Журнал событий Windows
Самые частые проблемы, которые можно отследить в Журнале событий Windows
Журнал событий Windows — это встроенный инструмент операционной системы, который записывает информацию о самых разных событиях: от ошибок приложений и системных сбоев до проблем с безопасностью и входом в систему.
Работа с этим журналом — ключевой навык, позволяющий быстро диагностировать проблемы на серверах.
Как открыть Журнал событий и найти нужные ошибки
Существует несколько быстрых способов открыть Просмотр событий в Windows.
- Через контекстное меню «Пуск»:
- Нажмите правой кнопкой мыши на кнопку «Пуск» или используйте сочетание клавиш Win + X.
- В появившемся меню выберите пункт «Просмотр событий».
- С помощью команды «Выполнить»: Нажмите Win + R, введите eventvwr.msc и нажмите Enter.
- Через Поиск: Начните вводить в поиске на панели задач «Просмотр событий» и запустите найденное приложение.
После открытия оснастки полезная информация в основном сосредоточена в узле «Журналы Windows», который включает несколько ключевых подразделов.
- Приложение: События, связанные с работой установленных программ и приложений.
- Система: События, генерируемые самой операционной системой и ее компонентами (драйверами, службами).
- Безопасность: События, связанные с безопасностью (попытки входа, доступ к ресурсам, аудит).
Чтобы найти конкретную ошибку, перейдите в один из этих журналов, например, «Система». Для удобства анализа можно использовать фильтр: в правой панели нажмите «Фильтровать текущий журнал» и выберите уровни событий, которые вас интересуют, например, «Ошибка» и «Предупреждение»
Таблица частых проблем и их идентификаторов в Журнале событий
Для вашего удобства вот таблица с наиболее распространенными проблемами, их значением и местом поиска. Эти события критически важны для поддержания стабильности и безопасности серверов.
| Идентификатор события (ID) | Уровень | Журнал | Описание проблемы и её потенциальная причина |
| 1001 | Ошибка | Приложение | Сбой установки приложения. Может быть вызван поврежденным установочным пакетом, отсутствием прав или конфликтом политик |
| 1102 |
Ошибка | Безопасность | Журнал событий был очищен. Может указывать на попытку злоумышленника скрыть свою активность (T1070 по MITRE ATT&CK) |
| 4625 | Ошибка | Безопасность | Неудачная попытка входа в систему. Может свидетельствовать о подборе пароля (Brute-force атака) |
| 4672 | Информация | Безопасность | Особые привилегии назначены новому входу в систему. Помогает выявить эскалацию привилегий и несанкционированное использование учетных записей администратора |
| 4698 | Информация | Безопасность | Создана запланированная задача. Может указывать на попытку злоумышленника закрепиться в системе или обеспечить себе постоянный доступ (T1053) |
| 4720 | Информация | Безопасность | Создана новая учетная запись пользователя. Мониторинг несанкционированного создания аккаунтов |
| 6008 | Ошибка | Система | Неожиданное завершение работы системы. Может указывать на проблемы с питанием, аппаратные сбои или "падения" системы |
| 7000 | Ошибка | Система | Служба не может быть запущена. Частая проблема, вызванная неправильными настройками службы, отсутствием зависимостей или прав |
| 7022 | Ошибка | Система | Служба зависла при запуске. Указывает на то, что служба не отвечает в течение ожидаемого времени |
| 7031 | Ошибка | Система | Служва аварийно завершила работу. Сама служба завершила работу с ошибкой, что может быть связано с внутренним сбоем или проблемой в её конфигурации |
| 7034 | Ошибка | Система | Служба неожиданно завершила работу. Служба была закрыта, но не отправила ожидаемое уведомление диспетчеру служб о своем состоянии |
Дополнительно краткая сводка ошибок:
Основные события системных сбоев и выключений
| ID | Уровень | Журнал | Краткое описание |
| 41 | Критический | Система | Неожиданная перезагрузка/синий экран |
| 1074 | Информация | Система | Запрос на завершение работы |
| 6006 | Информация | Система | Корректное завершение работы |
| 6008 | Ошибка | Система | Неправильное завершение работы |
Проблемы с лицензированием
| ID | Уровень | Журнал | Краткое описание |
| 16385 | Ошибка | Приложение | Сбой активации Windows |
| 16388 | Ошибка | Приложение | Ошибка лицензирования |
| 16390 | Предупреждение | Приложение | Предупреждение лицензии |
| 8198 | Ошибка | Система | Ошибка активации защиты ПО |
Проблемы со службами
| ID | Уровень | Журнал | Краткое описание |
| 7031 | Ошибка | Система | Служба аварийно завершила работу |
| 7034 | Ошибка | Система | Служба неожиданно завершила работу |
| 7023 | Ошибка | Система | Служба завершила работу с ошибкой |
| 7026 | Ошибка | Система | Сбой загрузки драйверов |
Сетевые проблемы
| ID | Уровень | Журнал | Краткое описание |
| 5719 | Ошибка | Система | Нет контроллера домена |
| 1058 | Ошибка | Система | Ошибка групповой политики |
| 1202 | Ошибка | Система | Ошибка скрипта групповой политики |
| 1202 | Ошибка | Система | Сбой разрешения DNS |
Проблемы безопасности
| ID | Уровень | Журнал | Краткое описание |
| 4625 | Ошибка | Безопасность | Неудачный вход в систему |
| 4648 | Информация | Безопасность | Вход с явными учетными данными |
| 4672 | Информация | Безопасность | Особые привилегии назначены |
| 4720 | Информация | Безопасность | Создана учетная запись |
| 1102 | Ошибка | Безопасность | Очистка журнала аудита |
Проблемы с оборудованием и дисками
| ID | Уровень | Журнал | Краткое описание |
| 129 | Ошибка | Система | Сбой контроллера NVMe |
| 153 | Ошибка | Система | Сбой контроллера диска |
| 157 | Предупреждение | Система | Деградация диска |
| 11 | Ошибка | Система | Сбой записи на диск |
| 55 | Ошибка | Система | Повреждение NTFS |
Проблемы приложений
| ID | Уровень | Журнал | Краткое описание |
| 1000 | Ошибка | Приложение | Сбой приложения |
| 1001 | Ошибка | Приложение | Ошибка установки |
| 1026 | Ошибка | Приложение | Ошибка .NET |
| 10016 | Ошибка | Система | Ошибка доступа DCOM |
Что делать, обнаружив ошибку?
Когда вы нашли конкретную ошибку в журнале, дважды щелкните по ней, чтобы открыть окно со всеми деталями.
Анализ деталей ошибки
Что смотреть в событии:
-
Код события (Event ID) - основной идентификатор
- Уровень - Ошибка, Предупреждение, Критический
-
Источник (Source) - какая служба/компонент вызвал ошибку
-
Описание (Description) - наиболее важная информация
- Пользователь - под какой учетной записью произошло
Определение критичности ошибки
Критические ошибки (требуют немедленного действия):
- События 41, 129, 55, 16385 - аппаратные сбои, проблемы лицензии
- Постоянные ошибки служб (7031, 7034)
- События безопасности 1102, 4720
Важные ошибки (решить в ближайшее время):
- События 10016, 5719, 1058 - проблемы DCOM, сети
- Единичные сбои приложений (1000, 1001)
Поиск решения
Источники для поиска решений:
- Официальная документация Microsoft
- TechNet форумы
- Stack Overflow для ошибок приложений
- Поиск по коду ошибки: "Event ID XXXX Windows Server"
Скопируйте код ошибки и её описание. Для многих системных и сетевых ошибок инструкции по устранению уже содержатся в описании события.
Полезные PowerShell команды для диагностики
Для запуска команд рекомендуем запускать PowerShell от администратора:
# Просмотр последних 20 системных ошибок
Get-EventLog -LogName System -EntryType Error -Newest 20
# Поиск событий по ID
Get-WinEvent -FilterHashtable @{LogName='System'; ID=109}
# Экспорт событий за последние 24 часа
Get-EventLog -LogName Application -After (Get-Date).AddDays(-1) | Export-CSV events.csvПример вывода последних 20 системных ошибок:
Пример вывода поиска событий по ID
При экспорте в файл в формате csv, файл будет находиться там где запущен PowerShell, по если он запущен из меню "Пуск" то файл лежит в папке пользователя, например "Администратор":
Этим файлом можно будет поделиться для анализа проблемы.
Команды для расширенного анализа:
# Поиск критических ошибок за последние 24 часа
Get-EventLog -LogName System -EntryType Error,Warning -After (Get-Date).AddDays(-1) |
Where-Object {$_.EventID -in (41,1074,6008,10016)}
# Анализ ошибок безопасности
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625,4648,4672,4720} -MaxEvents 50 |
Select-Object TimeCreated, ID, Message
# Мониторинг проблем с дисками
Get-EventLog -LogName System -EntryType Error,Warning |
Where-Object {$_.EventID -in (7,11,55,157)}
# Экспорт всех критических ошибок в CSV
Get-WinEvent -FilterHashtable @{LogName='System','Application'; Level=1,2} -MaxEvents 1000 |
Export-CSV "Critical_Errors_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformationСкрипт для анализа выключений системы:
# Поиск всех событий связанных с выключением за последние 7 дней
$ShutdownEvents = Get-WinEvent -FilterHashtable @{LogName='System'; ID=41,1074,6006,6008} -MaxEvents 100 |
Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-7)}
$ShutdownEvents | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize
# Анализ причин для события 41
$Event41 = Get-WinEvent -FilterHashtable @{LogName='System'; ID=41} -MaxEvents 1
if ($Event41) {
Write-Host "Критическое событие 41 найдено:"
$Event41.Properties | ForEach-Object { Write-Host "Параметр: $_" }
}Полезные утилиты
- Event Viewer Plus - расширенный просмотр событий
- FullEventLogView - анализ больших объемов логов
- Windows Event Collector - централизованный сбор событий
- Log Parser Studio - мощный анализ логов
Дополнительные инструменты:
- Performance Monitor - мониторинг производительности
- Resource Monitor - анализ использования ресурсов
- Process Explorer - детальный анализ процессов
Заключение
Журнал событий Windows — это ваш верный помощник в диагностике проблем на серверах.
Регулярный мониторинг и анализ событий позволяет не только быстро реагировать на уже возникшие инциденты, но и выявлять потенциальные угрозы безопасности и нестабильность в работе системы на ранних стадиях.