虽然事件查看器是 Microsoft Windows 操作系统工具而不是 Microsoft Exchange Server 工具,但在排查 Exchange Server 问题时事件查看器非常有用。本文介绍了事件查看器的基本概念和有用的新功能。
%26#8226;
定义
%26#8226;
概述
%26#8226;
事件查看器中的日志类型
%26#8226;
所记录事件的类型
%26#8226;
事件分析
%26#8226;
使用什么保存格式?
%26#8226;
如何知道它已成功打开?
%26#8226;
Windows Server 2003、Windows XP、Windows 2000 Server 和 Windows NT Server 4.0 所附带事件查看器之间的差异
%26#8226;
提示
%26#8226;
增加日志文件的大小
%26#8226;
事件筛选
%26#8226;
搜索关键字
%26#8226;
在 Windows XP 上使用新功能
%26#8226;
获取可能需要的所有日志
%26#8226;
更多信息
定义本文使用如下术语和定义:
%26#8226;
事件:发生在系统或应用程序中、需要通知用户或在日志文件中记录的任何重要事情。
%26#8226;
事件日志服务:在系统、安全和应用程序日志中记录事件的服务。
%26#8226;
事件日志记录:在发生特定事件(例如服务的启动和停止、用户的登录和注销以及资源访问)时,在审核跟踪中记录审核条目的过程。
%26#8226;
事件查看器:用来查看和管理事件日志,收集软硬件问题信息和监视安全性事件的组件。事件查看器维护有关程序、安全性和系统事件的日志文件。
概述通过在事件查看器中使用事件日志,可以收集有关硬件、软件和系统问题的信息,并且能够监视 Windows 操作系统的安全性事件。
事件查看器中的日志类型Microsoft Windows Server 2003、Windows XP、Windows 2000 Server 和 Windows NT 会在三种类型的日志中记录事件:
%26#8226;
应用程序日志:应用程序日志包含应用程序或程序记录的事件。例如,数据库程序可能会在应用程序日志中记录文件错误。由程序开发人员决定记录哪些事件。
%26#8226;
系统日志:系统日志包含由 Windows 操作系统组件记录的事件。例如,驱动程序或其他系统组件在启动过程中的加载故障会记录在系统日志中。由系统组件记录的事件类型是由 Windows 操作系统预先定义的。
%26#8226;
安全性日志:安全性日志可以记录安全事件,诸如有效和无效的登录尝试,以及与资源使用相关的事件,例如创建、打开或删除文件。管理员可指定在安全性日志中记录哪些事件。例如,如果您启用了登录审核,系统的登录尝试会被记录在安全性日志中。
运行 Windows Server 2003 和 Windows 2000 Server 并且充当域控制器的服务器可能会在事件查看器中记录以下附加项目:
%26#8226;
目录服务日志:Windows Server 2003 和 Windows 2000 Server 目录服务在目录服务日志中记录事件。这包括任何有关 Active Directory 目录服务和 Active Directory 数据库维护的信息。
%26#8226;
文件复制服务日志:文件复制服务 (FRS) 在此日志中记录其事件。该服务用于文件(例如域策略)在域控制器间的复制。
%26#8226;
DNS Server 服务日志:本日志记录了与运行在 Windows Server 2003 和 Windows 2000 Server 上的域名系统 (DNS) Server 服务有关的事件。此日志仅在运行 Windows Server 2003 和 Windows 2000 Server 的 DNS 服务器上显示。
所记录事件的类型事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件:
%26#8226;
错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。
%26#8226;
警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。
%26#8226;
信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。
%26#8226;
成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。
%26#8226;
失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。
事件分析主要的事件组件包括:
%26#8226;
来源:记录该事件的软件,可以是应用程序名称(例如 Microsoft SQL Server),也可以是系统或大型应用程序的组件(例如,作为 Microsoft Exchange 信息存储服务的 MSExchangeIS)。
%26#8226;
类别:根据事件来源对事件进行的分类。例如,安全性类别包括了:登录和注销、策略更改、权限使用、系统事件、对象访问、详情跟踪和帐户管理。
%26#8226;
事件 ID:用于标识事件的每个来源的唯一编号。
%26#8226;
用户:在事件发生时处于登录状态并执行工作的用户的用户名。N/A 表明该条目没有指定某个用户。
%26#8226;
计算机:发生事件的计算机的计算机名。
%26#8226;
描述:此字段包含事件的实际文本,以及记录该事件的应用程序对所发生事件的解释。
%26#8226;
数据:显示事件生成的二进制数据,使用 16 进制格式(字节)或 DWORDS(文本)格式。并不是所有事件都生成二进制数据。熟悉源程序的程序员和支持人员可以理解此信息。
使用什么保存格式?通常,您希望只使用“事件日志”(.evt) 格式。这时最容易阅读和搜索的格式,因为可以使用服务器上的事件查看器打开它。
如果您想查看计算机上没有安装的服务产生的事件,例如群集服务或第三方服务,可以将日志保存为 .csv 格式。.csv 文件可以在 Microsoft Office Excel 中打开。
您最不希望的保存格式是 .txt 文件格式。文本文件是可搜索的,但是其中包含的信息十分混乱,因此非常容易漏掉重要事件。请仅在必要时才使用 .txt 格式。
如何知道它已成功打开?%26#8226;
下面是一个没有正确显示信息的事件示例。
事件类型:信息
事件来源:MSExchangeIS Private
事件类别:(30)
事件 ID:2003
日期:8/16/2001
时间:1:47:02 PM
用户:N/A
计算机:SERVERNAME
描述:The description for Event ID ( 2003 ) in Source ( MSExchangeIS Private ) cannot be found.The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer.The following information is part of the event:
%26#8226;
下面是正确显示的同一个事件。
事件类型:信息
事件来源:MSExchangeIS Private
事件类别:Transport Sending
事件 ID:2003
日期:8/16/2001
时间:1:47:02 PM
用户:N/A
计算机:SERVERNAME
描述:There are no messages ready to send.The send thread is sleeping.
第一个事件示例中的事件指出,在计算机上打开它时没有运行 Exchange Server。第二个示例是同一个事件日志条目,指出在计算机上打开它时 Exchange Server 正在运行。
如果您希望打开事件日志并正确查看事件描述,必须在安装了这些应用程序或服务的计算机上打开日志。如果需要显示其他计算机上的第三方应用程序所发生事件的事件日志,可能需要将日志保存为 .csv 格式来 查看这些事件的内容。
您总是无法正确查看一些事件,例如第三方服务、硬件驱动程序、音频可视化软件以及备份软件,但是如果您在 Exchange 服务器上打开了日志,您至少可以看到应该出现的 Exchange Server 事件。
Windows Server 2003、Windows XP、Windows 2000 Server 和 Windows NT Server 4.0 所附带事件查看器之间的差异在事件查看器中,如果按下复制按钮,事件中记录的整个文本都将被复制到剪贴板。然后,可将此信息粘贴到需要它的任何地方。
在 Windows Server 2003 和 Windows XP 中,在打开日志时,可以指示事件查看器查找其他计算机上的注册表项。例如,在运行 Windows XP Professional 的计算机上,可为加载事件查看器创建附加快捷方式。每个快捷方式都指向其他计算机,一个指向 Exchange Server v5.5,另一个指向 Exchange 2000 Server,而第三个则指向群集服务,所以您可以在工作站计算机上打开关联的事件日志。
您可以打开在 Windows Server 2003、Windows 2000 Server 和 Windows NT Server 4.0 上创建的事件日志。在几乎所有情况下,所有事件都会正确出现。但在有时,Windows NT Server 4.0 事件在显示时,有些地方会与 Windows Server 2003 或 Windows 2000 Server 完全不同。更多相关信息,请参见微软知识库文章 312216,“事件查看器 /AUXSOURCE 开关选项的详细用法”
提示以下章节提供了有助于排查 Exchange Server 问题的信息。
增加日志文件的大小默认情况下,日志文件的大小为 512 (KB),如果希望查看数天内的操作情况,这个容量是不够的。在繁忙的应用程序服务器上,在经过几次诊断日志记录之后,512 KB 的容量在几个小时之内便会被填满。请考虑增加日志文件的大小。大多数情况下,10 MB 或更高的日志文件大小足够您存放数天的历史信息。事件日志压缩。90 MB 的应用程序日志压缩为 2 MB 的情况十分普通。
事件筛选如果您想在日志中搜索某个特定的事件 ID,或者希望仅仅查看错误、警告或某个特定组件记录的事件,那么可以使用筛选。在 Windows NT Server 4.0 上,请单击视图,然后单击筛选事件。在 Windows Server 2003 或 Windows 2000 Server 上,请选择要筛选的日志,然后单击视图,接着单击筛选。在查看大型事件日志时,这时一个有用的功能。
搜索关键字请考虑这样的情况:您想在特定事件日志中搜索涉及某个特定用户或服务器的所有事件。在事件查看器中,单击视图,然后单击查找。在输入要在任何事件的描述字段中查找的关键字,也可以搜索诸如事件 ID 或来源这样的特定信息。
在 Windows XP 上使用新功能如前所述,在 Windows Server 2003 和 Windows XP 中有一个新功能。您可以将事件查看器重新定向为查找其他计算机上的注册表设置和 DLL。
这是一个省时的有用功能。它允许您从运行 Windows XP 的计算机上查看任何应用程序类型的事件日志,这些应用程序可能安装在环境中的任何服务器上。更多相关信息,请参见微软知识库文章 312216,“事件查看器 /AUXSOURCE 开关选项的详细用法”
获取可能需要的所有日志大多数情况下,在排查 Exchange Server 故障时您应检查应用程序日志。但是,对于 Exchange Server 2003 和 Exchange 2000 Server,您还应该总是检查系统日志,因为 Exchange、Active Directory 和 DNS 之间存在紧密联系。请考虑同时获取这两个日志。检查这两个日志可能会发现 Windows 操作系统级别的错误,这些错误解释了 Exchange Server 的行为。
更多信息更多相关信息,请参见微软知识库文章 294893,“查看保存的 FRS、DNS 和目录服务日志以及 Windows XP 非域控制器上的日志”