·詳細講下事件查看器的作用與用法吧
刪除日誌文件,並重新啟動計算機後,系統將自動恢復日誌文件,從而保證系統的正常運行。
使用事件查看器
利用“事件查看器”這個系統維護工具,用戶可以通過使用事件日誌,收集有關硬件、軟件、系統問題方面的信息,並監視中文版Windows XP 安全事件,將Windows 和其他應用程序運行中錯誤事件記錄下來,便於用戶診斷和糾正可能發生的系統錯誤和問題。14.4.1 事件查看器當用戶需要查看工作日誌時,可進行以下的操作步驟:?(1)單擊“開始”按鈕,選擇“控制面板”命令,在打開的“控制面板”窗口單擊“管理工具”圖標,然後在“管理工具”窗口中雙擊“事件查看器”圖標,這時就可以打開“事件查看器”窗口。?(2)在“事件查看器”窗口中包括三種類型的日誌記錄事件:?·應用程序日誌:記錄應用程序或壹般程序的事件。?·安全性日誌:可以記錄例如有效和無效的登錄嘗試等安全事件,以及與資源使用有關的事件。例如創建、打開或刪除文件以及有關設置的修改。?·系統日誌:包含由Windows XP 系統組件記錄的事件,例如,在系統日誌中記錄啟動期間要加載的驅動程序或其他系統組件的故障。?(3)事件查看器顯示以下事件類型:?·信息:描述應用程序、驅動程序或服務成功操作的事件,例如成功地加載網絡驅動程序時會記錄壹個信息事件。?·警告:不是非常重要但將來可能出現的問題事件。例如,如果磁盤空間較小,則會記錄壹個警告。?·錯誤:重要的問題,如數據丟失或功能喪失。例如,如果在啟動期間服務加載失敗,則會記錄錯誤。?·成功審核:審核安全訪問嘗試成功。例如,將用戶成功登錄到系統上的嘗試作為“成功審核”事件記錄下來。?·失敗審核:審核安全訪問嘗試失敗。例如,如果用戶試圖訪問網絡驅動器失敗,該嘗試就會作為“失敗審核”事件進行記錄。?(4)如果要查看某事件的詳細內容,可先選中該項,雙擊打開“事件屬性”對話框,在其中的“事件詳細信息”選項組中列出了事件發生的時間及來源、類型等詳細資料,如圖14.13 所示。14.4.2 事件查看器在網絡中的應用由於中文版Windows XP 可以用於小型辦公網絡和家庭網絡的組建,在網絡應用過程中,網絡中的計算機有時會出現故障,這時需要管理員查看這臺機器的工作日誌,以此來判斷出現故障的原因。具體的操作步驟如下:(1)在“事件查看器(本地)”窗口中,右擊“事件查看器(本地)”選項,會彈出壹個快捷菜單,從中選擇“連接到另壹臺計算機”命令,出現“選擇計算機”對話框,在此用戶可以選擇需要這個管理單元管理的計算機,在“另壹臺計算機”文本框中輸入要查看的工作站名,單擊“確定”即可,如圖14.14 所示。(2)為了在眾多的計算機中準確地找到出現故障的壹臺,最大限度地節省時間,可以單擊“瀏覽”按鈕,出現如圖14.15 所示的“選擇計算機”對話框,可以在這裏進行更為詳細的條件限定,這樣,就可以快速地找到出現故障的計算機,進行工作日誌的查看。14.4.3 事件查看器窗口在“事件查看器”窗口中,用戶可以利用菜單欄中的菜單項方便地進行本地事件的查看,下面是其中簡單而且實用的幾項操作(以“應用程序”)為例:(1)在“操作”菜單中,用戶可以根據需要進行工作日誌文件的打開和保存,以及事件的清除等操作。(2)選擇“操作”|“屬性”或者“查看”|“篩選”命令,出現“應用程序屬性”對話框,在“常規”選項卡中詳細顯示了“應用程序”的名稱,創建、修改、訪問時間,用戶可以對最大日誌以及達到極限後的處理方法進行設定,如果用戶不再需要個性設置時,可以單擊“還原為默認值”按鈕,即可恢復到系統默認的設置,如圖14.16 所示。(3)選擇“篩選器”選項卡,用戶可以對日誌中的事件進行篩選,用戶可在“事件類型”選項組中進行復選框的選擇,在“事件來源”“類別”下拉列表框中可設置篩選具體條件,還可進行時間限定。需要指出的是,篩選並不會對日誌的具體內容產生影響,它只是改變了事件的顯示方式,如圖14.17 所示。(4)在“查看”菜單中選擇“添加|刪除列”命令,彈出“添加|刪除列”對話框,如果用戶不需要在該窗口的詳細列表中顯示某選項時,可在“顯示列”列表中先選中,然後單擊“刪除”按鈕,即可刪除該列的顯示,這樣會使畫面看起來更簡潔,如圖14.18 所示。(5)在“查看”菜單中選擇“查找”命令,出現“在本地應用程序上查找”對話框,在此可設置好要查找的條件,可自行選擇搜索方向,連續查找多個符合要求的事件,如圖14.19 所示。
用事件查看器解決操作系統故障
作者:Microsoft MVP 閆諾 更新時間:2005-04-08 ?
無論是普通計算機用戶,還是專業計算機系統管理員,在操作計算機的時候都會遇到某些系統錯誤。很多朋友經常為無法找到出錯原因,解決不了故障問題感到困擾。事實上,利用Windows內置的事件查看器,加上適當的網絡資源,就可以很好地解決大部分的系統問題。
壹、事件查看器可以做什麽
微軟在以Windows NT為內核的操作系統中集成有事件查看器,這些操作系統包括Windows 2000\NT\XP\2003等。事件查看器可以完成許多工作,比如審核系統事件和存放系統、安全及應用程序日誌等。
系統日誌中存放了Windows操作系統產生的信息、警告或錯誤。通過查看這些信息、警告或錯誤,我們不但可以了解到某項功能配置或運行成功的信息,還可了解到系統的某些功能運行失敗,或變得不穩定的原因。
安全日誌中存放了審核事件是否成功的信息。通過查看這些信息,我們可以了解到這些安全審核結果為成功還是失敗。
應用程序日誌中存放應用程序產生的信息、警告或錯誤。通過查看這些信息、警告或錯誤,我們可以了解到哪些應用程序成功運行,產生了哪些錯誤或者潛在錯誤。程序開發人員可以利用這些資源來改善應用程序。
點擊“開始→運行”,輸入eventvwr,點擊“確定”,就可以打開事件查看器,它的界面如圖1所示。
圖 1
查看事件的詳細信息:
選中事件查看器左邊的樹形結構圖中的日誌類型(應用程序、安全性或系統),在右側的詳細資料窗格中將會顯示出系統中該類的全部日誌,雙擊其中壹 個日誌,便可查看其詳細信息,如圖2。在日誌屬性窗口中我們可以看到事件發生的日期、事件的發生源、種類和ID,以及事件的詳細描述。這對我們尋找解決錯 誤是最重要的。
圖 2
搜索事件:
如果系統中的事件過多,我們將會很難找到真正導致系統問題的事件。這時,我們可以使用事件“篩選”功能找到我們想找的日誌。
選中左邊的樹形結構圖中的日誌類型(應用程序、安全性或系統),右擊“查看”,並選擇“篩選”。日誌篩選器將會啟動,如圖3。
圖 3
選擇所要查找的事件類型,比如“錯誤”,以及相關的事件來源和類別等等,並單擊“確定”。事件查看器會執行查找,並只顯示符合這些條件的事件。
二、利用查看器解決系統問題
查到導致系統問題的事件後,我們需要找到解決它們的辦法。查找解決這些問題的方法主要可以通過兩個途徑:微軟在線技術支持知識庫以及Eventid.net網站。
微軟在線技術支持知識庫(KB):
微軟知識庫的文章是由微軟公司官方資料和MVP(微軟最有價值專家)撰寫的技術文章組成,主要解決微軟產品的問題及故障。
當微軟每壹個產品的Bug和容易出錯的應用點被發現以後,都將有與其對應的KB文章分析這項錯誤的解決方案。
微軟知識庫的地址是:,在網頁左邊的“搜索(知識庫)”中輸入相關的關鍵字進行查 詢,事件發生源和ID等信息。當然,輸入詳細描述中的關鍵詞也是壹個好辦法,如果日誌中有錯誤編號,輸入這個錯誤編號進行查詢也並不是壹個壞主意。 Eventid.net網站:
要查詢系統錯誤事件的解決方案,還有壹個更好的地方:Eventid.net網站,地址是www.eventid.net。這個網站由眾多微軟MVP(最有價值專家)主持,幾乎包含了全部系統事件的解決方案。
登錄網站後,單擊“Search Events(搜索事件)”鏈接,出現事件搜索頁面。根據頁面提示,輸入Event ID(事件ID)和Event Source(事件源),並單擊“Search”按鈕。Eventid.net的系統會找到所有相關的資源及解決方案。最重要的是,享受這些解決方案是完 全免費的。當然,Eventid.net的付費用戶則能享受到更好的服務,比如直接訪問針對某事件的知識庫文章集等。
其他資源:
事實上,在網絡中我們還可以找到許多有用的資源,當系統出現問題時可以參考使用。比如 網站的“微軟新聞組常見問題”欄目,就提供了許多有用的疑難解答小貼士。
另外,微軟中文社區(/china/community)提供在線的免費技術支持和定期的專家聊天,只要稍加利用,都可以成為解決系統疑難雜癥的寶貴資源。
總體來說,在Windows操作系統中提供的事件日誌機制為我們找出系統問題提供了快捷的方法,而官方和第三方等多種網絡資源使我們能夠迅速地解決這些問題。通過本文,希望讀者能夠充分利用這些資源,在以後系統出現問題時,能夠自主地將它們解決。節省時間,節省金錢。
在Windows2000、Windows XP操作系統中有壹位系統運行狀況的忠實記錄者,從開機、運行到關機過程中發生的每壹個事件都將被記錄下來,它就是“事件查看器”。用戶可以利用這個系統維護工具,收集有關硬件、軟件、系統問題方面的信息,並監視系統安全事件,將系統和其他應用程序運行中錯誤或警告事件記錄下來,便於診斷和糾正系統發生的錯誤和問題。下面通過幾個例子來講解“事件查看器”的實際應用。
使用事件查看器
有兩種方法可以很快地打開事件查看器:
1.通過“我的電腦”打開。右鍵單擊“我的電腦”,選擇“管理”,彈出“計算機管理”窗口,在“系統工具”標簽下便是“事件查看器”。
2.通過“控制面板”打開。選擇“開始/控制面板”,在“控制面板”窗口單擊“管理工具”,在彈出窗口中雙擊“事件查看器”圖標,便可打開“事件查看器”窗口。
如圖1所示便是事件查看器的系統日誌信息。
監視文件和文件夾的訪問
在辦公環境下,有時我們需了解計算機上其他用戶是否訪問了我們限制的文件或文件夾,這時候我們通過組策略配合,利用事件查看器在不影響用戶正常使用的情況下,監控用戶的訪問情況。選擇“開始/控制面板/管理工具/本地安全設置/本地策略/審核策略”,在右邊信息窗口中右鍵單擊“審核對象訪問”選擇“安全性”,在“本地安全策略設置”中,單擊所需的選項並確定。接著在任務欄“開始”上點右鍵選擇“資源管理器”,右鍵點擊要審核的文件或文件夾,選擇“屬性”。然後選擇“安全/高級/審核/添加”,在“選擇用戶、計算機或組”對話框中,單擊要審核操作的用戶名或組名並確定即可。
註意:必須作為管理員或管理組的成員登錄才能設置文件和文件夾的審核,只有管理員才能使用“組策略”
監視系統開關機情況
當我們外出回來,有時我們需要了解計算機的開關情況以及是否正常開關機情況。我們可以通過事件查看器的系統日誌查看計算機的開、關機記錄,這是因為日誌服務會隨計算機壹起啟動或關閉,並在日誌中留下記錄。主要是兩個事件ID“6006和6005”。6005表示事件日誌服務已啟動,如果在事件查看器中發現某日的事件ID號為6005的事件,就說明在這天正常啟動了Windows系統。6006表示事件日誌服務已停止(圖2),如果沒有在事件查看器中發現某日的事件ID號為6006的事件,就表示計算機在這天沒有正常關機,可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。
如果妳是網絡管理員,那麽這些記錄就更加的重要了,如果有意外的開關機操作,那麽妳的機器已被攻擊的可能性就很大了。
解決機器開機時的錯誤提示窗口
如果妳最近安裝或卸載了某些程序,或者是由於安全的原因關閉了某些服務,結果妳發現每次開機都會彈出壹個錯誤提示窗口,並提示“在系統啟動時至少有壹個服務或驅動程序產生錯誤。詳細信息,請使用事件查看器查看事件日誌”。這類問題壹般是系統在加載相關服務時找不到服務程序而無法啟動產生的,妳可以使用事件查看器來查看具體是哪個服務啟動時出現了問題,解決的辦法通常有兩種,壹種是通過了解該服務是那哪些程序產生,不論這些服務是操作系統本身產生還是應用程序產生的,都可以通過卸載相關應用程序來解決。另壹個辦法更簡單直接到服務管理器中將相應的服務設置為“禁用”即可。
分析死機故障原因
相對於Windows 98而言,Windows 2000和Windows XP均要穩定的多,是不容易發生死機現象的。從理論上講,純32位的Windows 2000 是不會出現死機的,但是這僅僅是理論上的。病毒、硬件和硬件驅動程序不匹配等原因將造成Windows 2000的崩潰。當Windows 2000出現死機時,顯示器屏幕將變為藍色,然後出現死機故障提示信息。通過事件查看能夠發現問題的原因。如果出現的硬件設備故障,可以通過重新安裝硬件驅動或卸載硬件來解決,如果是軟件故障可以卸相應的驅動程序,如果是警告顯示磁盤驅動程序在幾次重試後,只能讀取或寫入到某個扇區,十有八九是硬盤出問題了。
即使妳的系統沒有死機,運行某些程序出現停頓現象,也有可能是計算機的硬盤出現故障,妳依然可通過檢查事件查看器,看是否出現硬盤有無法響應的日誌,如果硬盤出現損壞,還是盡早更新,以免帶來重大的數據損失。
檢查不能上網的原因
不能上網的原因有非常多,其中無法獲得局域網DHCP服務器的數據,以至無法取得壹個能上網的IP地址是局域網用戶不能上網的故障中最常見的壹種,通過“事件查看器”我們可以很容易就找到這個錯誤事件ID號為1007,此妳可以先檢查妳的網線,看是否連接正常,如果網絡線路正常。可以打電話咨詢網絡管理員是否是DHCP服務器停止工作了。
如果妳使用的IP地址與網絡上別人使用的IP地址相同,網絡接口也會被系統禁用,壹樣也無法上網,這個錯誤事件ID號為1006,如果妳發現這種情況要及時和網絡管理員聯系解決。
疑難問題解決方案
上面介紹的是幾種常見事件管理器中發現的問題的解決辦法,但在實際中可能發生的問題是多種多樣的,對於其他的疑難問題的方法還可以通過兩個主要途徑“微軟在線技術支持知識庫”和“Eventid.net網站”來解決。
1.微軟知識庫
微軟知識庫的文章是由微軟公司官方資料和微軟MVP撰寫的技術文章組成,主要解決微軟產品的問題及故障。當微軟每壹個產品的Bug和容易出錯的應用點被發現後,都將有與其對應的KB文章分析這項錯誤的解決方案。微軟知識庫的地址是:,在網頁左邊的“搜索(知識庫)”中輸入相關的關鍵字進行查詢,事件發生源和ID等信息。當然,輸入詳細描述中的關鍵詞也是壹個好辦法,如果日誌中有錯誤編號,輸入這個錯誤編號進行查詢也是個不錯的主意。
2.Eventid.net
要查詢系統錯誤事件的解決方案,其實還有壹個更好的地方,那就是Eventid.net網站(圖3),地址是:。這個網站由眾多微軟MVP(最有價值專家)主持,幾乎包含了全部系統事件的解決方案。登錄網站後,單擊“Search Events(搜索事件)”鏈接,出現事件搜索頁面。根據頁面提示,輸入Event ID(事件ID)和Event Source(事件源),並單擊“Search”按鈕。Eventid.net的系統會找到所有相關的資源及解決方案。最重要的是,享受這些解決方案是完全免費的。當然,Eventid.net的付費用戶則能享受到更好的服務,比如直接訪問針對某事件的知識庫文章集等。
用事件查看器診斷Windows故障
2005-09-09 10:25電腦迷
在Windows2000、Windows XP操作系統中有壹位系統運行狀況的忠實記錄者,從開機、運行到關機過程中發生的每壹個事件都將被記錄下來,它就是“事件查看器”。用戶可以利用這個系統維護工具,收集有關硬件、軟件、系統問題方面的信息,並監視系統安全事件,將系統和其他應用程序運行中錯誤或警告事件記錄下來,便於診斷和糾正系統發生的錯誤和問題。下面通過幾個例子來講解“事件查看器”的實際應用。
使用事件查看器
有兩種方法可以很快地打開事件查看器:
1.通過“我的電腦”打開。右鍵單