Журнал событий в Windows: как его открыть и найти информацию об ошибке
Доброго дня!
Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.
Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.
В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).
Работа с журналом событий (для начинающих)
Как его открыть
Этот вариант универсальный и работает во всех современных версиях ОС Windows.
- нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
- ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;
eventvwr — команда для вызова журнала событий
после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.
- сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;
Система и безопасность
далее необходимо перейти в раздел «Администрирование» ;
после кликнуть мышкой по ярлыку «Просмотр событий» .
Просмотр событий — Администрирование
Актуально для пользователей Windows 10.
1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).
Windows 10 — события
2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.
Журналы Windows
Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.
В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:
- «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
- «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
- «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).
Как найти и просмотреть ошибки (в т.ч. критические)
Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.
И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .
Система — фильтр текущего журнала / Кликабельно
После указать дату, уровень события (например, ошибки), и нажать OK.
В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .
Представлены все ошибки по дате и времени их возникновения / Кликабельно
Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.
Можно ли отключить журналы событий
Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)
Для отключения журналов событий нужно:
- открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;
Открываем службы — services.msc (универсальный способ)
далее нужно найти службу «Журнал событий Windows» и открыть ее;
Службы — журналы событий
после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.
Зафиксировать причину отключения компьютера
Как зафиксировать причину отключения компьютера ?
Когда вы сами перезагружаете или выключаете компьютер, вам беспокоиться не о чем: завершение сеанса Windows происходит в штатном режиме. А если это не так, и компьютер беспричинно отключается?
Сейчас я покажу вам как узнать причину отключения компьютера средствами Windows. В Windows есть для этого специальная настройка в групповых политиках, которая создаст особый файл, в котором будет указана на то причина.
ВНИМАНИЕ . В Домашних версиях Windows такая возможность по умолчанию недоступна.
СПРАВОЧКА . Функция впервые была представлена в серверной версии 2003 и предназначалась для установки причин перезагрузки машины, что является крайне важным для пользователей событием.
Чтобы активировать эту возможность, нажмите Пуск и введите команду
В Групповых политиках отправляемся в Конфигурацию компьютера – Административные шаблоны – Система. Найдите функцию Отображать диалог слежения за совершением работы и дважды щёлкните по ней, впоследствии выбрав функцию Включить. Далее Применить – ОК.
А теперь применим этот на практике. Закройте все приложения и перезагрузите компьютер. Но перед перезагрузкой вы увидите нехарактерное для этих действий окно:
Вот оно – окно регистрации завершения работы. Вы можете закомментировать происходящее. По нажатии на ниспадающий список система может сама кое-что предложить.
Помимо всего прочего, можно посмотреть на причину отключения компьютера в Журнале событий. Он является прекрасным инструментом регистрации событий. Инструкция по его пользованию лежит в статье Как читать Журнал событий Windows.
Давайте посмотрим на Журнал. Нажмите Пуск и введите команду eventvwr. В разделе с чудным названием (видимо, следствием некорректного перевода) События страницы сводки можно найти событие за номером 1074 соответствующее перезагрузке системы. Там по-русски вы сможете прочитать, что перезагрузил её такой-то пользователь. То есть вы.
Как зафиксировать причину отключения компьютера через реестр?
В реестре нам нужно найти ветку:
Это можно сделать вручную, однако я советую вам воспользоваться статьёй о том, как моментально найти нужную ветку в реестре с помощью специальной команды в консоли команд.
Нам нужны два параметра с названиями ShutdownReasonUI и ShutdownReasonOn. Присвойте им значения 1. Если вы уже установили возможность зафиксировать причину отключения компьютера через групповые политики системы, то значение 1 уже будет установлено.
Как узнать, почему компьютер с Windows аварийно выключается или зависает
Это позволит выявить причину неполадок. Например, системные утилиты могут указать на проблемы с определенным драйвером. В таком случае либо сам драйвер работает некорректно, либо неисправно устройство, для которого он предназначен. В любом случае, у вас появится информация для дальнейшего поиска решения.
Проверка Монитора стабильности системы
Монитор стабильности системы (Reliability Monitor) показывает информацию о недавних сбоях системы и приложений в простом удобном интерфейсе. Он появился еще в Windows Vista и присутствует во всех современных версиях Windows. Чтобы его запустить, нажмите клавишу [Win] и введите ключевое слово «стабильность» (Reliability). Выберите в результатах «Просмотр журнала надежности системы» (View reliability history).
Если Windows зависала или аварийно завершала работу, в журнале будет информация о сбое Windows (Windows failure). Также журнал содержит сведения о сбоях приложений (Application failures). Есть и другие полезные данные – например, даты установки различных программ. Если проблемы появились после установки определенного приложения или драйвера, можно предположить, что причина именно в нем.
Здесь же можно нажать ссылку «Проверить наличие решений для всех проблем» (Check for solutions to problems), чтобы найти справочную информацию. Впрочем, пользы от этой справки мало и решения в ней находятся редко, если судить по нашему опыту. В лучшем случае будет рекомендовано обновить драйверы.
Монитор стабильности системы хорош тем, что показывает информацию из «Просмотра событий» (Event Viewer) в более понятном формате. Если бы не он, пришлось бы выуживать сведения о событиях из общего журнала самостоятельно.
В принципе, это все равно можно сделать. Выполните поиск в меню «Пуск» (Start)/на начальном экране по ключевым словам «просмотр событий». В открывшемся окне выберите пункт «Журналы Windows > Система» (Windows Logs > System) и ищите сообщения об ошибках (Error). Это те же сообщения, что показывает Монитор стабильности системы. Но в «Просмотре событий» кроме этого масса лишних сведений.
Просмотр дампов памяти
При сбое и возникновении синего экрана информация об этом сохраняется в дампе памяти. Удобнее всего смотреть эти сведения с помощью бесплатной утилиты BlueScreenView от NirSoft (обычно мы сторонние программы не рекомендуем, но NirSoft доверяем).
Утилита проверяет файлы дампов памяти, созданных при возникновении синего экрана, и показывает их список. Важная информация содержится в пункте «Bug Check String» – это то самое сообщение об ошибке, которое появляется на синем экране. Если поискать по этому сообщению в Интернете, можно найти сведения о проблеме и способах ее решения.
Может пригодиться и список драйверов внизу окна. Так, постоянное возникновение синего экрана может быть связано с определенным файлом того или иного драйвера, например, видеокарты. Это может свидетельствовать о том, что данный драйвер неисправен или сбоит из-за поломки самого оборудования. В любом случае, это поможет определиться с дальнейшим направлением поисков.
Если вы успели застать синий экран лично, запишите сообщение об ошибке. В Windows 10 и Windows 8 синий экран теперь выводит простое сообщение, и только внизу содержится информация об ошибке, которая может пригодиться для поисков. В Windows 7 и более ранних версиях эти данные (bug check string) отображаются не внизу, а наверху.
Сообщения об ошибке быстро исчезают, поскольку после синего экрана Windows автоматически перезагружается. Можно, конечно, отключить в настройках автоматическую перезагрузку при возникновении синего экрана. А можно просто использовать утилиту BlueScreenView для просмотра информации об ошибке уже после появления синего экрана.
Перечисленные выше инструменты помогут приблизиться к пониманию сути проблемы. По сообщению об ошибке с синего экрана можно хотя бы поискать в Интернете – и возможно, найти причину. Это гораздо лучше, чем пытаться найти ответ на общий вопрос «почему компьютер зависает или выключается?».
Если компьютер завис или перезагрузился всего один раз, волноваться не стоит. Программное обеспечение не совершенно – возможно, это была случайная ошибка Windows или драйвера, которая больше не повторится. Беспокоиться стоит, если компьютер сбоит постоянно. Современным компьютерам с Windows это совсем не свойственно – синие экраны возникают исключительно редко.
Если сбои происходят постоянно, возможно, лучше даже не тратить время на поиск причины, а просто выполнить восстановление компьютера (PC Reset) средствами Windows 10 или Windows 8. Система будет возвращена в исходное заводское состояние, что исправит все внутрисистемные ошибки, удалит проблемные драйверы и приложения. Нужные программы потребуется переустанавливать. А в случае с Windows 7 стоит просто переустановить систему. Если это не поможет – причина, скорее всего, в оборудовании (либо, если после переустановки были поставлены те же драйверы, – в драйверах).
Может пригодиться также средство диагностики проблем с памятью (Memory Diagnostics), встроенное в Windows. Оно проверяет, корректно ли работают модули памяти. Если они повреждены, это может быть причиной нестабильности и возникновения синих экранов.