教你如何查詢個(gè)人電腦開(kāi)機(jī)日志

2024年1月9日發(fā)(作者：推薦函模板)

教你如何查詢個(gè)人電腦開(kāi)機(jī)日志

教你如何查詢個(gè)人電腦開(kāi)機(jī)日志2010-05-28 08：26教你如何查詢個(gè)人電腦開(kāi)機(jī)日志2008年11月19日星期三21：41Windows系統(tǒng)的事件查看器是Windows 2000/XP中提供的一個(gè)系統(tǒng)安全監(jiān)視工具。在事件查看器中，可以通過(guò)使用事件日志，收集有關(guān)硬件、軟件、系統(tǒng)問(wèn)題方面的信息，并監(jiān)視Windows系統(tǒng)安全。它不但可以查看系統(tǒng)運(yùn)行日志文件，而且還可以查看事件類型，使用事件日志來(lái)解決系統(tǒng)故障。在啟動(dòng)Windows 2000系統(tǒng)的同時(shí)，事件日志服務(wù)會(huì)自動(dòng)啟動(dòng)，所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志，但只有管理員才能訪問(wèn)安全日志。如何找到事件查看器?點(diǎn)擊"開(kāi)始→設(shè)置→控制面板"，點(diǎn)擊"管理工具"。然后雙擊"事件查看器"。現(xiàn)在，你就可以看到事件查看器的界面了(圖1)。圖1(點(diǎn)擊放大)事件查看器都記錄什么信息?事件查看器根據(jù)來(lái)源將日志記錄事件分為應(yīng)用程序日志(Application)、安全日志(Security)和系統(tǒng)日志(System)。在左側(cè)的類選擇對(duì)話框中分別單擊相應(yīng)的日志即可打開(kāi)進(jìn)入瀏覽。應(yīng)用程序日志包含由應(yīng)用程序或一般程序記錄的事件，主要記載程序運(yùn)行方面的信息。安全日志可以記錄有效和無(wú)效的登錄嘗試等安全事件以及與資源使用有關(guān)的事件，比如創(chuàng)建、打開(kāi)或刪除文件，啟動(dòng)時(shí)某個(gè)驅(qū)動(dòng)程序加載失敗。同時(shí)，管理員還可以指定在安全日志中記錄的事件，比如如果啟用了登錄審核，那么系統(tǒng)登錄嘗試就記錄在安全日志中。系統(tǒng)日志包含由Windows系統(tǒng)組件記錄的事件。比如在系統(tǒng)日志中記錄啟動(dòng)期間要加載的驅(qū)動(dòng)程序或其他系統(tǒng)組件的故障。另外，事件查看器還按照類型將記錄的事件劃分為錯(cuò)誤、警告和信息三種基本類型。錯(cuò)誤：重要的問(wèn)題，如數(shù)據(jù)丟失或功能喪失。例如在啟動(dòng)期間系統(tǒng)服務(wù)加載失敗、磁盤檢測(cè)錯(cuò)誤等，這時(shí)系統(tǒng)就會(huì)自動(dòng)記錄錯(cuò)誤。這種情況下必須要檢查系統(tǒng)。警告：不是非常重要但將來(lái)可能出現(xiàn)問(wèn)題的事件，比如磁盤剩余空間較小，或者未找到安裝打印機(jī)等都會(huì)記錄一個(gè)警告。這種情況下應(yīng)該檢查問(wèn)題所在。信息：用于描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)成功操作的事件，比如加載網(wǎng)絡(luò)驅(qū)動(dòng)程序、成功地建立了一個(gè)網(wǎng)絡(luò)連接等。有用的和有趣的就如同我們是一名要破案的警察一樣，現(xiàn)在的資料只有一個(gè)日記本。那么，如何在這個(gè)日記本里找到線索或者提示呢?事件查看器就是系統(tǒng)的一本"日記"，不過(guò)系統(tǒng)的這本"日記"中的每一篇都有編號(hào)，我們就去找一些最重要的來(lái)看吧。在事件查看器界面中，點(diǎn)擊"查看→篩選"，可以選擇并根據(jù)"事件類型"、"事件

ID"等進(jìn)行篩選，快速找到自己想要的信息(如圖2)。圖26006號(hào)和6005號(hào)：當(dāng)你正關(guān)閉計(jì)算機(jī)的時(shí)候，在事件查看器里ID號(hào)為6006的事件，這個(gè)事件的意思是：事件日志服務(wù)已停止(圖3)。圖3這意味著什么?很簡(jiǎn)單，如果你沒(méi)有在當(dāng)天的事件查看器中發(fā)現(xiàn)這個(gè)6006號(hào)事件，那么就表示計(jì)算機(jī)沒(méi)有正常關(guān)機(jī)，可能是因?yàn)橄到y(tǒng)原因(例如藍(lán)屏)或者直接按了電源鍵而沒(méi)有執(zhí)行正常的"開(kāi)始"菜單中的"關(guān)機(jī)"程序。要知道，從Windows 95時(shí)代開(kāi)始，我們就了解不正常關(guān)機(jī)可能會(huì)導(dǎo)致系統(tǒng)故障。當(dāng)你啟動(dòng)系統(tǒng)的時(shí)候，事件查看器又記錄了什么呢?這就是ID號(hào)為6005的事件。這個(gè)事件表明：事件日志服務(wù)已啟動(dòng)(圖4)。圖4下面讓我們看一些錯(cuò)誤類型的事件吧，看看我們能找出什么來(lái)。1007號(hào)，DHCP錯(cuò)誤：這個(gè)錯(cuò)誤一般出現(xiàn)在安裝了雙網(wǎng)卡的系統(tǒng)中。我們假定安裝了兩個(gè)網(wǎng)卡，其中一個(gè)用于局域網(wǎng)，另外一個(gè)連接到ADSL的調(diào)制解調(diào)器上。這時(shí)候，用于局域網(wǎng)的網(wǎng)卡使用的是一個(gè)靜態(tài)的IP地址，而用于ADSL連接的網(wǎng)卡則是"自動(dòng)獲得IP地址"。這個(gè)錯(cuò)誤指出，在網(wǎng)絡(luò)中系統(tǒng)無(wú)法找到DHCP服務(wù)器，因此使用了一個(gè)內(nèi)部的自動(dòng)IP地址。由于安裝了雙網(wǎng)卡，這種情況也不會(huì)影響使用，因此這個(gè)錯(cuò)誤信息可以不予考慮。但是，如果在使用了DHCP服務(wù)器的單位的電腦上出現(xiàn)這個(gè)錯(cuò)誤，那你就需要仔細(xì)檢查檢查了。通過(guò)檢查事件查看器里面的錯(cuò)誤記錄，可以確定自己的計(jì)算機(jī)是否被攻擊。如果在某個(gè)時(shí)段出現(xiàn)比較多的警告信息。那么，你可要小心對(duì)待了。以上是從事件查看器里找故障，那么，如何根據(jù)故障在事件查看器里查找相應(yīng)的信息呢?STOP故障從理論上講，純32位的Windows 2000是不會(huì)出現(xiàn)死機(jī)的，但是由于病毒或硬件以及硬件驅(qū)動(dòng)程序不匹配等原因也會(huì)造成Windows 2000的崩潰，當(dāng)Windows 2000出現(xiàn)死機(jī)時(shí)，顯示器屏幕將變?yōu)樗{(lán)色，然后出現(xiàn)STOP故障提示信息。這就是我們常說(shuō)的STOP故障。如果Windows 2000可以啟動(dòng)，可以打開(kāi)"事件查看器"查看系統(tǒng)日志，確定導(dǎo)致故障的設(shè)備或驅(qū)動(dòng)程序。如果不能啟動(dòng)計(jì)算機(jī)，可以使用"安全模式"或"最后一次正確的配置"啟動(dòng)計(jì)算機(jī)，然后刪除或禁用新安裝的附加程序或驅(qū)動(dòng)程序。如果用"安全模式"啟動(dòng)不了計(jì)算機(jī)，可使用故障恢復(fù)控制臺(tái)，禁用一些服務(wù)或者重新命名設(shè)備驅(qū)動(dòng)程序、檢修引導(dǎo)扇區(qū)或主引導(dǎo)記錄等。如果想詳細(xì)了解故障恢復(fù)控制臺(tái)，可以參考2002年《電腦愛(ài)好者》第19期的《抓住末日前一秒：Windows的故障恢復(fù)控制臺(tái)》一文。然后拆下新安裝的硬件設(shè)備，檢查Microsoft兼容硬件列表(HCL)，確保所有的硬件和驅(qū)動(dòng)程序都與Windows系統(tǒng)兼容，其中在Windows 2000安裝光盤的Support文件夾中。另外，還可以訪問(wèn)微軟官方技術(shù)支持站點(diǎn)，在搜索中輸入STOP故障代碼，比如出現(xiàn)的

STOP消息為"stop：0x 0000000A"，那么即可輸入"stop0x 0000000A"，按下回車鍵即可查出所出現(xiàn)的STOP問(wèn)題的解決辦法。如圖5所示。圖5(點(diǎn)擊放大)事件查看器的維護(hù)與管理修改日志文件存放路徑Windows系統(tǒng)日志默認(rèn)情況下被保存在Windows系統(tǒng)文件夾中，有的時(shí)候，如果你打算修改日志文件存放路徑，可以通過(guò)修改注冊(cè)表的方法。(1)修改系統(tǒng)日志存放路徑打開(kāi)注冊(cè)表編輯器，展開(kāi)如下分支：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventLogSystem，然后雙擊右側(cè)窗口中的File鍵值，打開(kāi)字符串編輯器，系統(tǒng)默認(rèn)的存放路徑是%SystemRoot%，這時(shí)可以根據(jù)自己的需要設(shè)定新的存放路徑，如圖6所示。圖6(2)修改應(yīng)用程序日志存放路徑打開(kāi)注冊(cè)表編輯器，展開(kāi)如下分支：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventLogApplication，雙擊并修改右側(cè)窗口中的File鍵值即可，方法與前面介紹的相同。(3)修改安全日志存放路徑打開(kāi)注冊(cè)表編輯器，展開(kāi)如下分支：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventLogSecurity，雙擊并修改右側(cè)窗口中的File鍵值。完成修改后，重新啟動(dòng)計(jì)算機(jī)即可使修改生效。管理事件查看器我們現(xiàn)在可以修改日志文件的保存路徑了，那么是否可以對(duì)日志文件根據(jù)自己的需要進(jìn)行相應(yīng)的管理呢?(1)改變?nèi)罩疚募笮≡谑录榭雌髦校檬髽?biāo)右鍵單擊"應(yīng)用程序日志"，在彈出的快捷菜單中，選擇"屬性"命令，打開(kāi)"應(yīng)用程序日志"屬性對(duì)話框，在"常規(guī)"選項(xiàng)卡的"最大日志文件大小"文本框中可指定新的日志文件大小。如果要使新設(shè)置生效，還需要單擊"清除日志"命令按鈕。如果要保留日志中的當(dāng)前信息，當(dāng)詢問(wèn)清除之前是否保存原始日志時(shí)，單擊"是"按鈕即可。(2)清除所有事件日志在控制臺(tái)樹(shù)中，首先單擊要清除的日志，比如"應(yīng)用程序日志"，然后在"操作"菜單上，單擊"清除所有事件"命令，此時(shí)系統(tǒng)會(huì)提示是否保存當(dāng)前日志，單擊"是"按鈕即可清除，否則將永遠(yuǎn)丟失當(dāng)前事件記錄，并開(kāi)始記錄新的事件。(3)保存日志文件在控制臺(tái)樹(shù)中，單擊要存檔的日志，比如"應(yīng)用程序日志"，然后在"操作"菜單上，單擊"另存日志文件"命令，在打開(kāi)的對(duì)話框中輸入文件名稱，在"保存類型"中選擇文件保存格式，并單擊"保存"按鈕。(4)刪除與修復(fù)損壞的日志文件如果發(fā)現(xiàn)日志文件已經(jīng)損壞，系統(tǒng)將經(jīng)常出現(xiàn)故障和錯(cuò)誤提示，可以首先將其刪除，重新啟動(dòng)計(jì)算機(jī)后即可恢復(fù)。對(duì)于采用NTFS分區(qū)格式的系統(tǒng)，如果要?jiǎng)h除日志文件，需要首先關(guān)閉事件檢查器服務(wù)才行。在控制面板中雙擊"管理工具"圖標(biāo)，在打

開(kāi)的管理工具中，雙擊"服務(wù)"圖標(biāo)，在服務(wù)中選擇"EventLog"服務(wù)，用鼠標(biāo)右鍵單擊此服務(wù)，在彈出的快捷菜單中選擇"屬性"命令，彈出"服務(wù)屬性"對(duì)話框，在"啟動(dòng)類型"中設(shè)置其為"已禁用"選項(xiàng)，并單擊"確定"按鈕完成，如圖7所示。重新啟動(dòng)計(jì)算機(jī)，然后將文件夾"%SystemRoot%System32Config"中的*.evt文件刪除。完成后，再次啟動(dòng)事件檢查器服務(wù)，并重新啟動(dòng)計(jì)算機(jī)即可恢復(fù)損壞的事件檢查器文件了。對(duì)于使用FAT分區(qū)的文件系統(tǒng)，可以使用DOS啟動(dòng)盤啟動(dòng)計(jì)算機(jī)，然后將"%SystemRoot%System32Config"目錄下的文件直接刪除即可。圖7刪除日志文件，并重新啟動(dòng)計(jì)算機(jī)后，系統(tǒng)將自動(dòng)恢復(fù)日志文件，從而保證系統(tǒng)的正常運(yùn)行。使用事件查看器利用"事件查看器"這個(gè)系統(tǒng)維護(hù)工具，用戶可以通過(guò)使用事件日志，收集有關(guān)硬件、軟件、系統(tǒng)問(wèn)題方面的信息，并監(jiān)視中文版Windows XP安全事件，將Windows和其他應(yīng)用程序運(yùn)行中錯(cuò)誤事件記錄下來(lái)，便于用戶診斷和糾正可能發(fā)生的系統(tǒng)錯(cuò)誤和問(wèn)題。14.4.1事件查看器當(dāng)用戶需要查看工作日志時(shí)，可進(jìn)行以下的操作步驟：(1)單擊"開(kāi)始"按鈕，選擇"控制面板"命令，在打開(kāi)的"控制面板"窗口單擊"管理工具"圖標(biāo)，然后在"管理工具"窗口中雙擊"事件查看器"圖標(biāo)，這時(shí)就可以打開(kāi)"事件查看器"窗口。(2)在"事件查看器"窗口中包括三種類型的日志記錄事件：·應(yīng)用程序日志：記錄應(yīng)用程序或一般程序的事件。·安全性日志：可以記錄例如有效和無(wú)效的登錄嘗試等安全事件，以及與資源使用有關(guān)的事件。例如創(chuàng)建、打開(kāi)或刪除文件以及有關(guān)設(shè)置的修改。·系統(tǒng)日志：包含由Windows XP系統(tǒng)組件記錄的事件，例如，在系統(tǒng)日志中記錄啟動(dòng)期間要加載的驅(qū)動(dòng)程序或其他系統(tǒng)組件的故障。(3)事件查看器顯示以下事件類型：·信息：描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)成功操作的事件，例如成功地加載網(wǎng)絡(luò)驅(qū)動(dòng)程序時(shí)會(huì)記錄一個(gè)信息事件。·警告：不是非常重要但將來(lái)可能出現(xiàn)的問(wèn)題事件。例如，如果磁盤空間較小，則會(huì)記錄一個(gè)警告。·錯(cuò)誤：重要的問(wèn)題，如數(shù)據(jù)丟失或功能喪失。例如，如果在啟動(dòng)期間服務(wù)加載失敗，則會(huì)記錄錯(cuò)誤。·成功審核：審核安全訪問(wèn)嘗試成功。例如，將用戶成功登錄到系統(tǒng)上的嘗試作為"成功審核"事件記錄下來(lái)。·失敗審核：審核安全訪問(wèn)嘗試失敗。例如，如果用戶試圖訪問(wèn)網(wǎng)絡(luò)驅(qū)動(dòng)器失敗，該嘗試就會(huì)作為"失敗審核"事件進(jìn)行記錄。(4)如果要查看某事件的詳細(xì)內(nèi)容，可先選中該項(xiàng)，雙擊打開(kāi)"事件屬性"對(duì)話框，在其中的"事件詳細(xì)信息"選項(xiàng)組中列出了事件發(fā)生的時(shí)間及來(lái)源、類型等詳細(xì)資料，如圖14.13所示。14.4.2事件查看器在網(wǎng)絡(luò)中的應(yīng)用由于中文版Windows XP可以用于小型辦公網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)的組建，在網(wǎng)絡(luò)應(yīng)用過(guò)程中，網(wǎng)絡(luò)中的計(jì)算機(jī)有時(shí)會(huì)出現(xiàn)故障，這時(shí)需要

管理員查看這臺(tái)機(jī)器的工作日志，以此來(lái)判斷出現(xiàn)故障的原因。具體的操作步驟如下：(1)在"事件查看器(本地)"窗口中，右擊"事件查看器(本地)"選項(xiàng)，會(huì)彈出一個(gè)快捷菜單，從中選擇"連接到另一臺(tái)計(jì)算機(jī)"命令，出現(xiàn)"選擇計(jì)算機(jī)"對(duì)話框，在此用戶可以選擇需要這個(gè)管理單元管理的計(jì)算機(jī)，在"另一臺(tái)計(jì)算機(jī)"文本框中輸入要查看的工作站名，單擊"確定"即可，如圖14.14所示。(2)為了在眾多的計(jì)算機(jī)中準(zhǔn)確地找到出現(xiàn)故障的一臺(tái)，最大限度地節(jié)省時(shí)間，可以單擊"瀏覽"按鈕，出現(xiàn)如圖14.15所示的"選擇計(jì)算機(jī)"對(duì)話框，可以在這里進(jìn)行更為詳細(xì)的條件限定，這樣，就可以快速地找到出現(xiàn)故障的計(jì)算機(jī)，進(jìn)行工作日志的查看。14.4.3事件查看器窗口在"事件查看器"窗口中，用戶可以利用菜單欄中的菜單項(xiàng)方便地進(jìn)行本地事件的查看，下面是其中簡(jiǎn)單而且實(shí)用的幾項(xiàng)操作(以"應(yīng)用程序")為例：(1)在"操作"菜單中，用戶可以根據(jù)需要進(jìn)行工作日志文件的打開(kāi)和保存，以及事件的清除等操作。(2)選擇"操作"|"屬性"或者"查看"|"篩選"命令，出現(xiàn)"應(yīng)用程序?qū)傩?對(duì)話框，在"常規(guī)"選項(xiàng)卡中詳細(xì)顯示了"應(yīng)用程序"的名稱，創(chuàng)建、修改、訪問(wèn)時(shí)間，用戶可以對(duì)最大日志以及達(dá)到極限后的處理方法進(jìn)行設(shè)定，如果用戶不再需要個(gè)性設(shè)置時(shí)，可以單擊"還原為默認(rèn)值"按鈕，即可恢復(fù)到系統(tǒng)默認(rèn)的設(shè)置，如圖14.16所示。(3)選擇"篩選器"選項(xiàng)卡，用戶可以對(duì)日志中的事件進(jìn)行篩選，用戶可在"事件類型"選項(xiàng)組中進(jìn)行復(fù)選框的選擇，在"事件來(lái)源""類別"下拉列表框中可設(shè)置篩選具體條件，還可進(jìn)行時(shí)間限定。需要指出的是，篩選并不會(huì)對(duì)日志的具體內(nèi)容產(chǎn)生影響，它只是改變了事件的顯示方式，如圖14.17所示。(4)在"查看"菜單中選擇"添加|刪除列"命令，彈出"添加|刪除列"對(duì)話框，如果用戶不需要在該窗口的詳細(xì)列表中顯示某選項(xiàng)時(shí)，可在"顯示列"列表中先選中，然后單擊"刪除"按鈕，即可刪除該列的顯示，這樣會(huì)使畫面看起來(lái)更簡(jiǎn)潔，如圖14.18所示。(5)在"查看"菜單中選擇"查找"命令，出現(xiàn)"在本地應(yīng)用程序上查找"對(duì)話框，在此可設(shè)置好要查找的條件，可自行選擇搜索方向，連續(xù)查找多個(gè)符合要求的事件，如圖14.19所示。用事件查看器解決操作系統(tǒng)故障作者：Microsoft MVP閆諾更新時(shí)間：2005-04-08無(wú)論是普通計(jì)算機(jī)用戶，還是專業(yè)計(jì)算機(jī)系統(tǒng)管理員，在操作計(jì)算機(jī)的時(shí)候都會(huì)遇到某些系統(tǒng)錯(cuò)誤。很多朋友經(jīng)常為無(wú)法找到出錯(cuò)原因，解決不了故障問(wèn)題感到困擾。事實(shí)上，利用Windows內(nèi)置的事件查看器，加上適當(dāng)?shù)木W(wǎng)絡(luò)資源，就可以很好地解決大部分的系統(tǒng)問(wèn)題。一、事件查看器可以做什么微軟在以Windows NT為內(nèi)核的操作系統(tǒng)中集成有事件查看器，這些操作系統(tǒng)包括Windows 2000NTXP03等。事件查看器可以完成許多工作，比如審核系

統(tǒng)事件和存放系統(tǒng)、安全及應(yīng)用程序日志等。系統(tǒng)日志中存放了Windows操作系統(tǒng)產(chǎn)生的信息、警告或錯(cuò)誤。通過(guò)查看這些信息、警告或錯(cuò)誤，我們不但可以了解到某項(xiàng)功能配置或運(yùn)行成功的信息，還可了解到系統(tǒng)的某些功能運(yùn)行失敗，或變得不穩(wěn)定的原因。安全日志中存放了審核事件是否成功的信息。通過(guò)查看這些信息，我們可以了解到這些安全審核結(jié)果為成功還是失敗。應(yīng)用程序日志中存放應(yīng)用程序產(chǎn)生的信息、警告或錯(cuò)誤。通過(guò)查看這些信息、警告或錯(cuò)誤，我們可以了解到哪些應(yīng)用程序成功運(yùn)行，產(chǎn)生了哪些錯(cuò)誤或者潛在錯(cuò)誤。程序開(kāi)發(fā)人員可以利用這些資源來(lái)改善應(yīng)用程序。點(diǎn)擊"開(kāi)始→運(yùn)行"，輸入eventvwr，點(diǎn)擊"確定"，就可以打開(kāi)事件查看器，它的界面如圖1所示。圖1查看事件的詳細(xì)信息：選中事件查看器左邊的樹(shù)形結(jié)構(gòu)圖中的日志類型(應(yīng)用程序、安全性或系統(tǒng))，在右側(cè)的詳細(xì)資料窗格中將會(huì)顯示出系統(tǒng)中該類的全部日志，雙擊其中一個(gè)日志，便可查看其詳細(xì)信息，如圖2。在日志屬性窗口中我們可以看到事件發(fā)生的日期、事件的發(fā)生源、種類和ID，以及事件的詳細(xì)描述。這對(duì)我們尋找解決錯(cuò)誤是最重要的。圖2搜索事件：如果系統(tǒng)中的事件過(guò)多，我們將會(huì)很難找到真正導(dǎo)致系統(tǒng)問(wèn)題的事件。這時(shí)，我們可以使用事件"篩選"功能找到我們想找的日志。選中左邊的樹(shù)形結(jié)構(gòu)圖中的日志類型(應(yīng)用程序、安全性或系統(tǒng))，右擊"查看"，并選擇"篩選"。日志篩選器將會(huì)啟動(dòng)，如圖3。圖3選擇所要查找的事件類型，比如"錯(cuò)誤"，以及相關(guān)的事件來(lái)源和類別等等，并單擊"確定"。事件查看器會(huì)執(zhí)行查找，并只顯示符合這些條件的事件。二、利用查看器解決系統(tǒng)問(wèn)題查到導(dǎo)致系統(tǒng)問(wèn)題的事件后，我們需要找到解決它們的辦法。查找解決這些問(wèn)題的方法主要可以通過(guò)兩個(gè)途徑：微軟在線技術(shù)支持知識(shí)庫(kù)以及網(wǎng)站。微軟在線技術(shù)支持知識(shí)庫(kù)(KB)：微軟知識(shí)庫(kù)的文章是由微軟公司官方資料和MVP(微軟最有價(jià)值專家)撰寫的技術(shù)文章組成，主要解決微軟產(chǎn)品的問(wèn)題及故障。當(dāng)微軟每一個(gè)產(chǎn)品的Bug和容易出錯(cuò)的應(yīng)用點(diǎn)被發(fā)現(xiàn)以后，都將有與其對(duì)應(yīng)的KB文章分析這項(xiàng)錯(cuò)誤的解決方案。微軟知識(shí)庫(kù)的地址是：，在網(wǎng)頁(yè)左邊的"搜索(知識(shí)庫(kù))"中輸入相關(guān)的關(guān)鍵字進(jìn)行查詢，事件發(fā)生源和ID等信息。當(dāng)然，輸入詳細(xì)描述中的關(guān)鍵詞也是一個(gè)好辦法，如果日志中有錯(cuò)誤編號(hào)，輸入這個(gè)錯(cuò)誤編號(hào)進(jìn)行查詢也并不是一個(gè)壞主意。另外，微軟中文社區(qū)()提供在線的免費(fèi)技術(shù)支持和定期的專家聊天，只要稍加利用，都可以成為解決系統(tǒng)疑難雜癥的寶貴資源。總體來(lái)說(shuō)，在Windows操作系統(tǒng)中提供的事件日志機(jī)制為我們找出系統(tǒng)問(wèn)題提供了快捷的方法，而官方和第三方等多種網(wǎng)絡(luò)資源使我們能夠迅速地解決這些問(wèn)題。通過(guò)本文，希望讀者能夠充

分利用這些資源，在以后系統(tǒng)出現(xiàn)問(wèn)題時(shí)，能夠自主地將它們解決。節(jié)省時(shí)間，節(jié)省金錢。在Windows2000、Windows XP操作系統(tǒng)中有一位系統(tǒng)運(yùn)行狀況的忠實(shí)記錄者，從開(kāi)機(jī)、運(yùn)行到關(guān)機(jī)過(guò)程中發(fā)生的每一個(gè)事件都將被記錄下來(lái)，它就是"事件查看器"。用戶可以利用這個(gè)系統(tǒng)維護(hù)工具，收集有關(guān)硬件、軟件、系統(tǒng)問(wèn)題方面的信息，并監(jiān)視系統(tǒng)安全事件，將系統(tǒng)和其他應(yīng)用程序運(yùn)行中錯(cuò)誤或警告事件記錄下來(lái)，便于診斷和糾正系統(tǒng)發(fā)生的錯(cuò)誤和問(wèn)題。下面通過(guò)幾個(gè)例子來(lái)講解"事件查看器"的實(shí)際應(yīng)用。使用事件查看器有兩種方法可以很快地打開(kāi)事件查看器：1.通過(guò)"我的電腦"打開(kāi)。右鍵單擊"我的電腦"，選擇"管理"，彈出"計(jì)算機(jī)管理"窗口，在"系統(tǒng)工具"標(biāo)簽下便是"事件查看器"。2.通過(guò)"控制面板"打開(kāi)。選擇"開(kāi)始/控制面板"，在"控制面板"窗口單擊"管理工具"，在彈出窗口中雙擊"事件查看器"圖標(biāo)，便可打開(kāi)"事件查看器"窗口。如圖1所示便是事件查看器的系統(tǒng)日志信息。監(jiān)視文件和文件夾的訪問(wèn)在辦公環(huán)境下，有時(shí)我們需了解計(jì)算機(jī)上其他用戶是否訪問(wèn)了我們限制的文件或文件夾，這時(shí)候我們通過(guò)組策略配合，利用事件查看器在不影響用戶正常使用的情況下，監(jiān)控用戶的訪問(wèn)情況。選擇"開(kāi)始/控制面板/管理工具/本地安全設(shè)置/本地策略/審核策略"，在右邊信息窗口中右鍵單擊"審核對(duì)象訪問(wèn)"選擇"安全性"，在"本地安全策略設(shè)置"中，單擊所需的選項(xiàng)并確定。接著在任務(wù)欄"開(kāi)始"上點(diǎn)右鍵選擇"資源管理器"，右鍵點(diǎn)擊要審核的文件或文件夾，選擇"屬性"。然后選擇"安全/高級(jí)/審核/添加"，在"選擇用戶、計(jì)算機(jī)或組"對(duì)話框中，單擊要審核操作的用戶名或組名并確定即可。注意：必須作為管理員或管理組的成員登錄才能設(shè)置文件和文件夾的審核，只有管理員才能使用"組策略"監(jiān)視系統(tǒng)開(kāi)關(guān)機(jī)情況當(dāng)我們外出回來(lái)，有時(shí)我們需要了解計(jì)算機(jī)的開(kāi)關(guān)情況以及是否正常開(kāi)關(guān)機(jī)情況。我們可以通過(guò)事件查看器的系統(tǒng)日志查看計(jì)算機(jī)的開(kāi)、關(guān)機(jī)記錄，這是因?yàn)槿罩痉?wù)會(huì)隨計(jì)算機(jī)一起啟動(dòng)或關(guān)閉，并在日志中留下記錄。主要是兩個(gè)事件ID"6006和6005"。6005表示事件日志服務(wù)已啟動(dòng)，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6005的事件，就說(shuō)明在這天正常啟動(dòng)了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止(圖2)，如果沒(méi)有在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6006的事件，就表示計(jì)算機(jī)在這天沒(méi)有正常關(guān)機(jī)，可能是因?yàn)橄到y(tǒng)原因或者直接切斷電源導(dǎo)致沒(méi)有執(zhí)行正常的關(guān)機(jī)操作。如果你是網(wǎng)絡(luò)管理員，那么這些記錄就更加的重要了，如果有意外的開(kāi)關(guān)機(jī)操作，那么你的機(jī)器已被攻擊的可能性就很大了。解決機(jī)器開(kāi)機(jī)時(shí)的錯(cuò)誤提示窗口如果你最近安裝或卸載了某些程序，或者是由于安全的原因關(guān)閉了某些服務(wù)，結(jié)果你發(fā)現(xiàn)每次開(kāi)機(jī)

都會(huì)彈出一個(gè)錯(cuò)誤提示窗口，并提示"在系統(tǒng)啟動(dòng)時(shí)至少有一個(gè)服務(wù)或驅(qū)動(dòng)程序產(chǎn)生錯(cuò)誤。詳細(xì)信息，請(qǐng)使用事件查看器查看事件日志"。這類問(wèn)題一般是系統(tǒng)在加載相關(guān)服務(wù)時(shí)找不到服務(wù)程序而無(wú)法啟動(dòng)產(chǎn)生的，你可以使用事件查看器來(lái)查看具體是哪個(gè)服務(wù)啟動(dòng)時(shí)出現(xiàn)了問(wèn)題，解決的辦法通常有兩種，一種是通過(guò)了解該服務(wù)是那哪些程序產(chǎn)生，不論這些服務(wù)是操作系統(tǒng)本身產(chǎn)生還是應(yīng)用程序產(chǎn)生的，都可以通過(guò)卸載相關(guān)應(yīng)用程序來(lái)解決。另一個(gè)辦法更簡(jiǎn)單直接到服務(wù)管理器中將相應(yīng)的服務(wù)設(shè)置為"禁用"即可。分析死機(jī)故障原因相對(duì)于Windows 98而言，Windows 2000和Windows XP均要穩(wěn)定的多，是不容易發(fā)生死機(jī)現(xiàn)象的。從理論上講，純32位的Windows 2000是不會(huì)出現(xiàn)死機(jī)的，但是這僅僅是理論上的。病毒、硬件和硬件驅(qū)動(dòng)程序不匹配等原因?qū)⒃斐蒞indows

2000的崩潰。當(dāng)Windows 2000出現(xiàn)死機(jī)時(shí)，顯示器屏幕將變?yōu)樗{(lán)色，然后出現(xiàn)死機(jī)故障提示信息。通過(guò)事件查看能夠發(fā)現(xiàn)問(wèn)題的原因。如果出現(xiàn)的硬件設(shè)備故障，可以通過(guò)重新安裝硬件驅(qū)動(dòng)或卸載硬件來(lái)解決，如果是軟件故障可以卸相應(yīng)的驅(qū)動(dòng)程序，如果是警告顯示磁盤驅(qū)動(dòng)程序在幾次重試后，只能讀取或?qū)懭氲侥硞€(gè)扇區(qū)，十有八九是硬盤出問(wèn)題了。即使你的系統(tǒng)沒(méi)有死機(jī)，運(yùn)行某些程序出現(xiàn)停頓現(xiàn)象，也有可能是計(jì)算機(jī)的硬盤出現(xiàn)故障，你依然可通過(guò)檢查事件查看器,看是否出現(xiàn)硬盤有無(wú)法響應(yīng)的日志，如果硬盤出現(xiàn)損壞，還是盡早更新，以免帶來(lái)重大的數(shù)據(jù)損失。檢查不能上網(wǎng)的原因不能上網(wǎng)的原因有非常多，其中無(wú)法獲得局域網(wǎng)DHCP服務(wù)器的數(shù)據(jù)，以至無(wú)法取得一個(gè)能上網(wǎng)的IP地址是局域網(wǎng)用戶不能上網(wǎng)的故障中最常見(jiàn)的一種，通過(guò)"事件查看器"我們可以很容易就找到這個(gè)錯(cuò)誤事件ID號(hào)為1007，此你可以先檢查你的網(wǎng)線，看是否連接正常，如果網(wǎng)絡(luò)線路正常。可以打電話咨詢網(wǎng)絡(luò)管理員是否是DHCP服務(wù)器停止工作了。如果你使用的IP地址與網(wǎng)絡(luò)上別人使用的IP地址相同，網(wǎng)絡(luò)接口也會(huì)被系統(tǒng)禁用，一樣也無(wú)法上網(wǎng)，這個(gè)錯(cuò)誤事件ID號(hào)為1006，如果你發(fā)現(xiàn)這種情況要及時(shí)和網(wǎng)絡(luò)管理員聯(lián)系解決。1.微軟知識(shí)庫(kù)微軟知識(shí)庫(kù)的文章是由微軟公司官方資料和微軟MVP撰寫的技術(shù)文章組成，主要解決微軟產(chǎn)品的問(wèn)題及故障。當(dāng)微軟每一個(gè)產(chǎn)品的Bug和容易出錯(cuò)的應(yīng)用點(diǎn)被發(fā)現(xiàn)后，都將有與其對(duì)應(yīng)的KB文章分析這項(xiàng)錯(cuò)誤的解決方案。微軟知識(shí)庫(kù)的地址是：，在網(wǎng)頁(yè)左邊的"搜索(知識(shí)庫(kù))"中輸入相關(guān)的關(guān)鍵字進(jìn)行查詢，事件發(fā)生源和ID等信息。當(dāng)然，輸入詳細(xì)描述中的關(guān)鍵詞也是一個(gè)好辦法，如果日志中有錯(cuò)誤編號(hào)，輸入這個(gè)錯(cuò)誤編號(hào)進(jìn)行查詢也是個(gè)不錯(cuò)的主意。要查詢系統(tǒng)錯(cuò)誤事件的解決方案，其實(shí)還有一個(gè)更好的地方，那就是網(wǎng)站(圖3)，

地址是：。這個(gè)網(wǎng)站由眾多微軟MVP(最有價(jià)值專家)主持，幾乎包含了全部系統(tǒng)事件的解決方案。登錄網(wǎng)站后，單擊"Search Events(搜索事件)"鏈接，出現(xiàn)事件搜索頁(yè)面。根據(jù)頁(yè)面提示，輸入Event ID(事件ID)和Event Source(事件源)，并單擊"Search"按鈕。的系統(tǒng)會(huì)找到所有相關(guān)的資源及解決方案。最重要的是，享受這些解決方案是完全免費(fèi)的。當(dāng)然，的付費(fèi)用戶則能享受到更好的服務(wù)，比如直接訪問(wèn)針對(duì)某事件的知識(shí)庫(kù)文章集等。用事件查看器診斷Windows故障你點(diǎn)開(kāi)事件查看器，里面的幫助就都明白了。方便你特粘貼一點(diǎn)讓你看。事件查看器概述在事件查看器中，通過(guò)使用事件日志，可以收集有關(guān)硬件、軟件、系統(tǒng)問(wèn)題方面的信息，并監(jiān)視Windows安全事件。Windows用三種類型的日志記錄事件：應(yīng)用程序日志應(yīng)用程序日志包含由應(yīng)用程序或一般程序記錄的事件。例如，數(shù)據(jù)庫(kù)程序用應(yīng)用程序日志來(lái)記錄文件錯(cuò)誤。開(kāi)發(fā)人員決定所要記錄的事件。系統(tǒng)日志系統(tǒng)日志包含由Windows系統(tǒng)組件記錄的事件。例如，在系統(tǒng)日志中記錄啟動(dòng)期間要加載的驅(qū)動(dòng)程序或其他系統(tǒng)組件的故障。由系統(tǒng)組件記錄的事件類型是預(yù)先確定的。安全日志安全日志可以記錄諸如有效和無(wú)效的登錄嘗試等安全事件，以及與資源使用有關(guān)的事件，例如，創(chuàng)建、打開(kāi)或刪除文件。管理員可以指定在安全日志中記錄的事件。例如，如果您啟用了登錄審核，那么系統(tǒng)登錄嘗試就記錄在安全日志中。事件查看器顯示以下事件類型：錯(cuò)誤重要的問(wèn)題，如數(shù)據(jù)丟失或功能喪失。例如，如果在啟動(dòng)期間服務(wù)加載失敗，則會(huì)記錄錯(cuò)誤。不是非常重要但將來(lái)可能出現(xiàn)的問(wèn)題的事件。例如，如果磁盤空間較小，則會(huì)記錄一個(gè)警告。信息描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作的事件。例如，成功地加載網(wǎng)絡(luò)驅(qū)動(dòng)程序時(shí)會(huì)記錄一個(gè)信息事件。成功審核審核安全訪問(wèn)嘗試成功。例如，將用戶成功登錄到系統(tǒng)上的嘗試作為"成功審核"事件記錄下來(lái)。失敗審核審核安全訪問(wèn)嘗試失敗。例如，如果用戶試圖訪問(wèn)網(wǎng)絡(luò)驅(qū)動(dòng)器失敗，該嘗試就會(huì)作為"失敗審核"事件進(jìn)行記錄。啟動(dòng)Windows時(shí)，事件日志服務(wù)會(huì)自動(dòng)啟動(dòng)。所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志，但是只有管理員才能訪問(wèn)安全日志。默認(rèn)情況下會(huì)關(guān)閉安全日志。可以使用"組策略"啟用安全日志記錄。管理員也可以在注冊(cè)表中設(shè)置審核策略，使系統(tǒng)在安全日志裝滿時(shí)停止運(yùn)行。詳細(xì)信息，請(qǐng)參閱相關(guān)主題。

特別聲明：

1：資料來(lái)源于互聯(lián)網(wǎng)，版權(quán)歸屬原作者

2：資料內(nèi)容屬于網(wǎng)絡(luò)意見(jiàn)，與本賬號(hào)立場(chǎng)無(wú)關(guān)

3：如有侵權(quán)，請(qǐng)告知，立即刪除。