ECS Windows的日志使用与简要分析说明
简介
日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,当服务器被入侵或者系统(应用)出现问题时,管理员可以根据日志来迅速定位到问题的关键,然后对问题在进行快速的处理,这样才可以极大的提高我们的工作效率和服务器的安全性。Windows系统日志主要分为三种,分别是系统日志、应用程序日志和安全日志,还有应用程序和服务日志。接下来以Windows server 2008 R2为例来简单的介绍下四种日志的使用和简要分析。
Windows查看系统日志的方法:开始>设置>控制面板>管理工具,中找到的“事件查看器”,或者Win+r键输入”eventvwr”也可以直接进入“事件查看器”。
系统日志
系统日志包含 Windows 系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由 Windows 预先确定。
应用程序日志
应用程序日志包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。
安全日志
安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则对系统的登录尝试将记录在安全日志中。
应用程序和服务日志
应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。
以上是四种日志的查看方法,可以针对所有错误日志的事件ID来对比微软知识库来找到解决方法。
日志路径的修改和备份
日志默认保存在系统盘里面,日志最大值默认是20M,超过20M时会覆盖之前的事件,可以根据自己的需求修改。
右键选择属性