Файлы журналов windows что это

Файлы журналов windows что это

Установка Windows® создает файлы журналов для всех действий, выполняемых во время установки. При наличии проблем с установкой Windows просмотрите файлы журналов для поиска и устранения неполадок.

Файлы журналов установки Windows сохраняются в следующих каталогах:

Расположение файла журнала Описание

Местоположение журнала перед доступом установки к диску.

Расположение журнала при откате установки в случае неустранимой ошибки.

Расположение журнала действий установки после настройки диска.

Используется для регистрирования установок устройств Plug and Play.

Местоположение дампа памяти для проверки на ошибки.

Местоположение зарегистрированных мини-дампов для проверки на ошибки.

Местоположение журналов программы Sysprep.

Установка Windows теперь позволяет просматривать события производительности установки Windows в средстве просмотра журнала событий Windows. Это упрощает просмотр действий, выполненных во время установки Windows, и позволяет просматривать статистику производительности для различных компонентов установки Windows. Для просмотра только необходимых записей в журнале можно использовать фильтр. Дополнительные сведения о средстве просмотра событий см. на данном веб-сайте Майкрософт (страница может быть на английском языке).

События производительности установки Windows регистрируются в файле журнала с именем Setup.etl, который находится в каталоге %WINDIR%Panther всех установок Windows® 7.

Чтобы просмотреть эти журналы, необходимо воспользоваться средством просмотра событий в Windows 7, Windows Vista®, Windows Server® 2008 или Windows Server® 2008 R2.

Чтобы просмотреть эти журналы на компьютере под управлением Windows Vista без Windows AIK 2.0 или Windows OPK 2.0, необходимо из корневого каталога носителя с Windows 7 или Windows Server 2008 R2 запустить сценарий, который устанавливает поставщика отслеживания событий Windows. В командной строке введите:

где — это буква DVD-диска Windows.

Просмотр журналов событий установки Windows

  1. Запустите средство просмотра событий, разверните узел «Журналы Windows», а затем выберите Система.

На панели Действия выберите команду Открыть сохраненный журнал, а затем выберите файл Setup.etl. По умолчанию этот файл находится в каталоге %WINDIR%Panther.

В средстве просмотра событий отображается содержимое файла журнала.

Экспорт журнала в файл

Для сохранения журнала в XML- или текстовый файл введите в командной строке команду Wevtutil или Tracerpt. Дополнительные сведения об этих программах см. в справке командной строки. В следующих примерах показано, как можно использовать эти программы:

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Читайте также:  Система android жрет батарею

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Читайте также:  Почему компьютер долго выключается и включается

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Вы можете использовать журнал средства миграции пользовательской среды (USMT) 10.0, чтобы отслеживать выполнение миграции и диагностировать возникающие ошибки и сбои миграции. В этом разделе описаны доступные параметры командной строки, необходимые для использования журналов USMT, а также новые XML-элементы, с помощью которых можно указать, какие типы ошибок являются неустранимыми и должны привести к остановке миграции, а какие устранимы и должны быть пропущены, чтобы продолжить миграцию.

Параметры командной строки журнала

Ниже в таблице приводятся определения всех параметров командной строки для работы с журналами, указывается имя каждого журнала и описывается содержащийся в нем тип информации.

Параметр командной строки Имя файла Описание

/l[Path]FileName

Scanstate.log или LoadState.log

Задает путь и имя файла для журнала ScanState.log или LoadState.log.

/progress[Path]FileName

Задает путь и имя файла для журнала хода выполнения.

Содержит информацию о состоянии миграции (процент выполнения).

/v[VerbosityLevel]

См. раздел "Параметры наблюдения" в материале Синтаксис ScanState.

/listfiles[Path]FileName

Задает путь и имя файла для журнала Listfiles log.

Содержит список перенесенных файлов.

Установите значение переменной среды MIG_ENABLE_DIAG, указав путь к XML-файлу.

Журнал диагностики содержит подробную информацию о системной среде, пользовательской среде, о собираемых объектах миграции (migunits) и их содержимом.

Файлы журнала нельзя сохранять в каталоге StorePath. Если вы это сделаете, журнал будет перезаписан при запуске USMT.

Журналы ScanState и LoadState

Журналы ScanState и LoadState представляют собой текстовые файлы, создаваемые при работе средств ScanState и LoadState. Эти журналы помогают следить за ходом миграции. Содержимое журнала зависит от параметров командной строки и заданного уровня детализации. Подробнее об уровнях детализации см. в разделе "Параметры наблюдения" материала Синтаксис ScanState.

Журнал выполнения

Можно создать журнал выполнения, воспользовавшись параметром /progress. Внешние средства, например Microsoft System Center Operations Manager 2007, способны анализировать журнал выполнения и обновлять данные систем мониторинга. Первые три поля в каждой строке зафиксированы. Это поля:

Дата: дата в формате day shortNameOfTheMonth year. Например: 08 июня 2006.

Местное время: время в формате hrs:minutes:seconds (используется 24-часовое представление времени). Например: 13:49:13.

Время миграции: срок, в течение которого было запущено USMT, выраженное в формате hrs:minutes:seconds. Например: 0:00:10.

Остальные поля представляют собой пары "ключ-значение" (см. таблицу ниже).

Ключ Значение

ScanState.exe или LoadState.exe.

Полный номер версии USMT.

Имя исходного или целевого компьютера, на котором запущено средство USMT.

Полная команда, используемая для запуска USMT.

Извещает о начале нового этапа миграции. Возможные значения:

Collecting (сбор данных)

Для средства ScanState отображаются пользователи, обнаруженные с помощью USMT на исходном компьютере, для которых возможна миграция.

Для средства LoadState отображаются пользователи, обнаруженные с помощью USMT в хранилище, для которого возможна миграция.

Определяет, включен ли в миграцию профиль или компонент пользователя. Допустимые значения: Yes (да) или No (нет).

Задает одно из следующих значений.

Пользовательскую среду, для которой выполняется миграция.

This Computer, что означает: файлы и параметры не связаны с этим пользователем.

Задание компонента, обнаруженного средством миграции пользовательской среды.

Для ScanState — компонент или приложение, установленное на исходном компьютере.

Для LoadState — компонент или приложение, обнаруженное в хранилище.

Указывает общий размер переносимых файлов и параметров в мегабайтах (МБ).

Указывает общий процент миграции, выполненной средством ScanState или LoadState.

Читайте также:  Заявка на расход денежных средств

Указывает пользователя, для которого ScanState собирает файлы и параметры.

Указывает примерное время завершения миграции в минутах.

Указывает тип возникшей некритической ошибки. Возможные значения:

UnableToCopy: не удается выполнить копирование в хранилище, поскольку диск, на котором размещено хранилище, заполнен.

UnableToOpen: не удается открыть файл для миграции, поскольку файл уже открыт с исключительными правами другим приложением или службой.

UnableToCopyCatalog: не удается выполнить копирование, поскольку хранилище повреждено.

UnableToAccessDevice: не удается получить доступ к устройству.

UnableToApply: невозможно применить этот параметр на целевом компьютере.

Указывает имя файла или параметра, вызвавшего некритическую ошибку.

Действие, предпринимаемое USMT при возникновении ошибки, которая не является неустранимой. Возможные значения:

Пропустить: некритическая ошибка пропускается, а миграция продолжается, поскольку параметр /c задан в командной строке.

Прервать: миграция остановлена, поскольку не указан параметр /c.

Указывает код ошибки или возвращаемое значение.

Общее количество некритических ошибок, пропущенных средством USMT.

Указывает сообщение, соответствующее коду ошибки.

Журнал файлов

Журнал файлов (Listfiles.txt) содержит список перенесенных файлов. Этот список можно использовать для диагностики проблем с XML-файлом или сохранить как перечень файлов, собранных в хранилище миграции. Журнал файлов доступен только при использовании ScanState.exe.

Журнал диагностики

Журнал диагностики можно сформировать, указав для переменной среды MIG_ENABLE_DIAG путь к XML-файлу.

Журнал диагностики содержит:

Подробные сведения о системной среде

Подробные сведения о пользовательской среде

Сведения о собираемых объектах миграции (migunits) и их содержимом

Использование журнала диагностики

Журнал диагностики по существу является отчетом обо всех объектах миграции, включенных в миграцию. Объект миграции — это коллекция данных, определяемая соответствующим ей компонентом XML-файла. Хранилище миграции образуют все включенные в миграцию объекты миграции. Журнал диагностики позволяет проверить, какие объекты миграции включены в миграцию, и устранить ошибки при создании XML-файлов миграции.

Далее в примерах описаны типичные сценарии, в которых можно использовать журнал диагностики.

Почему не выполняется миграция файла, если для него было создано правило включения?

Предположим, что имеется следующая структура каталогов и в миграцию нужно включить каталог data и файл "Новый текстовый документ.txt" из папки "Новая папка". Каталог Cdata содержит:

Каталог CdataНовая папка содержит:

Для миграции этих файлов создается следующий XML-файл миграции:

Однако при проверке миграции вы замечаете, что файл "Новый текстовый документ.txt" не включен в миграцию. Для диагностики этого сбоя можно повторить миграцию, задав для переменной среды MIG_ENABLE_DIAG параметр, обеспечивающий создание журнала диагностики. При поиске компонента "DATA1" в журнале диагностики обнаруживается следующий XML-раздел:

Анализе этого XML-раздела показывает, что при обработке правила миграции был создан объект миграции. Раздел

содержит сведения о файлах, запланированных для сбора, и результаты операции сбора. Этот раздел не содержит файл "Новый текстовый документ.txt", и таким образом подтверждается, что правило миграции было создано неверно.

При анализе раздела руководства по XML-элементам выясняется, что тег

нужно изменить следующим образом:

При повторном выполнении миграции после изменения тега в журнале диагностики обнаруживаются следующие сведения:

Журнал диагностики подтверждает, что измененное значение тега

обеспечило миграцию файла.

Почему переносится файл, если для него было создано правило исключения?

В этом сценарии имеется следующая структура каталогов и требуется перенести все файлы каталога data, за исключением текстовых. Папка CData содержит:

Папка CDataНовая папка содержит:

Создается следующий XML-файл миграции:

Однако при проверке миграции оказывается, что в миграцию включены все текстовые файлы. Для диагностики этой проблемы можно выполнить миграцию, задав для переменной среды MIG_ENABLE_DIAG параметр, обеспечивающий создание журнала диагностики. При поиске компонента "DATA1" в журнале диагностики обнаруживается следующий XML-раздел:

При анализе журнала диагностики подтверждается, что файлы по-прежнему переносятся и что проблема связана с созданным XML-правилом миграции. Для XML-скрипта миграции создается следующее обновление:

Измененный XML-скрипт миграции позволяет исключить требуемые файлы из миграции, что подтверждает журнал диагностики:

Ссылка на основную публикацию
Уравнение окружности в полярных координатах
Определение: замкнутая плоская кривая, все точки которой одинаково удалены от данной точки (центра О), лежащей в той же плоскости, что...
Тело массой м брошено
Тело массой m = 5 кг брошено под углом α = 30° к горизонту с начальной скоростью v 0 =...
Телефоны с ик портом 2018
В большинстве домов можно обнаружить несколько устройств, которые управляются пультом дистанционного управления: телевизор, музыкальный центр, система климат-контроля, камера наблюдения и...
Уравнение пучка прямых проходящих через точку
Совокупность прямых, проходящих через некоторую точку, называется пучком прямых с центром в этой точке. Если и - уравнения двух пересекающихся...
Adblock detector