Как: включить или отключить загрузочный журнал Windows
В журнале загрузки перечислены файлы, которые были успешно и неудачно обработаны при запуске. С загрузочной записью вы записываете функции Windows, которые обрабатываются, когда компьютер запускается в безопасном режиме, а также в обычном режиме. Сравнивая различия между двумя протоколами, вы можете определить, какие характеристики не нужны для запуска.
Два файла журнала событий, полезные для устранения неполадок вашего компьютера, являются файлами журнала запуска. Эти файлы создаются, когда вы указываете параметр ведения журнала загрузки в качестве параметра ведения журнала загрузки. Файлы называются ntbtlog.txt или bootlog.txt, в зависимости от возраста вашего компьютера. Эти файлы, расположенные в папке Windows, перечисляют успехи или неудачи различных частей Windows при загрузке в систему запоминающего устройства ПК.
Активация с помощью утилиты MSCONFIG
- Нажмите Win + R, чтобы открыть диалоговое окно «Выполнить».
- Введите msconfig и нажмите Enter.
- В Windows Vista введите пароль администратора или нажмите кнопку «Продолжить».
- Нажмите на вкладку загрузки.
- Установите флажок Boot Log.
- Нажмите на кнопку OK.
- Нажмите кнопку «Перезагрузить», чтобы перезагрузить сейчас. В противном случае нажмите Готово без перезапуска.
- Регистрация вступает в силу только тогда, когда Перезапуск Windows, и у вас нет причин делать это немедленно, если вы действительно не хотите видеть журнал загрузки.
Отключение загрузочного соединения в конфигурации системы
- Откройте Run, нажав Win + R. Чтобы открыть конфигурацию системы, введите msconfig и нажмите Ok.
- В окне «Конфигурация системы» отключите опцию Boot Log в Boot Options, чтобы отключить функцию Boot Log.
- Нажмите «ОК», чтобы сохранить изменения.
Как включить лог загрузки в Windows 10
Чтобы текстовый файл ntbtlog.txt появился в папке Windows, нужно его сгенерировать. По умолчанию в Windows 10 отключен процесс создания данного файла при загрузке компьютера.
Включить создание файла журнала загрузки можно двумя способами:
- Через настройки конфигурации системы. Чтобы это сделать, необходимо запустить утилиту “Конфигурация системы”. Для запуска этой утилиты нажмите на клавиатуре сочетание Win+R, чтобы открылось окошко “Выполнить”. В нем пропишите команду для запуска утилиты — msconfig.
Если на компьютере установлена одна операционная система Windows 10 (как на примере на скриншоте), тогда будет отображаться два списка элементов — диспетчер загрузки и загрузка Windows. Необходимо обратиться к загрузке Windows, у которой имеется идентификатор current. Пропишите в командной строке следующее:
Важно: Если у вас идентификатор отличный от , необходимо заменить на него часть команды, используемой выше. После выполнения этой команды необходимо перезагрузить компьютер, чтобы лог загрузки был создан в папке Windows
Безопасный режим с загрузкой сетевых драйверов
Перед разбором основной темы необходимо уточнить, что вариант загрузки драйверов присутствует не только в режиме восстановления системы, но и при ее запуске в безопасном режиме, однако относится исключительно к сетевым драйверам. Сделано это для того, чтобы вы могли получить доступ к интернету и выполнить необходимые действия в то время, как все другие службы, драйверы и сторонние компоненты будут отключены. О входе в безопасный режим в разных версиях Windows читайте в отдельных статьях на нашем сайте по следующим ссылкам.
Подробнее: Входим в «Безопасный режим» в Windows 10 / Windows 7
Работаем с журналами посредством запросов SQL
Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.
О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.
Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:
Посмотрим на результат:
Смотрим журнал Windows Firewall.
Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.
Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.
Работать будем с журналом TerminalServices-LocalSessionManagerOperational.
Данные будем получать таким запросом:
Смотрим, кто и когда подключался к нашему серверу терминалов.
Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.
В качестве примера посмотрим статистику количества писем по дням таким запросом:
Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.
Выполняем запрос и открываем получившуюся картинку…
Любуемся результатом.
Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.
Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.
Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.
Интерфейс Log Parser Studio.
Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.
Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.
В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:
/> Выборка наиболее активных ящиков.
При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.
Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.
Как включить «журнал загрузки» с помощью конфигурации системы
Чтобы зарегистрировать сведения о драйвере во время загрузки с помощью конфигурации системы, выполните следующие действия:
- В меню поиска введите конфигурация системы и нажмите на первый результат, чтобы открыть опыт.
Подсказка: вы можете также использовать сочетание клавиш Win + R на клавиатуре, чтобы открыть окно «Выполнить», ввести команду msconfig команду и нажать кнопку ОК, чтобы открыть системный конфигуратор.
- Откройте вкладку Загрузка.
- Активируйте настройку Журнал загрузки.
- Щелкните кнопку Применить и ОК.
- Перезагрузите компьютер.
Как только вы выполните эти шаги, будет создан специальный файл со списком драйверов, которые были загружены, включая те, загрузка которых не удалась.
Просмотр текстового файла ntbtlog
Чтобы найти и просмотреть ntbtlog.txt файл, используйте эти шаги:
- Откройте командное окно «Выполнить», используя сочетание клавиш Win + R.
- Введите следующий путь к файлу: C:\Windows\ntbtlog.txt
- Нажмите кнопку OK.
В текстовом файле можно просмотреть список загруженных и выгруженных драйверов, который теперь можно использовать в процессе устранения неполадок для поиска проблемного драйвера.
Если вам больше не нужен «загрузочный журнал», вы можете отключить эту функцию, используя те же инструкции, но на шаге 3, обязательно снимите флажок.
Перехват необработанных исключений
Вы не можете предвидеть и обработать все исключения, но можете логировать необработанные исключения, чтобы исследовать их позже.
Необработанное исключение возникает вне или, когда вы не включаете нужный тип исключения в . Например, если приложение обнаруживает , а ваш обрабатывает только , исключение передаётся в другие , пока не встретит нужный тип.
Если ничего не встретилось, исключение становится необработанным. Интерпретатор вызывает с тремя аргументами: класс исключения, его экземпляр и трассировка. Эта информация обычно появляется в , но если вы настроили свой лог для вывода в файл, не логируется.
Вы можете использовать стандартную библиотеку для форматирования трассировки и её включения в лог. Перепишем так, чтобы она пыталась записать количество слов в файл. Неверное число аргументов в вызовет исключение:
# lowermodule.pyimport logging.configimport tracebacklogging.config.fileConfig('logging.ini', disable_existing_loggers=False)logger = logging.getLogger(__name__)def word_count(myfile): try: # считаем слова, логируем результат. with open(myfile, 'r+') as f: file_data = f.read() words = file_data.split(" ") final_word_count = len(words) logger.info("this file has %d words", final_word_count) f.write("this file has %d words", final_word_count) return final_word_count except OSError as e: logger.error(e, exc_info=True) except: logger.error("uncaught exception: %s", traceback.format_exc()) return Falseif __name__ == '__main__': word_count('myfile.txt')
При выполнении этого кода возникнет , не обрабатываемое в . Однако оно логируется благодаря коду, включенному во второе выражение :
# исключение не обрабатывается, но логируется.2019-03-28 15:22:31,121 lowermodule - ERROR:uncaught exception: Traceback (most recent call last): File "/home/emily/logstest/lowermodule.py", line 23, in word_count f.write("this file has %d words", final_word_count)TypeError: write() takes exactly one argument (2 given)
Логирование трассировки обеспечивает критическую видимость ошибок в реальном времени. Вы можете исследовать, когда и почему они произошли.
Многострочные исключения легко читаются, но если вы объединяете свои журналы с внешним сервисом, то далее можно преобразовать их в JSON, чтобы гарантировать корректный анализ. Теперь мы покажем, как использовать для этого .
Унификация
В этом разделе мы покажем, как форматировать журналы в JSON, добавлять пользовательские атрибуты, а также централизовывать и анализировать данные.
Журналы и командная строка
До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:
Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.
Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:
Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:
Смотрим за ходом обновления Windows.
Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:
Смотрим, кто пытается пролезть на наш дедик.
При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:
Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:
Журналы системы ведутся в формате .evtx, и для работы с ними существуют отдельные командлеты. Для работы с классическими журналами («Приложение», «Система», и т.д.) используется Get-Eventlog. Этот командлет удобен, но не позволяет работать с остальными журналами приложений и служб. Для работы с любыми журналами, включая классические, существует более универсальный вариант ― Get-WinEvent. Остановимся на нем подробнее.
Для получения списка доступных системных журналов можно выполнить следующую команду:
Вывод доступных журналов и информации о них.
Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:
Последние записи в журнале System.
Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.
Для примера получим все события из журнала System с кодом события 1 и 6013.
В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:
- 0 ― всегда записывать;
- 1 ― критический;
- 2 ― ошибка;
- 3 ― предупреждение;
- 4 ― информация;
- 5 ― подробный (Verbose).
Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:. Ошибки и предупреждения журнала System
Ошибки и предупреждения журнала System.
Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.
Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:
PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.
Как сделать резервную копию установленных драйверов в Windows 10
Независимо от того, выполняете ли вы чистую установку или переустановку Windows 10, вы всегда должны устанавливать драйверы устройств, чтобы ОС могла работать с оборудованием и периферийными устройствами, подключенными к вашему компьютеру.
В принципе это больше не является проблемой, поскольку Windows 10 может автоматически обнаруживать большинство драйверов на вашем устройстве. Кроме того, вы всегда можете посетить веб-сайт поддержки производителя вашего устройства, чтобы загрузить последние версии драйверов.
В некоторых случаях Windows 10 не сможет установить определенные драйверы или производитель перестанет предлагать драйверы для определенного устройства. К счастью, в Windows 10 есть команда для резервного копирования всех драйверов, установленных на вашем компьютере. Вам не потребуется заново искать драйверы для всех устройств, которые у вас есть.
Для создания резервной копии драйверов не требуется сторонние программы или утилиты. Это очень удобно, если вы хотите сохранить драйвера поставляемые производителем оборудования для будущей установки.
Как сделать резервную копию драйверов устройства с помощью DISM
Давайте посмотрим, как это может быть сделано.
В операционной системе Windows 10, вы можете использовать инструмент DISM для управления установленными драйверами. Можно экспортировать их в папку с помощью DISM, а затем повторно установить Windows и установить драйвера из этой папки. Следуйте шаг за шагом согласно инструкции, чтобы сделать это.
- Откройте командную строку от имени Администратора.
- В командной строке, введите или скопируйте и вставьте следующую команду:
dism /online /export-driver /destination:F:\Drivers
Создайте на нужном диске папку Drivers в которую будут экспортироваться ваши драйвера
Замените «F:\Drivers» на фактический путь к папке, в которой будут храниться драйверы. Это может быть папка на отдельном разделе вашего диска или папка на внешнем диске или USB флэш-накопителе. Если вы планируете переустановить операционную систему, рекомендуется сохранить резервную копию драйвера во внешнем хранилище.
Инструмент DISM находит все драйвера в папке «C:\Windows\System32\DriverStore» в текущей операционной системе.
- При запуске DISM вы получите подобное сообщение:
Вот и все. Теперь у вас есть резервная копия драйверов, сделанных с помощью встроенного инструмента DISM! В следующий раз, когда вы повторно будете установить Windows 10, вы сможете воспользоваться созданной резервной копией для установки драйверов всех ваших устройств.
Обратите внимание, что метод резервного копирования драйверов поддерживает только файлы .inf. Драйверы, установленные с помощью Windows Installer (MSI) или другие типы пакетов драйверов (такие как EXE-файлы) не поддерживаются
Как восстановить резервную копию драйвера устройства в Windows 10
Согласно документации, вы можете восстановить драйвера после новой установки Windows 10 с помощью этой команды: DISM /online /Add-Driver /Driver:F:\DriverBackup /Recurse. Где F:\DriverBackup это диск и папка в которую вы сохранили резервные копии установленных драйверов.
Однако после переустановки Windows 10 вам, вероятно, потребуется установить только несколько драйверов, поскольку операционная система автоматически обнаружит большинство из них (даже без проверки обновлений), поэтому оставшиеся драйверы можно установить с помощью диспетчера устройств.
Чтобы восстановить драйверы вручную в Windows 10, выполните следующие действия:
-
Нажмите правой кнопкой мыши на меню «Пуск».
-
Найдите «Диспетчер устройств» и откройте его.
-
Дважды кликните категорию с устройством, для которого вы хотите установить драйвер. (Если на устройстве в настоящее время не установлен драйвер, оно будет выделено как неизвестное устройство.)
-
Кликните правой кнопкой мыши устройство и выберите параметр «Обновить драйвер».
-
Нажмите кнопку «Выполнить поиск драйверов на этом компьютере».
-
Нажмите кнопку «Обзор», найдите и откройте папку с резервной копией всех ваших драйверов.
-
Обязательно установите флажок «Включая вложенные папки».
-
Нажмите кнопку «Далее».
- Нажмите кнопку «Закрыть».
Вы можете повторить те же шаги, чтобы установить любое устройство для которого не установлен драйвер.
Хотя операционная система может сама устанавливать драйвера устройств, вы найдете это руководство особенно полезным, если Windows 10 не может обнаружить сетевой адаптер или более старые устройства которые больше не поддерживаются, но старые драйверы по-прежнему работают.
: 4,5/5 — 641
Как открыть?
Найти и открыть журнал событий достаточно просто, для этого необходимо в поиске Windows 10 ввести словосочетание «Просмотр событий» и щелкнуть по нему. Но в случае если у вас деактивировано индексирование, то это попытка не принесет результата.
И как вариант можно:
Войти в «Панель управления» и зайти в раздел «Администрирование». Здесь и будет находиться нужный нам пункт.
Вся информация будет разделена на соответствующие группы. Например, открыв журнал приложений, у вас будет возможность просмотреть все сообщения о работе программ. Абсолютно все системные происшествия, связанные с Виндовс 10, отображаются в нем.
Изначально данная служба разрабатывалась исключительно для администраторов, которые постоянно ведут мониторинг состояния серверов, выявляют ошибки и причины появления, и после чего пытаются быстро их устранить.
Не пугайтесь, если ваше устройство работает исправно, но в журнале есть предупреждения об ошибках, ведь это нормальное явление для ОС. Любые сбои, в том числе незначительные, вносятся в реестр, поэтому не стоит переживать.
Интеграция драйверов в дистрибутив Windows с помощью программы Dism++
Один из вариантов создания собственного кастомного дистрибутива Windows – интеграция в него драйверов под конкретный компьютер. Это незначительная оптимизация процесса установки в случае с последними версиями Windows и компьютерами на базе распространённой аппаратной начинки. Но если приходится часто переустанавливать систему на ПК или ноутбуке с редкими комплектующими, чтобы потом вручную не допиливать процесс установки драйверов.
Можно единожды создать установочный ISO нужной версии и разрядности Windows с внедрёнными конкретными драйверами. Это могут быть драйверы сетевых, видео-, аудиоустройств, портов USB 3.0 , принтеров и т.п. Как интегрировать в дистрибутив Windows драйверы нужного железа и периферии?
Интеграция драйверов не требует сложностей в виде установки Windows в режиме аудита с последующим захватом её в файл WIM или ESD , как это происходит при создании кастомной сборки системы с внедрёнными настройками и сторонним софтом. Драйверы внедрить можно путём переупаковки системного образа консольным средством Dism. Но проще для этих целей использовать бесплатную программу Dism++, большая часть её возможностей – это реализация функционала консольного средства Dism в графическом интерфейсе.
Эта программа же и поможет решить вопрос с самими драйверами, она умеет экспортировать их из среды установленной Windows.
Инструменты для работы с логами
Сбор, хранение и анализ логов вручную хороши, когда у вас один сервер. Когда серверный парк разрастается, а приложений и сервисов становится больше десяти, работу с логами целесообразно автоматизировать и использовать специальные системы логирования, например, Graylog, ELK, Loggy или Splunk. Некоторые из них позволяют организовать полномасштабный мониторинг, настроить алерт раннего обнаружения конкретной проблемы или установить пороговые значения показателей, коррелирующих с угрозами информационной безопасности.
Логи сетевого, инженерного оборудования, баз данных и приложений мы храним в облачном хранилище. И вам советуем. Даже когда у вас полно места на жестких дисках и стоит мощная защита на все случаи жизни. Оборудование рано или поздно, а чаще неожиданно, выходит из строя, а злоумышленники давно умеют чистить файлы логирования, так что логи в облаке — это возможность восстановить события и расследовать инцидент даже при полном отказе системы.
Хранение логов в облаке
Логирование кажется второстепенным процессом, который занимает время, но не дает видимых результатов. Однако это только кажется и только до тех пор, пока не появится реальная проблема, с которой можно разобраться только по логам. И только если они записаны, распределены по уровням, собираются и доступны для анализа.
Get System Info – альтернатива стандартному просмотрщику Windows
Не нравится просматривать журналы через стандартное приложение винды? Существуют альтернативы, которые представляют информацию в более наглядной и удобной для анализа форме. Одна из них – утилита Лаборатории Касперского Get System Info .
Get System Info отображает различные сведения об операционной системе, установленных программах, настройках сети, устройствах, драйверах и т. д. Записи журнала событий – лишь один из его показателей.
Преимущество этой утилиты перед стандартным средством Виндовс заключается в удобстве просмотра и показе всесторонних сведений о компьютере, что облегчает диагностику неполадок. А недостаток – в том, что она записывает не все, а только последние и наиболее значимые события.
Get System Info не требует установки на ПК, но для прочтения результатов ее придется загрузить на сайт-анализатор, то есть нужен доступ в Интернет.
Как пользоваться Get System Info:
Запустите утилиту с правами амина. Перед нажатием кнопки «Start» укажите папку сохранения лога (по умолчанию это рабочий стол) и отметьте флажком пункт «IncludeWindowseventlogs».
Утилита собирает сведения из журналов «Система» и «Приложения». События отображаются в хронологическом порядке, каждый уровень выделен своим цветом. Для просмотра информации о конкретной записи достаточно щелкнуть мышью по строке.
Настраиваемых представлений и фильтрации здесь нет, зато есть поиск и функция сортировки записей.
Строка поиска по журналам и выпадающий список «Показывать количество элементов» расположены над таблицей. А чтобы отсортировать данные по типу, дате и времени, источнику, категории, коду, файлу или пользователю, достаточно нажать на заголовок нужного столбца.
Сведения о событиях, которые собирает Get System Info, очень помогают найти источник неполадки в работе компьютера, если он связан с оборудованием, Windows или программным обеспечением. Если же вас интересуют данные о конкретном приложении, системном компоненте или безопасности, придется воспользоваться стандартным просмотрщиком. Тем более что вы теперь знаете, как его открывать без лишних усилий.
Cron logs
Часто хочется проверить лог запуска периодических заданий cron. В Ubuntu, как мне кажется, сделали не удобно. По умолчанию, cron logs не выделены в отдельный файл. Искать их стоит в общем системном логе syslog. Например, в Centos существует отдельный лог-файл /var/log/cron, где собрана вся информация о запущенных заданиях. Предлагаю сделать так же в Ubuntu.
Для этого открываем конфигурационный файл /etc/rsyslog.d/50-default.conf и добавляем туда следующую информацию.
cron.* /var/log/cron.log
По умолчанию, она присутствует в конфиге, но закомментирована. Вам нужно убрать # в начале строки, чтобы раскомментировать ее. Так же я рекомендую сделать так, чтобы эти логи не дублировались в общий системный лог. Для этого немного измените следующую строку.
*.*;auth,authpriv.none,cron.none -/var/log/syslog
Я добавил в нее cron.none, чтобы логи cron не писались больше в системный лог syslog. После этого перезапустите службы rsyslog и cron и проверяйте изменения.
sudo systemctl restart rsyslog sudo systemctl restart cron
Проверяем cron.log
sudo cat /var/log/cron.log
Теперь у нас все логи Cron в Ubuntu будут в отдельном файле.
Как читать журнал ntbtlog
Файл лога представляет собой список загруженных (LOADED) и незагруженных (NOT_LOADED) драйверов из каталога SystemRoot\System32\DRIVERS. Однако, как уже было сказано, незагрузившийся драйвер вовсе не означает, что это проблемный драйвер. Как раз напротив, неполадки в работе системы может вызывать как раз загрузившийся, но некорректно функционирующий драйвер, поэтому для выявления источника проблем лучше пойти путем сравнения логов Windows, загруженной в штатном и безопасном режиме.
Если в штатном режиме система работает со сбоями, а в безопасном режиме сбоев не наблюдается, из лога нужно выписать драйвера, которые при обычной загрузке системы получили статус LOADED, а при загрузке в Safe Mode получили статус NOT_LOADED.
Далее по характеру ошибки и имени драйвера стараемся определить, какие именно из загрузившихся драйверов могли стать причиной ошибок и деактивируем их (в безопасном режиме или из-под LiveCD) путем замены расширения SYS или EXE на BAK. Затем загружаем систему в обычном режиме и смотрим на ее поведение. Если Windows грузится без ошибок, проблем в работе системы не возникает, находим путем исключения проблемный драйвер и удаляем его.
Если Windows не загружается в безопасном режиме, например, падает при загрузке в BSOD, сравнивать журнал ntbtlog.tхt нерабочей системы придется с журналом рабочей Windows с другого компьютера, имеющего ту же или как минимум схожую конфигурацию и так же загруженной в безопасном режиме. Но в этом случае дифференциация проводится по другому признаку: драйвера, препятствующие загрузке системы в Safe Mode, в файле ntbtlog.tхt будут отсутствовать, тогда как в загруженной в безопасном режиме рабочей системе они будут иметь статус LOADED.
По большому счету это всё, что касается анализа лога загрузки драйверов ntbtlog
К сожалению, однозначного решения проблемы с загрузкой Windows он не дает, есть лишь намеки, поэтому внимание стоит обращать на всякого рода мелочи, например, строки, указывающие на сбой загрузки одного и того же драйвера (см. выше драйвер dxgkrnl.sys)
Может быть и такая картина: нормально загрузившийся драйвер на следующий строке лога уже имеет статус NOT_LOADED, то есть он загрузился и тут же вылетел.
Обращаем также ваше внимание на записи вида NOT_LOADED @cpu.inf,%intelppm.devicedesc%;Intel Processor, в которых присутствует указание на определенное устройство или ПО, в данном примере на интеловские драйвера. Если записей с указанием на драйвер много, стоит подумать об удалении связанного с ним программного обеспечения
Так, пользователи сообщали, что им удавалось восстановить нормальную загрузку Windows путем удаления пакета драйверов SDK for OpenCL, но в таких случаях всегда нужно быть осмотрительным, чтобы не сделать только хуже.