About_eventlogs

Как запустить?

Самый простой способ – ввести в поиске Windows фразу «просмотр событий». Но если у Вас отключено индексирование, то результата не будет. Тогда следует открыть «Панель управления» и перейти к разделу «Администрирование», в котором и находится нужный пункт.

Все данные разделены на группы. К примеру, в журнале приложений можно просмотреть сообщения, исходящие от установленного софта. А знаете, как посмотреть системные происшествия ОС? Они отображаются в журнале Windows, что вполне логично.

Изначально, этот инструмент разрабатывался для администраторов, которым нужно постоянно вести мониторинг за состоянием серверов, выявлять ошибки, причины их проявления.

Не стоит пугаться, если с Вашим ноутбуком всё хорошо, но в событиях числится определенное количество предупреждений. Это вполне нормальное явление даже для оптимизированного ПК. Даже незначительные сбои, которые Вы могли не заметить, будут внесены в «реестр». Так что, не стоит переживать по этому поводу.

Event Log Explorer

Event Log Explorer is an advanced event log viewer. Its different and better than conventional event log viewers. On its interface, it displays an event log tree in categories. So, if you want to view events related to Applications, Hardware, Key Manager, Security, Windows PowerShell, or any other category, click on the respective subtree to view related events. For each subtree, the related events are displayed in separate tabs. For each event, you can view its type, date, time, source, category, and description.

Filter tool has been provided if you are looking for a specific event. You can also save or export selected events or all events. Events can be exported as HTML, TXT, or Excel files. There are various other tools that you can make use of, such as Scheduler, Event alert, Analytical report, etc.

This event viewer software can also open log files saved on your PC. Although it has an option to view event log of remote computer, it didn’t work.

Note: This software is only free to use for personal and non-commercial purposes.

События модуля ведения журнала

начиная с Windows PowerShell 3,0, можно записывать события выполнения для командлетов и функций в Windows PowerShell модулях и оснастках, установив для свойства LogPipelineExecutionDetails модулей и оснасток значение TRUE. в Windows PowerShell 2,0 эта функция доступна только для оснасток.

если свойство LogPipelineExecutionDetails имеет значение TRUE ( ), Windows PowerShell записывает события выполнения командлета и функции в сеансе в журнал Windows PowerShell в Просмотр событий. Параметр действует только в текущем сеансе.

Чтобы включить ведение журнала событий выполнения командлетов и функций в модуле, используйте следующую последовательность команд.

Чтобы включить ведение журнала событий выполнения командлетов в оснастке, используйте следующую последовательность команд.

Чтобы отключить ведение журнала, используйте ту же последовательность команд, чтобы задать для свойства значение FALSE ( ).

Можно также использовать параметр групповая политика «включить ведение журнала модуля», чтобы включить и отключить ведение журнала модуля и оснастки. Значение политики включает список имен модулей и оснасток. Поддерживаются подстановочные знаки.

Если параметр «включить ведение журнала модуля» установлен для модуля, значение свойства LogPipelineExecutionDetails модуля равно TRUE во всех сеансах, и его нельзя изменить.

Параметр групповой политики включить ведение журнала модуля находится в следующих групповая политика путях:

Политика конфигурации пользователя имеет приоритет над политикой конфигурации компьютера, и обе политики имеют предпочтение по отношению к значению свойства LogPipelineExecutionDetails модулей и оснасток.

Дополнительные сведения об этом параметре групповая политика см. в разделе about_Group_Policy_Settings.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок

Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Способы очистки

Существует пять основных способов, с помощью которых можно очистить журнал событий:

1. Ручной способ.
2. «Батник» – специальный файл с расширением «*.bat».
3. Через командную консоль «cmd».
4. Через «PowerShell».
5. Утилита CCleaner.

Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.

Очистка ручным способом

В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.

Все что нужно, это:

1. Открыть журнал событий, как мы это делали ранее в начале статьи.
2. Нажать по нужному разделу правой мышкой и выбрать пункт «Очистить…».

Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.

Не удалось устранить проблему? Обратитесь за помощью к специалисту!

Создание и использование bat файла

Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:

1. Для начала нужно создать обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
2. Вставляем в него специальный код .
3. В верхнем меню выбираем «Файл – Сохранить как».
4. Указываем любое имя. В конце имени указываем расширение «.bat». В графе «Тип файла» выбираем «Все файлы» и нажимаем «Сохранить».
5. Теперь наш файл полностью готов к запуску. Щелкаем по нему правой мышкой и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.

Через командную консоль

Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «cmd».

1. Щелкам по значку поиска и в открывшуюся строку вводим фразу «командная».
2. В результатах поиска видим «Командная строка», нажимаем по ней правой мышкой и запускаем от имени администратора.
3. Далее в консоль вставляем код, который находится внутри кавычек «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″», нажимаем «Enter» и ждем окончания процесса.

После этого все отчеты удалятся.

Через PowerShell

В операционной системе Windows 10 предусмотрена более подвинутая версия командной строки — «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.

Давайте разберем все по шагам:

1. Нажать на «поиск» и ввести фразу «power». В результатах поиска отобразиться «PowerShell», нужно нажать на него правой мышкой и запускаем с правами администратора.
2. В появившееся окно вводим команду внутри кавычек «wevtutil el | Foreach-Object », жмем «Enter» и ожидаем окончание процесса.

Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.

Программа CCleaner

Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.

1. В первую очередь ее нужно скачать, установить и запустить.
2. Переходим в раздел «Очистка» и во вкладке «Windows» устанавливаем галочку напротив нужного нам пункта.
3. Начинаем процесс.

Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.

Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.

Профессиональная помощь

Если не получилось самостоятельно устранить возникшие неполадки, то скорее всего, проблема кроется на более техническом уровне. Это может быть: поломка материнской платы, блока питания, жесткого диска, видеокарты, оперативной памяти и т.д.

Важно вовремя диагностировать и устранить поломку, чтобы предотвратить выход из строя других комплектующих. В этом вам поможет наш специалист. В этом вам поможет наш специалист

В этом вам поможет наш специалист.

Это бесплатно и ни к чему не обязывает. Мы перезвоним Вам в течении 30 мин.

С помощью журнала событий в Windows пользователь может ознакомиться с теми событиями, которые происходили в операционной системе, а это в том числе: ошибки, сбои, неполадки и т.д. Как открыть журнал событий в Windows 10? Ответ на указанный вопрос знают не все пользователи, поэтому мы подготовили эту простую инструкцию.

Состав средств выявления проблем

Инструменты поиска и устранения конфликтов разделены на несколько категорий, многие из них также включают в себя подкатегории.

Программы – с помощью этого инструмента осуществляется выполнение приложений, при запуске которых возникли проблемы, связанные с несовместимостью.

После запуска поиска проблем утилита проведет сканирование системы и отобразит список установленных в ней приложений. В окне необходимо выбрать проблемную программу и кликнуть «Далее» для запуска диагностики с целью выявления источника конфликта.

Посмотрите ещё: Проблемы с установкой обновления Windows 10

Оборудование и звук – посредством инструментов, размещенных в данной категории осуществляется диагностика оборудования, используемого на компьютере с Windows 10.

В число средств входят:

• настройка устройства – обнаружение затруднений в работе или в процессе конфигурации конкретного аппаратного компонента компьютера;
• звук – используется при появлении неполадок во время воспроизведения/записи звука или разговоров по Скайп и подобным программам для Windows 10;
• сеть – диагностика работы и настройка сетей, в том числе беспроводных, и сетевых устройств;
• принтер – избавление от конфликтов, возникающих в процессе печати;
• Windows Media – поиск причин, вызывающих осложнения с воспроизведением видео и DVD-дисков;
• воспроизведение видео – выявление причин, не позволяющих проигрывать видеофайлы;
• фоновая служба передачи – диагностика проблем, препятствующих загрузке файлов в фоновом режиме;
• приложения из магазина – определение факторов, которые не дают приложениям с магазина Windows нормально функционировать.

Как видим, набор средств для выявления неполадок и возврата компьютера к состоянию нормального функционирования в Windows 10 большой. Иной вопрос заключается в их эффективности. Но здесь вся ответственность лежит на плечах разработчиков с более чем 20-ти летним опытом в создании операционных систем.

В любом случае, эти инструменты ни раз спасали новичков от отката системы, выполнения полного сброса или полной ее переустановки.

Для простоты поиска необходимого приложения все инструменты можно отобразить в одном окне без сортировки по категориям. Отвечает за это кнопка «Просмотр всех категорий».

Как проверить жёсткий диск на ошибки стандартными средствами windows 10

Как ни странно, но самая важная проверка компьютера должна начинаться не с операционной системы, а с железа, конкретнее — винчестера. Жёсткий диск — это важнейшая часть компьютера для работоспособности Windows. Мелкие поломки и ошибки на поверхности — частое явление, однако когда на секторах с ошибками находятся системные файлы, ОС может перестать функционировать.

Очень важно предупреждать появление неполадок и битых секторов: первые приведут к краху операционной системы, а вторые могут безвозвратно повредить даже личную информацию. Для анализа поверхности винчестера используется вшитая в систему утилита Check Disk

1. Открываем директорию System32, что находит в папке Windows, на системном разделе винчестера.
2. Находим файл cmd.exe, кликаем по нему правой кнопкой и выбираем пункт «Запуск от имени администратора».
3. В консоли прописываем команду chkdsk d: /f /r, где d — наименование проверяемого раздела, а параметры F и R — дополнительные команды для исправления ошибок и восстановления информации на повреждённых секторах. Запускаем утилиту в работу клавишей Enter, затем вовремя запросто соглашаемся с временным прекращением работы раздела (клавиша Y) и снова жмём «Ввод».
4. Повторяем процедуру для всех разделов. Однако для проверки системного диска потребуется перезагрузка ПК.

Важно помнить, что во время работы программы Check disk нельзя закрывать терминал, иначе программа остановится. И мало того, что ошибки могут не исправиться, но в связи с отключением программы могут появиться новые проблемы на поверхности

Журнал событий в Windows 7/10 – где находится и как открыть?

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Что такое журнал событий windows 10, и зачем нужен

События в журнале сгруппированы по категориям, самые значимые из них:
Именно в этих категориях преимущественно нужно искать события, которые могут что-то нам рассказать о проблемах с компьютером.
У событий в журнале есть уровни, они же, по сути, типы событий:

• Сведения — это информационные сообщения, фиксирующие запуски и остановки системных и программных служб, которые выполнены обычно, без каких-то проблем и сбоев;
• Предупреждения — сообщения, фиксирующие системные и программные события, при выполнении которых возникли проблемы. Эти проблемы потенциально могут быть причинами сбоя Windows 10 и программ;
• Ошибки — сообщения, фиксирующие события, при выполнении которых произошёл критический сбой программ и Windows 10, влекущий за собой потерю данных. Ошибки бывают обычные и критические. Критические – это те, что повлекли за собой сбой работы системы. 

Каждое из событий имеет общее и подробное описание, по формулировкам из которых в случае с предупреждениями и ошибками мы можем дополнительно наюзать в Интернете информацию, что это за проблема, и что с ней делать.
Но, друзья, пересматривать все предупреждения и ошибки журнала, заморачиваться ими, что-то выяснять – всё это без надобности делать не нужно. Наличие в журнале огромного числа ошибок и предупреждений не значит, что с компьютером что-то не то. В работе Windows 10 происходит множество различных процессов, их работа иногда завершается нештатно, но эти процессы перезапускаются и потом нормально работают. Чем больше на компьютере используется различного ПО, тем больше будет разного типа событий. Обращаться к журналу событий Windows 10 нужно только тогда, когда у нас есть какая-то проблема – сбои работы драйверов, произвольное разлогинивание системы, зависания, произвольные перезагрузки или выключения компьютера, появление BSOD и т.п. В таких случаях журнал событий, возможно, поможет нам отыскать причину проблемы или как минимум даст направления, в которых нужно искать причину

Также журнал позволит отследить частоту и закономерность сбоев работы системы и программ, что может быть важно при определении причины проблемы.
События в журнале можно фильтровать по ключевым словам и сортировать по различным критериям, в частности, по уровню критичности, дате и времени фиксации события. Например, можем отсортировать события по дате и времени, чтобы отследить, какие события в конкретный день предшествовали внезапному сбою работы компьютера

Другой пример: дабы отследить все сбои, можем отсортировать сообщения по уровню ошибок в начале списка и посмотреть дату и время каждого сбоя.
В контекстном меню или на панели консоли справа есть опции событий, которые нам могут пригодиться в процессе их отслеживания:

EVT LogParser

EVT LogParser is an event log viewer software, which is a bit different from the above listed event viewers. It is based on Microsoft Log Parser and can be used to view filtered out events from externally saved event log files.

If you have Event log files separately saved on your PC which you want to view, then you can use this software. Remember, it cannot open event log files stored at Windows’ default location to save event log files.

Simply select the event log files you want to view. Now, you have to set the query filter to view events you are looking to view. You can filter the Event log using the following filters: EventID, Event Type, Source, Message, From time, and To time. Based on the filter set by you, this free event log viewer displays events. Double click on an event to view its details.

That’s pretty much that you can do with this free event viewer software.

Windows

Write a Comment

Как отключить журнал событий Windows 10

Ранее мы смотрели, как открыть службы в Windows 10. Здесь также есть возможность отключить службу журнала событий Windows 10. И тогда уже после перезагрузки компьютера данные не будут записываться в журнал и пользователь не сможет посмотреть журнал событий в будущем. Поэтому отключать журнал событий не рекомендуется, хоть такая возможность и есть.

1. Открываем окно служб выполнив команду services.msc в окне Win+R.
2. Среди списка доступных служб находим Журнал событий Windows и в контекстном меню которого выбираем Свойства.
3. В открывшемся окне изменяем типу запуска службы EventLog на Отключена и нажмите ОК.

Эта служба управляет событиями журнала событий. Она поддерживает регистрацию и запрос событий, подписку на события, архивацию журналов и управление метаданными событий. После перезапуска компьютера изменения вступят в силу

А именно служба журнала событий не будет запускаться в автоматическом режиме. Обратите внимание, что остановка службы журнала событий Windows может снизить безопасность и надежность системы в целом

Заключение

Журнал событий для обычного пользователя по сути не нужен. Только человеку хорошо разбирающемся в операционной системе Windows 10 по силе разгадать коды ошибок появляющихся в журнале. Но попытать удачи и посмотреть журнал событий в нужной ситуации может попытаться любой, вдруг действительно это поможет решить проблему в системе.

Где находится журнал событий в Windows 10, как его просматривать и находить ошибки

Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает – ведет журнал событий.

События – это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс – это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.

Просмотр и копирование записей о событиях, службах и производительности

Вы можете скопировать свойства записи события, службы или производительности в диалоговых окнах » подробное представление » и » события » и » производительность » для роли или группы. Щелкните правой кнопкой мыши событие или запись производительности, а затем выберите команду Копировать.

Кроме того, при выделении любого события в списке плитка События позволяет просмотреть записи свойств данного события в нижней половине плитки. Чтобы скопировать свойства, показанные в предварительной версии, щелкните правой кнопкой мыши панель предварительного просмотра и выберите команду Копировать.

Другие вещи, которые вы можете сделать с Windows Journal

Если вы не хотите делать все с помощью пера, вы можете вставить текст с помощью клавиатуры. Нажмите меню « Вставка» , затем нажмите « Текстовое поле» . Нажмите и перетащите перо планшета в любое место заметки, чтобы создать текстовое поле, а затем введите все, что вы хотите.

Если поле окажется не в том месте, коснитесь инструмента выделения, а затем коснитесь текстового поля. Затем наведите курсор на границу текстового поля. Ваш указатель изменится на знакомую четырехконечную стрелку, и затем вы сможете изменить положение текстового поля в любом месте. Поначалу четырехконечная стрелка может быть немного сложна, потому что для ее появления необходимо навести курсор точно на границы поля.

Вы также можете импортировать текст в заметку журнала Windows , нажав меню « Импорт» . Это работает так же, как и в других продуктах Microsoft, но у него есть дополнительный бонус, который вы сможете пометить в документе с помощью журнала Windows и сохранить его с собственноручными аннотациями.

Метод 3: через PowerShell

Запускаем PowerShell от имени администратора и вводим следующую команду:

Смотрим как у меня:

И жмем: Enter

В конце выйдет ошибка, не пугайтесь. Это нормально. Журнал событий будет очищен.

На скрине показано, как можно привязать определенную задачу к событию. То есть, если что-то происходит, то включается обработчик и начинается выполнение указанной задачи. Описаны методы очистки событий. Не знаю, пригодится ли Вам это?

Согласен, тема не такая динамичная и захватывающая, как борьба с вирусами или восстановление системы с флешки. Но даже если этот материал хотя бы раз окажется полезным для Вас, значит, не зря я старался!

01.02.201912:0010431Виктор ФелькИнформационный портал IT Техник

 Привет! Мы продолжаем разбирать операционную систему Windows 10! Сегодня вы узнаете как посмотреть журнал событий на компьютере Windows 10. Вы сможете просматривать сводку административных событий, недавно просмотренные узлы, сводку журнала. Всё очень просто и быстро! Смотрите далее!

Безопасность и аудит

журнал событий Windows PowerShell предназначен для указания активности и предоставления оперативных сведений для устранения неполадок.

однако, подобно большинству журналов событий приложений на основе Windows, Windows PowerShell журнал событий не обеспечивает безопасность. Его не следует использовать для аудита безопасности или записи конфиденциальных или собственных сведений.

Журналы событий предназначены для чтения и понимания пользователями. Пользователи могут выполнять чтение и запись в журнал. Пользователь-злоумышленник может прочитать журнал событий на локальном или удаленном компьютере, записать ложные данные, а затем предотвратить ведение журнала действий.

Как зайти в журнал событий в Windows 10

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

1. Зажатием клавиш «Win» + «R» вызвать окно.
2. Прописать команду «eventvwr».
3. Нажать «OK».

А второй требует использования панели управления, где требуется:

1. Выбрать раздел «Система и безопасность».
2. Проследовать в подраздел «Администрирование».
3. Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

• Приложение (основная) — записи, созданные программами.
• Безопасность (основная) — сведения о безопасности системы.
• Установка (дополнительная).
• Система (основная) — сведения о работе системных компонентов.
• Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Вертим логи как хотим ― анализ журналов в системах windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch Logstash Kibana). Сфокусируемся на простом и бесплатном.

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

findstr «Fail» *.log >> fail.txt

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Get-Content -Path ‘C:Program FilesUpdate ServicesLogFilesSoftwareDistribution.log’ | Out-Host -Paging

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

>Get-Content -Path «C:WindowsWindowsUpdate.log» -Tail 5 -Wait

Смотрим за ходом обновления Windows.

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Select-String -Path «C:WindowsSystem32LogFilesFirewallpfirewall.log» -Pattern ‘Drop’ | Select-Object -Last 20 | Format-Table Line

Смотрим, кто пытается пролезть на наш дедик.

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Select-String ‘C:WindowsClusterReportsCluster.log’ -Pattern ‘ err ‘ ‑Context 3

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Get-Content ‘C:Windowsdebugnetlogon.log’ | Select-Object -First 30 -Skip 45

Журналы системы ведутся в формате .evtx, и для работы с ними существуют отдельные командлеты. Для работы с классическими журналами («Приложение», «Система», и т.д.) используется Get-Eventlog. Этот командлет удобен, но не позволяет работать с остальными журналами приложений и служб.

Для получения списка доступных системных журналов можно выполнить следующую команду:

Get-WinEvent -ListLog *

Вывод доступных журналов и информации о них.

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Get-WinEvent -LogName ‘System’ -MaxEvents 20

Последние записи в журнале System.

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.