介紹
事件查看器是Windows 操作系統工具,事件查看器記錄着系統的日志,可以查看關於硬件、軟件和系統問題的信息,也可以監視Windows 操作系統中的安全事件。是window服務器管理非常重要的工具,可以通過此工具排查問題。
打開方式:服務器管理器 -> 工具 -> 事件查看器
也可以直接window + s 搜索 事件查看器
以下演示均為 Windows Server 2016 版本
Windows 日志類型
在日志查看器中有自定義視圖、Windows日志、應用程序和服務日志,我們常使用的是windows日志
window日志包含五種類型
- 應用程序:記錄了系統程序運行時的事件,例如錯誤、崩潰等情況,包括安裝的程序及系統自帶的程序;
- 安全:記錄了一些用戶登錄事件、文件的操作、進程創建等事件;
- 系統:系統層面的日志,包含了一些服務、進程池、系統組件、驅動等等事件;
- 設置:系統設置一些,包括系統更新等等
日志等級
在事件查看器中主要有五種日志等級,代表了不同的類型和嚴重程度
- 錯誤:重大問題,例如數據丟失或功能損失。例如,如果服務在啟動期間無法加載,便會記錄一個錯誤;
- 警告:不一定重要的事件也能指出潛在的問題。例如,如果磁盤空間低,便會記錄一個警告;
- 信息:描述應用程序、驅動程序或服務是否操作成功的事件。例如,如果網絡驅動程序成功加載,便會記錄一個信息事件;
- 審核成功:接受審核且取得成功的安全訪問嘗試。例如,用戶對系統的成功登錄嘗試將作為一個“成功審核”事件被記錄下來;
- 審核失敗:接受審核且未成功的安全訪問嘗試。例如,如果用戶試圖訪問網絡驅動器但未成功,該嘗試將作為“失敗審核”被記錄下來;
通過日志等級可以很好的篩選出錯誤、警告、審核失敗的日志,可以通過“篩選當前日志”來篩選
事件ID
事件ID表示發生了什么事件,相同的事件的ID相同,下面列舉常見的事件ID,方便大家排查
應用程序
- 1309 .net程序的異常
安全
- 4624 用戶登錄成功
- 4625 用戶登錄失敗
- 4944-4958,5024-5037 防火牆相關的
- 5024 防火牆成功啟動
- 5025 防火牆被關閉
- 5030 防火牆無法啟動
- 4616 系統時間被修改
系統
- 1074 計算機的開機、關機、重啟的時間以及原因和注釋;
- 6005 日志服務正常啟動
- 6006 日志服務器正常關閉
- 104 日志清除, 當有日志被清除時會記錄此事件
- 5186 應用程序池因不活躍關閉進程
- 5074 應用程序池因到預定時間關閉進程