服務器維護:事件查看器的相關知識

2024-09-01 13:44:31

字體：大中小

來源：轉載

供稿：網友

事件查看器相當于操作系統的保健醫生，一些“頑疾”的蛛絲馬跡都會在事件查看器中呈現，一個合格的系統管理員和安全維護人員會定期查看應用程序、安全性和系統日志，查看是否存在非法登錄、系統是否非正常關機、程序執行錯誤等信息，通過查看事件屬性來判定錯誤產生的來源和解決方法，使操作系統和應用程序正常工作。本文介紹了事件查看器的一些相關知識，對安全維護人員維護系統有一定的借鑒和參考。

　　1.事件查看器

　　事件查看器是 Microsoft Windows 操作系統工具，事件查看器相當于一本厚厚的系統日志，可以查看關于硬件、軟件和系統問題的信息，也可以監視Windows 操作系統中的安全事件。有三種方式來打開事件查看器：

　　(1)單擊“開始”-“設置”-“控制面板”-“管理工具”-“事件查看器”，開事件查看器窗口

　　(2)在“運行”對話框中手工鍵入“%SystemRoot%/system32/eventvwr.msc /s”打開事件查看器窗口。

　　(3)在運行中直接輸入“eventvwr”或者“eventvwr.msc”直接打開事件查看器。

　　2.事件查看器中記錄的日志類型

　　在事件查看器中一共記錄三種類型的日志，即：

　　(1)應用程序日志

　　包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件，例如數據庫程序可以在應用程序日志中記錄文件錯誤，程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況，那么我們可以從程序事件日志中找到相應的記錄，也許會有助于你解決問題。

　　(2)安全性日志

　　記錄了諸如有效和無效的登錄嘗試等事件，以及與資源使用相關的事件，例如創建、打開或刪除文件或其他對象，系統管理員可以指定在安全性日志中記錄什么事件。默認設置下，安全性日志是關閉的，管理員可以使用組策略來啟動安全性日志，或者在注冊表中設置審核策略，以便當安全性日志滿后使系統停止響應。

　　(3)系統日志

　　包含Windows XP的系統組件記錄的事件，例如在啟動過程中加載驅動程序或其他系統組件失敗將記錄在系統日志中，默認情況下Windows會將系統事件記錄到系統日志之中。如果計算機被配置為域控制器，那么還將包括目錄服務日志、文件復制服務日志;如果機子被配置為域名系統(DNS)服務器，那么還將記錄DNS服務器日志。當啟動Windows時，“事件日志”服務(EventLog)會自動啟動，所有用戶都可以查看應用程序和系統日志，但只有管理員才能訪問安全性日志。

　　在事件查看器中主要記錄五種事件，事件查看器屏幕左側的圖標描述了 Windows 操作系統對事件的分類。事件查看器顯示如下類型的事件：

　　(1)錯誤：重大問題，例如數據丟失或功能損失。例如，如果服務在啟動期間無法加載，便會記錄一個錯誤。

　　(2)警告：不一定重要的事件也能指出潛在的問題。例如，如果磁盤空間低，便會記錄一個警告。

　　(3) 信息：描述應用程序、驅動程序或服務是否操作成功的事件。例如，如果網絡驅動程序成功加載，便會記錄一個信息事件。

　　(4)成功審核：接受審核且取得成功的安全訪問嘗試。例如，用戶對系統的成功登錄嘗試將作為一個“成功審核”事件被記錄下來。

　　(5)失敗審核：接受審核且未成功的安全訪問嘗試。例如，如果用戶試圖訪問網絡驅動器但未成功，該嘗試將作為“失敗審核”被記錄下來。

　　在下一篇“事件查看器維護服務器安全的實例”中，我們將結合具體的操作過程截圖對事件查看器的操作進行詳細講解。

上一篇：服務器虛擬化引起的管理問題解決手段

下一篇：服務器管理維護:清除DNS緩存