[решено] как исправить ошибки, связанные с eventlog.exe
Содержание:
- Viewing Events from Windows Services
- Fields
- How to Use Event Viewer Windows 10
- Viewing Events from AlwaysUp and Service Protector
- Windows Security Log Event ID 4624
- Security Information and Event Management (SIEM) Logging
- Properties
- Free Security Log Resources by Randy
- Description Fields in 4767
- Windows Security Log Event ID 4720
- Работа с журналом событий (для начинающих)
- Causes of windows 7 event viewer?
- Important Components of an Event
- Introduction
- Meaning of Windows 7 ESENT error in event viewer?
- Examples
- Looking up the meaning of the entries
- Windows Security Log Event ID 4767
- Command-line interface
- Event types
Viewing Events from Windows Services
Use Microsoft’s Event Viewer to see messages written to the Event Log. Start the application by clicking on the Start button and typing in Event Viewer, or from the Control Panel (search for it by name). The somewhat cluttered window should come up after a few seconds:
The left hand side shows a tree grouping the various logs captured on your machine. The events from Windows Services (and other applications running on your PC) are filed under Windows Logs > Application. Navigate to that section to load the events in the center of the window, with the entire list in the top and details of the highlighted event underneath:
Messages from your windows service will have the display name of the service in the Source column.
Fields
| Error | 1 |
Событие об ошибке.An error event. Указывает на существенную проблему, о которой необходимо сообщить пользователю; как правило, это потеря данных или функциональных возможностей.This indicates a significant problem the user should know about; usually a loss of functionality or data. |
| FailureAudit | 16 |
Аудит отказов.A failure audit event. Указывает на событие, происходящее в системе безопасности при сбое контролируемого доступа, такое как сбой при открытии файла.This indicates a security event that occurs when an audited access attempt fails; for example, a failed attempt to open a file. |
| Information | 4 |
Уведомление.An information event. Указывает на то, что важная операция успешно выполнена.This indicates a significant, successful operation. |
| SuccessAudit | 8 |
Аудит успехов.A success audit event. Указывает на событие, происходящее в системе безопасности при успешной попытке контролируемого доступа, например при успешном входе в систему.This indicates a security event that occurs when an audited access attempt is successful; for example, logging on successfully. |
| Warning | 2 |
Событие-предупреждение.A warning event. Указывает на незначительную проблему, которая, однако, может свидетельствовать о наличии предпосылок для возникновения проблем в дальнейшем.This indicates a problem that is not immediately significant, but that may signify conditions that could cause future problems. |
How to Use Event Viewer Windows 10
After you open Event Viewer in Windows 10, you can click one main category from the left pane and the total number of events of this category will be logged in the middle window.
You can click one of the events to check the event ID and the detailed information of the Event.
You can see some of events are marked Error, Warning, or Information. They have different meanings.
- Error means a significant problem and it may include some loss of data on your computer. (Recover my files)
- Warning indicates that there may be a potential problem of your computer.
- Information means the program functions normal.
Each main category under Windows logs refers to different events on your computer.
- Application: System components like drivers on your Windows 10 computer report their problems.
- Security: Events under this category show the results of a security action.
- Setup: Refer to domain controllers.
- System: System events report problems and warnings from Windows system files and programs installed on the system. Most of them can be self-healed.
- Forwarded Events: Events sent from other computers.
You can use Event Viewer to troubleshoot computer problems like blue screen error, program or system crash, view each shut down or system restart and its reason, and more. You can also search any Event ID online for detailed explanation.
Viewing Events from AlwaysUp and Service Protector
Both AlwaysUp and Service Protector write messages to the Application section of the event logs (Windows Logs > Application).
For AlwaysUp, events from your application named “My Application” will be logged with Source set to My Application (managed by AlwaysUpService). The Event Log Messages Page lists and explains the events reported.
For Service Protector, events related to your service named “MyService” will have a Source of ServiceProtector: MyService.
And for both applications, events related to the starting and stopping of the underlying services themselves appear in the Windows Logs > System section. Look there if you have a problem with AlwaysUp itself failing to start at boot.
You may also like…
«AlwaysUp Powers our Mission Critical Application in Hospital Emergency Departments»
Why are there 3 copies of Dropbox Running on my PC?
Q&A: Why doesn’t «Allow service to interact with desktop» work?
Windows Security Log Event ID 4624
| Operating Systems |
Windows 2008 R2 and 7
Windows 2012 R2 and 8.1 Windows 2016 and 10 Windows Server 2019 |
| Category • Subcategory | Logon/Logoff • |
| Type | Success |
|
Corresponding events in Windows 2003 and before |
528 , 540
|
Discussions on Event ID 4624
•
Where does descriptive text come from at the end of 4624?
•
4624 Type 3 Filtering Help
•
RunAs logging
•
event id 4624 after 4725
•
Does this indicate remote access to resources like shares and Event logs on my computer.
4624: An account was successfully logged on
On this page
- Description of this event
This is a highly valuable event since it documents each and every successful attempt to logon to the local computer regardless of logon type, location of the user or type of account. You can tie this event to logoff events and using Logon ID.
Win2012 adds the Impersonation Level field as shown in the example.
Win2016/10 add further fields explained below.
Security Information and Event Management (SIEM) Logging
SIEM logging is the process of aggregating and monitoring logs for security purposes. SIEM systems are used by security teams to collect event data from IT systems and security tools across an organization, and use it to identify suspicious behavior that might signify a security incident.Common security-related log events tracked by a SIEM include:
- Alert from antivirus or endpoint protection of a malware infection
- Alert from an email system about spam or malicious content in an email
- Firewall alert about blocked network traffic
- Connection to a system from unknown host or IP
- Failed logins, especially if repeated or targeted at critical systems
- Change in user privileges, especially privilege escalation
- Use of new or unknown ports, or protocols that are not secure or violate the security policy
Detecting security incidents using correlation rules
Traditionally, SIEMs generated alerts from logs by using correlation rules. A correlation rule specifies a series of events and specific logs values or ranges of values that may indicate a security threat (for example, three or more failed login attempts). Another way to extract security risks from logs is a vulnerability analysis where automated scanners can scan networks for software vulnerabilities that can be targeted by attackers, and some of these scans rely on logs.
Detecting security incidents using behavioral analytics
Next-generation SIEM technology uses user and event behavior analytics (UEBA) to establish a behavioral baseline for users and other entities on the network, such as servers, endpoints or applications. The behavioral analytics engine can monitor behavior and identify if it deviates from the baseline, or in other words, if something “looks different”, even if it couldn’t be defined by a strict correlation rule. If deviations are sufficiently large and seem to indicate a security risk, the UEBA system raises an alert. This can help detect insider threats, fraud, and advanced persistent threats (APT), and other sophisticated attack techniques which can easily evade correlation rule-based detection. For an example of a next-gen SIEM with UEBA built in, see Exabeam Advanced Analytics.
To learn how SIEM can help you manage logs and extract security value out of them, see our in-depth guide on Leveraging Events and Logs for Security.
Properties
|
Возвращает значение, показывающее, может ли компонент вызывать событие.Gets a value indicating whether the component can raise an event. |
|
|
Получает текст, связанный со свойством для этой записи.Gets the text associated with the property for this entry. |
|
|
Получает номер категории для записи в журнале событий.Gets the category number of the event log entry. |
|
|
Возвращает объект IContainer, который содержит коллекцию Component.Gets the IContainer that contains the Component. (Inherited from Component) |
|
|
Получает двоичные данные, связанные с этой записью.Gets the binary data associated with the entry. |
|
|
Возвращает значение, указывающее, находится ли данный компонент Component в режиме конструктора в настоящее время.Gets a value that indicates whether the Component is currently in design mode. (Inherited from Component) |
|
|
Получает тип события этой записи.Gets the event type of this entry. |
|
|
Получает идентификатор события конкретного приложения для текущей записи события.Gets the application-specific event identifier for the current event entry. |
|
|
Возвращает список обработчиков событий, которые прикреплены к этому объекту Component.Gets the list of event handlers that are attached to this Component. (Inherited from Component) |
|
|
Получает индекс данной записи в журнале событий.Gets the index of this entry in the event log. |
|
|
Получает идентификатор ресурса, определяющий текст сообщения для записи о событии.Gets the resource identifier that designates the message text of the event entry. |
|
|
Получает имя компьютера, на котором было создано данное событие.Gets the name of the computer on which this entry was generated. |
|
|
Получает локализованное сообщение, связанное с этой записью о событии.Gets the localized message associated with this event entry. |
|
|
Получает строки замены, связанные с данной записью в журнале событий.Gets the replacement strings associated with the event log entry. |
|
|
Возвращает или задает ISite объекта Component.Gets or sets the ISite of the Component. (Inherited from Component) |
|
|
Получает имя приложения, создавшего это событие.Gets the name of the application that generated this event. |
|
|
Получает местное время создания события.Gets the local time at which this event was generated. |
|
|
Получает местное время записи события в журнал.Gets the local time at which this event was written to the log. |
|
|
Получает имя пользователя, который является инициатором этого события.Gets the name of the user who is responsible for this event. |
Free Security Log Resources by Randy
- Free Security Log Quick Reference Chart
- Windows Event Collection: Supercharger Free Edtion
- Free Active Directory Change Auditing Solution
- Free Course: Security Log Secrets
Description Fields in
4767
4767
Subject:
The user and logon session that performed the action.
- Security ID: The SID of the account.
- Account Name: The account logon name.
- Account Domain: The domain or — in the case of local accounts — computer name.
- Logon ID is a semi-unique (unique between reboots) number that identifies the logon session. Logon ID allows you to correlate backwards to the logon event (4624) as well as with other events logged during the same logon session.
Target Account:
- Security ID: SID of the account
- Account Name: name of the account
- Account Domain: domain of the account
Your entire Windows Event Collection environment on a single pane of glass.
Free.
Subject:
Security ID: WIN-R9H529RIO4Y\Administrator
Account Name: Administrator
Account Domain: WIN-R9H529RIO4Y
Logon ID: 0x192a4
Target Account:
Security ID: WIN-R9H529RIO4Y\John
Account Name: John
Account Domain: WIN-R9H529RIO4Y
|
Mini-Seminars Covering Event ID 4767
|
Discussions on Event ID 4767
|
Windows Security Log Event ID 4720
| Operating Systems |
Windows 2008 R2 and 7
Windows 2012 R2 and 8.1 Windows 2016 and 10 Windows Server 2019 |
| Category • Subcategory | Account Management • |
| Type | Success |
|
Corresponding events in Windows 2003 and before |
624
|
Discussions on Event ID 4720
•
Event ID 4720
•
New Localuser account created in Domain environment
•
Creating users via Exchange 2010 Mgmt Console.
4720: A user account was created
On this page
- Description of this event
The user identified by Subject: created the user identified by New Account:.
Attributes show some of the properties that were set at the time the account was created. Notice account is initially disabled.
This event is logged both for local SAM accounts and domain accounts.
You will see a series of other User Account Management events after this event as the remaining properties are punched down, password set and account finally enabled.
Работа с журналом событий (для начинающих)
❶
Как его открыть
Вариант 1
Этот вариант универсальный и работает во всех современных версиях ОС Windows.
нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);
после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…
Вариант 2
-
сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность»;
-
далее необходимо перейти в раздел «Администрирование»;
-
после кликнуть мышкой по ярлыку «Просмотр событий».
Вариант 3
Актуально для пользователей Windows 10.
1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).
Windows 10 — события
2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.
Win+X — вызов меню
❷
Журналы Windows
Журналы Windows
Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.
В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:
- «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
- «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
- «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).
❸
Как найти и просмотреть ошибки (в т.ч. критические)
Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.
И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».
Система — фильтр текущего журнала / Кликабельно
После указать дату, уровень события (например, ошибки), и нажать OK.
Критические ошибки
В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft).
Представлены все ошибки по дате и времени их возникновения / Кликабельно
Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.
❹
Можно ли отключить журналы событий
Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)
Для отключения журналов событий нужно:
-
открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);
-
далее нужно найти службу «Журнал событий Windows» и открыть ее;
-
после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.
На этом пока всё, удачи!
RSS
(как читать Rss)
Causes of windows 7 event viewer?
Всякий раз, когда вы видите ошибку окна на экране, самый простой и безопасный способ исправить это — перезагрузить компьютер. Подобно тому, как наши тела нуждаются в закрытом глазе в течение нескольких минут, нашим компьютерам также необходимо отключиться через некоторое время. Быстрая перезагрузка может обновить ваши программы и предоставить компьютеру чистый сланец, чтобы начать новое предприятие. Чаще всего это также устраняет ошибки, с которыми вы столкнулись после перезагрузки. Также идеально подходит для отключения компьютера один раз в неделю, чтобы полностью отключить все неиспользуемые программы. Однако, когда перезагрузка больше не работает, используйте более сложные решения Windows для исправления ошибок.
Одним из первых шагов для исправления ошибок Windows 7 является проверка всех ваших драйверов в Диспетчере устройств и их обновление. Вы также можете запустить мастер совместимости программ. Это встроенный инструмент устранения неполадок, который поможет пользователям исправить ошибки в Windows 7. Проверьте мастер в меню «Пуск». Для устаревшего программного обеспечения вы можете проверить вкладку «Совместимость» для редактирования настроек.
Другие исправления в ошибке Windows 7 включают:
- Запуск чистой загрузки с помощью справочной системы Microsoft
- Ручное обновление Windows Update
- Перейти к началу страницы
- Загрузка и установка автоматического патча Microsoft
Important Components of an Event
The Event Viewer shows over 10 pieces of information associated with each event, including:
-
Level – How important is this event?
Each event is classified into one of three categories:
Information: An informative yet unimportant event. You will probably see a lot of these, and they can be safely ignored unless you are digging into a specific issue from an application or service.
Warning: A moderately important event. These don’t necessarily signify a failure, and your software will probably limp along, but they should be reviewed regularly to see if anything mentioned can be resolved.
Error: Indicates a critical problem or failure that may deserve your immediate attention!
- Date and Time – When did this event occur?
-
Source – Which application reported this event?
As mentioned before, an event written by a Windows Service will contain the service’s display name as the Source.
-
Description – Which happened?
The full description shown prominently in the lower pane will (hopefully) provide the relevant details of the event.
For example, this information event is from the (“UI0Detect”) reporting that Notepad is showing itself in Session 0:
Introduction
Ideally, a good software application should never, or occasionally, come up with error conditions or exceptions. But as we all know, this is far from reality. So, when an exception does occur, a good application should just not log plain error messages, but also provide troubleshooting information and detailed information about the error in terms of its source and causes.
The Windows Event Viewer has always been the most suitable place to log error messages generated by applications. This article explains how we can use the .NET Event Logging API to effectively log error information. The article also touches upon some practices for effective error message management, like maintaining localized error messages and troubleshooting hyperlinks. We shall begin with some basics of event logging like event types, log-files, etc, and then cover the implementation aspects with respect to .NET.
Meaning of Windows 7 ESENT error in event viewer?
Ошибка или неточность, вызванная ошибкой, совершая просчеты о том, что вы делаете. Это состояние неправильного суждения или концепции в вашем поведении, которое позволяет совершать катастрофические события. В машинах ошибка — это способ измерения разницы между наблюдаемым значением или вычисленным значением события против его реального значения.
Это отклонение от правильности и точности. Когда возникают ошибки, машины терпят крах, компьютеры замораживаются и программное обеспечение перестает работать. Ошибки — это в основном непреднамеренные события. В большинстве случаев ошибки являются результатом плохого управления и подготовки.
Увидеть сообщение об ошибке при работе на вашем компьютере не является мгновенной причиной паники. Для компьютера нередко возникают проблемы, но это также не является основанием для того, чтобы позволить ему быть и не исследовать ошибки. Ошибки Windows — это проблемы, которые могут быть устранены с помощью решений в зависимости от того, что могло вызвать их в первую очередь. Некоторым может потребоваться только быстрое исправление переустановки системы, в то время как другим может потребоваться углубленная техническая помощь
Крайне важно реагировать на сигналы на экране и исследовать проблему, прежде чем пытаться ее исправить
Окна 7 это операционная система, выпущенная Microsoft после Windows Vista. Однако, несмотря на его более позднюю технологию, в Windows 7 по-прежнему возникают ошибки. Иногда проблемы возникают даже во время установки или обновления. Общим примером является обновление вашей Windows Vista до Windows 7 и более чем 50%, это приведет к сбою или зависанию. Другие ошибки Windows 7 возникают при неправильной установке или удалении программы. Когда в вашем окне 7 появятся ошибки, при запуске вашего компьютера появится сообщение об ошибке. Ошибка Windows 7, которая не исправлена, заставит его раздражать выполнение другой задачи, включая аппаратные функции.
Examples
В следующем примере кода показано, как использовать класс EventLogEntryType для добавления сведений о событиях, активированных в файл журнала.The following code example demonstrates how to use the EventLogEntryType class to add information about triggered events to a log file. В этом примере используется оператор для определения типа события.In this example, a statement is used to determine the event type. Каждая инструкция использует EventLogEntryType для указания типа события, получает сообщение и идентификатор, а затем записывает сведения в журнал.Each statement uses the EventLogEntryType to specify the event type, gets the message and ID, and then writes the information to the log.
Looking up the meaning of the entries
When you have found the entry, you can find more information about the event in the Preview Pane. The most important information for troubleshooting purposes can be found by looking at the “Event ID” number and the full text description.
The full text description can sometimes already tell you what is going on when it reveals the name of an add-in that you have installed. Disable the add-in and see if Outlook starts normally now. If it does, uninstall, reinstall or update the add-in or contact the vendor of the add-in to help you further troubleshooting their product.
If the description field is not clear, then you can also try to find more information about it via the Microsoft Support website. For instance, when you want to find out more about Event ID 27 you can type the following search phrase;
Event IDs are not always clear enough. Especially when you get and error 1000 or 1001 you’ll get a lot of results as these are used for more generic crashes. In those cases it helps to also include some keywords from the description field, especially when it contains references to dll-files.
Another great resource for looking up Event IDs is EventID.Net.
Windows Security Log Event ID 4767
| Operating Systems |
Windows 2008 R2 and 7
Windows 2012 R2 and 8.1 Windows 2016 and 10 Windows Server 2019 |
| Category • Subcategory | Account Management • |
| Type | Success |
|
Corresponding events in Windows 2003 and before |
671
|
Discussions on Event ID 4767
•
Excessive 4767 Events
•
Event ID when User Account automatically unlocked
4767: A user account was unlocked
On this page
- Description of this event
The user identified by Subject: unlocked the user identified by Target Account:.
Note: this event is logged whenever you check the Unlock Account check box on the user’s account tab — even if the account is not currently locked as a result of failed logon attempts. See event ID .
This event is logged both for local SAM accounts and domain accounts.
Command-line interface
| Developer(s) | Microsoft |
|---|---|
| Initial release | October 25, 2001; 18 years ago |
| Operating system | Microsoft Windows |
| Command | |
| License | Proprietary commercial software |
| Website |
Windows XP introduced set of three command-line interface tools, useful to task automation:
- – Official script to query, filter and output results based on the event logs. Discontinued after XP.
- – a command (continued in Vista and 7) to put custom events in the logs.
- – a command to create event driven tasks. Discontinued after XP, replaced by the «Attach task to this event» feature.
Event types
There are basically five types of events that can be logged. Each event is of a particular type, and an error logging application indicates the type of event when it reports one. The Event Viewer uses this type, to determine the icon to display in the list view of the log.
|
Event Type |
Description |
| Information | This indicates a significant, successful operation. For example, an event indicating that a service has started. |
| Warning | Warning events indicate problems that are not immediately significant, but those that could cause problems in the future. Resource consumption is a good example for a warning event. |
|
Error |
Error events indicate significant problems that the user should know about. Error events usually indicate a loss of functionality or data. |
| Failure Audit | Failure audit events are security events that occur when an audited access attempt fails. A failed attempt to open a file (due to lack of permissions) is an example for a failure audit event. |
| Success Audit | Failure audit events are security events that occur when an audited access attempt fails. A failed attempt to open a file (due to lack of permissions) is an example for a failure audit event |
