1/5分步閱讀
壹、什麽是日誌文件
日誌文件是Windows系統中壹個比較特殊的文件,它記錄著Windows系統中所發生的壹切,如各種系統服務的啟動、運行、關閉等信息。 Windows日誌包括應用程序、安全、系統等幾個部分,它的存放路徑是“%systemroot%system32config”,應用程序日誌、安全日誌和系統日誌對應的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些文件受到“Event Log(事件記錄)”服務的保護不能被刪除,但可以被清空。
2/5
二、如何查看日誌文件 在Windows系統中查看日誌文件很簡單。點擊“開始設置控制面板管理工具事件查看器”,在事件查看器窗口左欄中列出本機包含的日誌類型,如應用程序、安全、系統等。查看某個日誌記錄也很簡單,在左欄中選中某個類型的日誌,如應用程序,接著在右欄中列出該類型日誌的所有記錄,雙擊其中某個記錄,彈出“事件屬性”對話框,顯示出該記錄的詳細信息,這樣我們就能準確的掌握系統中到底發生了什麽事情,是否影響Windows的正常運行,壹旦出現問題,即時查找排除。
3/5
三、Windows日誌文件的保護
日誌文件對我們如此重要,因此不能忽視對它的保護,防止發生某些“不法之徒”將日誌文件清洗壹空的情況。
1. 修改日誌文件存放目錄
Windows日誌文件默認路徑是“%systemroot%system32config”,我們可以通過修改註冊表來改變它的存儲目錄,來增強對日誌的保護。 點擊“開始運行”,在對話框中輸入“Regedit”,回車後彈出註冊表編輯器,依次展開 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”後,下面的 Application、Security、System幾個子項分別對應應用程序日誌、安全日誌、系統日誌。 筆者以應用程序日誌為例,將其轉移到“d:\cce”目錄下。選中Application子項,在右欄中找到File鍵,其鍵值為應用程序日誌文件的路徑“%SystemRoot%system32configAppEvent.Evt”,將它修改為“d:cceAppEvent.Evt”。接著在D 盤新建“CCE”目錄,將“AppEvent.Evt”拷貝到該目錄下,重新啟動系統,完成應用程序日誌文件存放目錄的修改。其它類型日誌文件路徑修改方法相同,只是在不同的子項下操作。
4/5
2. 設置文件訪問權限
修改了日誌文件的存放目錄後,日誌還是可以被清空的,下面通過修改日誌文件訪問權限,防止這種事情發生,前提是Windows系統要采用NTFS文件系統格式。
右鍵點擊D盤的CCE目錄,選擇“屬性”,切換到“安全”標簽頁後,首先取消“允許將來自父系的可繼承權限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號,只給它賦予“讀取”權限;然後點擊“添加”按鈕,將“System”賬號添加到賬號列表框中,賦予除“完全控制”和“修改”以外的所有權限,最後點擊“確定”按鈕。這樣當用戶清除Windows日誌時,就會彈出錯誤對話框。
5/5
四、Windows日誌實例分析
在Windows日誌中記錄了很多操作事件,為了方便用戶對它們的管理,每種類型的事件都賦予了壹個惟壹的編號,這就是事件ID。
1. 查看正常開關機記錄
在Windows系統中,我們可以通過事件查看器的系統日誌查看計算機的開、關機記錄,這是因為日誌服務會隨計算機壹起啟動或關閉,並在日誌中留下記錄。這裏我們要介紹兩個事件ID“6006和6005”。6005表示事件日誌服務已啟動,如果在事件查看器中發現某日的事件ID號為6005的事件,就說明在這天正常啟動了Windows系統。6006表示事件日誌服務已停止,如果沒有在事件查看器中發現某日的事件ID號為6006的事件,就表示計算機在這天沒有正常關機,可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。 2. 查看DHCP配置警告信息
在規模較大的網絡中,壹般都是采用DHCP服務器配置客戶端IP地址信息,如果客戶機無法找到DHCP服務器,就會自動使用壹個內部的IP地址配置客戶端,並且在Windows日誌中產生壹個事件ID號為1007的事件。如果用戶在日誌中發現該編號事件,說明該機器無法從DHCP服務器獲得信息,就要查看是該機器網絡故障還是DHCP服務器問題。