Если вы управляете системой, которая используется несколькими людьми, каждый из которых имеет собственный вход в систему, вам может быть полезно узнать, кто из этих пользователей установил программу или приложение. Например, пользователь мог загрузить и установить программу, которая вызывает проблемы, и вам необходимо поговорить с пользователем, который на самом деле выполнил установку. Точно так же вам может потребоваться знать, кто удалил конкретную программу из системы.

При условии, что программа была установлена ​​или удалена с помощью обычного установщика MSI, встроенного в Windows, вы можете узнать необходимую информацию, изучив журналы событий, поддерживаемые Windows. Идите вперед и запустите средство просмотра событий; Самый простой способ — использовать возможности поиска Windows и найти «Средство просмотра событий» без кавычек. После запуска программы (загрузка может занять некоторое время) вы увидите начальный экран. (См. Рис. 1.)

image

Рисунок 1. Начальное окно программы просмотра событий.

На правой панели вверху выберите параметр «Создать настраиваемый вид».

Windows отображает диалоговое окно «Создать настраиваемый вид». Вкладка «Фильтр» должна отображаться в диалоговом окне. (См. Рис. 2.)

image

Рисунок 2. Фильтрация журнала событий.

В раскрывающемся списке «Источники событий» (щелкните переключатель справа от «По источнику», чтобы активировать «Источники событий») выберите параметр MsiInstaller и нажмите кнопку «ОК». Windows отображает диалоговое окно «Сохранить фильтр в пользовательском представлении». (См. Рис. 3.)

image

Рисунок 3. Диалоговое окно «Сохранить фильтр в пользовательском представлении».

Назовите настраиваемое представление по своему усмотрению, выберите место для сохранения настраиваемого представления и нажмите OK. Это указывает средству просмотра событий отображать только события, созданные установщиком, что и происходит, когда вы нажимаете кнопку OK.

В полученном наборе отфильтрованных событий найдите событие, которое было зарегистрировано примерно в то время, когда, как вы предполагаете, произошла установка или удаление. Когда вы найдете тот, который выглядит многообещающим, вы можете выбрать его и просмотреть подробную информацию в средстве просмотра. Среди этих деталей — имя учетной записи пользователя, которая была активна на момент установки или удаления.

Следует отметить, что этот подход будет работать только в том случае, если пользователи системы используют только свои собственные учетные записи — другими словами, пользователи выходят из системы и входят в систему так, как должны. Если все используют общий логин, информация о пользователе в журнале событий не будет иметь большого значения. (Он сообщит вам, что событие произошло, но у вас нет информации о том, кто его выполнил.)

Кроме того, если установленная или удаленная программа не использовала MsiInstaller или использовала метод, не использующий журналы событий, вы не сможете найти события, выполнив следующие действия.

Этот совет (13465) применим к Windows 7, 8 и 10.