Главная » Linux

Windows event viewer start log

Содержание
  1. Windows: Логи Выключений/Перезагрузок
  2. Коды Событий Выключения
  3. «Просмотр событий» — История Выключений
  4. Логи Выключений в PowerShell
  5. 5 best Windows 10 event log viewers
  6. Best Windows 10 event log viewers
  7. Windows Event Log Viewer
  8. Event Log Explorer
  9. MyEventViewer
  10. FullEventLogView
  11. SentinelAgent
  12. How to See PC Startup And Shutdown History in Windows 10
  13. Using event logs to extract startup and shutdown times
  14. Using TurnedOnTimesView
  15. Журналы Windows
  16. Описание интерфейса программы
  17. Работа с журналами

Windows: Логи Выключений/Перезагрузок

При диагностики проблемы, которая вызывает неожиданные перезагрузки или выключения машины под управлением Windows, важно знать, какие события могут быть с этим связаны, коды этих событий (англ. event ID) и как найти соответствующие логи.

В этой заметке я публикую коды событий, связанных с выключением/перезагрузкой системы.

Я также показываю, как просмотреть историю включений/выключений с помощью стандартного приложения «Просмотр событий» (англ. Event Viewer) или из командной строки с помощью PowerShell.

Дельный Совет: Загрузка Windows в безопасном режиме! Читать далее →

Коды Событий Выключения

Список кодов в журнале событий Windows, связанных с выключением или перезагрузкой системы:

Event ID Описание
41 Система была перезагружена без корректного завершения работы.
1074 Система была корректного выключена пользователем или процессом.
1076 Следует за Event ID 6008 и означает, что первый пользователь (с правом выключения системы) подключившийся к серверу после неожиданной перезагрузки или выключения, указал причину этого события.
6005 Запуск «Журнала событий Windows» (англ. Event Log). Указывает на включение системы.
6006 Остановка «Журнала событий Windows» (англ. Event Log). Указывает на выключение системы.
6008 Предыдущее выключение системы было неожиданным.
6009 Версия операционной системы, зафиксированная при загрузке системы.
6013 Время работы системы (англ. system uptime) в секундах.

«Просмотр событий» — История Выключений

События связанные с выключениями системы (включая дату и время) могут быть просмотрены с помощью программы «Просмотр событий».

Запустить «Просмотр событий» и найти события связанные с выключениями:

  1. Нажмите клавишу Win , наберите eventvwr и запустите Просмотр событий
  2. В панели слева разверните Журналы Windows и перейдите в Система
  3. Щелкните правой кнопкой мыши на Система и выберите Фильтр текущего журнала.
  4. Введите следующие коды в поле и нажмите OK :

Дельный Совет: История команд в PowerShell! Читать далее →

Логи Выключений в PowerShell

Например, чтобы отфильтровать 10000 последних записей из системного журнала событий в Windows и отобразить только те события, которые связаны с включениями или выключениями системы, выполните:

Дельный Совет: Запуск/Остановка служб в Windows из CMD! Читать далее →

5 best Windows 10 event log viewers

Event log viewers are programs that track important events on your computer. Every app or program that runs on your computer leaves a trace in the event log, and before apps stop or crash, they post a notification. Every single event or change made on your computer is registered in the event log.

In other words, an event viewer is a program that scans long text log files, groups them and adds a simpler interface on huge amounts technical data. In case your computer doesn’t work properly, event viewers are essential because they offer you important information on the source of the problem.

Windows 10 comes with its own built-in event log viewer that offers users an in-depth image about the processes taking place on their computers. If you want to analyze particular event information, you can also use third-party event viewers.

Best Windows 10 event log viewers

Windows Event Log Viewer

Many Windows users rely on this built-in tool to check the events that take place on their computers. This tool has two major advantages: it’s already installed on your computer and has a very intuitive interface. You can launch the Windows Event Log Viewer by typing “event viewer in the search bar.

The tool’s screen is divided in three parts: the event categories are located in the left-hand sidebar, details about log events can be found in the middle section of the window, while the available actions are listed in the right-hand sidebar.

The Windows Event Log Viewer offers reports about five log events:

  • Application events: reports about app/ program issues.
  • Security events: reports about the results of security actions.
  • Setup events: mainly refers to domain controllers.
  • System events: these are reports sent by Windows system files about the issues encountered, and are usually self-healing issues.
  • Forwarded events: these arereports sent by other computers.
Читайте также:  Плагин для windows explorer

Event Log Explorer

This event log viewer allows users to view, analyze and monitor events recorded in Windows’ event logs. Event Log Explorer is better than Microsoft’s own Event Log Viewer, bringing more features to the table. Thanks to this tool, users can analyze various event logs: security, application, system, setup, directory service, DNS and more.

Other features include:

  • Instant access to event logs – Event Log Explorer works with both local and remote event logs, as well as with event log files in EVT and EVTX format.
  • Efficient filtering – filter by event descriptions using regular expressions, filter by security event parameters or you can build complex filters and organize them into a filter library.
  • Export events and report generator – export and print events.

You can download Event Log Explorer from Event Log for free.

MyEventViewer

MyEventViewer is another interesting, simpler alternative to Microsoft’s Event Log Viewer. This tools lets you watch multiple event logs in one list, together with event description and data. No installation process or additional DLL files are required to run this software, all you need to do is to launch the executable file.

Other features include:

  • It packs only the main features and options you need to monitor your system.
  • The simplistic interface is very user friendly.
  • You can view the events from a remote computer.
  • Certain events can be hidden from specific users.
  • Events can be filtered using a series of criteria.

You can download MyEventViewer from NirSoft for free.

FullEventLogView

This is NirSoft’s most recent event viewer, it was released on September 9, 2016. FullEventLogView is a simple tool for Windows 10 that displays the details of all Windows events in a table. With this tool you can view the events of your local computer, events of a remote computer on your network, and you can also export these events.

FullEventLogView is the upgraded version of MyEventViewer: “MyEventViewer is a very old tool […]. The old programming interface still works even on Windows 10, but it cannot access the new event logs added on Windows Vista and newer systems. […] FullEventLogView uses the new programming interface, so it displays all events.”

You can download FullEventLogView from NirSoft for free.

SentinelAgent

SentinelAgent is a cloud-based Windows monitoring software. This tool registers, stores and analyzes event logs, performance metrics and system inventory from any Windows PCs, tablets and servers on your network.

SentinelAgent is available for home users, small and medium businesses and enterprise clients. SentinelAgent for home users notifies you when your devices are having problems, and help you identify the source of the problem as well. No configuration is necessary, as the tool is already pre-configured to monitor specific computer performance elements and alert you by email as soon as issues are detected.

Other features include:

    7 Days Data Retention (Rotating) Monitor All Your Machines From 1 Account Pre-Configured Notifications for CPU/Disk Errors Pre-Configured Notifications for Event ID Errors No Ads. No Bloat. Network Installation Ready 2.7 Mb Disk Space Required.

You can download SentinelAgent for home users for free.

We hope this top 5 Windows 10 event log viewers help you to choose the tool that best suits your monitoring needs. Have you already tried out some of the event viewers listed in this article? Tell us more about your experience in the comment section below.

RELATED STORIES YOU NEED TO CHECK OUT:

How to See PC Startup And Shutdown History in Windows 10

There are times when a user wants to know the startup and shutdown history of a computer. Mostly, system administrators need to know about the history for troubleshooting purposes. If multiple people use the computer, it may be a good security measure to check PC startup and shutdown times to make sure the PC is being used legitimately. In this article we will discuss two ways to keep track of your PC shutdown and startup times.

Читайте также:  Wifi адаптер не видит сети kali linux

Using event logs to extract startup and shutdown times

Windows Event Viewer is a wonderful tool which saves all kinds of stuff that is happening in the computer. During each event, the event viewer logs an entry. The event viewer is handled by eventlog service that cannot be stopped or disabled manually, as it is a Windows core service. The event viewer also logs the start and stop times of the eventlog service. We can make use of those times to get an idea of when our computer was started or shut down.

The eventlog service events are logged with two event codes. The event ID 6005 indicates that the eventlog service was started, and the event ID 6009 indicates that the eventlog services were stopped. Let’s go through the complete process of extracting this information from the event viewer.

1. Open Event Viewer (press Win + R and type eventvwr ).

2. In the left pane, open Windows Logs -> System.

3. In the middle pane you will get a list of events that occurred while Windows was running. Our concern is to see only three events. Let’s first sort the event log with Event ID. Click on the Event ID label to sort the data with respect to the Event ID column.

4. If your event log is huge, then the sorting will not work. You can also create a filter from the actions pane on the right side. Just click on “Filter current log.”

5. Type 6005, 6006 in the Event IDs field labeled as . You can also specify the time period under Logged.

  • Event ID 6005 will be labeled as “The event log service was started.” This is synonymous with system startup.
  • Event ID 6006 will be labeled as “The event log service was stopped.” This is synonymous with system shutdown.

If you want to investigate the Event log further, you can go through the Event ID 6013 which will display the uptime of the computer, and Event ID 6009 indicates the processor information detected during boot time. Event ID 6008 will let you know that the system started after it was not shut down properly.

Using TurnedOnTimesView

TurnedOnTimesView is a simple, portable tool for analyzing the event log for startup and shutdown times. The utility can be used to view the list of shutdown and startup times of local computers or any remote computer connected to the network. Since it is a portable tool, you will only need to unzip and execute the TurnedOnTimesView.exe file. It will immediately list the startup time, shutdown time, duration of uptime between each startup and shutdown, shutdown reason and shutdown code.

Shutdown reason is usually associated with Windows Server machines where we have to give a reason if we are shutting down the server.

To view the startup and shutdown times of a remote computer, go to “Options -> Advanced Options” and select “Data source as Remote Computer.” Specify the IP address or name of the computer in the Computer Name field and Press the OK button. Now the list will show the details of the remote computer.

While you can always use the event viewer for detailed analysis of startup and shutdown times, TurnedOnTimesView serves the purpose with a very simple interface and to-the-point data. For what purpose do you monitor the startup and shutdown times of your computer? Which method do you prefer for monitoring?

Content Manager at Make Tech Easier. Enjoys Android, Windows, and tinkering with retro console emulation to breaking point.

Журналы Windows

Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.

Читайте также:  Не запускается windows firewall control

Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:

  • через меню Пуск – Средства администрирования Windows – >Просмотр событий (Start – Windows Administrative Tools – Event Viewer);
  • в командной строке или в окне Выполнить набрать eventvwr.msc:

В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

Скриншот №3. Интерфейс программы

  • Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
  • Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
  • Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
  • Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).

Для удобства просмотра и управления системные журналы разбиты по категориям:

  • Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
  • Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
  • Система (System) – здесь регистрируются события операционной системы и системных сервисов;
  • Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.

В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.

Сами события также разделяются на типы:

  • Сведения (Information) — информируют о штатной работе приложений.
  • Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
  • Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
  • Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
  • Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
  • Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).

Работа с журналами

Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:

Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:

Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.

Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):

Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):

В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:

В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:

  • Переписывать события при необходимости (Overwrite events as needed) – новое событие будет записываться поверх самого старого события в журнале, таким образом будут доступны события только за определенный диапазон времени.
  • Архивировать журнал при заполнении (Overwrite the log when full) – заполненный журнал будет сохранен, последующие события будут записываться в новый файл журнала. При необходимости доступа к старым событиям, архивный файл можно будет открыть в приложении Просмотр событий (Event Viewer).
  • Не переписывать события (Do not overwrite events) – при заполнении журнала выдается системное сообщение о необходимости очистить журнал, старые события не перезаписываются.
Оцените статью
© 2024 Советы по настройке компьютера