使用Windows实例的日志

日志记录了系统中硬件、软件和系统问题的信息，同时还监视着系统中发生的事件。当服务器被入侵或者系统（应用）出现问题时，管理员可以根据日志迅速定位问题的关键，再快速处理问题，从而极大地提高工作效率和服务器的安全性。Windows系统日志主要分为：系统日志、应用程序日志、安全日志以及应用程序和服务日志。本文以Windows Server 2008 R2为例，简单地介绍四种日志的使用和简要分析。

进入事件查看器

进入事件查看器：打开 运行 窗口，输入 eventvwr，打开 事件查看器。

之后，您可以在 事件查看器 里查看以下四种日志。

注意：
通过本文所述四种日志的查看方法找到的所有错误日志事件ID，您可以用于在微软知识库找到解决方法。

系统日志

系统日志包含Windows系统组件记录的事件。例如，系统日志中会记录在启动过程中加载驱动程序或其他系统组件失败。

系统组件所记录的事件类型由Windows预先确定。

应用程序日志

应用程序日志包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。

程序开发人员决定记录哪些事件。

安全日志

安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。

管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则安全日志将记录对系统的登录尝试。

应用程序和服务日志

应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件，而非可能影响整个系统的事件。

修改日志路径并备份日志

日志默认保存在系统盘里面。日志最大值默认是20 MB，超过20 MB时会覆盖之前的事件。您可以根据自己的需求修改。

按以下步骤修改日志路径并备份日志。

1. 在 事件查看器 窗口，在左侧导航栏里，单击 Windows 日志。

2. 在右边列表中，选中一个日志目录，右键这一类日志，如截图所示的 应用程序。
   

3. 在 日志属性 窗口，按界面显示修改以下信息：

   • 日志路径。
   • 日志最大大小。

   • 达到事件日志最大大小时系统应采取的操作。