搜索
服务器事件查看器事件查看器能看些什么事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows的安全事件提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc/s”打开事件查看器窗口。1.应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。2.安全性日志记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。3.系统日志包含WindowsXP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件:6006,如果你在某一天的事件查看器中没有发现ID为6006的事件,那么说明计算机在当天未正常关机,双击打开“事件属性”窗口,如果看到手描述为“事件日志服务已停止”,说明这里的“时间”是指计算机正常关机的时间。如果机子被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。小日志包含大信息朋友们可千万别轻视这些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔细分析,肯定可以在这里找到很多有用的信息,这样会有助于你解决系统错误。1.信息:描述了应用程序、驱动程序或服务的成功操作的事件,例如当网络驱动程序加载成功时,将会记录一个“信息”事件,图1所示的是趋势科技防毒精灵专业版被成功删除的事件,从这里可以看到事件头包括日期、时间、用户、计算机机、事件ID、来源、类型、类别等信息,在“描述”列表框中则列出了相应的说明和查看更多信息的链接地址,从这个链接地可以指向Microsoft的“统一资源定位器”(URL)地址。大部分情况下,这一类的事件内容没有必要去逐项查看,除非你有某些特别的需要。2.成功审核:成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件3.失败审核:失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。4.警告:虽然不是很重要,但是将来有可能导致问题的事件,这种情况下应该检查问题所在。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。5.错误:重要的问题,例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来,这种情况下有必要检查系统。例如,图3所示的错误事件是服务器没有在限定的时间内用DCOM注册,点击描述中的链接会自动转到相应的帮助页面,根据提示进行相应的操作即可,如果你有兴趣的话,可以好好研究这里的内容,相信假以时日,你会成为一个DIYer的。定期释放多余的日志事实上,大部分时间记录下来的系统事件,都是一些流水账,随着时间的增加,系统日志的个头也会不断膨胀,当达到事先设置的日志大小后,会停止记录新的事件,因此我们需要定期释放多余的日志。选中需要清除的日志,然后从“操作”菜单中选择“清除所有事件”,此时会弹出图4所示的对话框询问是需要将当前日志保存下来,选择“是”会在清除之前将日志保存下来,选择“否”将永久丢弃当前事件记录,并开始记录新的事件。假如你觉得如果操作太繁琐的话,可以在活动日志的“属性”对话框中,选择“不改写事件(手动清除日志)”,可以看到默认设置的“最大日志文件大小”只有512KB,我们可以根据实际情况重新设置这个值,以后当日志达到一定的大小或出现提示日志已满的信息时,系统会自动清除日志;或者选择“按需要改写事件”,这样可以确保在日志写满时也能够将所有的新事件写入日志,当然如此一来的话,新日志会自动覆盖旧日志。不过,需要说明的,用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除或改写事件日志。或者,你也可以进入\WINDOWS\SYSTEM32\config\文件夹,其中以*.evt作为扩展名的文件就是所谓的日志文件,AppEvent.evt即“应用程序”日志,SysEvent.evt即“系统”日志,SecEvent.evt即“安全性”日志,直接在这里删除相应的文件就可以了,不过如果你使用的是NTFS格式的系统,在删除日志文件之前必须首先关闭事件检查器服务才行。除了使用“事件查看器”管理事件日志外,我们也可以使用命令行工具来创建和查询事件日志,以及使程序与特殊的日志事件关联,例如“Eventcreate.exe”可创建自定义的事件日志,“Eventquery.vbs”可从一个或多个事件日志中列出事件和事件属性,“Eventtriggers.exe”可创建事件触发器,这样当特定事件日志发生时将自动执行相应的程序,从而弥补了事件查看器无法实时跟踪可疑事件的不足,感兴趣的朋友们不妨试试。---------------------------------------审核WINDOWS安全日志安全日志是非常重要的系统记录器,不论是自己的操作还是别人远程恶意的操作都可以通过安全日志来体现出来,虽然现在的杀软已经反间谍软件已经很成熟了,但这并不代表你的系统就固若金汤,如果别人在你不注意的情况下悄悄的进入了你的电脑,而杀软却没有反应,如果揪出真凶呢?那么就要从安全日志下手了.登录类型登录类型2:交互式登录(INTERACTIVE)本地键盘上的登录,基于网络上的KVM登录也是这种类型!登录类型3:网络(NETWORK)当你从网络上访问一台PC时WINDOWS记为类型3,常见的是通过网络连接到共享文件夹或共享打印机!登录类型4:批处理(BATCH)运行计划任务是产生的记录类型..也可能是HACKER通过它来猜测用户密码!登录类型5:服务(SERVICE)一个服务开始时,WINDOWS为这个特定的用户创造的一个登录会话,记为类型5!登录类型7:解锁(UNLOOK)解除锁定的PC密码,比如对屏保密码的解除操作!登录类型8:网络明文(NETWORKCLEARTEXT)网络明文传输!登录类型9:新凭证(NEWCREDENTIALS)登录类型10:远程交互(REMOTEINTERACTIVE)通过终端服务,远程桌面,或远程协约访问PC时,WINDOWS记为类垀?10!登录类型11:缓存交互(CACHEDINTERACTIVE)安全事件日志中的事件编号与描述........................................................................................帐号登录事件........................(事件编号与描述)672身份验证服务(AS)票证得到成功发行与验证。673票证授权服务(TGS)票证得到授权。TGS是一份由Kerberos5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。674安全主体重建AS票证或TGS票证。675预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。676身份验证票证请求失败。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。677TGS票证无法得到授权。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。678指定帐号成功映射到一个域帐号。681登录失败。域帐号尝试进行登录。这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。682用户重新连接到一个已经断开连接的终端服务器会话上。683用户在没有注销的情况下与终端服务器会话断开连接。帐号管理事件......................624一个用户帐号被创建。627一个用户密码被修改。628一个用户密码被设置。630一个用户密码被删除。631一个全局组被创建。632一个成员被添加到特定全局组中。633一个成员从特定全局组中被删除。634一个全局组被删除。635一个新的本地组被创建。636一个成员被添加到本地组中。637一个成员从本地组中被删除。638一个本地组被删除。639一个本地组帐号被修改。641一个全局组帐号被修改。642一个用户帐号被修改。643一个域策略被修改。644一个用户帐号被自动锁定。645一个计算机帐号被创建。646一个计算机帐号被修改。647一个计算机帐号被删除。648一个禁用安全特性的本地安全组被创建。说明:正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。649一个禁用安全特性的本地安全组被修改。650一个成员被添加到一个禁用安全特性的本地安全组中。651一个成员从一个禁用安全特性的本地安全组中被删除。652一个禁用安全特性的本地组被删除。653一个禁用安全特性的全局组被创建。654一个禁用安全特性的全局组被修改。655一个成员被添加到一个禁用安全特性的全局组中。656一个成员从一个禁用安全特性的全局组中被删除。657一个禁用安全特性的全局组被删除。658一个启用安全特性的通用组被创建。659一个启用安全特性的通用组被修改。660一个成员被添加到一个启用安全特性的通用组中。661一个成员从一个启用安全特性的通用组中被删除。662一个启用安全特性的通用组被删除。663一个禁用安全特性的通用组被创建。664一个禁用安全特性的通用组被修改。665一个成员被添加到一个禁用安全特性的通用组中。666一个成员从一个禁用安全特性的通用组中被删除。667一个禁用安全特性的通用组被删除。668一个组类型被修改。684管理组成员的安全描述符被设置。说明:在域控制器上,一个后台线程每60秒将对管理组中的所有成员(如域管理员、企业管理员和架构管理员)进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。685一个帐号名称被修改。审核登录事件......................528用户成功登录到计算机上。529登录失败:试图使用未知用户名或带有错误密码的已知用户名进行登录。530登录失败:试图在允许时间范围以外进行登录。531登录失败:试图通过禁用帐号进行登录。532登录失败:试图通过过期帐号进行登录。533登录失败:试图通过不允许在特定计算机上进行登录的用户帐号进行登录。534登录失败:用户试图通过不允许使用的密码类型进行登录。535登录失败:针对指定帐号的密码已经过期。536登录失败:网络登录服务未被激活。537登录失败:由于其它原因导致登录失败。说明:在某些情况下,登录失败原因可能无法确定。538针对某一用户的注销操作完成。539登录失败:登录帐号在登录时刻已被锁定。540用户成功登录到网络。541本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换(IKE)身份验证操作已经完成(建立一条安全关联),或者快速模式已经建立一条数据通道。542数据通道被中断。543主模式被中断。说明:这种事件可能在安全关联时间限制到期(缺省值为8小时)、策