Файл журнала событий поврежден windows xp

Обновлено: 07.07.2024

проблема с журналами событий windows (system.evt)

Модератор: pruss

проблема с журналами событий windows (system.evt)

slavok » 06 май 2010, 11:07

Igor Mikhaylov » 06 май 2010, 11:20

Выложи на файлообменник, посмотрим, что можно сделать.

Digital Evidences is the international board about digital evidences.

Igor Mikhaylov » 06 май 2010, 17:08

slavok писал(а): или посоветуйте програмку для чтения всех событий из битого журнала.
Ilook Investigator версии 8 или выше (это, конечно, по воробьям из пушки, но. кому сейчас легко?)

Digital Evidences is the international board about digital evidences.

kfv » 07 май 2010, 08:07

На конференции в Казани показывали как работать с битым журналом.

Davydoff » 07 май 2010, 08:12

kfv писал(а): На конференции в Казани показывали как работать с битым журналом.

Davydoff » 07 май 2010, 08:14

И вообще вопрос такой, если все программы выдают что файл поврежден, можно ли считать информацию размешенную в нем корректной? Ведь в результате некорректного закрытия файла журнала вследствие отключения питания или тп записи могли быть искажены..

Igor Mikhaylov » 07 май 2010, 10:53

Digital Evidences is the international board about digital evidences.

slavok » 07 май 2010, 12:38

про описание битых журналов видел в журнале саратовцев(компьютерная экспертиза) по моему №3 за прошлый год, но там маловато написано и все указывает на форенсик асистента.

автоматически обработать пока неполучается. хотя даже event log explorer решает все что можно, правда надо ручками делать.
задумка в форенсик асистенте отличная, но маловато обрабатываемых событий.

есть желание написать чтонибудь свое для автообработки журналов (например экспериментально установлено, что события 6005 и 6006 заносятся в журнал при запуске операционки и корректном ее выключении) но для такого описания пока не смог расшифровать формат хранения даты и времени в каждой из записей. я нашел где префикс записи, порядковый номер, номер события, имя компьютера и кое что из служебки.
может кто сталкивался с внутренним форматом этих журналов?

Igor Mikhaylov » 07 май 2010, 13:25

Digital Evidences is the international board about digital evidences.

Marat » 27 май 2010, 15:13

Изображение

вроде читабельный файл

Matser » 13 авг 2010, 18:47

Столкнулся с такой же проблемой.
Так есть все таки некоммерчекий софт для её решения? Или нет?

Igor Mikhaylov » 14 авг 2010, 07:12

Шли файлы на мое мыло. Попробую помочь.

Digital Evidences is the international board about digital evidences.

J7_ » 17 авг 2010, 09:21

Многие программы просто берут и показывают все корректно сохранившиеся элементы журнала. Некорректную "концовку" просто отсекают. И потому красивая картинка ни о чем не говорит, кроме как о наличии этих корректно сохранившихся событий и неизвестном количестве событий в поврежденной части файла.

Marat » 24 авг 2010, 21:09

Ув. тов. Яковлев.
Многие почему-то думают,что они умнее всех и вместо замечаний по существу отмечают красоту или уродство картинки.Вы художественный критик?
Может был смысл скачать файл,просмотреть его какими-либо программами и отметить:такие-то и такие-то некорректно чего-то там отображают,а вот эти,допустим,то что надо.

Matser » 01 сен 2010, 16:15

Как говориться спасение утопающих дело рук самих утопающих.

Описанное ниже опробывалось на ПК с ОС Windows XP sp3 с журналами SysEvent и AppEvent полученных с ПК с аналогичной ОС. На других журналах не пробывал, т.к. они пустые (обратил внимание, что размер пустого журнала 65 536 байт и 524 288 байт - размер журнала с записями)

Для этого повторяем пукты 1 и 3 для PsLogList и в вводим в консоли команду: PsLoglist -s -t ; -x -l d:\Case\SysEvent.Evt > SysEvent.csv
- s вывод событий в строчном режиме
- t ; установка разделителя ";" , по умолчанию ставиться "," ( долго разбирался к форматом этого ключа в справке указаны и кавычки и слеш ) Это необходимо для получения csv файла полностью пригодного для работы в Exel (всё будет разбито по строкам и столбцам)
-x выводит расширенную информацию о событиях. В чем эта расширенность я не разобрался.
-l ключ позволяет выбрать конкретный журнал из места отличного от стандартного местоположения.
> ключ вывода результатов в указанный файл, есть еще вариант >> (не очень разобрался в чём разница - что то типа дописывает либо перезаписывает файл)
Имя файла в который осуществляется вывод может быть любым.

Итого)) Некоммерческое ПО для исследования поврежденных журналов событий в WinXP есть.

Если не хочется заморачиваться с PsLogList можно использовать всеми любимый Event Log Explorer.

Недостаток PsLogList - в AppEvent.csv вместо информации на русском языке выводиться "Message text not available" (а в SysEvent.csv всё отлично - наверное на моем ПК какой-то dll не хватает)
Недостаток Event Log Explorer - не отображается порядковый номер события.

Для оценки целесообразности использования даноого ПО, Igor Michailov, Marat, и все желающие прошу Вас для сравнения и оценки результатов провести исследование приложенных оригинальных файлов имеющимися у Вас специализированными программами.

С ростом распространения новейших операционных систем Microsoft Windows, новый формат протокола, новый формат файла журнала EVTX. Правильно сохраненные файлы журнала EVTX обычно можно легко открыть в средстве просмотра событий Microsoft Windows или в стороннем инструменте, например WhatsUp Event Analyst или WhatsUp Event Rover.


Однако поврежденные и / или закрытые файлы EVTX представляют серьезную проблему для администратора сети или судебного следователя, который несет ответственность за просмотр их содержимого. В некоторых случаях, но не во всех, средство просмотра событий Microsoft доступно в Windows Vista, а Windows Server 2008 может открыть файл EVTX, полученный из неисправной системы, например с компьютера, на котором был перемещен штепсель, для запуска судебное расследование.

Однако Microsoft Event Viewer пытается восстановить элементы данных в файле, не запрашивая и не подтверждая это действие для пользователя программы.

Файлы журнала просмотра событий (Sysevent.evt, Appevent.evt, Secevent.evt) всегда используются системой, поэтому файлы не могут быть удалены или переименованы. Служба EventLog не может быть остановлена, поскольку она требуется для других служб, поэтому файлы всегда открыты. В этой статье описывается метод переименования или перемещения этих файлов в целях устранения неполадок.

Ноябрьское обновление 2021:

Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows - нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:

скачать

Чтобы разрешить поврежденный журнал событий Windows (файл EVTX)

Чтобы восстановить файл журнала событий, просто скопируйте четыре поля плавающего нижнего колонтитула в соответствующее место в заголовке, а затем установите байт состояния файла на четное значение. Держи, и все кончено. Это так просто.

Первоначальный метод решения проблемы заключался в следующем:

1. отключить службу отображения событий
2. перезагрузите сервер
3. Удалите файл C: WINDOWS \ system32 \ config \ SysEvent.evt.
4. повторно активируйте службу Event Observer и убедитесь, что файлы журнала больше не повреждены.

Удаление поврежденных файлов EVTX

Вы можете удалить поврежденный файл в любое время и дождитесь появления ошибки снова. С другой стороны, вы можете попытаться восстановить поврежденный файл EVTX или экспортировать его как файл CSV, но для этого могут потребоваться некоторые специальные знания. Существует несколько инструментов, которые позволяют извлекать двоичные значения и получать доступ к поврежденному файлу. Вам нужен Python, который может быть проблемой для дезинформированного пользователя.

Таким образом, лучший способ обработки поврежденных файлов - это просто удалить их и позволить системе создавать новые журналы. Их можно удалить вручную, поэтому мы рекомендуем использовать пакетный файл (скрипт), чтобы удалить их все.

Это завершает эту статью. Если у вас есть какие-либо вопросы или другие способы восстановления данных из поврежденных файлов журнала событий Windows, сообщите нам об этом в разделе «Комментарии» ниже.

CCNA, веб-разработчик, ПК для устранения неполадок

Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.

Что такое Журнал событий Windows и как с ним работать?

kak-rabotat-s-zhurnalom-sobytij-windows

Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д. Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.

Для того чтобы система регистрировала события в журнале – на компьютере должна быть запущена одноименная служба “Журнал событий Windows”. Данная служба запускается автоматически после включения компьютера. Не рекомендуется останавливать или выключать службу “Журнал событий Windows” – это может ухудшить стабильность и безопасность системы:

служба “Журнал событий Windows”

программа “Просмотр событий”

Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”– “Панель управления” – “Администрирование” – “Просмотр событий”:Либо можно нажать на клавиатуре сочетание клавиш Win+R – в открывшемся окошке ввести eventvwr.msc и нажать ОК:


Запущенная утилита “Просмотр событий” имеет следующий вид:


В левом столбце можно видеть отсортированные по разделам журналы (всего их четыре: Настраиваемые представления, Журналы Windows, Журналы приложений и служб, Подписки);

В среднем столбце отображается список событий выбранной категории;

В правом столбце – список доступных действий с выбранным журналом;

Внизу находится панель подробных сведений о конкретной записи (область просмотра).

утилита “Просмотр событий”

Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:Область по центру снизу называется Областью просмотра. Здесь представлены общие и подробные сведения о выбранном событии. Ее можно скрыть, если снять соответствующую галку в меню “Вид”, или нажать на крестик в правом верхнем углу области просмотра:


журнал событий windows

Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?

Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.

Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.


журнал событий windows

Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.

Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).

В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:


Например, мы хотим увидеть только ошибки приложений за последние сутки .
В этом случае выбираем слева раздел “Журналы Windows” – категорию “Приложение”, затем в правом столбце жмем “Фильтр текущего журнала”:В открывшемся окошке сверху в строке “Дата” выбираем “Последние 24 часа”.
Ниже отметьте галками уровни событий: “Критическое” и “Ошибка” – нажмите “ОК”.
После этого в среднем столбце отобразится список событий, которые мы задали в фильтре.

инструкция журнал событий windows


Щелкните по любой строке с ошибкой – снизу по центру в области просмотра вы увидите подробную информацию по данной ошибке. Если вы не понимаете, что означает данная ошибка (а чаще всего так и бывает) – тогда просто скопируйте текст ошибки (Ctrl+C на клавиатуре) и вставьте его в любой поисковик (Ctrl+V). Очень большая вероятность, что там вы найдете причину ошибки и ее решение:

Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?

В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows” – “Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) "Имя сбойного приложения: <…> , Имя сбойного модуля: KERNELBASE.dll.

журнал событий windows как работать

Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.


И тогда я смотрю под стол на свой системный блок и вижу, что кабель питания вставлен в него не до конца. Видимо, я просто задел системник ногой и кабель питания отошел. Как видим, в журнале событий не просто отображается код ошибки, а нередко еще и описаны причины ошибки.

Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать.
Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.

Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.

Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:

  • через меню Пуск – Средства администрирования Windows – >Просмотр событий (Start – Windows Administrative Tools – Event Viewer);
  • в командной строке или в окне Выполнить набрать eventvwr.msc:

Запуск Просмотра событий (Event Viewer) через командную строку

Скриншот №1. Запуск Просмотра событий (Event Viewer) через командную строку

В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):

Запуск Просмотра событий (Event Viewer) через Диспетчер серверов

Скриншот №2. Запуск Просмотра событий (Event Viewer) через Диспетчер серверов

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

  • Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
  • Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
  • Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
  • Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).

Для удобства просмотра и управления системные журналы разбиты по категориям:

  • Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
  • Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
  • Система (System) – здесь регистрируются события операционной системы и системных сервисов;
  • Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.

Сами события также разделяются на типы:

  • Сведения (Information) — информируют о штатной работе приложений.
  • Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
  • Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
  • Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
  • Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
  • Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).

Работа с журналами

Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:

Фильтрация журнала

Скриншот №4. Фильтрация журнала

Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:

Настройки фильтра

Скриншот №5. Настройки фильтра

Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.

Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):

Очистка фильтра

Скриншот №6. Очистка фильтра

Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):

Свойства журналов

Скриншот №7. Свойства журналов

В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:

Характеристики файла журнала

Скриншот №8. Характеристики файла журнала

В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:

Читайте также: