|
事件查看器 在 Windows XP 中,事件是在系統(tǒng)或程序中發(fā)生的,、要求通知用戶的任何重要事情,或者是添加到日志中的項(xiàng),。事件日志服務(wù)在事件查看器中記錄應(yīng)用程序,、安全和系統(tǒng)事件。通過(guò)使用事件查看器中的事件日志,,您可以獲取有關(guān)硬件,、軟件和系統(tǒng)組件的信息,并可以監(jiān)視本地或遠(yuǎn)程計(jì)算機(jī)上的安全事件,。事件日志可幫助您確定和診斷當(dāng)前系統(tǒng)問(wèn)題的根源,,還可以幫助您預(yù)測(cè)潛在的系統(tǒng)問(wèn)題。 事件日志類型 基于 Windows XP 的計(jì)算機(jī)將事件記錄在以下三種日志中: * 應(yīng)用程序日志 應(yīng)用程序日志包含由程序記錄的事件,。例如,,數(shù)據(jù)庫(kù)程序可能在應(yīng)用程序日志中記錄文件錯(cuò)誤。寫入到應(yīng)用程序日志中的事件是由軟件程序開(kāi)發(fā)人員確定的,。 * 安全日志 安全日志記錄有效和無(wú)效的登錄嘗試等事件,,以及與資源使用有關(guān)的事件(如創(chuàng)建、打開(kāi)或刪除文件),。例如,,在啟用登錄審核的情況下,每當(dāng)用戶嘗試登錄到計(jì)算機(jī)上時(shí),,都會(huì)在安全日志中記錄一個(gè)事件,。您必須以 Administrator 或 Administrators 組成員的身份登錄,才能打開(kāi),、使用安全日志以及指定將哪些事件記錄在安全日志中,。 * 系統(tǒng)日志 系統(tǒng)日志包含 Windows XP 系統(tǒng)組件所記錄的事件。例如,,如果在啟動(dòng)過(guò)程中未能加載某個(gè)驅(qū)動(dòng)程序,,則會(huì)在系統(tǒng)日志中記錄一個(gè)事件。Windows XP 預(yù)先確定由系統(tǒng)組件記錄的事件,。 回到頂端 如何查看事件日志 要打開(kāi)事件查看器,,請(qǐng)按照下列步驟操作: 1. 單擊“開(kāi)始”,然后單擊“控制面板”,。單擊“性能和維護(hù)”,,再單擊“管理工具”,然后雙擊“計(jì)算機(jī)管理”,?;蛘撸蜷_(kāi)包含事件查看器管理單元的 MMC。 2. 在控制臺(tái)樹(shù)中,,單擊“事件查看器”,。 應(yīng)用程序日志、安全日志和系統(tǒng)日志顯示在“事件查看器”窗口中,。 回到頂端 如何查看事件詳細(xì)信息 要查看事件的詳細(xì)信息,,請(qǐng)按照下列步驟操作: 1. 單擊“開(kāi)始”,然后單擊“控制面板”,。單擊“性能和維護(hù)”,,再單擊“管理工具”,然后雙擊“計(jì)算機(jī)管理”,?;蛘撸蜷_(kāi)包含事件查看器管理單元的 MMC,。 2. 在控制臺(tái)樹(shù)中,,展開(kāi)“事件查看器”,然后單擊包含您要查看的事件的日志,。 3. 在詳細(xì)信息窗格中,,雙擊您要查看的事件。 會(huì)顯示“事件屬性”對(duì)話框,,其中包含事件的標(biāo)題信息和描述,。 要復(fù)制事件的詳細(xì)信息,請(qǐng)單擊“復(fù)制”按鈕,,使用要在其中粘貼事件的程序(例如 Microsoft Word)打開(kāi)一個(gè)新文檔,,然后單擊“編輯”菜單上的“粘貼”。 要查看上一個(gè)或下一個(gè)事件的描述,,請(qǐng)單擊上箭頭或下箭頭,。 回到頂端 如何解釋事件 每個(gè)日志項(xiàng)都按類型進(jìn)行分類,并包含事件的標(biāo)題信息和描述,。 事件標(biāo)題 事件標(biāo)題包含以下關(guān)于事件的信息: * 日期 事件發(fā)生的日期,。 * 時(shí)間 事件發(fā)生的時(shí)間。 * 用戶 事件發(fā)生時(shí)已登錄的用戶的用戶名,。 * 計(jì)算機(jī) 發(fā)生事件的計(jì)算機(jī)的名稱,。 * 事件 ID 標(biāo)識(shí)事件類型的事件編號(hào)。產(chǎn)品支持代表可以使用事件 ID 來(lái)幫助了解系統(tǒng)中發(fā)生的情況,。 * 來(lái)源 事件的來(lái)源,。它可以是程序、系統(tǒng)組件或大型程序的單個(gè)組件的名稱,。 * 類型 事件的類型,。它可以是以下五種類型之一:錯(cuò)誤,、警告、信息,、成功審核或失敗審核,。 * 類別 按事件來(lái)源對(duì)事件進(jìn)行的分類。它主要用于安全日志,。 事件類型 所記錄的每個(gè)事件的說(shuō)明取決于事件類型,。日志中的每個(gè)事件都可歸類為以下類型之一: * 信息 描述任務(wù)(如應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù))成功運(yùn)行的事件,。例如,當(dāng)網(wǎng)絡(luò)驅(qū)動(dòng)程序成功加載時(shí)將記錄“信息”事件,。 * 警告 不一定重要但可能表明將來(lái)有可能出現(xiàn)問(wèn)題的事件,。例如,當(dāng)磁盤空間快用完時(shí)將記錄“警告”消息,。 * 錯(cuò)誤 描述重要問(wèn)題(如關(guān)鍵任務(wù)失?。┑氖录,!板e(cuò)誤”事件可能涉及數(shù)據(jù)丟失或功能缺失,。例如,當(dāng)啟動(dòng)過(guò)程中無(wú)法加載服務(wù)時(shí)將記錄“錯(cuò)誤”事件,。 * 成功審核(安全日志) 描述成功完成受審核安全事件的事件,。例如,當(dāng)用戶登錄到計(jì)算機(jī)上時(shí)將記錄“成功審核”事件,。 * 失敗審核(安全日志) 描述未成功完成的受審核安全事件的事件,。例如,當(dāng)用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)驅(qū)動(dòng)器時(shí)可能記錄“失敗審核”事件,。 回到頂端 如何在日志中查找事件 事件日志的默認(rèn)視圖將列出其所有項(xiàng),。如果您需要查找特定的事件或查看事件子集,則可以搜索日志,,也可以對(duì)日志數(shù)據(jù)應(yīng)用篩選器,。 如何搜索特定的日志事件 要搜索特定的日志事件,請(qǐng)按照下列步驟操作: 1. 單擊“開(kāi)始”,,然后單擊“控制面板”,。單擊“性能和維護(hù)”,再單擊“管理工具”,,然后雙擊“計(jì)算機(jī)管理”,。或者,,打開(kāi)包含事件查看器管理單元的 MMC,。 2. 在控制臺(tái)樹(shù)中,,展開(kāi)“事件查看器”,然后單擊包含您要查看的事件的日志,。 3. 在“查看”菜單上,,單擊“查找”。 4. 在“查找”對(duì)話框中指定您要查看的事件的選項(xiàng),,然后單擊“查找下一個(gè)”,。 將在詳細(xì)信息窗格中突出顯示滿足搜索條件的事件。單擊“查找下一個(gè)”可按照搜索條件的定義找到下一個(gè)事件匹配項(xiàng),。 如何篩選日志事件 要篩選日志事件,,請(qǐng)按照下列步驟操作: 1. 單擊“開(kāi)始”,然后單擊“控制面板”,。單擊“性能和維護(hù)”,,再單擊“管理工具”,然后雙擊“計(jì)算機(jī)管理”,?;蛘撸蜷_(kāi)包含事件查看器管理單元的 MMC,。 2. 在控制臺(tái)樹(shù)中,,展開(kāi)“事件查看器”,然后單擊包含您要查看的事件的日志,。 3. 在“查看”菜單上,,單擊“篩選”。 4. 單擊“篩選”選項(xiàng)卡(如果尚未選擇它),。 5. 指定所需的篩選選項(xiàng),,然后單擊“確定”。 詳細(xì)信息窗格中將只顯示滿足篩選條件的事件,。 要使視圖重新顯示所有日志項(xiàng),,請(qǐng)單擊“查看”菜單上的“篩選”,然后單擊“還原默認(rèn)值”,。 回到頂端 如何管理日志內(nèi)容 默認(rèn)情況下,,日志的初始最大大小設(shè)置為 512 KB,當(dāng)達(dá)到此大小時(shí),,新事件將根據(jù)需要覆蓋舊事件,。您可以根據(jù)需要更改這些設(shè)置或清除日志內(nèi)容。 如何設(shè)置日志大小和覆蓋選項(xiàng) 要指定日志大小和覆蓋選項(xiàng),,請(qǐng)按照下列步驟操作: 1. 單擊“開(kāi)始”,,然后單擊“控制面板”。單擊“性能和維護(hù)”,,再單擊“管理工具”,,然后雙擊“計(jì)算機(jī)管理”,。或者,,打開(kāi)包含事件查看器管理單元的 MMC,。 2. 在控制臺(tái)樹(shù)中,展開(kāi)“事件查看器”,,然后右鍵單擊要設(shè)置其大小和覆蓋其選項(xiàng)的日志,。 3. 在“日志大小”下的“日志大小上限”框中鍵入所需的大小。 4. 在“達(dá)到日志大小上限時(shí)”下,,單擊所需的覆蓋選項(xiàng),。 5. 如果您要清除日志內(nèi)容,請(qǐng)單擊“清除日志”,。 6. 單擊“確定”,。 如何將日志存檔 如果您要保存日志數(shù)據(jù),可以將事件日志存檔為以下任何格式: * 日志文件格式 (.evt) * 文本文件格式 (.txt) * 逗號(hào)分隔的文本文件格式 (.csv) 要將日志存檔,,請(qǐng)按照下列步驟操作: 1. 單擊“開(kāi)始”,然后單擊“控制面板”,。單擊“性能和維護(hù)”,,再單擊“管理工具”,然后雙擊“計(jì)算機(jī)管理”,?;蛘撸蜷_(kāi)包含事件查看器管理單元的 MMC,。 2. 在控制臺(tái)樹(shù)中,,展開(kāi)“事件查看器”,右鍵單擊要將其存檔的日志,,然后單擊“另存日志文件”,。 3. 指定文件名和文件的保存位置。在“保存類型”框中,,單擊所需格式,,然后單擊“保存”。 將以指定的格式保存日志文件,。 |
|
|
