Журнал событий

Использование и очистка журнала событий
  Windows поддерживает несколько журналов событий, содержащих информацию о проблемах, связанных с состоянием системы и приложений, а также с безопасностью. Кроме того, приложения могут создавать специализированные журналы событий. Такие журналы, как правило, описывают события, связанные с конкретным приложением или функцией операционной системы (например, драйвером устройства). Просмотр журнала событий осуществляется при помощи консоли Просмотр событий (Event Viewer) папки Администрирование (Administrative Tools) панели управления. Далее с позиций оптимизации описана работа со стандартными журналами событий Windows: Система (System), Приложение (Application) и Безопасность (Security).
  Некоторые приложения после удаления оставляют свои журналы событий на жестком диске. Файл журнала событий имеет расширение EVT, а его название представляет собой сокращенное имя журнала событий. Никогда не удаляйте журналы Система (System), Приложение (Application) и Безопасность (Security).
Просмотр записей журнала событий
  Журналы событий поддерживают записи нескольких видов. С точки зрения оптимизации интерес представляют только уведомления, предупреждения и ошибки.
► Уведомления (information) извещают о том, что Windows или приложение удачно завершило выполнение операции, либо изменился статус приложения или службы. Например, служба удаленного доступа создает уведомление в журнале при каждой попытке подключения к Интернету через коммутируемое соединение.
► Предупреждение (warning) указывает на то, что в системе произошла некритическая ошибка. Имеет смысл потратить время на то, чтобы исправить максимальное количество имеющихся ошибок; журнал событий позволяет установить их причины. Тем не менее, иногда проблема оказывается вне вашего контроля, либо носит однократный характер. Например, неполадка в сети может привести к потере связи с сервером в момент выполнения критической операции. Позднее вы получите уведомление о том, что связь восстановлена и нет необходимости тратить усилия на разрешение проблемы.
► Ошибка (error) свидетельствует о том, что система нестабильна или в ней произошел критический сбой. Причину ошибки всегда следует ликвидировать максимально быстро. Систему вполне возможно настроить таким образом, что она не будет генерировать записей об ошибках. Стремитесь достичь подобного результата, поскольку наличие записей об ошибках говорит о серьезных проблемах оптимизации.
  Вы можете удалить многочисленные записи, создаваемые в журнале событий службой удаленного доступа, щелкнув правой кнопкой мыши на значке Сетевое окружение (My Network Places) и выбрав в контекстном меню команду Свойства (Properties). На экране появится диалоговое окно Сетевые подключения (Network Connection). Щелкните правой кнопкой мыши на значке, соответствующем коммутируемому подключению, и снова выберите в контекстном меню команду Свойства (Properties). Вы увидите диалоговое окно свойств подключения. Перейдите в нем на вкладку Дополнительно (Advanced) и щелкните на кнопке Параметры (Settings). В диалоговом окне Дополнительные параметры (Advanced Settings) перейдите на вкладку Ведение журнала безопасности (Security Logging) и сбросьте флажки Записывать пропущенные пакеты (Log Dropped Packets) и Записывать успешные подключения (Log Successful Connections). Дважды щелкните на кнопке ОК, чтобы закрыть диалоговые окна Дополнительные параметры (Advanced Settings) и Свойства подключения (Network Connection).
  Одна из основных проблем журнала событий состоит в том, что многие пользователи его игнорируют. Возьмите за правило регулярно просматривать журнал событий; при необходимости делайте это ежедневно, например, утром после загрузки компьютера. Если ошибок и предупреждений нет, прочитайте уведомления и удалите записи из журнала событий (см. далее раздел «Удаление устаревших записей»). Ежедневный просмотр журнала событий и его очистка оптимизируют систему в двух аспектах. Во-первых, сокращается количество проблем со стабильностью, что делает вашу работу более продуктивной. Во-вторых, журнал событий занимает меньше места на жестком диске.
  Для ежедневного просмотра журнала событий есть еще одна важная причина. Некоторые записи теряют смысл, если их сразу же не прочитать, поскольку их надо читать в контексте текущего окружения. Например, сообщение об ошибке, появляющееся при повреждении компакт-диска. Если вы не прочитаете ее немедленно, позже будет невозможно определить, какой из ваших компакт-дисков поврежден. В какой-то момент компакт-диск может окончательно выйти из строя, что, возможно, вынудит вас восстанавливать его содержимое.
  С точки зрения оптимизации и очистки системы журнал событий полезно просматривать для проверки вносимых изменений. Иногда изменение может приводить к неожиданным результатам, и журнал событий способен снабдить вас информацией о них. Например, остановка службы времени Windows (Windows Time) может нарушить синхронизацию клиентского компьютера с сервером. По этой причине некоторые события станут случаться невовремя или перестанут происходить вовсе, что вызовет проблемы с сетью. Windows поместит в журнал все записи о сетевых ошибках. Хотя установка точного времени особой важности не представляет, некоторые ошибки все же могут случаться. Вам необходимо оценить, достаточно ли серьезны сетевые ошибки для того, чтобы снова включить службу времени Windows. Очевидно, что служба времени потребует дополнительной оперативной памяти и мощности процессора, поэтому в данном случае вам придется сделать выбор между локальной оптимизацией компьютера и работоспособностью компьютерной сети в целом.
Настройка журнала событий
  Компания Microsoft любит большие журналы событий. Даже если журнал содержит всего одну запись, он занимает все дисковое пространство, которое вы отводите ему. Если вы ежедневно просматриваете журнал событий, нет необходимости содержать журнал большого размера, поэтому вы можете оптимизировать его для эффективного использования дискового пространства. Кроме того, вы можете настроить журнал событий так, чтобы в нем отображалась только нужная вам информация.
  Чтобы изменить параметры журнала событий, щелкните на нем правой кнопкой мыши и выберите в контекстном меню команду Свойства (Properties). На экране появится диалоговое окно его свойств. Обратите внимание на то, что все журналы событий для настройки имеют один и тот же набор элементов управления — различие заключается лишь в именах.
  На рисунке представлены параметры, установленные для журнала событий Приложение (Application) в моей системе. Объем журнала равен 64 Кбайт вместо 512 Кбайт, предлагаемых Microsoft по умолчанию. Кроме того, записи хранятся в журнале событий не более 7 дней. Если в течение этого времени вы не прочитали запись, скорее всего, вы вообще не будете на нее реагировать. Обратите внимание и на другие параметры. В поле Имя журнала (Log Name) указано местоположение журнала событий, что позволяет удалять из системы устаревшие журналы — напоминаю, никогда не удаляйте журналы Система (System), Приложение (Application) и Безопасность (Security). Кроме того, вы можете удалить все записи из журнала при помощи кнопки Очистить журнал (Clear Log).
  Вкладка Фильтр (Filter) также важна для оптимизации. Так, вы можете скрыть уведомления, сбросив флажок Уведомления (Information); при этом уведомления не удаляются из журнала, а просто не отображаются в нем. Это позволяет сконцентрировать внимание на более важных записях — предупреждениях и ошибках. Кроме того, вы можете временно отфильтровать записи журнала по именам пользователя и компьютера. Никогда не сохраняйте эти критерии фильтрации, поскольку в противном случае вы потеряете из виду важные записи журнала событий.

Удаление устаревших записей
  Всегда удаляйте записи из журнала событий после разрешения породивших их проблем. Чтобы удалить записи из определенного журнала событий, в консоли Просмотр событий (Event Viewer) щелкните на этом журнале правой кнопкой мыши и выберите в контекстном меню команду Стереть все события (Clear All Events). На экране появится сообщение, предлагающее сохранить журнал перед очисткой. Если у вас нет серьезных причин сохранять журнал, щелкните на кнопке Нет (No).
  Нельзя удалить одну или две записи журнала событий. Очистка журнала приводит к удалению из него всех записей. Кроме того, операцию удаления невозможно отменить — очистив журнал, вы безвозвратно теряете его содержимое.