windows日志查看-非法关机判断方法

日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着非常重要的作用。但许多用户不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。

　　一、什么是日志文件

　　日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。 Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。

　　二、如何查看日志文件

　　在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。

　　三、Windows日志文件的保护

　　日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。

　　1． 修改日志文件存放目录

　　Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。

　　点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的 Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

　　笔者以应用程序日志为例，将其转移到“d:/cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D 盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。

　　2． 设置文件访问权限

　　修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。

　　右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。

　　四、Windows日志实例分析

　　在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。

　　1． 查看正常开关机记录

　　在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。

　　2． 查看DHCP配置警告信息

　　在规模较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件，说明该机器无法从DHCP服务器获得信息，就要查看是该机器网络故障还是DHCP服务器问题。

本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接：http://www.hackbase.com/tech/2009-08-23/55235.html

1.有时各位同仁在处理问题时，查看事件查看器，根据事件源及ID，想要去查看是什么原因，可以到internet上去找，可是有的要收费的，下面的方法可以去eventid上查看。

引用:
可是EVENTID.NET上有的信息要付费注册用户才能看，怎么办呢：）

 

查EVENTID.NET可以按以下方法来查
[url]http://www.eventid.net/display.asp?eventid=xxxx&source=yyyy[/url]
xxxx即事件ID
yyyy即事件来源

 

2.当windows系统出现蓝屏时，我们可以通过工具软件去读取蓝屏所生成的文件去，根据此工具提供的信息，对你也许用!发现机器很不稳定，经常蓝屏，不知道如何去处理？ 重装系统后，好了几天，有出现同样的问题，这么头疼的问题，怎么办？怀疑硬件问题，但怎么看都不像是硬件的故障。 可能大家束手无策的时候，有一个Windows Debug工具，能够通过分析Dump文件来确定机器BSOD的原因，从而轻松解决蓝屏问题。
一、当遇到Windows兰屏或不稳定时，用DSET工具收集系统的日志，来具体分析：是不是有兰屏？机器有没有生成Dump文件？
        1，在DSET的Logs中打开system Uptime,可以发现机器关机的几种类型：Shutdown（正常关机）、Abnormal shutdown(非正常关机)、Blue Screen（兰屏）；

 

2，在Environment中的Kernel Dump中可以发现是否已经生成了Dump文件：Minidump、Complete dump；

二，这些文件存放在目录C：/windows/minidump中，所有的文件都只有64K。
         假如没有发现这些minidump文件，建议您检查windows关于Dump文件的设置是否正确：

三，用windows debug工具来分析这些Dump文件；
1， 安装windows debug工具，最新版的工具可以直接从Microsoft下载：  [url]http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.6.03.5.exe[/url]
       2，下载对应操作系统的符号文件库，不同的操作系统会对应不同的符号文件：windows2003和windows 2003SP1就有不同 的符号库，同样，windows2000SP2和windowsSP4也有各自的符号库，这些符号库可以在微软的网站下载：
       [url]http://msdl.microsoft.com/download/symbols/packages[/url]
3， 在windows debug中设置好符号库文件的路径，以便分析时能调用到正确的符号库文件；

 

 

4，打开你要分析的windows Minidump文件：File-----open crash dump;

 5，打开Dump文件后，屏幕会出现windows的Debug窗口，在窗口的底部会出现命令行，输入 ‘!analyze -v’命令即可开始兰屏的分析，剩下来的工作就是等这个工具给你一个满意的答案：某个驱动文件引起的兰屏。

 

你还可以验证这个驱动程序是不是在机器的的内存中，键入‘lm’就可以列出所有驻留在内存中的程序；

命令：‘lmvm sentinel’可以查到这个驱动文件所在目录：

 6, 你可以将你找到的这个驱动程序在Googel或者Baidu上搜索以下，很快你就会发现这个驱动是哪个第三方的应用程序，这个例子中的SENTINEL.SYS 是金蝶软件加密狗的软件模拟驱动。
说明：实际情况中可能会有很多分析的结果会显示是windows的内核文件引起的兰屏，这是因为windows debug无法从Minidump中分析 出具体是内核文件调用了哪个驱动程序后引起的兰屏。这时就需要提供更全面的完全内存转储文件或内核转储文件，通过更多的命令行来分析具体的原因了。更多的 命令的介绍，可以参看安装好后的debuging help。

另外，通过在以下的联接中输入兰屏代码，如：0x000000ab，你也可以找到一些微软关于这样的出错的解释和解决方案。

参考：windows日志查看-非法关机判断方法