Логи ошибок печати

В Windows вы можете отслеживать использование принтеров пользователями с помощью журнала событий Windows. Все задания печати, которые отправляются на печать через Print Spooler оставляют след в логах Event Viewer. Если у вас развернут принт-сервер на Windows, вы можете использовать эти логи для организации простой системы аудита печати, которая позволяет понять кто, когда и сколько печатал на ваших принтерах.

В этой статье мы покажем, как включить и настроить логирование событий печати в Windows, как просматривать историю печати из Event Viewer, и как выполнять поиск и фильтрацию событий печати с помощью PowerShell

Включить ведение логов печати в Windows

В Windows есть отдельный журнал Event Viewer, в который должны записываться все события печати
SystemRoot%System32WinevtLogsMicrosoft-Windows-PrintService%4Operational.evt
. Но по умолчанию это журнал отключен. Чтобы включить сохранение логов печати в журнал:

1. Откройте консоль Event Viewer (
   eventvwr.msc
   );
2. Перейдите в раздел Applications and Services Logs -> Microsoft -> Windows -> PrintService;
3. Щелкните правой кнопкой по журналу Operations и выберите Enable Log;
4. Если данный хост используется как сервер печати, и вы хотите хранить логи печати за большой промежуток времени, нужно увеличить размер этого журнала событий (по умолчанию 1Мб). Откройте свойства журнала Operational и укажите максимальный размера журнала.

Если вы хотите, чтобы в журнале событий отображалось имя файла, который был отправлен на печать, нужно включить специальный параметр GPO.

1. Откройте редактор локальной GPO (
   gpedit.msc
   );
2. Перейдите в раздел Computer Configuration -> Administrative Templates -> Printers;
3. Включите параметр Allow job name in event logs;
4. Обновите настройки политик с помощью команды
   gpupdate /force

После жэтого информация о всех событиях печати будет сохраняться в этот журнал.

Просмотр логов печати в Windows с помощью Event Viewer

Теперь вы можете получить подробную информацию о всех событиях печати, которые выполнялись на этом компьютере.

Откройте Event Viewer и перейдите в раздел Applications and Services Logs -> Microsoft -> Windows -> PrintService -> Operational. Наибольший интерес тут представляет собой событие с Event ID 307:
Printing a document

Откройте описание события:

Document 12, Microsoft Word - winitpro.docx owned by kbuldogov on \DESKTOP-HOME607 was printed on HP LaserJet M1530 MFP Series PCL 6 through port USB001. Size in bytes: 32780. Pages printed: 1. No user action is required.

В описании события указано:

• Из какого приложения и какой файл был напечатан: Microsoft Word — winitpro.docx
• Имя пользователя, отправившего документ на печать: kbuldogov
• Имя принтера: HP LaserJet M1530 MFP Series PCL 6
• Количество страниц в документе: Pages printed: 1
• Размер документа: size in bytes

Таким образом, вы получите инструмент ведения и просмотра истории печати в Windows.

Анализ логов печати с помощью PowerShell

Журнал событий Event Viewer не позволяет получить удобную статистику истории печати в Windows или выполнять поиск по дате/пользователю/документу. Для обработки и фильтрации событий печати можно использовать PowerShell скрипты.

Для получения событий из журнала PrintService/Operational мы будем использовать PowerShell комнадлет Get-WinEvent.

Следующий PowerShell скрипт выведет список всех документов, которые были напечатаны на этом компьютере за последние сутки (скрипт выбирает значения из атрибутов события с EventID 307):

$all2dayprint=Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-PrintService/Operational"; ID=307; StartTime=(Get-Date).AddDays(-1)} | Select-object -Property TimeCreated, @{label='UserName';expression={$_.properties[2].value}}, @{label='Document';expression={$_.properties[1].value}}, @{label='PrinterName';expression={$_.properties[4].value}}, @{label='PrintSizeKb';expression={$_.properties[6].value/1024}}, @{label='Pages';expression={$_.properties[7].value}}
$all2dayprint|ft

Если вы хотите вывести только документы, которые распечатал определенный пользователь, используйте такой скрипт:

$PrintUsername='kbuldogov'
$all2dayprint| Where-Object -Property UserName -like $PrintUsername|ft

Можно выгрузить список напечатанных документов в CSV файл с помощью Export-CSV:

$all2dayprint | Export-Csv -Path "c:psPrint Audit.csv" –NoTypeInformation -Encoding UTF8

Или представить его в виде графической формы Out-GridView:

$all2dayprint| Out-GridView -Title "Все события печати"

Можно запланировать этот PowerShell скрипт на ежедневный запуск и писать информацию об использовании принтеров во внешнюю базу данных.

Почти все приложения, предназначенные для работы с текстовым и графическим контентом, имеют встроенную функцию вывода данных на печать. Некоторые из них даже оснащены дополнительной функцией сохранения истории печати в лог, но таких мало, большинство программ «забывают» о проделанной работе. И даже сама Windows держит в памяти только те задания печати, которые поставлены в очередь.

А теперь представьте, что вам нужно получить данные распечатки, сделанной неделю назад в какой-то софтине. Можно ли сделать так, чтобы система фиксировала все операции вывода на печать? Да, такая возможность имеется. В Windows есть функция «Журнал печати», но по умолчанию она отключена.

Чтобы ее включить, откройте командой eventvwr.msc штатную оснастку «Журнал событий» и перейдите в левой колонке к следующей настройке:

Журналы приложений и служб -> Microsoft Windows -> PrintService

В последнем подразделе вы увидите две опции — Администратор и Работает. Кликните по второй правой кнопкой мыши, выберите в контекстном меню «Свойства».

И отметьте в открывшемся окошке галочкой настройку «Включить ведение журнала».

Остальные настройки оставляем без изменений, можно только увеличить размер журнала.

Сохраните настройки и закройте оснастку.

Отныне Windows станет сохранять данные о выводе на печать во всех приложениях в виде событий раздела журнала PrintService.

Примечание: в журнале печати не предусмотрена функция сохранения самого выводимого на печать контента, в лог записываются лишь метаданные.

Регистрироваться будут все принтеры, не только физические, но и виртуальные — встроенные и сторонние. Если вы распечатаете или сохраните текст или изображение в PDF, Windows запишет параметры операции в лог, предоставив сведения о пользователе, дате и времени, размере в байтах, количестве страниц и пути к файлу. Каждому документу служба присваивает порядковый номер и код события, чтобы пользователь мог отсортировать операции. Например, код 307 означает, что документ был успешно распечатан, а код 800 будет указывать на постановку задания в очередь.

Sergey_mur, Про удаление принтеров: после удаления принтеров в принт-сервере остаются не используемые драйвера, когда снова ставите тот же принтер, то, обычно подхватываются уже существующие в системе драйвера со всеми своими глюками.
Для удаления драйверов из принт-сервера нужно зайти в свойства сервера печати (В Win10 Параметры->Устройства->Устройства и принтеры->Выделяете любой принтер->сверху появляется кнопка «Свойства сервера печати». В других версиях винды доступ к свойствам сервера печати немного по другому, но в целом все так же.) После удаления драйверов и перезагрузки можно ставить заново. Обычно перезагрузка не требуется, но бывают разной кривости драйвера, которые удаляются только после перезагрузки.

По умолчанию в операционной системе Windows все файлы, которые отправляются на печать, сразу исчезают с очереди после выполнения задания. Чтобы такого не происходило и в любой момент можно было посмотреть список распечатанных документов на принтере, надо включить ведение журнала или сохранение этих самых документов.

Задача несложная и справиться с ней сможет любой пользователь компьютера.

В зависимости от версии Windows, сохранение истории включается по-разному. Можно воспользоваться как встроенным набором функций Windows, так и копнуть чуть глубже, посмотреть историю через события системы.

Иногда история может отображаться в интерфейсе меню аппарата, если он оснащен функциональным дисплеем. Узнать о такой возможности можно в инструкции по эксплуатации, в поддержке производителя или магазине, где приобреталась техника.

В версии XP откройте меню «Пуск», запустите программу «Выполнить». В открывшееся окно впишите команду «printui /s». Проследите, чтобы в команде не было никаких пробелов перед и после.

Откроется сервер печати. Перейдите на вкладку «Дополнительные параметры» и активируйте опцию «Вести журнал сообщений очереди печати».

В зависимости от модели принтера и ОС, этой настройки может не быть. В таком случае помогут только сторонние программы.

После активации функции, в системной папке «С:WINDOWSsystem32spoolPRINTERS» будут созданы два файла с расширениями SHD и SPL, в которых и будет храниться история документов, поданных на печать.

Открывать файлы можно программой SplViewer.

Файлы присутствуют всегда в рабочей папке. Даже при выключенном журнале. Каждая печать сопровождается созданием и последующим удалением файлов (после того, как печать закончена).

Кстати, если вдруг у вас зависает очередь печати, то всегда можно зайти в эту папку и удалить данные файлы. Тогда очередь очистится и можно дать задание на распечатывание заново.

Windows 10

Историю печати можно включить через окно очереди. Перейдите в окно «Принтеры и сканеры» через меню «Параметры-Устройства».

Выберите подключенный принтер. Далее нажмите на «Открыть очередь». В новом окне кликните на пункт «Принтер», затем «Свойства».

На вкладке «Дополнительно» возле пункта «Сохранять документы после печати» поставьте галочку. Сохраните изменения.

Теперь, когда печать закончится, окно очереди не очистится. Последние документы будут отображаться до тех пор, пока окно не переполнится. Если нужно хранить много данных, то надо активировать журнал через «Просмотр событий».

Включение долгосрочной истории

Кликните на «Пуск» правой кнопкой мыши. Выберите «Просмотр событий».

Если в «Пуске» по каким-либо причинам нет такого пункта, зайти в него всегда получится через панель управления.

Далее раскройте дерево до директории «PrintService», как показано на скриншотах ниже.

В папке есть два файла: «Администратор» и «Работает». Нажмите на последний, откройте свойства через контекстное меню.

Активируйте «Включить ведение журнала».

Можете задать максимальный размер журнала, при достижении которого он будет либо чистится полностью, либо архивироваться. Или же по мере поступления новых заданий на принтер, старые файлы в истории будут замещаться новыми.

Начать записывать журнал можно также нажатием ПКМ в проводнике на файл «Работает» и выбором соответствующего пункта. Если историю надо отключить, сделайте аналогичные действия.

Чтобы просмотреть все задачи, связанные с принтером, кликните на ярлык «Работает». В центральном окне будет полная история, а в колонке «Категория», будет написано, какие действия производились с файлом.

Если надо посмотреть только то, что печаталось на принтере, в правой колонке откройте фильтр и пропишите код «307».

Программы

Иногда определенным причинам не получается посмотреть историю печати, или надо более подробные сведения о работе печатающей техники. Тогда можно воспользоваться специально предназначенным программным обеспечением.

Например, PaperCut Print Logger может показать вам, кто печатал, когда, сколько листов и копий было отпечатано, время запуска операции.

Есть и другие программы, каждый установит себе то, что больше подходит под конкретные нужды.

1. O&K Print Watch. Формирует вариативные и подробные отчеты в соответствии с заданными критериями. Доступен просмотр информации по конкретному принтеру в локальной сети, списка и количества документов, другое. Доступна выгрузка итоговых отчетов в файлы форматов XML/HTML. Стандартные настройки выставлены так, что при формировании отчета данные берутся за последние 1 тыс. записей. Изменить значение можно в пункте меню «Очтет-Параметры»
2. Print Manager Plus. Программа отлично поддерживает любых производителей принтеров.
3. Pcounter. Софт предназначен для промышленного контроля. Применяется в больших офисах, где организована корпоративная сеть.
4. Printer Activity Monitor. Программа не только будет показывать вам нужные данные, но и контролировать работу персонала в офисе, на предприятии. Так можно ограничить или полностью предупредить использование техники работниками в своих личных целях.

На рынке представлены и другие программы. Если вам необходимо не только отслеживать историю, но и следить за расходными материалами, запрещать печать, то поищите подобный софт в интернете.