日誌記錄了系統中硬體、軟體和系統問題的資訊,同時還監視著系統中發生的事件。當伺服器被入侵或者系統(應用)出現問題時,管理員可以根據日誌迅速定位問題的關鍵,再快速處理問題,從而極大地提高工作效率和伺服器的安全性。Windows系統日誌主要分為:系統日誌、應用程式記錄檔、安全日誌以及應用程式和服務日誌。本文以Windows Server 2008 R2為例,簡單地介紹四種日誌的使用和簡要分析。
進入事件檢視器
進入事件檢視器:開啟 運行 視窗,輸入 eventvwr
,開啟 事件檢視器。
之後,您可以在 事件檢視器 裡查看以下四種日誌。
注意:
通過本文所述四種日誌的查看方法找到的所有錯誤記錄檔事件ID,您可以用於在微軟知識庫找到解決方法。
系統日誌
系統日誌包含Windows系統組件記錄的事件。例如,系統日誌中會記錄在啟動過程中載入驅動程式或其他系統組件失敗。
系統組件所記錄的事件類型由Windows預先確定。
應用程式記錄檔
應用程式記錄檔包含由應用程式或程式記錄的事件。例如,資料庫程式可在應用程式記錄檔中記錄檔案錯誤。
程式開發人員決定記錄哪些事件。
安全日誌
安全日誌包含諸如有效和無效的登入嘗試等事件,以及與資源使用相關的事件,如建立、開啟或刪除檔案或其他對象。
管理員可以指定在安全日誌中記錄什麼事件。例如,如果已啟用登入審核,則安全日誌將記錄對系統的登入嘗試。
應用程式和服務日誌
應用程式和服務日誌是一種新類別的事件記錄。這些日誌儲存來自單個應用程式或組件的事件,而非可能影響整個系統的事件。
修改日誌路徑並備份日誌
日誌預設保存在系統盤裡面。日誌最大值預設是20 MB,超過20 MB時會覆蓋之前的事件。您可以根據自己的需求修改。
按以下步驟修改日誌路徑並備份日誌。
在 事件檢視器 視窗,在左側導覽列裡,單擊 Windows 日誌。
在右邊列表中,選中一個日誌目錄,右鍵這一類日誌,如截圖所示的 應用程式。
在 日誌屬性 視窗,按介面顯示修改以下資訊:
- 日誌路徑。
- 日誌最大大小。
達到事件記錄最大大小時系統應採取的操作。