9.1 Просмотр событий
Журнал событий Windows содержит информацию о работе системы, приложений и безопасности.
Основные журналы
# Просмотр доступных журналов
Get-WinEvent -ListLog *
# Просмотр событий из журнала System
Get-WinEvent -LogName System -MaxEvents 10
# Просмотр событий из журнала Application
Get-WinEvent -LogName Application -MaxEvents 10
Фильтрация событий
# События за последний час
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=(Get-Date).AddHours(-1)}
# Ошибки и предупреждения
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2,3} -MaxEvents 20
# События конкретного источника
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kernel-General'}
Анализ событий
# Группировка событий по источнику
Get-WinEvent -LogName System -MaxEvents 100 | Group-Object ProviderName | Sort-Object Count -Descending
# Поиск критических ошибок
Get-WinEvent -FilterHashtable @{LogName='System'; Level=1} -MaxEvents 10
9.2 Мониторинг производительности
Мониторинг производительности помогает выявить узкие места в работе системы.
Счетчики производительности
# Просмотр доступных счетчиков
Get-Counter -ListSet *
# Мониторинг использования процессора
Get-Counter "\Processor(_Total)\% Processor Time"
# Мониторинг использования памяти
Get-Counter "\Memory\Available MBytes"
Мониторинг в реальном времени
# Мониторинг в течение 10 секунд
Get-Counter "\Processor(_Total)\% Processor Time" -SampleInterval 1 -MaxSamples 10
# Мониторинг нескольких счетчиков
Get-Counter @("\Processor(_Total)\% Processor Time", "\Memory\Available MBytes") -SampleInterval 2 -MaxSamples 5
Анализ процессов
# Процессы, использующие больше всего CPU
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10
# Процессы, использующие больше всего памяти
Get-Process | Sort-Object WorkingSet -Descending | Select-Object -First 10
9.3 Восстановление системы
Восстановление системы позволяет вернуть Windows к предыдущему рабочему состоянию.
Точки восстановления
# Просмотр точек восстановления
Get-ComputerRestorePoint
# Создание точки восстановления
Checkpoint-Computer -Description "Ручная точка восстановления" -RestorePointType "MODIFY_SETTINGS"
# Восстановление системы
Restore-Computer -RestorePoint 1 -Confirm
Диагностика загрузки
# Восстановление загрузочных файлов
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd
# Проверка целостности системных файлов
sfc /scannow
# Восстановление образа системы
dism /online /cleanup-image /restorehealth
Безопасный режим
Безопасный режим: Для входа в безопасный режим перезагрузите компьютер и нажмите F8 во время загрузки, или используйте msconfig для настройки загрузки в безопасном режиме.
9.4 Продвинутые инструменты диагностики
Продвинутые инструменты диагностики предоставляют детальную информацию о состоянии системы.
System File Checker (SFC)
# Проверка системных файлов
sfc /scannow
# Проверка конкретного файла
sfc /verifyfile=C:\Windows\System32\kernel32.dll
# Просмотр результатов проверки
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log
DISM (Deployment Image Servicing and Management)
# Проверка здоровья образа
dism /online /cleanup-image /checkhealth
# Восстановление образа
dism /online /cleanup-image /restorehealth
# Сканирование источника для восстановления
dism /online /cleanup-image /scanhealth
Memory Diagnostic
# Запуск диагностики памяти
mdsched.exe
# Планирование диагностики при следующей перезагрузке
mdsched.exe /t
Performance Toolkit
# Создание отчета о производительности
perfmon /report
# Мониторинг в реальном времени
perfmon