系统日志是
记录系统中硬件、软件和系统问题的信息,同时还可以
监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、
应用程序日志和
安全日志。
基本信息
查看系统日志方法:开始→设置→控制面板→
管理工具 中找到的“
事件查看器”,或者在【开始】→【运行】→输入
eventvwr.msc 也可以直接进入“事件查看器”在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件,在
启动过程中加载
驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。
具体信息
例如可以利用eventlog事件来查看计算机开关机的记录:
在【
事件查看器】窗口,在左侧的窗格当中选择【系统】选项,单击右键【属性】菜单项
之后在弹出来的【属性】对话框当中切换到【筛选】
选项卡,在【事件来源】下拉
列表框中找到“evenlog之后【确定】,此时就可以看见该事件的日志信息了!
其中事件ID 6006 ID6005、 ID 6009就表示不同状态的机器的情况(开关机)。
6005 信息 EventLog 事件日志服务已启动。(开机)
6006 信息 EventLog 事件日志服务已停止。(关机)
6009 信息 EventLog 按
ctrl、alt、delete键(非正常)关机
查看Windows2003系统日志的办法
Windows日志文件记录着Windows系统运行的每一个细节, 对Windows的
稳定运行起着至关重要的作用。通过查看服务器中的Windows日志,管理员可以及时找出服务器出现故障的原因。
一般情况下,网管都是在本地查看日志记录,由于局域网规模都比较大,因此网管不可能每天都呆在服务器旁。一旦远离服务器,网管
就很难及时了解到
服务器系统的运行状况,维护工作便会受到影响。利用
Windows Server 2003(简称Windows 2003)提供的Web访问接口功能就可解决这个问题,让网管能够
远程查看Windows 2003服务器的日志记录。
远程查看Windows 2003服务器的日志记录非常简单。在远程客户端(可采用
Windows 98/2000/XP/2003系统),运行
IE浏览器, 在
地址栏中输入“https://Win2003服务器
IP地址:8098”,如“https://192.168.0.1:8098”。在弹出的登录对话框中输入管理员的
用户名和密码,点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接,切换到“维护”管理页面,然后点击“日志”链接,进入到日志管理页面。在日志管理页面中,管理员可以查看、下载或清除Windows 2003
服务器日志。
在日志管理页面中可列出Windows 2003服务器的所有日志分类,如
应用程序日志、
安全日志、系统日志、Web管理日志等。
查看某类日志记录非常简单,笔者以查看Web管理日志为例,点击“Web管理日志”链接,进入日志查看页面,在
日志文件列表框中选中要查看的日志文件,然后点击右侧的“查看日志”按钮,就能浏览Web管理日志记录中的详细内容了。
清除某个日志文件也很简单,选中该日志文件后,点击“清除”按钮即可。如果你觉得
远程查看日志不方便,想在本 地机器中进行查看,这时你 可以将日志文件下载到本地硬盘。选中某个日志文件,然后点击“下载日志”按钮,在弹出的“文件下载”对话框中点击“保存”按钮并指定存放路径即可。
系统日志的价值
系统日志策略可以在故障刚刚发生时就向你发送
警告信息,系统日志帮助你在最短的时间内发现问题。
系统日志是一种非常关键的组件,因为系统日志可以让你充分了解自己的环境。这种系统日志信息对于决定故障的根本原因或者缩小
系统攻击范围来说是非常关键的,因为系统日志可以让你了解故障或者袭击发生之前的所有事件。为虚拟化环境制定一套良好的系统日志策略也是至关重要的,因为系统日志需要和许多不同的外部组件进行关联。良好的系统日志可以防止你从错误的角度分析问题,避免浪费宝贵的排错时间。另外一种原因是借助于系统日志,管理员很有可能会发现一些之前从未意识到的问题,在几乎所有刚刚部署系统日志的环境当中。
使用系统日志产品当中包含的其他特性,包括向监控团队自动发送报警通知等功能。系统日志基于警报类型或者准确的警报消息,系统日志可以通过触发特定操作来完成。系统日志通过简单地设定这些警报,你将会在自己的环境中处于更加主动的位置,因为你可以在事故变得更加严重之前得到通知。