电脑配置查看器 电脑的 事件查看器 里的 系统日志

电脑配置查看器电脑的事件查看器

里的系统日志

电脑配置查看器~电脑的"事件查看器"里的"系统日志2010-07-14 17：22 Windows系统的事件查看器是Windows 2000/XP中供给的一个系统安全监督工具。在事件查看器中，可以通过使用事件日志，收集有关硬件、软件、系统问

题方面的信息，并监督Windows系统安全。它不但可以查看系统运行日志文件，并且还可以查看事件类型，使用事件日志来解决系统妨碍。在启动Windows 2000系统的同时，事件日志服务会自动启动，所有用户都可以查看应用程序日

志和系统日志，但只有管理员才能访问安整日志。如何找到事件查看器?点击"

起头→设置→控制面板"，点击"管理工具"。然后双击"事件查看器"。此刻，你就可以看到事件查看器的界面了(图1)。图1(点击放大)事件查看器都记录什么信息?事件查看器根据来源将日志记录事件分为应用程序日志(Application)、

安整日志(Security)和系统日志(System)。在左侧的类选择对话框中分别单击

相应的日志即可打开进入浏览。应用程序日志包含由应用程序或一般程序记录

的事件，主要记载程序运行方面的信息。安整日志可以记录有效和无效的登录

尝试等安全事件以及与资源使用有关的事件，比如创建、打开或删除文件，启

动时某个驱动程序加载失败。同时，管理员还可以指定在安整日志中记录的事件，比如如果启用了登录审查核定，那末系统登录尝试就记录在安整日志中。

系统日志包含由Windows系统组件记录的事件。比如在系统日志中记录启动期

间要加载的驱动程序或其他系统组件的妨碍。另外，事件查看器还按照类型将

记录的事件划分为错误、警告和信息三种基本类型。错误：重要的问题，如数

据丢失或功能丧失。例如在启动期间系统服务加载失败、磁盘检测错误等，这

时系统就会自动记录错误。这种情况下必需要查抄系统。警告：不是非常重要

但将来可能出现问题的事件，比如磁盘剩余空间较小，或者未找到安装打印机

等都会记录一个警告。这种情况下应该查抄问题所在。信息：用于描述应用程序、驱动程序或服务成功操作的事件，比如加载网络驱动程序、成功地建立了

一个网络连接等。有用的和有趣儿的就如同咱们是一名要查出真相的警察一样，此刻的资料只有一个日记本。那末，如何在这个日记本里找到线索或者提示呢?事件查看器就是系统的一本"日记"，不过系统的这本"日记"中的每篇都有编号，

咱们就去找一些最重要的来看吧。在事件查看器界面中，点击"查看→筛选"，

可以选择并根据"事件类型"、"事件ID"等举行筛选，快速找到自己想要的信息(如图2)。图26006号和6005号：当你正关闭计算机的时候，在事件查看器里

ID号为6006的事件，这个事件的意思是：事件日志服务已停止(图3)。图3这象征着什么?很简单，如果你没有在当天的事件查看器中发现这个6006号事件，那末就表示计算机没有正常关机，可能是因为系统原因(例如蓝屏)或者直接按

了电源键而没有执行正常的"起头"菜单中的"关机"程序。要知道，从Windows

95时代起头，咱们就相识不正常关机可能会导致系统妨碍。当你启动系统的时候，事件查看器又记录了什么呢?这就是ID号为6005的事件。这个事件表明：事件日志服务已启动(图4)。图4底下让咱们看一些错误类型的事件吧，看看

咱们能找出什么来。1007号，DHCP错误：这个错误一般出此刻安装了双网卡的系统中。咱们假定安装了两个网卡，其中一个用于局域网，另外一个连接到ADSL的调制解调器上。这时候，用于局域网的网卡使用的是一个静态的IP地址，而用于ADSL连接的网卡则是"自动获患上IP地址"。这个错误指出，在网

络中系统无法找到DHCP服务器，是以使用了一个内部的自动IP地址。由于安

装了双网卡，这种情况也不会影响使用，是以这个错误信息可以不予考虑。但是，如果在使用了DHCP服务器的单位的电脑上出现这个错误，那你就需要仔细查抄查抄了。通过查抄事件查看器里面的错误记录，可以确定自己的计算机是

不是被攻击。如果在某个时段出现比较多的警告信息。那末，你可要小心看待了。以上是从事件查看器里找妨碍，那末，如何根据妨碍在事件查看器里查找

相应的信息呢?STOP妨碍从理论上讲，纯32位的Windows 2000是不会出现死

机的，但是由于病毒或硬件以及硬件驱动程序不匹配等原因也会造成Windows 2000的崩溃，当Windows 2000出现死机时，预示器屏幕将变为蓝色，然后出

现STOP妨碍提示信息。这就是咱们常说的STOP妨碍。如果Windows 2000可以启动，可以打开"事件查看器"查看系统日志，确定导致妨碍的设备或驱动程序。如果不能启动计算机，可以使用"安全模式"或"最后一次不错的配备布置"启动

计算机，然后删除或禁用新安装的附加程序或驱动程序。如果用"安全模式"启

动不了计算机，可使用妨碍恢复控制台，禁用一些服务或者重新命名设备驱动

程序、检修指导扇区或主指导记录等。如果想详细相识妨碍恢复控制台，可以

参考2002年《电脑爱好者》第19期的《抓住灭亡的日子前一秒：Windows的

妨碍恢复控制台》一文。然后拆下新安装的硬件设备，查抄Microsoft兼容硬

件列表(HCL)，确保所有的硬件和驱动程序都与Windows系统兼容，其中

Hcl.txt在Windows 2000安装光盘的\Support文件夹中。另外，还可以访问微软官方技能支持站点管理事件查看器咱们此刻可以修改日志文件的保存路径了，那末是不是可以对日志文件根据自己的需要举行相应的管理呢?(1)转变日志文

件巨细在事件查看器中，用鼠标右键单击"应用程序日志"，在弹出的快捷菜单中，选择"属性"命令，打开"应用程序日志"属性对话框，在"常规"选项卡的"最大日志文件巨细"文本框中可指定新的日志文件巨细。如果要使新设置生效，还需要单击"清除日志"命令按键。如果要保留日志中的当前信息，当询问清除之

前是不是保存原始日志时，单击"是"按键即可。(2)清除所有事件日志在控制台树中，首先单击要清除的日志，比如"应用程序日志"，然后在"操作"菜单上，

单击"清除所有事件"命令，此时系统会提示是不是保存当前天志，单击"是"按

键即可清除，否则将永远丢失当前事件记录，并起头记录新的事件。(3)保存日志文件在控制台树中，单击要存档的日志，比如"应用程序日志"，然后在"操作"菜单上，单击"另存日志文件"命令，在打开的对话框中输入文件名称，在"保

存类型"入选择文件保存格局，并单击"保存"按键。(4)删除与修复损坏的日志

文件如果发现日志文件已经损坏，系统将经常出现妨碍和错误提示，可以首先

将其删除，重新启动计算机后即可恢复。对于接纳NTFS分区格局的系统，如果要删除日志文件，需要首先关闭事件查抄器服务才行。在控制面板中双击"管理工具"图标，在打开的管理工具中，双击"服务"图标，在服务入选择"EventLog"服务，用鼠标右键单击此服务，在弹出的快捷菜单入选择"属性"命令，弹出"服务属性"对话框，在"启动类型"中设置其为"已禁用"选项，并单击"确定"按键完成，如图7所示。重新启动计算机，然后将文件夹

"%SystemRoot%\System32\Config"中的*.evt文件删除。完成后，再次启动事

件查抄器服务，并重新启动计算机即可恢复损坏的事件查抄器文件了。对于使

用FAT分区的文件系统，可以使用DOS启动盘启动计算机，然后将

"%SystemRoot%\System32\Config"目录下的文件直接删除即可。图7删除日志

文件，并重新启动计算机后，系统将自动恢复日志文件，从而保证系统的正常

运行。使用事件查看器利用"事件查看器"这个系统维护工具，用户可以通过使

用事件日志，收集有关硬件、软件、系统问题方面的信息，并监督中文版Windows XP安全事件，将Windows和其他应用程序运行中错耽误事情件记录下来，便于用户诊断和改正可能发生的系统错误和问题。14.4.1事件查看器当用

户需要查看工作日志时，可举行以下的操作步调：(1)单击"起头"按键，选择"

控制面板"命令，在打开的"控制面板"窗户单击"管理工具"图标，然后在"管理