第4章 系統事件日志管理

事件，記錄何時何地某個應用程序或者系統服務做了什么，以及操作的結果，可以詳細地反映出在某一時刻，Windows Server 2008在做什么，而且做的結果如何。管理員利用事件日志，可以分析當前系統存在哪些問題，以及哪些可能發生的問題，因此事件是管理員管理系統的利器。Windows Server 2008的事件查看器比以前的版本功能提高很多，例如支持事件訂閱以及時間任務相關聯等。

4.1 事件日志概述

事件可以反映出當前操作系統的工作狀態，以及即將或者可能發生的錯誤，管理員應該養成良好的習慣，經常查看日志，可以有效的避免突如其來的災難。

4.1.1 默認日志類型

默認情況下，Windows Server 2008存儲的日志類型包括Windows系統日志、服務器角色日志、應用程序和服務日志。其中，Windows系統日志是系統默認日志，包括應用程序、安全、安裝程序、系統和轉發的事件等5部分，服務器角色日志和應用程序日志則取決于當前服務器運行服務和應用程序。

1. 應用程序日志

應用程序日志包含由應用程序或系統程序記錄的事件。例如，數據庫程序可在應用程序日志中記錄文件錯誤。應用程序開發人員決定記錄哪些事件。

2. 安全日志

安全日志記錄諸如有效和無效的登錄嘗試等事件，以及記錄與資源使用相關的事件，如創建、打開或刪除文件或其他對象。例如，如果已啟用登錄審核，登錄系統的嘗試將記錄在安全日志中。

3. 系統日志

系統日志包含Windows系統組件記錄的事件。例如，在啟動過程中加載驅動程序或其他系統組件失敗將記錄在系統日志中。服務器預先確定由系統組件記錄的事件類型。

4. 安裝程序日志

安裝程序日志，記錄在系統安裝或者安裝微軟公司的產品時，產生的系列事件，如果安裝出現錯誤，可以使用此日志分析出現的問題。

5. 轉發的事件

轉發的事件，是當前計算機事件收集服務器，存儲其他計算機的事件。

6. 服務器角色日志和應用程序日志

（1）事件性質

應用程序和服務日志是一種新類別的事件日志。這些日志存儲來自單個應用程序或組件的事件，而非可能影響整個系統的事件。此類別的日志包括四個子類型：管理日志、操作日志、分析日志和調試日志。管理日志中的事件尤其受使用事件查看器解決問題的專業人士的關注。管理日志中的事件提供如何解決事件方案。

● 管理事件

這些事件主要以最終用戶、管理員和技術支持人員為目標。管理通道中的事件指示問題以及管理員可以操作的良好定義的解決方案。管理事件的示例之一是應用程序無法連接到打印機時所發生的事件。這些事件或者有詳細文檔記錄，或者有與其關聯的消息直接指導讀者糾正問題所必須做的事情。

● 操作事件

操作事件用于分析和診斷問題或發生的事件。這些事件可以用于基于問題或發生的事件觸發工具或任務。操作事件的示例之一是在從系統中添加或刪除打印機時所發生的事件。

● 分析事件

分析事件是大量發布的事件。這些事件描述程序操作并指示用戶干預所無法處理的問題。

● 調試事件

調試事件由開發人員用于解決其程序中的問題。

（2）日志類型

服務器角色日志和應用程序日志，取決于當前服務器運行服務和應用程序。例如運行Windows Server 2008操作系統且配置為域控制器的計算機，將增加其他日志以記錄發生的事件。

● 目錄服務日志

目錄服務日志包含Active Directory服務記錄的事件。例如，在目錄服務日志中記錄服務器和全局編錄間的連接問題。

● 文件復制服務日志

“文件復制”服務日志包含Windows文件復制服務記錄的事件。例如，在文件復制日志中，記錄著文件復制失敗和域控制器（利用關于系統卷更改的信息）更新時發生的事件。運行Windows并配置為域名系統（DNS）服務器的計算機在其他日志中記錄事件。

● DNS服務器日志

DNS服務器日志包含DNS服務記錄的日志。

4.1.2 事件信息

事件日志類似于日記，主要用于記錄某一系統事件發生的日期、時間等基本信息，事件是操作系統在某一時刻對某一系統資源或者網路資源發生的訪問操作，而記錄的一系列行為，該行為包含當前的日期、時間、用戶、計算機、來源、事件、類型、分類等信息。表4-1中顯示了事件的基本要素及描述。

4.1.3 事件類型

Windows操作系統中定義了6種事件類型，管理員可以根據關注的事件的性質篩選希望查看的事件。表4-2顯示了Windows系統定義的事件類型，及每個事件類型的具體含義。

4.1.4 啟動事件查看器

Windows Server 2008操作系統支持命令行模式和圖形模式啟動事件查看器。

1. 命令行模式啟動

事件查看器是MMC的一個管理單元，可用于瀏覽和管理事件日志。

第1步，選擇“開始”→“運行”命令，顯示“運行”對話框，在“打開”文本框中鍵入“eventvwr.msc”，如圖4-1所示。

第2步，單擊“確定”按鈕，顯示如圖4-2所示的“事件查看器”窗口。

2. 圖形模式啟動

選擇“開始”→“管理工具”→“事件查看器”選項，即可啟動事件查看器。

4.1.5 查看事件

啟動事件查看器后，即可瀏覽計算機產生的所有事件。

第1步，選擇“開始”→“管理工具”→“事件查看器”選項，打開“事件查看器”窗口，如圖4-3所示。

第2步，選擇“事件查看器”→“Windows日志”選項，即可查看日志匯總信息，如圖4-4所示。

第3步，選擇“事件查看器”→“Windows日志”→“應用程序”選項，即可查看應用程序日志，如圖4-5所示。在事件列表中選擇任何一個事件，在窗口下方顯示事件的詳細信息。

第4步，選擇“事件查看器”→“Windows日志”→“安全”選項，即可查看安全相關日志，如圖4-6所示。在事件列表中選擇任何一個事件，在窗口下方顯示事件的詳細信息。

第5步，選擇“事件查看器”→“Windows日志”→“應用程序”選項，即可查看應用程序相關日志，如圖4-7所示。在事件列表中選擇任何一個事件，在窗口下方顯示事件的詳細信息。