刪除日誌文件並重啟電腦後,系統會自動恢復日誌文件,從而保證系統的正常運行。
使用事件查看器
使用系統維護工具Event Viewer,用戶可以利用事件日誌收集有關硬件、軟件和系統問題的信息,監控中文版Windows XP的安全事件,記錄Windows和其他應用程序運行過程中的錯誤事件,方便用戶診斷和糾正可能的系統錯誤和問題。14 . 4 . 1事件查看器當用戶需要查看工作日誌時,可以進行以下操作:(1)單擊開始按鈕,選擇控制面板命令,在打開的控制面板窗口中單擊管理工具圖標,然後在管理工具窗口中雙擊。(2)事件查看器窗口中有三種類型的日誌事件:應用程序日誌:記錄應用程序或壹般程序的事件。安全日誌:可以記錄安全事件,如有效和無效的登錄嘗試以及與資源使用相關的事件。例如創建、打開或刪除文件以及修改相關設置。系統日誌:包含由Windows XP系統組件記錄的事件,例如,在系統日誌中記錄啟動時要加載的驅動程序或其他系統組件的故障。(3)事件查看器顯示以下事件類型:信息:描述應用程序、驅動程序或服務成功運行的事件,例如,網絡驅動程序成功加載時會記錄壹個信息事件。警告:不是很重要但將來可能發生的問題。例如,如果磁盤空間不足,將會記錄壹條警告。錯誤:重要的問題,如數據丟失或功能喪失。例如,如果服務在啟動期間加載失敗,將會記錄壹個錯誤。成功審核:安全訪問嘗試已成功審核。例如,將用戶在系統上的成功登錄嘗試記錄為“成功審核”事件。審計失敗:未能審計安全訪問嘗試。例如,如果用戶無法訪問網絡驅動器,該嘗試將被記錄為“審核失敗”事件。(4)如果要查看事件的詳細信息,可以先選中此項,雙擊打開事件屬性對話框,在事件詳細信息選項組中列出事件的時間、來源、類型,如圖14.13所示。14.4.2事件查看器在網絡中的應用由於中文版Windows XP可以用來組建小型辦公網絡和家庭網絡,在網絡應用的過程中,網絡中的計算機有時會出現故障。此時,管理員需要檢查該機器的工作日誌,以確定故障原因。具體操作步驟如下:(1)在事件查看器(本地)窗口中,右鍵單擊事件查看器(本地)選項,會彈出快捷菜單,從中會出現“連接到另壹臺計算機”的命令,並出現“選擇計算機”對話框,用戶可以選擇需要該管理單元管理的計算機, 而在“另壹臺電腦”(2)為了準確找出是哪臺電腦出了故障最大程度的節省時間,可以點擊“瀏覽”按鈕打開如圖14.15所示的“選擇電腦”對話框,在這裏可以做更詳細的條件,這樣就可以快速找出是哪臺電腦出了故障,查看工作日誌。 14.4.3事件查看器窗口在事件查看器窗口中,用戶可以通過菜單欄中的菜單項方便地查看本地事件。下面是壹些簡單實用的操作(以“應用程序”為例):(1)在“操作”菜單中,用戶可以根據需要打開和保存工作日誌文件,(2)選擇操作|屬性或查看|過濾,打開應用程序屬性對話框,在常規選項卡中詳細顯示應用程序的名稱、創建、修改和訪問時間。用戶可以設置最大日誌和達到極限後的處理方式。如果用戶不再需要個性化設置,可以點擊。(3)選擇“過濾”頁簽,用戶可以過濾日誌中的事件,選擇“事件類型”選項組中的復選框,在“事件來源”和“類別”下拉列表框中設置具體的過濾條件,並限制時間。需要指出的是,過濾並不影響日誌的具體內容,只是改變了事件的顯示方式,如圖14.438+07所示。(4)在視圖菜單中選擇“添加|刪除列”,打開“添加|刪除列”對話框。如果不需要在該窗口的詳細列表中顯示某個選項,可以在“顯示列”列表中選中該選項,然後點擊“刪除”刪除該列的顯示,這樣會使屏幕看起來更加簡潔,如圖65438+。(5)選擇“查看”菜單中的“查找”命令,打開“在本地應用中查找”對話框,可以設置要查找的條件,可以選擇自己的查找方向,連續查找多個符合要求的事件,如圖14.5438+09所示。
使用事件查看器解決操作系統故障
作者:微軟MVP嚴諾2005年4月8日更新。
無論是普通的計算機用戶,還是專業的計算機系統管理員,在操作計算機時都會遇到壹些系統錯誤。很多朋友經常為找不到錯誤的原因和解決失敗的問題而苦惱。事實上,使用Windows中內置的事件查看器和適當的網絡資源,可以很好地解決大多數系統問題。
I .事件查看器可以做什麽?
微軟在基於Windows NT的操作系統中集成了事件查看器,包括Windows 2000\NT\XP\2003等。事件查看器可以完成許多任務,如審核系統事件和存儲系統、安全和應用程序日誌。
Windows操作系統生成的信息、警告或錯誤存儲在系統日誌中。通過查看這些消息、警告或錯誤,我們不僅可以知道某個功能被成功配置或運行的信息,還可以知道系統的某些功能失敗或變得不穩定的原因。
安全日誌包含有關審核事件是否成功的信息。通過查看這些信息,我們可以知道這些安全審計結果是成功還是失敗。
應用程序日誌包含應用程序生成的信息、警告或錯誤。通過查看這些消息、警告或錯誤,我們可以知道哪些應用程序運行成功,哪些錯誤或潛在錯誤已經發生。程序開發人員可以使用這些資源來改進他們的應用程序。
點擊“開始→運行”,進入eventvwr,點擊“確定”打開事件查看器,其界面如圖1所示。
圖1
要查看事件的詳細信息:
在事件查看器左側的樹形結構圖中選擇日誌類型(應用、安全或系統),系統中該類型的所有日誌都會顯示在右側的詳細信息窗格中。雙擊其中壹個日誌來查看它的詳細信息,如圖2所示。在日誌屬性窗口中,我們可以看到事件的日期、事件的來源、類型和ID,以及事件的詳細描述。這是我們發現並解決錯誤的最重要的事情。
圖2
搜索事件:
如果系統中的事件太多,我們就很難找到真正導致系統問題的事件。這時,我們可以使用事件“過濾”功能來找到我們要找的日誌。
在左側的樹形結構圖中選擇日誌類型(應用、安全或系統),右鍵單擊查看並選擇過濾器。日誌過濾器將啟動,如圖3所示。
圖3
選擇要查找的事件類型,如“錯誤”,以及相關的事件源和類別,然後單擊“確定”。事件查看器執行查找並僅顯示符合這些標準的事件。
第二,使用查看器解決系統問題
在找到導致系統問題的事件之後,我們需要找到解決它們的方法。找到這些問題的解決方案有兩個主要途徑:微軟在線技術支持知識庫和Eventid.net網站。
Microsoft在線技術支持知識庫(KB):
微軟知識庫中的文章由微軟官方資料和MVP(微軟最有價值的專家)撰寫的技術文章組成,主要解決微軟產品的問題和故障。
每壹個微軟產品的bug和易錯應用點被發現的時候,都會有相應的KB文章來分析這個錯誤的解決方法。
微軟知識庫的地址是:在網頁左側的“搜索(知識庫)”中輸入相關關鍵詞,事件來源、ID等信息。當然,在詳細描述中輸入關鍵詞也是個不錯的主意。如果日誌中有錯誤號,輸入這個錯誤號進行查詢不失為壹個好主意。
此外,微軟中文社區(/china/community)提供在線免費技術支持和定期的專家聊天,稍加利用就能成為解決系統問題的寶貴資源。
總的來說,Windows操作系統中提供的事件日誌機制為我們提供了壹個快速找出系統問題的途徑,官方、第三方等各種網絡資源使我們能夠快速解決這些問題。通過本文,希望讀者在以後系統出現問題時,能夠充分利用這些資源,自主解決。節省時間和金錢。
在Windows2000和Windows XP操作系統中,有壹個忠實的系統運行狀態記錄器,從啟動、運行到關機發生的每壹個事件都會被記錄下來。它是壹個“事件查看器”。用戶可以使用該系統維護工具收集有關硬件、軟件和系統問題的信息,監控系統安全事件,記錄系統和其他應用程序運行中的錯誤或警告事件,以便於診斷和糾正系統中的錯誤和問題。這裏有壹些例子來解釋事件查看器的實際應用。
使用事件查看器
有兩種方法可以快速打開事件查看器:
1.通過我的電腦打開。右鍵單擊“我的電腦”並選擇“管理”以打開“計算機管理”窗口。“系統工具”選項卡下是“事件查看器”。
2.通過控制面板打開。選擇開始/控制面板,單擊控制面板窗口中的管理工具,雙擊彈出窗口中的事件查看器圖標,打開事件查看器窗口。
如圖1所示,是事件查看器的系統日誌信息。
監控對文件和文件夾的訪問
在辦公環境中,有時我們需要知道電腦上的其他用戶是否訪問過我們限制的文件或文件夾。這時,我們使用事件查看器來監控用戶的訪問,而不影響用戶的正常使用。選擇開始/控制面板/管理工具/本地安全設置/本地策略/審計策略,在右側信息窗口中右鍵單擊審計對象訪問,然後選擇安全。在本地安全策略設置中,單擊所需選項並確認。然後右鍵單擊任務欄開始並選擇資源管理器,右鍵單擊要查看的文件或文件夾並選擇屬性。然後選擇安全/高級/審計/添加。在“選擇用戶、計算機或組”對話框中,單擊要審核的操作的用戶名或組名並確認。
註意:您必須以管理員或管理組成員的身份登錄,才能設置文件和文件夾的審核。只有管理員可以使用組策略。
打開和關閉監控系統。
我們外出回來,有時需要了解電腦的開關,是正常打開還是關閉。我們可以通過事件查看器的系統日誌來查看電腦的開機關機記錄,因為日誌服務會隨電腦壹起啟動或關閉,並在日誌中留下記錄。主要是兩個事件id“6006和6005”。6005表示事件日誌服務已經啟動。如果在事件查看器中發現事件ID號為6005的事件,則說明Windows系統在這壹天已經正常啟動。6006表示事件日誌服務已停止(圖2)。如果在事件查看器中沒有找到某壹天事件ID號為6006的事件,說明電腦在這壹天沒有正常關機,可能是系統原因或者直接斷電。
如果妳是網絡管理員,這些記錄就更重要了。如果出現意外的開關機操作,很有可能妳的機器受到了攻擊。
解決機器開機時的錯誤提示窗口。
如果您最近安裝或卸載了壹些程序,或者出於安全原因關閉了壹些服務,結果您會發現每次啟動系統時都會彈出壹個錯誤提示窗口,提示“系統啟動時至少有壹個服務或驅動程序出錯”有關更多信息,請使用事件查看器查看事件日誌”。這種問題通常是由於系統在加載相關服務時找不到服務程序造成的。您可以使用事件查看器來查看哪個服務在啟動時出現了問題。通常有兩種解決方案。壹種是找出哪些程序生成了服務,這些服務是操作系統本身生成的還是應用程序生成的,都可以通過卸載相關應用程序來解決。另壹種方式更簡單。直接進入服務管理器,將相應的服務設置為“禁用”即可。
分析崩潰的原因。
與Windows 98相比,Windows 2000和Windows XP要穩定得多,不容易死機。理論上來說,純32位的Windows 2000不會崩潰,但這只是理論上的。Windows 2000將由於病毒、硬件和硬件驅動程序不匹配而崩潰。當Windows 2000崩潰時,顯示屏會變藍,然後出現崩潰故障信息。通過查看事件可以找到問題的原因。如果出現硬件設備故障,可以通過重裝硬件驅動或者卸載硬件來解決。如果出現軟件故障,可以卸載相應的驅動程序。如果是警告說磁盤驅動重試幾次後只能讀寫某個扇區,那十有八九是硬盤出問題了。
即使妳的系統沒有崩潰,壹些程序運行停滯,也有可能是電腦硬盤出現了故障。您仍然可以檢查事件查看器,查看硬盤上是否有無響應的日誌。如果硬盤損壞,盡快更新,以免數據嚴重丟失。
檢查無法訪問互聯網的原因。
不能上網的原因有很多。其中,無法獲取局域網中DHCP服務器的數據,甚至無法獲取壹個可以訪問互聯網的IP地址,是局域網用戶最常見的故障。通過事件查看器,我們可以很容易地找到這個錯誤事件ID號是1007。妳可以先檢查壹下妳的網線,看看是否連接正常。如果網絡線路正常。妳可以打電話給網絡管理員詢問DHCP服務器是否已經停止工作。
如果妳使用的IP地址和網絡上其他人使用的IP地址相同,網絡接口也會被系統禁用,妳就不能上網了。這個錯誤事件的ID號是1006。如果發現這種情況,要及時聯系網絡管理員解決。
1.Microsoft知識庫
微軟知識庫中的文章由微軟官方資料和微軟MVP撰寫的技術文章組成,主要解決微軟產品的問題和故障。每壹個微軟產品的bug和易錯應用點被發現的時候,都會有相應的KB文章來分析這個錯誤的解決方法。微軟知識庫的地址是:在網頁左側的“搜索(知識庫)”中輸入相關關鍵詞進行查詢,事件來源,ID。當然,在詳細描述中輸入關鍵詞也是個不錯的主意。如果日誌中有錯誤號,輸入這個錯誤號進行查詢也是壹個好主意。
2.Eventid.net
事實上,有壹個更好的地方來查詢系統錯誤事件的解決方案,那就是Eventid.net的網站(圖3)。這個網站由許多微軟MVP(最有價值的專家)主持,包含了幾乎所有系統事件的解決方案。登錄網站後,單擊“搜索活動”鏈接打開活動搜索頁面。根據頁面提示,輸入事件ID和事件來源,點擊“搜索”按鈕。Eventid.net的系統會找到所有相關的資源和解決方案。最重要的是,享受這些解決方案是完全免費的。當然,Eventid.net的付費用戶可以享受更好的服務,比如直接訪問關於某個事件的文章知識庫。
用事件查看器診斷Windows故障。點擊事件查看器,裏面的所有幫助就明白了。
方便妳貼壹點給妳看。。
事件查看器概述
在事件查看器中,您可以收集有關硬件、軟件、系統問題的信息,並通過使用事件日誌來監視Windows安全事件。
Windows使用三種類型的日誌記錄事件:
應用程序日誌
應用程序日誌包含由應用程序或壹般程序記錄的事件。例如,數據庫程序使用應用程序日誌來記錄文件錯誤。開發人員決定記錄哪些事件。
系統日誌
系統日誌包含Windows系統組件記錄的事件。例如,在啟動期間要加載的驅動程序或其他系統組件的失敗被記錄在系統日誌中。系統組件記錄的事件類型是預先確定的。
安全日誌
安全日誌可以記錄安全事件,如有效和無效的登錄嘗試,以及與資源使用相關的事件,如創建、打開或刪除文件。管理員可以指定要記錄在安全日誌中的事件。例如,如果啟用登錄審核,系統登錄嘗試將記錄在安全日誌中。
事件查看器顯示以下事件類型:
錯誤
重要問題,如數據丟失或功能喪失。例如,如果服務在啟動期間加載失敗,將會記錄壹個錯誤。
不是很重要但將來可能會出問題的事件。例如,如果磁盤空間不足,將會記錄壹條警告。
信息
描述應用程序、驅動程序或服務成功運行的事件。例如,當網絡驅動程序成功加載時,會記錄壹個信息事件。
成功審計
審核安全訪問嘗試成功。例如,將用戶在系統上的成功登錄嘗試記錄為“成功審核”事件。
審計失敗
審計安全訪問嘗試失敗。例如,如果用戶無法訪問網絡驅動器,該嘗試將被記錄為“審核失敗”事件。
當您啟動Windows時,事件日誌服務會自動啟動。所有用戶都可以查看應用程序日誌和系統日誌,但只有管理員可以訪問安全日誌。
默認情況下,安全日誌是關閉的。您可以使用組策略來啟用安全日誌記錄。管理員還可以在註冊表中設置審核策略,以便在安全日誌已滿時停止系統。
有關更多信息,請參見相關主題。