Средство просмотра событий Windows собирает много информации о вашей системе — настолько много, что иногда бывает трудно найти то, что вы ищете. Вот почему возможность фильтровать журналы так удобна. Например, предположим, вы хотите увидеть, когда компьютер был выключен или перезагружен. Начните с отображения средства просмотра событий. (Самый простой способ сделать это — использовать возможности поиска Windows, чтобы найти «Средство просмотра событий» без кавычек.) (См. Рисунок 1.)

image

Рисунок 1. Главный экран средства просмотра событий.

Поскольку нас интересуют запуски и выключения системы, используйте левую панель экрана, чтобы перейти к Журналам приложений и служб | Microsoft | Windows | Диагностика-Производительность | Оперативный. После этого экран просмотра событий должен сильно отличаться от основного экрана, который вы видели ранее. (См. Рис. 2.)

image

Рисунок 2. Переход к

На правой панели вверху нажмите Фильтр текущего журнала. Windows отображает диалоговое окно «Фильтр текущего журнала». Вкладка «Фильтр» должна отображаться в диалоговом окне. (См. Рис. 3.)

image

Рисунок 3. Диалоговое окно «Фильтр текущего журнала».

Здесь вы можете указать несколько параметров: время регистрации события, интересующий вас уровень события, используемый журнал и источник, идентификаторы событий, которые нужно включить, ключевые слова, которые будут использоваться для фильтрации журнала, а также пользователь и компьютеры, связанные с журналом.

Поскольку нас интересуют запуски и остановки в любое время, для любого уровня событий и поскольку мы уже перешли к нужному журналу событий, нам не нужно здесь ничего менять. Точно так же нас не волнуют источники событий или что-либо еще на экране, кроме идентификаторов событий. Как оказалось, запуск Windows обозначается идентификатором события 100, а завершение работы Windows обозначается идентификатором события 200. Итак, все, что нам нужно сделать, это ввести два числа, разделенных запятой, в текстовое поле, в котором сейчас написано «<Все идентификаторы событий>.

Вперед и введите« 100 200 »(без кавычек) в текстовое поле. Как только вы нажмете« ОК », сразу же появится журнал становится отфильтрованным, чтобы включать только те события, ID которых равен 100 или 200. Теперь вы можете легко просмотреть журнал и увидеть детали, относящиеся к каждому перезапуску.

Этот совет (12829) относится к Windows 7, 8 и 10.