El visor de eventos es equivalente al médico del sistema operativo. Algunas pistas de "enfermedades" se presentarán en el visor de eventos. Un administrador del sistema calificado y personal de mantenimiento de seguridad revisarán periódicamente la aplicación, la seguridad y los registros del sistema para ver si existen. Información como el inicio de sesión ilegal, el cierre del sistema, el error de ejecución del programa, etc., al verificar los atributos del evento para determinar la fuente y la solución del error, de modo que el sistema operativo y las aplicaciones funcionen correctamente. Este artículo presenta algunos conocimientos relevantes del visor de eventos y tiene cierta referencia y referencia para el mantenimiento del sistema de mantenimiento del personal de mantenimiento.
1.
Visor de eventos Visor de eventos es una herramienta del sistema operativo Microsoft Windows, el sistema de Visor de sucesos es equivalente a un tronco grueso, puede ver la pregunta en el hardware, software y sistemas La información también puede monitorear eventos de seguridad en el sistema operativo Windows. Hay tres formas de abrir el visor de eventos:
(1) Haga clic en "Inicio" - "Configuración" - "Panel de control" - "Herramientas administrativas" - "Visor de eventos", abra la ventana del visor de eventos < BR>
(2) Abra la ventana del Visor de eventos escribiendo manualmente "% SystemRoot% \\ system32 \\ eventvwr.msc /s" en el cuadro de diálogo "Ejecutar".
(3) Introduzca "eventvwr" o "eventvwr.msc" directamente en la operación de directa abra Visor de sucesos. Tipo de registro
Visor 2. sucesos registra un total de tres tipos de registros de registro en el visor de eventos, a saber:
(1) el registro de aplicación < BR>
Contiene eventos registrados por la aplicación o el programa del sistema. Principalmente registra los eventos en ejecución del programa. Por ejemplo, la base de datos puede registrar errores de archivo en el registro de la aplicación y el desarrollador del programa puede decidir qué eventos monitorear. Si una aplicación falla, podemos encontrar el registro correspondiente del registro de eventos del programa, que puede ayudarlo a resolver el problema.
(2) entradas de registro de seguridad
tales como los intentos de inicio de sesión válidas y no válidas y otros eventos, así como eventos relacionados con el uso de recursos, como la creación, apertura o eliminación de archivos u otros objetos, el sistema Los administradores pueden especificar qué eventos se registran en el registro de seguridad. De forma predeterminada, el registro de seguridad está desactivado, los administradores pueden usar la Política de grupo para iniciar el registro de seguridad, o establecer una política de auditoría en el Registro para que el sistema deje de responder cuando el registro de seguridad esté completo.
(3) de registro del sistema contiene eventos
de Windows XP componentes del sistema de registros, tales como los conductores de carga u otros componentes del sistema durante fallo de arranque se registrarán en el registro del sistema, por defecto Windows registra los eventos del sistema en el registro del sistema. Si la computadora está configurada como controlador de dominio, también incluirá el registro del servicio de directorio, el registro del servicio de copia de archivos, y si la máquina está configurada como un servidor del Sistema de nombres de dominio (DNS), también se registrará el registro del servidor DNS. Cuando inicia Windows, el servicio de registro de eventos (EventLog) se inicia automáticamente, y todos los usuarios pueden ver los registros de la aplicación y del sistema, pero solo los administradores pueden acceder al registro de seguridad.
Hay cinco eventos principales registrados en el Visor de eventos. El icono en el lado izquierdo de la pantalla del Visor de eventos describe la clasificación de eventos por el sistema operativo Windows. El Visor de eventos muestra los siguientes tipos de eventos:
(1) Error: problemas importantes, como la pérdida de datos o la funcionalidad. Por ejemplo, si el servicio no se carga durante el inicio, se registra un error.
(2) Advertencia: Los eventos no necesariamente significativos también señalaron problemas potenciales. Por ejemplo, si el espacio en disco es bajo, se registra una advertencia.
(3) Información: un evento que describe si la aplicación, el controlador o el servicio funcionaron correctamente. Por ejemplo, si el controlador de red se carga correctamente, se registra un evento de información.
(4) Auditoría de aciertos: intento de acceso de seguridad auditado y el éxito alcanzado. Por ejemplo, un intento exitoso de inicio de sesión del usuario en el sistema se registrará como un evento de "revisión exitosa".
(5) Error de auditoría: Auditoría y no tratar de aceptar el éxito de acceso de seguridad. Por ejemplo, si un usuario intenta acceder a una unidad de red pero no tiene éxito, el intento se registra como una "auditoría de falla".
En el próximo "Visor de sucesos para mantener la seguridad del servidor ejemplo," vamos a combinar la operación específica para capturar el Visor de sucesos a explicar en detalle la operación.