首先,让我们来看看如何打开事件查看器。方法有三种:
1. 点击“开始”按钮,选择“配置”,然后在“控制面板”中找到“维护工具”,最后点击“事件查看器”即可。 2. 在“运行”对话框中输入“%SystemRoot%\system32\eventvwr.msc /s”,然后按回车键。 3. 直接在“运行”对话框中输入“eventvwr”或“eventvwr.msc”,然后按回车键。
事件查看器中记录的日志类型主要有三种:
1. 使用程序日志:记录由应用程序或系统程序产生的事件,主要关注程序运行方面的问题。例如,数据库程序会在使用程序日志中记录文件错误,程序开发人员可以根据需要监视特定事件。 2. 安全性日志:记录了诸如有效和无效的登录尝试等安全事件,以及与资源运用相关的事件。默认情况下,安全性日志是关闭的,维护员可以使用组策略或注册表配置审核策略来启用。 3. 系统日志:记录了Windows系统的组件记录的事件,如启动过程中加载驱动程序或其他系统组件失败的情况。
事件查看器中的事件类型分为以下五种:
1. 不正确:重大问题,如数据丢失或功能耗损。 2. 警告:非严重但可能存在问题的提示。 3. 信息:描述程序、驱动程序或服务操作成功的事件。 4. 成功审核:接受审核且成功的安全访问尝试。 5. 失败审核:接受审核但未成功的安全访问尝试。
通过事件查看器,我们可以发现非法登录、系统非正常关机、程序执行不正确等问题。在处理这些问题时,我们可以根据事件属性来判定错误的来源和处理要领,确保操作系统和使用程序正常运行。
为了更好地维护系统安全,我们可以结合事件查看器中的日志记录,制定相应的安全策略。例如,对于安全性日志,我们可以设置报警机制,一旦发现异常,立即通知相关人员处理。同时,我们还可以定期备份日志文件,以防万一。
总之,事件查看器是维护系统安全的重要工具,通过深入了解其功能和使用方法,我们可以更好地保障系统稳定运行,确保数据安全。事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统维护员和安全维护人员会定期查看使用程序、安全性和系统日志,查看能不能存在非法登录、系统能不能非正常关机、程序执行不正确等信息,通过查看事件属性来判定不正确产生的来源和处理要领,使操作系统和使用程序正常工作。本文推荐了事件查看器的一些相关 知识,对安全维护人员维护系统有必须的借鉴和参考。
1.事件查看器
事件查看器是 Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统疑问的信息,也可以监视Windows 操作系统中的安全事件。有三种形式来打开事件查看器:
(1)单击“开始”-“配置 ”-“控制面板”-“维护工具”-“事件查看器”,开事件查看器窗口
(2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。
(3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。
2.事件查看器中记录的日志类型
在事件查看器中一共记录三种类型的日志,即:
(1)使用程序日志
包含由使用程序或系统程序记录的事件,首要记录程序运行方面的事件,例如数据库程序可以在使用程序日志中记录文件不正确,程序开发人员可以自行决定监视哪些事件。假如某个使用程序出现崩溃情况,那么咱们可以从程序事件日志中找到相应的记录,也许会有助于你处理疑问。
(2)安全性日志
记录了诸如有效和无效的登录尝试等事件,以及与资源运用相关 的事件,例如建立、打开或删除文件或其他对象,系统维护员可以指定在安全性日志中记录什么事件。默认配置下,安全性日志是关上的,维护员可以运用组策略来启动安全性日志,或者在注册表中配置审核策略,以便当安全性日志满后使系统停止响应。
(3)系统日志
包含Windows xp 的系统组件记录的事件,例如在启动流程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。 假如计算机被配置为域控制器,那么还将包含目录服务日志、文件复制服务日志;假如机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看使用程序和系统日志,但只有维护员才能访问安全性日志。
在事件查看器中首要记录五种事件,事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件:
(1)不正确:重大疑问,例如数据丢失或功能耗损。例如,假如服务在启动期间不能加载,便会记录一个不正确。
(2)警告:不必须首要 的事件也可以指出潜在的疑问。例如,假如硬盘空间低,便会记录一个警告。
(3) 信息:描述使用程序、驱动程序或服务能不能操作成功的事件。例如,假如网络驱动程序成功加载,便会记录一个信息事件。
(4)成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。
(5)失败审核:接受审核且未成功的安全访问尝试。例如,假如用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。
在下一篇“事件查看器维护服务器安全的实例”中,咱们将结合详细的操作流程截图对事件查看器的操作执行 细致讲解。
