事件查看器使用分析
如果你已經用上了Windows XP,那么是否意識到不管你是否愿意,操作系統每天都在后臺默默無聞地記錄下所有的一舉一動,相當于忠實的史官“鐵筆寫春秋”,這就是可以在“控制面板→管理工具”中找到的“事件查看器”,通過它可以了解系統的喜怒哀樂和一言一行,雖然都是一些流水賬,但我們既可以從中品嘗到成功的喜悅,也可以找到失敗的原因,實在是一個忠實的系統助手。
???? 事件查看器能看些什么
???? 事件查看器相當于一本厚厚的系統日志,可以查看關于硬件、軟件和系統問題的信息,也可以監視Windows XP的安全事件,下面筆者簡單介紹:
???? 提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的蹤影外,也可以在“運行”對話框中手工鍵入“%SystemRoot%\system32\eventvwr.msc /s”打開事件查看器窗口。
???? 1. 應用程序日志
???? 包含由應用程序或系統程序記錄的事件,主要記錄程序運行方面的事件,例如數據庫程序可以在應用程序日志中記錄文件錯誤,程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況,那么我們可以從程序事件日志中找到相應的記錄,也許會有助于你解決問題。
???? 2. 安全性日志
???? 記錄了諸如有效和無效的登錄嘗試等事件,以及與資源使用相關的事件,例如創建、打開或刪除文件或其他對象,系統管理員可以指定在安全性日志中記錄什么事件。默認設置下,安全性日志是關閉的,管理員可以使用組策略來啟動安全性日志,或者在注冊表中設置審核策略,以便當安全性日志滿后使系統停止響應。
???? 3. 系統日志
???? 包含Windows XP的系統組件記錄的事件,例如在啟動過程中加載驅動程序或其他系統組件失敗將記錄在系統日志中,默認情況下Windows會將系統事件記錄到系統日志之中。這里有一個非常重要的事件:6006,如果你在某一天的事件查看器中沒有發現ID為6006的事件,那么說明計算機在當天未正常關機,雙擊打開“事件屬性”窗口,如果看到手描述為“事件日志服務已停止”,說明這里的“時間”是指計算機正常關機的時間。
???? 如果機子被配置為域控制器,那么還將包括目錄服務日志、文件復制服務日志;如果機子被配置為域名系統(DNS)服務器,那么還將記錄DNS服務器日志。當啟動Windows時,“事件日志”服務(EventLog)會自動啟動,所有用戶都可以查看應用程序和系統日志,但只有管理員才能訪問安全性日志
???? 小日志包含大信息
???? 朋友們可千萬別輕視這些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔細分析,肯定可以在這里找到很多有用的信息,這樣會有助于你解決系統錯誤。
???? 1. 信息:描述了應用程序、驅動程序或服務的成功操作的事件,例如當網絡驅動程序加載成功時,將會記錄一個“信息”事件,圖1所示的是趨勢科技防毒精靈專業版被成功刪除的事件,從這里可以看到事件頭包括日期、時間、用戶、計算機機、事件ID、來源、類型、類別等信息,在“描述”列表框中則列出了相應的說明和查看更多信息的鏈接地址,從這個鏈接地可以指向Microsoft的“統一資源定位器”(URL)地址。
???? 大部分情況下,這一類的事件內容沒有必要去逐項查看,除非你有某些特別的需要。
???? 2. 成功審核:成功的審核安全訪問嘗試,主要是指安全性日志,這里記錄著用戶登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件,例如所有的成功登錄系統都會被記錄為“成功審核”事件(見圖2)。
???? 3. 失敗審核:失敗的審核安全登錄嘗試,例如用戶試圖訪問網絡驅動器失敗,則該嘗試會被作為失敗審核事件記錄下來。
???? 4. 警告:雖然不是很重要,但是將來有可能導致問題的事件,這種情況下應該檢查問題所在。例如,當磁盤空間不足或未找到打印機時,都會記錄一個“警告”事件。
???? 5. 錯誤:重要的問題,例如數據丟失或功能喪失都會以“錯誤”事件的形式被記錄下來,這種情況下有必要檢查系統。例如,圖3所示的錯誤事件是服務器沒有在限定的時間內用DCOM注冊,點擊描述中的鏈接會自動轉到相應的幫助頁面,根據提示進行相應的操作即可,如果你有興趣的話,可以好好研究這里的內容,相信假以時日,你會成為一個DIYer的。
???? 定期釋放多余的日志
???? 事實上,大部分時間記錄下來的系統事件,都是一些流水賬,隨著時間的增加,系統日志的個頭也會不斷膨脹,當達到事先設置的日志大小后,會停止記錄新的事件,因此我們需要定期釋放多余的日志。
???? 選中需要清除的日志,然后從“操作”菜單中選擇“清除所有事件”,此時會彈出圖4所示的對話框詢問是需要將當前日志保存下來,選擇“是”會在清除之前將日志保存下來,選擇“否”將永久丟棄當前事件記錄,并開始記錄新的事件。假如你覺得如果操作太繁瑣的話,可以在活動日志的“屬性”對話框中,選擇“不改寫事件(手動清除日志)”,如圖5所示,可以看到默認設置的“最大日志文件大小”只有512KB,我們可以根據實際情況重新設置這個值,以后當日志達到一定的大小或出現提示日志已滿的信息時,系統會自動清除日志;或者選擇“按需要改寫事件”,這樣可以確保在日志寫滿時也能夠將所有的新事件寫入日志,當然如此一來的話,新日志會自動覆蓋舊日志。
???? 事件查看器能看些什么
???? 事件查看器相當于一本厚厚的系統日志,可以查看關于硬件、軟件和系統問題的信息,也可以監視Windows XP的安全事件,下面筆者簡單介紹:
???? 提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的蹤影外,也可以在“運行”對話框中手工鍵入“%SystemRoot%\system32\eventvwr.msc /s”打開事件查看器窗口。
???? 1. 應用程序日志
???? 包含由應用程序或系統程序記錄的事件,主要記錄程序運行方面的事件,例如數據庫程序可以在應用程序日志中記錄文件錯誤,程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況,那么我們可以從程序事件日志中找到相應的記錄,也許會有助于你解決問題。
???? 2. 安全性日志
???? 記錄了諸如有效和無效的登錄嘗試等事件,以及與資源使用相關的事件,例如創建、打開或刪除文件或其他對象,系統管理員可以指定在安全性日志中記錄什么事件。默認設置下,安全性日志是關閉的,管理員可以使用組策略來啟動安全性日志,或者在注冊表中設置審核策略,以便當安全性日志滿后使系統停止響應。
???? 3. 系統日志
???? 包含Windows XP的系統組件記錄的事件,例如在啟動過程中加載驅動程序或其他系統組件失敗將記錄在系統日志中,默認情況下Windows會將系統事件記錄到系統日志之中。這里有一個非常重要的事件:6006,如果你在某一天的事件查看器中沒有發現ID為6006的事件,那么說明計算機在當天未正常關機,雙擊打開“事件屬性”窗口,如果看到手描述為“事件日志服務已停止”,說明這里的“時間”是指計算機正常關機的時間。
???? 如果機子被配置為域控制器,那么還將包括目錄服務日志、文件復制服務日志;如果機子被配置為域名系統(DNS)服務器,那么還將記錄DNS服務器日志。當啟動Windows時,“事件日志”服務(EventLog)會自動啟動,所有用戶都可以查看應用程序和系統日志,但只有管理員才能訪問安全性日志
???? 小日志包含大信息
???? 朋友們可千萬別輕視這些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔細分析,肯定可以在這里找到很多有用的信息,這樣會有助于你解決系統錯誤。
???? 1. 信息:描述了應用程序、驅動程序或服務的成功操作的事件,例如當網絡驅動程序加載成功時,將會記錄一個“信息”事件,圖1所示的是趨勢科技防毒精靈專業版被成功刪除的事件,從這里可以看到事件頭包括日期、時間、用戶、計算機機、事件ID、來源、類型、類別等信息,在“描述”列表框中則列出了相應的說明和查看更多信息的鏈接地址,從這個鏈接地可以指向Microsoft的“統一資源定位器”(URL)地址。
???? 大部分情況下,這一類的事件內容沒有必要去逐項查看,除非你有某些特別的需要。
???? 2. 成功審核:成功的審核安全訪問嘗試,主要是指安全性日志,這里記錄著用戶登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件,例如所有的成功登錄系統都會被記錄為“成功審核”事件(見圖2)。
???? 3. 失敗審核:失敗的審核安全登錄嘗試,例如用戶試圖訪問網絡驅動器失敗,則該嘗試會被作為失敗審核事件記錄下來。
???? 4. 警告:雖然不是很重要,但是將來有可能導致問題的事件,這種情況下應該檢查問題所在。例如,當磁盤空間不足或未找到打印機時,都會記錄一個“警告”事件。
???? 5. 錯誤:重要的問題,例如數據丟失或功能喪失都會以“錯誤”事件的形式被記錄下來,這種情況下有必要檢查系統。例如,圖3所示的錯誤事件是服務器沒有在限定的時間內用DCOM注冊,點擊描述中的鏈接會自動轉到相應的幫助頁面,根據提示進行相應的操作即可,如果你有興趣的話,可以好好研究這里的內容,相信假以時日,你會成為一個DIYer的。
???? 定期釋放多余的日志
???? 事實上,大部分時間記錄下來的系統事件,都是一些流水賬,隨著時間的增加,系統日志的個頭也會不斷膨脹,當達到事先設置的日志大小后,會停止記錄新的事件,因此我們需要定期釋放多余的日志。
???? 選中需要清除的日志,然后從“操作”菜單中選擇“清除所有事件”,此時會彈出圖4所示的對話框詢問是需要將當前日志保存下來,選擇“是”會在清除之前將日志保存下來,選擇“否”將永久丟棄當前事件記錄,并開始記錄新的事件。假如你覺得如果操作太繁瑣的話,可以在活動日志的“屬性”對話框中,選擇“不改寫事件(手動清除日志)”,如圖5所示,可以看到默認設置的“最大日志文件大小”只有512KB,我們可以根據實際情況重新設置這個值,以后當日志達到一定的大小或出現提示日志已滿的信息時,系統會自動清除日志;或者選擇“按需要改寫事件”,這樣可以確保在日志寫滿時也能夠將所有的新事件寫入日志,當然如此一來的話,新日志會自動覆蓋舊日志。
總結
- 上一篇: 【亲测】服务器事件查看器打不开报错,mm
- 下一篇: 计算机组装与维护补考论文,计算机组装与维