系统日志处理.doc

系统和防火墙日志查看、保留 系统日志 事件查看器 在 Windows XP 中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，您可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助您预测潜在的系统问题。 事件日志类型 基于 Windows XP 的计算机将事件记录在以下三种日志中： ? 应用程序日志 应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。 ? 安全日志 安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除文件）。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。您必须以 Administrator 或 Administrators 组成员的身份登录，才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。 ? 系统日志 系统日志包含 Windows XP 系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱动程序，则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记录的事件。 如何查看事件日志 要打开事件查看器，请按照下列步骤操作： 1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。 2. 在控制台树中，单击“事件查看器”。 应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。 如何查看事件详细信息 要查看事件的详细信息，请按照下列步骤操作： 1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。 2. 在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。 3. 在详细信息窗格中，双击您要查看的事件。 会显示“事件属性”对话框，其中包含事件的标题信息和描述。 要复制事件的详细信息，请单击“复制”按钮，使用要在其中粘贴事件的程序（例如 Microsoft Word）打开一个新文档，然后单击“编辑”菜单上的“粘贴”。 要查看上一个或下一个事件的描述，请单击上箭头或下箭头。 如何解释事件 每个日志项都按类型进行分类，并包含事件的标题信息和描述。 事件标题 事件标题包含以下关于事件的信息： ? 日期 事件发生的日期。 ? 时间 事件发生的时间。 ? 用户 事件发生时已登录的用户的用户名。 ? 计算机 发生事件的计算机的名称。 ? 事件 ID 标识事件类型的事件编号。产品支持代表可以使用事件 ID 来帮助了解系统中发生的情况。 ? 来源 事件的来源。它可以是程序、系统组件或大型程序的单个组件的名称。 ? 类型 事件的类型。它可以是以下五种类型之一：错误、警告、信息、成功审核或失败审核。 ? 类别 按事件来源对事件进行的分类。它主要用于安全日志。 事件类型 所记录的每个事件的说明取决于事件类型。日志中的每个事件都可归类为以下类型之一： ? 信息 描述任务（如应用程序、驱动程序或服务）成功运行的事件。例如，当网络驱动程序成功加载时将记录“信息”事件。 ? 警告 不一定重要但可能表明将来有可能出现问题的事件。例如，当磁盘空间快用完时将记录“警告”消息。 ? 错误 描述重要问题（如关键任务失败）的事件。“错误”事件可能涉及数据丢失或功能缺失。例如，当启动过程中无法加载服务时将记录“错误”事件。 ? 成功审核（安全日志） 描述成功完成受审核安全事件的事件。例如，当用户登录到计算机上时将记录“成功审核”事件。 ? 失败审核（安全日志） 描述未成功完成的受审核安全事件的事件。例如，当用户无法访问网络驱动器时可能记录“失败审核”事件。 如何在日志中查找事件 事件日志的默认视图将列出其所有项。如果您需要查找特定的事件或查看事件子集，则可以搜索日志，也可以对日志数据应用筛选器。 如何搜索特定的日志事件 要搜索特定的日志事件，请按照下列步骤操作： 1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。 2. 在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。 3. 在“查看”菜单上，单击“查找”。 4. 在“查找”对话框中指