Журнал подій Windows: як читати і знаходити помилки
Як використовувати Event Viewer для пошуку помилок, причин зависань і несанкціонованих входів. Корисні Event ID і фільтрування подій через PowerShell.
Event Viewer записує все що відбувається в Windows — збої програм, помилки драйверів, спроби входу. Ось як ним користуватись на практиці.
Відкрити Event Viewer
Win + R → eventvwr.msc
Або: Win + X → Перегляд подій
Структура журналів
Журнали Windows — основні:
- Програма — помилки програм
- Безпека — входи, спроби входу, зміни облікових записів
- Система — помилки драйверів, служб, апаратні проблеми
Служби і програми — детальні журнали конкретних компонентів (Windows Update, Defender, Performance тощо).
Знайти причину зависання
Після зависання або перезавантаження:
Журнали Windows → Система → правий клік → Фільтрувати поточний журнал → рівень: Критичний і Помилка
Знайди події з часом збою. Клікни на подію щоб побачити деталі.
# Критичні події за останню добу
Get-WinEvent -FilterHashtable @{
LogName = 'System'
Level = 1 # Critical
StartTime = (Get-Date).AddDays(-1)
} | Select-Object TimeCreated, ProviderName, Message | Format-List
Корисні Event ID
| ID | Журнал | Що означає |
|---|---|---|
| 41 | System | Жорстке вимкнення (BSOD або знеструмлення) |
| 6008 | System | Неочікуване вимкнення |
| 6006 | System | Чисте завершення роботи |
| 1001 | Application | Windows Error Reporting (краш програми) |
| 4624 | Security | Успішний вхід |
| 4625 | Security | Невдала спроба входу |
| 4720 | Security | Створено новий обліковий запис |
| 7034 | System | Служба впала несподівано |
| 7045 | System | Встановлено нову службу |
Перевірити спроби несанкціонованого входу
# Невдалі спроби входу за останні 24 години
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} |
Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)} |
Select-Object TimeCreated,
@{n='User';e={$_.Properties[5].Value}},
@{n='IP';e={$_.Properties[19].Value}} |
Sort-Object TimeCreated -Descending
Багато спроб з одного IP — можлива атака. Заблокуй через брандмауер.
Знайти причину краша програми
Журнали Windows → Програма → фільтр по Помилка → джерело Application Error або назва програми.
# Краші програм (Event ID 1000)
Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1000} -MaxEvents 10 |
Select-Object TimeCreated,
@{n='App';e={$_.Properties[0].Value}},
@{n='Version';e={$_.Properties[1].Value}},
@{n='Module';e={$_.Properties[4].Value}}
Перевірити час завантаження
Служби і програми → Microsoft → Windows → Diagnostics-Performance → Operational → Event ID 100.
Показує загальний час завантаження в мілісекундах і які процеси затримали старт.
Створити власний вигляд (Custom View)
Правий клік на Настроювані подання → Створити настроюваний вигляд → задай фільтри → збережи назву.
Зручно для моніторингу конкретних подій без щоразового налаштування фільтра.
🔍 Не знаєш що означає код помилки Windows?
Якщо Windows показує код на кшталт 0x80070005, 0x80070002 або 0xC000021A — скористайся безкоштовним інструментом:
→ Декодер помилок Windows — введи код і одразу дізнайся що він означає та як виправити.
📋 Не знаєш що означає Event ID?
→ Windows Event ID довідник — пошук по 20+ ключових подіях безпеки з описом, рівнем загрози і рекомендаціями.
Резюме
Для діагностики збоїв: Система → фільтр Critical/Error навколо часу збою → Event ID 41 або 6008. Для безпеки: Безпека → Event ID 4625 (невдалі входи). Для кращого пошуку — PowerShell Get-WinEvent з FilterHashtable.