完全全解讀Windows日志文件

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

日志文件，它記錄著Windows系統(tǒng)及其各種服務(wù)運(yùn)行的每個(gè)細(xì)節(jié)，對(duì)增強(qiáng)Windows的穩(wěn)定和安全性，起著非常重要的作用。但許多用戶不注意對(duì)它保護(hù)，一些“不速之客”很輕易就將日志文件清空，給系統(tǒng)帶來(lái)嚴(yán)重的安全隱患。

一、什么是日志文件

　　日志文件是Windows系統(tǒng)中一個(gè)比較特殊的文件，它記錄著Windows系統(tǒng)中所發(fā)生的一切，如各種系統(tǒng)服務(wù)的啟動(dòng)、運(yùn)行、關(guān)閉等信息。 Windows日志包括應(yīng)用程序、安全、系統(tǒng)等幾個(gè)部分，它的存放路徑是“%systemroot%system32config”，應(yīng)用程序日志、安全日志和系統(tǒng)日志對(duì)應(yīng)的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些文件受到“Event Log（事件記錄）”服務(wù)的保護(hù)不能被刪除，但可以被清空。

二、如何查看日志文件
　　在Windows系統(tǒng)中查看日志文件很簡(jiǎn)單。點(diǎn)擊“開(kāi)始→設(shè)置→控制面板→管理工具→事件查看器”，在事件查看器窗口左欄中列出本機(jī)包含的日志類型，如應(yīng)用程序、安全、系統(tǒng)等。查看某個(gè)日志記錄也很簡(jiǎn)單，在左欄中選中某個(gè)類型的日志，如應(yīng)用程序，接著在右欄中列出該類型日志的所有記錄，雙擊其中某個(gè)記錄，彈出“事件屬性”對(duì)話框，顯示出該記錄的詳細(xì)信息，這樣我們就能準(zhǔn)確的掌握系統(tǒng)中到底發(fā)生了什么事情，是否影響Windows的正常運(yùn)行，一旦出現(xiàn)問(wèn)題，即時(shí)查找排除。

三、Windows日志文件的保護(hù)

　　日志文件對(duì)我們?nèi)绱酥匾虼瞬荒芎鲆晫?duì)它的保護(hù)，防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。

　　1． 修改日志文件存放目錄

　　Windows日志文件默認(rèn)路徑是“%systemroot%system32config”，我們可以通過(guò)修改注冊(cè)表來(lái)改變它的存儲(chǔ)目錄，來(lái)增強(qiáng)對(duì)日志的保護(hù)。
　　點(diǎn)擊“開(kāi)始→運(yùn)行”，在對(duì)話框中輸入“Regedit”，回車后彈出注冊(cè)表編輯器，依次展開(kāi) “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的 Application、Security、System幾個(gè)子項(xiàng)分別對(duì)應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。
　　筆者以應(yīng)用程序日志為例，將其轉(zhuǎn)移到“d:\cce”目錄下。選中Application子項(xiàng),在右欄中找到File鍵，其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”，將它修改為“d:cceAppEvent.Evt”。接著在D 盤(pán)新建“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動(dòng)系統(tǒng)，完成應(yīng)用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項(xiàng)下操作。
　　2． 設(shè)置文件訪問(wèn)權(quán)限

　　修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過(guò)修改日志文件訪問(wèn)權(quán)限，防止這種事情發(fā)生，前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。

　　右鍵點(diǎn)擊D盤(pán)的CCE目錄，選擇“屬性”，切換到“安全”標(biāo)簽頁(yè)后，首先取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)勾選。接著在賬號(hào)列表框中選中“Everyone”賬號(hào)，只給它賦予“讀取”權(quán)限；然后點(diǎn)擊“添加”按鈕，將“System”賬號(hào)添加到賬號(hào)列表框中，賦予除“完全控制”和“修改”以外的所有權(quán)限，最后點(diǎn)擊“確定”按鈕。這樣當(dāng)用戶清除Windows日志時(shí)，就會(huì)彈出錯(cuò)誤對(duì)話框。

　四、Windows日志實(shí)例分析

　　在Windows日志中記錄了很多操作事件，為了方便用戶對(duì)它們的管理，每種類型的事件都賦予了一個(gè)惟一的編號(hào)，這就是事件ID。

1． 查看正常開(kāi)關(guān)機(jī)記錄

　　在Windows系統(tǒng)中，我們可以通過(guò)事件查看器的系統(tǒng)日志查看計(jì)算機(jī)的開(kāi)、關(guān)機(jī)記錄，這是因?yàn)槿罩痉?wù)會(huì)隨計(jì)算機(jī)一起啟動(dòng)或關(guān)閉，并在日志中留下記錄。這里我們要介紹兩個(gè)事件ID“6006和6005”。6005表示事件日志服務(wù)已啟動(dòng)，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6005的事件，就說(shuō)明在這天正常啟動(dòng)了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止，如果沒(méi)有在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6006的事件，就表示計(jì)算機(jī)在這天沒(méi)有正常關(guān)機(jī)，可能是因?yàn)橄到y(tǒng)原因或者直接切斷電源導(dǎo)致沒(méi)有執(zhí)行正常的關(guān)機(jī)操作。
　　2． 查看DHCP配置警告信息

　　在規(guī)模較大的網(wǎng)絡(luò)中，一般都是采用DHCP服務(wù)器配置客戶端IP地址信息，如果客戶機(jī)無(wú)法找到DHCP服務(wù)器，就會(huì)自動(dòng)使用一個(gè)內(nèi)部的IP地址配置客戶端，并且在Windows日志中產(chǎn)生一個(gè)事件ID號(hào)為1007的事件。如果用戶在日志中發(fā)現(xiàn)該編號(hào)事件，說(shuō)明該機(jī)器無(wú)法從DHCP服務(wù)器獲得信息，就要查看是該機(jī)器網(wǎng)絡(luò)故障還是DHCP服務(wù)器問(wèn)題。

問(wèn)題未解決？付費(fèi)解決問(wèn)題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫(xiě)所說(shuō)，是心之所感，思之所悟，行之所得；文當(dāng)無(wú)敷衍，落筆求簡(jiǎn)潔。 以所舍，求所獲；有所依，方所成！