系统日志和服务器日志有什么区别

系统日志：记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。 服务器日志主要包括访问日志和错误日志。与IIS的日志类似，访问日志记录了该服务器所有的请求的过程，主要记录的是客户的各项信息，如访问时间、内容、地址等。错误日志则记录服务器出错的细节等数据。

论是普通计算机用户，还是专业计算机系统管理员，在 *** 作计算机的时候都会遇到某些系统错误。很多朋友经常为无法找到出错原因，解决不了故障问题感到困扰。事实上，利用Windows内置的事件查看器，加上适当的网络资源，就可以很好地解决大部分的系统问题。
一、事件查看器可以做什么

微软在以Windows NT为内核的 *** 作系统中集成有事件查看器，这些 *** 作系统包括Windows 2000NTXP2003等。事件查看器可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。
系统日志中存放了Windows *** 作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，我们不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。
安全日志中存放了审核事件是否成功的信息。通过查看这些信息，我们可以了解到这些安全审核结果为成功还是失败。
应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。
点击“开始→运行”，输入eventvwr，点击“确定”，就可以打开事件查看器。
查看事件的详细信息：
选中事件查看器左边的树形结构图中的日志类型(应用程序、安全性或系统)，在右侧的详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息。在日志属性窗口中我们可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。这对我们寻找解决错误是最重要的。
搜索事件：
如果系统中的事件过多，我们将会很难找到真正导致系统问题的事件。这时，我们可以使用事件“筛选”功能找到我们想找的日志。
选中左边的树形结构图中的日志类型(应用程序、安全性或系统)，右击“查看”，并选择“筛选”。日志筛选器将会启动。
选择所要查找的事件类型，比如“错误”，以及相关的事件来源和类别等等，并单击“确定”。事件查看器会执行查找，并只显示符合这些条件的事件。
二、利用查看器解决系统问题
查到导致系统问题的事件后，我们需要找到解决它们的办法。查找解决这些问题的方法主要可以通过两个途径：微软在线技术支持知识库以及Eventidnet网站。
微软在线技术支持知识库(KB)：
微软知识库的文章是由微软公司官方资料和(微软最有价值专家)撰写的技术文章组成，主要解决微软产品的问题及故障。
当微软每一个产品的Bug和容易出错的应用点被发现以后，都将有与其对应的KB文章分析这项错误的解决方案。
微软知识库的地址是：>"​解决方法：
1，如果安装密码保护系统需要找维护人员开启
2，服务器负载需要等服务器正常时才能登陆
3，网络不稳定需要重启电脑
4，代理出现问题，先找到电脑中的工具选项(ie浏览器上)。
点击Ieternet选项。
选中高级选项。
将“通过代理连接使用 >作为一个服务器维护者，我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志，而是系统的管理日志。在windows2003系统中，在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器，不过一般我们是打开计算机管理，他包含了这个时间查看器，方便管理，在运行中输入“compmgmtmsc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器一般可以查看四类日志，他们分别是“应用程序”，“internetexplorer”，“安全性”和“系统”。如图[attachment=1584]对于“登陆/注销”来说我们重点关注“应用程序”和“系统”这2类，“登陆/注销”这种行为一般发生在系统用户和数据库用户，下面以一个例子来具体说明。比如，我以administrator身份登陆3389端口的远程终端，那么日志记录一般为4条，同时发生。这个审核是默认开启的，如果想修改可以在运行中输入gpeditmsc打开组策略，在计算机配置-windows设置-安全设置-本地策略-审核策略，即可看到对系统登陆时间的审核。[attachment=1585]此类日志保存在“安全性”这一类中复制代码事件类型:审核成功事件来源:Security事件种类:帐户登录事件ID:680日期:2010-2-4事件:20:52:37用户:TAGggg-DDD3333\administrator计算机:TAGggg-DDD3333描述:尝试登录的用户:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0登录帐户:administrator源工作站:TAGggg-DDD3333错误代码:0x0这个日志是记录尝试登陆的用户，比如你在登陆窗口测试用户名和密码的话，这里都会记载下载，如果你发现有不是系统用户的记录，那么肯定是有人在猜你的用户名了复制代码事件类型:审核成功事件来源:Security事件种类:登录/注销事件ID:552日期:2010-2-4事件:20:52:37用户:NTAUTHORITY\SYSTEM计算机:TAGggg-DDD3333描述:使用明确凭据的登录尝试:登录的用户:用户名:TAGggg-DDD3333$域:WORKGROUP登录ID:(0x0,0x3E7)登录GUID:-凭据被使用的用户:目标用户名:administrator目标域:TAGggg-DDD3333目标登录GUID:-目标服务器名称:localhost目标服务器信息:localhost调用方进程ID:3224源网络地址:1429716796源端口:53637如果登陆成功，那么将在这里记载，如果被人拿到了3389的账号和密码，那么这里将记载ip和方式，很明显这里是使用凭据登陆的。复制代码事件类型:审核成功事件来源:Security事件种类:登录/注销事件ID:528日期:2010-2-4事件:20:52:37用户:TAGggg-DDD3333\administrator计算机:TAGggg-DDD3333描述:登录成功:用户名:administrator域:TAGggg-DDD3333登录ID:(0x0,0x3B5BA)登录类型:10登录进程:User32身份验证数据包:Negotiate工作站名:TAGggg-DDD3333登录GUID:-调用方用户名:TAGggg-DDD3333$调用方域:WORKGROUP调用方登录ID:(0x0,0x3E7)调用方进程ID:3224传递服务:-源网络地址:1429716796源端口:53637这条日志最为重要，他有3个地方说明了登陆方式是远程连接登陆桌面的，第一个地方是登录方式为10，这种方式是远程交互(RemoteInteractive)，说明是通过终端服务、远程桌面或远程协助登陆的；第二个地方就是：登录进程:User32，说明是调用了user32exe进程来登陆的。第三个地址我们在关注一下调用方进程ID，打开任务管理器，可以看到3224的进程是winlogenexe，这3点都说明了这个日志是远程连接日志[attachment=1586]复制代码事件类型:审核成功事件来源:Security事件种类:登录/注销事件ID:576日期:2010-2-4事件:20:52:37用户:TAGggg-DDD3333\administrator计算机:TAGggg-DDD3333描述:指派给新登录的特殊权限:用户名:域:登录ID:(0x0,0x3B5BA)特权:SeSecurityPrivilegeSeBackupPrivilegeSeRestorePrivilegeSeTakeOwnershipPrivilegeSeDebugPrivilegeSeSystemEnvironmentPrivilegeSeLoadDriverPrivilegeSeImpersonatePrivilege这个日志是说明给予登陆用户的权限。好了，上面就是远程登陆的日志了。下面介绍关于mssql的登陆日志。我将mssql的登陆日志分为3类：普通用户登陆，SA登陆和系统用户登陆。需要开启sqlserver和windows身份验证，审核全部。点击mssql实例，右击属性，在“安全性”选项卡中选择即可[attachment=1587]我们重点关注SA和系统用户的登陆。mssql的系统用户的登陆日志也保存在“安全性”这类日志中，它的日志和远程登陆相似，主要区别在第三个日志，比如复制代码事件类型:审核成功事件来源:Security事件种类:登录/注销事件ID:528日期:2010-2-4事件:21:50:34用户:TAGggg-DDD3333\administrator计算机:TAGggg-DDD3333描述:登录成功:用户名:administrator域:TAGggg-DDD3333登录ID:(0x0,0x48EF44)登录类型:5登录进程:Advapi身份验证数据包:Negotiate工作站名:TAGggg-DDD3333登录GUID:-调用方用户名:TAGggg-DDD3333$调用方域:WORKGROUP调用方登录ID:(0x0,0x3E7)调用方进程ID:444传递服务:-源网络地址:-源端口:-可以看到这个日志的源网络地址和源端口为空。登录类型为5，了解过windows登陆类型的知道这是以服务的方式来登陆的，登录进程为Advapi，是因mssql调用了LogonUser（管理员）(APIcalltoLogonUser)”，从而产生了登录事件，调用方进程ID为444即servericesexe的进程，在看到这个日志的最开始你可能会以为被入侵了，其实不然，当然每个情况不一样，要具体分析，因为像黑洞的远程登陆日志应当也是这样，他也是采用服务来登陆系统。我上面的这个mssql日志比较特殊，因为我是调用administrator来启动mssql的，而不是system，所以第一眼看到这个日志感觉可能中招了的想法是正确的，请仔细勘察。MSSQL的用户登陆日志都保存在“应用程序”中，普通网站所用数据库用户的登陆，一般为复制代码事件类型:信息事件来源:MSSQLSERVER事件种类:(4)事件ID:17055日期:2010-2-4事件:21:41:06用户:N/A计算机:TAGggg-DDD3333描述:18454:用户'dbxxxxx'登录成功。连接:非信任。在系统用登陆mssql是在这里也会有记载复制代码事件类型:信息事件来源:MSSQLSERVER事件种类:(4)事件ID:17055日期:2010-2-4事件:21:42:37用户:TAGggg-DDD3333\administrator计算机:TAGggg-DDD3333描述:18453:用户TAGggg-DDD3333\administrator'登录成功。连接:信任。可能同时还伴随会产生这样一个日志复制代码描述:8128:使用'xplog70dll'版本'2000802039'来执行扩展存储过程'xp_msver'。一个返回有关服务器的实际内部版本号的信息以及服务器环境的有关信息的扩展存储下面说SA的日志。sa登陆成功日志：事件类型:信息复制代码事件来源:MSSQLSERVER事件种类:(4)事件ID:17055日期:2010-2-4事件:21:02:21用户:N/A计算机:TAGggg-DDD3333描述:18454:用户'sa'登录成功。连接:非信任。如果看到这样的日志那么你的小心了，SA密码已经被人拿去了。如果执行游览文件功能，那么会产生这样的日志复制代码事件类型:信息事件来源:MSSQLSERVER事件种类:(2)事件ID:17055日期:2010-2-4事件:21:02:45用户:N/A计算机:TAGggg-DDD3333描述:8128:使用'xpstardll'版本'2000802039'来执行扩展存储过程'xp_dirtree'。

---