Как посмотреть логи windows
Как посмотреть логи windows
Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.
Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера, для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.
Как открыть в просмотр событий
Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки
Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.
Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.
Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.
Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.
Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod, и данные сообщения что тут заносятся помогут вам определить его причину.
Так же есть логи windows для более специфических служб, например DHCP или DNS. Просмотр событий сечет все :).
Фильтрация в просмотре событий
Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.
Вас попросят указать уровень событий:
- Критическое
- Ошибка
- Предупреждение
- Сведения
- Подробности
Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.
Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:
Посмотреть логи windows PowerShell
Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду
В итоге вы получите список логов журнала Система
Тоже самое можно делать и для других журналов например Приложения
небольшой список абревиатур
- Код события — EventID
- Компьютер — MachineName
- Порядковый номер события — Data, Index
- Категория задач — Category
- Код категории — CategoryNumber
- Уровень — EntryType
- Сообщение события — Message
- Источник — Source
- Дата генерации события — ReplacementString, InstanceID, TimeGenerated
- Дата записи события — TimeWritten
- Пользователь — UserName
- Сайт — Site
- Подразделение — Conteiner
Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:
Если нужно вывести более подробно, то заменим Format-Table на Format-List
Как видите формат уже более читабельный.
Так же можно пофильтровать журналы например показать последние 20 сообщений
Или выдать список сообщение позднее 1 ноября 2014
Дополнительные продукты
Так же вы можете автоматизировать сбор событий, через такие инструменты как:
- Комплекс мониторинга Zabbix
- Через пересылку событий средствами Windows на сервер коллектор
- Через комплекс аудита Netwrix
- Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
- Любые DLP системы
Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта pyatilistnik.org
Удаленный просмотр логов
Не так давно в появившейся операционной системе Windows Server 2019, появился компонент удаленного администрирования Windows Admin Center. Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).
Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска
Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.
Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.
Вот пример фильтрации по событию 19.
Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.
Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же «Просмотр событий». Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню «Подключиться к другому компьютеру«.
Указываем имя другого компьютера, в моем примере это будет SVT2019S01
Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий .если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.
Иллюстрированный самоучитель по Microsoft Windows 2003
Опции отладочного меню при загрузке Windows XP и Windows Server 2003
Любой пользователь, имеющий хотя бы небольшой опыт работы с предыдущими версиями Windows NT, сразу же заметит одно небольшое, но существенное отличие экрана загрузчика Windows 2000/XP и Windows Server 2003 от экрана загрузчика Windows NT 4.0. Это – следующая строка, расположенная в нижней части экрана:
Аналогичная опция – нажатие клавиши F8 – имелась в системах Windows 95/98/ME. Если загрузка Windows завершается неудачей, возможно, вам помогут опции отладочного меню, выводимого по нажатию клавиши F8. Следует отметить, что по сравнению с Windows 2000, в Windows XP и Windows Server 2003 это меню было расширено, и в нем появился целый ряд дополнительных опций.
Итак, если при появлении меню загрузки Windows XP/Windows Server 2003 нажать клавишу F8, то на экране появится меню следующего содержания:
Windows Advanced Options Menu Please select an option: Safe Mode Safe Mode with Networking Safe Mode with Command Prompt Enable Boot Logging Enable VGA Mode Last Known Good Configuration (your most recent settings that worked) Directory Services Restore Mode (Windows domain controllers only) Debugging Mode Start Windows Normally** Reboot** Return to OS Choices Menu** Use the up and down arrow keys to move the highlight to your choice. * Опция усовершенствована по сравнению с Windows 2000. ** Новые опции, введенные в Windows XP.
Это меню будет оставаться на экране до выбора одной из опций.
При загрузке в безопасном режиме (safe mode) операционная система использует стандартные параметры настройки (монитор VGA, без сетевых средств, с минимальным количеством драйверов – фактически запускаются только драйверы, необходимые для загрузки Windows). Например, если после инсталляции нового программного обеспечения Windows перестала запускаться, то вполне возможно, что загрузка в безопасном режиме позволит выполнить запуск операционной системы с минимальным количеством сервисов и драйверов. После загрузки вы сможете изменить параметры настройки компьютера, не позволяющие осуществить корректную загрузку, или удалить программное обеспечение, вызвавшее эти проблемы.
Ниже кратко описаны опции дополнительного меню загрузки.
Safe Mode (Безопасный режим).
Если пользователь выбирает эту опцию, то при запуске Windows загружаются только базовые файлы и драйверы, абсолютно необходимые для работы (стандартные драйверы мыши и клавиатуры, накопителей, базовый драйвер видеоадаптера VGA и минимальный объем стандартных системных сервисов). Если Windows невозможно загрузить даже с использованием этого режима, то, вероятнее всего, потребуется выполнять процедуру восстановления поврежденной системы. Подробная информация по данному вопросу и пошаговые инструкции по проведению процедуры восстановления приведены в главе 23 «Восстановление системы».
Safe Mode with Networking (Безопасный режим с загрузкой сетевых драйверов).
Если выбрана данная опция, то Windows загружается с использованием только базовых файлов и драйверов (как и в случае с выбором предыдущей опции), но в дополнение делается попытка запуска сетевых служб и восстановления сетевых подключений.
Safe Mode with Command Prompt (Безопасный режим с поддержкой командной строки).
Выбор этой опции приводит к попытке запуска Windows с использованием только базовых файлов и драйверов, и вместо графического интерфейса Windows отображает на экране окно командной строки.
Enable Boot Logging (Включить протоколирование загрузки).
При выборе этой опции Windows Server 2003 будет записывать протокол загрузки в файл %SystemRoot%\Ntbt\og.txL Действие этой опции аналогично включению параметра /BOOTLOG в файле Boot.ini (см. табл. 3.3).
Enable VGA Mode (Включить режим VGA).
Windows 2003 лог загрузки
Здравствуйте! помогите решить проблему. Конфигурация компьютера следующая:
ОС:Win2003Server SP2 (Основной контроллер домена, DHCP,DNS,SQL Server)
Материнка: Asus 5PK-E Series
Жесткий диск Seagate
Вообщем что было. выключил сервак, потом включил, началась загрузка появился логотип, побежали квадратики и тут он мне пошел на перезагрузку.
Попробовал зайти в безопасный режим, начал загрузку и опять пошел в перезагрузку. Отключил автоматическую перезагрузку появился синий экран с ошибкой umountable_boot_volume stop:0x000000ED.
Решил попробовать загрузиться с консоли восстановления при загрузки с консоли то же синий экран сейчас уже не помню к сожалению с какой ошибкой, но в конце ошибки было написано что то про NTFS.sys. Снял жесткий диск поставил на другой комп как добавочный сразу же автоматически началась проверка диска, после проверки та же ошибка связанная с NTFS.sys, комп постоял немного, там какой то отсчет шел, потом загрузился.
Снял, поставил обратно в сервер теперь вообще не хочет грузиться(((.
Пишет Reboot and Select proper Boot device or Insert Boot Media in selected Boot device and press a key. Жесткий в БИОСе определяется. Потом после проверки жесткого диска на другом компе пробовал опять загрузится с консоли (синего экрана теперь не стало), чтобы попробовать fixboot, блин требует пароль администратора я не знаю, да и вообще могло ли помочь в этом случае fixboot и как можно запустить fixboot без консоли?
До произошедшего случая копировал много файлов на жесткий и обратно по сети, то есть работал он в повышенном режиме чтения/записи.
Вообщем посоветуйте как восстановить работоспособность сервера, в кротчайший срок, с минимальными потерями в качестве ролей.
Есть резервный контроллер домена может быть с него скопировать какие-нибудь системный файлы, чтобы возобновить загрузку?
Есть бэкап через стандартную ntbackup в режиме system state может быть как-нибудь его использовать он у меня на другом жестком диске?
Самое главное это БД на SQL Server ее как можно быстрее надо восстановить.
Вот еще теперь после проверки жесткого диска программой NortonDiscdoctor выдает сообщение NTLDR is missing