1。什么是日志
文件 日志文件是windows
系统中的一种特殊文件。它记录了Windows系统中发生的所有事情,比如各种系统
服务的
启动、
操作和
关闭,Windows日志包括
应用程序、安全、系统等。它的存储
路径是%SystemRoot% system32config应用程序日志、安全日志和系统日志中对应的文件名和文件appevent.evt,secevent.evt sysevent.evt.these受事件日志(事件记录)服务的
保护不能被
删除,但可以清空。
两。如何查看日志文件
在Windows系统中看到日志文件很简单,点击开始具有;集具有;
控制面板rarr;
管理工具RARR;事件查看器列表的日志
类型包含在事件查看器窗口左栏,如应用程序、安全、系统等。查看日志记录也很简单,选择日志类型在左栏,如应用程序,那么所有的在右栏列出的日志记录类型,
双击一条记录,弹出
属性对话框;事件;
显示细节的记录,以便我们能准确地把握所发生的系统,无论是Windows的正常
运行,如果有问题,马上找到了。
三、Windows日志文件保护
日志文件对我们来说是如此重要,所以你不能忽视对它的保护,防止一些犯罪分子的出现日志文件
清理空气
条件。
1。
修改日志文件存储
目录 Windows日志文件的
默认路径是%SystemRoot% system32config我们可以通过修改
注册表来改变它的存储目录,从而提高日志的保护。
单击开始具有;;;,在对话框中
输入,输入弹出;Regedit注册表
编辑器,展开hkey_local_machine /系统/ CurrentControlSet /服务/ eventlog下面的应用,安全后,系统的几个子项对应于应用程序日志,安全日志,系统日志。
我以应用程序日志为例,将它转移到D: cce目录下,选择应用程序项目的子项目,
发现在右列中的文件密钥,密钥值是应用程序日志文件的路径,%SystemRoot% system32configappevent.evt修改它以D:cceappevent。Evt接下来,我们
创建了CCE,目录在D盘,Evt,副本,AppEvent,目录,
重启系统,完成应用程序的日志文件存放目录的修改。其他类型的日志文件路径的修改
方法是一样的,在不同的子项只有操作。
2。
设置文件访问
权限 修改了日志文件的存储目录后,日志仍然可以清空。下面的方法是通过修改日志文件的
访问权限来防止此类事件的发生。前提是Windows系统应该采用NTFS文件系统格式。
右键点击D盘,CCE目录,选择属性,切换到;;;安全;标签页后,
取消第一;让亲子继承权被发送到
目标选项检查。然后在帐户列表中选择框Everyone帐户,只给这读取权限;然后点击添加按钮,将;;System帐户添加到账号列表框中,除了给出和全面控制;改性;所有的权限外,最后,在点击按钮;在这这样,当
用户清除Windows日志,
错误对话框弹出。
四、windows日志案例分析
在Windows日志中记录了许多操作事件。为了方便用户管理它们,每种类型的事件都被分配一个唯一的编号,即事件ID。
1。检查正常的交换机记录
在Windows系统中,我们可以通过事件查看器的系统日志查看
计算机的开、关的记录,这是因为日志服务将启动或关闭计算机,并留下记录在日志中。在这里,我们将
介绍两个事件id6006和6005表示6005。这事件日志服务已启动。如果我们发现在事件查看器事件ID号是6005,这意味着通常在这个day.6006推出Windows系统表示事件日志服务已停止,如果没有一个在事件查看器事件ID 6006事件发现,说
电脑在这一天没有正常
关机,可能是因为系统或者直接切断电源不
执行正常的关机操作的
原因。
2。查看DHCP
配置警告信息
在较大的
网络中,通常使用DHCP
服务器配置客户端IP
地址信息,如果客户机无法找到DHCP服务器会自动使用客户内部IP地址配置,并在Windows日志生成事件ID 1007事件。如果用户在日志中发现编号事件,表明该机可以无法从DHCP服务器获取信息。看看机器是网络
故障还是DHCP服务器问题。