分享
 
 
 

事件查看器你用好了吗?

王朝other·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

如果你已经用上了Windows XP,那么是否意识到不管你是否愿意,操作系统每天都在后台默默无闻地记录下所有的一举一动,相当于忠实的史官“铁笔写春秋”,这就是可以在“控制面板→管理工具”中找到的“事件查看器”,通过它可以了解系统的喜怒哀乐和一言一行,虽然都是一些流水账,但我们既可以从中品尝到成功的喜悦,也可以找到失败的原因,实在是一个忠实的系统助手。

事件查看器能看些什么

事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows XP的安全事件,下面笔者简单介绍:

提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。

1. 应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

2. 安全性日志

记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

3. 系统日志

包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件:6006,如果你在某一天的事件查看器中没有发现ID为6006的事件,那么说明计算机在当天未正常关机,双击打开“事件属性”窗口,如果看到手描述为“事件日志服务已停止”,说明这里的“时间”是指计算机正常关机的时间。

如果机子被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。

小日志包含大信息

朋友们可千万别轻视这些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔细分析,肯定可以在这里找到很多有用的信息,这样会有助于你解决系统错误。

1. 信息:描述了应用程序、驱动程序或服务的成功操作的事件,例如当网络驱动程序加载成功时,将会记录一个“信息”事件,图1所示的是趋势科技防毒精灵专业版被成功删除的事件,从这里可以看到事件头包括日期、时间、用户、计算机机、事件ID、来源、类型、类别等信息,在“描述”列表框中则列出了相应的说明和查看更多信息的链接地址,从这个链接地可以指向Microsoft的“统一资源定位器”(URL)地址。

图1大部分情况下,这一类的事件内容没有必要去逐项查看,除非你有某些特别的需要。

2. 成功审核:成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件(见图2)。

图23. 失败审核:失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

4. 警告:虽然不是很重要,但是将来有可能导致问题的事件,这种情况下应该检查问题所在。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

5. 错误:重要的问题,例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来,这种情况下有必要检查系统。例如,图3所示的错误事件是服务器没有在限定的时间内用DCOM注册,点击描述中的链接会自动转到相应的帮助页面,根据提示进行相应的操作即可,如果你有兴趣的话,可以好好研究这里的内容,相信假以时日,你会成为一个DIYer的。

图3 定期释放多余的日志

事实上,大部分时间记录下来的系统事件,都是一些流水账,随着时间的增加,系统日志的个头也会不断膨胀,当达到事先设置的日志大小后,会停止记录新的事件,因此我们需要定期释放多余的日志。

选中需要清除的日志,然后从“操作”菜单中选择“清除所有事件”,此时会弹出图4所示的对话框询问是需要将当前日志保存下来,选择“是”会在清除之前将日志保存下来,选择“否”将永久丢弃当前事件记录,并开始记录新的事件。假如你觉得如果操作太繁琐的话,可以在活动日志的“属性”对话框中,选择“不改写事件(手动清除日志)”,如图5所示,可以看到默认设置的“最大日志文件大小”只有512KB,我们可以根据实际情况重新设置这个值,以后当日志达到一定的大小或出现提示日志已满的信息时,系统会自动清除日志;或者选择“按需要改写事件”,这样可以确保在日志写满时也能够将所有的新事件写入日志,当然如此一来的话,新日志会自动覆盖旧日志。

图4
图5不过,需要说明的,用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除或改写事件日志。或者,你也可以进入\WINDOWS\ SYSTEM32\config\文件夹,其中以*.evt作为扩展名的文件就是所谓的日志文件,AppEvent.evt即“应用程序”日志,SysEvent.evt即“系统”日志,SecEvent.evt即“安全性”日志,直接在这里删除相应的文件就可以了,不过如果你使用的是NTFS格式的系统,在删除日志文件之前必须首先关闭事件检查器服务才行。

除了使用“事件查看器”管理事件日志外,我们也可以使用命令行工具来创建和查询事件日志,以及使程序与特殊的日志事件关联,例如“Eventcreate.exe”可创建自定义的事件日志,“Eventquery.vbs”可从一个或多个事件日志中列出事件和事件属性,“Eventtriggers.exe”可创建事件触发器,这样当特定事件日志发生时将自动执行相应的程序,从而弥补了事件查看器无法实时跟踪可疑事件的不足,感兴趣的朋友们不妨试试。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有