Журнальные файлы Windows

Для просмотра журналов в ОС Windows предусмотрено стандартное приложение входящее в комплект приложений для администрирования - eventvwr.msc. Для запуска необходимо в меню пуск выбрать:

Пуск \ Все программы \ Стандартные \ Администрирование \ Просмотр событий

Данное приложение позволяет просмотреть различные журналы событий Windows. Файлы самих журналов расположены в директории:

C:\WINDOWS\system32\config\

Они имеют расширение *.evt. С помощью стандартного приложения можно экспортировать файлы журналов в файл *.txt. Файлы журналов используют для просмотра событий, а также для нахождения событий которые были последними и могли привести к сбою системы.

eventvwr.msc

Местонахождение

Windows\system32

Просмотр событий (Event Viewer)

В окне просмотра событий ведутся журналы программных, системных событий, а также событий безопасности на компьютере. Окно просмотра событий используется для просмотра журналов событий и управления ими, получения сведений о неполадках аппаратного и программного обеспечения, а также для наблюдения за событиями безопасности Windows. 

WINDOWS\system32\config:

Файл AppEvent.Evt является журналом событий приложений, используемого реестром Windows

Файл SecEvent.Evt является журналом событий безопасности, используемого реестром Windows.

Файл SysEvent.Evt является журналом событий системы, используемого реестром Windows.

Журнал приложений

В журнале приложений содержатся данные, относящиеся к работе приложений и программ. Например, программа управления базой данных может зарегистрировать событие о файловой ошибке в журнале приложений. События, регистрируемые в журнале приложений, определяются разработчиками соответствующих приложений.

Журнал безопасности

Журнал безопасности содержит такие события, как успешные и неуспешные попытки входа в систему, а также события, относящиеся к использованию ресурсов, такие как создание, открытие и удаление файлов и других объектов. Администраторы могут выбрать события, которые следует заносить в журнал безопасности. Например, если включен аудит входа в систему, сведения обо всех попытках входа в систему заносятся в журнал безопасности.

Журнал установки

В журнале установки содержатся данные, относящиеся к установке приложений.

Журнал системы

Журнал системы содержит события, записываемые системными компонентами Windows. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов в процессе загрузки системы. Типы событий, которые регистрируются компонентами системы, определены на уровне операционной системы.

Журнал пересылаемых событий

Журнал пересылаемых событий используется для хранения событий, собранных с удаленных компьютеров. Для сбора событий с удаленных компьютеров необходимо создать подписку на события. Сведения о создании подписок на события см. в разделе Подписка на события.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.