电脑配置查看器电脑的事件查看器里的系统日志

1、.电脑配置查看器 电脑的 事件查看器 里的 系统日志电脑配置查看器电脑的"事件查看器"里的"系统日志2020-07-14 17：22 Windows系统的事件查看器是Windows 2000/XP中供给的一个系统平安监视工具。在事件查看器中，可以通过使用事件日志，搜集有关硬件、软件、系统问题方面的信息，并监视Windows系统平安。它不但可以查看系统运行日志文件，并且还可以查看事件类型，使用事件日志来解决系统阻碍。在启动Windows 2000系统的同时，事件日志效劳会自动启动，所有用户都可以查看应用程序日志和系统日志，但只有管理员才能访问安整日志。如何找到事件查

2、看器?点击"起头设置控制面板"，点击"管理工具"。然后双击"事件查看器"。此刻，你就可以看到事件查看器的界面了图1。图1点击放大事件查看器都记录什么信息?事件查看器根据来源将日志记录事件分为应用程序日志Application、安整日志Security和系统日志System。在左侧的类选择对话框中分别单击相应的日志即可翻开进入阅读。应用程序日志包含由应用程序或一般程序记录的事件，主要记载程序运行方面的信息。安整日志可以记录有效和无效的登录尝试等平安事件以及与资源使用有关的事件，比方创立、翻开或删除文件，启动时某个驱动程序加载失败。同时，

3、管理员还可以指定在安整日志中记录的事件，比方假设启用了登录审查核定，那末系统登录尝试就记录在安整日志中。系统日志包含由Windows系统组件记录的事件。比方在系统日志中记录启动期间要加载的驱动程序或其他系统组件的阻碍。另外，事件查看器还按照类型将记录的事件划分为错误、警告和信息三种根本类型。错误：重要的问题，如数据丧失或功能丧失。例如在启动期间系统效劳加载失败、磁盘检测错误等，这时系统就会自动记录错误。这种情况下必需要查抄系统。警告：不是非常重要但将来可能出现问题的事件，比方磁盘剩余空间较小，或者未找到安装打印机等都会记录一个警告。这种情况下应该查抄问题所在。信息：用于描绘应用程序、驱动程序或

4、效劳成功操作的事件，比方加载网络驱动程序、成功地建立了一个网络连接等。有用的和有趣儿的就如同咱们是一名要查出真相的警察一样，此刻的资料只有一个日记本。那末，如何在这个日记本里找到线索或者提示呢?事件查看器就是系统的一本"日记"，不过系统的这本"日记"中的每篇都有编号，咱们就去找一些最重要的来看吧。在事件查看器界面中，点击"查看挑选"，可以选择并根据"事件类型"、"事件ID"等举行挑选，快速找到自己想要的信息如图2。图26006号和6005号：当你正关闭计算机的时候，在事件查看器里ID号为6006

5、的事件，这个事件的意思是：事件日志效劳已停顿图3。图3这象征着什么?很简单，假设你没有在当天的事件查看器中发现这个6006号事件，那末就表示计算机没有正常关机，可能是因为系统原因例如蓝屏或者直接按了电源键而没有执行正常的"起头"菜单中的"关机"程序。要知道，从Windows 95时代起头，咱们就相识不正常关机可能会导致系统阻碍。当你启动系统的时候，事件查看器又记录了什么呢?这就是ID号为6005的事件。这个事件说明：事件日志效劳已启动图4。图4底下让咱们看一些错误类型的事件吧，看看咱们能找出什么来。1007号，DHCP错误：这个错误一般出此刻安装了双网卡

6、的系统中。咱们假定安装了两个网卡，其中一个用于局域网，另外一个连接到ADSL的调制解调器上。这时候，用于局域网的网卡使用的是一个静态的IP地址，而用于ADSL连接的网卡那么是"自动获患上IP地址"。这个错误指出，在网络中系统无法找到DHCP效劳器，是以使用了一个内部的自动IP地址。由于安装了双网卡，这种情况也不会影响使用，是以这个错误信息可以不予考虑。但是，假设在使用了DHCP效劳器的单位的电脑上出现这个错误，那你就需要仔细查抄查抄了。通过查抄事件查看器里面的错误记录，可以确定自己的计算机是不是被攻击。假设在某个时段出现比较多的警告信息。那末，你可要小心对待了。以上是从事件

7、查看器里找阻碍，那末，如何根据阻碍在事件查看器里查找相应的信息呢?STOP阻碍从理论上讲，纯32位的Windows 2000是不会出现死机的，但是由于病毒或硬件以及硬件驱动程序不匹配等原因也会造成Windows 2000的崩溃，当Windows 2000出现死机时，预示器屏幕将变为蓝色，然后出现STOP阻碍提示信息。这就是咱们常说的STOP阻碍。假设Windows 2000可以启动，可以翻开"事件查看器"查看系统日志，确定导致阻碍的设备或驱动程序。假设不能启动计算机，可以使用"平安形式"或"最后一次不错的装备布置"启动计算机，然后删除

8、或禁用新安装的附加程序或驱动程序。假设用"平安形式"启动不了计算机，可使用阻碍恢复控制台，禁用一些效劳或者重新命名设备驱动程序、检修指导扇区或主指导记录等。假设想详细相识阻碍恢复控制台，可以参考2002年?电脑爱好者?第19期的?抓住灭亡的日子前一秒：Windows的阻碍恢复控制台?一文。然后拆下新安装的硬件设备，查抄Microsoft兼容硬件列表HCL，确保所有的硬件和驱动程序都与Windows系统兼容，其中Hcl.txt在Windows 2000安装光盘的Support文件夹中。另外，还可以访问微软官方技能支持站点管理事件查看器咱们此刻可以修改日志文件的保存途径了，那末

9、是不是可以对日志文件根据自己的需要举行相应的管理呢?1转变日志文件巨细在事件查看器中，用鼠标右键单击"应用程序日志"，在弹出的快捷菜单中，选择"属性"命令，翻开"应用程序日志"属性对话框，在"常规"选项卡的"最大日志文件巨细"文本框中可指定新的日志文件巨细。假设要使新设置生效，还需要单击"去除日志"命令按键。假设要保存日志中的当前信息，当询问去除之前是不是保存原始日志时，单击"是"按键即可。2去除所有事件日志在控制台树中，首先单击要去除的日志，比方&quo

10、t;应用程序日志"，然后在"操作"菜单上，单击"去除所有事件"命令，此时系统会提示是不是保存当前天志，单击"是"按键即可去除，否那么将永远丧失当前事件记录，并起头记录新的事件。3保存日志文件在控制台树中，单击要存档的日志，比方"应用程序日志"，然后在"操作"菜单上，单击"另存日志文件"命令，在翻开的对话框中输入文件名称，在"保存类型"入选择文件保存格局，并单击"保存"按键。4删除与修复损坏的日志文件假设发现日志文件已经损坏，系

11、统将经常出现阻碍和错误提示，可以首先将其删除，重新启动计算机后即可恢复。对于接纳NTFS分区格局的系统，假设要删除日志文件，需要首先关闭事件查抄器效劳才行。在控制面板中双击"管理工具"图标，在翻开的管理工具中，双击"效劳"图标，在效劳入选择"EventLog"效劳，用鼠标右键单击此效劳，在弹出的快捷菜单入选择"属性"命令，弹出"效劳属性"对话框，在"启动类型"中设置其为"已禁用"选项，并单击"确定"按键完成，如图7所示。重新启动计算机，

12、然后将文件夹"%SystemRoot%System32Config"中的*.evt文件删除。完成后，再次启动事件查抄器效劳，并重新启动计算机即可恢复损坏的事件查抄器文件了。对于使用FAT分区的文件系统，可以使用DOS启动盘启动计算机，然后将"%SystemRoot%System32Config"目录下的文件直接删除即可。图7删除日志文件，并重新启动计算机后，系统将自动恢复日志文件，从而保证系统的正常运行。使用事件查看器利用"事件查看器"这个系统维护工具，用户可以通过使用事件日志，搜集有关硬件、软件、系统问题方面的信息，并监视中文版Wi

13、ndows XP平安事件，将Windows和其他应用程序运行中错耽误事情件记录下来，便于用户诊断和改正可能发生的系统错误和问题。14.4.1事件查看器当用户需要查看工作日志时，可举行以下的操作步调：1单击"起头"按键，选择"控制面板"命令，在翻开的"控制面板"窗户单击"管理工具"图标，然后在"管理工具"窗户中双击"事件查看器"图标，这时就可以翻开"事件查看器"窗户。2在"事件查看器"窗户中包括三种类型的日志记录事件：·应用程序

14、日志：记录应用程序或一般程序的事件。·平安性日志：可以记录例如有效和无效的登录尝试等平安事件，以及与资源使用有关的事件。例如创立、翻开或删除文件以及有关设置的修改。·系统日志：包含由Windows XP系统组件记录的事件，例如，在系统日志中记录启动期间要加载的驱动程序或其他系统组件的阻碍。3事件查看器预示以下事件类型：·信息：描绘应用程序、驱动程序或效劳成功操作的事件，例如成功地加载网络驱动程序时会记录一个信息事件。·警告：不是非常重要但将来可能出现的问题事件。例如，假设磁盘空间较小，那么会记录一个警告。·错误：重要的问题，如数据丧失或功能丧失

15、。例如，假设在启动期间效劳加载失败，那么会记录错误。·成功审查核定：审查核定平安访问尝试成功。例如，将用户成功登录到系统上的尝试作为"成功审查核定"事件记录下来。·失败审查核定：审查核定平安访问尝试失败。例如，假设用户试图访问网络驱动器失败，该尝试就会作为"失败审查核定"事件举行记录。4假设要查看某事件的详细内部本质意义，可先选中该项，双击翻开"事件属性"对话框，在其中的"事件详细信息"选项组中列出了事件发生的时间及来源、类型等详细资料，如图14.13所示。14.4.2事件查看器在网络中的应用由

16、于中文版Windows XP可以用于小规模办公网络和家庭网络的组建，在网络应用历程中，网络中的计算机有时会出现阻碍，这时需要管理员查看这台机器的工作日志，以此来判断出现阻碍的原因。详细的操作步调如次：1在"事件查看器本地"窗户中，右击"事件查看器本地"选项，会弹出一个快捷菜单，从入选择"连接到另一台计算机"命令，出现"选择计算机"对话框，在此用户可以选择需要这个管理单元管理的计算机，在"另一台计算机"文本框中输入要查看的工作站名，单击"确定"即可，如图14.14所示。2为了在

17、众多的计算机中准确地找到出现阻碍的一台，最大限度地节省时间，可以单击"阅读"按键，出现如图14.15所示的"选择计算机"对话框，可以在这搭举行更为详细的条件限定，这样，就可以快速地找到出现阻碍的计算机，举行工作日志的查看。14.4.3事件查看器窗户在"事件查看器"窗户中，用户可以利用菜单栏中的菜单项利便地举行本地事件的查看，底下是其中简单并且实用的几项操作以"应用程序"为例：1在"操作"菜单中，用户可以根据需要举行工作日志文件的翻开和保存，以及事件的去除等操作。2选择"操作"

18、|"属性"或者"查看"|"挑选"命令，出现"应用程序属性"对话框，在"常规"选项卡中详细预示了"应用程序"的名称，创立、修改、访问时间，用户可以对最大日志以及到达极限后的处置惩罚方法举行设定，假设用户不再需要个性设置时，可以单击"复原为默认值"按键，即可恢复到系统默认的设置，如图14.16所示。3选择"挑选器"选项卡，用户可以对日志中的事件举行挑选，用户可在"事件类型"选项组中举行复选框的选择，在"事件来源

19、""类别"下拉列表框中可设置挑选详细条件，还可举行时间限定。需要指出的是，挑选并不会对日志的详细内部本质意义产生影响，它只是转变了事件的预示体式格局，如图14.17所示。4在"查看"菜单入选择"添加|删除列"命令，弹出"添加|删除列"对话框，假设用户不需要在该窗户的详细列表中预示某选项时，可在"预示列"列表中先选中，然后单击"删除"按键，即可删除该列的预示，这样会使银幕看起来更简练，如图14.18所示。5在"查看"菜单入选择"查找&qu

20、ot;命令，出现"在本地应用程序上查找"对话框，在此可设置好要查找的条件，可自行选择搜刮标的目的，连续查找多个符合要求的事件，如图14.19所示。用事件查看器解决操作系统阻碍 Microsoft MVP闫诺更新时间：2005-04-08无论是平凡计算机用户，还是专业计算机系统管理员，在操作计算机的时候都会遇到某些系统错误。很多朋友经常为无法找到出错原因，解决不了阻碍问题感到困扰。事实上，利用Windows内置的事件查看器，加之适当的网络资源，就可以大好地解决大部分的系统问题。一、事件查看器可以做什么微软在以Windows NT为内核的操作系统中集成有事件查看器，这些操作系统

21、包括Windows 2000NTXP03等。事件查看器可以完成许多工作，比方审查核定系统事件和储存安放系统、平安及应用程序日志等。系统日志中储存安放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，咱们不但可以相识到某项功能装备布置或运行成功的信息，还可相识到系统的某些功能运行失败，或变患上不稳定的原因。安整日志中储存安放了审查核定事件是不是成功的信息。通过查看这些信息，咱们可以相识到这些平安审查核定结果为成功还是失败。应用程序日志中储存安放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，咱们可以相识到哪些应用程序成功运行，产生了哪些错误或者潜在错误。

22、程序开发职员可以利用这些资源来改善应用程序。点击"起头运行"，输入eventvwr，点击"确定"，就可以翻开事件查看器，它的界面如图1所示。图1查看事件的详细信息：选中事件查看器左边的树形布局图中的日志类型应用程序、平安性或系统，在右侧的详细资料窗格中将会预示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息，如图2。在日志属性窗户中咱们可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描绘。这对咱们寻觅解决错误是最重要的。图2搜刮事件：假设系统中的事件过多，咱们将会很难找到真正导致系统问题的事件。这时，咱们可以使用事件"

23、;挑选"功能找到咱们想找的日志。选中左边的树形布局图中的日志类型应用程序、平安性或系统，右击"查看"，并选择"挑选"。日志挑选器将会启动，如图3。图3选择所要查找的事件类型，比方"错误"，以及相关的事件来源和类别等等，并单击"确定"。事件查看器会执行查找，并只预示符合这些条件的事件。二、利用查看器解决系统问题查到导致系统问题的事件后，咱们需要找到解决它们的措施。查找解决这些问题的方法主要可以通过两个途径：微软在线技能支持常识库以及Eventid*网站。微软在线技能支持常识库KB：微软常识库的文章是由微软公

24、司官方资料和MVP微软最有价值专家撰写的技能文章组成，主要解决微软产品的问题及阻碍。当微软每个产品的Bug和容易出错的应用点被发现往后，都将有与其对应的KB文章分析这项错误的解决方案。微软常识库的地址是：询，事件发生源和ID等信息。当然，输入详细描绘中的关键词也是一个好措施，假设日志中有错误编号，输入这个错误编号举行查询也并不是一个坏主意。另外，微软中文社区总体来说，在Windows操作系统中供给的事件日志机制为咱们找出系统问题供给了快捷的方法，而官方和第三方等多种网络资源使咱们可以迅速地解决这些问题。通过本文，希望读者可以充分利用这些资源，在往后系统出现问题时，可以自立地将它们解决。节省时间

25、，节省金钱。在Windows2000、Windows XP操作系统中有一位系统运行述态的忠实记录者，从开机、运行到关机历程中发生的每个事件都将被记录下来，它就是"事件查看器"。用户可以利用这个系统维护工具，搜集有关硬件、软件、系统问题方面的信息，并监视系统平安事件，将系统和其他应用程序运行中错误或警告事件记录下来，便于诊断和改正系统发生的错误和问题。底下通过几个例子来讲解"事件查看器"的现实应用。使用事件查看器有两种方法可以很快地翻开事件查看器：1.通过"我的PC"翻开。右键单击"我的PC"，选择"管理&

26、quot;，弹出"计算机管理"窗户，在"系统工具"标签下便是"事件查看器"。2.通过"控制面板"翻开。选择"起头/控制面板"，在"控制面板"窗户单击"管理工具"，在弹出窗户中双击"事件查看器"图标，便可翻开"事件查看器"窗户。如图1所示便是事件查看器的系统日志信息。监视文件和文件夹的访问在办公环境下，有时咱们需相识计算机上其他用户是不是访问了咱们限制的文件或文件夹，这时候咱们通过组计策配合，利用事件查看器在不影响用户

27、正常使用的情况下，监控用户的访问情况。选择"起头/控制面板/管理工具/本地平安设置/本地计策/审查核定计策"，在右边信息窗户中右键单击"审查核定对象访问"选择"平安性"，在"本地平安计策设置"中，单击所需的选项并确定。接着在任务栏"起头"上点右键选择"资源管理器"，右键点击要审查核定的文件或文件夹，选择"属性"。然后选择"平安/高级/审查核定/添加"，在"选择用户、计算机或组"对话框中，单击要审查核定操作的用户名或组

28、名并确定即可。注重：必需作为管理员或管理组的成员登录才能设置文件和文件夹的审查核定，只有管理员才能使用"组计策"监视系统开关机情况当咱们外出回来，有时咱们需要相识计算机的开关情况以及是不是正常开关机情况。咱们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志效劳会随计算机一起启动或关闭，并在日志中留下记录。主要是两个事件ID"6006和6005"。6005表示事件日志效劳已启动，假设在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。6006表示事件日志效劳已停顿图2，假设没有在事件查看器中发现某

29、日的事件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。假设你是网络管理员，那末这些记录就更加的重要了，假设有意外的开关机操作，那末你的机器已被攻击的可能性就很大了。解决机器开机时的错误提示窗户假设你最近安装或卸载了某些程序，或者是由于平安的原因关闭了某些效劳，结果你发现每次开机都会弹出一个错误提示窗户，并提示"在系统启动时至少有一个效劳或驱动程序产生错误。详细信息，请使用事件查看器查看事件日志"。这种问题一般是系统在加载相关效劳时找不到效劳程序而无法启动产生的，你可以使用事件查看器来查看详细是哪个效劳启

30、动时出现了问题，解决的措施通常有两种，一种是通过相识该效劳是那哪些程序产生，岂论这些效劳是操作系统本身产生还是应用程序产生的，都可以通过卸载相关应用程序来解决。另一个措施更简单直接到效劳管理器中将相应的效劳设置为"禁用"即可。分析死机阻碍原因相对于Windows 98而言，Windows 2000和Windows XP均要稳定的多，是不容易发生死机现象的。从理论上讲，纯32位的Windows 2000是不会出现死机的，但是这仅仅是理论上的。病毒、硬件和硬件驱动程序不匹配等原因将造成Windows 2000的崩溃。当Windows 2000出现死机时，预示器屏幕将变为蓝色，然

31、后出现死机阻碍提示信息。通过事件查看可以发现问题的原因。假设出现的硬件设备阻碍，可以通过重新安装硬件驱动或卸载硬件来解决，假设是软件阻碍可以卸相应的驱动程序，假设是警告预示磁盘驱动程序在几次重试后，只能读取或写入到某个扇区，十有八九是硬盘出问题了。即使你的系统没有死机，运行某些程序出现停顿现象，也有可能是计算机的硬盘出现阻碍，你仍然可通过查抄事件查看器,看是不是出现硬盘有没有法响应的日志，假设硬盘出现损坏，还是及早更新，以免带来重大的数据损失。查抄不能上网的原因不能上网的原因有非常多，其中无法获患上局域网DHCP效劳器的数据，以致无法取患上一个能上网的IP地址是局域网用户不能上网的阻碍中最多见

32、的一种，通过"事件查看器"咱们可以很容易就找到这个错耽误事情件ID号为1007，此你可以先查抄你的网线，看是不是连接正常，假设网络线路正常。可以打 咨询网络管理员是不是是DHCP效劳器停顿工作了。假设你使用的IP地址与网络上旁人使用的IP地址一样，网络接口也会被系统禁用，一样也无法上网，这个错耽误事情件ID号为1006，假设你发现这种情况要及时和网络管理员联络解决。1.微软常识库微软常识库的文章是由微软公司官方资料和微软MVP撰写的技能文章组成，主要解决微软产品的问题及阻碍。当微软每个产品的Bug和容易出错的应用点被发现后，都将有与其对应的KB文章分析这项错误的解决方案。微软常识库的地址是：2.Eventid*要查询系统错耽误事情件的解决方案，其实还有一个更好之处，那就是E