Как использовать просмотр событий Windows для решения проблем с компьютером

Просмотр событий на удаленном компьютере

Руководство по оснастке «Просмотр событий» Windows 7 — «Просмотр событий» в Windows 7 (Часть 2 — Администрирование)

  • Создание настраиваемого представления
  • Отображение настраиваемых XML-представлений
  • Импорт настраиваемых представлений
  • Экспорт настраиваемых представлений
  • Фильтрация событий
  • Сортировка событий
  • Группировка событий
  • Порядок следования свойств событий
  • Создание подписок
  • Управление подписками
  • Указание URL-адреса в реестре
  • Указание URL-адреса в манифесте инструментария

Как запустить просмотр событий

Первый способ, одинаково подходящий для Windows 7, 8 и 8.1 — нажать клавиши Win + R на клавиатуре и ввести eventvwr.msc, после чего нажать Enter.

Запуск просмотра событий

Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там соответствующий пункт.

И еще один вариант, который подойдет для Windows 8.1 — кликнуть правой кнопкой мыши по кнопке «Пуск» и выбрать пункт контекстного меню «Просмотр событий». Это же меню можно вызвать, нажав на клавиатуре клавиши Win + X.

Как запустить средство просмотра событий Windows

Давайте начнем с руководства по просмотру событий Windows, объяснив, как его запустить.

Важно: просмотрщик событий может запускаться как обычным пользователем, так и администратором (→ разница между обычным пользователем и администратором). Однако, в первом случае регистр безопасности будет недоступен.

  1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно.
  2. Откроется окно «Выполнить». В поле Открыть: введите eventvwr и нажмите кнопку ОК .
  3. Откроется оснастка «Просмотр событий».

Оснастка просмотра событий в системе Windows 10

Совет 3: анализируем историю посещений в браузере

Одна из самых популярных программ для работы в сети интернет, разумеется, браузер . И вполне вероятно, что если кто-то сидел за вашим ПК/ноутбуком — ему (вероятно) мог он понадобиться.

Чтобы открыть историю посещений (журнал посещений) — в большинстве браузеров достаточно нажать сочетание кнопок Ctrl+H (работает в Chrome, Firefox, Opera. ).

Кстати, в Chrome можно также перейти на страничку: chrome://history/

Ctrl+H — открыть историю

Ctrl+H — открыть историю

После, в журнале указываете нужную дату и уточняете какие сайты просматривались. (Кстати, многие пользуются соц. сетями — а значит можно будет быстро узнать кто заходил на свой профиль!).

В помощь!

1) Как посмотреть историю посещения сайтов, даже если она удалена

2) Как очистить историю посещения сайтов, чтобы нельзя было восстановить! Удаление всего кэша браузеров

Аудит изменения политики

Данный параметр фиксирует события связанные с изменением политик аудита. Разберемся на примере. Я включил оба типа событий.

Аудит изменения политики

После чего я добавил пользователя Local use в свойства прав архивация файлов и каталогов.

Теперь в журнале безопасности мы видим соответствующую запись об изменении прав пользователя.

Попробуйте выполнить какие-либо действия с политиками и отследить их в журнале безопасности операционной системы.

Просмотр журнала событий на удалённом компьютере

Для просмотра событий на Windows 10 есть приложение Event Viewer, которое встроено в систему. Данная утилита и компоненты командного меню Wevtutil позволяют управлять журналом на удаленном ПК.

Как открыть Msconfig Windows 7 — настройка дополнительных параметров

Удаленное управление включается из самого раздела «Просмотр событий». Запускается дерево консоли с выбором корневого элемента: Просмотр событий – локальные. В разделе «Действия» указывают команду «Подключиться к другому ПК». В соответствующем поле вводится название или IP-адрес компьютера для удаленного подключения.

Дополнительная информация. Дальше перед надписью «Подключиться в качестве другого пользователя» нужно поставить галочку. После открытия нового окна при помощи заполнения соответствующих полей задаются имя пользователя и пароль. Выполненные действия необходимо подтвердить клавишей «ОК».

Wevtutil запускается вводом команды cmd в поле поиска. В командной строке указывается wevtutil/r:. Если требуется подключение в качестве другого пользователя, то вписывается команда: wevtutil/r:/u:/p:.

Важно! Чтобы получить удаленный доступ к журналу событий, на брандмауэре другого компьютера должно быть установлено исключение на безопасность доступа типа «Удаленное управление журналом событий». Иначе брандмауэр заблокирует путь.

Активацию функции «Просмотр событий» с удаленным подключением к другому ПК можно выполнить при помощи подтверждения команды: eventvwr.

Таким образом просматривают настраиваемые модули, ссылки и остальные ресурсы на локальном ПК.

PsGetSid

Это отображает идентификатор безопасности для компьютера или пользователя и принимает стандартные аргументы. Эта утилита, вероятно, полезна только в очень специфических сценариях, с которыми мы лично не сталкивались. Так что попробуйте один раз и забудьте об этом, пока вам не понадобится когда-нибудь.

Возьмите за правило

Поместите Event Viewer в свой список задач по обслуживанию и периодически проверяйте сетевые компьютеры. Если вы отвечаете за множество компьютеров, обеспечьте по крайней мере еженедельную проверку серверов (особенно контроллеров доменов), а рабочие станции следует проверять так, чтобы каждая рабочая станция попадала в поле зрения раз в несколько недель.

Средство просмотра событий Windows предлагает возможность настроить задачу (например, запуск программы) для автоматического запуска при записи определенного события.

Чтобы использовать эту функцию, запустите просмотрщик событий. В дереве консоли выберите журнал, содержащий событие, которое мы хотим связать с действием.

Щелкните правой кнопкой мыши по событию и выберите «Привязать действие к событию…». Откроется окно мастера основных действий. Следуйте инструкциям для создания действия по событию.

Что такое журнал событий Windows 10, и зачем нужен

«Безопасность» — категория, содержащая события, связанные со входом пользователей в операционную систему, участием в защищённых локальных сетях, запуском брандмауэра, операциями шифрования и т.п.

Именно в этих категориях преимущественно нужно искать события, которые могут что-то нам рассказать о проблемах с компьютером.

Сведения — это информационные сообщения, фиксирующие запуски и остановки системных и программных служб, которые выполнены обычно, без каких-то проблем и сбоев;

Предупреждения — сообщения, фиксирующие системные и программные события, при выполнении которых возникли проблемы. Эти проблемы потенциально могут быть причинами сбоя Windows 10 и программ;

Ошибки — сообщения, фиксирующие события, при выполнении которых произошёл критический сбой программ и Windows 10, влекущий за собой потерю данных. Ошибки бывают обычные и критические. Критические – это те, что повлекли за собой сбой работы системы.

Каждое из событий имеет общее и подробное описание, по формулировкам из которых в случае с предупреждениями и ошибками мы можем дополнительно наюзать в Интернете информацию, что это за проблема, и что с ней делать.

Но, друзья, пересматривать все предупреждения и ошибки журнала, заморачиваться ими, что-то выяснять – всё это без надобности делать не нужно. Наличие в журнале огромного числа ошибок и предупреждений не значит, что с компьютером что-то не то. В работе Windows 10 происходит множество различных процессов, их работа иногда завершается нештатно, но эти процессы перезапускаются и потом нормально работают. Чем больше на компьютере используется различного ПО, тем больше будет разного типа событий. Обращаться к журналу событий Windows 10 нужно только тогда, когда у нас есть какая-то проблема – сбои работы драйверов, произвольное разлогинивание системы, зависания, произвольные перезагрузки или выключения компьютера, появление BSOD и т.п. В таких случаях журнал событий, возможно, поможет нам отыскать причину проблемы или как минимум даст направления, в которых нужно искать причину. Также журнал позволит отследить частоту и закономерность сбоев работы системы и программ, что может быть важно при определении причины проблемы.

События в журнале можно фильтровать по ключевым словам и сортировать по различным критериям, в частности, по уровню критичности, дате и времени фиксации события. Например, можем отсортировать события по дате и времени, чтобы отследить, какие события в конкретный день предшествовали внезапному сбою работы компьютера. Другой пример: дабы отследить все сбои, можем отсортировать сообщения по уровню ошибок в начале списка и посмотреть дату и время каждого сбоя.

В контекстном меню или на панели консоли справа есть опции событий, которые нам могут пригодиться в процессе их отслеживания:

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector