Управление параметрами журнала действий
На вашем устройстве
Чтобы остановить сохранение журнала активности на устройстве, нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. На этой странице снимите флажок сохранять журнал действий на этом устройстве .Открытие параметров журнала активности
Примечания:
-
Если отключить этот параметр, вы не сможете использовать компоненты на устройстве, которые зависят от журнала действий, такие как возможности продолжить с места остановки временной шкалы и Кортаны. Вы по-прежнему сможете просматривать журнал браузера в Microsoft Edge.
-
В предыдущих версиях Windows этот параметр называется ” разрешить Windows собирать мои действия с этого компьютера“.
Чтобы остановить отправку журнала активности в корпорацию Майкрософт, нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. На этой странице снимите флажок отправлять историю действий в Microsoft .
Примечания:
-
Если вы выключили этот параметр, вы не сможете использовать полную временную шкалу на 30 дней или возможности продолжения работы на разных устройствах.
-
В предыдущих версиях Windows этот параметр называется ” разрешить Windows синхронизировать мои действия с этого компьютера и облако”.
-
В Windows есть дополнительные параметры конфиденциальности, которые определяют, отправляются ли в корпорацию Майкрософт сведения о действиях приложений и об истории браузера, например параметры данных диагностики .
Если у вас есть личная учетная запись Майкрософт (MSA), вы можете управлять данными журнала активности, которые связаны с учетной записью Майкрософт в облаке, выбрав пункт Управление данными о действиях в учетной записи Майкрософт. Войдя в панель мониторинга конфиденциальности, откройте вкладку История активности и выберите данные, которыми вы хотите управлять.
Если у вас есть рабочая или учебная учетная запись, вы можете очистить и удалить журнал действий, который хранится на устройстве, и журнал действий, отправленный в облако корпорации Майкрософт. Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность > Журнал действий. В разделе Очистить журнал действийнажмите кнопку очистить.
Если у вас несколько учетных записей и рабочая или учебная учетная запись (AAD) является основной на устройстве, очистка журнала действий приведет к удалению журнала действий рабочей и (или) учебной учетной записи (AAD), синхронизированной с облаком. Чтобы управлять личной учетной записью Майкрософт (MSA) в облаке, выберите пункт Управление данными о действиях в учетной записи Майкрософт. Если у вас несколько учетных записей (MSA и AAD), но личная учетная запись (MSA) является основной на устройстве, и вы хотите удалить действия учетной записи AAD, перейдите на другое устройство, где основной учетной записью является рабочая или учебная учетная запись (AAD) и очистите журнал действий на этом устройстве.
На временной шкале можно очистить отдельные действия или все действия отдельного дня. Для этого щелкните правой кнопкой мыши действие и выберите нужный параметр.
На мобильном устройстве (iOS и Android)
Некоторые приложения, такие как Microsoft Edge mobile (iOS и Android), позволяют отключить общий доступ к журналу браузера. Для других приложений, таких как Microsoft Office, можно выйти из приложения, журнал действий из которого больше не требуется отправлять корпорации Майкрософт. Вы можете управлять данными журнала активности, которые хранятся в облаке для своей учетной записи Майкрософт, выбрав пункт Управление данными о действиях в учетной записи Майкрософт.
Get System Info – альтернатива стандартному просмотрщику Windows
Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info .
Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.
Преимущество этой утилиты перед стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.
Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.
Как пользоваться Get System Info:
Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «IncludeWindowseventlogs».
Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.
Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.
Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.
Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением. Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.
Уровни серьезности событий Windows
Журнал событий Windows использует уровни серьезности для классификации событий в зависимости от их важности или влияния на систему. В журнале событий Windows существует пять уровней серьезности, перечисленных ниже от самого высокого до самого низкого:
- Критический: этот уровень серьезности зарезервирован для событий, указывающих на критический сбой системы или приложения, требующий немедленного вмешательства. Примеры включают системные сбои, серьезные аппаратные сбои и критические ошибки приложений.
- Ошибка: используется для событий, указывающих на серьезную проблему, требующую внимания, но не обязательно немедленных действий. Некоторыми распространенными примерами являются сбои приложений, сбои подключения к сети и ошибки диска.
- Предупреждение. Указывает на потенциальную проблему, за которой системным администраторам следует следить, включая предупреждения о нехватке места на диске и нарушения политики безопасности.
- Verbose: используется для событий, которые предоставляют подробную информацию о системе или активности приложений, как правило, для устранения неполадок или отладки.
- Информация: Это показывает, что все прошло гладко. Практически все журналы содержат информационные события.
Эти уровни серьезности позволяют администраторам и системным аналитикам быстро выявлять критические проблемы, требующие внимания, и соответствующим образом расставлять приоритеты для их реагирования.
Способы очистки
Существует пять основных способов, с помощью которых можно очистить журнал событий:
</ul>
- Ручной способ.
- «Батник» – специальный файл с расширением «*.bat».
- Через командную консоль «cmd».
- Через «PowerShell».
- Утилита CCleaner.
Давайте более подробно рассмотрим каждый из предложенных способов и узнаем, как их применять на практике.
Очистка ручным способом
В первую очередь я предлагаю рассмотреть способ самостоятельной очистки отчетов в Windows 10. Он достаточно простой и не требует использования специальных команд и установки сторонних программ.
Все что нужно, это:
- Открыть журнал событий, как мы это делали ранее в начале статьи.
- Нажать по нужному разделу правой мышкой и выбрать пункт «Очистить…».
Как вы видите, все предельно просто. Однако в некоторых ситуациях все же приходится пользоваться другими способами, о которых мы поговорим ниже.
Не удалось устранить проблему?Обратитесь за помощью к специалисту!
Решите мою проблему
Создание и использование bat файла
Еще один достаточно простой способ, который позволит быстро провести очистку. Давайте разберем его более подробно:
- Для начала нужно создать обычный текстовый файл. Щелкаем правой мышкой по рабочему столу и выбираем «Создать» – «Текстовый документ».
- Вставляем в него специальный код.
- В верхнем меню выбираем «Файл – Сохранить как».
- Указываем любое имя. В конце имени указываем расширение «.bat». В графе «Тип файла» выбираем «Все файлы» и нажимаем «Сохранить».
- Теперь наш файл полностью готов к запуску. Щелкаем по нему правой мышкой и запускаем с правами администратора. После этого все сообщения приложений, ошибки и прочие отчеты удалятся.
Через командную консоль
Также почистить журнал событий от ошибок, предупреждений и прочих сообщений можно через командную строку «cmd».
- Щелкам по значку поиска и в открывшуюся строку вводим фразу «командная».
- В результатах поиска видим «Командная строка», нажимаем по ней правой мышкой и запускаем от имени администратора.
- Далее в консоль вставляем код, который находится внутри кавычек «for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1″», нажимаем «Enter» и ждем окончания процесса.
После этого все отчеты удалятся.
Через PowerShell
В операционной системе Windows 10 предусмотрена более подвинутая версия командной строки — «PowerShell. Очистить журнал событий с помощью данного инструмента очень просто.
Давайте разберем все по шагам:
- Нажать на «поиск» и ввести фразу «power». В результатах поиска отобразиться «PowerShell», нужно нажать на него правой мышкой и запускаем с правами администратора.
- В появившееся окно вводим команду внутри кавычек «wevtutil el | Foreach-Object {wevtutil cl «$_»}», жмем «Enter» и ожидаем окончание процесса.
Скорее всего, вы столкнетесь с ошибкой, но не стоит пугаться, так как это нормально. Все разделы будут очищены.
Программа CCleaner
Широко известная программа CCleaner позволяет провести полную очистку системы, реестра от ненужных файлов и неверных записей. Благодаря этому ускоряется работа системы. Отлично функционирует на разных ОС, включая Windows 10. К тому же она имеет бесплатную версию с довольно неплохим функционалом.
- В первую очередь ее нужно скачать, установить и запустить.
- Переходим в раздел «Очистка» и во вкладке «Windows» устанавливаем галочку напротив нужного нам пункта.
- Начинаем процесс.
Таким образом, мы очистим журнал событий и дополнительно оптимизируем работу Windows 10.
Данная тема не настолько динамичная и интересная как, например, восстановление системы или борьба с вредоносным программным обеспечением, но не менее важная.
Профессиональная помощь
В этом вам поможет наш специалист.
Оставьте заявку и получите Бесплатную консультацию и диагностику специалиста!
Об авторе
Виктор Трунов
IT-специалист с 10-летним стажем. Профессионально занимаюсь ремонтом, настройкой компьютеров и ноутбуков. В свободное от работы время веду свой блог «Оноутбуках.ру» и помогаю читателям решать компьютерные проблемы.
- https://siteprokompy.ru/kak-otkryt-zhurnal-sobytij-v-windows-10/
- https://it-tehnik.ru/software/windows-10/event-viewer-windows-10.html
- https://onoutbukax.ru/prosmotr-i-ochistka-zhurnala-sobytij-v-windows-10/
Как искать в журналах событий интересующие сведения
Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.
Как пользоваться функцией фильтрации
Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».
Далее заполняем вкладку «Фильтр»:
- Из списка «Дата» выбираем последние 7 дней.
- В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
- В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
- Указываем коды событий (event ID), о которых собираем сведения.
- Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).
Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:
Читать его стало гораздо удобнее.
Как создавать настраиваемые представления
Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.
Чтобы создать настраиваемое представление, сделайте следующее:
- Выделите в разделе каталогов интересующий журнал.
- Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
- Заполните настройки окошка «Фильтр» по примеру выше.
- Сохраните фильтр под любым именем в выбранный каталог.
В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.
Источники, уровни и коды событий. Как понять, что означает конкретный код
Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.
Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:
- Критическая ошибка указывает на самый серьезный сбой, который привел к отказу породившего его источника без возможности самостоятельного восстановления. Пример внешнего проявления такого сбоя – синий экран смерти Windows (BSoD) или внезапная перезагрузка компьютера.
- Ошибка тоже указывает на сбой, но с менее критичными последствиями для работы системы. Например, вылет программы без сохранения данных из-за нехватки ресурсов, ошибки запуска служб и т. п.
- Предупреждение – запись, сообщающая о неполадках, которые негативно влияют на работу системы, но не приводят к сбоям, а также о возможности возникновения ошибок в дальнейшем, если не устранить их причину. Пример: приложение запускалось дольше, чем обычно, что привело к замедлению загрузки системы.
- Уведомление – обычное информационное сообщение, например, о том, что операционная система приступила к установке обновления.
- Успешный отчет (аудит) – сообщение, информирующее об успехе какого-либо события. Примеры: программа успешно установлена, пользователь успешно вошел в учетную запись.
- Неуспешный отчет (аудит) – сообщение о неуспешном завершении операции. Например, установка программы не была завершена из-за отмены действия пользователем.
Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.
Для поиска дополнительной информации по конкретному коду вместе с источником события удобно использовать веб-ресурс eventid.net Он хоть и англоязычный, но пользоваться им несложно.
Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.
Информация о событиях
Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:
- Имя журнала — имя файла журнала, куда была сохранена информация о событии.
- Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
- Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
- Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
- Категория задачи, ключевые слова — обычно не используются.
- Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.
Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.
Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).
Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.
Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.
Как получить доступ к журналу событий Windows?
№1. Использование графического интерфейса
Шаг 1. Откройте меню «Пуск» и найдите «Просмотр событий».
Шаг 2. Нажмите на приложение «Просмотр событий», чтобы открыть его.
Шаг 3. На самой левой панели вы увидите список журналов событий. Выберите параметр «Журналы Windows», а затем щелкните нужный журнал для просмотра.
Шаг 4. На средней панели вы можете увидеть список событий для выбранного журнала. Вы можете использовать параметры фильтра в правой части экрана, чтобы сузить интересующие вас события.
Шаг 5. Чтобы просмотреть сведения о событии, дважды щелкните его. Откроется диалоговое окно «Свойства события», в котором содержится подробная информация об идентификаторе события, источнике, уровне серьезности, дате и времени, имени пользователя, имени компьютера и описании.
Шаг 6. Вы можете использовать параметры меню и панель инструментов в верхней части экрана для выполнения различных действий, таких как сохранение и очистка журналов, создание настраиваемых представлений и фильтрация событий.
№ 2. Использование командной строки
Вы можете получить доступ к журналу событий Windows с помощью командной строки или PowerShell с помощью команды «wevtutil». Вот некоторые примеры.
Для отображения всех событий в системном журнале
wevtutil qe System
Для отображения событий в журнале приложений
wevtutil qe Application
Вывод может выглядеть следующим образом.
Для отображения всех событий в журнале безопасности
wevtutil qe Security
Для отображения событий из определенного источника в системном журнале.
wevtutil qe System /f:text /c:1 /rd:true /q:"*]]"
Здесь вам нужно заменить «source_name» на имя источника событий, который вы хотите просмотреть.
Экспорт событий из журнала в файл
wevtutil epl System C:LogsSystemLog.evtx
Замените «System» на имя журнала, который вы хотите экспортировать, а «C:LogsSystemLog.evtx» — на путь и имя файла, в котором вы хотите сохранить экспортированный журнал.
№3. Использование запуска
Вы также можете получить доступ к журналу событий Windows, используя диалоговое окно «Выполнить» в Windows. Вот как:
Шаг 1. Нажмите «клавиша Windows + R» на клавиатуре, чтобы открыть диалоговое окно «Выполнить».
Шаг 2. Введите «eventvwr.msc» в диалоговом окне «Выполнить» и нажмите Enter.
Шаг 3. Утилита просмотра событий откроется и отобразит главное окно консоли.
Шаг 4. В левом окне консоли вы можете развернуть папку «Журналы Windows», чтобы просмотреть журналы системы, приложений, безопасности, установки и другие журналы.
Шаг 5 — Нажмите на журнал, который вы хотите просмотреть, на правой панели. Вы можете фильтровать и сортировать события, а также создавать собственные представления и сохранять их для будущего использования.
Как работать с журналом событий Windows
Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д. Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.
Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”– “Панель управления” – “Администрирование” – “Просмотр событий”:
Win+Reventvwr.msc
утилита “Просмотр событий”
В среднем столбце отображается список событий выбранной категории;
В правом столбце – список доступных действий с выбранным журналом;
Внизу находится панель подробных сведений о конкретной записи (область просмотра).
Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:
Областью просмотра
Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?
Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.
Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.
Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.
Система – хранит события операционной системы или ее компонентов (например, неудачи при запусках служб или инициализации драйверов; общесистемные сообщения и прочие сообщения, относящиеся к системе в целом).
Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).
В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:
Например, мы хотим увидеть только ошибки приложений за последние сутки . В этом случае выбираем слева раздел “Журналы Windows” – категорию “Приложение”, затем в правом столбце жмем “Фильтр текущего журнала”:
“Последние 24 часа”“Критическое”“Ошибка”
Щелкните по любой строке с ошибкой – снизу по центру в области просмотра вы увидите подробную информацию по данной ошибке. Если вы не понимаете, что означает данная ошибка (а чаще всего так и бывает) – тогда просто скопируйте текст ошибки (Ctrl+C на клавиатуре) и вставьте его в любой поисковик (Ctrl+V). Очень большая вероятность, что там вы найдете причину ошибки и ее решение:
Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?
В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows” – “Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) “Имя сбойного приложения: , Имя сбойного модуля: KERNELBASE.dll.
По данной ошибке я не смог сразу понять, в чем именно заключается проблема. Тогда я скопировал этот текст в . После недолгого поиска оказалось, что такая ошибка свидетельствует о проблемах в работе компонента .Net Framework. На нескольких сайтах предлагалось переустановить Net Framework. Я так и сделал – проблема действительно была решена!
Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.
кабель питания вставлен в него не до конца
Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать. Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.
Архивирование журнала событий
На ключевых системах, например, контроллерах домена и серверах приложений, необходимо хранить журналы за несколько месяцев. Однако, как правило, неудобно обеспечивать столь длительное хранение путем увеличения максимального размера журнала. Вместо этого укажите Windows периодически архивировать журнал событий или делайте это вручную.
Форматы архива журнала
Журналы могут архивироваться в четырех форматах:
• Текст с символами табуляции в качестве разделителей (.txt) для просмотра в текстовом редакторе или для импорта в электронные таблицы и базы данных.
• Текст с запятыми в качестве разделителей (.csv) для импорта в электронные таблицы и базы данных.
При экспорте журнала в файл с разделителями-запятыми разделено каждое поле в записи о событии. Запись выглядит следующим образом:
Формат записей о событии таков:
Уровень, Дата и время, Источник, Код события, Категория задачи, Описание
Создание архивов журнала
Windows автоматически создает архивы журнала, если вы выбрали режим перезаписи Архивировать заполненный журнал, не переписывая события (Archive The Log When Full, Do Not Overwrite Events). Чтобы создать архив журнала вручную, выполните следующие действия:
1. В диспетчере сервера разверните узлы Диагностика (Diagnostics) и Просмотр событий (Event Viewer).
2. Разверните узел Журналы Windows (Windows Logs) или Журналы приложений и службы (Applications And Services Logs).
3. Щелкните правой кнопкой журнал, для которого хотите создать архив, и выберите в контекстном меню команду Сохранить события как (Save Events As).
4. В диалоговом окне Сохранить как (Save As) выберите панку и введите имя файла журнала.
5. В списке Тип файла (Save As Туре) по умолчанию выбрано значение Файлы событий (*.evtx) (Event Files (*.evtx)). Выберите подходящий формат журнала и щелкните кнопку Сохранить (Save).
Просмотр архивов журнала
Сохранив архивы журнала в текстовом формате, вы можете просмотреть их в любом текстовом редакторе. Архивы в формате журнала событий следует просматривать в консоли Просмотр событий (Event Viewer). Для этого нужно выполнить следующие действия:
1. В окне Диспетчер сервера (Server Manager) щелкните правой кнопкой мыши узел Просмотр событий (Event Viewer). Выберите в контекстном меню команду Открыть сохраненный журнал (Open Saved Log File).
3. Щелкните Открыть (Open). Windows выведет диалоговое окно Открыть сохраненный журнал (Open Saved Log).
4. Введите имя и описание сохраненного журнала.
5. Укажите, куда сохранить журнал. По умолчанию сохраненные журналы помещаются в узел Сохраненные журналы (Saved Logs). Вы можете создать новый узел, щелкнув Создать папку (New Folder). Введите имя новой папки и щелкните ОК.
6. Щелкните ОК, чтобы закрыть диалоговое окно Открыть сохраненный журнал (Open Saved Log). Теперь вы должны увидеть содержимое сохраненного файла.