Вопрос или проблема
Новшеством в Windows 10 кажется является область уведомлений. Теперь я видел несколько уведомлений (в Центре уведомлений). Проблема в том, что я не понял ни одного из них (активно использую компьютеры уже 30 лет), и как только я их кликаю, они исчезают. Есть ли способ посмотреть эти прошлые пользовательские уведомления, чтобы попытаться разобраться в них?
Сокращенно: Нет, такого способа нет.
Центр уведомлений такой же, как и на телефонах Microsoft, работающих под управлением Windows 10 Mobile. Эти действия (уведомления) предназначены для отображения пользователю до тех пор, пока он не предпримет действие. Существует два способа взаимодействия пользователя с действием:
- Отклонить уведомление (очистить действие)
- Выбрать уведомление (ответить на действие)
Как только одно из этих взаимодействий происходит, уведомление и, следовательно, действие больше не отображаются. История этих уведомлений не ведется и не может быть восстановлена. Это сделано специально, так как эта история могла бы (и, скорее всего, стала бы) очень большой.
Если вас беспокоит, что уведомление имеет системные последствия, стоит заглянуть в системные журналы; здесь хранятся отдельные сообщения о системных событиях.
Обновление: Похоже, что некоторые приложения дополнительно добавляют события в обозреватель событий. Это можно сделать следующим образом:
- Открыть обозреватель событий
- Развернуть Журналы приложений и служб
- Перейти к интересующему приложению или службе, например, для Windows Defender можно перейти к:
Microsoft -> Windows -> Windows Defender -> Operationalлог. - Просмотреть журнал и найти интересующее уведомление.
Это НЕ история уведомлений, а дополнительная информация, предоставляемая приложением, и поэтому нет гарантии, что уведомление было зарегистрировано. Также требуется, чтобы пользователь знал, уведомление какого приложения он ищет.
Я нашел один способ просматривать прошлые уведомления, хотя и только очень недавние. В Windows 10 уведомления хранятся в файле \Users\<username>\AppData\Local\Microsoft\Windows\Notifications\wpndatabase.db как база данных SQLite. Например, с помощью DB Browser for SQLite можно просмотреть таблицу “Notification”, в которой столбец “Payload” содержит тексты уведомлений.
Теперь, эта база данных, похоже, не хранит историю уведомлений, и отклоненные уведомления немедленно удаляются, но есть одна хитрость: поскольку это база данных SQLite с предварительным журналированием (WAL), возможно просмотреть более раннюю версию базы данных с соответствующим уведомлением.
Например, скажем, я случайно отклонил уведомление, не успев его прочитать. В вышеупомянутом каталоге существует файл wpndatabase.db, последний раз измененный два часа назад, и файл wpndatabase.db-wal, последний раз измененный только что. Если я скопирую оба файла в другой каталог и затем открою wpndatabase.db в DB Browser for SQLite, я увижу последнюю версию базы данных, с уже удаленным уведомлением. Однако, если я скопирую только файл wpndatabase.db и открою его, я увижу снимок от двух часов назад, до того, как отклонил уведомление, так что я смогу его просмотреть.
Это самый простой сценарий. Что если я отклонил уведомление несколько часов или дней назад, раньше времени последнего изменения wpndatabase.db? Это означает, что изменения уже будут включены в файл базы данных, и уведомление более невозможно будет просмотреть. Более того, что если и появление, и отклонение уведомления произошло позже времени последнего изменения wpndatabase.db? Тогда файл wpndatabase.db сам по себе его не будет иметь, но оно все еще должно находиться в логе в wpndatabase.db-wal. Таким образом, нужно применить только первую часть лога к базе данных, до удаления. Я пока не разбирался, как это сделать или возможно ли легко сделать это просто с использованием DB Browser for SQLite, но я уверен, что это в принципе возможно, поскольку файл .db-wal это всего лишь журнал изменений.
Вы можете использовать платное приложение Notification Logger из Microsoft Store для просмотра истории прошлых уведомлений. Я автор этого приложения.
Принятый ответ мог быть правильным на тот момент, но теперь он больше неактуален. Как упомянуто в этом ответе, Windows сохраняет уведомления в базе данных SQLite. Это означает, что есть большая вероятность того, что вы можете найти связанный файл журнала предварительных записей, обычно расположенный по адресу %LOCALAPPDATA%\Microsoft\Windows\Notifications\wpndatabase.db-wal.
Если у вас есть доступ к файлу WAL, вы можете загрузить его в веб-приложение, которое может открывать файлы WAL, например https://filext.com/file-extension/SQLITE-WAL. Хотя я не рекомендую использовать этот сайт для конфиденциальных данных, это быстрый способ просмотреть содержимое. Затем вы можете выполнить поиск текста по читаемым байтам файла.
Для более продвинутого анализа рассмотрите возможность использования специализированных инструментов, таких как WAL-parser-sqlite, Forensic Toolkit for SQLite и Belkasoft X.
Ответ или решение
В Windows 10 и 11 функция уведомлений является важной частью операционной системы, предоставляющей пользователям информацию о различных событиях и действиях на их устройствах. Однако отсутствие встроенной возможности для просмотра истории прошлых уведомлений может вызывать неудобства у пользователей, особенно у тех, кто привык анализировать системные события в более детализированном формате.
Теория
Уведомления в Windows реализованы через так называемый Центр действий, который является центральной точкой для информирования пользователей о происходящих событиях. Как правило, уведомления мгновенные и требуют либо отклика со стороны пользователя, либо их отклонения. В результате этих действий уведомления исчезают без возможности просмотра истории. Это было сделано намеренно, чтобы избежать накопления большого количества данных, которые могли бы негативно сказываться на производительности системы.
Пример
Несмотря на ограничения, связанные с просмотром уведомлений, пользователи с опытом могут попытаться извлечь информацию из базы данных, в которой временно хранится информация об уведомлениях. В Windows 10 уведомления сохраняются в файле wpndatabase.db, расположенном по адресу \Users\<username>\AppData\Local\Microsoft\Windows\Notifications\. Это файл базы данных SQLite, и он сопровождается журналом изменений wpndatabase.db-wal. Используя сторонние инструменты, такие как DB Browser for SQLite, можно попытаться извлечь информацию из этих файлов до момента, когда изменения будут окончательно зафиксированы в основной базе данных.
Применение
Для продвинутых пользователей и IT-экспертов существует несколько методов для анализа данных о прошлых уведомлениях:
-
Работа с SQLite базой данных: Как уже упоминалось, уведомления временно хранятся в базе данных SQLite. С помощью инструмента DB Browser for SQLite вы можете открыть файл
wpndatabase.dbи просмотреть данные таблицы уведомлений. Однако, стоит учитывать, что база данных в оперативном состоянии и может не содержать удаленные уведомления. -
Использование Write-Ahead Logging: SQL-системы, такие как SQLite, поддерживают ведение журнала изменений, что может помочь в восстановлении данных до их окончательного удаления. Файл
wpndatabase.db-walсодержит записи изменений, и их можно анализировать для восстановления недавних уведомлений с помощью специализированных инструментов, таких как WAL-parser-sqlite. -
Просмотр системных логов: Некоторые приложения записывают свои уведомления не только в Центр действий, но и в системные логи. Вы можете открыть Event Viewer (Просмотр событий), чтобы исследовать журнал событий для определенных приложений, таких как Windows Defender. Расположение лога: Microsoft -> Windows -> Windows Defender -> Operational.
-
Использование специализированных приложений: Существуют сторонние приложения, такие как Notification Logger в Microsoft Store, которые могут помочь в хранении и анализе истории уведомлений за определенную плату. Эти инструменты предоставляют расширенные возможности для работы с уведомлениями, сохраняя их историю для дальнейшего анализа.
Заключение
Хотя Windows 10 и 11 по умолчанию не предоставляют функции истории уведомлений, существуют обходные методы, которые позволяют IT-специалистам и опытным пользователям извлекать данные о прошлых уведомлениях для анализа. Для этого могут использоваться как встроенные инструменты системы, так и сторонние приложения и утилиты. Важно помнить о безопасности данных и осознанно подходить к выбору инструментов, особенно если они обрабатывают личную или конфиденциальную информацию.