Как отключить журнал событий

Включение и выключение записи событий в журнал

Запись событий в журнал доступна только для операций с файлами на съемных дисках.

Чтобы включить или выключить запись событий в журнал, выполните следующие действия:

1. Откройте окно настройки параметров программы.
2. В левой части окна в разделе Контроль рабочего места выберите подраздел Контроль устройств.

   В правой части окна отобразятся параметры компонента Контроль устройств.

3. В правой части окна выберите закладку Типы устройств.

   На закладке Типы устройств находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. Выберите в таблице устройств Съемные диски.

   В верхней части таблицы станет доступной кнопка Запись событий в журнал.

5. Нажмите на кнопку Запись событий в журнал.

   Откроется окно Параметры записи событий в журнал.

6. Выполните одно из следующих действий:
   • Если вы хотите включить запись событий об операциях записи и удаления файлов на съемных дисках, установить флажок Включить запись событий в журнал.Kaspersky Endpoint Security будет сохранять событие в файл журнала и отправлять сообщение на Сервер администрирования Kaspersky Security Center, когда пользователь совершает операции записи или удаления с файлами на съемных дисках.
   • В противном случае снимите флажок Включить запись событий в журнал.
7. Укажите, информация о каких операциях должна записываться в журнал. Для этого выполните одно из следующих действий:
   • Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал все события, установите флажок Сохранять информацию обо всех файлах.
   • Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал только информацию о файлах определенного формата, в блоке Фильтр по форматам файлов установите флажки напротив нужных форматов файлов.
8. Укажите, о действиях каких пользователей Kaspersky Endpoint Security будет формировать события журнала. Для этого выполните следующие действия:
   1. В блоке Пользователи нажмите на кнопку Выбрать.

      Откроется стандартное окно Microsoft Windows Выбор пользователей или групп.

   2. Задайте или измените список пользователей и / или групп пользователей.

   Когда пользователи, указанные в блоке Пользователи, будут производить запись в файлы, расположенные на съемных дисках, или удалять файлы со съемных дисков, Kaspersky Endpoint Security будет сохранять информацию о совершенной операции в журнал событий и отправлять сообщение на Сервер администрирования Kaspersky Security Center.

9. Нажмите на кнопку ОК в окне Параметры записи событий в журнал.
10. Нажмите на кнопку Сохранить, чтобы сохранить внесенные изменения.

Вы можете просмотреть события, связанные с файлами на съемных дисках, в Консоли администрирования Kaspersky Security Center в рабочей области для узла Сервер администрирования на закладке События.

Чтобы события отображались в локальном журнале событий Kaspersky Endpoint Security, требуется установить флажок Выполнена операция с файлом в параметрах уведомлений для компонента Контроль устройств.

Источник: https://help.kaspersky.com/KESWin/11/ru-RU/134053.htm

Настройка параметров ведения журнала

Эта документация перемещена в архив и не поддерживается.

 

Применимо к: Forefront Protection 2010 for SharePoint

Дата изменения раздела: 2010-01-27

Для Microsoft Forefront Protection 2010 for SharePoint (FPSP) можно настроить следующие параметры ведения журнала.

Включить или отключить ведение журнала происшествий можно для каждого типа задания проверки (проверка в реальном времени, проверка по расписанию, проверка по требованию). Включение ведения журнала происшествий позволяет эффективнее отслеживать производительность FPSP.

Но отключение ведения журнала происшествий позволяет сэкономить место на диске при нехватке ресурсов (при условии, что для соответствующего задания проверки также отключено помещение в карантин).

Если для задания проверки отключено ведение журнала происшествий, но включено помещение в карантин, сведения о происшествиях все равно будут записываться в базу данных, чтобы ПО FPSP могло поместить элемент в карантин. Но этот элемент не будет отображаться в области Происшествия.

Включение и отключение параметров ведения журнала происшествий

1. В окне Forefront Protection 2010 for SharePoint Administrator Console переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

2. В разделе Параметры ведения журнала области Глобальные параметры — Дополнительные параметры включите или отключите с помощью флажков указанные ниже параметры ведения журнала происшествий.

   • Включить ведение журнала происшествий в реальном времени — указывает, должна ли программа FPSP включать ведение журнала происшествий для задания проверки в реальном времени. Ведение журнала происшествий для проверки в реальном времени включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке в реальном времени, снимите соответствующий флажок.
   • Включить ведение журнала происшествий по расписанию — указывает, должна ли программа FPSP включать ведение журнала происшествий для задания проверки по расписанию. Ведение журнала происшествий для проверки по расписанию включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке по расписанию, снимите соответствующий флажок.
   • Включить ведение журнала происшествий по требованию — указывает, должна ли программа FPSP включать ведение журнала происшествий для задания проверки по требованию. Ведение журнала происшествий для проверки по требованию включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке по требованию, снимите соответствующий флажок.

3. Нажмите кнопку Сохранить.

Запись событий в журнал событий можно включить или отключить. Ведение журнала событий можно по отдельности включить и отключить для происшествий, модулей и операций. По умолчанию ведение журнала событий включено для всех событий.

Включение и отключение записи в журнал событий

1. В окне FPSP Administrator Console переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

2. В разделе Параметры ведения журнала области Глобальные параметры — Дополнительные параметры установите или снимите флажок Включить для ведения журнала событий. По умолчанию этот флажок установлен, что позволяет с помощью дополнительных флажков по отдельности включить или отключить указанные ниже параметры, включенные по умолчанию.

   • Происшествия — включает или отключает ведение журнала событий для происшествий.
   • Ядра — включает или отключает ведение журнала событий для ядер.
   • Операционные — включает или отключает ведение журнала событий для всех остальных событий, например событий, связанных со сведениями о системе и работоспособностью.

   Если флажок Включить ведение журнала событий снят, ведение журнала событий для происшествий, модулей и операционных событий приостанавливается.

3. Нажмите кнопку Сохранить.

Примечание:

Для вступления изменений этих настроек в силу необходимо перезапустить соответствующие службы FPSP.

Можно включить или отключить ведение журнала счетчиков производительности, отображаемых в системном мониторе.

Включение и отключение ведения журнала счетчиков производительности

1. В окне FPSP Administrator Console переключитесь в представление Управление политиками и в разделе Глобальные параметры нажмите кнопку Дополнительные параметры.

2. В разделе Параметры ведения журнала области Глобальные параметры — Дополнительные параметры установите или снимите флажок Включить счетчики производительности и нажмите кнопку Сохранить. По умолчанию ведение журнала счетчиков производительности включено.

 

Источник: https://technet.microsoft.com/ru-ru/library/ee358923.aspx

Хотите быть в курсе всех ошибок и событий которые происходят в вашей windows 7? Вам поможет журнал событий

Здравствуйте, дорогие читатели, с вами снова Тришкин Денис.
Хотелось бы вам рассказать об одном интересном стандартном приложении в Windows. Корпорация Microsoft всегда отличалась тем, что в своих операционных системах она старалась реализовать высокую безопасность и быстродействие путем слежения за программами и различными движениями в системе.

Конечно же это не всегда выходило. Одним из инструментов, позволяющих наблюдать за системой, является журнал событий Windows 7. Именно в нем регистрируются все некорректные установки и неудачные запуски программ. В нем все действия расположены в хронологическом порядке.

Желательно время от времени заглядывать в этот реестр, чтобы вовремя реагировать на новую информацию.

Возможности журнала Windows( к содержанию ↑ )

увеличить

Приложение имеет следующие возможности:

• создание реестра данных, которые в хронологическом порядке записаны в архив;
• наличие специальных фильтров, позволяющих удобно просматривать и настраивать систему;
• подписка на некоторые категории действий;
• при появлении определенного рода действий можно задать последовательность.

Запуск программы( к содержанию ↑ )

Каталог можно открыть, как и многие другие системные утилиты. Он запускается так:

1. 1Нужно зайти в «Пуск» и «Панель управления». Далее выбираем «Администрирование». В отрывшемся окне нужно найти «Просмотр событий». Кроме того, можно написать в поиске «журнал событий».

   увеличить

2. 2Появится окно, где нужно выбрать подходящий параграф, который означает удаление или добавление действия. После этого появляется «Просмотр событий» на основном окне.

увеличить

Описание( к содержанию ↑ )

Итак, узнав, где находится журнал, нужно теперь выяснить, что это такое. В Windows седьмой версии предусмотрено несколько реестров движений. Так, существует служебная база приложений и системный архив.

Действие последнего направлено на запись всех происшествий, происходящий в операционке с программами. Первый нужен для запоминания изменений, которые прошли со служебными приложениями.

Основной является вкладка «Просмотр», которая включает несколько пунктов:

1. 1Приложение. В этом меню сохраняются перемены, связанные с определенной программой. Например, здесь можно найти данные, которые использует почтовая служба – историю пересылки, события в ящиках и многое другое.

2. 2Безопасность. Здесь показывается информация, касающаяся входов и выходов из системы, использования возможностей администратора, обращения к разным ресурсам.

3. 3Установка. Отображаются данные, появляющиеся в результате установки и настройки разных программ.

4. 4Система. Тут фиксируются сбои, произошедшие при запуске встроенных приложений. Кроме того, именно здесь находятся данные о проблемных установках драйверов и различные сообщения, связанные с работой ОС.

5. 5Пересылаемые события. Пункт нужно предварительно настраивать. Если это сделано, здесь будут храниться данные, пришедшие с других серверов.

Кроме того, предусмотрены и дополнительные подразделения:

1. 1Internet Explorer. Здесь можно найти информацию, которая отображает изменения, произошедшие с браузером.

   увеличить

2. 2Windows PowerShell. В этом разделе показываются происшествия, связанные с PowerShell.

   увеличить

3. 3События оборудования. Пункт не всегда может быть настроен. Если он подключен, в файле отображаются данные о работе устройств.

   увеличить

Информацию в базе можно посмотреть, как и любую другую на компьютере. Но вместе тем, пользователь должен знать несколько основных определений, касающихся работы приложения:

1. 1Источник – программа, которая отправила данные в журнал. Это может быть название приложения, драйвера или другого отдельного компонента.

   увеличить

2. 2Коды события – ряд цифр, указывающих на определенный тип действия. Первая строка в большинстве случаев содержит название типа. Обычно код и источник являются основными показателями, по которым специалист определяют ошибку в системе и пытаются ее исправить.

   увеличить

3. 3Уровень – важность, которая делится на шесть пунктов:

   увеличить

   • уведомление – какое-либо изменение в приложении (чаще появление информационного сообщения);
   • предупреждение – указывает на неполадку, которая в будущем может привести к серьезной проблеме;
   • ошибка – сбой, влияющий на функции события или программы;
   • критическая ошибка – неполадка, в результате которой, компонент или программа не могут автоматически восстановить работоспособность;
   • аудит успехов – правильное выполнение действий, отслеживающихся пользователем;
   • аудит отказов – не правильное выполнение действий, за которыми наблюдает клиент.

4. 4Пользователь – указывает на учетную запись, при которой и произошло изменение.

   увеличить

5. 5Рабочий код – числовое значение, определяющее промежуток в пределах которого произошел сбой.

   увеличить

6. 6Дата и время – показывается, когда именно это случилось.

   увеличить

Кроме простого просмотра, программу можно очистить, как это делается, я расскажу далее. Это необходимо для быстрого анализа всех ошибок ОС. Как удалить события? Просто выполните некоторые действия:

1. 1Выбираем нужный раздел.

   увеличить

2. 2В разделе «Действие» нажимаем «Очистить журнал».

   увеличить

Постоянно просматривая реестр операционной системы, можно увидеть, что здесь часто появляются разные ошибки и предупреждения. При этом не стоит сразу паниковать – многие из них никак не угрожают компьютеру. Но вместе с тем они могут появляться даже на идеально работающей машине.

увеличить

По факту, это приложение разрабатывалось для системных администраторов, чтобы они могли в кратчайшие сроки узнать о проблеме и убрать ее.

Увеличение объема памяти для записей в журнале( к содержанию ↑ )

Первоначально файл, в котором хранятся данные сам по себе имеет небольшой размер. Но его можно увеличить. Для этого необходимо:

1. 1Выбрать раздел и перейти в его свойства.

   увеличить

2. 2На поле «Максимальный размер…» нужно указать желаемое значение. По умолчанию число округляется в ближайшую сторону до кратности к 64 Кб. При этом файл журнала не может быть меньше 1024 Кб.

   увеличить

После достижения максимального размера, обработка осуществляется политикой их хранения. Существуют такие виды:

1. 1Переписывание при необходимости. Новые строки заменяют самые старые.

2. 2Не переписывание. Очистка файла происходит вручную.

Чтобы выбрать желаемую политику, нужно:

1. 1Выделить подходящий журнал, а затем «Свойства».

   увеличить

2. 2На вкладке «Общие» находим «При достижении максимального…» выбираем желаемый параметр и подтверждаем действие.

   увеличить

Проблемы запуска( к содержанию ↑ )

Иногда происходит так, что журнал не запускается.

Решение проблемы хоть и не простое, тем не менее эффективное. Итак, в папке Windows находим System32, а затем wineyf. Ей и всем файлам внутри нужно дать полный доступ для юзера Local Service. Именно под ним и проходит работа программы. Иногда то же самое нужно сделать для папки LogFiles, расположенной в той же директории.

Отключение( к содержанию ↑ )

Журнал событий можно отключить, как и любую другую службу.

Заходим в Панель управления, «Администрирование».

Здесь находим «Службы», выбираем нужную и меняем тип запуска на «Отключено». Эта программа будет продолжать работу до первой перезагрузки.

увеличить

Журнал событий в Windows 7 представляет собой удобный инструмент, позволяющий следить за различными операциями, происходящими на компьютере. Это позволит исправлять ошибки, что улучшит взаимодействие с системой.

Подписывайтесь и рассказывайте друзьям обо мне.

Источник: http://windwix.ru/zhurnal-sobytij-v-windows-7/

Журналы событий Windows

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений.

Когда возникают подобные типы событий, система Windows создает записи в журналах событий.

В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами. Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей — событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий — управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году.

Начиная с этой версии в любой Windows присутствуют 3 основных журнала — журнал Приложения, журнал Система и журнал Безопасность.

В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

Преимущества Event Log Explorer для руководителей

Что такое служба «Журнал событий Windows»?

Служба (сервис) «Журнал событий Windows» — это специальная служба (сервис) для управления событиями и журналами событий.

Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п.

По умолчанию, после установки системы Windows служба «Журнал событий Windows» включена и запускается автоматически. Не стоит останавливать или выключать эту службу. Остановка службы «Журнал событий Windows» может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы.

Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате.

Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой «Журнал событий Windows» и их невозможно непосредственно открыть на живой, работающей системе.

Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру.

По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге «C:WindowsSystem32winevtLogs»

Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги: 

Запустите приложение Просмотр событий.

Нажмите «Открыть сохраненный журнал» в панели «Действия», расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку «Открыть» и его содержимое отобразиться в области просмотра событий в приложении. 

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем «Просмотр событий». Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой. Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения.

Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях возникающих при работе SQL-сервера, таких как «недостаточно памяти», «сбой при резервном копировании базы данных» и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений.

Приложения идентифицируются как разные «источники» в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников.

Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами. Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий. Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows.

Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником.

Журнал событий Система — важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д.

Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен.

Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Подробнее про аудит событий безопасности можно прочесть тут.

Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события.

Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

• Версия: 4.6
• Выпущена: 3-Oct-2017
• ОС: XP, Vista, 7, 8, 10, 2003, 2008, 2012, 2016

• Version: 5.0 beta 1
• Released:

Источник: https://eventlogxp.com/rus/essentials/windowseventlog.html

Где найти журнал событий в системе Windows 7

Любая современная ОС с графическим интерфейсом основана на событиях. То же самое касается и программного обеспечения, для таких ОС разработанного. Событие – краеугольный камень этой инфраструктуры.

Под событиями понимаются не только интерактивные действия пользователя, но и результаты разнообразных системных процессов, скрытых от глаз нажимающего на кнопки и щелкающего по клавишам оператора системы.

События бывают встроенные, то есть такие, что предопределены архитектурой, и создаваемые администратором или разработчиком. В нашей статье мы рассмотрим классификацию событий в Windows, средства их журналирования и просмотра, а также методы работы с ними.

Интерфейс для просмотра произошедших в системе событий носит название «системного журнала». Записи в журнале создаются в результате некоторых действий программ или пользователей, зарезервированных ОС в качестве событий. Разумеется, не каждое действие фиксируется в журнале. Для этого их слишком много.

Например, передвижение мыши хотя бы на один пиксель, уже порождает программное исключение и потенциально может обрабатываться «операционкой», что, в сущности, и происходит – такие действия в журнал не попадают. А вот предупреждения системы безопасности – протоколируются, так как составляют критически важные сведения.

Windows допускает тонкую настройку перечня критически важных системных исключений. До некоторой степени вы сами вольны решать, что именно протоколировать, а без какой информации можно и обойтись. Чтобы дать вам представления об этом, перечислим некоторые из стандартных операций с журналом:

• Просмотр перечня событий.
• Фильтрация перечня по определенным критериям.
• Создание «триггеров» реакций на процессы в системе – так называемая «подписка».
• Назначение типа реакции на то или иное событие.

Как осуществить просмотр?

Чтобы осуществлять просмотр содержимого журнала, нужно запустить соответствующее приложение. Делается это так:

• Переходим в меню «Пуск» => «Панель управления».
• Выбираем раздел «Администрирование».
• В этом разделе щелкаем по имени компоненты «Просмотр событий».
• Запустится программа с окном характерного вида – так называемая «оснастка». Эта оснастка и есть визуальный интерфейс для нашего протокола.

Того же самого можно добиться, если в окошке «Выполнить» (вызывается из того же меню «Пуск») набрать команду mmc.

Эта команда запустит общий интерфейс для всех оснасток, в котором нужно будет перейти в меню «Консоль» => «Добавить или удалить оснастку» и из перечня всех оснасток вызвать нужную. В седьмой версии Windows все это проделывается так же, как и в предыдущей.

Окошко «Выполнить» можно вызвать и при помощи клавиатурной комбинации «Win» + «R» — результат будет тем же. По итогу наших манипуляций появится окно такого вида:

Классификация событий ОС

Далее мы приведем классификацию записей в журнале по их значению для пользователя. События делятся на те, что генерируются самой операционной системой, и те, что исходят от приложений и служб. Однако такая классификация не учитывает смысла фиксируемых явлений. Более подробная их группировка выглядит следующим образом:

• Группа «Приложение» включает реакции системы на некоторые результаты работы приложений. Например, почтовый сервер может оставлять в журнале записи об отправке и получении электронной почты. Соответствующие данные хранятся в файле %SystemRoot%System32WinevtLogsApplication.Evtx.
• Группа «Безопасность» не нуждается в комментариях – сюда складируется все, что так или иначе затрагивает подсистему защиты от незаконных вторжений. Например, отмечаются удачные и неудачные попытки пользователя войти в систему. Адрес файла: %SystemRoot%System32WinevtLogsSecurity.Evtx.
• Группа «Установка» — здесь журнал событий Windows 7 логирует успешные и неуспешные попытки инсталлировать те или иные компоненты в процессе установки ОС. Так что если установка не увенчалась успехом или привела к нестабильной работе поставленной системы – анализ этого лога может помочь выявить источник проблемы. Файл хранится тут: %SystemRoot%System32WinevtLogsSetup.Evtx.
• Группа «Система» — самая обширная сюда помещаются результаты инициализации драйверов, запуска служб и прочие критически важные для ОС сообщения. Файл %SystemRoot%System32WinevtLogsSystem.Evtx – место хранения этих сведений.
• Группа «Пересылаемые события» — это собрание информации о пересылках данных между серверами. Все результаты таких пересылок накапливаются в файле %SystemRoot%System32WinevtLogsForwardedEvents.Evtx.
• Хранилище «Internet Explorer» (%SystemRoot%System32WinevtLogsInternetExplorer.Evtx) содержит логи работы браузера.
• Просмотреть логи взаимодействия пользователя с обновленным интерфейсом командной строки «Power Shell» можно тут: %SystemRoot%System32WinevtLogsWindowsPowerShwll.Evtx.
• Регистрация неадекватного поведения оборудования ведется в файле %SystemRoot%System32WinevtLogsHardwareEvent.Evtx.

Все данные хранятся в популярном формате XML, поэтому для их чтения и обработки необходима оболочка наподобие журнала событий. Непосредственный просмотр событий в системе Windows 7 в файлах хотя и возможен, но крайне затруднителен. Однако заниматься этим нет нужды, так как журнал событий Windows 7 делает это за нас.

Параметры записей

Некоторые параметры имеют смысл для любых событий, другие же относятся только к определенным их типам. Журнал имеет меню с множеством опций, упрощающих работу пользователя с его записями:

Теперь вы знаете, как в Windows 7 открыть журнал событий и что он собой представляет.

Источник: http://WindowsTune.ru/win7/utility7/windows-7-kak-otkryt-zhurnal-sobytij.html

Как удалить журнал событий?

Ваш вопрос:

Как удалить журнал событий?

Ответ мастера:

Многие пользователи операционных систем используют «журнал событий» для отслеживания ошибок, уведомлений и просто изменений в работе системы. С помощью такой утилиты вы можете быть в курсе событий безопасности или диагностики системы.

Такой журнал можно использовать для предотвращения неполадок, но иногда в таком журнале нет необходимости, и поэтому стоит задача его удаления.

Для просмотра «журнала событий» в операционной системе Windows вам необходимо выполнить следующий набор действий. Нажмите кнопку «пуск», выберите «панель управления», перейдите в раздел «Производительность и обслуживание», а затем в пункт «Администрирование». Откройте «Управление компьютером» и перейдите в «просмотр событий». События бывают различных типов.

Это могут быть «сведения»- события, которые отображаются после выполнения успешной операции, «предупреждения»- события, обозначающие и уведомляющие о возможных неполадках, «ошибки» — это уведомления о сбоя в системе, а так же «аудит успехов» и «аудит отказов». Вы можете удалить отдельное событие, но помните, что некоторые из них важны для предотвращения неполадок.

Для того чтобы удалить апплет, вам сначала потребуется его открыть и создать «журнал событий», для этого выберите пункт «действие», а затем перейдите во вкладку «Открыть сохраненный журнал». Для того чтобы найти файл «журнала событий», воспользуйтесь поиском, который расположен на боковой панели, теперь вам предстоит открыть файл с нужным разрешением, т.е.

с таким, которое будет соответствовать вашему журналу. Выберите файл с разрешением evtx. Произведите открытие этого файла в углу диалогового окна. Это позволит вам удалить недавний «журнал событий». Затем перейдите в папку с сохраненными журналами, в ней отображаются все ранее созданные журналы.

Выберите такой файл, затем вызовите контекстное меню и выберите пункт удалить, подтвердите вашу операцию.

Источник: http://komputernaya-pomosh-moscow.ru/answer/how/kak_udalit_zhurnal_sobytij/