Masz dziwne błędy w Windows 10 i nie wiesz, co tak naprawdę się wydarzyło w systemie. Z tego tekstu dowiesz się, jak korzystać z Podglądu zdarzeń i czytać logi systemowe tak, żeby coś z nich wynikało. Dzięki temu szybciej dojdziesz do przyczyny problemów z wydajnością, aplikacjami i bezpieczeństwem komputera.
Czym jest dziennik zdarzeń w Windows 10?
Dziennik zdarzeń to kronika pracy systemu i programów. Windows zapisuje w nim działania usług, błędy, ostrzeżenia, logowania użytkowników, a nawet informacje o działaniu antywirusa. Każde zdarzenie ma czas, źródło, identyfikator, poziom ważności i opis, dzięki czemu można później odtworzyć przebieg problemu.
W cyberbezpieczeństwie logi są podstawą analizy incydentów. To właśnie tam najczęściej widać ślady działania złośliwego oprogramowania, błędnych logowań, zmian uprawnień czy problemów z Usługami kryptograficznymi. Te same wpisy pomagają też przy zwykłym administrowaniu stacjami roboczymi, bo pozwalają ocenić stabilność systemu i częstotliwość awarii.
W dziennikach aplikacji internetowych i systemowych pojawiają się zwykle takie dane jak czas zdarzenia, nazwa użytkownika, nazwa programu, adres IP lub URL, typ zdarzenia oraz jego kwalifikacja, czyli na przykład błąd, ostrzeżenie lub informacja o normalnym działaniu. Windows zapisuje je jako pliki w systemie plików albo w bazach danych, a następnie prezentuje w graficznej konsoli Podgląd zdarzeń.
Regularna analiza logów pozwala wykryć zarówno jednorazowe awarie, jak i powtarzające się problemy, które w innym wypadku pozostałyby niewidoczne dla użytkownika.
Jak otworzyć Podgląd zdarzeń w Windows 10?
Windows 10 udostępnia kilka dróg do tej samej konsoli. Wybór zależy od tego, czy wolisz klasyczny Panel sterowania, wyszukiwarkę w Menu Start, czy pracę z narzędziami administracyjnymi. Każda metoda kończy się uruchomieniem tej samej aplikacji systemowej.
Po poprawnym otwarciu Podglądu zdarzeń zobaczysz lewe drzewko z dziennikami, środkowy panel z listą zdarzeń i dolne okno z opisem zaznaczonego wpisu. To podstawowe miejsce pracy administratora przy diagnozowaniu błędów Windows.
Panel sterowania
Klasyczny sposób startuje od Menu Start. Najpierw wywołujesz Panel sterowania, a następnie przechodzisz do sekcji System i zabezpieczenia. To rozwiązanie lubią osoby, które od lat pracują z Windows i intuicyjnie sięgają po stare ścieżki.
W obszarze narzędzi administracyjnych znajdziesz pozycję Wyświetl dziennik zdarzeń. Po jej kliknięciu otwiera się konsola Podglądu zdarzeń z czterema głównymi grupami: Widoki niestandardowe, Dzienniki systemu Windows, Dzienniki aplikacji i usług oraz Subskrypcje. Taki widok jest punktem startowym dalszej analizy.
Menu Start i wyszukiwarka
Dużo szybciej jest użyć wyszukiwarki Windows. Wciśnij klawisz z logo Windows, zacznij wpisywać tekst Zdarzenie, a system zaproponuje aplikację Podgląd zdarzeń. To metoda wygodna szczególnie na komputerach użytkowników, gdzie Panel sterowania może być rzadko używany.
Podobnie działa pole wyszukiwania na pasku zadań. Wystarczy wpisać nazwę i wybrać wynik z listy. Ten sposób sprawdza się także wtedy, gdy pracujesz zdalnie na hoście przez narzędzie typu Remote Utilities Host i chcesz szybko otworzyć konsolę bez szukania jej w strukturze menu.
Jakie rodzaje logów systemowych znajdziesz w Windows?
Po uruchomieniu Podglądu zdarzeń pierwsze, co widzisz w lewym panelu, to podział na kilka drzew. Najważniejsze w codziennej pracy są Dzienniki systemu Windows oraz Dzienniki aplikacji i usług. To tam trafia większość informacji o błędach systemu, sterowników, zabezpieczeń i aplikacji.
Oprócz tego konsola oferuje Widoki niestandardowe, które pozwalają zebrać wybrane zdarzenia w jednym miejscu, oraz Subskrypcje, dzięki którym możesz śledzić logi z innych maszyn, na przykład serwerów lub stacji roboczych w domenie.
Dzienniki systemu Windows
Pod nazwą Dzienniki systemu Windows kryje się kilka najczęściej używanych gałęzi. To przede wszystkim dziennik Aplikacja, System, Zabezpieczenia, a także mniej znane pozycje jak Instalacja czy Dziennik zdarzeń konfiguracji. Razem tworzą podstawowy zestaw logów dla administratora.
Każdy z nich ma inną rolę. Dziennik Aplikacja gromadzi wpisy programów i usług użytkownika, System dotyczy samego jądra Windows, sterowników i usług, a Zabezpieczenia pokazuje logowania, wylogowania i zdarzenia audytu. To właśnie tam sprawdzisz, kto i kiedy logował się do komputera oraz czy próby logowania były poprawne.
| Dziennik | Co rejestruje | Kiedy sprawdzać |
| Aplikacja | Błędy i informacje z programów użytkownika | Gdy zawiesza się konkretna aplikacja lub usługa |
| System | Praca sterowników, usług, jądra Windows | Przy problemach ze startem systemu, BSOD, restartach |
| Zabezpieczenia | Logowania, audyt, zmiany uprawnień | Przy analizie bezpieczeństwa i incydentów dostępu |
Dzienniki aplikacji i usług
Szczegółowe informacje o konkretnych komponentach znajdziesz w gałęzi Dzienniki aplikacji i usług. Są tam logi takich elementów jak Microsoft-Windows-UniversalTelemetryClient, usługi sieciowe, a także specjalistyczne dzienniki rozwiązań bezpieczeństwa. Ten obszar bywa mniej intuicyjny, ale oferuje bardzo precyzyjne dane.
Dobrym przykładem jest Microsoft Defender for Endpoint (w polskich opisach często występuje jako Ochrona punktu końcowego w usłudze Microsoft Defender). Ten komponent generuje dziesiątki różnych identyfikatorów zdarzeń, które mówią na przykład o problemach z połączeniem z chmurą, błędach telemetrii, stanie dołączania urządzenia czy przekroczeniu limitów danych czujnika.
Widoki niestandardowe i subskrypcje
Jeśli często analizujesz logi, warto tworzyć Widoki niestandardowe. Pozwalają one zapamiętać zestaw filtrów, na przykład tylko błędy z dziennika System z ostatnich 24 godzin lub wyłącznie zdarzenia wybranej aplikacji. Dzięki temu nie musisz za każdym razem od nowa ustawiać filtrów.
Subskrypcje służą z kolei do zbierania dzienników z innych komputerów. Przydaje się to w sieciach firmowych, gdzie administrator chce oglądać logi z wielu stacji w jednym miejscu. Mechanizm ten jest prostszą alternatywą dla rozbudowanych platform SIEM, gdy mowa o mniejszych środowiskach.
Jak czytać pojedyncze wpisy w Podglądzie zdarzeń?
Kiedy klikniesz na konkretne zdarzenie, w dolnej części okna pojawia się jego podsumowanie i szczegóły. To tam znajdziesz opis, który często wprost wskazuje przyczynę problemu, jak w historii z uszkodzonymi plikami aktualizacji KB4034674 i niedziałającą konsolą mmc.exe. Prawidłowa interpretacja tych pól to podstawa diagnozy.
Jeśli masz do czynienia z błędami bezpieczeństwa lub awariami usług, zwróć uwagę na serię wpisów poprzedzającą moment usterki. Ciąg błędów jednego źródła tworzy zwykle czytelny wzór, który prowadzi do konkretnego pliku, usługi lub aktualizacji powodującej kłopot.
Typ zdarzenia i źródło
Na liście zdarzeń od razu widać ich typ. Najczęstsze poziomy to Błąd, Ostrzeżenie, Informacje oraz, w niektórych dziennikach, Krytyczne. Błędy sygnalizują problemy, które już wystąpiły, ostrzeżenia wskazują na ryzyko, a informacje opisują normalne działanie systemu.
Obok typu ważne jest Źródło zdarzenia, czyli komponent, który wysłał wpis. Może to być usługa systemowa, sterownik, aplikacja zainstalowana przez użytkownika albo moduł bezpieczeństwa, na przykład Microsoft Defender Antivirus czy Remote Utilities Host. Dzięki temu wiesz, co dokładnie zgłasza problem.
Identyfikator zdarzenia i opis
Każdy wpis ma własny Identyfikator zdarzenia (Event ID). To liczba, która pozwala szybko wyszukać informacje techniczne o danym komunikacie, porównać go z innymi maszynami lub sprawdzić w dokumentacji Microsoftu. W praktyce administratorzy często zaczynają analizę od sprawdzenia właśnie tego numeru.
Niżej znajduje się opis tekstowy, często bardzo szczegółowy. W zdarzeniach związanych z Microsoft Defender for Endpoint pojawiają się choćby informacje o adresie URL serwera chmurowego, kodach błędów, stanie dołączania urządzenia czy problemach telemetrii. Z kolei w historii z aktualizacją KB4034674 logi jasno wskazywały na uszkodzenie plików Package_2006_for_KB4034674 i innych plików .cat w katalogu CatRoot, co naprowadziło na ręczne odtworzenie plików z paczki aktualizacji.
Identyfikator zdarzenia i źródło to duet, który pozwala bardzo szybko zawęzić obszar poszukiwań przy każdej poważniejszej awarii Windows.
Jak zarządzać i analizować logi w Windows 10?
Samo podglądanie dzienników to jedno, ale w codziennej pracy równie ważne jest ich filtrowanie, czyszczenie, konfiguracja oraz eksport do dalszej analizy. W większych środowiskach dochodzi także automatyczna analiza logów przez wyspecjalizowane narzędzia, które potrafią zbierać dane z wielu systemów jednocześnie.
W Windows 10 wiele tych zadań wykonasz bezpośrednio z poziomu Podglądu zdarzeń. Kiedy to za mało, z pomocą przychodzą zewnętrzne systemy, takie jak zestaw ELK (Elasticsearch, Logstash, Kibana) albo rozwiązania chmurowe typu SIEM, które zbierają logi z serwerów, firewalli, baz danych i stacji roboczych.
Czyszczenie i eksport dzienników
Każdy dziennik zajmuje określoną ilość miejsca. Gdy plik osiąga maksymalny rozmiar, logi mogą być nadpisywane lub zapis wstrzymany, zależnie od konfiguracji. Dlatego w dłuższej perspektywie trzeba czasem dzienniki czyścić lub archiwizować, aby zachować ważne informacje, a jednocześnie nie przepełniać dysku systemowego.
Aby wyczyścić dziennik, kliknij go prawym przyciskiem myszy i wybierz Wyczyść dziennik. System zapyta, czy chcesz wcześniej zapisać jego zawartość. Możesz wtedy wybrać jedną z opcji:
- Wyczyść – usuwa wpisy bez tworzenia kopii,
- Zapisz i wyczyść – zapisuje plik dziennika na dysku, a potem czyści podgląd,
- Anuluj – pozostawia dziennik bez zmian.
Zapisane pliki możesz później otworzyć w innym systemie, wybierając w Podglądzie zdarzeń ścieżkę Akcja oraz polecenie Otwórz zapisany dziennik. To bardzo pomocne przy zdalnej analizie problemów użytkowników, którzy wysyłają do działu IT paczkę z logami.
Lokalizacja plików EVTX
Nie zawsze jest czas, aby każdy dziennik zapisywać osobno. Windows przechowuje wszystkie logi w konkretnych katalogach, które można po prostu spakować i wysłać do analizy. Trzeba jednak wiedzieć, gdzie ich szukać i w jakim formacie są zapisane.
W starszych systemach, takich jak Windows XP, dzienniki znajdują się w katalogu C:\WINDOWS\system32\config jako pliki z rozszerzeniem EVT. W nowszych wersjach, czyli Windows Vista / 7 / 8 / 8.1 / 10 / 11, logi leżą w katalogu C:\Windows\System32\winevt\Logs i mają rozszerzenie .EVTX. Możesz spakować cały folder Logs lub wybrać tylko wybrane pliki odpowiadające konkretnym dziennikom.
Automatyzacja analizy logów
Ręczne przeklikiwanie tysięcy wpisów ma sens jedynie na pojedynczych stacjach. W większej firmie, z wieloma serwerami i dziesiątkami komputerów, taki proces zabierałby zbyt dużo czasu i w praktyce logi byłyby ignorowane. Dlatego coraz częściej stosuje się narzędzia do scentralizowanego zarządzania i analizy dzienników.
Rozwiązania oparte na stosie ELK lub podobnych systemach SIEM zbierają logi z systemów operacyjnych, urządzeń sieciowych, firewalli, baz danych, antywirusów i aplikacji biznesowych. Potrafią filtrować dane według użytkowników, adresów IP, identyfikatorów zdarzeń czy typów błędów. Dzięki temu administrator może szybko wykryć na przykład powtarzające się problemy z usługą Microsoft Defender for Endpoint, błędy ETW, przerwy w łączności z chmurą lub nietypowe próby logowania do stacji roboczych.
W wielu audytowanych firmach dopiero poważny incydent bezpieczeństwa staje się impulsem, aby traktować analizę logów jako stały element pracy działu IT.
FAQ – najczęściej zadawane pytania
Co to jest Podgląd zdarzeń i do czego służy?
Podgląd zdarzeń to narzędzie, które pozwala zrozumieć, co tak naprawdę wydarzyło się w systemie Windows 10 i czytać logi systemowe. Dzięki niemu można szybciej dojść do przyczyny problemów z wydajnością, aplikacjami i bezpieczeństwem komputera.
Czym jest Dziennik zdarzeń w Windows 10?
Dziennik zdarzeń to kronika pracy systemu i programów, w której Windows zapisuje działania usług, błędy, ostrzeżenia, logowania użytkowników, a nawet informacje o działaniu antywirusa. Każde zdarzenie ma czas, źródło, identyfikator, poziom ważności i opis.
Jakie są sposoby otwierania Podglądu zdarzeń w Windows 10?
Podgląd zdarzeń w Windows 10 można otworzyć na kilka sposobów: poprzez Panel sterowania (System i zabezpieczenia -> Wyświetl dziennik zdarzeń) lub szybciej za pomocą wyszukiwarki w Menu Start bądź na pasku zadań, wpisując np. 'Zdarzenie’.
Jakie są główne rodzaje dzienników systemowych dostępne w Podglądzie zdarzeń Windows?
Główne rodzaje dzienników systemowych w Podglądzie zdarzeń to Dzienniki systemu Windows (zawierające Aplikacja, System, Zabezpieczenia) oraz Dzienniki aplikacji i usług. Konsola oferuje również Widoki niestandardowe i Subskrypcje.
Jakie kluczowe informacje można znaleźć w pojedynczym wpisie dziennika zdarzeń?
W pojedynczym wpisie dziennika zdarzeń można znaleźć typ zdarzenia (np. Błąd, Ostrzeżenie, Informacje), źródło (komponent, który wysłał wpis), Identyfikator zdarzenia (Event ID) oraz szczegółowy opis tekstowy, który często wskazuje przyczynę problemu.
Gdzie Windows 10 przechowuje pliki dzienników zdarzeń (logi systemowe)?
W Windows 10 logi zdarzeń są przechowywane w katalogu C:\Windows\System32\winevt\Logs i mają rozszerzenie .EVTX. Można spakować cały ten folder lub wybrać tylko wybrane pliki.
