Windows 10

¿Dónde está la revista del evento en Windows 10, cómo verla y encontrar errores?

¿Dónde está la revista del evento en Windows 10, cómo verla y encontrar errores?

Windows sabe lo que hiciste el verano pasado. Y ayer y hoy, y ahora mismo. No, ella no es vengativa, solo escribe todo, lidera un diario de eventos.

Los eventos son cualquier acción que tenga lugar en la computadora: encender, apagar, ingresar al sistema, lanzar aplicaciones, pulsaciones de teclas, etc. D. Y el Window Events Journal es un repositorio donde se acumulan la información sobre las acciones más importantes. Ver eventos ayuda a los administradores y desarrolladores a encontrar las razones de las fallas en la operación de equipos, componentes del sistema y programas, así como monitorear la seguridad en las redes corporativas. Entonces, descubriremos dónde se encuentra la revista del evento en Windows 10, cómo abrirlo, verlo y analizarla.


Contenido

  • ¿Dónde está la revista del evento y cómo abrirla?
  • Qué hacer si la revista del evento no se abre
  • La estructura del espectador de la revista del evento
  • Cómo mirar en las revistas de eventos de interés
    • Cómo usar la función de filtración
    • Cómo crear actuaciones personalizadas
    • Fuentes, niveles y códigos de eventos. Cómo entender lo que significa un código específico
  • Obtener información del sistema: una alternativa al espectador estándar de Windows

¿Dónde está la revista del evento y cómo abrirla?

"Registro" constante del archivo del archivo del visor de archivos - Eventvwr.MSC, - Carpeta \ Windows \ System32. Pero en aras del acceso a ella, nadie en esta carpeta, por supuesto, no sube, porque hay formas más fáciles. Aquí están:

  • El menú principal de Windows - "Comenzar". Haga clic en su botón no debe quedarse, pero con la tecla de mouse derecha. Párrafo "Ver eventos" - Cuarto desde arriba.

  • Botón de búsqueda del sistema: con un icono en forma de lupa cerca "Comenzar". Es suficiente para comenzar a presentar la palabra "Ver ..." - Y aquí está, encontrado.

  • Utilidad de Windows "Llevar a cabo"(Run) simplemente se crea para aquellos que prefieren las teclas calientes. Haga clic en el teclado Windows+K (ruso), conduzca a una línea "Abierto"El equipo Eventvwr (Nombre del archivo del visor) y haga clic en Aceptar.

  • La línea de comando o la consola PowerShell (también es conveniente abrirlos a través del menú contextual del botón de inicio). Ingrese nuevamente para iniciar el registro del evento Eventvwr Y haga clic en Entrar.

  • El panel de control de tipo antiguo (por cierto, si desea devolverlo al contexto de inicio, lea este artículo). Ir a la sección "sistema y seguridad", baja por las ventanas hasta el punto"Administración"Y haga clic"Ver eventos de eventos".

  • Utilidad del sistema "Opción"El panel de control reemplazó. Todavía es un placer enterrar en sus intestinos, pero puede hacer que sea más fácil comenzar a conducir la palabra "administración" a la línea de búsqueda. Luego vaya a la sección encontrada y haga clic en la etiqueta de la pantalla de pincel.

  • Encuentre el Windows Events Journal con una lectura fascinante? Entonces, tal vez, te gustará la idea de mantenerlo siempre a mano. Para colocar una etiqueta de pincel -desktop, vaya a cualquiera de los métodos a los paneles de control "Administración", Copie la etiqueta presionando las teclas Ctrl+C, haga clic en el mouse en el escritorio y presione Ctrl+V.

Qué hacer si la revista del evento no se abre

El servicio del mismo nombre es responsable del trabajo de este componente del sistema. Y la razón más común de los problemas con su apertura es la detención del servicio.

Para verificar esta versión y restaurar el trabajo del espectador, abra el equipo "Servicios". La forma más fácil de hacer esto a través del administrador de tareas: vaya a la pestaña "Servicios"Y haga clic en la parte inferior de la ventana"Servicios abiertos".

Luego encuentre en la lista de servicios "El registro del evento Windows"Y, si se detiene, presione el botón Inicio en el panel superior de la ventana.

El servicio no comienza? O se lanza, pero la revista todavía es inaccesible? Esto puede ser causado por lo siguiente:

  • Su entrada científica es limitada en los derechos de los políticos de seguridad.
  • La cuenta del sistema de servicio local es limitada, en nombre de la cual funciona la revista de eventos.
  • Algunos componentes del sistema están dañados o bloqueados por un programa malicioso.

Para eludir las restricciones a las políticas de seguridad, si su cuenta no tiene poderes administrativos, lo más probable es que no funcione. En otros casos, el problema, como regla, se puede resolver con herramientas estándar de recuperación de Windows:

  • Reversión al punto de control creado cuando todo funcionó correctamente.
  • Lanzamiento de una utilidad para verificar y restaurar archivos de sistema seguros SFC.EXE -Escanear ahora En la línea de comando.
  • Escaneo de discos para infección viral.
  • Restauración de los derechos de acceso de las cuentas del sistema a las carpetas \Windows \ System32 \ Winevt Y \ System32 \ Logfiles. Las configuraciones de trabajo se muestran en capturas de pantalla a continuación.

La estructura del espectador de la revista del evento

La utilidad de ver eventos no es demasiado amigable para un usuario sin experiencia. No puede llamarlo intuitivamente comprensible. Pero, a pesar del aspecto aterrador, es muy posible usarlo.

El lado izquierdo de la ventana contiene catálogos de revistas, entre los cuales hay 2 principales. Estas son revistas de Windows donde se almacenan registros de los eventos del sistema operativo; y registros y servicios de aplicaciones donde las entradas son servicios en curso y programas instalados. Catálogo "Actuaciones personalizadas"Contiene muestras de usuario: grupos de eventos ordenados por cualquier atributo, por ejemplo, por código, por tipo, por fecha o por todos a la vez.

El centro de la ventana muestra el revista seleccionado. En la parte superior hay una tabla de eventos en los que se indican sus niveles, fechas, fuentes, códigos y categoría de tareas. En él: la sección de información detallada sobre registros específicos.

El lado derecho contiene el menú de operaciones disponibles con revistas.

Cómo mirar en las revistas de eventos de interés

Ver todos los registros seguidos es inconveniente y poco informativo. Para facilitar la búsqueda de solo aquellos de interés, usan la herramienta "El filtro de la revista actual", que le permite excluir todos los extra del programa. Está disponible en el menú "Comportamiento"Cuando un ratón aisló cualquier revista.

Cómo usar la función de filtración

Considere por un ejemplo específico. Supongamos que está interesado en errores, eventos críticos y advertencias durante la semana pasada. Fuente de información - Revista "Sistema". Elija en el catálogo de Windows y haga clic "El filtro de la revista actual".

A continuación, complete la pestaña "Filtrar":

  • De la lista "fecha"Elegir los últimos 7 días.
  • En capítulo "El nivel de evento"Notamos el crítico, el error y la advertencia.
  • En la lista "Fuentes de eventos"Encontramos un interés en el parámetro. Si él es desconocido, elegimos todo.
  • Indicamos los códigos de eventos (ID de evento), sobre los cuales recopilamos información.
  • Si es necesario, observamos las palabras clave para reducir el círculo de búsqueda y determinar al usuario (si está interesado en información sobre una cuenta específica).

Así es como se ve la revista después de lo que estábamos buscando en ella:

Se volvió mucho más conveniente leerlo.

Cómo crear actuaciones personalizadas

Las representaciones hechas a medida son, como se mencionó anteriormente, muestras de usuarios de eventos almacenados en un directorio separado. Su diferencia de los filtros ordinarios es solo que se almacenan en archivos separados y continúan reponiéndose con registros que caen bajo sus criterios.

Para crear un rendimiento personalizado, haga lo siguiente:

  • Destaca el Journal of Interest en la sección Catálogos.
  • Haga clic en el elemento "Crear una vista personalizada"En el capítulo"Acción".
  • Complete la configuración de la ventana "Filtrar"Siguiendo el ejemplo anterior.
  • Guarde el filtro bajo cualquier nombre en el catálogo seleccionado.

En el futuro, las representaciones hechas a medida se pueden editar, copiar, eliminar, exportarse a archivos .XML, guardar como revistas de eventos de formato .Evtx y atar los problemas del planificador hacia ellos.

Fuentes, niveles y códigos de eventos. Cómo entender lo que significa un código específico

Las fuentes de eventos son componentes del sistema operativo, controladores, aplicaciones o incluso sus componentes individuales que crean notas en revistas.

Los niveles de eventos son indicadores de su importancia. Todas las notas de la revista se atribuyen a uno de los seis niveles:

  • Error crítico indica la falla más grave, lo que condujo a la negativa de la fuente que la generó sin posibilidad de restauración independiente. Un ejemplo de una manifestación externa de tal falla es la pantalla de muerte azul de Windows (BSOD) o un reinicio repentino de la computadora.
  • Error También indica una falla, pero con consecuencias menos críticas para la operación del sistema. Por ejemplo, la salida del programa sin guardar datos debido a la falta de recursos, errores de lanzamiento de servicios, etc. PAG.
  • Advertencia - Un registro que informa sobre problemas que afectan negativamente la operación del sistema, pero no conducen a fallas, así como a la posibilidad de errores en el futuro, si no eliminan su causa. Ejemplo: la aplicación se lanzó más tiempo de lo habitual, lo que condujo a una desaceleración en la carga del sistema.
  • Notificación - El mensaje de información habitual, por ejemplo, que el sistema operativo ha comenzado a instalar la actualización.
  • Informe exitoso (auditoría) - Mensaje informando sobre el éxito de cualquier evento. Ejemplos: el programa se instala correctamente, el usuario ha ingresado con éxito la cuenta.
  • Informe afectivo (auditoría) - Mensaje sobre la finalización fallida de la operación. Por ejemplo, la instalación del programa no se completó debido a la cancelación del usuario.

Código (ID de evento) es un número que indica la categoría de eventos. Por ejemplo, los registros relacionados con la carga de Windows se indican en códigos 100-110, y al final de su trabajo con los códigos 200-210.

Para buscar información adicional sobre un código específico, junto con la fuente del evento, es conveniente usar un recurso web Eventid.Neto Es, aunque es un inglés, es fácil usarlo.

El código tomado de la revista del evento (en la captura de pantalla a continuación), entramos en el campo "Ingresar Windows Evento IDENTIFICACIÓN", Fuente - B"Evento Fuente". Presiona el botón "Buscar" - Y a continuación hay un signo con la decodificación del evento y los comentarios de los usuarios, en el que las personas comparten consejos para eliminar los problemas relacionados.

Obtener información del sistema: una alternativa al espectador estándar de Windows

No me gusta ver revistas a través de la aplicación estándar de Windows? Hay alternativas que presentan información en una forma más visual y conveniente para el análisis. Uno de ellos es la utilidad del laboratorio Kaspersky Conseguir Sistema Información.

Obtener información del sistema muestra varias información sobre el sistema operativo, los programas instalados, la configuración de la red, los dispositivos, los controladores, etc. D. Los registros de la revista de eventos son solo uno de sus indicadores.

La ventaja de esta utilidad sobre los medios estándar de Windows es la conveniencia de ver y mostrar información integral sobre la computadora, que facilita el diagnóstico de mal funcionamiento. Y la desventaja es que no registra todo, sino solo los últimos y más importantes eventos.

Obtener información del sistema no requiere la instalación en una PC, pero para leer los resultados deberá descargarse al sitio del analizador, es decir, necesita acceso a Internet.

Cómo usar la información del sistema Get:

  • Lanzar la utilidad de los derechos de Amin de Amin. Antes de hacer clic en el botón "Comenzar"Indique la carpeta de guardado de registro (por defecto es un escritorio) y marque el punto"Incluir Windows Evento Registro".

  • Después de que aparecerá un archivo de archivo con el nombre en el escritorio o en la carpeta que indicóGSI6_MYA_PK_user_data_ y t.D.", Abre el sitio en el navegador GetSysteminfo.Comunicarse y descarga el archivo allí.

  • Después de cargar el informe en GetSystemInfo.Com ir a la pestaña "Propiedades del sistema"Y abra la sección"El registro del evento".

La utilidad recopila información de revistas "Sistema" Y "Aplicaciones". Los eventos se muestran en orden cronológico, cada nivel se resalta en su color. Para ver la información sobre un registro específico, simplemente haga clic en la línea en la línea.

No hay actuaciones y filtraciones personalizadas aquí, pero hay una búsqueda y función de clasificar registros.

Línea de búsqueda por revistas y lista de caída "Mostrar el número de elementos"Ubicado sobre la mesa. Y para ordenar datos por tipo, fecha y hora, fuente, categoría, código, archivo o usuario, simplemente haga clic en el encabezado de la columna deseada.

La información sobre los eventos recopilados por la información Get System ayuda a encontrar la fuente del problema de la computadora si está asociado con equipos, ventanas o software.  Si está interesado en datos sobre una aplicación específica, componente del sistema o seguridad, deberá usar el visor estándar. Además, ahora sabes cómo abrirlo sin esfuerzos innecesarios.