windows之家1.如何对windows系统日志分析
您好,很高兴为您解答。
一、Windows日志文件的保护
日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。
1. 修改日志文件存放目录
Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。
点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。
笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作,或建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原则就是要“越不起眼,越好”。
2. 设置文件访问权限
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。
右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。
二、Windows日志实例分析
在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。
1. 查看正常开关机记录
在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
2. 查看DHCP配置警告信息
在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。
如若满意,请点击右侧【采纳答案】,如若还有问题,请点击【追问】
希望我的回答对您有所帮助,望采纳!
~ O(∩_∩)O~
2.Win10系统日志怎么查看
工具:
win10
方法如下:
1、在Win10系统里右键开始菜单,选择事件查看器,如下图所示。
2、在事件查看器里点击Windows日志,如下图所示。
3、在这里可以按分类点击查看日志,在日志查看器的左边有应用程序日志,安全日志,设置日志,系统日志等等,系统错误一般都在系统选项里,应用程序错误在应用程序选项里,如下图所示。
4、可以选择某一条系统日志点击右键,选择事件熟悉查看更详细的内容,如下图所示。
5、在打开的事件属性里,可以查看到详细的信息,点击复制可以把系统日志拷贝出去,如下图所示。
6、在事件查看器的右边栏可以对日志进行快捷键操作,如下图所示。
3.如何查看win10系统日志
在Win10系统里右键开始菜单,选择事件查看器,如下图所示。
在事件查看器里点击Windows日志,如下图所示。
3
在这里可以按分类点击查看日志,在日志查看器的左边有应用程序日志,安全日志,设置日志,系统日志等等,系统错误一般都在系统选项里,应用程序错误在应用程序选项里,如下图所示。
4
可以选择某一条系统日志点击右键,选择事件熟悉查看更详细的内容,如下图所示。
步骤阅读
5
在打开的事件属性里,可以查看到详细的信息,点击复制可以把系统日志拷贝出去,如下图所示。
4.win10如何查看系统日志,win10系统日志睡眠
1、请打开win10系统“此电脑”界面,在其中可以看到有一项是“管理”。请点击该选项。
2、在管理界面,左侧的选项中,可以看到有一项是“事件管理器”。
3、点击“事件管理器”选项处的下拉三角,在弹出的下拉菜单中,就有“windows日志”的子选项。
4、继续点击“windows日志”选项处的下拉三角,在下拉菜单中,有应用程序、安全、设置、系统、已转发事件这些子选项。
5、“应用程序”子选项中,列举了所有应用程序在运行的过程中遇到错误所发出的日志。
6、在安全、设置、系统、已转发事件这些子选项中,也都列举了对应的日志。点击对应项,查看即可
5.如何查看win10系统更新日志
一、在Win10桌面的【这台电脑】上鼠标右键,然后选择【属性】,如下图所示。
二、接下来会进入Win10系统控制面板,再点击进入左下角的【Windows更新】,如下图所示。三、接下来就可以进入Windos更新中心了,如果已经开启了Windows自动更新功能,如果有更新也会提示,如果需要检测是否有新的可用更新,可以点击左侧的【检查更新】,如下图所示。
四、如果有可用更新的话,就可以检测到有Win10可用更新点击更新项目,进入更新即可,如下图所示。最后勾选上可用更新项目,然后点击底部的【安装】即可完成Win10更新了。
6.怎么分析windows应用日志
查看 Windows 应用程序日志
在“开始”菜单上,依次指向“所有程序”、“管理工具”,然后单击“事件查看器”。
在事件查看器中,单击“应用程序”。
SQL Server 事件由“资源”列中的 MSSQLSERVER 项(命名实例以 MSSQL$标识)标识。SQL Server 代理事件由 SQLSERVERAGENT 项标识(对于已命名的 SQL Server 实例,SQL Server 代理事件使用 SQLAgent$标识)。Microsoft Search 服务事件由 Microsoft Search 项标识。
若要查看另一台计算机的日志,请右键单击“事件查看器”,再单击“连接到另一台计算机”,并完成“选择计算机”对话框。
另外,若要仅显示 SQL Server 事件,请在“查看”菜单上单击“筛选器”,并在“事件源”列表中,选择MSSQLSERVER。若要仅查看 SQL Server 代理事件,请在“事件源”列表中选择 SQLSERVERAGENT。
若要查看有关某事件的详细信息,请双击该事件。
7.如何分析windows系统日志
C:\Users\你的用户名\AppData\Local\Mozilla\Firefox\Profiles\随机文件名.default\Cache。
1:这个Cache里的就是火狐的临时文件了,火狐的临时文件就缓存。
2:不过这个火狐的缓存文件是需要用其他软件才能查看其里面的真正内容的,提出视频文件,要用NetVideoHunter或flvcd。
3:加大火狐的缓存即可点击 “工具——选项——高级——网络” 在里面有个“脱机存储” 然后把他的“缓存空间”加大。
4:当您下载,您的浏览器将显示下载的文件,你可以点击旁边的向下箭头的文件名,取消“始终打开文件”选项就可以了。
8.怎么查看系统日志,系统日志怎么查看
Win10系统日志怎么查看方法如下:1、在Win10系统里右键开始菜单,选择事件查看器,如下图所示。
2、在事件查看器里点击Windows日志,如下图所示。3、在这里可以按分类点击查看日志,在日志查看器的左边有应用程序日志,安全日志,设置日志,系统日志等等,系统错误一般都在系统选项里,应用程序错误在应用程序选项里,如下图所示。
4、可以选择某一条系统日志点击右键,选择事件熟悉查看更详细的内容,如下图所示。5、在打开的事件属性里,可以查看到详细的信息,点击复制可以把系统日志拷贝出去。
转载请注明出处windows之家 » 如何分析win10系统日志