教你如何查询个人电脑开机日志

1、教你如何查询个人电脑开机日志教你如何查询个人电脑开机日志2010-05-28 08：26教你如何查询个人电脑开机日志2008年11月19日星期三21：41windows系统的事件查看器是windows 2000/xp中提供的一个系统安全监视工具。在事件查看器中，可以通过使用事件日志，收集有关硬件、软件、系统问题方面的信息，并监视windows系统安全。它不但可以查看系统运行日志文件，而且还可以查看事件类型，使用事件日志来解决系统故障。在启动windows 2000系统的同时，事件日志服务会自动启动，所有用户都可以查看应用程序日志和系统日志，但只有管理员才能访问安全日志。如何找到事件查看器?点击

2、开始设置控制面板，点击管理工具。然后双击事件查看器。现在，你就可以看到事件查看器的界面了(图1)。图1(点击放大)事件查看器都记录什么信息?事件查看器根据来源将日志记录事件分为应用程序日志(application)、安全日志(security)和系统日志(system)。在左侧的类选择对话框中分别单击相应的日志即可打开进入浏览。应用程序日志包含由应用程序或一般程序记录的事件，主要记载程序运行方面的信息。安全日志可以记录有效和无效的登录尝试等安全事件以及与资源使用有关的事件，比如创建、打开或删除文件，启动时某个驱动程序加载失败。同时，管理员还可以指定在安全日志中记录的事件，比如如果启用了登录审核

3、，那么系统登录尝试就记录在安全日志中。系统日志包含由windows系统组件记录的事件。比如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。另外，事件查看器还按照类型将记录的事件划分为错误、警告和信息三种基本类型。错误：重要的问题，如数据丢失或功能丧失。例如在启动期间系统服务加载失败、磁盘检测错误等，这时系统就会自动记录错误。这种情况下必须要检查系统。警告：不是非常重要但将来可能出现问题的事件，比如磁盘剩余空间较小，或者未找到安装打印机等都会记录一个警告。这种情况下应该检查问题所在。信息：用于描述应用程序、驱动程序或服务成功操作的事件，比如加载网络驱动程序、成功地建立了一个网络连接

4、等。有用的和有趣的就如同我们是一名要破案的警察一样，现在的资料只有一个日记本。那么，如何在这个日记本里找到线索或者提示呢?事件查看器就是系统的一本日记，不过系统的这本日记中的每一篇都有编号，我们就去找一些最重要的来看吧。在事件查看器界面中，点击查看筛选，可以选择并根据事件类型、事件id等进行筛选，快速找到自己想要的信息(如图2)。图26006号和6005号：当你正关闭计算机的时候，在事件查看器里id号为6006的事件，这个事件的意思是：事件日志服务已停止(图3)。图3这意味着什么?很简单，如果你没有在当天的事件查看器中发现这个6006号事件，那么就表示计算机没有正常关机，可能是因为系统原因(例

5、如蓝屏)或者直接按了电源键而没有执行正常的开始菜单中的关机程序。要知道，从windows 95时代开始，我们就了解不正常关机可能会导致系统故障。当你启动系统的时候，事件查看器又记录了什么呢?这就是id号为6005的事件。这个事件表明：事件日志服务已启动(图4)。图4下面让我们看一些错误类型的事件吧，看看我们能找出什么来。1007号，dhcp错误：这个错误一般出现在安装了双网卡的系统中。我们假定安装了两个网卡，其中一个用于局域网，另外一个连接到adsl的调制解调器上。这时候，用于局域网的网卡使用的是一个静态的ip地址，而用于adsl连接的网卡则是自动获得ip地址。这个错误指出，在网络中系统无法找

6、到dhcp服务器，因此使用了一个内部的自动ip地址。由于安装了双网卡，这种情况也不会影响使用，因此这个错误信息可以不予考虑。但是，如果在使用了dhcp服务器的单位的电脑上出现这个错误，那你就需要仔细检查检查了。通过检查事件查看器里面的错误记录，可以确定自己的计算机是否被攻击。如果在某个时段出现比较多的警告信息。那么，你可要小心对待了。以上是从事件查看器里找故障，那么，如何根据故障在事件查看器里查找相应的信息呢?stop故障从理论上讲，纯32位的windows 2000是不会出现死机的，但是由于病毒或硬件以及硬件驱动程序不匹配等原因也会造成windows 2000的崩溃，当windows 200

7、0出现死机时，显示器屏幕将变为蓝色，然后出现stop故障提示信息。这就是我们常说的stop故障。如果windows 2000可以启动，可以打开事件查看器查看系统日志，确定导致故障的设备或驱动程序。如果不能启动计算机，可以使用安全模式或最后一次正确的配置启动计算机，然后删除或禁用新安装的附加程序或驱动程序。如果用安全模式启动不了计算机，可使用故障恢复控制台，禁用一些服务或者重新命名设备驱动程序、检修引导扇区或主引导记录等。如果想详细了解故障恢复控制台，可以参考2002年电脑爱好者第19期的抓住末日前一秒：windows的故障恢复控制台一文。然后拆下新安装的硬件设备，检查microsoft兼容硬件

8、列表(hcl)，确保所有的硬件和驱动程序都与windows系统兼容，其中hcl.txt在windows 2000安装光盘的support文件夹中。另外，还可以访问微软官方技术支持站点，在搜索中输入stop故障代码，比如出现的stop消息为stop：0x 0000000a，那么即可输入stop0x 0000000a，按下回车键即可查出所出现的stop问题的解决办法。如图5所示。图5(点击放大)事件查看器的维护与管理修改日志文件存放路径windows系统日志默认情况下被保存在windows系统文件夹中，有的时候，如果你打算修改日志文件存放路径，可以通过修改注册表的方法。(1)修改系统日志存放路径打

9、开注册表编辑器，展开如下分支：hkey_local_machinesystemcurrentcontrolsetserviceseventlogsystem，然后双击右侧窗口中的file键值，打开字符串编辑器，系统默认的存放路径是%systemroot%system32configsysevent.evt，这时可以根据自己的需要设定新的存放路径，如图6所示。图6(2)修改应用程序日志存放路径打开注册表编辑器，展开如下分支：hkey_local_machinesystemcurrentcontrolsetserviceseventlogapplication，双击并修改右侧窗口中的file键值即

10、可，方法与前面介绍的相同。(3)修改安全日志存放路径打开注册表编辑器，展开如下分支：hkey_local_machinesystemcurrentcontrolsetserviceseventlogsecurity，双击并修改右侧窗口中的file键值。完成修改后，重新启动计算机即可使修改生效。管理事件查看器我们现在可以修改日志文件的保存路径了，那么是否可以对日志文件根据自己的需要进行相应的管理呢?(1)改变日志文件大小在事件查看器中，用鼠标右键单击应用程序日志，在弹出的快捷菜单中，选择属性命令，打开应用程序日志属性对话框，在常规选项卡的最大日志文件大小文本框中可指定新的日志文件大小。如果要使新

11、设置生效，还需要单击清除日志命令按钮。如果要保留日志中的当前信息，当询问清除之前是否保存原始日志时，单击是按钮即可。(2)清除所有事件日志在控制台树中，首先单击要清除的日志，比如应用程序日志，然后在操作菜单上，单击清除所有事件命令，此时系统会提示是否保存当前日志，单击是按钮即可清除，否则将永远丢失当前事件记录，并开始记录新的事件。(3)保存日志文件在控制台树中，单击要存档的日志，比如应用程序日志，然后在操作菜单上，单击另存日志文件命令，在打开的对话框中输入文件名称，在保存类型中选择文件保存格式，并单击保存按钮。(4)删除与修复损坏的日志文件如果发现日志文件已经损坏，系统将经常出现故障和错误提示

12、，可以首先将其删除，重新启动计算机后即可恢复。对于采用ntfs分区格式的系统，如果要删除日志文件，需要首先关闭事件检查器服务才行。在控制面板中双击管理工具图标，在打开的管理工具中，双击服务图标，在服务中选择eventlog服务，用鼠标右键单击此服务，在弹出的快捷菜单中选择属性命令，弹出服务属性对话框，在启动类型中设置其为已禁用选项，并单击确定按钮完成，如图7所示。重新启动计算机，然后将文件夹%systemroot%system32config中的*.evt文件删除。完成后，再次启动事件检查器服务，并重新启动计算机即可恢复损坏的事件检查器文件了。对于使用fat分区的文件系统，可以使用dos启动盘

13、启动计算机，然后将%systemroot%system32config目录下的文件直接删除即可。图7删除日志文件，并重新启动计算机后，系统将自动恢复日志文件，从而保证系统的正常运行。使用事件查看器利用事件查看器这个系统维护工具，用户可以通过使用事件日志，收集有关硬件、软件、系统问题方面的信息，并监视中文版windows xp安全事件，将windows和其他应用程序运行中错误事件记录下来，便于用户诊断和纠正可能发生的系统错误和问题。14.4.1事件查看器当用户需要查看工作日志时，可进行以下的操作步骤：(1)单击开始按钮，选择控制面板命令，在打开的控制面板窗口单击管理工具图标，然后在管理工具窗口中

14、双击事件查看器图标，这时就可以打开事件查看器窗口。(2)在事件查看器窗口中包括三种类型的日志记录事件：应用程序日志：记录应用程序或一般程序的事件。安全性日志：可以记录例如有效和无效的登录尝试等安全事件，以及与资源使用有关的事件。例如创建、打开或删除文件以及有关设置的修改。系统日志：包含由windows xp系统组件记录的事件，例如，在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。(3)事件查看器显示以下事件类型：信息：描述应用程序、驱动程序或服务成功操作的事件，例如成功地加载网络驱动程序时会记录一个信息事件。警告：不是非常重要但将来可能出现的问题事件。例如，如果磁盘空间较小，则会

15、记录一个警告。错误：重要的问题，如数据丢失或功能丧失。例如，如果在启动期间服务加载失败，则会记录错误。成功审核：审核安全访问尝试成功。例如，将用户成功登录到系统上的尝试作为成功审核事件记录下来。失败审核：审核安全访问尝试失败。例如，如果用户试图访问网络驱动器失败，该尝试就会作为失败审核事件进行记录。(4)如果要查看某事件的详细内容，可先选中该项，双击打开事件属性对话框，在其中的事件详细信息选项组中列出了事件发生的时间及来源、类型等详细资料，如图14.13所示。14.4.2事件查看器在网络中的应用由于中文版windows xp可以用于小型办公网络和家庭网络的组建，在网络应用过程中，网络中的计算机

16、有时会出现故障，这时需要管理员查看这台机器的工作日志，以此来判断出现故障的原因。具体的操作步骤如下：(1)在事件查看器(本地)窗口中，右击事件查看器(本地)选项，会弹出一个快捷菜单，从中选择连接到另一台计算机命令，出现选择计算机对话框，在此用户可以选择需要这个管理单元管理的计算机，在另一台计算机文本框中输入要查看的工作站名，单击确定即可，如图14.14所示。(2)为了在众多的计算机中准确地找到出现故障的一台，最大限度地节省时间，可以单击浏览按钮，出现如图14.15所示的选择计算机对话框，可以在这里进行更为详细的条件限定，这样，就可以快速地找到出现故障的计算机，进行工作日志的查看。14.4.3事

17、件查看器窗口在事件查看器窗口中，用户可以利用菜单栏中的菜单项方便地进行本地事件的查看，下面是其中简单而且实用的几项操作(以应用程序)为例：(1)在操作菜单中，用户可以根据需要进行工作日志文件的打开和保存，以及事件的清除等操作。(2)选择操作|属性或者查看|筛选命令，出现应用程序属性对话框，在常规选项卡中详细显示了应用程序的名称，创建、修改、访问时间，用户可以对最大日志以及达到极限后的处理方法进行设定，如果用户不再需要个性设置时，可以单击还原为默认值按钮，即可恢复到系统默认的设置，如图14.16所示。(3)选择筛选器选项卡，用户可以对日志中的事件进行筛选，用户可在事件类型选项组中进行复选框的选择

18、，在事件来源类别下拉列表框中可设置筛选具体条件，还可进行时间限定。需要指出的是，筛选并不会对日志的具体内容产生影响，它只是改变了事件的显示方式，如图14.17所示。(4)在查看菜单中选择添加|删除列命令，弹出添加|删除列对话框，如果用户不需要在该窗口的详细列表中显示某选项时，可在显示列列表中先选中，然后单击删除按钮，即可删除该列的显示，这样会使画面看起来更简洁，如图14.18所示。(5)在查看菜单中选择查找命令，出现在本地应用程序上查找对话框，在此可设置好要查找的条件，可自行选择搜索方向，连续查找多个符合要求的事件，如图14.19所示。用事件查看器解决操作系统故障作者：microsoft mv

19、p闫诺更新时间：2005-04-08无论是普通计算机用户，还是专业计算机系统管理员，在操作计算机的时候都会遇到某些系统错误。很多朋友经常为无法找到出错原因，解决不了故障问题感到困扰。事实上，利用windows内置的事件查看器，加上适当的网络资源，就可以很好地解决大部分的系统问题。一、事件查看器可以做什么微软在以windows nt为内核的操作系统中集成有事件查看器，这些操作系统包括windows 2000ntxp03等。事件查看器可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。系统日志中存放了windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，我们不

20、但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。安全日志中存放了审核事件是否成功的信息。通过查看这些信息，我们可以了解到这些安全审核结果为成功还是失败。应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。点击开始运行，输入eventvwr，点击确定，就可以打开事件查看器，它的界面如图1所示。图1查看事件的详细信息：选中事件查看器左边的树形结构图中的日志类型(应用程序、安全性或系统)，在右侧的详细资料窗格中将会显示

21、出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息，如图2。在日志属性窗口中我们可以看到事件发生的日期、事件的发生源、种类和id，以及事件的详细描述。这对我们寻找解决错误是最重要的。图2搜索事件：如果系统中的事件过多，我们将会很难找到真正导致系统问题的事件。这时，我们可以使用事件筛选功能找到我们想找的日志。选中左边的树形结构图中的日志类型(应用程序、安全性或系统)，右击查看，并选择筛选。日志筛选器将会启动，如图3。图3选择所要查找的事件类型，比如错误，以及相关的事件来源和类别等等，并单击确定。事件查看器会执行查找，并只显示符合这些条件的事件。二、利用查看器解决系统问题查到导致系统问题

22、的事件后，我们需要找到解决它们的办法。查找解决这些问题的方法主要可以通过两个途径：微软在线技术支持知识库以及e网站。微软在线技术支持知识库(kb)：微软知识库的文章是由微软公司官方资料和mvp(微软最有价值专家)撰写的技术文章组成，主要解决微软产品的问题及故障。当微软每一个产品的bug和容易出错的应用点被发现以后，都将有与其对应的kb文章分析这项错误的解决方案。微软知识库的地址是：，在网页左边的搜索(知识库)中输入相关的关键字进行查询，事件发生源和id等信息。当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询也并不是一个坏主意。另外，

23、微软中文社区()提供在线的免费技术支持和定期的专家聊天，只要稍加利用，都可以成为解决系统疑难杂症的宝贵资源。总体来说，在windows操作系统中提供的事件日志机制为我们找出系统问题提供了快捷的方法，而官方和第三方等多种网络资源使我们能够迅速地解决这些问题。通过本文，希望读者能够充分利用这些资源，在以后系统出现问题时，能够自主地将它们解决。节省时间，节省金钱。在windows2000、windows xp操作系统中有一位系统运行状况的忠实记录者，从开机、运行到关机过程中发生的每一个事件都将被记录下来，它就是事件查看器。用户可以利用这个系统维护工具，收集有关硬件、软件、系统问题方面的信息，并监视系

24、统安全事件，将系统和其他应用程序运行中错误或警告事件记录下来，便于诊断和纠正系统发生的错误和问题。下面通过几个例子来讲解事件查看器的实际应用。使用事件查看器有两种方法可以很快地打开事件查看器：1.通过我的电脑打开。右键单击我的电脑，选择管理，弹出计算机管理窗口，在系统工具标签下便是事件查看器。2.通过控制面板打开。选择开始/控制面板，在控制面板窗口单击管理工具，在弹出窗口中双击事件查看器图标，便可打开事件查看器窗口。如图1所示便是事件查看器的系统日志信息。监视文件和文件夹的访问在办公环境下，有时我们需了解计算机上其他用户是否访问了我们限制的文件或文件夹，这时候我们通过组策略配合，利用事件查看器

25、在不影响用户正常使用的情况下，监控用户的访问情况。选择开始/控制面板/管理工具/本地安全设置/本地策略/审核策略，在右边信息窗口中右键单击审核对象访问选择安全性，在本地安全策略设置中，单击所需的选项并确定。接着在任务栏开始上点右键选择资源管理器，右键点击要审核的文件或文件夹，选择属性。然后选择安全/高级/审核/添加，在选择用户、计算机或组对话框中，单击要审核操作的用户名或组名并确定即可。注意：必须作为管理员或管理组的成员登录才能设置文件和文件夹的审核，只有管理员才能使用组策略监视系统开关机情况当我们外出回来，有时我们需要了解计算机的开关情况以及是否正常开关机情况。我们可以通过事件查看器的系统日

26、志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。主要是两个事件id6006和6005。6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件id号为6005的事件，就说明在这天正常启动了windows系统。6006表示事件日志服务已停止(图2)，如果没有在事件查看器中发现某日的事件id号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。如果你是网络管理员，那么这些记录就更加的重要了，如果有意外的开关机操作，那么你的机器已被攻击的可能性就很大了。解决机器开机时的错误提示窗口如果你最近

27、安装或卸载了某些程序，或者是由于安全的原因关闭了某些服务，结果你发现每次开机都会弹出一个错误提示窗口，并提示在系统启动时至少有一个服务或驱动程序产生错误。详细信息，请使用事件查看器查看事件日志。这类问题一般是系统在加载相关服务时找不到服务程序而无法启动产生的，你可以使用事件查看器来查看具体是哪个服务启动时出现了问题，解决的办法通常有两种，一种是通过了解该服务是那哪些程序产生，不论这些服务是操作系统本身产生还是应用程序产生的，都可以通过卸载相关应用程序来解决。另一个办法更简单直接到服务管理器中将相应的服务设置为禁用即可。分析死机故障原因相对于windows 98而言，windows 2000和w

28、indows xp均要稳定的多，是不容易发生死机现象的。从理论上讲，纯32位的windows 2000是不会出现死机的，但是这仅仅是理论上的。病毒、硬件和硬件驱动程序不匹配等原因将造成windows 2000的崩溃。当windows 2000出现死机时，显示器屏幕将变为蓝色，然后出现死机故障提示信息。通过事件查看能够发现问题的原因。如果出现的硬件设备故障，可以通过重新安装硬件驱动或卸载硬件来解决，如果是软件故障可以卸相应的驱动程序，如果是警告显示磁盘驱动程序在几次重试后，只能读取或写入到某个扇区，十有八九是硬盘出问题了。即使你的系统没有死机，运行某些程序出现停顿现象，也有可能是计算机的硬盘出现

29、故障，你依然可通过检查事件查看器,看是否出现硬盘有无法响应的日志，如果硬盘出现损坏，还是尽早更新，以免带来重大的数据损失。检查不能上网的原因不能上网的原因有非常多，其中无法获得局域网dhcp服务器的数据，以至无法取得一个能上网的ip地址是局域网用户不能上网的故障中最常见的一种，通过事件查看器我们可以很容易就找到这个错误事件id号为1007，此你可以先检查你的网线，看是否连接正常，如果网络线路正常。可以打电话咨询网络管理员是否是dhcp服务器停止工作了。如果你使用的ip地址与网络上别人使用的ip地址相同，网络接口也会被系统禁用，一样也无法上网，这个错误事件id号为1006，如果你发现这种情况要及

30、时和网络管理员联系解决。1.微软知识库微软知识库的文章是由微软公司官方资料和微软mvp撰写的技术文章组成，主要解决微软产品的问题及故障。当微软每一个产品的bug和容易出错的应用点被发现后，都将有与其对应的kb文章分析这项错误的解决方案。微软知识库的地址是：，在网页左边的搜索(知识库)中输入相关的关键字进行查询，事件发生源和id等信息。当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询也是个不错的主意。2.e要查询系统错误事件的解决方案，其实还有一个更好的地方，那就是e网站(图3)，地址是：。这个网站由众多微软mvp(最有价值专家)主持，几乎包含了全部系统事件的解决方案。登录网站后，单击search ev