事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,对安全维护人员维护系统有一定的借鉴和参考。
1.事件查看器
事件查看器是 Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查看器:
(1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口
(2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。
(3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。
2.事件查看器中记录的日志类型
在事件查看器中一共记录三种类型的日志,即:
(1)应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
(2)安全性日志
记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
(3)系统日志
包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS) 服务器 ,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。
在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件:
(1)错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。
(2)警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。
(3) 信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。
(4)成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。
(5)失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。
【编辑推荐】
windowsxp。开机蓝屏怎么办。。
1、是由于硬盘模式的问题,硬盘传输模式一般有2种,AHCI和IDE。 原版的XP安装光盘中没有集成SATA控制器驱动,所以首先需要在BIOS中将硬盘模式改到IDE2、开机按F2进入BIOS(不同笔记本可能略有不同),在SATA MODE中选择IDE,按F10保存重启。 3、如果需要用AHCI模式,则进入XP后,去网上下载主板对应的AHCI驱动,安装一下,就可以了。
电脑中的事件查看器是系统自带的吗
事件查看器是Windows内置的一个查看某些系统错误的小程序,打开方式可以在“开始”--“运行”里输入“eventvwr”回车,也可以右击“我的电脑-管理-系统工具-事件查看器”方式打开,事件查看器主要集成在Windows NT为内核的操作系统中,事件查看器可以完成许多工作,比如审核系统事件和存放系统、安全及应用程序日志等。
要怎么删除开机记录??
Windows系统的事件查看器是Windows 2000/XP中提供的一个系统安全监视工具。 在事件查看器中,可以通过使用事件日志,收集有关硬件、软件、系统问题方面的信息,并监视Windows系统安全。 它不但可以查看系统运行日志文件,而且还可以查看事件类型,使用事件日志来解决系统故障。 在启动 Windows 2000系统的同时,事件日志服务会自动启动,所有用户都可以查看应用程序日志和系统日志,但只有管理员才能访问安全日志。 如何找到事件查看器?点击“开始→设置→控制面板”,点击“管理工具”。 然后双击“事件查看器”。 现在,你就可以看到事件查看器的界面了(图1)。 图1(点击放大)事件查看器都记录什么信息?事件查看器根据来源将日志记录事件分为应用程序日志(Application)、安全日志(Security)和系统日志(System)。 在左侧的类选择对话框中分别单击相应的日志即可打开进入浏览。 应用程序日志包含由应用程序或一般程序记录的事件,主要记载程序运行方面的信息。 安全日志可以记录有效和无效的登录尝试等安全事件以及与资源使用有关的事件,比如创建、打开或删除文件,启动时某个驱动程序加载失败。 同时,管理员还可以指定在安全日志中记录的事件,比如如果启用了登录审核,那么系统登录尝试就记录在安全日志中。 系统日志包含由Windows系统组件记录的事件。 比如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。 另外,事件查看器还按照类型将记录的事件划分为错误、警告和信息三种基本类型。 错误:重要的问题,如数据丢失或功能丧失。 例如在启动期间系统服务加载失败、磁盘检测错误等,这时系统就会自动记录错误。 这种情况下必须要检查系统。 警告:不是非常重要但将来可能出现问题的事件,比如磁盘剩余空间较小,或者未找到安装打印机等都会记录一个警告。 这种情况下应该检查问题所在。 信息:用于描述应用程序、驱动程序或服务成功操作的事件,比如加载网络驱动程序、成功地建立了一个网络连接等。 有用的和有趣的就如同我们是一名要破案的警察一样,现在的资料只有一个日记本。 那么,如何在这个日记本里找到线索或者提示呢?事件查看器就是系统的一本“日记”,不过系统的这本“日记”中的每一篇都有编号,我们就去找一些最重要的来看吧。 在事件查看器界面中,点击“查看→筛选”,可以选择并根据“事件类型”、“事件ID”等进行筛选,快速找到自己想要的信息(如图2)。 图号和6005号:当你正关闭计算机的时候,在事件查看器里ID号为6006的事件,这个事件的意思是:事件日志服务已停止(图3)。 图3这意味着什么?很简单,如果你没有在当天的事件查看器中发现这个6006号事件,那么就表示计算机没有正常关机,可能是因为系统原因(例如蓝屏)或者直接按了电源键而没有执行正常的“开始”菜单中的“关机”程序。 要知道,从Windows 95时代开始,我们就了解不正常关机可能会导致系统故障。 当你启动系统的时候,事件查看器又记录了什么呢?这就是ID号为6005的事件。 这个事件表明:事件日志服务已启动(图4)。 图4下面让我们看一些错误类型的事件吧,看看我们能找出什么来。 1007号,DHCP错误:这个错误一般出现在安装了双网卡的系统中。 我们假定安装了两个网卡,其中一个用于局域网,另外一个连接到ADSL的调制解调器上。 这时候,用于局域网的网卡使用的是一个静态的IP地址,而用于ADSL连接的网卡则是“自动获得IP地址”。 这个错误指出,在网络中系统无法找到DHCP服务器,因此使用了一个内部的自动IP地址。 由于安装了双网卡,这种情况也不会影响使用,因此这个错误信息可以不予考虑。 但是,如果在使用了DHCP服务器的单位的电脑上出现这个错误,那你就需要仔细检查检查了。 通过检查事件查看器里面的错误记录,可以确定自己的计算机是否被攻击。 如果在某个时段出现比较多的警告信息。 那么,你可要小心对待了。 以上是从事件查看器里找故障,那么,如何根据故障在事件查看器里查找相应的信息呢?STOP故障 从理论上讲,纯32位的Windows 2000是不会出现死机的,但是由于病毒或硬件以及硬件驱动程序不匹配等原因也会造成Windows 2000的崩溃,当Windows 2000出现死机时,显示器屏幕将变为蓝色,然后出现STOP故障提示信息。 这就是我们常说的STOP故障。 如果Windows 2000可以启动,可以打开“事件查看器”查看系统日志,确定导致故障的设备或驱动程序。 如果不能启动计算机,可以使用“安全模式”或“最后一次正确的配置”启动计算机,然后删除或禁用新安装的附加程序或驱动程序。 如果用“安全模式”启动不了计算机,可使用故障恢复控制台,禁用一些服务或者重新命名设备驱动程序、检修引导扇区或主引导记录等。 如果想详细了解故障恢复控制台,可以参考2002年《电脑爱好者》第19期的《抓住末日前一秒:Windows的故障恢复控制台》一文。 然后拆下新安装的硬件设备,检查Microsoft兼容硬件列表(HCL),确保所有的硬件和驱动程序都与Windows系统兼容,其中在Windows 2000安装光盘的\Support文件夹中。 另外,还可以访问微软官方技术支持站点,在搜索中输入STOP故障代码,比如出现的STOP消息为“stop:0xA”,那么即可输入“stop0xA”,按下回车键即可查出所出现的STOP问题的解决办法。 如图5所示。 图5(点击放大)事件查看器的维护与管理修改日志文件存放路径Windows系统日志默认情况下被保存在Windows系统文件夹中,有的时候,如果你打算修改日志文件存放路径,可以通过修改注册表的方法。 (1)修改系统日志存放路径打开注册表编辑器,展开如下分支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\System,然后双击右侧窗口中的File键值,打开字符串编辑器,系统默认的存放路径是%SystemRoot%\System32\Config\,这时可以根据自己的需要设定新的存放路径,如图6所示。 图6(2)修改应用程序日志存放路径打开注册表编辑器,展开如下分支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Application,双击并修改右侧窗口中的File键值即可,方法与前面介绍的相同。 (3)修改安全日志存放路径打开注册表编辑器,展开如下分支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Security,双击并修改右侧窗口中的File键值。 完成修改后,重新启动计算机即可使修改生效。 管理事件查看器我们现在可以修改日志文件的保存路径了,那么是否可以对日志文件根据自己的需要进行相应的管理呢?(1)改变日志文件大小在事件查看器中,用鼠标右键单击“应用程序日志”,在弹出的快捷菜单中,选择“属性”命令,打开“应用程序日志”属性对话框,在“常规”选项卡的“最大日志文件大小”文本框中可指定新的日志文件大小。 如果要使新设置生效,还需要单击“清除日志”命令按钮。 如果要保留日志中的当前信息,当询问清除之前是否保存原始日志时,单击“是”按钮即可。 (2)清除所有事件日志在控制台树中,首先单击要清除的日志,比如“应用程序日志”,然后在“操作”菜单上,单击“清除所有事件”命令,此时系统会提示是否保存当前日志,单击“是”按钮即可清除,否则将永远丢失当前事件记录,并开始记录新的事件。 (3)保存日志文件在控制台树中,单击要存档的日志,比如“应用程序日志”,然后在“操作”菜单上,单击“另存日志文件”命令,在打开的对话框中输入文件名称,在“保存类型”中选择文件保存格式,并单击“保存”按钮。 (4)删除与修复损坏的日志文件如果发现日志文件已经损坏,系统将经常出现故障和错误提示,可以首先将其删除,重新启动计算机后即可恢复。 对于采用NTFS分区格式的系统,如果要删除日志文件,需要首先关闭事件检查器服务才行。 在控制面板中双击“管理工具”图标,在打开的管理工具中,双击“服务”图标,在服务中选择“EventLog”服务,用鼠标右键单击此服务,在弹出的快捷菜单中选择“属性”命令,弹出“服务属性”对话框,在“启动类型”中设置其为“已禁用”选项,并单击“确定”按钮完成,如图7所示。 重新启动计算机,然后将文件夹“%SystemRoot%\System32\Config”中的*文件删除。 完成后,再次启动事件检查器服务,并重新启动计算机即可恢复损坏的事件检查器文件了。 对于使用FAT分区的文件系统,可以使用DOS启动盘启动计算机,然后将“%SystemRoot%\System32\Config”目录下的文件直接删除即可。 图7删除日志文件,并重新启动计算机后,系统将自动恢复日志文件,从而保证系统的正常运行。 使用事件查看器
发表评论