Windows事件檢視器（收集）

原文:
Windows 事件檢視器（收集）

事件檢視器相當於一本厚厚的系統日誌，可以檢視關於硬體、軟體和系統問題的資訊，也可以監視

Windows 的安全事件

提示：除了可以在“控制皮膚→管理工具”中找到“事件檢視器”的蹤影外，也可以在“執行”對話方塊中

手工鍵入“％SystemRoot％＼system32＼eventvwr．msc /s”開啟事件檢視器視窗。

1． 應用程式日誌

包含由應用程式或系統程式記錄的事件，主要記錄程式執行方面的事件，例如資料庫程式可以在應用程式

日誌中記錄檔案錯誤，程式開發人員可以自行決定監視哪些事件。如果某個應用程式出現崩潰情況，那麼

我們可以從程式事件日誌中找到相應的記錄，也許會有助於你解決問題。

2． 安全性日誌

記錄了諸如有效和無效的登入嘗試等事件，以及與資源使用相關的事件，例如建立、開啟或刪除檔案或其

他物件，系統管理員可以指定在安全性日誌中記錄什麼事件。預設設定下，安全性日誌是關閉的，管理員

可以使用組策略來啟動安全性日誌，或者在登錄檔中設定稽核策略，以便當安全性日誌滿後使系統停止響

應。

3． 系統日誌

包含Windows XP的系統元件記錄的事件，例如在啟動過程中載入驅動程式或其他系統元件失敗將記錄在系

統日誌中，預設情況下Windows會將系統事件記錄到系統日誌之中。這裡有一個非常重要的事件：6006，

如果你在某一天的事件檢視器中沒有發現ID為6006的事件，那麼說明計算機在當天未正常關機，雙擊開啟

“事件屬性”視窗，如果看到手描述為“事件日誌服務已停止”，說明這裡的“時間”是指計算機正常關

機的時間。

如果機子被配置為域控制器，那麼還將包括目錄服務日誌、檔案複製服務日誌；如果機子被配置為域名系

統（DNS）伺服器，那麼還將記錄DNS伺服器日誌。當啟動Windows時，“事件日誌”服務(EventLog)會自

動啟動，所有使用者都可以檢視應用程式和系統日誌，但只有管理員才能訪問安全性日誌。

小日誌包含大資訊

朋友們可千萬別輕視這些枯燥的日誌，其中可包含了很多非常有用的資訊呢，如果你能仔細分析，肯定可

以在這裡找到很多有用的資訊，這樣會有助於你解決系統錯誤。

1．資訊：描述了應用程式、驅動程式或服務的成功操作的事件，例如當網路驅動程式載入成功時，將會

記錄一個“資訊”事件，圖1所示的是趨勢科技防毒精靈專業版被成功刪除的事件，從這裡可以看到事件

頭包括日期、時間、使用者、計算機機、事件ID、來源、型別、類別等資訊，在“描述”列表框中則列出了

相應的說明和檢視更多資訊的連結地址，從這個連結地可以指向Microsoft的“統一資源定位器”(URL)地

址。大部分情況下，這一類的事件內容沒有必要去逐項檢視，除非你有某些特別的需要。

2． 成功稽核：成功的稽核安全訪問嘗試，主要是指安全性日誌，這裡記錄著使用者登入/登出、物件訪問

、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登入等事件，例如所有的成功登入系

統都會被記錄為“成功稽核”事件


3． 失敗稽核：失敗的稽核安全登入嘗試，例如使用者試圖訪問網路驅動器失敗，則該嘗試會被作為失敗審

核事件記錄下來。

4． 警告：雖然不是很重要，但是將來有可能導致問題的事件，這種情況下應該檢查問題所在。例如，當

磁碟空間不足或未找到印表機時，都會記錄一個“警告”事件。

5．錯誤：重要的問題，例如資料丟失或功能喪失都會以“錯誤”事件的形式被記錄下來，這種情況下有

必要檢查系統。例如，圖3所示的錯誤事件是伺服器沒有在限定的時間內用DCOM註冊，點選描述中的連結

會自動轉到相應的幫助頁面，根據提示進行相應的操作即可，如果你有興趣的話，可以好好研究這裡的內

容，相信假以時日，你會成為一個DIYer的。

定期釋放多餘的日誌

事實上，大部分時間記錄下來的系統事件，都是一些流水賬，隨著時間的增加，系統日誌的個頭也會不斷

膨脹，當達到事先設定的日誌大小後，會停止記錄新的事件，因此我們需要定期釋放多餘的日誌。

選中需要清除的日誌，然後從“操作”選單中選擇“清除所有事件”，此時會彈出圖4所示的對話方塊詢問

是需要將當前日誌儲存下來，選擇“是”會在清除之前將日誌儲存下來，選擇“否”將永久丟棄當前事件

記錄，並開始記錄新的事件。假如你覺得如果操作太繁瑣的話，可以在活動日誌的“屬性”對話方塊中，選

擇“不改寫事件 (手動清除日誌)”，可以看到預設設定的“最大日誌檔案大小”只有512KB

，我們可以根據實際情況重新設定這個值，以後當日志達到一定的大小或出現提示日誌已滿的資訊時，系

統會自動清除日誌；或者選擇“按需要改寫事件”，這樣可以確保在日誌寫滿時也能夠將所有的新事件寫

入日誌，當然如此一來的話，新日誌會自動覆蓋舊日誌。

不過，需要說明的，使用者需要以管理員或Administrators組成員的身份登入系統才能擁有足夠的許可權清除

或改寫事件日誌。或者，你也可以進入WINDOWS SYSTEM32config資料夾，其中以*.evt作為副檔名的

檔案就是所謂的日誌檔案，AppEvent.evt即“應用程式”日誌，SysEvent.evt即“系統”日誌，

SecEvent.evt即“安全性”日誌，直接在這裡刪除相應的檔案就可以了，不過如果你使用的是 NTFS格式

的系統，在刪除日誌檔案之前必須首先關閉事件檢查器服務才行。

除了使用“事件檢視器”管理事件日誌外，我們也可以使用命令列工具來建立和查詢事件日誌，以及使程

序與特殊的日誌事件關聯，例如“Eventcreate.exe”可建立自定義的事件日誌，“Eventquery.vbs”可

從一個或多個事件日誌中列出事件和事件屬性，“Eventtriggers.exe”可建立事件觸發器，這樣當特定

事件日誌發生時將自動執行相應的程式，從而彌補了事件檢視器無法實時跟蹤可疑事件的不足，感興趣的

朋友們不妨試試

由於最近需要查詢SQL SERVER的問題，所以需要使用到windows 事件檢視器。其中有些程式碼含義需要弄清楚，所以從網上收集了一些。以作記錄：

ID	型別	來   源	代 表 的 意 義 舉 例 解 釋
2	資訊	Serial	在驗證 DeviceSerial1 是否確實是序列口時，系統檢測到先進先出方式(fifo)。將使用該方式。
17	錯誤	W32Time	時間提供程式 NtpClient: 在 DNS 查詢手動配置的對等機器 `time.windows.com,0x1` 時發生一個錯誤。 NtpClient 將在 15 分鐘內重試 NDS查詢。 錯誤為: 套接字操作嘗試一個無法連線的主機。 (0x80072751)
20	警告	Print	已經新增或更新 Windows NT x86 Version-3 的印表機驅動程式 Canon PIXMA iP1000。檔案:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e
26	資訊	Application Popup	彈出應用程式: Rsaupd.exe – 無法找到元件: 沒有找到 MFC71.DLL，因此這個應用程式未能啟動。重新安裝應用程式可能會修復此問題。
29	錯誤	W32Time	時間服務提供程式 NtpClient 配置為從一個或多個時間源 獲得時間，但是，沒有一個源可以訪問。在 14 分鐘內不 會進行聯絡時間源的嘗試。NtpClient 沒有準確時間的時間源。
35	資訊	W32Time	時間服務現在用時間源 time.windows.com (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步 系統時間。
115	資訊	SRService	系統還原監視在所有驅動器上啟用。
116	資訊	SRService	系統還原監視在所有驅動器上禁用。
1001	資訊	Save Dump	計算機已經從檢測錯誤後重新啟動。檢測錯誤: 0x4a4b4d53 (0xc000000e, 0x01d04bf0, 0x00000010, 0x0000029a)。 已將轉儲的資料儲存在: C:WINDOWSMinidumpMini052809-01.dmp。
1005	警告	Dhcp	您的計算機檢測到網路地址為 00E04C47978D 的網路卡的 IP 地址 192.168.1.100 已在網路上使用。 計算機會自動獲取另一個地址。
3260	資訊	Workstation	此計算機成功加入到 workgroup `WORKGROUP`。
4202	資訊	Tcpip	系統檢測到網路卡 Realtek…Family PCI Fast Ethernet NIC – 資料包計劃程式微型埠 與網路斷開， 而且網路卡的網路配置已經釋放。如果 網路卡沒有斷開，這可能意味著它出現故障。 請與您的供應商聯絡以獲得更新的驅動程式。
4226	警告	Tcpip	TCP/IP 已經達到併發 TCP 連線嘗試次數的安全限制。
4377	資訊	NtServicePack	Windows XP Hotfix KB873339 was installed.
6005	資訊	EventLog	事件日誌服務已啟動。(開機)
6006	資訊	EventLog	事件日誌服務已停止。(關機)
6009	資訊	EventLog	按ctrl、alt、delete鍵(非正常)關機
6011	資訊	EventLog	此機器的 NetBIOS 名稱和 DNS 主機名從MACHINENAME 更改為 AA。
7000	錯誤	Service Control Manager	由於下列錯誤，npkcrypt 服務啟動失敗:
7031	錯誤	Service Control Manager	Eset Service 服務意外地終止，這種情況已經出現了 1 次。以下的修正操作將在 0 毫秒內執行:重新啟動服務。
7035	資訊	Service Control Manager	xxx服務成功傳送一個開始控制元件。
7036	資訊	Service Control Manager	xxx服務處於執行或停止等狀態。
8033	資訊	BROWSER	由於主瀏覽器已經停止，瀏覽器在DeviceNetBT_Tcpip_{163DE7AB-92AE-499F-8340-B6358A4597CE} 網路上進行強制性的選舉。
10000	錯誤	DCOM	無法啟動 DCOM 伺服器: {80EE4902-33A8-11D1-A213-0080C88593A5}。 錯誤:
15007	資訊	HTTP	成功地新增了由 URL 字首 http://*:2869/ 標識的名稱空間的保留。
60054	資訊	Setup	安裝程式成功地完成了安裝 Windows 內部版本2600。
64002	資訊	Windows File Protection	試圖在被保護的系統檔案c:windowssystem32quartz.dll 上進行檔案替換。 為了維護系統穩定，這個檔案被還原成原始版本。 系統檔案的檔案版本是 6.5.2600.3497。
64008	警告	Windows File Protection	無法驗證受保護的c:windowssystem32quartz.dll 系統檔案，原因是 Windows 檔案保護中斷。 請過一會兒使用SFC 工具驗證該檔案的完整性。