Лог загрузки windows 10

Журналы событий Windows

Что такое журнал событий Windows?

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений. Когда возникают подобные типы событий, система Windows создает записи в журналах событий. В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Преимущества Event Log Explorer для администрирования IT-инфраструктуры и расследований инцидентов

Преимущества Event Log Explorer для руководителей

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д. Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен. Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события. Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

Компания Microsoft в ходе обновления своих операционных систем часто меняет способы активации функций, к которым все пользователи привыкли. Зачастую даже опытным пользователям Windows сложно разобраться, где в Windows 10 включить лог загрузки операционной системы, чтобы после его можно было посмотреть и проанализировать. В рамках данной статьи рассмотрим, как в Windows 10 включить лог загрузки.

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

Get-EventLog -Logname «System»

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

Get-EventLog -Logname «Application»

небольшой список абревиатур

• Код события — EventID
• Компьютер — MachineName
• Порядковый номер события — Data, Index
• Категория задач — Category
• Код категории — CategoryNumber
• Уровень — EntryType
• Сообщение события — Message
• Источник — Source
• Дата генерации события — ReplacementString, InstanceID, TimeGenerated
• Дата записи события — TimeWritten
• Пользователь — UserName
• Сайт — Site
• Подразделение — Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Как видите формат уже более читабельный.

Так же можно пофильтровать журналы например показать последние 20 сообщений

Get-EventLog –Logname ‘System’ –Newest 20

Информация о событиях

Как я уже сказал выше, при выборе какого-либо события, в нижней части будет отображаться информация о нем. Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:

• Имя журнала — имя файла журнала, куда была сохранена информация о событии.
• Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
• Код
  — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
• Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
• Категория задачи, ключевые слова — обычно не используются.
• Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.

Внизу, в поле «Подробности», вы можете также увидеть ссылку «Справка в Интернете», которая передает информацию о событии на сайт Microsoft и, по идее, должна отображать информацию о данном событии. Однако, в большинстве случаев вы увидите сообщение о том, что страница не найдена.

Чтобы найти информацию по ошибке, лучше воспользоваться следующим запросом: Имя приложения + Event ID + Код + Источник. Пример можете увидеть на скриншоте. Можно попробовать и поиск на русском языке, но на английском информативных результатов больше. Также для поиска подойдет текстовая информация об ошибке (кликните дважды по событию).

Примечание: на некоторых сайтах вы можете найти предложение скачать программы для исправления ошибок с тем или иным кодом, причем на одном сайте собраны все возможные коды ошибок — не стоит загружать таких файлов, они не исправят проблем, а с большой вероятностью повлекут за собой дополнительные.

Также стоит отметить, что большинство предупреждений не представляют из себя что-то опасное, а сообщения об ошибках также не всегда говорят о том, что с компьютером что-то не так.

Как включить журнал загрузки в Windows 11/10

Вы можете получить доступ и изучить текстовый файл, созданный после активации ведения журнала загрузки в текстовом процессоре, таком как Блокнот. Каждый драйвер отображается индивидуально с пометкой «ЗАГРУЖЕН» или «НЕ ЗАГРУЖЕН». Также показан путь к папке каждого драйвера. Ntbtlog.txt будет именем создаваемого файла журнала загрузки. Он находится в папке C:\Windows\ntbtlog.txt. Файл будет иметь только одну версию и будет перезаписываться каждый раз, когда вы включаете ведение журнала загрузки на своем компьютере.

Созданный журнал можно переместить на рабочий стол или в другое место на компьютере, чтобы этого избежать. Теперь вы можете сравнивать журналы загрузки за разные периоды.

Как использовать MSConfig для активации журнала загрузки

Более простым из двух методов включения журнала загрузки является, вероятно, средство MSConfig, также называемое средством настройки системы.

Шаг 1: Нажмите Windows + R, чтобы запустить окно RUN.

Шаг 2: Введите MSconfig в текстовом пространстве и нажмите кнопку ОК.

Шаг 3: Откроется новое диалоговое окно System Configuration. Найдите и нажмите на вкладку Boot.

Шаг 4: Установите флажок рядом с Boot log в разделе Boot settings.

Шаг 5: Нажмите «Применить» и «ОК».

Шаг 6: Перезагрузите компьютер.

Шаг 7: Вы обнаружите, что журнал загрузки будет создан после перезагрузки ПК.

Как использовать командную строку для включения журнала загрузки

Если MSConfig недоступен, вы можете использовать командную строку для активации журнала загрузки. Несмотря на то, что этот метод требует немного больше усилий, его все равно легко сделать, если вы будете придерживаться этих инструкций.

Шаг 1: Введите командную строку в поле поиска Windows.

Шаг 2: в списке результатов щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».

Шаг 3: Войти bcdedit в окне командной строки, а затем нажмите Enter.

Шаг 4: В результате создается список деталей загрузки.

Шаг 5: Следует отметить идентификатор под загрузчиком Windows. Как правило, это будет «текущий».

Шаг 6: Введите следующее, чтобы включить журнал загрузки:

bcdedit /set {идентификатор} загрузочный журнал Да

Примечание: поместите значение, записанное на предыдущем шаге, вместо идентификатора.

Шаг 7: Чтобы убедиться, что журнал загрузки включен, снова используйте команду bcdedit. Список загрузочной информации будет отображаться внизу.

Шаг 8: Журнал можно создать, закрыв командную строку и перезагрузив компьютер.

Бонусная функция: отключить элементы автозагрузки

Теперь, когда вы знаете, какие драйверы загружаются при загрузке вашего ПК, полезно проверить программы, которые инициируют процесс загрузки. Некоторые из этих приложений не нужны, замедляют время запуска и потребляют оперативную память. Следующие шаги представляют собой Advanced System Optimizer, программное обеспечение для оптимизации, которое отобразит список всех элементов автозагрузки на вашем ПК.

Шаг 1: Загрузите и установите Advanced System Optimizer на свой компьютер, нажав кнопку загрузки ниже.

Шаг 2: Запустите приложение и нажмите «Регулярное обслуживание» на левой панели.

Шаг 3: Теперь нажмите Startup Manager на правой панели, и на вашем экране появится новый интерфейс приложения.

Шаг 4: нажмите кнопку «Управление запуском».

Шаг 5: Появится список приложений, запланированных при запуске. Выберите ненужные приложения и нажмите кнопку «Удалить».

Примечание: Вы даже можете добавить свою любимую программу, если знаете расположение исполняемого файла.

Последнее слово о том, как включить и найти журнал загрузки Windows

Вы можете просмотреть текстовый список каждого драйвера, который загружается и не загружается в процессе загрузки, включив функцию журнала загрузки в Windows. Это может быть очень полезно для отладки проблем с запуском и проблем с приложениями и службами, которые не работают должным образом после запуска.

Сообщите нам о любых вопросах или предложениях. Мы хотели бы вернуться к вам с решением. Мы регулярно публикуем советы, рекомендации и ответы на распространенные технические вопросы.

Диагностика загрузки Windows из консоли cmd.

Следующий способ позволит создать журнал загрузки из консоли, что даёт возможность делать это (в том числе) и для Windows, которая уже или не загружается или даёт при загрузке очевидный сбой. Смысл способа в коррекции содержания директив загрузчика, который может находится где угодно. Т.е. возможно и на “побитом” носителе. После чего, изучив в указанном месте указанный файл, ошибка может проявиться в логе отчётливо. Рассмотрим пару вариантов, когда диагностика загрузки Windows активируется в функционирующей системе и когда включить ведение лога через msconfig уже нельзя.

Windows работает.

Запускаем консоль от имени администратора с последующей командой

bcdedit

и завершаем ввод клавишей Ёптр, дождавшись вывода информации из загрузчика. Ориентируемся на сектор Загрузка Windows в части идентификатор. Описание {current} означает, что это и есть текущая Windows. Короче, если система на компьютере одна – вообще не парьтесь. Смотрите вниз: последней строчкой загрузчик скажет, ведётся ли журнал. В части bootlog по умолчанию всегда No (ведение журнала отключено).

Активируем его тут же:

bcdedit /set {current} bootlog Yes

Проверяем сделанное повторной командой (если консоль вы не покидали, просто щёлкните пару раз по стрелочке вверх – это поиск и выбор ранее набранных команд)

bcdedit

Пока не забыли: обратная команда примет вид

bcdedit /set {current} bootlog No

Windows не работает или “опрокидывается”.

Смысл тот же, просто стоит учесть, откуда запускаемая в консоли команда bcdedit будет инициирована

Не важно, на каком этапе загрузка системы стопорится (даже в случае BSOD), регистрацию лога можно начать в любом случае. Вариантов тут два: из ремонтной консоли (через восстановление системы) или с внешнего диска (флешки или через дисковод)

Если нет загрузочной флешки, путь к созданию и прочтению лога будет таким. Пару раз прерываем загрузку системы кнопкой Reset с корпуса компьютера, вызывая процесс автоматического восстановления:

жмём на кнопку Перезагрузить

нажимаем F2

После перезапуска в корне диска С сформируется файл по адресу C:\Windows\ntbtlog.txt. В любом случае, можно задействовать (в обоих вариантах) и консоль команд. Команда из консоли cmd может принять такой вид:

bcdedit /set {идентификатор} bootlog Yes

Просто вместо идентификатор подсуньте тот, что соответствует незагружаемой Windows. Если загружаетесь из среды восстановления, с флешки или с оптического дисковода, для такой Windows это будет default. При этом при первоначальном запросе командой bcdedit информация о ведении журнала не выводится:

Ознакомиться с содержимым документа можно будет прямо из консоли командой

notepad.exe %WinDir%\ntbtlog.txt

Вот видео для ознакомления с маленькой хитростью, позволяющей “вытаскивать” информацию с незагружаемой Windows и, в том числе, читать текстовые документы прямо из консоли:

Как читать журнал ntbtlog

Файл лога представляет собой список загруженных (LOADED) и незагруженных (NOT_LOADED) драйверов из каталога SystemRoot\System32\DRIVERS. Однако, как уже было сказано, незагрузившийся драйвер вовсе не означает, что это проблемный драйвер. Как раз напротив, неполадки в работе системы может вызывать как раз загрузившийся, но некорректно функционирующий драйвер, поэтому для выявления источника проблем лучше пойти путем сравнения логов Windows, загруженной в штатном и безопасном режиме.

Если в штатном режиме система работает со сбоями, а в безопасном режиме сбоев не наблюдается, из лога нужно выписать драйвера, которые при обычной загрузке системы получили статус LOADED, а при загрузке в Safe Mode получили статус NOT_LOADED.

Далее по характеру ошибки и имени драйвера стараемся определить, какие именно из загрузившихся драйверов могли стать причиной ошибок и деактивируем их (в безопасном режиме или из-под LiveCD) путем замены расширения SYS или EXE на BAK. Затем загружаем систему в обычном режиме и смотрим на ее поведение. Если Windows грузится без ошибок, проблем в работе системы не возникает, находим путем исключения проблемный драйвер и удаляем его.

Если Windows не загружается в безопасном режиме, например, падает при загрузке в BSOD, сравнивать журнал ntbtlog.tхt нерабочей системы придется с журналом рабочей Windows с другого компьютера, имеющего ту же или как минимум схожую конфигурацию и так же загруженной в безопасном режиме. Но в этом случае дифференциация проводится по другому признаку: драйвера, препятствующие загрузке системы в Safe Mode, в файле ntbtlog.tхt будут отсутствовать, тогда как в загруженной в безопасном режиме рабочей системе они будут иметь статус LOADED.

По большому счету это всё, что касается анализа лога загрузки драйверов ntbtlog

К сожалению, однозначного решения проблемы с загрузкой Windows он не дает, есть лишь намеки, поэтому внимание стоит обращать на всякого рода мелочи, например, строки, указывающие на сбой загрузки одного и того же драйвера (см. выше драйвер dxgkrnl.sys)

Может быть и такая картина: нормально загрузившийся драйвер на следующий строке лога уже имеет статус NOT_LOADED, то есть он загрузился и тут же вылетел.

Обращаем также ваше внимание на записи вида NOT_LOADED @cpu.inf,%intelppm.devicedesc%;Intel Processor, в которых присутствует указание на определенное устройство или ПО, в данном примере на интеловские драйвера. Если записей с указанием на драйвер много, стоит подумать об удалении связанного с ним программного обеспечения

Так, пользователи сообщали, что им удавалось восстановить нормальную загрузку Windows путем удаления пакета драйверов SDK for OpenCL, но в таких случаях всегда нужно быть осмотрительным, чтобы не сделать только хуже.

Как искать в журналах событий интересующие сведения

Просмотр всех записей подряд неудобен и неинформативен. Для облегчения поиска только интересующих данных используют инструмент «Фильтр текущего журнала», который позволяет исключить из показа всё лишнее. Он становится доступным в меню «Действия» при выделении мышью какого-либо журнала.

Как пользоваться функцией фильтрации

Рассмотрим на конкретном примере. Допустим, вас интересуют записи об ошибках, критических событиях и предупреждениях за последнюю неделю. Источник информации – журнал «Система». Выбираем его в каталоге Windows и нажимаем «Фильтр текущего журнала».

Далее заполняем вкладку «Фильтр»:

• Из списка «Дата» выбираем последние 7 дней.
• В разделе «Уровень события» отмечаем критическое, ошибка и предупреждение.
• В списке «Источники событий» находим интересующий параметр. Если он неизвестен, выбираем все.
• Указываем коды событий (event ID), о которых собираем сведения.
• Если нужно, отмечаем ключевые слова для сужения круга поиска и определяем пользователя (если интересуют сведения о конкретной учетной записи).

Вот, как выглядит журнал после того, как в нем осталось только то, что мы искали:

Читать его стало гораздо удобнее.

Как создавать настраиваемые представления

Настраиваемые представления – это, как сказано выше, пользовательские выборки событий, сохраненные в отдельный каталог. Отличие их от обычных фильтров лишь в том, что они сохраняются в отдельные файлы и продолжают пополняться записями, которые попадают под их критерии.

Чтобы создать настраиваемое представление, сделайте следующее:

• Выделите в разделе каталогов интересующий журнал.
• Кликните пункт «Создать настраиваемое представление» в разделе «Действие».
• Заполните настройки окошка «Фильтр» по примеру выше.
• Сохраните фильтр под любым именем в выбранный каталог.

В дальнейшем настраиваемые представления можно редактировать, копировать, удалять, экспортировать в файлы .xml, сохранять как журналы событий формата .evtx и привязывать к ним задачи планировщика.

Источники, уровни и коды событий. Как понять, что означает конкретный код

Источники событий – это компоненты ОС, драйверы, приложения или даже их отдельные составляющие, которые создают записи в журналах.

Уровни событий – это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:

Код (event ID) – это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы – кодами 200-210.

Код, взятый из журнала событий (на скриншоте ниже), вводим в поле «Enter Windows event id», источник – в «Event source». Нажимаем кнопку «Search» – и внизу появляется табличка с расшифровкой события и комментариями пользователей, в которых люди делятся советами по устранению связанных с ним проблем.

Как отследить загрузку Windows с помощью Process Monitor

Утилита Process Monitor предлагается на сайте Microsoft. ее, распаковываем в папку на диске и запускаем от имени администратора (инсталляция не требуется).

Открывается главное окно, в котором находится список запущенных процессов. Нам нужно будет включить опцию мониторинга загрузки Windows. Для этого открываем меню «Options» и переходим в пункт «Enable Boot Logging».

В результате этого будет установлен и запущен драйвер, который с заданной периодичностью будет мониторить системные процессы при запуске. Устанавливаем время перехвата 1 секунда.

Предварительные остановки закончены. Теперь перегружаем компьютер, дожидаемся окончания загрузки и снова запускаем Process Monitor. После этого действия режим мониторинга отключится, и программа предложит сохранить данные, которые она собрала на диске.

Внимание! Если вы забудете запустить Process Monitor во второй раз, режим мониторинга остановлен не будет, и лог-файл может занять все свободное место на винчестере. Сохраняем логи на диске, видим – у нас появилось три достаточно объемных файла:

Сохраняем логи на диске, видим – у нас появилось три достаточно объемных файла:

Для более наглядного представления информации включаем отображение процессов по продолжительности. Для этого заходим в меню «Options», пункт «Select columns».

Затем отмечаем пункт «Duration» в опциях детализации, это позволит выводить также и длительность процесса.

Для того чтобы посмотреть, какие именно процессы влияют на загрузку операционной системы, установим фильтр. Открываем меню «Filter»-«Filter».

В окне выбираем в разделе «Display entries matching these conditions» (показывать пункты, соответствующие этим условиям):

• Duration (продолжительность);
• More than (больше чем);
• Значение, секунд (в нашем примере 2), жмем Add и ОК.

В результате этих действий, будут показаны процессы, которые выполняются больше 2 секунд.

Для более наглядного просмотра можно включить опцию отображения процессов в виде дерева, где будет присутствовать информация о начале, конце и длительности. Активируем опцию в меню «Tools» пункт «Process Tree».

Вот в принципе и все. Теперь остается самое сложное – загрузить лог-файл и вручную проанализировать каждый процесс и понять, насколько он замедляет загрузку системы. Данная процедура поможет выявить вредоносные программы, которые не отслеживаются обычными средствами, а также неправильно работающие драйвера и службы.

Анализируемые файлы и первый взгляд на этапы загрузки

Для анализа используются два файла: ETL и создаваемый из него XML.

ETL

Я думаю, что вы уже успели дважды щелкнуть файл boot_BASE+CSWITCH+DRIVERS+POWER_1.etl и полюбоваться красивыми графиками и диаграммами. В левой панели графики можно отображать и скрывать, а также переходить к ним двойным щелчком мыши.

В WPA из ADK для Windows 10 сводку этапов загрузки можно получить так. Из меню Profiles — Apply — Browse Catalog выберите FullBoot.Boot.wpaprofile. При этом автоматически открывается несколько вкладок с подборками сведений. Для отображения информации на отдельной вкладке из левой панели выберите Regions of interest — FullBoot. Получите такую диаграмму и таблицу.

График Boot Phases отражает длительность основных этапов загрузки, которые мы будем рассматривать подробнее дальше. На нем видно, что последний этап, Post Boot занял 26 секунд (Duration), а общее время загрузки составило 64 секунды (End Time).

Для определения длительности основных этапов загрузки можно выделять их мышью, как показано в нижней части рисунка. Можно также щелкнуть на графике правой кнопкой мыши и выбрать из меню пункт Summary Table, чтобы получить отчет в табличном режиме (верхняя часть рисунка).

XML

Для удаленной диагностики по почте или в форуме можно создать текстовый отчет в виде XML-файла. Выполните команды:

cd c:\trace
xperf /tti -i boot_BASE+CSWITCH+DRIVERS+POWER_1.etl -o summary_boot.xml -a boot

Первая переходит в папку с логами, а вторая — создает требуемый XML-файл. Для его просмотра отлично подойдет Internet Explorer!

Сложите узлы, как показано на рисунке, чтобы лучше видеть общую картину. В узле timing указано время в миллисекундах, и там можно увидеть длительность двух больших, условно говоря, частей загрузки (выделены зеленым):

• bootDoneViaExplorer – время загрузки операционной системы вплоть до появления рабочего стола, в данном примере 37 секунд
• bootDoneViaPostBoot – полное время загрузки системы, рабочего стола и всех программ в автозагрузке, в данном примере 64 секунды (из этой цифры следует вычесть 10 секунд, в течение которых определяется полное бездействие системы)

Время первой части складывается из основных этапов загрузки операционной системы (обведены синим), вплоть до начала загрузки рабочего стола. В уже знакомом вам событии 100 длительность этого этапа записывается в параметре .

Разница между этими двумя частями – это время от начала загрузки рабочего стола, до его полной готовности. В событии 100 — это .

Checking With Command Prompt or PowerShell

If you don’t want to go through all the steps above, try using Command Prompt or PowerShell to check Event IDs. You’ll need to know the ID number to do this.

1. Press Win + R to open the Run dialog.
2. Type “cmd” and press Ctrl + Shift + Enter to open Command Prompt with elevated admin privileges.

3. Enter the following command and replace the Event ID number with the number you want to see. In this case, it’s “6006.”

wevtutil qe system "/q:*]" rd:true f:text c:1

4. If you want to check out multiple codes at once, it’s easier to use PowerShell. Press Win + X and select “Terminal (Admin)” or “PowerShell (Admin)” depending on your version of Windows.

5. Enter the following command. Replace the numbers in the brackets to include any Event ID numbers you want.

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

6. It may take a minute for results to appear. However, you’ll notice it’s a lot more detailed than Command Prompt.

FYI: Need more ? We show you how to use it in-depth.