Для внимательного изучения этого журнала событий в Windows даже имеется специальный инструмент — программа под названием «Просмотр событий». Данная утилита удобна для диагностирования всякого рода проблем Windows, а также полезна для изучения того, что творится «под капотом» ОС. По сути дела, это одно из первых мест, куда следует заглянуть, если наружу вылезла какая-то необъяснимая проблема с вашим ПК.
Раскрываем журналы. Для запуска программы просмотра событий надо выбрать (в зависимости от конфигурации системы) либо «Пуск•Все программы (Программы в Windows 2000)•Администрирова-ние•Просмотр событий», либо «Пуск• Администрирование•Просмотр событий». Если в каком-то из этих меню не окажется опции «Администрирование», щелкните правой кнопкой мыши на Панели задач и укажите «Свойства». Затем в XP следует выбрать закладку «Меню «Пуск» и кнопку «Настроить», расположенную рядом с характеристикой используемого меню (классического или разработанного для XP). В обеих версиях меню щелкните на кнопке «Дополнительно» (если таковая имеется). В раскрывшемся окне включите функцию в позиции, задающей отображение элемента «Администрирование» меню «Пуск», а потом нажмите OK столько раз, сколько потребуется. (Нужную утилиту можно найти также в папке «Администрирование» на Панели управления.)
На левой створке окна просмотра событий представлены отдельные папки для событий трех видов, которые протоколируются этой утилитой: «Приложение», «Безопасность» и «Система» (в Windows 2000 при каждой папке появляется слово «Журнал». Журнал «Система» особенно полезен тогда, когда требуется выявить проблемы с оборудованием или с самой ОС Windows. Чтобы показать события, относящиеся к соответствующему типу на правой створке окна, щелкните на той или иной папке (рис. 1).
События можно сортировать по ти-пу, по дате или по любому другому параметру, вынесенному в заголовок колонки, — точно так же, как в Проводнике Windows, когда его правая створка представлена в табличном виде. Значки при событиях, перечисленных на правой створке, указывают на то, насколько серьезно событие. Всего имеется три категории сведений о событиях: «Уведомление», «Предупреждение» и «Ошибка». Если вам захочется получить больший объем информации о том или ином событии, дважды щелкните на нем в таблице, и тогда сможете прочитать его описание. К сожалению, особой пользы от этих описаний обычно не бывает, так что обратитесь к разделу «Поиск ответов в другом месте», где рассказано о более информативном ресурсе, относящемся к событиям.
Большинство внесенных в журнал записей можно смело проигнорировать. Например, если вы щелкнете на значке «Система» на левой створке окна просмотра событий, то колонка «Событие» на правой створке должна будет включать запись события под номером 6005 для каждого момента запуска ПК. Каждая такая запись сообщает о старте службы журнала событий при загрузке Windows. Аналогично запись под номером 6006 появляется всякий раз, когда вы выключаете компьютер, и указывает на то, что работа Windows завершена корректно и протоколирование событий прекращено. Если для какой-либо записи события под номером 6005 отсутствует соответствующая ей запись под номером 6006, то компьютер, вероятно, был остановлен без использования стандартной для Windows процедуры выключения, что чревато всякими проблемами.
Обращение за дополнительной информацией к компании Microsoft. Некоторые из журналов могут помочь в диагностике и разрешении проблем. Если сказанного в диалоговом окне свойств события недостаточно, щелкните на имеющейся внизу ссылке на центр справки и поддержки Microsoft (рис. 2). Вам будет предложено отправить компании определенную информацию о событии, необходимую для поиска в базах данных нужной темы. Если вы согласны на это, щелкните на кнопке «Да». Например, я задавал вопрос относительно сообщения об ошибке, извещавшего меня о том, что утилита «Восстановление системы» столкнулась с какой-то проблемой, пытаясь создать резервную копию файла. Центр справки и поддержки разъяснил мне, что в таких случаях утилита перестает создавать точки восстановления и отслеживать изменения файлов до тех пор, пока не будет учреждена еще одна точка восстановления. Было добавлено также, что я могу заставить утилиту «Восстановление системы» работать, создав вручную точку восстановления.
Поиск ответов в другом месте. К сожалению, во многих случаях служба журнала событий сообщает, что никаких нужных тем в центре справки и поддержки нет (зачастую отсутствует и сама ссылка на этот центр или же имеющиеся там сведения оказываются настолько расплывчатыми, что от них не бывает никакой пользы). Так что, если компания Microsoft ничем не может помочь, обратитесь к сайту компании Altair Technologies EventID.net, где поддерживается коллекция предоставленных сообществом пользователей ПК комментариев, касающихся многих системных событий, протоколируемых Windows.
Данный сервис использует информацию, содержащуюся в колонках на правой створке окна просмотра событий, и потому нужно зафиксировать текст из колонки «Источник» и номер из колонки «Событие». Сделав это, отправляйтесь по адресу find.pcworld.com/51518, введите номер события и сведения об источнике, а затем щелкните на кнопке Search («Поиск»). На сайте появится краткое описание события. Воспользовавшись ссылкой Details («Подробнее»), легко получить дополнительные факты, предоставленные теми пользователями, у которых имеется опыт изучения конкретного события (рис. 3). А еще можно ввести номер события и какой-нибудь уникальный фрагмент его описания в графу поиска своей любимой поисковой системы, чтобы таким способом попытаться найти больший объем информации о событии.
Использование chkdsk. Программа просмотра событий бывает полезной не только при поиске неисправностей, но и в других случаях. Например, когда Windows выполняет проверку диска и исправление имеющихся на нем ошибок, то результаты таковой проверки записываются в журнал событий. (Для запуска проверки надо щелкнуть правой кнопкой мыши на значке интересующего вас диска, выбрать «Свойства» и на закладке «Сервис» нажать кнопку «Выполнить проверку».) Команда chkdsk/f помогает заказать автоматическую проверку (find.pcworld.com/51520).
Обследования диска зачастую проводятся после запуска компьютера, но до входа пользователя в систему. В таких случаях, хотя результаты проверки и отображаются на экране, их нельзя сохранить или распечатать. Однако не беспокойтесь: все это отражается в журнале событий. Щелкните на значке «Приложение» на левой створке окна просмотра событий и, чтобы найти конкретное событие, укажите опции «Вид•Фильтр» и на закладке раскрывшегося окна свойств приложения в графе «Источник события» выберите из раскрывающегося меню позицию Winlogon, а потом щелкните OK. Если вы хотите увидеть результаты в диалоговом окне свойств события, то найдите запись, соответствующую дате проверки диска, и дважды щелкните на ней (рис. 4). Чтобы сохранить эти сведения или вывести их на печать, щелкните на значке копирования, расположенном в правом верхнем углу окна, под значками, имеющими вид стрелок, направленных вверх и вниз. (Значок копирования в этом окне такой же, как в текстовом редакторе, — два листа бумаги, причем слово «Копировать» на экране не появляется и никакого подтверждения осуществления данного действия не выдается.) Затем можно вставить скопированные данные в любой текстовый редактор.
Сделав это, отмените фильтрацию, задав опции «Вид•Все записи». Впрочем, если вы забудете так поступить, программа просмотра событий автоматически вернется к показу всех записей при следующем ее запуске.
Расширение протоколов. По умолчанию информация в журналах событий Windows сохраняется одну неделю, после чего затирается более новыми данными. К тому же объем самого журнала ограничен 512 Кбайт. Для более длительного сохранения данных в том или ином журнале необходимо щелкнуть правой кнопкой мыши на значке этого журнала на левой створке окна просмотра событий и выбрать опцию «Свойства». На закладке «Общие» нужно установить больший, чем 512 Кбайт, максимальный размер журнала. Если, например, вы сделаете его равным 2048 Кбайт, вы учетверите количество записей, которые этот журнал может содержать. Также легко настроить по своему усмотрению и варианты затирания старых записей (они перечислены на закладке чуть ниже), чтобы они хранились дольше (или меньше), чем семь дней. Если вы считаете, что заданный объем журнала достаточно велик, то продолжительность хранения записей можно и не указывать — вместо этого просто задайте опцию «Затирать старые события по необходимости». В результате записи будут сохраняться до тех пор, пока их объем не достигнет максимума, и они не начнут удаляться. По завершении настройки нажмите OK.
Scott Dunn. Spot PC Troubles Early With Windows’ Event Viewer. PC World, май 2006 г., с. 138.
Еще один способ изучения файлов протокола
Если вы считаете соб-ственную программу просмотра событий Windows XP полезной, то вам, возможно, понравится и Event Log Explorer. Эта удобная бесплатная утилита дублирует журналы событий Windows, а также добавляет ряд новых функций, включая описания событий, которые можно просматривать, не открывая отдельное диалоговое окно, ведение архивов журналов и возможность поиска событий по дате. Кроме того, программа позволяет сохранять и загружать параметры поиска, распечатывать записи из журналов и экспортировать их в различные форматы. Копию этой программы можно переписать по адресу find.pcworld.com/49956.