Системный журнал windows server 2012 r2

Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.

Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера, для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod, и данные сообщения что тут заносятся помогут вам определить его причину.

Так же есть логи windows для более специфических служб, например DHCP или DNS. Просмотр событий сечет все :).

Фильтрация в просмотре событий

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Вас попросят указать уровень событий:

• Критическое
• Ошибка
• Предупреждение
• Сведения
• Подробности

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

небольшой список абревиатур

• Код события — EventID
• Компьютер — MachineName
• Порядковый номер события — Data, Index
• Категория задач — Category
• Код категории — CategoryNumber
• Уровень — EntryType
• Сообщение события — Message
• Источник — Source
• Дата генерации события — ReplacementString, InstanceID, TimeGenerated
• Дата записи события — TimeWritten
• Пользователь — UserName
• Сайт — Site
• Подразделение — Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Или выдать список сообщение позднее 1 ноября 2014

Дополнительные продукты

Так же вы можете автоматизировать сбор событий, через такие инструменты как:

• Комплекс мониторинга Zabbix
• Через пересылку событий средствами Windows на сервер коллектор
• Через комплекс аудита Netwrix
• Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
• Любые DLP системы

Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта pyatilistnik.org

Удаленный просмотр логов

Не так давно в появившейся операционной системе Windows Server 2019, появился компонент удаленного администрирования Windows Admin Center. Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).

Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.

Вот пример фильтрации по событию 19.

Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.

Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же «Просмотр событий». Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню «Подключиться к другому компьютеру«.

Указываем имя другого компьютера, в моем примере это будет SVT2019S01

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий .если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.

Как посмотреть журнал ошибок ОС Windows 2012

Просмотр системного журнала

Если в работе Windows 2012 появляется какая-то нестабильность, или появляются ошибки запуска\установки приложений, то это может быть связано с появлениями ошибок в самой операционной системе.

Все системные ошибки и предупреждения можно найти в «Журнале системы«.

В нем сохраняется информация о событиях, записываемых системными компонентами Windows.

Для просмотра и сохранения системного журнала нужно выполнить шаги:

Открыть «Пуск«:

Открыть «Панель управления«:

В «Панели управления» выбрать «Просмотр журналов событий«

В открывшемся окне выбрать «Просмотр событий» -> «Журналы Windows» -> «Система«

Экспорт журнала

Системный журнал в полном объеме можно выгрузить путем нажатия на ссылку «Сохранить все события как. «

После нажатия ссылки «Сохранить все события как. » нужно выбрать путь и имя файла для сохраняемого журнала.

При сохранении файла возможно появление окна «Отображение сведений«.

В данном окне нужно выбрать пункт «Отображать сведения для следуюших языков: Русский«

Использование сборщика журналов Windows Server Essentials Use the Windows Server Essentials Log Collector

Область применения: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials Applies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

При устранении неполадок, связанных с компьютером, у представителя службы поддержки пользователей Майкрософт могут попросить вас собрать журналы с серверов, компьютеров в сети или с помощью сборщика журналов Windows Server Essentials. When you are troubleshooting computer issues, a representative from Microsoft Customer Service and Support may ask you to gather logs from servers, computers on the network, or both by using the Windows Server Essentials Log Collector.

Сборщик журналов копирует журналы программ, событий и прочую информацию среды в единый ZIP-файл по указанному адресу. The Log Collector copies program logs, event reviewer logs, and related environment information into a single zip file at a specified location. Сборщик журналов можно запускать непосредственно c сервера или любого компьютер сети, а также через удаленное подключение к компьютерам. You can run the Log Collector directly from the server or any computer on the network, or by using a remote connection to the computers.

Сборщик журналов не проводит анализ сетевых проблем и не вносит изменения в настройки серверов или компьютеров сети. The Log Collector does not analyze network issues or make changes to any server or computer on the network. Дополнительную информацию об устранении сетевых неполадок см. в справочной документации по вашему серверу. For information about how to troubleshoot network issues, see the Help documentation for your server product. В этом разделе Компьютеры в сети, отличные от сервера, называются сетевыми компьютерами. In this guide, the computers on your network, other than your server, are called network computers.

Чтобы установить и запустить сборщик журналов, выполните шаги, описанные в следующих разделах. To install and run the Log Collector, perform the steps in the following topics:

Сбор сведений о среде Environment information collected

Для каждого компьютера сети или сервера, указанного вами, сборщик журналов собирает следующие сведения о среде и помещает их в файл журнала коллекции: For each network computer or server that you specify, the Log Collector gathers the following environment information and places it into the log collection file.

Версия операционной системы Operating system version

Изготовитель и описание ЦП CPU manufacturer and description

Объем памяти и ее выделение Memory amount and allocation

Сетевые адаптеры, связанные с TCP/IP Network adapters that are bound to TCP/IP

Языковой стандарт Locale

Конфигурация хранилища Storage configuration

Сведения о файле узла Host file information

Журналы событий, включая события приложений, системные события, события Windows Server и Media Center Event Logs including Application, System, Windows Server and Media Center

Сообщения диспетчера управления службами Service Control Manager messages

События перезагрузки и Центра обновления Windows Reboot events and Windows Update events

Системные ошибки и ошибки приложений System Errors and Application Errors

Собираемые сведения о службах Services information collected

Службы сервера Server services

Служба резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Service

Поставщик службы резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Provider Service

Поставщик устройств Windows Server Windows Server Devices Provider

Управление доменными именами Windows Server Windows Server Domain Name Management

Реестр поставщика службы Windows Server Windows Server Service Provider Registry

Поставщик параметров Windows Server Windows Server Settings Provider

Служба UPnP-устройств Windows Server Windows Server UPnP Device Service

Поставщик средств удаленного администрирования Windows Server Windows Server Remote Web Access Administration Provider

Служба работоспособности Windows Server Windows Server Health Service

Служба хранения данных Windows Server Windows Server Storage Service

Служба SQM Windows Server Windows Server SQM Service

Службы сетевых компьютеров Network computer services

Поставщик службы резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Provider Service

Служба работоспособности Windows Server Windows Server Health Service

Реестр поставщика службы Windows Server Windows Server Service Provider Registry

Служба SQM Windows Server Windows Server SQM Service

Сбор сведений из журналов и реестров Logs and registry information collected

Для каждого указанного компьютера сети или сервера сборщик журналов собирает следующие сведения из журналов и реестра от сервера и компьютеров сети: For each network computer or server specified, the Log Collector gathers log and registry information from the server and network computer as follows.

Сведения из журналов и реестра сервера Server logs and registry information

Журналы серверных продуктов, с \Микрософт\виндовс сервер\логс Server product logs, from

Запланированные задачи Scheduled tasks

Журналы API установки Setup API logs

Журналы центра обновления Windows Windows Update logs

Файл оповещений о работоспособности Health Alerts file

Файл сведений об устройствах Devices Info file

Файл журнала архивации сервера Server Backup Log file

Файл журнала Panther Panther Log file

Разделы реестра из Registry keys, from

\\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server \

Сведения из журналов и реестра компьютеров сети Network computer logs and registry information

Журналы продуктов для сетевого компьютера в \Микрософт\виндовс сервер\логс Network computer product logs at

Файл оповещений о работоспособности в \Микрософт\виндовс сервер\дата Health Alerts file at

Журналы центра обновления Windows Windows Update logs

Журналы API установки Setup API logs

Сведения о запланированных задачах Scheduled tasks info

Разделы реестра от \ \ HKEY_LOCAL_MACHINE \Софтваре\микрософт\виндовс Server Registry keys from \\HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Server \

Журналы компьютеров, которые работают не под управлением ОС Windows Logs for computers that do not run a version of the Windows operating system

Сборщик журналов не собирает файлы журналов с компьютеров, которые работают не под управлением ОС Windows. The Log Collector does not gather log files from computers that do not run a version of the Windows operating system. При использовании компьютеров, работающих под управлением ОС, отличной от Windows, вручную скопируйте следующие файлы журналов в ту же папку, где хранятся файлы сборщика журналов: For non-Windows computers, manually copy the following log files to the same location where you are storing the Log Collector files.

Library/Logs/Windows Server.log Library/Logs/Windows Server.log

Библиотека/журналы/Крашрепортер/панель запуска — (копирование всех файлов панели запуска- . Crash) Library/Logs/CrashReporter/LaunchPad- (copy all of the LaunchPad- .crash files)

Библиотека/журналы/Диагностикрепортс/панель запуска — (копирование всех файлов панели запуска- . Crash) Library/Logs/DiagnosticReports/LaunchPad- (copy all of the LaunchPad- .crash files)