windows系统日志解读

你好

1/5分步阅读

一、什么是日志文件

日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。 Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。

2/5

二、如何查看日志文件在Windows系统中查看日志文件很简单。点击“开始设置控制面板管理工具事件查看器”，在事件查看器窗口左栏中列出本机包含的明野日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，d出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌配槐信握系统中到底发生了培轮什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。

3/5

三、Windows日志文件的保护

日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。

1． 修改日志文件存放目录

Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。点击“开始运行”，在对话框中输入“Regedit”，回车后d出注册表编辑器，依次展开 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的 Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D 盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下 *** 作。

4/5

2． 设置文件访问权限

修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。

右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会d出错误对话框。

5/5

四、Windows日志实例分析

在Windows日志中记录了很多 *** 作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。

1． 查看正常开关机记录

在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机 *** 作。2． 查看DHCP配置警告信息

在规模较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件，说明该机器无法从DHCP服务器获得信息，就要查看是该机器网络故障还是DHCP服务器问题。

（一）什么是崩溃日志，从哪里能得到它：

iOS设备上的应用闪退时， *** 作系统会生成一个崩溃报告，也叫崩溃日志，保存在设备上，崩溃日志上有很多有用的信息，包括应用是什么情况下闪退的。通常，上面有每个正在执行线程的完整堆栈跟踪信息，所以你能从中了解到闪退发生时各线程都在做什么，并分辨出闪退发生在哪个线程上。

（二）获取崩溃日志的几种方法：

1、当用户抱怨闪退时，你可以要求他让设备与iTunes同步，设备与电脑上的iTunes Store同步后，会将崩溃日志保存在电脑上(路径：Mac OS X:~/Library/Logs/CrashReporter/MobileDevice/)到上述位置把崩溃日志下载下来，然后通过电子邮件发送给你；用这个方法获取崩溃日志时，你必需尽量获取用户设备生成的所有崩溃日志。因为崩溃日志越多，就越容易诊断问题所在。

2、如果你装了Xcode，也能很容易通过Xcode从你的设备上获得崩溃日志；将iOS设备连接到电脑上，然后打开宴卜Xcode；从菜单栏上选择 Window菜单, 然后选择 Organizer (快捷方式是 Shift-CMD-2)在Organizer 窗口上, 选中 Devices 标签栏，在左侧的导航面板上，选中Device Logs；LIBRARY下面的Device Logs是你所有设备（曾经连接到Xcode的）的日志；每个设备下盯瞎面的Device Logs是对应设备的日志。

3、应用提交到App Store后，你也能从 iTunes Connect 获取到用户的崩溃日志，登录到 iTunes Connect 上，选择 Manage Your Applications， 点击相应的应用，点击应用图标下面的View Details按钮， 然后点击右栏Links部分的 Crash Reports；如果没有崩溃日志，试试点击Refresh按钮刷新一下。如果你的应用用户量还不多，或者刚上架不久，iTunes Connect账号上也可能还没有任何崩溃日志；如果有的话你就会看到不同iOS版本用户下的崩溃信息。

4、使用工具来获取应用程序崩溃日志，现在凯祥空小编来推荐一款好用的工具（名称：Bugly，网址：http://bugly.qq.com/）官网上由详细的讲解，还附有Demo，小编就不一一解说了；

5、iphone崩溃日志分析工具symbolicatecrash；Symbolicatecrash是Xcode自带的一个分析工具，可以通过机器上的崩溃日志和应用的.dSYM文件定位发生崩溃的位置，把crash日志中的地址替换成代码相应位置

按以下步骤进行：1、点击”开始“，找到”控制面板“，点击并打开。2、点击"管理胡配工具"，打开后再点击"事件查看器"，就可以看到日志文件了。3、日志文件有6项内容：亮做瞎依次是”应用程序(日志)“、”安全性(日志)“、”系统(日志)“、”Internet Explorer(日志)“、”Microsoft Office Diagnostics (日志 )"和”Microsoft Office Sessions(日志)“。4、一般来说，因为电脑的日志文件是计算机系统对系统有敬空关日常事件或者误 *** 作警报的日期及时间戳信息进行记录的文件 。这些日志信息对计算机犯罪调查人员非常有用。但对普通电脑使用者而言，删除日志文件没有什么要紧的。

---