Что можно почерпнуть из журнала действий Windows 7. что для этого нужно

Время на прочтение

Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.

Для выявления атаки на самой ранней стадии в ОС Windows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.

Журнал событий безопасности (Security Log)

Это главное место хранения системных логов безопасности. Сюда складываются события входа/выхода пользователей, доступа к объектам, изменения политик и других активностей, связанных с безопасностью. Разумеется, если настроена соответствующая политика.

Перебор пользователей и групп (события 4798 и 4799). Вредоносное ПО в самом начале атаки часто перебирает локальные учетные записи пользователей и локальные группы на рабочей станции, чтобы найти учетные данные для своих тёмных делишек. Эти события помогут обнаружить вредоносный код раньше, чем он двинется дальше и, используя собранные данные, распространится на другие системы.

Создание локальной учётной записи и изменения в локальных группах (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 и 5377). Атака может также начинаться, например, с добавления нового пользователя в группу локальных администраторов.

Попытки входа с локальной учётной записью (событие 4624). Добропорядочные пользователи заходят с доменной учётной записью и выявление входа под локальной учётной записью может означать начало атаки. Событие 4624 включает также входы под доменной учетной записью, поэтому при обработке событий нужно зафильтровать события, в которых домен отличается от имени рабочей станции.

Попытка входа с заданной учётной записью (событие 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.

Блокировка/разблокировка рабочей станции (события 4800-4803). К категории подозрительных событий можно отнести любые действия, которые происходили на заблокированной рабочей станции.

Изменения конфигурации файрволла (события 4944-4958). Очевидно, что при установке нового ПО настройки конфигурации файрволла могут меняться, что вызовет ложные срабатывания. Контролировать такие изменения в большинстве случаев нет необходимости, но знать о них точно лишним не будет.

Подключение устройств Plug’n’play (событие 6416 и только для WIndows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.

Windows включает в себя 9 категорий аудита и 50 субкатегорий для тонкой настройки. Минимальный набор субкатегорий, который стоит включить в настройках:

• Logon;
• Logoff;
• Account Lockout;
• Other Logon/Logoff Events.

• Audit Policy Change;
• Authentication Policy Change;
• Authorization Policy Change.

Системный монитор (Sysmon)

Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.

Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?

Создание процесса (ID события 1). Системный журнал событий безопасности тоже может сказать, когда запустился какой-нибудь *.exe и даже покажет его имя и путь запуска. Но в отличие от Sysmon не сможет показать хэш приложения. Злонамеренное ПО может называться даже безобидным notepad.exe, но именно хэш выведет его на чистую воду.

Изменения в системном реестре (ID события 12-14). Самый простой способ добавить себя в автозапуск — прописаться в реестре. Security Log это умеет, но Sysmon показывает, кто внёс изменения, когда, откуда, process ID и предыдущее значение ключа.

Создание файла (ID события 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.

А теперь то, чего в политиках Security Log нет, но есть в Sysmon:

Изменение времени создания файла (ID события 2). Некоторое вредоносное ПО может подменять дату создания файла для его скрытия из отчётов с недавно созданными файлами.

Загрузка драйверов и динамических библиотек (ID событий 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.

Создание потока в выполняющемся процессе (ID события 8). Один из видов атаки, за которым тоже нужно следить.

События RawAccessRead (ID события 9). Операции чтения с диска при помощи “\.”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.

Создание именованного файлового потока (ID события 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.

Создание named pipe и подключения (ID события 17-18). Отслеживание вредоносного кода, который коммуницирует с другими компонентами через named pipe.

Активность по WMI (ID события 19). Регистрация событий, которые генерируются при обращении к системе по протоколу WMI.

Для защиты самого Sysmon нужно отслеживать события с ID 4 (остановка и запуск Sysmon) и ID 16 (изменение конфигурации Sysmon).

Журналы Power Shell

Power Shell — мощный инструмент управления Windows-инфраструктурой, поэтому велики шансы, что атакующий выберет именно его. Для получения данных о событиях Power Shell можно использовать два источника: Windows PowerShell log и Microsoft-WindowsPowerShell / Operational log.

Windows PowerShell log

Загружен поставщик данных (ID события 600). Поставщики PowerShell — это программы, которые служат источником данных для PowerShell для просмотра и управления ими. Например, встроенными поставщиками могут быть переменные среды Windows или системный реестр. За появлением новых поставщиков нужно следить, чтобы вовремя выявить злонамеренную активность. Например, если видите, что среди поставщиков появился WSMan, значит был начат удаленный сеанс PowerShell.

Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)

Журналирование модулей (ID события 4103). В событиях хранится информация о каждой выполненной команде и параметрах, с которыми она вызывалась.

Журналирование блокировки скриптов (ID события 4104). Журналирование блокировки скриптов показывает каждый выполненный блок кода PowerShell. Даже если злоумышленник попытается скрыть команду, этот тип события покажет фактически выполненную команду PowerShell. Ещё в этом типе события могут фиксироваться некоторые выполняемые низкоуровневые вызовы API, эти события обычно записывается как Verbose, но если подозрительная команда или сценарий используются в блоке кода, он будет зарегистрирован как c критичностью Warning.

Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.

Расскажите в комментариях, какие собираете логи для аудита информационной безопасности и какие инструменты для этого используете. Одно из наших направлений — решения для аудита событий информационной безопасности. Для решения задачи сбора и анализа логов можем предложить присмотреться к Quest InTrust, который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.

Статья обновлена: 17 ноября 2022

Аудит доступа поможет вам отследить изменения в файлах или папках. Для настройки аудита выполните шаги ниже.

Шаг 1. Настройте события аудита в редакторе локальной групповой политики

Собития аудита будут настроены.

Шаг 2. Настройте аудит доступа в настройках безопасности папки

• Выберите папку, откройте ее контекстное меню и выберите Свойства.
• Перейдите на вкладку Безопасность и нажмите Дополнительно.

Аудит доступа к папке будет настроен. Повторите эти действия со всеми папками, для которых требуется настроить аудит доступа.

Шаг 3. Просмотрите информацию в журнале событий для папки с настроенным аудитом

Отобразится информация о событии. Расшифровку кодов событий смотрите на сайте поддержки Microsoft.

При работе за компьютером происходят различные отклонения от нормы, что на профессиональном сленге означает сбои и ошибки. Некоторые из них не критичны, другие наоборот, негативно сказываются на производительности ПК. А в случае, когда происходит критическая ошибка, пользователь с большой вероятностью может лишиться нужной информации, которую он хранит на устройстве. Корпорация Майкрософт добавила в комплект предустановленных программ в ОС журнал событий Windows. Приложение выполняет диагностику системы, указывает на ошибки и предлагает рациональные способы решения проблемы. 90% пользователей даже не имеют представления о том, что подобная программа установлена на компьютере, а, тем более что она может быть полезной в трудных ситуациях.

Называется инструмент Event Viewer, а дословный перевод звучит как: просмотр событий

Windows event viewer

Для ознакомления и последующей работы приложение нужно включить.

Просмотр событий windows 7 вызывается нажатием двух кнопок: Win+R, после откроется утилита «Выполнить», в которой нужно прописать командное действие «eventvwr.msc» и запустить программу нажатием клавиши ввода

При использовании восьмой серии ОС запуск делается через щелчок ПКМ по «Панель управления» а там уже найти необходимую графу. Если открывать горячими клавишами, то используется Win+X.

В принципе с запуском программы все ясно, с ним правятся пользователи любого уровня. Теперь нужно разобраться с тем, как посмотреть недавние места на компьютере, список событий и ошибок, а также что делать с имеющейся информацией.

Знакомство с программой microsoft event viewer

После запуска event viewer windows на мониторе вплывет окно программы.

Для большей наглядности разделим его вертикально на 3 раздела

• в первом разделе с левой стороны находится собственно меню программы, оно имеет древовидную структуру, что очень удобно при использовании. Первая графа отвечает за настройки пользователя, то есть, здесь можно установить параметр, нужный вам;
• центральный раздел напрямую зависит от левого, поэтому для отображения информации в нем нужно щелкнуть мышкой по одному из пунктов первого раздела, если выбрать одно из событий, представленной в средней части, откроется окно с детальной инфой относительно его;
• раздел с правой стороны – это ряд ссылок, посредством которых происходит распределение событий в соответствии с заданными параметрами.

Может показаться странным, что настольное информативное приложение по достоинству не оценено пользователями, но это действительно так. Юзеру проще искать, скачивать и устанавливать сторонние утилиты для работы с системой, нежели использовать предустановленную программу.

Информация о событиях

В следующей части нужно подробно остановиться на дополнительном окне информации о событии, которое открывается при нажатии на графу с ним в среднем разделе. Из этого же окна имеется ссылка в сеть, где можно почерпнуть более детальную информации о событии, а в некоторых случаях даже найти верное решение. В принципе, опция достойна внимания, но не всегда пользователю нужно понимание того, что происходит. Кроме этого есть еще ряд деталей, которые стоит расшифровать:

• Имя журнала – содержит сведения о файле журнала, в который выполнилось сохранение данных о событии;
• Источник – указывает элемент, который заявил о сбое;
• Код события – предоставляется для поиска сведений об ошибке в интернете;
• Код операции – непонятная графа, постоянно показывающая одно слово «Сведения» в любой ситуации;
• Пользователь и компьютер – указывает учетку и комп, на которой был сбой.

Все хорошо и удобно, если бы не одно большое «НО»: ссылка ведет на сайт корпорации, где должна предоставляться информация относительно произошедшего сбоя, но при открытии сайта пользователь увидит, что страница недоступна.

Для поиска инфа нужно сделать следующее: прописываем имя процесса сообщившего о процессе, добавляем к нему Event ID с соответствующими значениями и прописываем источник.

Для большей наглядности приведен пример запроса в поисковой строке браузера

Пользователь должен знать, что зачастую ошибка – это не серьезная проблема, а лишь сообщение системе о нестабильной работе какого-либо процесса.

Внимание! Когда пользователь перешел на сайт, где имеется информация о его ошибке и ресурс предлагает загрузить ПО для решения проблемы, не стоит этого делать, как правило, в подобных программках содержатся серьезные вирусы.

Работа с журналом производительности

Когда пользователь детально посмотрит журнал действий на компьютере, он найдет весьма занимательную информацию

Если производительность вашего ПК снизилась, то этот элемент обязателен к изучению. Как говорилось выше, программа малоизвестная, поэтому нужно рассказать о том, как открыть описываемый журнал.

В левом разделе нужно выбрать предпоследнюю графу «Журналы приложений и служб», затем открыть папку Майкрософт и после папку Виндовс, в которой развернуть графу Diagnostics Perfomance. Проделав такой долгий путь, открываем графу «Работает» и смотрим на предмет наличия ошибок. Если они есть, значит, устройство работает медленнее по описанной причине. Получить полную инфу можно двойным щелчком по сбою.

Настройка программы event viewer под пользователя

Там где много лишней информации, там царит хаос, это касается и журнала событий. Чем больше пользователь собрал ошибок, тем сложнее с ними разобраться.

Если использовать настраиваемые представления, то можно определить только нужные компоненты

• ошибки и сбои;
• предупреждения;
• источники;
• критические ошибки.

Теперь вы знаете, как нам может помочь event viewer для просмотра событий на windows 7. Есть вопросы? Пишем!

• Открытие инструмента «Просмотр событий»
• Вопросы и ответы

Открытие инструмента «Просмотр событий»

Журнал событий хранится в системном инструменте, который имеет название «Просмотр событий». Посмотрим, как с помощью различных способов в него можно перейти.

«Панель управления»

Один из самых распространенных способов запуска описываемого в данной статье инструмента, хотя далеко не самый легкий и удобный, осуществляется с помощью «Панели управления».

В открывшемся списке выбирайте один из пяти интересующих вас подразделов:

• Приложение;
• Безопасность;
• Установка;
• Система;
• Перенаправление события.

В центральной части окна отобразится журнал событий, соответствующий выбранному подразделу.

Средство «Выполнить»

Намного проще инициировать активацию описываемого инструмента при помощи средства «Выполнить».

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Поле поиска меню «Пуск»

Очень похожий метод вызова изучаемого нами инструмента осуществляется с задействованием поля поиска меню «Пуск».

Щелкните «Пуск». Внизу открывшегося меню расположено поле. Введите туда выражение:

Или просто напишите:

В списке выдачи в блоке «Программы» появится наименование «eventvwr.exe» или «Просмотр событий» в зависимости от введенного выражения. В первом случае, скорее всего, результат выдачи будет единственным, а во втором их будет несколько. Кликните по одному из указанных выше названий.

«Командная строка»

Вызов инструмента через «Командную строку» довольно неудобен, но и такой способ существует, а поэтому он тоже стоит отдельного упоминания. Сначала нам потребуется вызвать окно «Командной строки».

В перечне открывшихся утилит щелкайте по «Командная строка». Активацию с административными полномочиями производить не обязательно.

Можете выполнить запуск и быстрее, но для этого нужно помнить команду активации «Командной строки». Наберите Win+R, инициировав тем самым запуск инструмента «Выполнить». Введите:

Прямой старт файла eventvwr. exe

Можно воспользоваться таким «экзотическим» вариантом решения поставленной задачи, как прямой старт файла из «Проводника». Тем не менее, и данный способ может пригодиться на практике, например, если сбои достигли такого масштаба, что другие варианты запустить инструмент просто недоступны. Такое бывает крайне редко, но вполне возможно.

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

Введение пути к файлу в адресной строке

При помощи «Проводника» можно запустить интересующее нас окно и быстрее. При этом даже не придется искать eventvwr.exe в каталоге «System32». Для этого в адресном поле «Проводника» просто нужно будет указать путь к данному файлу.

Кликните Enter или нажмите по эмблеме стрелки.

Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

Запускается окошко, где нужно указать наименование иконки, по которому юзер будет определять активируемый инструмент. По умолчанию в качестве названия используется имя исполняемого файла, то есть, в нашем случае «eventvwr.exe». Но, конечно, это название мало что может сказать непосвященному пользователю. Поэтому лучше в поле ввести такое выражение:

В общем, введите любое название, по которому вы будете ориентироваться, какой инструмент данная иконка запускает. После ввода жмите «Готово».

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

Прежде всего, нужно перейти в «Диспетчер служб». Это можно сделать из раздела «Панели управления», который называется «Администрирование». Как в него перейти, подробно описывалось при рассмотрении Способа 1. Попав в данный раздел, ищите пункт «Службы». Кликните по нему.

В «Диспетчер служб» можете перейти с помощью средства «Выполнить». Вызовите его, набрав Win+R. В область для ввода вбейте:

Существует довольно много вариантов активировать журнал событий в Виндовс 7. Конечно, самые удобные и популярные способы – это переход через «Панель инструментов», активация при помощи средства «Выполнить» или поля поиска меню «Пуск». Для удобного доступа к описываемой функции можете создать иконку на «Рабочем столе». Иногда возникают проблемы с запуском окна «Просмотр событий». Тогда нужно проверить, активирована ли соответствующая служба.

• Что такое средства просмотра событий в Windows
• Где находится журнал событий Windows
• Как создать ярлык для быстрого запуска журнала
• Просмотр журнала событий на удалённом компьютере
• Что значат записи лога разных типов
• Очистка, удаление и отключение журнала

Windows 10 является последней обновленной версией из серии операционных систем от корпорации Microsoft. ОС поддерживает встроенную подсистему Linux. Это позволяет работать с широким арсеналом файлов разных форматов. Windows сборка NT 10.0 (2015-2019) отличается от предыдущих версий функциональностью и дополнительными возможностями. Например, в ней присутствует специальный блок – «Журнал ошибок», в котором записываются ошибки и исправления, наблюдаемые при работе программ. Компьютер анализирует и устраняет (исправляет) возникшие проблемы и сохраняет запись о причине сбоя в этом ресурсе. Это важная утилита является частью встроенного в ОС средства «Просмотр событий».

Что такое средства просмотра событий в Windows

Системный журнал Windows 10 используется для просмотра разной информации о работе приложений и других важных действиях, совершенных в процессе работы компьютера. Здесь отображаются данные о неполадках, возникших в ОС или сторонних программах.

Логотип компании Microsoft Windows

В консоли выделяются 4 вида событий:

• ошибка;
• сведения;
• критические события;
• предупреждения.

При каждом сбое появляется новая запись, чтобы в дальнейшем пользователь смог проверить его причину.

Где находится журнал событий Windows

Запускать журнал Windows 10 можно разными методами. В основном используются системные инструменты, либо же его открывают ручным способом при помощи файла программы на диске.

Способ 1. Диалоговое Окно «Выполнить»

В журнал событий на Windows 10 можно зайти через диалоговое окно «Выполнить». Комбинация клавиш WIN + R позволяет открыть командную строку, или для запуска утилиты используется меню Пуск. На соответствующей вкладке вводится команда: «eventvwr.msc». Когда действия подтверждены кнопкой «ОК», открывается журнал событий.

Способ 2. Активировать командной строкой в пункте «Справка»

Чтобы открыть журнал действий Windows 10 через раздел Справки, на рабочем столе (пустое окно) нажимают кнопку F1. Через открывшееся окно переходят в раздел «Указатель», в строке поиска вписывают «Журнал событий» и нажимают «Показать». Служба поможет перейти в журнал через информационное окно.

Важно! При переходе через раздел «Справка и поддержка» пользователь должен самостоятельно выбрать соответствующую вкладку в дополнительном окне, потому что там отображается полная информация о компонентах OS.

Способ 3. Использование панели управления ОС

Через основную панель можно открывать разные утилиты, необходимые для настройки и управления функционалом программного обеспечения. Переход на панель управления осуществляется как через меню Пуск, так и при помощи диалогового окна «Выполнить» (WIN+R). В командной строке нужно указать слово «control» и нажать «ОК» для подтверждения команды.

На появившейся вкладке требуется найти раздел «Администрирование». Далее на экране отобразится список, где находится журнал приложений Windows 10. Там можно просмотреть записанные события, касающиеся работы программ.

Открытие журнала на панели «Администрирование»

Способ 4. Журнал событий Windows 10 – как открыть через PowerShell

В поле Поиска в Виндовс вводится слово PowerShell. В списке результатов выбирается соответствующая команда. Дальше нужно указать команду Get-WindowsUpdateLog и нажать на кнопку Enter. Когда появится уведомление «Команда выполнена успешно», запущенный раздел откроется.

Важно! Созданный на рабочем столе файл просматривается программой «Блокнот» (открыть с помощью – выбор программы вручную – Блокнот).

Способ 5. Поиск по Windows

Операционная система поддерживает функцию поиска для быстрого запуска приложений. На панели задач имеется иконка для активации поисковой службы Windows. Запуск утилиты происходит при помощи одновременного нажатия кнопок WIN + S.

На открывшейся строке нужно ввести Просмотр событий. Дальше в окне результатов следует найти журнал и запустить его.

Как создать ярлык для быстрого запуска журнала

Если приходится часто обращаться к системному журналу событий, то лучше всего создать ярлык на рабочем столе. Чтобы выполнить эту задачу:

• необходимо перейти на «Панель управления» Windows (меню «Пуск», поиск F3 или окно «Выполнить»);
• на панели задач открыть вкладку «Администрирование»;
• в открывшемся окне одним кликом мыши отметить иконку «Просмотр событий»;
• нажатием правой кнопки мышки запустить контекстное меню;
• в появившемся дополнительном меню выбрать команду – создать ярлык на Рабочий стол.

После совершения этих операций на рабочем столе появится ярлык для быстрого запуска соответствующего приложения. Двойным нажатием ЛКМ на созданном ярлыке его можно быстро открыть.

На заметку! Чтобы решить вопрос, как быстро открыть журнал на Виндовс 10, нужно создать постоянный доступ к нему на десктопе

Создание ярлыка на Рабочем столе

Просмотр журнала событий на удалённом компьютере

Для просмотра событий на Windows 10 есть приложение Event Viewer, которое встроено в систему. Данная утилита и компоненты командного меню Wevtutil позволяют управлять журналом на удаленном ПК.

Дополнительная информация. Дальше перед надписью «Подключиться в качестве другого пользователя» нужно поставить галочку. После открытия нового окна при помощи заполнения соответствующих полей задаются имя пользователя и пароль. Выполненные действия необходимо подтвердить клавишей «ОК».

Важно! Чтобы получить удаленный доступ к журналу событий, на брандмауэре другого компьютера должно быть установлено исключение на безопасность доступа типа «Удаленное управление журналом событий». Иначе брандмауэр заблокирует путь.

Таким образом просматривают настраиваемые модули, ссылки и остальные ресурсы на локальном ПК.

Что значат записи лога разных типов

На Windows 10 сохраняется значительное количество логов, которые могут быть полезны для специалистов IT, программистов и технической поддержки. Это позволяет им устранять неполадки и сбои в работе программ.

Отображение записей в журнале ошибок

В блоке производится запись логов по 4 критериям:

• Отображение критических событий  позволяет решать проблему при помощи приведенной информации. Например, критическая ошибка возникла из-за неправильного выключения ПК. Значит для устранения этой проблемы достаточно правильно отключать компьютер.
• Узнать причину ошибок в журнале можно кликом по ЛКМ над записью. Ошибки отображаются с кодом события. Если по отображенным данным не удалось понять причину, то задается поиск в интернете с указанием кода.
• Сведения появляются тогда, когда в ПК инсталлировали или обновляли приложения. В уведомлении присутствуют данные о ресурсах восстановления системы в случае необходимости.
• Предупреждения фиксируются при неудачной попытке программ подключиться к серверу DNS. Эти сообщения необходимо игнорировать. Но при регулярном отображении предупреждающего сигнала рекомендуется узнать причину через события в журнале.

Запись производится при возникновении таких фактов, как:

• перезагрузка компьютера;
• восстановление;
• синий экран.

Очистка, удаление и отключение журнала

Утилитой для записи событий в ПК можно управлять при помощи системных опций и настроек. Ее следует отключать, удалять или очищать для освобождения места в памяти.

Пользователь может задать параметры для регулярной очистки в течение определенного времени. Также историю в функционале можно удалить ручным способом.

Способы очистки журнала

Есть несколько способов, позволяющих очистить журнал событий:

• Вход в систему командной строкой осуществляется правами Администратора. Затем вводится команда: for/F»tokens=*»%1 in (‘wevtutil.exe el’) DOwevtutil.exe cl «%1». Нажатие клавиши Enter подтверждает действия пользователя. После завершения процедуры вкладку закрывают. Систему желательно перезагрузить заново.
• Записи удаляют при помощи открытия утилиты «Просмотр событий». Вначале правой кнопкой мыши открывается контекстное меню. Там есть опция «Очистить журнал». Удалять данные с сохранением копии можно после выбора команды «Очистить и сохранить». Очистка успешно запускается как в полном, так и в выборочном варианте.
• В каждом журнале доступна панель «Действия», в ней есть функция «Фильтровать текущий журнал». Запуск фильтра позволяет удалять ненужную информацию.

Важно! Фильтрация работает в автоматическом режиме. Поэтому лучше установить таймер на определенный срок, и система самостоятельно выполнит очистку в нужное время.

Как отключить журнал событий

В командной строке окна «Выполнить» указывают: services.msc и нажимают на Enter (мышью «ОК»). В отображаемом списке находят надпись «Журнал». В контекстном меню активируют команду «Отключить».

В разделе «Администрирование» есть пункт «Службы». После его открытия появляется список запущенных служб. Там следует найти нужную функцию и нажать мышкой. Затем в появившемся окне выбрать раздел «Общие». В строке с надписью «Тип запуска» выбирают команду «Отключено».

На заметку! Чтобы изменения вступили в силу, ПК необходимо перезагрузить. Утилита функционирует в фоновом режиме, поэтому не влияет на работу ОС.

Удаление журнала событий

Удалять системный журнал необязательно, достаточно фильтровать или очищать его время от времени. Но, если все-таки требуется ликвидировать этот пункт, то более безопасный способ – это использование команды PowerShell Remove-EventLog. Таким методом журнал стирается с локального или удаленного компьютера.

Важно! Для полного удаления в строке команд указывают лог: Remove-EventLog -LogName «MyLog».

Журнал событий – важный функционал ОС на Windows 10. Благодаря ему в системе сохраняются записи об ошибках в работе разных программ. Там же содержится информация о причинах этих ошибок. Изучение способов открытия журнала и возможностей для удаления из него ненужной информации поможет быстро устранять серьезные ошибки в работе ПК.

https://youtube.com/watch?v=SSwEqjK0cE0%3Ffeature%3Doembed

Автоматическая установка операционных систем семейства Windows требует от системного администратора тщательной проработки всех этапов выполнения. Давно интересуюсь данной темой, однако, в ходе многолетнего опыта по созданию собственных настроенных и обновлённых сборок Windows мной был упущен аспект работы с Планировщиком заданий. Разработчики Windows закладывают задачи, выполняемые в будущем по-расписанию, но ненужные и порой вредные «рядовому» пользователю. Список этих задач предлагаю к рассмотрению и обсуждению в данной статье.

Я уже писал здесь статьи про быструю и тонкую настройку операционной системы путём применения собранных мной твиков реестра, также была серия статей посвященных работе с образом Windows посредством DISM, где выкладывались мои скрипты: добавления пакетов обновлений, отключения компонентов, удаления «магазинных» приложений, получения информации из образа Windows. Скрипт приведённый в этой статье элементарный, основной интерес направлен на сам список задач, которые я предлагаю убрать из Планировщика заданий.

Скрипт

Запуск под учётной записью администратора приводит к выполнению последовательности команд schtasks с аргументом /Delete (удалить) последующее имя задачи за аргументом /tn. Ключ /f подавляет вывод уведомлений о подтверждении. Достаточно одного выполнения скрипта, а повторные запуски лишь отобразят список ошибок из-за невозможности удалить то, чего уже нет. Скрипт не наделён «интерактивностью», так как используется в процессе автоматической установки Windows.

Применимость

Список задач, подлежащих удалению данным скриптом, составлен для следующих версий ОС: Windows 7 Professional VL SP1 (updated Jan 2020 — End of Support), Windows 8.1 Professional VL Update3 (updated Jan 2023 — End of Support), Windows 10 v1607 Enterprise LTSB (updated Jan 2023). Изначально хотел написать отдельные скрипты для каждой версии Windows, но увидел, что список задач значительно повторяется и поэтому объединил в один. В планах добавить в список ненужные задачи из следующих версий ОС: Windows 10 v1809 Enterprise LTSC, Windows 10 v21H2 Professional BE (business editions) — на базе которых также делаю свои сборки.

Комментирование

Я составлял данный список путём вдумчивого чтения описания каждой задачи и анализа параметров её запуска. За дополнительной информацией обращался к источникам в Интернете, в том числе англоязычным, в том числе официальным. Не всегда мне удавалось найти однозначный ответ на вопрос: «стоит удалять данную задачу или нет?». Бывало так, что описание у задачи отсутствовало, параметры запуска скрыты, триггеры срабатывания отсутствуют, но при этом задача почему-то выполнялась. В сети Интернет не нашел аналогичного списка с развёрнутой дискуссией обсуждения целесообразности включения в него тех или иных задач.

Удаление или отключение?

Консольная команда schtasks имеет полный набор аргументов для управления Планировщиком заданий Windows. В ходе поиска информации по отдельным задачам в сети Интернет мне попадались скрипты других авторов, где ненужные задачи отключались (подаргумент /disable аргумента /Change). Я использую более радикальный подход — просто удаляю (аргумент /Delete) ненужные мне задачи. Ведь вариант «отключение» подразумевает что мне когда-нибудь понадобится включить некоторую задачу. Не представляю себе ситуацию, когда мне понадобится снова включить, например, уведомление об окончании срока поддержки или телеметрию. Что скажете?

Вердикт на удаление

Какие задачи в Планировщике заданий принимать к рассмотрению? Рассмотрим какие задачи бывают, в каком состоянии и насколько открыты. На начальном этапе были мысли написать простой скрипт, который бы удалял вообще все задачи (без разбора), но данный подход опасен тем, что может привести к снижению производительности и надёжности системы, так что пришлось разбираться. Итак:

• Бесполезное обслуживание
  Это пример задач которые запускают ежедневное/еженедельное выполнение различных служб в назначенное время, как правило ночью. Как итог, эти задачи не выполняются так как ночью мой компьютер («рядового» пользователя) отключён. Также мне не надо чтобы днём отвлекались ресурсы моего компьютера.
• Телеметрия
  Это страшное слово знакомо многим системным администраторам и не только. Значительная часть удаляемых по моему списку задач относится к средствам телеметрии и слежения за пользователем со стороны компании Майкрософт. Мой компьютер — это МОЙ КОМПЬЮТЕР!
• «Тёмные лошадки»
  Самая сложная категория задач. Как правило, много их появилось в версии Windows 10. Отличительные особенности: описание размыто или отсутствует, параметры запуска скрыты, триггеры срабатывания отсутствуют, но при этом задача каким-то чудом регулярно запускается, о чём указано в поле «Время прошлого запуска».

Обсуждение

Конечно, представленный мной список может быть не полным или наоборот избыточным. Есть вероятность, что я не распознал в какой-то задаче «скрытого пожирателя ресурсов» или наоборот включил в список задачу удаление которой скорее навредит работоспособности ОС. Прошу аргументированно высказывать своё мнение, делится опытом. В данном ключе обсуждение может начинаться по двум сценариям:

Список составлен для компьютера предназначенного для домашнего использования. Прошу к рассмотрению и обсуждению!

• Журнал событий в Windows 7 — что это такое и для чего нужен
• Переход в журнал событий в Windows 7, как открыть
• Как использовать содержимое журнала
• Возможные проблемы с открытием журнала
• Очистка, удаление и отключение журнала

Все ошибки и сбои, связанные с работой операционной системы, записываются в специальный журнал Windows. Благодаря ему пользователи могут посмотреть, из-за чего произошел тот или иной сбой. Все критически важные ошибки помещаются туда в автоматическом режиме, при условии, что владелец персонального компьютера активировал соответствующую службу. Если служба неактивна, то узнать, из-за чего перестала нормально работать Windows, невозможно.

Журнал событий в Windows 7 — что это такое и для чего нужен

Журнал событий представляет собой место для хранения информации об ошибках, связанных с работой операционной системы Windows 7. В редакторе системного реестра присутствует активный ключ сборщика событий, который содержит в себе несколько подключей:

• Журнал установки и деинсталляции программного обеспечения.
• Журнал событий Windows 7, куда записываются данные о безопасности и системного аудита.
• Лог-файл для регистрации ошибок при работе критически важных драйверов.

Журнал сборщика событий Виндовс

• Открытие лога событий для системного администратора.
• Копирование определенных журналов в буфер обмена.
• Открытие истории произошедших событий.
• Настройка уведомление о регистрации новой системной записи.
• Копирование двоичных данных в архив.
• Создание резервной копии.

Важно! Если вовремя не очищать журнал, то он может сильно переполниться, и в этом случае запись будет полностью остановлена.

Чтобы найти журнал, требуется выполнить такую последовательность действий:

• Открыть «Проводник» через ярлык на рабочем экране «Мой компьютер».
• Далее следует перейти в раздел локальных томов и выбрать системный диск.
• После этого открыть каталог «Windows» и «System32».
• Далее следует прокрутить список компонентов вниз и выбрать директорию с наименованием «Winevt».
• В данном каталоге необходимо выбрать папку «Log».

Сборщик находится на локальном томе в папке «System32»

Переход в журнал событий в Windows 7, как открыть

Открыть журнал на семерке можно несколькими способами:

• Использовать панель управления.
• Зайти в командную строку.
• Создать ярлык на рабочем столе.
• С помощью штатной утилиты «Выполнить».

Через панель управления

• Необходимо открыть стартовое окно и в правом столбце выбрать «Панель управления».
• Далее открыть пункт «Безопасность» и «Администрирование».
• В списке штатных инструментов найти компонент «События».
• Далее откроется окно оснастки, где следует выбрать пункт «Журналы логирования Windows».
• Появится список из следующих пунктов: «Программы», «Инсталляция», «Параметры ОС», «Перенаправленные логи».

Через командную строку

Многие пользователи спрашивают, как посмотреть ошибки Виндовс 7? Чтобы осуществить просмотр сбоев нужно открыть журнал при помощи командной строки:

• Требуется на физической клавиатуре нажать одновременно клавиши WIN+R.
• Затем в окне штатной утилиты прописать исполняемый код с наименованием «CMD».
• После этого в окне консоли следует ввести код «eventvwr».
• На экране отобразится окно консоли, где нужно выбрать подраздел «Сборщик событий Windows».

Важно! Пользователи часто спрашивают, почему через командную строку сборщик событий перестал запускаться? В этой ситуации решение достаточно простое: нужно запустить командную строку с расширенными правами доступа. Запуск утилиты в этом случае производится через стартовое меню.

Открытие системного компонента при помощи командной строки

Создание ярлыка на рабочем столе

• Правой кнопкой мыши нужно кликнуть по пустой области рабочего стола.
• В диалоговом меню необходимо нажать «Создать».
• Затем следует выбрать «Ярлык».
• В новом окне необходимо указать путь к исполняемому файлу. Путь выглядит следующим образом: C://(Локальный том)/Windows/System32/eventvwr.exe/.

Чтобы запустить сборщик событий, нужно применять расширенные права доступа.

Использование утилиты «Выполнить»

Журнал Виндовс 7, как открыть через утилиту «Выполнить»:

• Необходимо на физической клавиатуре выполнить следующую операцию: нажать одновременно сочетание клавиш WIN+R.
• Далее в поисковой строке ввести исполняемый код с наименованием «eventvwr».
• На экране отобразится консоль оснастки.

Как использовать содержимое журнала

Пользоваться журналом событий достаточно просто. В первую очередь необходимо понять, что означает тот или иной код ошибок и из-за чего произошел сбой. В операционной системе предусмотрено несколько логов событий: архив историй и служебный журнал. В архиве хранятся данные о том, какие сбои фиксируются в данный момент. В свою очередь, в истории содержатся архивы ранее произошедших критических ошибок.

Анализ лога действий и ошибок

Анализ файлового лога системного журнала ОС Windows 7:

Анализ журнала ошибок поможет установить, из-за чего произошел критический сбой

Возможные проблемы с открытием журнала

У многих пользователей появляется проблема с открытием журнала сборщика событий. Он может просто перестать открываться или на экране появится ошибка. Устранить неисправность можно путем активации службы «Сборщик событий Windows»:

• Необходимо открыть «Диспетчер задач» с помощью сочетания клавиш «Ctrl+Alt+Del».
• Затем открыть «Службы» в списке найти пункт «Журнал Windows».
• Щелкнуть по компоненту правой кнопкой мыши и выбрать «Свойства».
• В пункте «Состояние» указать параметр «Отложенный запуск».
• В строке «Тип» указать «Включить» и щелкнуть «Ок».

Активация службы поможет избавиться от ошибок при открытии сборщика событий

Похожее:

“Просмотр событий” в Windows 7 (Часть 1 – Оснастка) Как его открыть и найти информацию об ошибке Журнал событий винда 7 Журнал событий Windows 7