在事件查看器中使用事件日志,您可收集到关于硬件、软件和系统问题的信息,并可监视 Windows 2000 的安全事件。
Windows 2000 以三种日志方式记录事件:
■ 应用程序日志
应用程序日志包含由应用程序或系统程序记录的事件。例如,数据库程序可在应用日志中记录文件错误。程序开发员决定记录哪一个事件。
■ 系统日志
系统日志包含 Windows 2000 的系统组件记录的事件。例如,在启动过程将加载的驱动程序或其他系统组件的失败记录在系统日志中。Windows 2000 预先确定由系统组件记录的事件类型。
■ 安全日志
安全日志可以记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录什么事件。例如,如果您已启用登录审核,登录系统的尝试将记录在安全日志里。
事件查看器显示这些事件的类型:
■ 错误
重要的问题,如数据丢失或功能丧失。例如,如果在启动过程中某个服务加载失败,这个错误将会被记录下来。
■ 警告
并不是非常重要,但有可能说明将来的潜在问题的事件。例如,当磁盘空间不足时,将会记录警告。
■ 信息
描述了应用程序、驱动程序或服务的成功操作的事件。例如,当网络驱动程序加载成功时,将会记录一个信息事件。
■ 成功审核
成功的审核安全访问尝试。例如,用户试图登录系统成功会被作为成功审核事件记录下来。
■ 失败审核
失败的审核安全登录尝试。例如,如果用户试图访问网络驱动器并失败了,则该尝试将会作为失败审核事件记录下来。
启动 Windows 2000 时,EventLog 服务会自动启动。所有用户都可以查看应用程序和系统日志。只有管理员才能访问安全日志。
在默认情况下,安全日志是关闭的。可以使用组策略来启用安全日志。管理员也可在注册表中设置审核策略,以便当安全日志满出时使系统停止响应。