Где находится журнал событий в Windows 10, как его открыть

Два способа быстро открыть и посмотреть системный журнал (журнал событий) в windows 10

Окно «Выполнить»

Нужно запустить окно «Выполнить». Как это сделать? Например, можно навести курсор мыши на кнопку «Пуск», нажать ПКМ и выбрать в меню пункт «Выполнить».

Есть и другой путь — нажать Win+R на клавиатуре.

Когда окно будет запущено, укажите команду eventvwr.msc, после чего кликните по кнопке ОК.

Журнал событий был запущен.

Не один, а много разных журналов

Выглядит он как небольшая подборка логов, которые система записывает в ходе работы компьютера. Эти журналы являются обычными текстовыми файлами, записанными в формате XML.

Неправильно считать, что речь только об одном файле. Их несколько – администрирования, операционный, аналитический и отладки, не говоря уже о лог-файлах отдельных приложений. Их также называют еще и файлами регистрации.

Управление параметрами журнала действий

На вашем устройстве

Чтобы остановить сохранение журнала активности на устройстве, нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. На этой странице снимите флажок сохранять журнал действий на этом устройстве .
Открытие параметров журнала активности

Чтобы остановить отправку журнала активности в корпорацию Майкрософт, нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. На этой странице снимите флажок отправлять историю действий в Microsoft .

Если у вас есть личная учетная запись Майкрософт (MSA), вы можете управлять данными журнала активности, которые связаны с учетной записью Майкрософт в облаке, выбрав пункт Управление данными о действиях в учетной записи Майкрософт. Войдя в панель мониторинга конфиденциальности, откройте вкладку История активности и выберите данные, которыми вы хотите управлять.

Если у вас есть рабочая или учебная учетная запись, вы можете очистить и удалить журнал действий, который хранится на устройстве, и журнал действий, отправленный в облако корпорации Майкрософт. Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. В разделе Очистить журнал действийнажмите кнопку очистить.

Если у вас несколько учетных записей и рабочая или учебная учетная запись (AAD) является основной на устройстве, очистка журнала действий приведет к удалению журнала действий рабочей и (или) учебной учетной записи (AAD), синхронизированной с облаком. Чтобы управлять личной учетной записью Майкрософт (MSA) в облаке, выберите пункт Управление данными о действиях в учетной записи Майкрософт. Если у вас несколько учетных записей (MSA и AAD), но личная учетная запись (MSA) является основной на устройстве, и вы хотите удалить действия учетной записи AAD, перейдите на другое устройство, где основной учетной записью является рабочая или учебная учетная запись (AAD) и очистите журнал действий на этом устройстве.

На временной шкале можно очистить отдельные действия или все действия отдельного дня. Для этого щелкните правой кнопкой мыши действие и выберите нужный параметр.

На мобильном устройстве (iOS и Android)

Некоторые приложения, такие как Microsoft Edge mobile (iOS и Android), позволяют отключить общий доступ к журналу браузера. Для других приложений, таких как Microsoft Office, можно выйти из приложения, журнал действий из которого больше не требуется отправлять корпорации Майкрософт. Вы можете управлять данными журнала активности, которые хранятся в облаке для своей учетной записи Майкрософт, выбрав пункт Управление данными о действиях в учетной записи Майкрософт.

Где используется

Просмотр сообщений помогает найти слабые проблемы в защите устройства. Это полезно для серверов. Основное предназначение — сбор информации для устранения неисправностей.

Поиск по Windows

Нажмите на иконку поиска, что расположена на панели задач.

Укажите поисковый запрос просмотр событий, после чего появится одноименное приложение. Нажмите по нему левой клавишей мыши для запуска.

Что делать, если журнал событий не открывается

За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием – остановка службы.

Чтобы проверить эту версию и восстановить работу просмотрщика, откройте оснастку «Службы». Проще всего это сделать через Диспетчер задач: перейдите в нем на вкладку «Службы» и кликните внизу окна «Открыть службы».

Затем найдите в списке служб «Журнал событий Windows» и, если она остановлена, нажмите кнопку запуска (play) на верхней панели окна.

Служба не стартует? Или она запущена, но журнал все равно недоступен? Подобное может быть вызвано следующим:

• Ваша ученая запись ограничена в правах доступа политиками безопасности.
• В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
• Некоторые системные компоненты повреждены или заблокированы вредоносной программой.

Обойти ограничения политик безопасности, если у вашей учетки нет административных полномочий, скорее всего, не получится. В остальных случаях проблему, как правило, удается решить стандартными средствами восстановления Windows:

• Откатом на контрольную точку, созданную, когда всё работало исправно.
• Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe –scannow в командной строке.
• Сканированием дисков на предмет вирусного заражения.
• Восстановлением прав доступа системных учетных записей к папкам WindowsSystem32winevt и System32LogFiles. Рабочие настройки показаны на скриншотах ниже.

Как очистить журнал событий в Windows 10

Очистить журнал событий в Windows 10 можно несколькими эффективными способами. До таких способов отнесем выполнение одной команды в командной стройке или же в оболочке Windows PowerShell, а также простое удаление событий прямо с журнала. Новичкам рекомендуем использовать только классическое приложение просмотр событий.

После открытия журнала достаточно нажать правой кнопкой мыши на категорию, журнал которой необходимо очистить и в контекстном меню выбираем пункт Очистить журнал… В открывшемся окне подтверждаем очистку журнала нажав кнопку Очистить.

Командная строка

1. Запускаем командную строку от имени администратора любым из способов рассмотренных нами ранее.
2. Копируем, вставляем и выполняем следующую команду: or /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Windows PowerShell

1. Запускаем оболочку Windows PowerShell от имени администратора.
2. Выполняем следующую команду: wevtutil el | Foreach-Object {wevtutil cl «$_»}

Как использовать?

Большинство «профессиональных» пользователей уверены, что обычным юзерам не нужно даже погружаться в эту тему, ведь она никогда им не пригодится. Однако это вовсе не так, ведь данный инструмент невероятно полезен в отдельных ситуациях.

Например, если появляется синий экран или ваша система сама по себе перезагружается время от времени. Почему это происходит и что послужило причиной можно быстро узнать в журнале событий системы. Если ошибка связана с обновлением драйверов, то там будет указано оборудование, с которым возникает проблема, и эффективные пути для ее решения.

Для упрощения поиска нужного отчета нужно запомнить время возникновения ситуации и, исходя из временных рамок, искать ошибку.

Также еще одной важной функцией является запись загрузки операционной системы, когда указывается ее начало, окончание и длительность. Более того, к выключению компьютера можно привязать необходимость ввода причины. Она будет отображаться в нашем журнале. Это особенно полезно для администраторов серверов, ведь им важна каждая деталь.

Интерфейс

Таким образом, окно журнала событий является просто предназначенным для вас интерфейсом, в котором собраны данные из различных текстовых файлов регистрации. Правильнее всего рассматривать Журнал событий в качестве программы управления базами данных, в удобной форме показывающей вам информацию, накапливаемую в файлах, просматривать которые при помощи текстового редактора или просмотрщика текстов вам было бы некомфортно.

Как почистить журнал событий

Для чистки журнала я знаю три способа, через созданный исполняемый *.bat (называем его “батник”) файл или через консоль cmd или через консоль PowerShell.

Привиду все три примера в реализации.

Как в него войти?

Щелкните правой кнопкой мыши по значку главного системного меню. Второй вариант, предназначенный преимущественно для сенсорных экранов, тапните по нему и некоторое время удерживайте до появления на дисплее контекстного меню. Отсюда предстоит перейти к просмотру событий.

Когда журнал откроется, вы увидите в левой верхней части окна строку меню и панель. Слева располагается вложенное окошко, в котором вы сможете выбирать, какие именно события хотите просмотреть. В их числе – относящиеся к определенными приложениям, системе в целом и ее безопасности.

И, впервые открыв это полезнейший инструмент, не спешите огорчаться и начинать считать, что ваш компьютер функционирует некорректно. Дело в том, что вы увидите огромное множество – исчисляемое сотнями, а, вероятно, и тысячами – сообщений об ошибках. И это вполне в пределах нормы. Даже в стабильно выполняющей свои задачи компьютерной системе бывает немало различных незначительных сбоев.

Как отключить журнал событий Windows 10

Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.

1. Открываем окно служб выполнив команду services.msc в окне Win+R.
2. Среди списка доступных служб находим Журнал событий Windows и в контекстном меню которого выбираем Свойства.
3. В открывшемся окне изменяем типу запуска службы EventLog на Отключена и нажмите ОК.

Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу. А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом.

Заключение

Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.

Фильтрация журналов событий

Объем информации, содержащийся в журналах событий Windows, может быть огромным. Создание фильтра позволяет сосредоточиться на нужной вам информации.

Фильтры – быстрый способ удалить лишний “мусор” из журнала событий. Чтобы иметь возможность быстро находить нужную вам информацию, можно сохранить фильтр в качестве пользовательского вида.

Чтобы создать фильтр для текущего журнала, нажмите на панели “Действия”, кнопку “Фильтровать текущий журнал”. Если вы в пользовательском представлении, соответствующий параметр фильтра “Текущий пользовательский вид”. (Но учтите, что вы не можете выбирать встроенный пользовательский вид, в том числе на странице “Сводка событий”). Как вы можете видеть на рисунке ниже, отображаются только записанные в течение последних семи дней, события журнала диагностики производительности. И только из категории критических или предупреждающих, и имеющий идентификатор события 100.

Этот фильтр обнуляет события с определенным идентификатором и уровнем события в определённый период времени, определяя точную информацию из длинного списка, который включает в себя сотни не связанных между собой записей.

Почему идентификатор события 100? Потому что это идентификатор времени запуска Windows. ID события 101 связан с временем запуска приложений, а 200 – определяет время завершения работы Windows. С помощью этого фильтра можно быстро проверить, сколько времени потребовалось Windows для завершения процесса запуска, для каждого запуска на прошлой неделе.

Чтобы повторно использовать фильтр, без прохождения утомительных этапов повторного создания его настроек, сохраните его в виде пользовательского вида.

С помощью средства просмотра событий, вы также можете найти слова или значения в текущем журнале или представлении. На панели “Действия” нажмите кнопку “Найти” или используйте интуитивную комбинацию клавиш Ctrl+F, чтобы открыть простое окно поиска. Введите любой текст, чтобы найти следующее событие, содержащее этот текст в любой области.

Введите текст в поле и нажмите кнопку “Искать далее”, чтобы найти следующее событие, содержащее этот текст в любой области, в том числе источник и описание.

Как очистить

Утилита записывает мегабайты информации о работе ОС, отправляет их на сервер Microsoft не удаляя из системы. Они сохраняются на HDD. Чтобы удалить, используются такие способы:

1. Выборочное удаление;
2. Удалить используя Командную строку;
3. Использование стороннего софта.

Рассмотрим их подробнее.

Выборочная очистка

Откройте утилиту, выполните действия как на скриншоте:

Очищаем Журнал событий Windows 10 через cmd (командную строку)

Нажмите «Win+X», далее:
Пропишите команду:

Приложение CCleaner

Откройте программу. В разделе «Очистка» отметьте пункт «Файлы». Нажмите кнопки «Анализ», потом «Очистка».
Подробнее о работе приложения смотрите в статье: «Очистка ПК».

На большинство событий не надо обращать внимания

В событиях приложений софт отмечает возникшие в его работе проблемы. События безопасности рассматривают определенные действия, произведенные на компьютере, результат которых был или не был успешен. В качестве примера можно привести попытку входа пользователя. На события установки пользователю в большинстве случаев не следует никак реагировать. Ведь касаются они преимущественно управления контроллерами.

В системных событиях собраны поступившие от файлов Виндовз уведомления и касаются они тех сбоев, которые возникли в ходе функционирования системы. Почти все они исправляются усилиями самой системы и в вашем вмешательстве не нуждаются.

Читайте другие мои статьи на Дзен-канале.

Или подписывайтесь на группуВконтакте.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.