事件查看器.docx
《事件查看器.docx》由会员分享,可在线阅读,更多相关《事件查看器.docx(14页珍藏版)》请在冰豆网上搜索。
事件查看器
Windows系统的日志文件有应用程序日志、安全日志、系统日志等,它们默认的地址为:
%systemroot%\system32\config
右键点击【我的电脑】→管理→计算机管理→系统工具→鼠标对准事件查看器下的每一大项→右键→清除所有事件→弹出窗口点击“否”(不保存)→清除成功。
注:
事件查看器是没办法逐个清除的,因为它不是以正常格式储存,虽然显示的是逐条,但是实际上它们是一整个,而且不分你我。
所以只能整个清除
"schedlgu.txt是计划任务”的“日志”,它忠实地记录了以往计划任务的执行情况,以及用户每次开机启动Windows系统的信息。
删除方法:
1.单击开始>运行,输入services.msc确定.
2.找到RemoteStorageEngine与TaskScheduler服务,将它们停止,然后可以删除schedlgu.txt了.最后将服务开启就好了(不开启也可以.另外,主要是停止TaskScheduler服务.)
事件查看器的内容主要在:
C:
\WINDOWS\system32\config
你可以备份里面的log文件删除事件查看器的方法是:
打开时间查看器后,右击相应的应用程序、安全性、或系统,然后有个清除所有事件的,确认删除就行了
软件环境:
1、windowsxp+oracle8.1.7
2、oracle安装路径为:
c:
\oracle
实现方法:
1、开始->设置->控制面板->管理工具->服务
停止所有oracle服务。
2、开始->程序->oracle-orahome81->oracleinstallationproducts->
universalinstaller
卸装所有oracle产品,但universalinstaller本身不能被删除
5、运行regedit,选择hkey_local_machine\software\oracle,按del键删除这个入口。
6、运行regedit,选择hkey_local_machine\system\currentcontrolset\services,滚动
这个列表,删除所有oracle入口。
7、运行refedit,
hkey_local_machine\system\currentcontrolset\services\eventlog\application,
删除所有oracle入口。
8、开始->设置->控制面板->系统->高级->环境变量
删除环境变量classpath和path中有关oracle的设定
9、从桌面上、startup(启动)组、程序菜单中,删除所有有关oracle的组和图标
10、删除\programfiles\oracle目录
11、重新启动计算机,重起后才能完全删除oracle所在目录
12、删除与oracle有关的文件,选择oracle所在的缺省目录c:
\oracle,删除这个入
口目录及所有子目录,并从windows2000目录(一般为c:
\winnt)下删除以下文
件oracle.ini、oradim73.ini、oradim80.ini、oraodbc.ini等等。
13、win.ini文件中若有[oracle]的标记段,删除该段
14、如有必要,删除所有oracle相关的odbc的dsn
15、到事件查看器中,删除oracle相关的日志
说明:
如果有个别dll文件无法删除的情况,则不用理会,重新启动,开始新的安装,
安装时,选择一个新的目录,则,安装完毕并重新启动后,老的目录及文件就可以删除掉了。
Windows系统的事件查看器是Windows2000/XP中提供的一个系统安全监视工具。
在事件查看器中,可以通过使用事件日志,收集有关硬件、软件、系统问题方面的信息,并监视Windows系统安全。
它不但可以查看系统运行日志文件,而且还可以查看事件类型,使用事件日志来解决系统故障。
在启动Windows2000系统的同时,事件日志服务会自动启动,所有用户都可以查看应用程序日志和系统日志,但只有管理员才能访问安全日志。
如何找到事件查看器?
点击“开始→设置→控制面板”,点击“管理工具”。
然后双击“事件查看器”。
现在,你就可以看到事件查看器的界面了(图1)。
图1(点击放大)事件查看器都记录什么信息?
事件查看器根据来源将日志记录事件分为应用程序日志(Application)、安全日志(Security)和系统日志(System)。
在左侧的类选择对话框中分别单击相应的日志即可打开进入浏览。
应用程序日志包含由应用程序或一般程序记录的事件,主要记载程序运行方面的信息。
安全日志可以记录有效和无效的登录尝试等安全事件以及与资源使用有关的事件,比如创建、打开或删除文件,启动时某个驱动程序加载失败。
同时,管理员还可以指定在安全日志中记录的事件,比如如果启用了登录审核,那么系统登录尝试就记录在安全日志中。
系统日志包含由Windows系统组件记录的事件。
比如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。
另外,事件查看器还按照类型将记录的事件划分为错误、警告和信息三种基本类型。
错误:
重要的问题,如数据丢失或功能丧失。
例如在启动期间系统服务加载失败、磁盘检测错误等,这时系统就会自动记录错误。
这种情况下必须要检查系统。
警告:
不是非常重要但将来可能出现问题的事件,比如磁盘剩余空间较小,或者未找到安装打印机等都会记录一个警告。
这种情况下应该检查问题所在。
信息:
用于描述应用程序、驱动程序或服务成功操作的事件,比如加载网络驱动程序、成功地建立了一个网络连接等。
有用的和有趣的就如同我们是一名要破案的警察一样,现在的资料只有一个日记本。
那么,如何在这个日记本里找到线索或者提示呢?
事件查看器就是系统的一本“日记”,不过系统的这本“日记”中的每一篇都有编号,我们就去找一些最重要的来看吧。
在事件查看器界面中,点击“查看→筛选”,可以选择并根据“事件类型”、“事件ID”等进行筛选,快速找到自己想要的信息(如图2)。
图26006号和6005号:
当你正关闭计算机的时候,在事件查看器里ID号为6006的事件,这个事件的意思是:
事件日志服务已停止(图3)。
图3这意味着什么?
很简单,如果你没有在当天的事件查看器中发现这个6006号事件,那么就表示计算机没有正常关机,可能是因为系统原因(例如蓝屏)或者直接按了电源键而没有执行正常的“开始”菜单中的“关机”程序。
要知道,从Windows95时代开始,我们就了解不正常关机可能会导致系统故障。
当你启动系统的时候,事件查看器又记录了什么呢?
这就是ID号为6005的事件。
这个事件表明:
事件日志服务已启动(图4)。
图4下面让我们看一些错误类型的事件吧,看看我们能找出什么来。
1007号,DHCP错误:
这个错误一般出现在安装了双网卡的系统中。
我们假定安装了两个网卡,其中一个用于局域网,另外一个连接到ADSL的调制解调器上。
这时候,用于局域网的网卡使用的是一个静态的IP地址,而用于ADSL连接的网卡则是“自动获得IP地址”。
这个错误指出,在网络中系统无法找到DHCP服务器,因此使用了一个内部的自动IP地址。
由于安装了双网卡,这种情况也不会影响使用,因此这个错误信息可以不予考虑。
但是,如果在使用了DHCP服务器的单位的电脑上出现这个错误,那你就需要仔细检查检查了。
通过检查事件查看器里面的错误记录,可以确定自己的计算机是否被攻击。
如果在某个时段出现比较多的警告信息。
那么,你可要小心对待了。
以上是从事件查看器里找故障,那么,如何根据故障在事件查看器里查找相应的信息呢?
STOP故障从理论上讲,纯32位的Windows2000是不会出现死机的,但是由于病毒或硬件以及硬件驱动程序不匹配等原因也会造成Windows2000的崩溃,当Windows2000出现死机时,显示器屏幕将变为蓝色,然后出现STOP故障提示信息。
这就是我们常说的STOP故障。
如果Windows2000可以启动,可以打开“事件查看器”查看系统日志,确定导致故障的设备或驱动程序。
如果不能启动计算机,可以使用“安全模式”或“最后一次正确的配置”启动计算机,然后删除或禁用新安装的附加程序或驱动程序。
如果用“安全模式”启动不了计算机,可使用故障恢复控制台,禁用一些服务或者重新命名设备驱动程序、检修引导扇区或主引导记录等。
如果想详细了解故障恢复控制台,可以参考2002年《电脑爱好者》第19期的《抓住末日前一秒:
Windows的故障恢复控制台》一文。
然后拆下新安装的硬件设备,检查Microsoft兼容硬件列表(HCL),确保所有的硬件和驱动程序都与Windows系统兼容,其中Hcl.txt在Windows2000安装光盘的\Support文件夹中。
另外,还可以访问微软官方技术支持站点管理事件查看器我们现在可以修改日志文件的保存路径了,那么是否可以对日志文件根据自己的需要进行相应的管理呢?
(1)改变日志文件大小在事件查看器中,用鼠标右键单击“应用程序日志”,在弹出的快捷菜单中,选择“属性”命令,打开“应用程序日志”属性对话框,在“常规”选项卡的“最大日志文件大小”文本框中可指定新的日志文件大小。
如果要使新设置生效,还需要单击“清除日志”命令按钮。
如果要保留日志中的当前信息,当询问清除之前是否保存原始日志时,单击“是”按钮即可。
(2)清除所有事件日志在控制台树中,首先单击要清除的日志,比如“应用程序日志”,然后在“操作”菜单上,单击“清除所有事件”命令,此时系统会提示是否保存当前日志,单击“是”按钮即可清除,否则将永远丢失当前事件记录,并开始记录新的事件。
(3)保存日志文件在控制台树中,单击要存档的日志,比如“应用程序日志”,然后在“操作”菜单上,单击“另存日志文件”命令,在打开的对话框中输入文件名称,在“保存类型”中选择文件保存格式,并单击“保存”按钮。
(4)删除与修复损坏的日志文件如果发现日志文件已经损坏,系统将经常出现故障和错误提示,可以首先将其删除,重新启动计算机后即可恢复。
对于采用NTFS分区格式的系统,如果要删除日志文件,需要首先关闭事件检查器服务才行。
在控制面板中双击“管理工具”图标,在打开的管理工具中,双击“服务”图标,在服务中选择“EventLog”服务,用鼠标右键单击此服务,在弹出的快捷菜单中选择“属性”命令,弹出“服务属性”对话框,在“启动类型”中设置其为“已禁用”选项,并单击“确定”按钮完成,如图7所示。
重新启动计算机,然后将文件夹“%SystemRoot%\System32\Config”中的*.evt文件删除。
完成后,再次启动事件检查器服务,并重新启动计算机即可恢复损坏的事件检查器文件了。
对于使用FAT分区的文件系统,可以使用DOS启动盘启动计算机,然后将“%SystemRoot%\System32\Config”目录下的文件直接删除即可。
图7
删除日志文件,并重新启动计算机后,系统将自动恢复日志文件,从而保证系统的正常运行。
使用事件查看器
利用“事件查看器”这个系统维护工具,用户可以通过使用事件日志,收集有关硬件、软件、系统问题方面的信息,并监视中文版WindowsXP安全事件,将Windows和其他应用程序运行中错误事件记录下来,便于用户诊断和纠正可能发生的系统错误和问题。
14.4.1事件查看器当用户需要查看工作日志时,可进行以下的操作步骤:
(1)单击“开始”按钮,选择“控制面板”命令,在打开的“控制面板”窗口单击“管理工具”图标,然后在“管理工具”窗口中双击“事件查看器”图标,这时就可以打开“事件查看器”窗口。
(2)在“事件查看器”窗口中包括三种类型的日志记录事件:
·应用程序日志:
记录应用程序或一般程序的事件。
·安全性日志:
可以记录例如有效和无效的登录尝试等安全事件,以及与资源使用有关的事件。
例如创建、打开或删除文件以及有关设置的修改。
·系统日志:
包含由WindowsXP系统组件记录的事件,例如,在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。
(3)事件查看器显示以下事件类型:
·信息:
描述应用程序、驱动程序或服务成功操作的事件,例如成功地加载网络驱动程序时会记录一个信息事件。
·警告:
不是非常重要但将来可能出现的问题事件。
例如,如果磁盘空间较小,则会记录一个警告。
·错误:
重要的问题,如数据丢失或功能丧失。
例如,如果在启动期间服务加载失败,则会记录错误。
·成功审核:
审核安全访问尝试成功。
例如,将用户成功登录到系统上的尝试作为“成功审核”事件记录下来。
·失败审核:
审核安全访问尝试失败。
例如,如果用户试图访问网络驱动器失败,该尝试就会作为“失败审核”事件进行记录。
(4)如果要查看某事件的详细内容,可先选中该项,双击打开“事件属性”对话框,在其中的“事件详细信息”选项组中列出了事件发生的时间及来源、类型等详细资料,如图14.13所示。
14.4.2事件查看器在网络中的应用由于中文版WindowsXP可以用于小型办公网络和家庭网络的组建,在网络应用过程中,网络中的计算机有时会出现故障,这时需要管理员查看这台机器的工作日志,以此来判断出现故障的原因。
具体的操作步骤如下:
(1)在“事件查看器(本地)”窗口中,右击“事件查看器(本地)”选项,会弹出一个快捷菜单,从中选择“连接到另一台计算机”命令,出现“选择计算机”对话框,在此用户可以选择需要这个管理单元管理的计算机,在“另一台计算机”文本框中输入要查看的工作站名,单击“确定”即可,如图14.14所示。
(2)为了在众多的计算机中准确地找到出现故障的一台,最大限度地节省时间,可以单击“浏览”按钮,出现如图14.15所示的“选择计算机”对话框,可以在这里进行更为详细的条件限定,这样,就可以快速地找到出现故障的计算机,进行工作日志的查看。
14.4.3事件查看器窗口在“事件查看器”窗口中,用户可以利用菜单栏中的菜单项方便地进行本地事件的查看,下面是其中简单而且实用的几项操作(以“应用程序”)为例:
(1)在“操作”菜单中,用户可以根据需要进行工作日志文件的打开和保存,以及事件的清除等操作。
(2)选择“操作”|“属性”或者“查看”|“筛选”命令,出现“应用程序属性”对话框,在“常规”选项卡中详细显示了“应用程序”的名称,创建、修改、访问时间,用户可以对最大日志以及达到极限后的处理方法进行设定,如果用户不再需要个性设置时,可以单击“还原为默认值”按钮,即可恢复到系统默认的设置,如图14.16所示。
(3)选择“筛选器”选项卡,用户可以对日志中的事件进行筛选,用户可在“事件类型”选项组中进行复选框的选择,在“事件来源”“类别”下拉列表框中可设置筛选具体条件,还可进行时间限定。
需要指出的是,筛选并不会对日志的具体内容产生影响,它只是改变了事件的显示方式,如图14.17所示。
(4)在“查看”菜单中选择“添加|删除列”命令,弹出“添加|删除列”对话框,如果用户不需要在该窗口的详细列表中显示某选项时,可在“显示列”列表中先选中,然后单击“删除”按钮,即可删除该列的显示,这样会使画面看起来更简洁,如图14.18所示。
(5)在“查看”菜单中选择“查找”命令,出现“在本地应用程序上查找”对话框,在此可设置好要查找的条件,可自行选择搜索方向,连续查找多个符合要求的事件,如图14.19所示。
用事件查看器解决操作系统故障
作者:
MicrosoftMVP闫诺更新时间:
2005-04-08
无论是普通计算机用户,还是专业计算机系统管理员,在操作计算机的时候都会遇到某些系统错误。
很多朋友经常为无法找到出错原因,解决不了故障问题感到困扰。
事实上,利用Windows内置的事件查看器,加上适当的网络资源,就可以很好地解决大部分的系统问题。
一、事件查看器可以做什么
微软在以WindowsNT为内核的操作系统中集成有事件查看器,这些操作系统包括Windows2000\NT\XP\2003等。
事件查看器可以完成许多工作,比如审核系统事件和存放系统、安全及应用程序日志等。
系统日志中存放了Windows操作系统产生的信息、警告或错误。
通过查看这些信息、警告或错误,我们不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。
安全日志中存放了审核事件是否成功的信息。
通过查看这些信息,我们可以了解到这些安全审核结果为成功还是失败。
应用程序日志中存放应用程序产生的信息、警告或错误。
通过查看这些信息、警告或错误,我们可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。
程序开发人员可以利用这些资源来改善应用程序。
点击“开始→运行”,输入eventvwr,点击“确定”,就可以打开事件查看器,它的界面如图1所示。
图1
查看事件的详细信息:
选中事件查看器左边的树形结构图中的日志类型(应用程序、安全性或系统),在右侧的详细资料窗格中将会显示出系统中该类的全部日志,双击其中一个日志,便可查看其详细信息,如图2。
在日志属性窗口中我们可以看到事件发生的日期、事件的发生源、种类和ID,以及事件的详细描述。
这对我们寻找解决错误是最重要的。
图2
搜索事件:
如果系统中的事件过多,我们将会很难找到真正导致系统问题的事件。
这时,我们可以使用事件“筛选”功能找到我们想找的日志。
选中左边的树形结构图中的日志类型(应用程序、安全性或系统),右击“查看”,并选择“筛选”。
日志筛选器将会启动,如图3。
图3
选择所要查找的事件类型,比如“错误”,以及相关的事件来源和类别等等,并单击“确定”。
事件查看器会执行查找,并只显示符合这些条件的事件。
二、利用查看器解决系统问题
查到导致系统问题的事件后,我们需要找到解决它们的办法。
查找解决这些问题的方法主要可以通过两个途径:
微软在线技术支持知识库以及E网站。
微软在线技术支持知识库(KB):
微软知识库的文章是由微软公司官方资料和MVP(微软最有价值专家)撰写的技术文章组成,主要解决微软产品的问题及故障。
当微软每一个产品的Bug和容易出错的应用点被发现以后,都将有与其对应的KB文章分析这项错误的解决方案。
微软知识库的地址是:
,在网页左边的“搜索(知识库)”中输入相关的关键字进行查询,事件发生源和ID等信息。
当然,输入详细描述中的关键词也是一个好办法,如果日志中有错误编号,输入这个错误编号进行查询也并不是一个坏主意。
另外,微软中文社区(
总体来说,在Windows操作系统中提供的事件日志机制为我们找出系统问题提供了快捷的方法,而官方和第三方等多种网络资源使我们能够迅速地解决这些问题。
通过本文,希望读者能够充分利用这些资源,在以后系统出现问题时,能够自主地将它们解决。
节省时间,节省金钱。
在Windows2000、WindowsXP操作系统中有一位系统运行状况的忠实记录者,从开机、运行到关机过程中发生的每一个事件都将被记录下来,它就是“事件查看器”。
用户可以利用这个系统维护工具,收集有关硬件、软件、系统问题方面的信息,并监视系统安全事件,将系统和其他应用程序运行中错误或警告事件记录下来,便于诊断和纠正系统发生的错误和问题。
下面通过几个例子来讲解“事件查看器”的实际应用。
使用事件查看器
有两种方法可以很快地打开事件查看器:
1.通过“我的电脑”打开。
右键单击“我的电脑”,选择“管理”,弹出“计算机管理”窗口,在“系统工具”标签下便是“事件查看器”。
2.通过“控制面板”打开。
选择“开始/控制面板”,在“控制面板”窗口单击“管理工具”,在弹出窗口中双击“事件查看器”图标,便可打开“事件查看器”窗口。
如图1所示便是事件查看器的系统日志信息。
监视文件和文件夹的访问
在办公环境下,有时我们需了解计算机上其他用户是否访问了我们限制的文件或文件夹,这时候我们通过组策略配合,利用事件查看器在不影响用户正常使用的情况下,监控用户的访问情况。
选择“开始/控制面板/管理工具/本地安全设置/本地策略/审核策略”,在右边信息窗口中右键单击“审核对象访问”选择“安全性”,在“本地安全策略设置”中,单击所需的选项并确定。
接着在任务栏“开始”上点右键选择“资源管理器”,右键点击要审核的文件或文件夹,选择“属性”。
然后选择“安全/高级/审核/添加”,在“选择用户、计算机或组”对话框中,单击要审核操作的用户名或组名并确定即可。
注意:
必须作为管理员或管理组的成员登录才能设置文件和文件夹的审核,只有管理员才能使用“组策略”
监视系统开关机情况
当我们外出回来,有时我们需要了解计算机的开关情况以及是否正常开关机情况。
我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。
主要是两个事件ID“6006和6005”。
6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。
6006表示事件日志服务已停止(图2),如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
如果你是网络管理员,那么这些记录就更加的重要了,如果有意外的开关机操作,那么你的机器已被攻击的可能性就很大了。
解决机器开机时的错误提示窗口
如果你最近安装或卸载了某些程序,或者是由于安全的原因关闭了某些服务,结果你发现每次开机都会弹出一个错误提示窗口,并提示“在系统启动时至少有一个服务或驱动程序产生错误。
详细信息
升级会员 