本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ,第3.2.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.2.3 Windows事件日志
Microsoft在很久以前就决定要创造自己的日志生成和收集系统。这一系统被称作事件日志(Event Log)。该系统经过了多年的发展,几乎和Windows出现得一样早。现在的事件日志有一些高级特性。事件日志主要用于收集和查看两类日志:
- Windows日志
- 应用程序日志
Windows日志至少包括应用程序、安全和系统。最重要的是安全日志。这是登录、注销、资源访问(共享、文件等)记录的地方。应用程序日志不言自明。应用程序可以写入该日志,传递状态、错误和其他值得记录的项目。
我们来简单地看一下事件日志。你可以这样启动查看器:控制面板→系统和安全→管理工具→查看事件日志。这将打开事件查看器。图3.1展示了查看器。
在窗口的左侧窗格是各种日志消息类型。中间是你所选择的日志消息(例中是安全日志)。在中间的日志消息下方是日志消息的细节。如果双击日志消息,将得到类似图3.2的弹出式消息。
图3.2展示了你所选择的日志消息细节。根据日志消息类型,你将看到如下内容:
事件ID(图3.2中是4624)。
账户名称
域
资源(文件或者目录访问时)
状态(请求成功与否)
内建的日志查看器所能显示的内容已经很好了,但是你可以使用http://eventid.net/更深入地了解事件的含义。如果你有事件ID,可以用这个网站获取该事件的更多细节。图3.3是该网页关于事件ID4624的片断。
你可以看到,这里的内容比图3.2中实际日志的细节更多。
第8章和第15章讨论了Windows事件查看器这种宝贵资源的易管理性。
