарь» или «Почта», не будут работать должным образом без этой службы. Следовательно, важно убедиться, что служба журнала событий Windows запущена и работает.

    После этого, прежде чем мы приступим к устранению неполадок, я бы порекомендовал вам сначала попробовать старый добрый перезапуск. Если это не сработает, мы можем продолжить с помощью следующих методов.

    1.Запустить службу журналов Windows

    Прежде всего, мы можем попытаться запустить службу журнала событий Windows вручную. Для этого перейдите в меню «Выполнить», нажав Win+R, введите services.msc и нажмите Enter.

    services msc в меню запуска

    В меню "Службы" перейдите к службе журнала событий Windows.

    журнал событий Windows в меню служб Windows

    Щелкните правой кнопкой мыши службу журнала событий Windows и выберите Пуск. Если служба уже запущена, нажмите «Перезапустить». Вам также может быть предложено ввести пароль администратора, введите его соответственно.

    запустить службу журнала событий Windows

    После успешного запуска службы журнала событий Windows ошибка должна быть устранена. Кроме того, убедитесь, что для параметра «Тип запуска» службы установлено значение «Автоматически». Если он указан вручную или пуст, вы можете изменить его в свойствах.

    2. Изменить значение

    Если вам не удается запустить службу журнала событий Windows, возможны проблемы с владельцем службы журнала событий Windows. Чтобы это исправить, нам нужно сначала проверить и убедиться, что владелец программы журнала Windows верен. Это нужно сделать через редактор реестра.

    Чтобы открыть редактор реестра, нажмите Win+R для доступа к меню "Выполнить", введите regedit и нажмите Enter.

    regedit при запуске меню

    В меню редактора реестра скопируйте и вставьте следующий URL-адрес.

    url на редактор реестра

    В папке журнала событий вы найдете ключ под названием «Имя объекта». Убедитесь, что значение ключа — NL AUTHORITY\LocalService. Если значение пустое или отличается, дважды щелкните его, чтобы изменить значение.

    журнал событий папку в редакторе реестра

    Во всплывающем окне измените значение данных на NL Authority\LocalService. После этого нажмите кнопку ОК.

    значение имени объекта в редактор реестра

    Теперь вы можете попробовать перезапустить службу журнала событий Windows из меню служб. Если вы все еще сталкиваетесь с проблемами, перейдите к следующему шагу.

    3. Проверить разрешения

    Еще одна причина сбоя запуска службы журнала событий Windows – неправильные разрешения для каталога журнала. Чтобы это исправить, перейдите в проводник Windows и скопируйте и вставьте следующий URL-адрес.

    Щелкните правой кнопкой мыши папку «Журналы» и выберите «Свойства».

    папка журналов в Проводнике Windows

    В меню "Свойства" перейдите на вкладку "Безопасность".

    вкладка безопасности папки журналов Windows

    На вкладке «Безопасность» нажмите профиль «СИСТЕМА» и убедитесь, что у него есть все разрешения на вкладке «Разрешения». После профиля SYSTEM проверьте администраторов и профиль EventLog.

    разрешения для системного профиля на вкладке

    Если для учетной записи не предоставлены полные разрешения, нажмите кнопку «Изменить» и предоставьте необходимые разрешения. Вы по-прежнему сталкиваетесь с ошибкой «Служба журнала событий недоступна» на компьютере с Windows?

    4. Проверить сохранение журнала

    Если описанные выше методы не помогли решить проблему, могут возникнуть проблемы с заполнением файлов журнала. Мы можем проверить состояние файлов журнала с помощью собственного приложения Windows Event Viewer.

    Перейдите в меню "Пуск" и введите "Просмотр событий". Когда появятся результаты, нажмите «Запуск от имени администратора».

    просмотр событий в меню

    В окне просмотра событий щелкните Журналы Windows. В Windows вы найдете журналы событий Application, Security, Setup, System и Forwarded. Нужно проверять каждое событие в отдельности. Но сначала давайте проверим журналы приложений.

    С правой стороны вы увидите параметр под названием «Свойства». Нажмите на него, чтобы открыть свойства журналов приложений.

    журналы Windows в средстве просмотра событий

    Убедитесь, что во всплывающем окне «Свойства журнала» установлен флажок «Перезаписывать события по мере необходимости». Это гарантирует, что при заполнении файлов журнала они будут перезаписаны. Затем нажмите кнопку ОК.

    перезаписывать события в журналах Windows

    Как и в свойствах приложения, нам нужно проверить остальные 4 журнала на наличие той же опции. После этого перезагрузите систему Windows. Затем попробуйте перезапустить службу журнала событий Windows. Он должен начать работать нормально.

    5. Очистить старые журналы

    Даже после предоставления разрешений и полномочий, если служба событий журнала Windows не запускается, мы можем выполнить общую очистку папки RtBackup. Папка RtBackup содержит журналы событий приложений, ядер и системных проблем в реальном времени. Иногда старые журналы могут привести к тому, что служба журнала событий Windows перестанет работать.

    Однако очистить эту папку непросто. Вам также придется загрузиться в безопасном режиме и изменить пару разрешений. Самый простой способ загрузиться в безопасном режиме — через конфигурацию Windows. Нажмите Win+R, чтобы вызвать меню «Выполнить», введите msconfig и нажмите Enter.

    msconfig в меню запуска

    Перейдите на вкладку «Загрузка» и установите флажок «Безопасная загрузка». Затем нажмите кнопку ОК.

    safe вариант загрузки

    После этого вы можете перезагрузить систему.

    перезапустить систему Windows

    Теперь Windows должна загрузиться в безопасном режиме.

    безопасный режим Windows 10

    В безопасном режиме перейдите к следующему местоположению файла.

    По умолчанию папка RtBackup принадлежит системе, и вы не можете открыть или удалить эту папку. Следовательно, щелкните его правой кнопкой мыши и выберите «Свойства».

    параметр свойств для ширины rtbackup

    В меню "Свойства" перейдите на вкладку "Безопасность" и нажмите кнопку "Дополнительно".

    Когда откроется вкладка "Дополнительная безопасность", нажмите ссылку "Изменить" рядом с разделом "Владелец".

    изменить владелец rtbackup

    Во всплывающем окне введите свое имя пользователя в текстовое поле «Введите имя объекта для выбора» и нажмите кнопку «Проверить имена». Как только он обнаружит ваше имя пользователя, нажмите кнопку ОК.

    Если вы не знаете свое имя пользователя, перейдите в командную строку и просто введите whoami.

    установить текущего пользователя в качестве владельца

    В меню «Дополнительная безопасность» установите флажок «Заменить владельца подконтейнеров и объектов». Затем нажмите кнопку ОК, чтобы сохранить изменения.

    заменить владельца подконтейнера и объектов

    После этого вы можете щелкнуть правой кнопкой мыши папку RtBackup и удалить ее или даже переименовать.

    удалить папку rtbackup

    Затем перезагрузите компьютер с Windows, и проблема должна быть решена.

    6. Резервное копирование и переустановка Windows

    Если ни один из вышеперечисленных способов не сработал, к сожалению, вам придется переустановить Windows.Прежде всего, сделайте резервную копию своей машины с помощью стороннего бесплатного приложения для резервного копирования, прежде чем приступать к переустановке.

    Заключительные слова: служба журнала событий недоступна

    Это были 5 отличных способов исправить ошибку «Служба журнала событий Windows недоступна». После исправления вы сможете нормально использовать свой компьютер с Windows.

    Читайте также: