Use el Visor de eventos del sistema XP (1)

Use el Visor de eventos del sistema XP:

Si ha usado Windows XP, compruebe que le guste o no, el sistema operativo funciona todos los días. En segundo plano, todos los movimientos se registran en la oscuridad, lo que equivale al historiador fiel "Stylus" que escribe Spring &Autumn; este es el "Visor de eventos" que se encuentra en "Control Panel ↠ Herramientas de administración". Puede comprender las emociones y las penas del sistema y todas las palabras y los hechos. Si bien todos son cuentas corrientes, podemos saborear la alegría del éxito y la razón del fracaso. Es realmente un asistente del sistema leal.

¿Qué puede ver el Visor de eventos?

El Visor de eventos es equivalente a un registro de sistema grueso que puede ver información sobre hardware, software y problemas del sistema, así como eventos de seguridad de Windows XP. Aquí hay una breve introducción:

Sugerencia: además del "Visor de eventos" en "Panel de control y herramientas de administración", también puede escribir manualmente "<quo;% SystemRoot% \\ system32 \\" en el cuadro de diálogo "Ejecutar". Eventvwr. Msc /s " Abre la ventana del Visor de eventos.

1. El registro de la aplicación

contiene eventos registrados por la aplicación o el programa del sistema. Principalmente registra los eventos en ejecución del programa. Por ejemplo, el programa de la base de datos puede registrar errores de archivo en el registro de la aplicación, y el desarrollador del programa puede decidir qué eventos monitorear. . Si una aplicación falla, podemos encontrar el registro correspondiente del registro de eventos del programa, que puede ayudarlo a resolver el problema.

2. Registros de seguridad

Registre eventos tales como intentos de inicio de sesión válidos e inválidos, así como eventos relacionados con el uso de recursos, como crear, abrir o eliminar archivos u otros objetos que los administradores del sistema pueden especificar en el registro de seguridad. Qué eventos se registran. De manera predeterminada, el registro de seguridad está desactivado, los administradores pueden usar la Política de grupo para iniciar el registro de seguridad, o establecer una política de auditoría en el Registro para que el sistema deje de responder cuando el registro de seguridad esté completo.

3. Registros del sistema

Los eventos registrados por los componentes del sistema que se incluyen con Windows XP, como la carga de controladores u otros componentes del sistema durante el inicio, se registrarán en el registro del sistema. De manera predeterminada, Windows registra los eventos del sistema en el registro del sistema. Entre ellos Aquí hay un evento muy importante: 6006. Si no encuentra el evento con ID 6006 en el visor de eventos de un día, entonces la computadora no se apaga normalmente ese día, haga doble clic para abrir la ventana "Propiedades del evento", si ve la manecilla La descripción es "El servicio de registro de eventos se ha detenido", lo que indica que "tiempo" se refiere a la hora en que la computadora normalmente se apaga.

Si la máquina está configurada como un controlador de dominio, también incluirá el registro del servicio de directorio, el registro del servicio de copia de archivos; si la máquina está configurada como un servidor del Sistema de nombres de dominio (DNS), también se registrará el registro del servidor DNS. Cuando se inicia Windows, el servicio "Registro de eventos" (EventLog) se inicia automáticamente, y todos los usuarios pueden ver los registros de la aplicación y del sistema, pero solo el administrador puede acceder al registro de seguridad.

Los registros pequeños contienen gran información

Los amigos no deben subestimar estos registros aburridos, que pueden contener mucha información muy útil. Si puede analizarlos con cuidado, definitivamente puede estar aquí. Encuentre una gran cantidad de información útil que le ayudará a resolver los errores del sistema.

1. Información: un evento que describe el funcionamiento exitoso de una aplicación, controlador o servicio, como cuando un controlador de red se carga correctamente, se registra un evento de "información". Desde aquí puede ver el encabezado del evento, que incluye la fecha, la hora, el usuario, la máquina de la computadora, el ID del evento, la fuente, el tipo, la categoría, etc. La descripción correspondiente y más información se enumeran en el cuadro de lista " Descripción ". La dirección del enlace desde donde puede apuntar a la dirección de "Localizador uniforme de recursos" (URL) de Microsoft.

En la mayoría de los casos, no es necesario mirar este tipo de evento por elemento a menos que tenga alguna necesidad especial.

2. Auditoría exitosa: un intento exitoso de acceso de seguridad de auditoría, se refiere principalmente al registro de seguridad, que registra eventos como el inicio /cierre de sesión del usuario, el acceso a objetos, el uso de privilegios, la administración de cuentas, el cambio de políticas, el seguimiento detallado, el acceso al servicio de directorio, el inicio de sesión de la cuenta, etc. Todos los sistemas de inicio de sesión exitosos se registrarán como " revisión exitosa " eventos.

3. Auditoría de fallos: un intento de inicio de sesión de seguridad de auditoría fallido, como un usuario que intenta acceder a una unidad de red falla, el intento se registra como un evento de auditoría fallido.

4. Advertencia: aunque no es muy importante, puede haber eventos que puedan causar problemas en el futuro. En este caso, debe revisar el problema. Por ejemplo, cuando no hay suficiente espacio en el disco o no se encuentra la impresora, se registra un evento " warning "

5. Error: los problemas importantes, como la pérdida de datos o la funcionalidad, se registran en forma de "error", en cuyo caso es necesario verificar el sistema. El evento de error es que el servidor no está registrado en DCOM dentro de un tiempo limitado. Al hacer clic en el enlace de la descripción, irá automáticamente a la página de ayuda correspondiente y seguirá las indicaciones para realizar la operación correspondiente. Si está interesado, puede estudiar el contenido aquí. Creo que con el tiempo, te convertirás en un bricolaje.

Se lanzan regularmente registros redundantes

De hecho, los eventos del sistema registrados la mayor parte del tiempo son algunas cuentas en ejecución. A medida que pasa el tiempo, el registro del sistema continuará expandiéndose. Una vez que se alcanza el tamaño de registro preestablecido, los nuevos eventos se detienen, por lo que debemos liberar los registros adicionales periódicamente.

Seleccione el registro que desea borrar y luego seleccione " Borrar todos los eventos > del menú " Acciones ". Aparecerá un cuadro de diálogo que le pedirá que guarde el registro actual. Seleccione " Sí >; guardará el registro antes de borrar, seleccione " No " descartará permanentemente el registro de eventos actual y comenzará a grabar nuevos eventos. Si cree que si la operación es demasiado complicada, puede seleccionar "No reescribir el evento (borrar manualmente el registro)" en el cuadro de diálogo "Logística" del registro de actividades. Por ejemplo, la configuración predeterminada "Tamaño máximo del archivo de registro" es solo 512 KB, podemos restablecer este valor según la situación real. Cuando el registro alcance un cierto tamaño o el mensaje que indica que el registro está completo, el sistema borrará automáticamente el registro o seleccionará " reescribir el evento según sea necesario, para que pueda asegurarse Todos los eventos nuevos también se pueden escribir en el registro cuando el registro está completo. Por supuesto, el nuevo registro sobrescribirá automáticamente al anterior.

Sin embargo, para ser explicado, los usuarios deben iniciar sesión en el sistema como administrador o como miembro del grupo de administradores para tener privilegios suficientes para borrar o volver a escribir el registro de eventos. Alternativamente, también puede ir a la carpeta \\ WINDOWS \\ SYSTEM32 \\ config \\, donde el archivo con la extensión * .evt es el llamado archivo de registro, AppEvent.evt es la aplicación " log, SysEvent.evt es " Sistema " log, SecEvent.evt, es decir, registro de "seguridad", elimine el archivo correspondiente directamente aquí, pero si está utilizando el sistema de formato NTFS, primero debe cerrar el verificador de eventos antes de eliminar el archivo de registro El servicio está bien.

Además de usar el Visor de eventos para administrar registros de eventos, también podemos usar las herramientas de la línea de comandos para crear y consultar registros de eventos y asociar programas con eventos de registro especiales, como " Eventcreate.exe &" Cree registros de eventos personalizados, " Eventquery.vbs " puede enumerar las propiedades de eventos y eventos de uno o más registros de eventos, " Eventtriggers.exe " puede crear desencadenadores de eventos para que cuando ocurra un registro de eventos específico El programa correspondiente se ejecutará automáticamente, lo que compensa la incapacidad del espectador de eventos para rastrear eventos sospechosos en tiempo real. Los amigos interesados ​​pueden intentarlo.

2. Auditoría exitosa: un intento exitoso de acceso de seguridad de auditoría, se refiere principalmente al registro de seguridad, que registra eventos como el inicio /cierre de sesión del usuario, el acceso a objetos, el uso de privilegios, la administración de cuentas, el cambio de políticas, el seguimiento detallado, el acceso al servicio de directorio, el inicio de sesión de la cuenta, etc. Todos los sistemas de inicio de sesión exitosos se registrarán como " revisión exitosa " eventos.

3. Auditoría de fallos: un intento de inicio de sesión de seguridad de auditoría fallido, como un usuario que intenta acceder a una unidad de red falla, el intento se registra como un evento de auditoría fallido.

4. Advertencia: aunque no es muy importante, puede haber eventos que puedan causar problemas en el futuro. En este caso, debe revisar el problema. Por ejemplo, cuando no hay suficiente espacio en el disco o no se encuentra la impresora, se registra un evento " warning "

5. Error: los problemas importantes, como la pérdida de datos o la funcionalidad, se registran en forma de "error", en cuyo caso es necesario verificar el sistema. El evento de error es que el servidor no está registrado en DCOM dentro de un tiempo limitado. Al hacer clic en el enlace de la descripción, irá automáticamente a la página de ayuda correspondiente y seguirá las indicaciones para realizar la operación correspondiente. Si está interesado, puede estudiar el contenido aquí. Creo que con el tiempo, te convertirás en un bricolaje.

Se lanzan regularmente registros redundantes

De hecho, los eventos del sistema registrados la mayor parte del tiempo son algunas cuentas en ejecución. A medida que pasa el tiempo, el registro del sistema continuará expandiéndose. Una vez que se alcanza el tamaño de registro preestablecido, los nuevos eventos se detienen, por lo que debemos liberar los registros adicionales periódicamente.

Seleccione el registro que desea borrar y luego seleccione " Borrar todos los eventos > del menú " Acciones ". Aparecerá un cuadro de diálogo que le pedirá que guarde el registro actual. Seleccione " Sí >; guardará el registro antes de borrar, seleccione " No " descartará permanentemente el registro de eventos actual y comenzará a grabar nuevos eventos. Si cree que si la operación es demasiado complicada, puede seleccionar "No reescribir el evento (borrar manualmente el registro)" en el cuadro de diálogo "Logística" del registro de actividades. Por ejemplo, la configuración predeterminada "Tamaño máximo del archivo de registro" es solo 512 KB, podemos restablecer este valor según la situación real. Cuando el registro alcance un cierto tamaño o el mensaje que indica que el registro está completo, el sistema borrará automáticamente el registro o seleccionará " reescribir el evento según sea necesario, para que pueda asegurarse Todos los eventos nuevos también se pueden escribir en el registro cuando el registro está completo. Por supuesto, el nuevo registro sobrescribirá automáticamente al anterior.

Sin embargo, para ser explicado, los usuarios deben iniciar sesión en el sistema como administrador o como miembro del grupo de administradores para tener privilegios suficientes para borrar o volver a escribir el registro de eventos. Alternativamente, también puede ir a la carpeta \\ WINDOWS \\ SYSTEM32 \\ config \\, donde el archivo con la extensión * .evt es el llamado archivo de registro, AppEvent.evt es la aplicación " log, SysEvent.evt es " Sistema " log, SecEvent.evt, es decir, registro de "seguridad", elimine el archivo correspondiente directamente aquí, pero si está utilizando el sistema de formato NTFS, primero debe cerrar el verificador de eventos antes de eliminar el archivo de registro El servicio está bien.

Además de usar el Visor de eventos para administrar registros de eventos, también podemos usar las herramientas de la línea de comandos para crear y consultar registros de eventos y asociar programas con eventos de registro especiales, como " Eventcreate.exe &" Cree registros de eventos personalizados, " Eventquery.vbs " puede enumerar las propiedades de eventos y eventos de uno o más registros de eventos, " Eventtriggers.exe " puede crear desencadenadores de eventos para que cuando ocurra un registro de eventos específico El programa correspondiente se ejecutará automáticamente, lo que compensa la incapacidad del espectador de eventos para rastrear eventos sospechosos en tiempo real. Los amigos interesados ​​pueden intentarlo.