系统日志--ESENT

Windows系统的事件查看器是Windows 2000/XP中提供的一个系统安全监视工具。在事件查看器中，可以通过使用事件日志，收集有关硬件、软件、系统问题方面的信息，并监视Windows系统安全。它不但可以查看系统运行日志文件，而且还可以查看事件类型，使用事件日志来解决系统故障。在启动 Windows 2000系统的同时，事件日志服务会自动启动，所有用户都可以查看应用程序日志游巧和系统日志，但只有管理员才能访问安全日志。如何找到事件查看器？点击“开始→设置→控制面板”，点击“管理工具”。然后双击“事件查看器”。现在，你就可以看到事件查看器的界面了（点击放大）事件查看器都记录什么信息？事件查看器根据来源将日志记录事件分为应用程序日志（Application）、安全日志（Security）和系统日志（System）。在左侧的类选择对话框中分别单击相应的日志即可打开进入浏览。应用程序日志包含由应用程序或一般程序记录的事件，主要记载程序运行方面的信息。安全日志可以记录有效和无效的登录尝试等安全事件以及与资源使用有关的事件，比如创建、打开或删除文件，启动时某个驱动程序加载失败。同时，管理员还可以指定在安全日志中记录的事件，比如如果启用了登录审核，竖磨铅那么系统登录尝试就记录在安全日志中。系统日志包含由Windows系统组件记录的事件。比如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。另外，事件查看器还按照类型将记录的事件划分为错误、警告和信息三种基本类型。错误:重要的问题，如数据丢失或功能丧失。例如在启动期间系统服务加载失败、磁盘检测错误等，这时系统就会自动记录错误。这种情况下必须要检查系统。警告:不是非常重要但将来可能出现问题的事件，比如余好磁盘剩余空间较小，或者未找到安装打印机等都会记录一个警告。这种情况下应该检查问题所在。信息:用于描述应用程序、驱动程序或服务成功 *** 作的事件，比如加载网络驱动程序、成功地建立了一个网络连接等。 有用的和有趣的就如同我们是一名要破案的警察一样，现在的资料只有一个日记本。

若要解决此问题，请使用本节中介绍的过程重新创建本地组策略文件。

重要说明：在域控制器上实现安全模板可能会更改“默认域控制器策略”或“默认域策略”的设置。应用的模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务晌谈的权限。在应用安全模板后，可能需要还原这些策略。在对域控制器执行这些步骤之前，请创建 SYSVOL 共享的备份。

注意：当使用下列过程时，计算机会恢复到原始安装状态，这种状态下不定义本地安全宴尺碰策略。您困仔可能必须在安全模式下启动计算机，以便重命名或移动文件。有关如何 *** 作的其他信息，请参见 Windows 2000 帮助。 打开 %SystemRoot%\Security 文件夹，创建一个新文件夹，然后将其命名为“OldSecurity”。 将以 .log 结尾的所有文件从 %SystemRoot%\Security 文件夹移到 OldSecurity 文件夹。 在 %SystemRoot%\Security\Database 文件夹中找到 Secedit.sdb 文件，然后将该文件重命名为“Secedit.old”。 单击开始，单击运行，键入 mmc，然后单击确定。 单击控制台，单击“添加/删除管理单元”，然后添加安全和配置管理单元。 右键单击“安全配置和分析”，然后单击打开数据库。 浏览到 %SystemRoot%\Security\Database 文件夹，在文件名框中键入 Secedit.sdb，然后单击打开。 当提示您导入模板时，单击“Setup Security.inf”，然后单击打开。

注意：如果收到“拒绝访问”消息，可以放心地忽略它

---