Как проверить журналы сбоев Windows

Журналы сбоев Windows - это системные записи, в которых фиксируется важная информация о сбоях, ошибках или системных сбоях, происходящих на компьютере под управлением Windows. Эти журналы обычно сохраняются и к ним можно получить доступ с помощью средства просмотра событий. Журналы сбоев содержат такие сведения, как причина сбоя, затронутое приложение или драйвер, а также состояние системы на момент сбоя.

Журналы сбоев необходимы для диагностики и устранения неполадок в системе, помогая ИТ-специалистам и системным администраторам определять основную причину проблем, таких как ошибки на синем экране (BSOD), сбои приложений или неожиданные перезагрузки. Анализируя эти журналы, пользователи могут выявлять проблемы с оборудованием или программным обеспечением, изолировать неисправные компоненты и принимать корректирующие меры для предотвращения будущих сбоев, обеспечивая стабильность и производительность системы. В этой статье подробно рассматриваются различные способы проверки журналов сбоев в Windows 11 и 10.

Как проверить журналы сбоев в Windows 10 и 11

В этом разделе подробно описываются способы устранения неполадок устройств и приложений Windows с помощью средства просмотра событий, интерфейса командной строки и дампов сбоев.

1. Использование средства просмотра событий

Средство просмотра событий является основным инструментом для проверки журналов сбоев в Windows. Он обеспечивает организованный способ просмотра и фильтрации системных событий. Просмотр журналов сбоев в системе Windows 10 или Windows 11

• Откройте средство просмотра событий, нажав клавиши WIN + R, введя eventvwr в командной строке Выполнить и нажав клавишу ВВОД.
• На панели слева разверните узел Журналы Windows и выберите Система. В меню действий отобразится список событий.
• Нажмите кнопку Фильтр текущего журнала в меню Действия. В окне Фильтр установите флажки Критическое и Ошибка. Нажмите ОК, чтобы применить фильтр. Теперь в списке будут отображаться только события, связанные со сбоями и критическими ошибками.
• Обратите внимание на идентификаторы событий, связанных со сбоями, например 1001 (BugCheck) или 41 (Kernel-Power), которые указывают на сбои системы или неожиданные завершения работы. Нажмите любую запись, чтобы просмотреть подробную информацию, включая время сбоя, коды ошибок и источник.

2. Использование интерфейса командной строки

Если вы предпочитаете использовать командную строку, доступ к журналам сбоев можно получить через командную строку или PowerShell:

• Откройте командную строку или PowerShell от имени администратора, нажав клавиши WIN + X и выбрав Командная строка (администратор) или Windows PowerShell (администратор).
• Используйте следующую команду для отображения последних 10 событий сбоев (события с идентификатором 1001) из системных журналов:
wevtutil qe System /f:text /c:10 /q:"*[System[(EventID=1001)]]"
• Эта команда отфильтровывает события сбоя из журналов и выводит текст. При необходимости можно изменить количество событий (/c:10). В выходных данных будут отображены сведения о событии, включая метку времени, идентификатор события и описания ошибок, что позволит диагностировать проблему, не прибегая к просмотру событий.

Анализ журнала сбоев с помощью WinDbg

• Windows создает файлы мини-дампа при каждом сбое. Эти файлы содержат снимок памяти на момент сбоя и находятся по адресу C:\Windows\Minidump.
• Если базовый анализ журнала сбоев не дал достаточной информации, воспользуйтесь WinDbg - инструментом отладки от Microsoft - для более детального изучения.
• Загрузите и установите инструменты отладки Windows (в составе пакета SDK Windows) с веб-сайта Microsoft.
• Откройте WinDbg и настройте путь к символам, что позволит WinDbg сопоставлять адреса памяти с именами функций и переменными для лучшей интерпретации данных о сбоях, введя в консоль следующую команду:
.sympath SRV*c:\symbols*http://msdl.microsoft.com/download/symbols
• Эта команда указывает WinDbg использовать сервер символов Microsoft для анализа сбоев.
• В WinDbg выберите Файл > Открыть дамп памяти и выберите файл Minidump. Введите !analyze -v в окне командной строки, чтобы запустить подробный анализ аварийного дампа.
• WinDbg отобразит информацию о сбое, включая код BugCheck и неисправный драйвер или компонент, вызвавший сбой.

Анализ журналов сбоев

Журналы сбоев могут не указывать напрямую на установку или обновление программного обеспечения как на причину сбоев. Хотя журналы указывают на проблемы, необходимо изучить последние установки или обновления для выявления потенциальных конфликтов, даже если они явно не упомянуты в журналах.

Необходимые шаги и их влияние

Обновление драйверов. Если в журналах сбоев указаны неполадки оборудования, например неисправные драйверы, первым шагом должно стать обновление драйверов для таких компонентов, как видеокарты, сетевые адаптеры и контроллеры хранения данных. Отказ от обновления драйверов может привести к повторяющимся сбоям и сбоям оборудования.

Запуск инструментов диагностики. Если есть подозрения на наличие проблем с оборудованием, но они явно не отражены в журналах, запуск инструментов диагностики, таких как MemTest86 для оперативной памяти и SMART-диагностика для жестких дисков, помогает подтвердить или исключить неисправности оборудования. Пропуск этого этапа может привести к постоянным сбоям в случае неисправного оборудования.

Установка или обновление программного обеспечения. Если явных неисправностей оборудования не обнаружено, проверьте последние установки или обновления программного обеспечения. Хотя журналы сбоев не всегда напрямую указывают на проблемное программное обеспечение, они все равно могут стать причиной проблем, а откат может разрешить конфликты. Игнорирование этого шага может оставить нерешенными основные проблемы программного обеспечения.

Запуск sfc /scannow. Если на основании журналов событий или необъяснимых сбоев есть подозрение на повреждение системных файлов, следует выполнить эту команду для восстановления этих файлов. Пропуск этого шага может привести к тому, что проблемы на системном уровне останутся нерешенными, что приведет к дальнейшей нестабильности.

Выполнение чистой загрузки. Выполните это, если журналы сбоев указывают на конфликтующие фоновые службы или приложения, но не указывают точную причину. Чистая загрузка поможет изолировать проблемные службы или приложения. Если пропустить этот шаг, выявление первопричины может стать более сложным, что приведет к продлению нестабильности.

Как EventLog Analyzer упрощает анализ журнала сбоев Windows

Несмотря на то что проверка журнала событий и дампов вручную может стать отправной точкой для устранения неполадок Windows, эти методы могут оказаться менее эффективными из-за отсутствия централизованных возможностей поиска и удобного интерфейса. ManageEngine EventLog Analyzer - комплексное программное обеспечение для управления журналами и обеспечения соответствия ИТ-требованиям - централизованно собирает и анализирует журналы событий со всех серверов и рабочих станций Windows в сети, гарантируя эффективный сбор событий о сбоях из нескольких источников.

После анализа журналов EventLog Analyzer мгновенно предоставляет отчеты о сбоях устройств и приложений Windows. Эти подробные отчеты указывают, когда и почему произошел сбой приложения, выявляют любые ошибки и определяют, почему произошли критические сбои устройства, такие как BSOD. Консоль EventLog Analyzer для оповещений в режиме реального времени позволяет получать уведомления о критических сбоях приложений или серверов. Также решение отличает интуитивно понятная консоль поиска, которая позволяет с легкостью выполнять поиск в централизованных журналах событий Windows для эффективного проведения анализа первопричин.

Что дальше?