Windows 系统日志常用事件

常用事件：1074    6005    6006

事件1074：在系统的事件跟踪程序开启的情况下，可以通过这个事件查看计算机的开机、关机、重启的时间以及原因和注释。

在windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。

 

事件6005：表示计算机日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005，就说明这天正常启动了windows系统。

 

事件6006：表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID为6006的事件，就表示计算机在这天没关机或没有正常关机（可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作）。如果事件6005和6006的记录时间相差很短，大致可判断为重启（当然可以通过事件1074进行详细的查看）。

 

事件1007：表示该计算机无法从DHCP服务器获得相应的信息。在很多网络环境中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在windows日志中产生一个事件ID号为1007的事件。如果用户在事件日志中发现该编号事件，就说明该机器无法从DHCP服务器获得信息。就要查看是该机器的网络故障还是DHCP服务器的问题了。