教你如何查询个人电脑开机日志

教你如何查询个人电脑开机日志
教你如何查询个人电脑开机日志2010-05-28 08：26教你如何查询个人电
脑开机日志2008年11月19日星期三21：41Windows系统的事件查看器是Windows 2000/XP中提供的一个系统安全监视工具。

在事件查看器中，可以通
过使用事件日志，收集有关硬件、软件、系统问题方面的信息，并监视
Windows系统安全。

它不但可以查看系统运行日志文件，而且还可以查看事件
类型，使用事件日志来解决系统故障。

在启动Windows 2000系统的同时，事件日志服务会自动启动，所有用户都可以查看应用程序日志和系统日志，但只有
管理员才能访问安全日志。

如何找到事件查看器?点击"开始→设置→控制面板"，点击"管理工具"。

然后双击"事件查看器"。

现在，你就可以看到事件查看器的
界面了(图1)。

图1(点击放大)事件查看器都记录什么信息?事件查看器根据来
源将日志记录事件分为应用程序日志(Application)、安全日志(Security)和系统日志(System)。

在左侧的类选择对话框中分别单击相应的日志即可打开进入
浏览。

应用程序日志包含由应用程序或一般程序记录的事件，主要记载程序运
行方面的信息。

安全日志可以记录有效和无效的登录尝试等安全事件以及与资
源使用有关的事件，比如创建、打开或删除文件，启动时某个驱动程序加载失败。

同时，管理员还可以指定在安全日志中记录的事件，比如如果启用了登录
审核，那么系统登录尝试就记录在安全日志中。

系统日志包含由Windows系统
组件记录的事件。

比如在系统日志中记录启动期间要加载的驱动程序或其他系
统组件的故障。

另外，事件查看器还按照类型将记录的事件划分为错误、警告
和信息三种基本类型。

错误：重要的问题，如数据丢失或功能丧失。

例如在启
动期间系统服务加载失败、磁盘检测错误等，这时系统就会自动记录错误。

这
种情况下必须要检查系统。

警告：不是非常重要但将来可能出现问题的事件，
比如磁盘剩余空间较小，或者未找到安装打印机等都会记录一个警告。

这种情
况下应该检查问题所在。

信息：用于描述应用程序、驱动程序或服务成功操作
的事件，比如加载网络驱动程序、成功地建立了一个网络连接等。

有用的和有
趣的就如同我们是一名要破案的警察一样，现在的资料只有一个日记本。

那么，如何在这个日记本里找到线索或者提示呢?事件查看器就是系统的一本"日记"，不过系统的这本"日记"中的每一篇都有编号，我们就去找一些最重要的来看吧。

在事件查看器界面中，点击"查看→筛选"，可以选择并根据"事件类型"、"事件
ID"等进行筛选，快速找到自己想要的信息(如图2)。

图26006号和6005号：
当你正关闭计算机的时候，在事件查看器里ID号为6006的事件，这个事件的
意思是：事件日志服务已停止(图3)。

图3这意味着什么?很简单，如果你没有
在当天的事件查看器中发现这个6006号事件，那么就表示计算机没有正常关机，可能是因为系统原因(例如蓝屏)或者直接按了电源键而没有执行正常的"开始"
菜单中的"关机"程序。

要知道，从Windows 95时代开始，我们就了解不正常关机可能会导致系统故障。

当你启动系统的时候，事件查看器又记录了什么呢?这就是ID号为6005的事件。

这个事件表明：事件日志服务已启动(图4)。

图4
下面让我们看一些错误类型的事件吧，看看我们能找出什么来。

1007号，DHCP
错误：这个错误一般出现在安装了双网卡的系统中。

我们假定安装了两个网卡，其中一个用于局域网，另外一个连接到ADSL的调制解调器上。

这时候，用于局域网的网卡使用的是一个静态的IP地址，而用于ADSL连接的网卡则是"自动获得IP地址"。

这个错误指出，在网络中系统无法找到DHCP服务器，因此使用了一个内部的自动IP地址。

由于安装了双网卡，这种情况也不会影响使用，因此这个错误信息可以不予考虑。

但是，如果在使用了DHCP服务器的单位的电脑上出现这个错误，那你就需要仔细检查检查了。

通过检查事件查看器里面的错误
记录，可以确定自己的计算机是否被攻击。

如果在某个时段出现比较多的警告
信息。

那么，你可要小心对待了。

以上是从事件查看器里找故障，那么，如何
根据故障在事件查看器里查找相应的信息呢?STOP故障从理论上讲，纯32位的Windows 2000是不会出现死机的，但是由于病毒或硬件以及硬件驱动程序不匹
配等原因也会造成Windows 2000的崩溃，当Windows 2000出现死机时，显示
器屏幕将变为蓝色，然后出现STOP故障提示信息。

这就是我们常说的STOP故障。

如果Windows 2000可以启动，可以打开"事件查看器"查看系统日志，确定导致故障的设备或驱动程序。

如果不能启动计算机，可以使用"安全模式"或"最后一次正确的配置"启动计算机，然后删除或禁用新安装的附加程序或驱动程序。

如果用"安全模式"启动不了计算机，可使用故障恢复控制台，禁用一些服务或
者重新命名设备驱动程序、检修引导扇区或主引导记录等。

如果想详细了解故
障恢复控制台，可以参考2002年《电脑爱好者》第19期的《抓住末日前一秒：Windows的故障恢复控制台》一文。

然后拆下新安装的硬件设备，检查
Microsoft兼容硬件列表(HCL)，确保所有的硬件和驱动程序都与Windows系统
兼容，其中Hcl.txt在Windows 2000安装光盘的\Support文件夹中。

另外，
还可以访问微软官方技术支持站点，在搜索中输入STOP故障代码，比如出现的
STOP消息为"stop：0x 0000000A"，那么即可输入"stop0x 0000000A"，按下回
车键即可查出所出现的STOP问题的解决办法。

如图5所示。

图5(点击放大)事
件查看器的维护与管理修改日志文件存放路径Windows系统日志默认情况下被
保存在Windows系统文件夹中，有的时候，如果你打算修改日志文件存放路径，可以通过修改注册表的方法。

(1)修改系统日志存放路径打开注册表编辑器，展开如下分支：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\System，然后双击右侧窗口中的File键值，打开字符串编辑器，系统默认的存放路径是%SystemRoot%\System32\Config\SysEvent.Evt，这时可以根据自己的需要设定新的存放路径，如图6所示。

图6(2)修改应用程序日志存放路径打开注册表
编辑器，展开如下分支：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Applica tion，双击并修改右侧窗口中的File键值即可，方法与前面介绍的相同。

(3)
修改安全日志存放路径打开注册表编辑器，展开如下分支：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Securit y，双击并修改右侧窗口中的File键值。

完成修改后，重新启动计算机即可使
修改生效。

管理事件查看器我们现在可以修改日志文件的保存路径了，那么是
否可以对日志文件根据自己的需要进行相应的管理呢?(1)改变日志文件大小在
事件查看器中，用鼠标右键单击"应用程序日志"，在弹出的快捷菜单中，选择"属性"命令，打开"应用程序日志"属性对话框，在"常规"选项卡的"最大日志文
件大小"文本框中可指定新的日志文件大小。

如果要使新设置生效，还需要单击"清除日志"命令按钮。

如果要保留日志中的当前信息，当询问清除之前是否保
存原始日志时，单击"是"按钮即可。

(2)清除所有事件日志在控制台树中，首先单击要清除的日志，比如"应用程序日志"，然后在"操作"菜单上，单击"清除所有事件"命令，此时系统会提示是否保存当前日志，单击"是"按钮即可清除，否则将永远丢失当前事件记录，并开始记录新的事件。

(3)保存日志文件在控制台树中，单击要存档的日志，比如"应用程序日志"，然后在"操作"菜单上，单击"另存日志文件"命令，在打开的对话框中输入文件名称，在"保存类型"中选择文件保存格式，并单击"保存"按钮。

(4)删除与修复损坏的日志文件如果发现日志文件已经损坏，系统将经常出现故障和错误提示，可以首先将其删除，重新启
动计算机后即可恢复。

对于采用NTFS分区格式的系统，如果要删除日志文件，需要首先关闭事件检查器服务才行。

在控制面板中双击"管理工具"图标，在打
开的管理工具中，双击"服务"图标，在服务中选择"EventLog"服务，用鼠标右
键单击此服务，在弹出的快捷菜单中选择"属性"命令，弹出"服务属性"对话框，在"启动类型"中设置其为"已禁用"选项，并单击"确定"按钮完成，如图7所示。

重新启动计算机，然后将文件夹"%SystemRoot%\System32\Config"中的*.evt
文件删除。

完成后，再次启动事件检查器服务，并重新启动计算机即可恢复损
坏的事件检查器文件了。

对于使用FAT分区的文件系统，可以使用DOS启动盘
启动计算机，然后将"%SystemRoot%\System32\Config"目录下的文件直接删除
即可。

图7删除日志文件，并重新启动计算机后，系统将自动恢复日志文件，
从而保证系统的正常运行。

使用事件查看器利用"事件查看器"这个系统维护工具，用户可以通过使用事件日志，收集有关硬件、软件、系统问题方面的信息，并监视中文版Windows XP安全事件，将Windows和其他应用程序运行中错误事件记录下来，便于用户诊断和纠正可能发生的系统错误和问题。

14.4.1事件查
看器当用户需要查看工作日志时，可进行以下的操作步骤：(1)单击"开始"按钮，选择"控制面板"命令，在打开的"控制面板"窗口单击"管理工具"图标，然后在"管理工具"窗口中双击"事件查看器"图标，这时就可以打开"事件查看器"窗口。

(2)在"事件查看器"窗口中包括三种类型的日志记录事件：·应用程序日志：记录应用程序或一般程序的事件。

·安全性日志：可以记录例如有效和无效的登
录尝试等安全事件，以及与资源使用有关的事件。

例如创建、打开或删除文件
以及有关设置的修改。

·系统日志：包含由Windows XP系统组件记录的事件，例如，在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。

(3)事件查看器显示以下事件类型：·信息：描述应用程序、驱动程序或服务成功操作的事件，例如成功地加载网络驱动程序时会记录一个信息事件。

·警告：不是非常重要但将来可能出现的问题事件。

例如，如果磁盘空间较小，则会记
录一个警告。

·错误：重要的问题，如数据丢失或功能丧失。

例如，如果在启
动期间服务加载失败，则会记录错误。

·成功审核：审核安全访问尝试成功。

例如，将用户成功登录到系统上的尝试作为"成功审核"事件记录下来。

·失败
审核：审核安全访问尝试失败。

例如，如果用户试图访问网络驱动器失败，该
尝试就会作为"失败审核"事件进行记录。

(4)如果要查看某事件的详细内容，可先选中该项，双击打开"事件属性"对话框，在其中的"事件详细信息"选项组中
列出了事件发生的时间及来源、类型等详细资料，如图14.13所示。

14.4.2事
件查看器在网络中的应用由于中文版Windows XP可以用于小型办公网络和家庭网络的组建，在网络应用过程中，网络中的计算机有时会出现故障，这时需要
管理员查看这台机器的工作日志，以此来判断出现故障的原因。

具体的操作步骤如下：(1)在"事件查看器(本地)"窗口中，右击"事件查看器(本地)"选项，会弹出一个快捷菜单，从中选择"连接到另一台计算机"命令，出现"选择计算机"对话框，在此用户可以选择需要这个管理单元管理的计算机，在"另一台计算机"文本框中输入要查看的工作站名，单击"确定"即可，如图14.14所示。

(2)为了在众多的计算机中准确地找到出现故障的一台，最大限度地节省时间，可以单击"浏览"按钮，出现如图14.15所示的"选择计算机"对话框，可以在这里进行更为详细的条件限定，这样，就可以快速地找到出现故障的计算机，进行工作日志的查看。

14.4.3事件查看器窗口在"事件查看器"窗口中，用户可以利用菜单栏中的菜单项方便地进行本地事件的查看，下面是其中简单而且实用的几项操作(以"应用程序")为例：(1)在"操作"菜单中，用户可以根据需要进行工作日志文件的打开和保存，以及事件的清除等操作。

(2)选择"操作"|"属性"或者"查看"|"筛选"命令，出现"应用程序属性"对话框，在"常规"选项卡中详细显示了"应用程序"的名称，创建、修改、访问时间，用户可以对最大日志以及达到极限后的处理方法进行设定，如果用户不再需要个性设置时，可以单击"还原为默认值"按钮，即可恢复到系统默认的设置，如图14.16所示。

(3)选择"筛选器"选项卡，用户可以对日志中的事件进行筛选，用户可在"事件类型"选项组中进行复选框的选择，在"事件来源""类别"下拉列表框中可设置筛选具体条件，还可进行时间限定。

需要指出的是，筛选并不会对日志的具体内容产生影响，它只是改变了事件的显示方式，如图14.17所示。

(4)在"查看"菜单中选择"添加|删除列"命令，弹出"添加|删除列"对话框，如果用户不需要在该窗口的详细列表中显示某选项时，可在"显示列"列表中先选中，然后单击"删除"按钮，即可删除该列的显示，这样会使画面看起来更简洁，如图14.18所示。

(5)在"查看"菜单中选择"查找"命令，出现"在本地应用程序上查找"对话框，在此可设置好要查找的条件，可自行选择搜索方向，连续查找多个符合要求的事件，如图14.19所示。

用事件查看器解决操作系统故障作者：Microsoft MVP闫诺更新时间：2005-04-08无论是普通计算机用户，还是专业计算机系统管理员，在操作计算机的时候都会遇到某些系统错误。

很多朋友经常为无法找到出错原因，解决不了故障问题感到困扰。

事实上，利用Windows内置的事件查看器，加上适当的网络资源，就可以很好地解决大部分的系统问题。

一、事件查看器可以做什么微软在以Windows NT为内核的操作系统中集成有事件查看器，这些操作系统包括Windows 2000\NT\XP03等。

事件查看器可以完成许多工作，比如审核系
统事件和存放系统、安全及应用程序日志等。

系统日志中存放了Windows操作
系统产生的信息、警告或错误。

通过查看这些信息、警告或错误，我们不但可
以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。

安全日志中存放了审核事件是否成功的信息。

通过
查看这些信息，我们可以了解到这些安全审核结果为成功还是失败。

应用程序
日志中存放应用程序产生的信息、警告或错误。

通过查看这些信息、警告或错误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。

程序开发人员可以利用这些资源来改善应用程序。

点击"开始→运行"，输入eventvwr，点击"确定"，就可以打开事件查看器，它的界面如图1所示。

图1
查看事件的详细信息：选中事件查看器左边的树形结构图中的日志类型(应用程序、安全性或系统)，在右侧的详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息，如图2。

在日志属性窗口中我
们可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。

这对我们寻找解决错误是最重要的。

图2搜索事件：如果系统中的事件过多，
我们将会很难找到真正导致系统问题的事件。

这时，我们可以使用事件"筛选"
功能找到我们想找的日志。

选中左边的树形结构图中的日志类型(应用程序、安全性或系统)，右击"查看"，并选择"筛选"。

日志筛选器将会启动，如图3。

图
3选择所要查找的事件类型，比如"错误"，以及相关的事件来源和类别等等，
并单击"确定"。

事件查看器会执行查找，并只显示符合这些条件的事件。

二、
利用查看器解决系统问题查到导致系统问题的事件后，我们需要找到解决它们
的办法。

查找解决这些问题的方法主要可以通过两个途径：微软在线技术支持
知识库以及网站。

微软在线技术支持知识库(KB)：微软知识库的
文章是由微软公司官方资料和MVP(微软最有价值专家)撰写的技术文章组成，
主要解决微软产品的问题及故障。

当微软每一个产品的Bug和容易出错的应用
点被发现以后，都将有与其对应的KB文章分析这项错误的解决方案。

微软知识库的地址是：，在网页左边的"搜索(知识库)"中输入相关的关键字进行查询，
事件发生源和ID等信息。

当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询也并不是一个坏主意。

另外，微软中文社区()提供在线的免费技术支持和定期的专家聊天，只要稍加利用，
都可以成为解决系统疑难杂症的宝贵资源。

总体来说，在Windows操作系统中
提供的事件日志机制为我们找出系统问题提供了快捷的方法，而官方和第三方
等多种网络资源使我们能够迅速地解决这些问题。

通过本文，希望读者能够充
分利用这些资源，在以后系统出现问题时，能够自主地将它们解决。

节省时间，节省金钱。

在Windows2000、Windows XP操作系统中有一位系统运行状况的忠
实记录者，从开机、运行到关机过程中发生的每一个事件都将被记录下来，它
就是"事件查看器"。

用户可以利用这个系统维护工具，收集有关硬件、软件、
系统问题方面的信息，并监视系统安全事件，将系统和其他应用程序运行中错
误或警告事件记录下来，便于诊断和纠正系统发生的错误和问题。

下面通过几
个例子来讲解"事件查看器"的实际应用。

使用事件查看器有两种方法可以很快
地打开事件查看器：1.通过"我的电脑"打开。

右键单击"我的电脑"，选择"管理"，弹出"计算机管理"窗口，在"系统工具"标签下便是"事件查看器"。

2.通过"
控制面板"打开。

选择"开始/控制面板"，在"控制面板"窗口单击"管理工具"，
在弹出窗口中双击"事件查看器"图标，便可打开"事件查看器"窗口。

如图1所
示便是事件查看器的系统日志信息。

监视文件和文件夹的访问在办公环境下，
有时我们需了解计算机上其他用户是否访问了我们限制的文件或文件夹，这时
候我们通过组策略配合，利用事件查看器在不影响用户正常使用的情况下，监
控用户的访问情况。

选择"开始/控制面板/管理工具/本地安全设置/本地策略/
审核策略"，在右边信息窗口中右键单击"审核对象访问"选择"安全性"，在"本
地安全策略设置"中，单击所需的选项并确定。

接着在任务栏"开始"上点右键选择"资源管理器"，右键点击要审核的文件或文件夹，选择"属性"。

然后选择"安全/高级/审核/添加"，在"选择用户、计算机或组"对话框中，单击要审核操作
的用户名或组名并确定即可。

注意：必须作为管理员或管理组的成员登录才能
设置文件和文件夹的审核，只有管理员才能使用"组策略"监视系统开关机情况
当我们外出回来，有时我们需要了解计算机的开关情况以及是否正常开关机情况。

我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因
为日志服务会随计算机一起启动或关闭，并在日志中留下记录。

主要是两个事
件ID"6006和6005"。

6005表示事件日志服务已启动，如果在事件查看器中发
现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。

6006表示事件日志服务已停止(图2)，如果没有在事件查看器中发现某日的事
件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统
原因或者直接切断电源导致没有执行正常的关机操作。

如果你是网络管理员，
那么这些记录就更加的重要了，如果有意外的开关机操作，那么你的机器已被
攻击的可能性就很大了。

解决机器开机时的错误提示窗口如果你最近安装或卸
载了某些程序，或者是由于安全的原因关闭了某些服务，结果你发现每次开机
都会弹出一个错误提示窗口，并提示"在系统启动时至少有一个服务或驱动程序产生错误。

详细信息，请使用事件查看器查看事件日志"。

这类问题一般是系统在加载相关服务时找不到服务程序而无法启动产生的，你可以使用事件查看器
来查看具体是哪个服务启动时出现了问题，解决的办法通常有两种，一种是通
过了解该服务是那哪些程序产生，不论这些服务是操作系统本身产生还是应用
程序产生的，都可以通过卸载相关应用程序来解决。

另一个办法更简单直接到
服务管理器中将相应的服务设置为"禁用"即可。

分析死机故障原因相对于Windows 98而言，Windows 2000和Windows XP均要稳定的多，是不容易发生
死机现象的。

从理论上讲，纯32位的Windows 2000是不会出现死机的，但是
这仅仅是理论上的。

病毒、硬件和硬件驱动程序不匹配等原因将造成Windows 2000的崩溃。

当Windows 2000出现死机时，显示器屏幕将变为蓝色，然后出
现死机故障提示信息。

通过事件查看能够发现问题的原因。

如果出现的硬件设
备故障，可以通过重新安装硬件驱动或卸载硬件来解决，如果是软件故障可以
卸相应的驱动程序，如果是警告显示磁盘驱动程序在几次重试后，只能读取或
写入到某个扇区，十有八九是硬盘出问题了。

即使你的系统没有死机，运行某
些程序出现停顿现象，也有可能是计算机的硬盘出现故障，你依然可通过检查
事件查看器,看是否出现硬盘有无法响应的日志，如果硬盘出现损坏，还是尽早更新，以免带来重大的数据损失。

检查不能上网的原因不能上网的原因有非常多，其中无法获得局域网DHCP服务器的数据，以至无法取得一个能上网的IP
地址是局域网用户不能上网的故障中最常见的一种，通过"事件查看器"我们可
以很容易就找到这个错误事件ID号为1007，此你可以先检查你的网线，看是
否连接正常，如果网络线路正常。

可以打电话咨询网络管理员是否是DHCP服务器停止工作了。

如果你使用的IP地址与网络上别人使用的IP地址相同，网络
接口也会被系统禁用，一样也无法上网，这个错误事件ID号为1006，如果你
发现这种情况要及时和网络管理员联系解决。

1.微软知识库微软知识库的文章
是由微软公司官方资料和微软MVP撰写的技术文章组成，主要解决微软产品的
问题及故障。

当微软每一个产品的Bug和容易出错的应用点被发现后，都将有
与其对应的KB文章分析这项错误的解决方案。

微软知识库的地址是：，在网页左边的"搜索(知识库)"中输入相关的关键字进行查询，事件发生源和ID等信息。

当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输
入这个错误编号进行查询也是个不错的主意。

要查询系统错误
事件的解决方案，其实还有一个更好的地方，那就是网站(图3)，。