事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视
Windows 的安全事件
提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”对话框中
手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。
1. 应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序
日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么
我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
2. 安全性日志
记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其
他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员
可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响
应。
3. 系统日志
包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系
统日志中,默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件:6006,
如果你在某一天的事件查看器中没有发现ID为6006的事件,那么说明计算机在当天未正常关机,双击打开
“事件属性”窗口,如果看到手描述为“事件日志服务已停止”,说明这里的“时间”是指计算机正常关
机的时间。
如果机子被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系
统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自
动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。
小日志包含大信息
朋友们可千万别轻视这些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔细分析,肯定可
以在这里找到很多有用的信息,这样会有助于你解决系统错误。
1.信息:描述了应用程序、驱动程序或服务的成功操作的事件,例如当网络驱动程序加载成功时,将会
记录一个“信息”事件,图1所示的是趋势科技防毒精灵专业版被成功删除的事件,从这里可以看到事件
头包括日期、时间、用户、计算机机、事件ID、来源、类型、类别等信息,在“描述”列表框中则列出了
相应的说明和查看更多信息的链接地址,从这个链接地可以指向Microsoft的“统一资源定位器”(URL)地
址。大部分情况下,这一类的事件内容没有必要去逐项查看,除非你有某些特别的需要。
2. 成功审核:成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问
、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系
统都会被记录为“成功审核”事件
3. 失败审核:失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审
核事件记录下来。
4. 警告:虽然不是很重要,但是将来有可能导致问题的事件,这种情况下应该检查问题所在。例如,当
磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
5.错误:重要的问题,例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来,这种情况下有
必要检查系统。例如,图3所示的错误事件是服务器没有在限定的时间内用DCOM注册,点击描述中的链接
会自动转到相应的帮助页面,根据提示进行相应的操作即可,如果你有兴趣的话,可以好好研究这里的内
容,相信假以时日,你会成为一个DIYer的。
定期释放多余的日志
事实上,大部分时间记录下来的系统事件,都是一些流水账,随着时间的增加,系统日志的个头也会不断
膨胀,当达到事先设置的日志大小后,会停止记录新的事件,因此我们需要定期释放多余的日志。
选中需要清除的日志,然后从“操作”菜单中选择“清除所有事件”,此时会弹出图4所示的对话框询问
是需要将当前日志保存下来,选择“是”会在清除之前将日志保存下来,选择“否”将永久丢弃当前事件
记录,并开始记录新的事件。假如你觉得如果操作太繁琐的话,可以在活动日志的“属性”对话框中,选
择“不改写事件 (手动清除日志)”,可以看到默认设置的“最大日志文件大小”只有512KB
,我们可以根据实际情况重新设置这个值,以后当日志达到一定的大小或出现提示日志已满的信息时,系
统会自动清除日志;或者选择“按需要改写事件”,这样可以确保在日志写满时也能够将所有的新事件写
入日志,当然如此一来的话,新日志会自动覆盖旧日志。
不过,需要说明的,用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除
或改写事件日志。或者,你也可以进入\WINDOWS\ SYSTEM32\config\文件夹,其中以*.evt作为扩展名的
文件就是所谓的日志文件,AppEvent.evt即“应用程序”日志,SysEvent.evt即“系统”日志,
SecEvent.evt即“安全性”日志,直接在这里删除相应的文件就可以了,不过如果你使用的是 NTFS格式
的系统,在删除日志文件之前必须首先关闭事件检查器服务才行。
除了使用“事件查看器”管理事件日志外,我们也可以使用命令行工具来创建和查询事件日志,以及使程
序与特殊的日志事件关联,例如“Eventcreate.exe”可创建自定义的事件日志,“Eventquery.vbs”可
从一个或多个事件日志中列出事件和事件属性,“Eventtriggers.exe”可创建事件触发器,这样当特定
事件日志发生时将自动执行相应的程序,从而弥补了事件查看器无法实时跟踪可疑事件的不足,感兴趣的
朋友们不妨试试
由于最近需要查找SQL SERVER的问题,所以需要使用到windows 事件查看器。其中有些代码含义需要弄清楚,所以从网上收集了一些。以作记录:
ID | 类型 | 来 源 | 代 表 的 意 义 举 例 解 释 |
2 | 信息 | Serial | 在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式(fifo)。将使用该方式。 |
17 | 错误 | W32Time | 时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751) |
20 | 警告 | | 已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e |
26 | 信息 | Application Popup | 弹出应用程序: Rsaupd.exe - 无法找到组件: 没有找到 MFC71.DLL,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。 |
29 | 错误 | W32Time | 时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间,但是,没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。NtpClient 没有准确时间的时间源。 |
35 | 信息 | W32Time | 时间服务现在用时间源 time.windows.com (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步 系统时间。 |
115 | 信息 | SRService | 系统还原监视在所有驱动器上启用。 |
116 | 信息 | SRService | 系统还原监视在所有驱动器上禁用。 |
1001 | 信息 | Save Dump | 计算机已经从检测错误后重新启动。检测错误: 0x4a4b4d53 (0xc000000e, 0x01d04bf0, 0x00000010, 0x0000029a)。 已将转储的数据保存在: C:\WINDOWS\Minidump\Mini052809-01.dmp。 |
1005 | 警告 | Dhcp | 您的计算机检测到网络地址为 00E04C47978D 的网卡的 IP 地址 192.168.1.100 已在网络上使用。 计算机会自动获取另一个地址。 |
3260 | 信息 | Workstation | 此计算机成功加入到 workgroup 'WORKGROUP'。 |
4202 | 信息 | Tcpip | 系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开, 而且网卡的网络配置已经释放。如果 网卡没有断开,这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。 |
4226 | 警告 | Tcpip | TCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。 |
4377 | 信息 | NtServicePack | Windows XP Hotfix KB873339 was installed. |
6005 | 信息 | EventLog | 事件日志服务已启动。(开机) |
6006 | 信息 | EventLog | 事件日志服务已停止。(关机) |
6009 | 信息 | EventLog | 按ctrl、alt、delete键(非正常)关机 |
6011 | 信息 | EventLog | 此机器的 NetBIOS 名称和 DNS 主机名从MACHINENAME 更改为 AA。 |
7000 | 错误 | Service Control Manager | 由于下列错误,npkcrypt 服务启动失败: |
7031 | 错误 | Service Control Manager | Eset Service 服务意外地终止,这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行:重新启动服务。 |
7035 | 信息 | Service Control Manager | xxx服务成功发送一个开始控件。 |
7036 | 信息 | Service Control Manager | xxx服务处于运行或停止等状态。 |
8033 | 信息 | BROWSER | 由于主浏览器已经停止,浏览器在\Device\NetBT_Tcpip_{163DE7AB-92AE-499F-8340-B6358A4597CE} 网络上进行强制性的选举。 |
10000 | 错误 | DCOM | 无法启动 DCOM 服务器: {80EE4902-33A8-11D1-A213-0080C88593A5}。 错误: |
15007 | 信息 | HTTP | 成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。 |
60054 | 信息 | Setup | 安装程序成功地完成了安装 Windows 内部版本2600。 |
64002 | 信息 | Windows File Protection | 试图在被保护的系统文件c:\windows\system32\quartz.dll 上进行文件替换。 为了维护系统稳定,这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497。 |
64008 | 警告 | Windows File Protection | 无法验证受保护的c:\windows\system32\quartz.dll 系统文件,原因是 Windows 文件保护中断。 请过一会儿使用SFC 工具验证该文件的完整性。 |