Начиная с Windows 8.1, в системе появилась стандартная программа для получения копий системных журналов — WSCollect.exe. Основное предназначение данной утилиты – собрать максимум информации для служб технической поддержки с целью решения проблем, возникших в системе. Программа рассчитана на пользователя низкой квалификации и максимально проста в использовании.

Порядок использования WSCollect:

  • Запустить командную строку с повышенными привилегиями (Запуск от имени Администратора) и ввести команду — WSCollect
  • Дождаться завершения работы программы и проверить наличие упакованного файла с результатами в формате .CAB на рабочем столе.
  • Полученный файл, содержащий копии основных журналов системы можно отправить службе технической поддержки по электронной почте или использовать его для самостоятельного анализа.

Имя упакованного CAB-файла создается по шаблону, включающему в себя дату и время его создания, например:

StoreLogs_2018-01-15_16-27-22 — хранилище журналов, созданное 15 января 2018 года в 16 часов 27 минут и 22 секунды.

Содержимое CAB-файла зависит от версии Windows. В случае Windows 8.1, оно включает в себя стандартные журналы событий Windows (файлы с расширением .evtx и log), а в случае Windows 10 — еще и журналы обновлений и сохраненные журналы трассировки событий (файлы с расширением .etl). Для просмотра содержимого журналов в формате .etl и .evtx можно использовать стандартное средство просмотра событий Windows ( eventvwr.msc), а для просмотра текстовых журналов (с расширением .log) — любой текстовый редактор.