Windows XP 的事件查看器中查看和管理事件日志
事件查看器
在Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,您可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助您预测潜在的系统问题。
事件日志类型
基于Windows XP 的计算机将事件记录在以下三种日志中:
?应用程序日志
应用程序日志包含由程序记录的事件。例如,数据库程序可能在应用程序日志中记录文件
错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。
?安全日志
安全日志记录有效和无效的登录尝试等事件,以及与资源使用有关的事件(如创建、打开
或删除文件)。例如,在启用登录审核的情况下,每当用户尝试登录到计算机上时,都会
在安全日志中记录一个事件。您必须以Administrator 或Administrators 组成员的身
份登录,才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。
?系统日志
系统日志包含Windows XP 系统组件所记录的事件。例如,如果在启动过程中未能加载
某个驱动程序,则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记
录的事件。
如何查看事件日志
要打开事件查看器,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计
算机管理”。或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,单击“事件查看器”。
应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。
如何查看事件详细信息
要查看事件的详细信息,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计
算机管理”。或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。
3.在详细信息窗格中,双击您要查看的事件。
会显示“事件属性”对话框,其中包含事件的标题信息和描述。
要复制事件的详细信息,请单击“复制”按钮,使用要在其中粘贴事件的程序(例如
Microsoft Word)打开一个新文档,然后单击“编辑”菜单上的“粘贴”。
要查看上一个或下一个事件的描述,请单击上箭头或下箭头。
如何解释事件
每个日志项都按类型进行分类,并包含事件的标题信息和描述。
事件标题
事件标题包含以下关于事件的信息:
?日期
事件发生的日期。
?时间
事件发生的时间。
?用户
事件发生时已登录的用户的用户名。
?计算机
发生事件的计算机的名称。
?事件ID
标识事件类型的事件编号。产品支持代表可以使用事件ID 来帮助了解系统中发生的情
况。
?来源
事件的来源。它可以是程序、系统组件或大型程序的单个组件的名称。
?类型
事件的类型。它可以是以下五种类型之一:错误、警告、信息、成功审核或失败审核。
?类别
按事件来源对事件进行的分类。它主要用于安全日志。
事件类型
所记录的每个事件的说明取决于事件类型。日志中的每个事件都可归类为以下类型之一:
?信息
描述任务(如应用程序、驱动程序或服务)成功运行的事件。例如,当网络驱动程序成功
加载时将记录“信息”事件。
?警告
不一定重要但可能表明将来有可能出现问题的事件。例如,当磁盘空间快用完时将记录“警
告”消息。
?错误
描述重要问题(如关键任务失败)的事件。“错误”事件可能涉及数据丢失或功能缺失。例
如,当启动过程中无法加载服务时将记录“错误”事件。
?成功审核(安全日志)
描述成功完成受审核安全事件的事件。例如,当用户登录到计算机上时将记录“成功审核”
事件。
?失败审核(安全日志)
描述未成功完成的受审核安全事件的事件。例如,当用户无法访问网络驱动器时可能记录
“失败审核”事件。
如何在日志中查找事件
事件日志的默认视图将列出其所有项。如果您需要查找特定的事件或查看事件子集,则可以搜索日志,也可以对日志数据应用筛选器。
如何搜索特定的日志事件
要搜索特定的日志事件,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计
算机管理”。或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。
3.在“查看”菜单上,单击“查找”。
4.在“查找”对话框中指定您要查看的事件的选项,然后单击“查找下一个”。
将在详细信息窗格中突出显示满足搜索条件的事件。单击“查找下一个”可按照搜索条件的定义找到下一个事件匹配项。
如何筛选日志事件
要筛选日志事件,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计
算机管理”。或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。
3.在“查看”菜单上,单击“筛选”。
4.单击“筛选”选项卡(如果尚未选择它)。
5.指定所需的筛选选项,然后单击“确定”。
详细信息窗格中将只显示满足筛选条件的事件。
要使视图重新显示所有日志项,请单击“查看”菜单上的“筛选”,然后单击“还原默认值”。
如何管理日志内容
默认情况下,日志的初始最大大小设置为512 KB,当达到此大小时,新事件将根据需要覆盖旧事件。您可以根据需要更改这些设置或清除日志内容。
如何设置日志大小和覆盖选项
要指定日志大小和覆盖选项,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计
算机管理”。或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,然后右键单击要设置其大小和覆盖其选项的日志。
3.在“日志大小”下的“日志大小上限”框中键入所需的大小。
4.在“达到日志大小上限时”下,单击所需的覆盖选项。
5.如果您要清除日志内容,请单击“清除日志”。
6.单击“确定”。
如何将日志存档
如果您要保存日志数据,可以将事件日志存档为以下任何格式:
?日志文件格式(.evt)
?文本文件格式(.txt)
?逗号分隔的文本文件格式(.csv)
要将日志存档,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计
算机管理”。或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,右键单击要将其存档的日志,然后单击“另存日志文件”。
3.指定文件名和文件的保存位置。在“保存类型”框中,单击所需格式,然后单击“保存”。
将以指定的格式保存日志文件。
windows照片查看器无法打开此图片
解决“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。” 提示:jpg文件没有问题,win7照片查看器原来可以打开jpg图片,现在却不能打开。jpg文件已真的损坏不在此文讨论之列。 网上有很多人都遇到过这个问题,有人提出修改文件类型关联,这个太小儿科了,大多数人提出的方法是用其他的软件看图,其实是回避了这个问题。有人提出是联网的问题,也有人说通过修改环境变量来解决这个问题,但是并不是能解决所有人的问题。看来大家见到的错误提示是一样的,但是原因不同。通过自己认真检查和实践,终于解决了这个问题,希望能给有相同原因的朋友一个正确的解决方法。 我的情况是这样的:(很多人没有将自己的情况描述清楚) 开机后,还未连上网络的情况下,用照片查看器无法打开任何jpg图片,出现提示“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。”其实jpg文件没有任何问题,用其他的软件照样可以看的。 在获取IP地址后,可以上网了,再用照片查看器就可以打开之前无法打开的jpg图片了。此时再次断网,用照片查看器仍可以正常看jpg图片。似乎照片查看器要在开机后联网进行某种注册,完成这个动作后就可以正常工作了,也不在乎网络的存在了。 (回想起来,之前我的本本所带的Ms office试用版在不上网的情况下也无法打开任何word、excel文件,后来就卸载了MS office,改用WPS。) 我安装的MS visio2010也出现同样的问题,开机后,还未连上网络的情况下,无法打开之前所作的任何vsd文件。联网之后就可以正常使用了。 我的电脑情况是这样的: 系统:win7pro32bits 本本:i7-2620m,8G RAM,其中系统无法使用的4G多RAM做了虚拟硬盘G:,为了减少对SSD硬盘的写入,将临时文件都放入RAMDISK g:中,在环境变量中修改参数。 环境变量: 用户变量(U) TEMP g:\AppData\Local\Temp TMP g:\AppData\Local\Temp 系统变量(S) TEMP g:\TEMP TMP g:\TEMP 通过认真检查发现,在开机之后,还未联网的情况下,G:盘上只有g:\TEMP,没有g:\AppData\Local\Temp这个文件夹,联网之后才出现这个文件夹。于是将用户变量做以下修改: TEMP g:\Temp TMP g:\Temp 拔掉网线,关机,开机,在不联网的情况下可以用照片查看器打开jpg图片,也可以用visio打开vsd文件了。问题解决! 环境变量的设置方法:计算机→右键→属性→高级系统设置→环境变量
任务管理器里的各个进程
任务管理器里的各个进程 【Csrss】 这是Windows的核心部份之一,全称为Client Server Process。我们不能结束该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存,建议不要修改此进程,让它运行好了【Ctfmon】 这是安装了WinXP(尤其是安装ofice XP)后,在桌面右下角显示的“语言栏”,如果不希望它出现,可通过下面的步骤取消:双击“控制面板”,“区域和语言设置”,单击“语言”标签,单击“详细信息”按钮,打开“文字服务和输入语言”对话框,单击下面“首选项”的“语言栏”按钮,打开“语言栏设置”对话框,取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节,它会为你节省1.5MB到4MB的内存。 【dovldr32】 如果你有一个Creative SBLive系列的声卡,就可能击现这个进程,它占用大约2.3MB 到2.6MB的内存。有些奇怪的是,当我从任务栏禁止了这个进程后,通过DVD实验,并没有发生任何错误。但如果你将这个文件重新命名了,就会出现windows的文件保护警告窗口,而且Creative Mixer和AudioHQ程序加载出错。当然你希望节省一些内存,那么可以将它禁止。 【explorer】 这可不是Internet Explorer,explorer.exe总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果打开“任务管理器”,就会看到一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同,通常会消耗5.8MB到36MB 内存不 【Idle】 如果你在“任务管理器”看到它显示99%的占用率,千万不要害怕,实际上这是好事,因为这表示你的计算机目前有99%的性能等待你使用!这是关键进程,不能结束。该进程只有16KB的大小,循环统计CPU的空闲度。 【IEXPLORE】/【iexplore】 这才是IE浏览器。当我们用它上网冲浪时,它占有7.3MB甚至更多的内存。当然,这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时,它并不会从任务管理器消失,IEXPLORE.EXE依然在后台运行着,它的作用是加快我们再一次打开IE的速度。【Generic Host Process for Win32 Services】 如果你安装了ZoneAlarm以后,在连接Internet时ZonAlarm总是抱怨链接不到Internet,那么你就应该好好看看下面的文字。Svhost.exe就是Generic Service Host,意思就是说,它是其他服务的主机。如果你的Internet连接不工作了,很有可能是你禁止了一些必须的服务,比如如果你禁止了“DNS搜索”功能,那么当你输入https://www.360docs.net/doc/ab10152203.html, 时就不会连接上网,但如果输入IP地址,尽管还是可以上网,但实际上你已经破坏了上网冲浪的关键进程! 【msmsgs】 这是微软的Windows Messengr(即时通信软件)著名的MSN进程,在WinXP的家庭版和专业版里面绑定的,如果你还运行着Outlook和MSN Explorer等程序,该进程会在后台运行支持所有这些微软号称的很Cool的,NET功能等新技术。
事件查看器如何使用
一、事件查看器相关知识 1.事件查看器 事件查看器是 Microsoft 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视操作系统中的安全事件。有三种方式来打开事件查看器: (1)单击开始-设置-控制面板-管理工具-事件查看器,打开事件查看器窗口 (2)在运行对话框中手工键入%SystemRoot%system32eventvwr.msc /s打开事件查看器窗口。 (3)在运行中直接输入eventvwr或者eventvwr.msc直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。 (3)系统日志 包含 XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动时,事件日志服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了操作系统对事件的分类。事件查看器显示如下类型的事件:
如何查看电脑使用记录完整版
如何查看电脑使用记录 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
一、如何查看电脑开机记录 1.打开“我的电脑”,C盘Windows目录下有很多文件,找到一个(或者开始-运行)。它是“计划任务”的日志,会忠实地记录电脑计划任务的执行情况,还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”,双击“管理工具”,然后打开“事件查看器”,在左边的窗口中选择“系统”选项。单击鼠标右键,在弹出的快捷菜单中选择“属性”,在打开的“系统属性”窗口中选择“筛选器”选项卡,在“事件类型”下面选中“信息”复选项,并在“事件来源”列表中选择“eventlog”选项,继续设定其他条件后,单击“确定”按钮,即可看到需要的事件记录了。双击某条记录,如果描述信息为“事件服务已启动”,那就代表计算机开机或重新启动的时间,如果描述信息是“事件服务已停止”,即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序,文件最前面的为程序名,后面的执行代码不用理他!如果你没有优化过的话~这里面保存的东西应该是非常有价值的!
2.看你最近打开过什么文件(非程序)和文件夹(最近打开文件的历史记录)! "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator (Administrator改成你的用户名)"-"Recent"(或开始-运行-recent)。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始-运行-Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始-文档中可以看到最近使用过的文件。 5. 电脑日志记录:开始/控制面板/性能和维护(经典视图里去掉这个)/管理工具/事件查看器,看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始-运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址,可以在IE里点击历史记录。
3.1 Windows“任务管理器”的进程管理
3.1 Windows“任务管理器”的进程管理 (实验估计时间:60分钟) 背景知识 实验目的 工具/准备工作 实验内容与步骤 背景知识 Windows 2000的任务管理器提供了用户计算机上正在运行的程序和进程的相关信息,也显示了最常用的度量进程性能的单位。使用任务管理器,可以打开监视计算机性能的关键指示器,快速查看正在运行的程序的状态,或者终止已停止响应的程序。也可以使用多个参数评估正在运行的进程的活动,以及查看CPU 和内存使用情况的图形和数据。其中: 1) “应用程序”选项卡显示正在运行程序的状态,用户能够结束、切换或者启动程序。 2) “进程”选项卡显示正在运行的进程信息。例如,可以显示关于CPU 和内存使用情况、页面错误、句柄计数以及许多其他参数的信息。 3) “性能”选项卡显示计算机动态性能,包括CPU 和内存使用情况的图表,正在运行的句柄、线程和进程的总数,物理、核心和认可的内存总数 (KB) 等。 实验目的 通过在Windows 任务管理器中对程序进程进行响应的管理操作,熟悉操作系统进程管理的概念,学习观察操作系统运行的动态性能。 工具/准备工作 在开始本实验之前,请回顾教科书的相关内容。 需要准备一台运行Windows 2000 Professional操作系统的计算机。
实验内容与步骤 1. 使用任务管理器终止进程 2. 显示其他进程计数器 3. 更改正在运行的程序的优先级 启动并进入Windows环境,单击Ctrl + Alt + Del键,或者右键单击任务栏,在快捷菜单中单击“任务管理器”命令,打开“任务管理器”窗口。 在本次实验中,你使用的操作系统版本是: Window 2000 5.00.2195 Service Pack 4 当前机器中由你打开,正在运行的应用程序有: Windows“任务管理器”的窗口由3个选项卡组成,分别是: 当前“进程”选项卡显示的栏目分别是 (可移动窗口下方的游标/箭头,或使窗口最大化进行观察) : 1. 使用任务管理器终止进程 步骤1:单击“进程”选项卡,一共显示了____个进程。请试着区分一下,其中: 系统 (SYSTEM) 进程有_____个,填入表3-1中。 表3-1 实验记录 映像名称用户名CPU内存使用
系统安全防范之Windows日志与入侵检测
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
查看系统操作日志
如何查看电脑使用记录 系统设置 : 怎样在日志里面记录用户地登陆、对文件地访问等信息? : "开始"—>"运行"—>""—>"计算机配置"—>"设置"—>"安全设置"—>"本地策略"—>"审计策略"—>...b5E2R。 .看计算机在哪天运行过运行了多久! (系统安装在盘) 找到:\\文件里面有你自这个系统产生以来曾经工作过地时间,包括哪天开了机开机时间关机时间! 也可以进入控制面版管理工具事件查看器系统可以看到开机和关机时间. .看你最近运行过什么程序: 找到:\\下.里面有记录你曾经运行过什么程序,文件最前面地及为程序名,后面地执行代码不用理他!如果你没有优化过地话这里面保存地东西应该是非常有价值地!p1Ean。 .看你最近打开过什么文件(非程序)和文件夹! 开始运行
.看最近在网上做了什么…………等等 显示所有文件个文件夹,找到:\ \\ 目录你慢慢探索一下这个文件夹吧如果没有进行过磁盘清理或相关优化你所有记录可全在这个里面哦(包括你上网干了什么坏事可能还能有视频,图片罪证呢!呵呵)DXDiT。 .查看最近删除了什么:这就要用到硬盘恢复工具啦把你曾经以为彻底删除掉地东西都给你翻出来哈哈!! 相关软件(以下软件较旧,可以找相关新版地软件,自己去百度搜索吧). 文件大小:更新时间:下载次数:次软件星级:★★★ 可以即时地监测你地电脑,当你地电脑有改变地时候,它会立刻提示你,从而让你作出选择. 软件分类:系统监视操作系统:授权方式:试用版RTCrp。 文件大小:更新时间:下载次数:次软件星级:★★★ 可说是地加强版,有别于地一次只可以监控一个文件,可以监控一个文件夹中下地所有文件. 软件分类:系统监视操作系统:授权方式:试用版5PCzV。
如何查看电脑使用记录
一、如何查看电脑开机记录 1.打开“我的电脑”,C盘Windows目录下有很多文件,找到一个SchedLgU.txt(或者开始-运行SchedLgU.txt)。它是“计划任务”的日志,会忠实地记录电脑计划任务的执行情况,还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”,双击“管理工具”,然后打开“事件查看器”,在左边的窗口中选择“系统”选项。单击鼠标右键,在弹出的快捷菜单中选择“属性”,在打开的“系统属性”窗口中选择“筛选器”选项卡,在“事件类型”下面选中“信息”复选项,并在“事件来源”列表中选择“eventlog”选项,继续设定其他条件后,单击“确定”按钮,即可看到需要的事件记录了。双击某条记录,如果描述信息为“事件服务已启动”,那就代表计算机开机或重新启动的时间,如果描述信息是“事件服务已停止”,即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序,文件最前面的为程序名,后面的执行代码不用理他!如果你没有优化过的话~这里面保存的东西应该是非常
有价值的! 2.看你最近打开过什么文件(非程序)和文件夹(最近打开文件的历史记录)! "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator (Administrator改成你的用户名)"-"Recent"(或开始-运行-recent)。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始-运行-Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始-文档中可以看到最近使用过的文件。 5. 电脑日志记录:开始/控制面板/性能和维护(经典视图里去掉这个)/管理工具/事件查看器,看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始-运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址,可以在IE里点击历史记录。
关于windows任务管理器5个不错的替代选择
关于windows任务管理器5个不错的替代选择 ZD至顶网CIO与应用频道06月23日专栏:任务管理器可以帮助你查看系统进程,但不是你可以使用的唯一一个工具。下面名单中的应用可能更适合你。Windows任务管理器一直是一个非常方便的资源,可以用于监控运行中的进程,用于终止不能通过正常手段关闭的应用。不过,和Windows任务管理器一样,有很多其他应用可以替代任务管理器,提供多样的、与任务管理器相关的服务。本文将罗列这样5个应用。1、Security Task ManagerSecurity Task Manager (如图A)可能是这个名单中最不寻常的工具。与其任务管理器一样,这款应用为你显示系统中正在运行的进程。但是这款应用与众不同之处在于,显示的进程信息突出强调了安全性。这款应用不仅提供了病毒扫描链接,而且给每个进程分配了一个安全等级,帮助你确定哪些进程可能是恶意进程。图A右键点击一个进程,打开菜单,可以进入进程所在的文件夹。你还可以Google搜索这个进程,检查病毒,评论,查看其属性。评价进程让你可以将它标记为危险的或者安全的进程,并添加注释记录你的理由。Security Task Manager 售价29美元,有免费试用版可供下载。2、Task Manager FixTask Manager Fix(如图B)是一款修复Windows任务管理器的免费工具。我曾经考虑过不把这款应用列入这个名单
中,因为它不像其他应用,实际上它并不具备我会所谓的功能集。尽管如此,我认为它仍然有自己的优点。图B多年来,我已经遇到过很多会禁用任务管理器的恶意软件。一些恶意会攻击任务管理器,这样受害人就无法使用任务管理器终止与恶意软件相关的进程。这个简单的应用要求任务管理器符合这种情况。它包含一个按钮。点击这个按钮就可以恢复任务管理器到正常的状态。3、AnVir Task Manager ProAnVir Task Manager Pro(如图C)是一款功能丰富的任务管理器替代选择。这款工具提供了标签列出启动项、应用、进程、服务和日志条目。每个标签包含过滤机制,让各种条目显示或者隐藏。除了常用任务管理器功能之外,这款工具让你可以编辑系统启动,提供管理罗列项目的详细信息。事实上,这款应用提供了大约20多种你可以选择显示或者隐藏的项目。图C企业网盘前景看好售价49.95美元,有免费试用版可供下载,此外也有免费版本。4、Remote Task ManagerRemote Task Manager(如图D)类似于原生的Windows任务管理器,但它是针对管理远程系统中的任务而设计的。它提供了关于应用、进程、服务、设备和事件的信息。它还允许应用发布到远程系统中。图DRemote Task Manager售价40美元,有免费试用版可供下载。5、Free Extended Task ManagerFree Extended Task Manager(如图E)包括一系列标签,罗列了汇总信息、应用、进程、服务、性能、网络、用户和端口使
WindowsXP系统任务管理器使用技巧
任务栏管理器系统自带的一个很方便的软件。长久以来,大家也仅仅是习惯性的点击ctrl+alt+del来调出任务管理器了,然后取消某个失去相应的程序而已。其实任务管理器很强大的,它能很直观反映有系统的许多的东西,并且可以很方便的进行某些操作。在我们使用过程中有些技巧已经为大家所熟悉,但还有些技巧或许不是你都知道的,这里我给大家说一说任务栏管理器的一些应用或是技巧。看看能否对你将来使用电脑的时候有所帮助。一. 任务管理器的调出 1. 相信大多数朋友都会用左手按住左ctrl和alt,然后右手点击小键盘的del键来调出任务栏管理器。 2.单手按住左边的ctrl和alt,伸出一个手指来按文档控制的那个delete键也相当与ctrl+alt+del的功效。 3.你也可以选用右手按ctrl+alt+Esc也能调出任务管理器。 4.最简单的方法就是用鼠标在任务栏空白处点击右键,在弹出的菜单选择任务栏管理器即可。二. 任务管理器的外观 1. 这个问题曾经困扰着一些人,因为他们不小心把任务栏管理器弄成这个样子了,就象一个空白框,不知道怎么恢复了。其实很简单之所以能弄成这个样子,是因为你在任务管理器窗体上双击了左键。解决的方法也是相当的简单:再次双击就回复正常窗口的样子。 2. 选择不同的选项卡后再对窗体双击可以有不同的内容显示,这样你可以更加详细的对进程,或是网络cpu占用情况分析了。三. 任务栏管理器个选项卡的技巧 1. 应用程序栏:任意窗口的层叠,通过任务栏右键菜单中的“层叠窗口”命令,可以让所有打开的窗口层叠显示,但如果只是想让其中的几个窗口层叠显示出来,就要借助任务管理器了。在任务管理器的“应用程序”选项卡中选中想要层叠显示的程序窗口,然后单击右键,从菜单中执行“层叠”命令即可。此外,我们还可以随意最大化、最小化或前置指定的窗口。 2. 进程栏:在任务管理器的菜单―》查看―》选择列中可以定义要在进程栏里显示的内容,这里有许多专业的分析项目可以供你选择,比如虚拟内存大小。有些软件占用内存特别小的原因就是它用了不小的虚拟内存。默认的情况下,Windows XP任务管理器中的进程列表并不是按照名称进行排列的,查看起来不太方便,只要单击列表栏上方的文字标签,就可以让进程列表按序排列。例如单击“映像名称”标签,列表就会以进程名称的英文字母进行排序,单击“内存”标签,则可以按照内存使用量进行排序。 3. 用户栏:在这个栏目里,你可以注销已经登陆本机用户。如果你的权限足够,你可以断开任何登陆用户的登陆,如果有远程用户登陆本机。你可以选择发送消息给他。四. 任务栏管理器的升级其实任务栏管理器本身算的上一个不用安装的绿色程序了。你只需要把它拷倒你的机器上就能用了。最近网上流传着longhorn的任务管理器。这个版本的任务栏管理器比现在的windows xp版本任务栏管理器在进程那个选项里多了一个“映象路径”的功能,这样你就可以很方便的定位现在运行的进程位置。这一特性在我们对于可疑进程的鉴别上很有帮助。当然你可以用它来替换你现在使用的任务管理器。下载地址:https://www.360docs.net/doc/ab10152203.html,/down.php?id=26494&url=1使用方法:1、用附件中的三个文件覆盖Windowssystem32dllcache 下的同名文件。2、再用这三个文件覆盖Windowssystem32 目录下的同名文件,此时会弹出“Windows 文件保护”对话框,选择“取消”,然后选择“是”。然后你就可以按“Ctrl+Shift+Esc”或“Ctrl+Alt+Del”来使用新的任务管理器了。点击“进程”标签,然后在查看菜单下的“选择列。。。”中可以设置显示“命令行”和“映象路径”五. 任务管理器的一个特殊功能在点击菜单―》关机―》关闭选项的时候同时按住ctrl键的话。机器会在1秒左右关闭。更多请访问https://www.360docs.net/doc/ab10152203.html,/
Windows任务管理器的设计与实现
Windows任务管理器的设计与实现毕业设计(作业) 毕 业 指 导 学生学院 系 专业 学生要求 交 199 windows任务管理器设计与实现 年12月19日XXXX
: ::::::: 摘要 据国外研究公司统计随着个人电脑进入千家万户,电脑操作系统中的任务管理器也越来越为越来越多的用户所熟悉和使用。 任务管理器是一个在视窗系统中管理应用程序和进程的工具。它通常由视窗操作系统提供,并有提供增强功能的第三方软件。通过任务管理器,用户可以轻松查看当前运行的程序、进程、用户、网络连接以及系统对内存和CPU资源的使用情况,并可以强制结束一些程序和进程。此外,用户可以监控系统资源的使用。 视窗任务管理器首次出现在微软公司1998年发布的视窗98操作系统中。从那以后,微软视窗操作系统的所有版本都集成了任务管理器。任务管理器不是视窗系统的专利。它广泛用于各种操作系统。苹果的苹果操作系统中有一个类似的活动监视器,基于Linux的ubuntu操作系统中有一个类似的功能系统监视器 窗口任务管理器提供有关计算机性能的信息,并显示有关计算机上运行的程序和进程的详细信息。如果您连接到网络,您还可以查看网络状态,并快速了解网络如何工作。它的用户界面提供了六个菜单项,包括文件、选项、视图、窗口、关机、帮助,以及五个选项卡,包括应用程序、进程、性能、网络和用户
项目的设计是一个模拟视窗任务管理器开发的视窗过程管理软件。主要设计是一个基于窗体的C#程序。标签控件放置在主对话框上,创建了应用程序、过程和性能的三个页面。标签控件用于选择和显示页面。这三个页面分别用于显示当前运行的窗口程序、进程和进程模块以及系统资源使用情况该程序还实现了结束任务和管理流程的基本功能。在的设计过程中,任务、进程、线程模块和系统资源使用等信息可以通过调用窗口应用编程接口函数来获得最后,在Windows10系统上对系统进行了测试,实现了流程管理的基本功能。关键词:任务经理;螺纹;过程;API 条目 1目录摘要.................................................................................................................. .. (i) 第一章简介 (1) 1.1项目背景:.............................................1 1.2国内外研究现状;................................1 1.3研究意义.............................的主要研究内容.................1 1.4的论文简要介绍了MicrosoftVisualStudio的开发环境.............................2 1.5。. (2) 1.5.1发展历史................................2 1.6工艺和螺纹介绍.. (4)
事件查看器对应解释
Windows2003 事件查看器事件ID对应解释 使用本模块可以实现下列目标: ?识别由Microsoft? Windows Server? 2003 操作系统生成的安全事件。 返回顶部 适用范围 本模块适用于下列产品和技术: ?W indows Server 2003 返回顶部 如何使用本模块 本模块是“Windows Server 2003 安全指南”的补充内容。本模块中的表可以用作快速参考,以帮助您识别在Microsoft? Windows 操作系统事件日志中所记录的与安全有关的事件。本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。 返回顶部 帐户登录事件 表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 表1:审核帐户登录事件 事件 事件描述 ID 672 已成功颁发和验证身份验证服务(AS) 票证。 673 授权票证服务(TGS) 票证已授权。TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 674 安全主体已更新AS 票证或TGS 票证。 675 预身份验证失败。用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。 676 身份验证票证请求失败。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 677 TGS 票证未被授权。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 678 帐户已成功映射到域帐户。 681 登录失败。尝试进行域帐户登录。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 682 用户已重新连接至已断开的终端服务器会话。 683 用户未注销就断开终端服务器会话。
30天自制操作系统日志第3天
操作系统实验日志 一、实验主要内容 1、制作真正的IPL,即启动程序加载器,用来加载程序。 添加的代码关键部分如下: MOV AX,0x0820 MOV ES,AX MOV CH,0 ;柱面0 MOV DH,0 ;磁头0 MOV CL,2 MOV AH,0x02 ;AH=0x02:读盘 MOV AL,1 ;执行1个扇区 MOV BX,0 MOV DL,0x00 ; A驱动器(现在都只有一个驱动器了) INT 0x13 ;调用磁盘BIOS JC error 这里有JC指令,是一些特定指令中的一种,后面知识点收录有。JC就是jump if carry,如果进位标志位1的话,就跳转。就是成功调用0x13就会跳转到error处。 INT 0x13又是一个中断,这里AH是0x02的时候是读盘的意思,就是要把磁盘的内容写入到内存中。今天实验用到了4个软中断,都记在知识点里了。 至于CH\DH\CL\AL三个寄存器呢,就分别是柱面号、磁头号、扇区号、执行的扇区数。那么含有IPL的启动区位于:C0-H0-S1 (Cylinder, magnetic Head, Sector) 然后ES\BX和缓冲地址有关。
2、缓冲区地址0x0820 MOV AL,[ES:BX] ; ES*16+BX -> AL 说是原来16位的BX只能表示0~65535,后来就引入了一个段寄存器,用MOV AL,[ES:BX] ; ES*16+BX -> AL这样的方法就可以表示更大的地址,就够当时用了,可以指定1M内存地址了。那么这里我们就是将0X0820赋值给ES,BX为0,这样ES*16后就访问0X8200的地址,那么就是讲软盘数据转载到0X8200到0X83ff的地方。 3、试错以及读满10个柱面 MOV AX,0x0820 MOV ES,AX MOV CH,0 MOV DH,0 MOV CL,2 readloop: MOV SI,0 ; 记录失败的次数,SI达到5就停止 retry: MOV AH,0x02 MOV AL,1 MOV BX,0 MOV DL,0x00 INT 0x13 JNC next ; 没出错就跳到next ADD SI,1 ; SI加一 CMP SI,5 ; SI和5比较 JAE error ; SI >= 5 时跳转到error MOV AH,0x00 MOV DL,0x00 INT 0x13 ; 重置驱动器,看上面AH变为0X00和0X02功能不同 JMP retry next:
教你怎么用任务管理器
教你怎么用任务管理器 任务管理器相信大家都很熟悉,因为它是windows系统中大家经常会用到的一个程序,通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。 1.在网吧也能“运行” 经常泡在网吧的朋友们都知道,网吧的机子通常来说都会将运行对话框屏蔽掉,如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时用来代替运行对话框的作用。 先按住“Ctrl+Alt+Del”组合键尝试一下能否调出任务管理器,能调出就好办了,我们依次任务管理器的菜单“文件→新建任务”,弹出“创建新任务”窗口,输入内容试试看,它跟运行对话框效果是一样的哦! 2.快速刷新注册表 许多软件在安装后会提示我们需要重新启动才能让软件正常使用,其实大部分时候这些软件只是在“小题大做”,因为重启仅仅是为了让注册表更新而已,我们可以利用任务管理器来更快地让软件生效。 方法为:在“进程”选项卡中用鼠标选择“explorer.exe”进程,然后右下角的“结束进程”按钮将它结束,这个时候桌面显示消失了。不必惊慌,我们在“创建新任务”窗口中输入“explorer.exe”。运行即可让桌面恢复显示,同时计算机的注册表也会被更新,现在软件就能正常使用了。 3.优化游戏运行 许多朋友都和一样还在使用1GB以下的内存,所以当我们玩3D游戏的时候就会觉得运行有些卡,这个时候除了使关闭游戏以外的所有程序以外,似乎再没有其他节省内存的办法了,其实我们可以在运行游戏前先在任务管理器中结束“ex plorer.exe”进程,因为它在很多情况下可都是内存耗用大户,结束它可为我们的游戏增加几十MB的可用内存,游戏效果当然会有改善。 不过此时没了桌面显示,启动游戏的方法也有所改变,我们需要打开“文件→新建任务”,然后“浏览”按钮进入游戏目录载入游戏主程序,“确定”即可运行游戏。 4.恢复浏览器网址列表 在国内被众多用户宠爱的多页面浏览器傲游和GreenBrowse都设置有一个人性化的功能,即在关闭浏览器时可以保留当前浏览的网页地址为列表以便下次打开继续浏览。不过如果在下次浏览网页之前不小心调用了它们来打开过其他关联文件,那么你保留的重要网页地址便会化为乌有了。 别着急,下面请你跟我们一起来对它施以小小“魔法”吧,保证让你的网页地址都恢复回来。记住,下次当你不小心调用了浏览器时,千万不要急忙,这时我们可以按下“Ctrl+Alt+Del”组合键,调出“Windows任务管理器”,在“进程”选项窗口内找出与傲游对应的“Maxthon.exe”映像,鼠标选中后按右下角“结束进程”将浏览器强制退出。现在重启浏览器看看,网页地址列表完整如初吧。 5.让电脑一秒关机 有时我们赶时间离开可能等不及电脑慢吞吞关机过程,但又担心插座未断电造成电能浪费,如果使用的是Windows XP系统,我们此时可以用任务管理器实现一秒关机。先调出“任务管理器”,按住“Ctrl”键同时窗口菜单“关机→关闭”,一秒钟后电脑关闭,OK,现在可以断开插座电源马上“闪人”了。
windows任务管理器各进程详解.
windows 任务管理器各进程详解 Win2000/XP 的任务管理器是一个非常有用的工具, 它能提供我们很多信息, 比如现在系统中运行的程序 (进程 ,但是面对那些文件可执行文件名我们可能有点茫然,不知道它们是做什么的,会不会有可疑进程 (病毒,木马等。本文的目的就是提供一些常用的 Win2000/XP 中的进程名,并简单说明它们的用处。 在 W2K/XP中,同时按下 crtl+shift+Esc键,可以打开 Windows 任务管理器,单击“进程” , 可以看到很多正在运行的进程,仔细看看有很多奇怪的 EXE 文件在运行?下面这些并不是真正的服务,而是在不同情况下运行的程序或进程,很多还是必需的进程。 【 Csrss 】 :这是 Windows 的核心部份之一,全称为 Client Server Process。我们不能结束该进程。这个只有 4K 的进程经常消耗 3MB 到 6MB 左右的内存, 建议不要修改此进程, 让它运行好了。 【 Ctfmon 】 :这是安装了 WinXP(尤其是安装 ofice XP后,在桌面右下角显示的“语言栏” , 如果不希望它出现, 可通过下面的步骤取消:双击“控制面板” , “区域和语言设置” , 单击“语言”标签,单击“详细信息”按钮,打开“文字服务和输入语言”对话框,单击下面“首选项”的“语言栏”按钮,打开“语言栏设置”对话框,取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节,它会为你节省 1.5MB 到 4MB 的内存。 【 dovldr32】 :如果你有一个 Creative SBLive 系列的声卡,就可能击现这个进程,它占用大约 2.3MB 到 2.6MB 的内存。有些奇怪的是, 当我从任务栏禁止了这个进程后, 通过 DVD 实验, 并没有发生任何错误。但如果你将这个文件重新命名了,就会出现 windows 的文件保护警告窗口,而且 Creative Mixer 和 AudioHQ 程序加载出错。当然你希望节省一些内存,那么可以将它禁止。 【 explorer 】 :这可不是 Internet Explorer , explorer.exe 总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果打开“任务管理器” ,就会看到一个
巧用事件查看器维护服务器安全
巧用事件查看器维护服务器安全 (一)事件查看器相关知识 事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人 员维护系统有一定的借鉴和参考。 (一)事件查看器相关知识 1.事件查看器 事件查看器是Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查 看器: (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口 (2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。 (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响 应。 (3)系统日志 包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了Windows 操作系统对事件的分 类。事件查看器显示如下类型的事件: