Win系统日志查看方法介绍

如何查看Windows 2003系统日志

Windows日志文件记录着Windows系统运行的每一个细节， 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志，管理员可以及时找出服务器出现故障的原因。

一般情况下，网管都是在本地查看日志记录，由于目前的局域网规模都比较大，因此网管不可能每天都呆在服务器旁。一旦远离服务器，网管

就很难及时了解到服务器系统的运行状况，维护工作便会受到影响。现在，利用Windows Server 2003(简称Windows 2003)提供的Web访问接口功能就可解决这个问题，让网管能够远程查看Windows 2003服务器的日志记录。

远程查看Windows 2003服务器的日志记录非常简单。在远程客户端(可采用Windows 98/2000/XP/2003系统)，运行IE浏览器， 在地址栏中输入“>IUSR_SERVER
是iis的默认来宾帐号,用于web匿名访问,你的服务器是不是做了应用,如果流量非常大,就要注意一下这些访问是否是正常的
可以在用户管理器中用管理员更改其属性,然后在iis管理器-〉属性-〉目录安全性-〉匿名访问 里设置相关权限
服务器打补丁还是很有必要的

1、启用网站日志记录Internet 信息服务 (IIS) 日志记录可以提供比 Windows Server 2003 的事件日志记录或性能监视功能更详细的信息。IIS 日志包括以下信息：访问网站的用户、他们查看的内容以及最后一次查看信息的时间。您可以监视他人对您的网站、虚拟文件夹或文件所进行的访问尝试，不论访问成功与否。这包括读、写文件等事件。可以单独记录针对任何站点、虚拟文件夹或文件的事件。通过定期审阅这些日志文件，您可以检测到您的服务器或站点的哪些方面易受攻击或存在其他安全隐患。要在启用网站日志记录，请按照下列步骤 *** 作：启动 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。双击“server_name”，其中 server_name 是服务器的名称。“网站”文件夹。右键单击要对其启用日志记录的网站，然后单击“属性”。在“网站”选项卡上，选择“启用日志记录”。注意：必须同时选中“网站”选项卡上的“启用日志记录和“主目录”选项卡上的“记录访问”才能启用日志记录。在“活动日志格式”列表中选择一个格式。依次单击“属性”、“高级”选项卡，然后选择要在日志中监视的项目。注意：如果选择了“ODBC 日志记录”，请单击“属性”，并提供 ODBC 数据源名称 (DSN)、表、用户名和密码，然后单击“确定”在“常规”选项卡上，选择要安排日志记录或更改“日志文件”文件夹的方式。有关更多信息，请参见本文的“保存 IIS 日志文件的配置选项”部分。单击“确定”。针对特定文件夹启用或禁用日志记录启动 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。双击“server_name”，其中 server_name 是服务器的名称。“网站”文件夹。右键单击“网站”或找到要配置的文件夹，然后单击“属性”。在“目录”选项卡上，单击“记录访问”。注意：要禁用日志记录，请单击“记录访问”。单击“确定”。2、保存 IIS 日志文件的配置选项要设置保存日志文件的选项，请按照下列步骤 *** 作：打开 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。您的服务器节点。“网站”文件夹。右键单击“网站”，然后单击“属性”。在“网站”选项卡上，单击“属性”。在“常规属性”选项卡上，选择启动新的日志文件时要使用的选项。选项如下所示：“每小时”：每小时创建一次日志文件，从每小时发生的第一项开始。该功能通常用于大容量的网站。“每天”：每天创建一次日志文件，从午夜后发生的第一项开始。“每周”：每周创建一次日志文件，从星期六午夜后发生的第一项开始。“每月”：每月创建一次日志文件，从该月最后一天午夜后发生的第一项开始。注意：对于除“万维网联合会 (W3C) 扩展日志文件格式”之外的所有日志文件格式，“午夜”都指当地时间的午夜。对于此文件格式，“午夜”默认为格林威治标准时间 (GMT) 的午夜，但是您可以将它更改为当地时间的午夜。要打开新的采用 W3C 扩展日志文件格式并使用当地时间的日志，请选择“文件命名和创建使用当地时间”。新的日志在当地时间的午夜启动，但日志文件中记录的时间仍为 GMT 时间。“不限制文件大小”：数据总是附加到同一日志文件。只有停止站点后，您才可以访问该日志文件。“当文件大小达到”：当目前的日志文件达到特定大小时，创建新的日志文件。您必须指定希望的大小。在“日志文件目录”下，键入要保存日志文件的目标文件夹。注意：必须使用完整路径列出本地文件夹。当指定日志文件的文件夹时，不能使用映射的驱动器或 UNC 路径（如 \\server1\share1\），也不能使用句点或者反斜杠字符。单击“应用”，然后单击“确定”。3、使用记事本审阅 IIS 日志记录：要打开记事本，请单击“开始”，依次指向“所有程序”、“附件”，然后单击“记事本”。在“文件”菜单上，单击“打开”并键入日志文件的保存位置。检查日志中是否有可疑的安全事件，其中包括：企图运行可执行文件或脚本的多个失败的命令。（在此种情况下，密切监视“脚本”文件夹。）来自一个 IP 地址的过多失败的登录尝试，这可能是企图增加网络流量或拒绝其他用户访问。访问和修改 bat 或 cmd 文件的失败尝试。在未经授权的情况下，企图将文件上载到包含可执行文件的文件夹。安全性Web 服务器上正确的安全防护可减少或阻止各种恶意和意外的安全威胁。对于生产服务器，从允许用户浏览文件（包含如何创建证书的信息）的 Web 服务器中，删除 Active Server Pages (ASP) 注册页。如果不希望删除 ASP 页，则可以限制文件的查看权限。这些页通常位于网站的根目录中。

日志查看方法：

1、开始－－管理工具－－事件查看器－－系统 或者 控制面板－－管理工具－－事件查看器－－系统。

2、在远程客户端，运行IE浏览器，在地址栏中输入“>

常用事件：1074    6005    6006

事件1074，在系统的事件跟踪程序开启的情况下，可以通过这个事件查看计算机的开机、关机、重启的时间以及原因和注释。

在windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。

事件6005表示计算机日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005，就说明这天正常启动了windows系统。

事件6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID为6006的事件，就表示计算机在这天没关机或没有正常关机（可能是因为系统原因或者直接切断电源导致没有执行正常的关机 *** 作）。如果事件6005和6006的记录时间相差很短，大致可判断为重启（当然可以通过事件1074进行详细的查看）。

事件1007表示该计算机无法从DHCP服务器获得相应的信息。在很多网络环境中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在windows日志中产生一个事件ID号为1007的事件。如果用户在事件日志中发现该编号事件，就说明该机器无法从DHCP服务器获得信息。就要查看是该机器的网络故障还是DHCP服务器的问题了。

1、启用网站日志记录 Internet 信息服务 (IIS) 日志记录可以提供比 Windows Server 2003 的事件日志记录或性能监视功能更详细的信息。IIS 日志包括以下信息：访问网站的用户、他们查看的内容以及最后一次查看信息的时间。您可以监视他人对您的网

---