Windows日志

本文参考了Windows自带的帮助文档。在Windows系统中（如Windows 7、Windoows Server 2008），有两个类别的事件日志：Windows日志、应用程序和服务日志。这里只讨论前者，后者貌似较少用到。

Windows日志

它包含五类：应用程序日志、安全日志、系统日志、安装程序日志（Setup）、转发事件日志（ForwardedEvents）。

1、应用程序日志

这是应用程序自己写的，应用程序开发人员决定了记录哪些事件。可以通过应用程序日志来查看应用程序的情况，如当尝试登陆SQLServer

时会有记录。下图分别是SQLServerAgent服务启动后记录的事件、数据据登陆失败的事件（当有不明IP多次尝试登陆失败时，应该就是受到了入侵）

 

 

 

2、安全日志

安全日志包含诸如有效和无效的登录事件。管理员中以指定在安全日志中记录什么事件，例如，如果已启用登录审核，则对系统的登录尝试将记录下来。

通过安全日志可以查看电脑是否受到了入侵，不过，好像有些入侵方式在这里没有记录。在服务器上，发现大量的登录失败的记录，就可以判定是受到

了入侵。下图是登录成功

 

 

 3、系统日志

 

主要记录系统组件的事件，即windows自已的一些事件，如计算机的开机、关机，一些服务的开启和关闭。通过系统日志可以定位电脑死机等原因。

前段时间就遭遇了服务器死机，远程登陆、FTP都登陆不了，但可以ping通。后来通过系统日志，发现是Windows自动更新后要求计算机重启，但

是却一直不能关机，关闭Windows自动更新就没事了。下图是计算机开机事件、windows自动更新后要求计算机重启。

 

 

 

 还有一次遇到同样的现象，无法远程、FTP，但可以ping通，查看系统日志，发现有两种告警"系统未能将数据转储到事务日志。可能出现损坏现象。"

"磁盘上的文件系统结构已损坏，不能使用。 请在卷 \Device\HarddiskVolume1 上运行 chkdsk 实用程序。"，这是硬盘出问题了，磁盘编号是从0

开始的，即C盘是HarddiskVolume0，所以HarddiskVolume1是D盘，一般非正常关机、中毒等原因导致磁盘出错，需要进行磁盘检查和修复。可以

在需要修复的磁盘上右键——属性，弹出下图，选择工具，开始检查，如果磁盘上正在文件，会有提示是否下次启动电脑时检查。其实这个操作对应的

CMD命令是chkdsk E: /R。参考 http://support.microsoft.com/kb/315265/zh-cn

4、安装程序日志（Setup）

会记录windows的更新，但普通应用程序的安装不会记录在这里。这类日志貌似较少用

 

5、转发事件日志（ForwardedEvents）

不了解，貌似较少用。