windows系統日志解讀

你好

10年積累的成都做網站、網站設計經驗，可以快速應對客戶對網站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網絡服務。我雖然不認識你，你也不認識我。但先網站設計后付款的網站建設流程，更有沙河口免費網站建設讓你可以放心的選擇與我們合作。

1/5分步閱讀

一、什么是日志文件

日志文件是Windows系統中一個比較特殊的文件，它記錄著Windows系統中所發生的一切，如各種系統服務的啟動、運行、關閉等信息。 Windows日志包括應用程序、安全、系統等幾個部分，它的存放路徑是“%systemroot%system32config”，應用程序日志、安全日志和系統日志對應的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些文件受到“Event Log（事件記錄）”服務的保護不能被刪除，但可以被清空。

2/5

二、如何查看日志文件在Windows系統中查看日志文件很簡單。點擊“開始設置控制面板管理工具事件查看器”，在事件查看器窗口左欄中列出本機包含的日志類型，如應用程序、安全、系統等。查看某個日志記錄也很簡單，在左欄中選中某個類型的日志，如應用程序，接著在右欄中列出該類型日志的所有記錄，雙擊其中某個記錄，彈出“事件屬性”對話框，顯示出該記錄的詳細信息，這樣我們就能準確的掌握系統中到底發生了什么事情，是否影響Windows的正常運行，一旦出現問題，即時查找排除。

3/5

三、Windows日志文件的保護

日志文件對我們如此重要，因此不能忽視對它的保護，防止發生某些“不法之徒”將日志文件清洗一空的情況。

1． 修改日志文件存放目錄

Windows日志文件默認路徑是“%systemroot%system32config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強對日志的保護。點擊“開始運行”，在對話框中輸入“Regedit”，回車后彈出注冊表編輯器，依次展開 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的 Application、Security、System幾個子項分別對應應用程序日志、安全日志、系統日志。筆者以應用程序日志為例，將其轉移到“d:\cce”目錄下。選中Application子項,在右欄中找到File鍵，其鍵值為應用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”，將它修改為“d:cceAppEvent.Evt”。接著在D 盤新建“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統，完成應用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項下操作。

4/5

2． 設置文件訪問權限

修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權限，防止這種事情發生，前提是Windows系統要采用NTFS文件系統格式。

右鍵點擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標簽頁后，首先取消“允許將來自父系的可繼承權限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取”權限；然后點擊“添加”按鈕，將“System”賬號添加到賬號列表框中，賦予除“完全控制”和“修改”以外的所有權限，最后點擊“確定”按鈕。這樣當用戶清除Windows日志時，就會彈出錯誤對話框。

5/5

四、Windows日志實例分析

在Windows日志中記錄了很多操作事件，為了方便用戶對它們的管理，每種類型的事件都賦予了一個惟一的編號，這就是事件ID。

1． 查看正常開關機記錄

在Windows系統中，我們可以通過事件查看器的系統日志查看計算機的開、關機記錄，這是因為日志服務會隨計算機一起啟動或關閉，并在日志中留下記錄。這里我們要介紹兩個事件ID“6006和6005”。6005表示事件日志服務已啟動，如果在事件查看器中發現某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統。6006表示事件日志服務已停止，如果沒有在事件查看器中發現某日的事件ID號為6006的事件，就表示計算機在這天沒有正常關機，可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。2． 查看DHCP配置警告信息

在規模較大的網絡中，一般都是采用DHCP服務器配置客戶端IP地址信息，如果客戶機無法找到DHCP服務器，就會自動使用一個內部的IP地址配置客戶端，并且在Windows日志中產生一個事件ID號為1007的事件。如果用戶在日志中發現該編號事件，說明該機器無法從DHCP服務器獲得信息，就要查看是該機器網絡故障還是DHCP服務器問題。

如何使用藍屏日志分析工具分析藍屏日志文件

Win8系統查看藍屏代碼的方法：

1、打開系統日志的方法有兩種，一種是右擊這臺電腦選擇管理，另一種是按下winkey +r 輸入eventvwr 回車；

2、點擊展開時間查看器——windows 日志——系統；

3、點擊右邊的篩選當前的日志；

4、選擇僅顯示嚴重、警告、錯誤三項后點擊確認；

5、通過錯誤日志的發生時間，逐個雙擊打開查找導致故障的日志。如果是發生藍屏重啟的錯誤信息，將有“電腦已經在檢查錯誤后重新啟動”的提示。后面則為藍屏代碼。

如何查看windows系統日志

你好，查看方法如下：

1、

右鍵單擊桌面的或開始菜單的“計算機”，選擇"管理";

2、

接著彈出的就是“計算機管理”窗口，依次展開“事件查看器”-“windows日志”，下拉目錄中即是前面說到的五類windows日志。

3、

在“windows日志”目錄下，點擊任一種，便可以查看相關日志了。

4、另外，還可以通過控制面板來實現，大致為控制面板-系統和安全-管理工具—查看事件日志。

windows日志主要提供給專業人員分析系統存在的問題和產生問題的原因，對于普通用戶，windows日志有時可能毫無價值，而且占用c盤空間。如果系統正常平穩運行，可一段時間清理一次，大部分安全軟件和系統優化軟件都提供windows日志清理功能。

當前文章：關于windows系統日志分析工具的信息
本文鏈接：http://vcdvsql.cn/article22/hshicc.html

成都網站建設公司_創新互聯，為您提供動態網站、服務器托管、全網營銷推廣、移動網站建設、做網站、云服務器

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯