用好XP系統事件查看器:
如果你已經用上了Windows XP,那麼是否意識到不管你是否願意,操作系統每天都在後台默默無聞地記錄下所有的一舉一動,相當於忠實的史官“鐵筆寫春秋”,這就是可以在“控制面板→管理工具”中找到的“事件查看器”,通過它可以了解系統的喜怒哀樂和一言一行,雖然都是一些流水賬,但我們既可以從中品嘗到成功的喜悅,也可以找到失敗的原因,實在是一個忠實的系統助手。
事件查看器能看些什麼?
事件查看器相當於一本厚厚的系統日志,可以查看關於硬件、軟件和系統問題的信息,也可以監視Windows XP的安全事件,下面筆者簡單介紹:
提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的蹤影外,也可以在“運行”對話框中手工鍵入“%SystemRoot%\system32\eventvwr.msc /s”打開事件查看器窗口。
1. 應用程序日志
包含由應用程序或系統程序記錄的事件,主要記錄程序運行方面的事件,例如數據庫程序可以在應用程序日志中記錄文件錯誤,程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況,那麼我們可以從程序事件日志中找到相應的記錄,也許會有助於你解決問題。
2. 安全性日志
記錄了諸如有效和無效的登錄嘗試等事件,以及與資源使用相關的事件,例如創建、打開或刪除文件或其他對象,系統管理員可以指定在安全性日志中記錄什麼事件。默認設置下,安全性日志是關閉的,管理員可以使用組策略來啟動安全性日志,或者在注冊表中設置審核策略,以便當安全性日志滿後使系統停止響應。
3. 系統日志
包含Windows XP的系統組件記錄的事件,例如在啟動過程中加載驅動程序或其他系統組件失敗將記錄在系統日志中,默認情況下Windows會將系統事件記錄到系統日志之中。這裡有一個非常重要的事件:6006,如果你在某一天的事件查看器中沒有發現ID為6006的事件,那麼說明計算機在當天未正常關機,雙擊打開“事件屬性”窗口,如果看到手描述為“事件日志服務已停止”,說明這裡的“時間”是指計算機正常關機的時間。
如果機子被配置為域控制器,那麼還將包括目錄服務日志、文件復制服務日志;如果機子被配置為域名系統(DNS)服務器,那麼還將記錄DNS服務器日志。當啟動Windows時,“事件日志”服務(EventLog)會自動啟動,所有用戶都可以查看應用程序和系統日志,但只有管理員才能訪問安全性日志。
小日志包含大信息
朋友們可千萬別輕視這些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔細分析,肯定可以在這裡找到很多有用的信息,這樣會有助於你解決系統錯誤。
1. 信息:描述了應用程序、驅動程序或服務的成功操作的事件,例如當網絡驅動程序加載成功時,將會記錄一個“信息”事件。從這裡可以看到事件頭包括日期、時間、用戶、計算機機、事件ID、來源、類型、類別等信息,在“描述”列表框中則列出了相應的說明和查看更多信息的鏈接地址,從這個鏈接地可以指向Microsoft的“統一資源定位器”(URL)地址。
大部分情況下,這一類的事件內容沒有必要去逐項查看,除非你有某些特別的需要。
2. 成功審核:成功的審核安全訪問嘗試,主要是指安全性日志,這裡記錄著用戶登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件,例如所有的成功登錄系統都會被記錄為“成功審核”事件。
3. 失敗審核:失敗的審核安全登錄嘗試,例如用戶試圖訪問網絡驅動器失敗,則該嘗試會被作為失敗審核事件記錄下來。
4. 警告:雖然不是很重要,但是將來有可能導致問題的事件,這種情況下應該檢查問題所在。例如,當磁盤空間不足或未找到打印機時,都會記錄一個“警告”事件。
5. 錯誤:重要的問題,例如數據丟失或功能喪失都會以“錯誤”事件的形式被記錄下來,這種情況下有必要檢查系統。錯誤事件是服務器沒有在限定的時間內用DCOM注冊,點擊描述中的鏈接會自動轉到相應的幫助頁面,根據提示進行相應的操作即可,如果你有興趣的話,可以好好研究這裡的內容,相信假以時日,你會成為一個DIYer的。
定期釋放多余的日志
事實上,大部分時間記錄下來的系統事件,都是一些流水賬,隨著時間的增加,系統日志的個頭也會不斷膨脹,當達到事先設置的日志大小後,會停止記錄新的事件,因此我們需要定期釋放多余的日志。
選中需要清除的日志,然後從“操作”菜單中選擇“清除所有事件”,此時會彈出對話框詢問是需要將當前日志保存下來,選擇“是”會在清除之前將日志保存下來,選擇“否”將永久丟棄當前事件記錄,並開始記錄新的事件。假如你覺得如果操作太繁瑣的話,可以在活動日志的“屬性”對話框中,選擇“不改寫事件(手動清除日志)”,例如默認設置的“最大日志文件大小”只有512KB,我們可以根據實際情況重新設置這個值,以後當日志達到一定的大小或出現提示日志已滿的信息時,系統會自動清除日志;或者選擇“按需要改寫事件”,這樣可以確保在日志寫滿時也能夠將所有的新事件寫入日志,當然如此一來的話,新日志會自動覆蓋舊日志。
不過,需要說明的,用戶需要以管理員或Administrators組成員的身份登錄系統才能擁有足夠的權限清除或改寫事件日志。或者,你也可以進入\WINDOWS\ SYSTEM32\config\文件夾,其中以*.evt作為擴展名的文件就是所謂的日志文件,AppEvent.evt即“應用程序”日志,SysEvent.evt即“系統”日志,SecEvent.evt即“安全性”日志,直接在這裡刪除相應的文件就可以了,不過如果你使用的是NTFS格式的系統,在刪除日志文件之前必須首先關閉事件檢查器服務才行。
除了使用“事件查看器”管理事件日志外,我們也可以使用命令行工具來創建和查詢事件日志,以及使程序與特殊的日志事件關聯,例如“Eventcreate.exe”可創建自定義的事件日志,“Eventquery.vbs”可從一個或多個事件日志中列出事件和事件屬性,“Eventtriggers.exe”可創建事件觸發器,這樣當特定事件日志發生時將自動執行相應的程序,從而彌補了事件查看器無法實時跟蹤可疑事件的不足,感興趣的朋友們不妨試試。
2. 成功審核:成功的審核安全訪問嘗試,主要是指安全性日志,這裡記錄著用戶登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件,例如所有的成功登錄系統都會被記錄為“成功審核”事件。
3. 失敗審核:失敗的審核安全登錄嘗試,例如用戶試圖訪問網絡驅動器失敗,則該嘗試會被作為失敗審核事件記錄下來。
4. 警告:雖然不是很重要,但是將來有可能導致問題的事件,這種情況下應該檢查問題所在。例如,當磁盤空間不足或未找到打印機時,都會記錄一個“警告”事件。
5. 錯誤:重要的問題,例如數據丟失或功能喪失都會以“錯誤”事件的形式被記錄下來,這種情況下有必要檢查系統。錯誤事件是服務器沒有在限定的時間內用DCOM注冊,點擊描述中的鏈接會自動轉到相應的幫助頁面,根據提示進行相應的操作即可,如果你有興趣的話,可以好好研究這裡的內容,相信假以時日,你會成為一個DIYer的。
定期釋放多余的日志
事實上,大部分時間記錄下來的系統事件,都是一些流水賬,隨著時間的增加,系統日志的個頭也會不斷膨脹,當達到事先設置的日志大小後,會停止記錄新的事件,因此我們需要定期釋放多余的日志。
選中需要清除的日志,然後從“操作”菜單中選擇“清除所有事件”,此時會彈出對話框詢問是需要將當前日志保存下來,選擇“是”會在清除之前將日志保存下來,選擇“否”將永久丟棄當前事件記錄,並開始記錄新的事件。假如你覺得如果操作太繁瑣的話,可以在活動日志的“屬性”對話框中,選擇“不改寫事件(手動清除日志)”,例如默認設置的“最大日志文件大小”只有512KB,我們可以根據實際情況重新設置這個值,以後當日志達到一定的大小或出現提示日志已滿的信息時,系統會自動清除日志;或者選擇“按需要改寫事件”,這樣可以確保在日志寫滿時也能夠將所有的新事件寫入日志,當然如此一來的話,新日志會自動覆蓋舊日志。
不過,需要說明的,用戶需要以管理員或Administrators組成員的身份登錄系統才能擁有足夠的權限清除或改寫事件日志。或者,你也可以進入\WINDOWS\ SYSTEM32\config\文件夾,其中以*.evt作為擴展名的文件就是所謂的日志文件,AppEvent.evt即“應用程序”日志,SysEvent.evt即“系統”日志,SecEvent.evt即“安全性”日志,直接在這裡刪除相應的文件就可以了,不過如果你使用的是NTFS格式的系統,在刪除日志文件之前必須首先關閉事件檢查器服務才行。
除了使用“事件查看器”管理事件日志外,我們也可以使用命令行工具來創建和查詢事件日志,以及使程序與特殊的日志事件關聯,例如“Eventcreate.exe”可創建自定義的事件日志,“Eventquery.vbs”可從一個或多個事件日志中列出事件和事件屬性,“Eventtriggers.exe”可創建事件觸發器,這樣當特定事件日志發生時將自動執行相應的程序,從而彌補了事件查看器無法實時跟蹤可疑事件的不足,感興趣的朋友們不妨試試。