Windows日志文件

1。什么是日志文件
日志文件是windows系统中的一种特殊文件。它记录了Windows系统中发生的所有事情，比如各种系统服务的启动、操作和关闭，Windows日志包括应用程序、安全、系统等。它的存储路径是%SystemRoot% system32config应用程序日志、安全日志和系统日志中对应的文件名和文件appevent.evt，secevent.evt sysevent.evt.these受事件日志（事件记录）服务的保护不能被删除，但可以清空。
两。如何查看日志文件
在Windows系统中看到日志文件很简单，点击开始具有；集具有；控制面板rarr；管理工具RARR；事件查看器列表的日志类型包含在事件查看器窗口左栏，如应用程序、安全、系统等。查看日志记录也很简单，选择日志类型在左栏，如应用程序，那么所有的在右栏列出的日志记录类型，双击一条记录，弹出属性对话框；事件；显示细节的记录，以便我们能准确地把握所发生的系统，无论是Windows的正常运行，如果有问题，马上找到了。
三、Windows日志文件保护
日志文件对我们来说是如此重要，所以你不能忽视对它的保护，防止一些犯罪分子的出现日志文件清理空气条件。
1。修改日志文件存储目录
Windows日志文件的默认路径是%SystemRoot% system32config我们可以通过修改注册表来改变它的存储目录，从而提高日志的保护。
单击开始具有；；；，在对话框中输入，输入弹出；Regedit注册表编辑器，展开hkey_local_machine /系统/ CurrentControlSet /服务/ eventlog下面的应用，安全后，系统的几个子项对应于应用程序日志，安全日志，系统日志。
我以应用程序日志为例，将它转移到D： cce目录下，选择应用程序项目的子项目，发现在右列中的文件密钥，密钥值是应用程序日志文件的路径，%SystemRoot% system32configappevent.evt修改它以D：cceappevent。Evt接下来，我们创建了CCE，目录在D盘，Evt，副本，AppEvent，目录，重启系统，完成应用程序的日志文件存放目录的修改。其他类型的日志文件路径的修改方法是一样的，在不同的子项只有操作。
2。设置文件访问权限
修改了日志文件的存储目录后，日志仍然可以清空。下面的方法是通过修改日志文件的访问权限来防止此类事件的发生。前提是Windows系统应该采用NTFS文件系统格式。
右键点击D盘，CCE目录，选择属性，切换到；；；安全；标签页后，取消第一；让亲子继承权被发送到目标选项检查。然后在帐户列表中选择框Everyone帐户，只给这读取权限；然后点击添加按钮，将；；System帐户添加到账号列表框中，除了给出和全面控制；改性；所有的权限外，最后，在点击按钮；在这这样，当用户清除Windows日志，错误对话框弹出。
四、windows日志案例分析
在Windows日志中记录了许多操作事件。为了方便用户管理它们，每种类型的事件都被分配一个唯一的编号，即事件ID。
1。检查正常的交换机记录
在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关的记录，这是因为日志服务将启动或关闭计算机，并留下记录在日志中。在这里，我们将介绍两个事件id6006和6005表示6005。这事件日志服务已启动。如果我们发现在事件查看器事件ID号是6005，这意味着通常在这个day.6006推出Windows系统表示事件日志服务已停止，如果没有一个在事件查看器事件ID 6006事件发现，说电脑在这一天没有正常关机，可能是因为系统或者直接切断电源不执行正常的关机操作的原因。
2。查看DHCP配置警告信息
在较大的网络中，通常使用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器会自动使用客户内部IP地址配置，并在Windows日志生成事件ID 1007事件。如果用户在日志中发现编号事件，表明该机可以无法从DHCP服务器获取信息。看看机器是网络故障还是DHCP服务器问题。