FixPedia
Windows

Полный гайд по Event Viewer: как анализировать логи Windows

Это руководство научит вас эффективно использовать встроенный инструмент Windows — Просмотр событий (Event Viewer). Вы научитесь открывать журналы, фильтровать критические ошибки и анализировать логи для самостоятельной диагностики сбоев в системе и приложениях.

Обновлено 15 февраля 2026 г.
10-15 мин
Низкая
FixPedia Team
Применимо к:Windows 10Windows 11Windows Server 2016+

Введение / Зачем это нужно

Просмотр событий (Event Viewer) — это мощный встроенный инструмент Windows, который ведёт детальный журнал всех действий системы, установленных приложений и безопасности. Он часто является ключевым источником информации при диагностике неочевидных сбоев, синих экранов (BSOD), падений программ и проблем с драйверами.

В этом гайде вы научитесь уверенно ориентироваться в интерфейсе Event Viewer, быстро находить критические ошибки среди тысяч записей и правильно интерпретировать данные журналов. Эти навыки позволят вам самостоятельно решать множество проблем, не прибегая к переустановке системы.

Требования / Подготовка

Перед началом убедитесь, что:

  1. У вас есть учётная запись с правами администратора (для доступа ко всем журналам).
  2. Вы работаете на Windows 10, 11 или Windows Server 2016 и новее. Интерфейс и расположение могут незначительно отличаться в старых версиях.
  3. Проблема, которую вы ищете, уже произошла в системе. Журналы содержат только записи о прошлых событиях.

Пошаговая инструкция

Шаг 1: Запуск Просмотра событий

Самый быстрый способ — использовать команду Выполнить:

  1. Нажмите комбинацию клавиш Win + R.
  2. В появившемся окне введите eventvwr.msc.
  3. Нажмите Enter или кнопку ОК.

Откроется основное окно Просмотра событий.

Шаг 2: Основная структура журналов

В левой части окна вы видите дерево журналов. Они разделены на две главные категории:

  • Журналы Windows (стандартные):
    • Приложение — события от установленных программ (например, ошибка запуска MS Office, предупреждение антивируса).
    • Система — события от компонентов ОС и драйверов (проблемы с диском, службами, загрузкой).
    • Безопасность — события аудита (успешные/неуспешные попытки входа, изменения политик). Требует прав администратора.
    • Установка и настройка — события от установщика Windows и компонентов.
  • Журналы приложений и служб — более специализированные логи для конкретных программ (например, .NET Runtime, Microsoft-Windows-PrintService).

Для большинства бытовых проблем ищите в Приложении и Системе.

Шаг 3: Фильтрация событий для поиска ошибок

Журналы содержат тысячи записей. Фильтр — ваш главный инструмент.

  1. В дереве слева щёлкните правой кнопкой мыши на интересующем журнале (например, Система).
  2. Выберите Фильтровать текущий журнал....
  3. В диалоговом окне настройте параметры:
    • Уровень: отметьте Критический и Ошибка. Снимите галочки с Информация и Предупреждение, чтобы не мешали.
    • Период: выберите Последние 24 часа или задайте конкретный диапазон, если знаете, когда произошла проблема.
    • ИД события: если вы знаете код ошибки (например, 1001 или 0x80070005), введите его здесь.
    • Слова-ключевые: введите часть текста ошибки (например, timeout, failed, driver).
  4. Нажмите ОК. Журнал отфильтруется, показывая только релевантные записи.

Шаг 4: Анализ записи события

Каждая строка в журнале — это событие. Кликните на него, чтобы увидеть детали в нижней панели.

Обращайте внимание на поля:

  • Уровень (Критический, Ошибка, Предупреждение) — серьёзность.
  • Дата и время — когда произошло.
  • Источник (Source) — какой компонент/программа сгенерировала запись (например, Service Control Manager, Disk, Application Error).
  • Код события (Event ID) — уникальный номер. Это самый важный параметр для поиска в интернете.
  • Описание — текстовое описание проблемы. Часто содержит технические детали, имена файлов, пути или коды ошибок (например, 0x80070005).

Шаг 5: Поиск по всем журналам (альтернативный способ)

Если не знаете, в каком именно журнале искать, используйте общий поиск:

  1. В правой панели нажмите Найти (или Ctrl + F).
  2. Введите ключевое слово или код события.
  3. В выпадающем меню Искать в выберите Все журналы.
  4. Нажмите Найти далее. Система будет последовательно искать совпадения во всех доступных журналах.

Шаг 6: Экспорт логов для архива или отправки

Чтобы сохранить логи:

  1. Выделите нужный журнал в дереве слева (например, отфильтрованный Система).
  2. В меню Действия (справа) выберите Сохранить все события как....
  3. Укажите папку, имя файла и формат:
    • Файл событий (*.evtx) — родной бинарный формат Windows. Открывается только в Event Viewer. Используйте его для отправки в техподдержку.
    • Файл значений, разделённых запятыми (*.csv) — табличный формат. Можно открыть в Excel.
  4. Нажмите Сохранить.

Проверка результата

Вы успешно освоили Event Viewer, если можете:

  1. Запустить инструмент одним из способов (Win+R -> eventvwr.msc).
  2. Чётко differentiate между журналами Приложение, Система и Безопасность.
  3. Применить фильтр по Уровню (Ошибка/Критический) и/или ИД события.
  4. Найти в описании события ключевые данные: Источник, Код события (Event ID), сообщение об ошибке.
  5. Экспортировать отфильтрованный журнал в файл .evtx.

Попробуйте найти в журнале Система за последние сутки события с уровнем Ошибка. Если список пуст — это хорошо, значит, критических сбоев ОС не было.

Возможные проблемы

Проблема: "Доступ запрещён" при открытии журнала Безопасность

Причина: Для доступа к журналу Безопасность требуются права администратора. Решение: Закройте и снова откройте Event Viewer, выбрав Запуск от имени администратора (клик правой кнопкой по ярлыку). Или войдите в систему под учётной записью группы Администраторы.

Проблема: Журнал переполнен, новые события не записываются

Причина: По умолчанию размер журнала ограничен (обычно 20 МБ). Когда он заполняется, старые события удаляются. Решение: В свойствах журнала (правой кнопкой по журналу → Свойства) можно увеличить Максимальный размер журнала (КБ). Рекомендуемое значение — 32768 (32 МБ) или больше. Также можно настроить политику Перезаписывать события по мере необходимости (старые события).

Проблема: Не могу найти конкретную ошибку по коду (Event ID)

Причина: Код события без указания Источника часто слишком общий. Один и тот же Event ID в разных источниках означает разные проблемы. Решение: В поиске в интернете всегда указывайте полный запрос: "Event ID 1001 Source: Application Error" или "Код события 41 Источник: Kernel-Power". Это сузит результаты до релевантных.

Проблема: События от конкретной программы не появляются в журнале Приложение

Причина: Программа может вести свой собственный лог в другой каталог или не настроена на запись в журнал событий Windows. Решение: Проверьте настройки самой программы на предмет включения ведения логов. Ищите её логи в папках %ProgramData%, %AppData% или в директории установки.

Часто задаваемые вопросы

В чём разница между журналами Windows, Приложений и Системы?
Как автоматически найти последние критические ошибки?
Нужны ли права администратора для просмотра логов?
Как сохранить лог для отправки в техподдержку?

Полезное

Запуск Просмотра событий
Навигация по журналам
Фильтрация событий
Поиск по описанию
Экспорт логов

Эта статья помогла вам решить проблему?