一.Windows日志系统
WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。日志文件默认存放位置:%systemroot%\\system32\\config,默认文件大小512KB。这些日志文件在注册表中的位置为
HKEY_LOCAL_MACHINE\\system\\CurrentControlSet\\Services\\Eventlog,可以修改相应键值来改变日志文件的存放路径和大小。
Windows NT/2000主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 1.应用程序日志
记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户查看应用程序日志。 2.系统日志
记录由WindowsNT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 3.安全日志
记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。在WindowsXP中,事件是在系统或程序中发生的、
要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,用户可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。WindowsNT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区,表14-3-1描述了事件记录的结构。 表14-3-1 事件日志结构 记录头 日期 时间 主体标识 计算机名 事件标号 事件来源 事件等级 事件类别 事件描述
事件描述区的内容取决于具体的事件,可以是事件的名称、详细说明、产生该事件的原因、建议的解决方案等信息。 附加数据
可选数据区,通常包括可以以16进制方式显示的二进制数据。具体内容由产生事件记录的应用程序决定。
事件标题包含以下关于事件的信息,如表14-3-2所描述。 表14-3-2 事件标题信息 日期
事件发生的日期 时间
事件发生的时间 用户
用户事件发生时己登录的用户的用户名。 计算机
发生事件的计算机的名称。 事件ID
标识事件类型的事件编号。产品支持代表可以使用事件ID来帮助了解系统中发生的事情。 来源
事件的来源。它可以是程序、系统组件或大型程序的个别组件的名称。 类型
事件的类型。它可以是以下五种类型之一:错误、警告、信息、成功审核或失败审核。 类别
按事件来源对事件进行的分类。它主要用于安全日志。
windows日志
