【Windows系统健康体检“医生”事件查看器】在Windows2000、Windows XP操作系统中有一位系统运行状况的忠实记录者,从开机、运行到关机过程中发生的每一个事件都将被记录下来,它就是“事件查看器” 。用户可以利用这个系统维护工具,收集有关硬件、软件、系统问题方面的信息,并监视系统安全事件,将系统和其他应用程序运行中错误或警告事件记录下来,便于诊断和纠正系统发生的错误和问题 。下面通过几个例子来讲解“事件查看器”的实际应用 。
使用事件查看器
有两种方法可以很快地打开事件查看器:
1.通过“我的电脑”打开 。右键单击“我的电脑”,选择“管理”,弹出“计算机管理”窗口,在“系统工具”标签下便是“事件查看器” 。
2.通过“控制面板”打开 。选择“开始/控制面板”,在“控制面板”窗口单击“管理工具”,在弹出窗口中双击“事件查看器”图标,便可打开“事件查看器”窗口 。
如图1所示便是事件查看器的系统日志信息 。
监视文件和文件夹的访问
在办公环境下,有时我们需了解计算机上其他用户是否访问了我们限制的文件或文件夹,这时候我们通过组策略配合,利用事件查看器在不影响用户正常使用的情况下,监控用户的访问情况 。选择“开始/控制面板/管理工具/本地安全设置/本地策略/审核策略”,在右边信息窗口中右键单击“审核对象访问”选择“安全性”,在“本地安全策略设置”中,单击所需的选项并确定 。接着在任务栏“开始”上点右键选择“资源管理器”,右键点击要审核的文件或文件夹,选择“属性” 。然后选择“安全/高级/审核/添加”,在“选择用户、计算机或组”对话框中,单击要审核操作的用户名或组名并确定即可 。
注意:必须作为管理员或管理组的成员登录才能设置文件和文件夹的审核,只有管理员才能使用“组策略”
监视系统开关机情况
当我们外出回来,有时我们需要了解计算机的开关情况以及是否正常开关机情况 。我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录 。主要是两个事件ID“6006和6005” 。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统 。6006表示事件日志服务已停止(图2),如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作 。
如果你是网络管理员,那么这些记录就更加的重要了,如果有意外的开关机操作,那么你的机器已被攻击的可能性就很大了 。
解决机器开机时的错误提示窗口
如果你最近安装或卸载了某些程序,或者是由于安全的原因关闭了某些服务,结果你发现每次开机都会弹出一个错误提示窗口,并提示“在系统启动时至少有一个服务或驱动程序产生错误 。详细信息,请使用事件查看器查看事件日志” 。这类问题一般是系统在加载相关服务时找不到服务程序而无法启动产生的,你可以使用事件查看器来查看具体是哪个服务启动时出现了问题,解决的办法通常有两种,一种是通过了解该服务是那哪些程序产生,不论这些服务是操作系统本身产生还是应用程序产生的,都可以通过卸载相关应用程序来解决 。另一个办法更简单直接到服务管理器中将相应的服务设置为“禁用”即可 。
分析死机故障原因
相对于Windows 98而言,Windows 2000和Windows XP均要稳定的多,是不容易发生死机现象的 。从理论上讲,纯32位的Windows 2000 是不会出现死机的,但是这仅仅是理论上的 。病毒、硬件和硬件驱动程序不匹配等原因将造成Windows 2000的崩溃 。当Windows 2000出现死机时,显示器屏幕将变为蓝色,然后出现死机故障提示信息 。通过事件查看能够发现问题的原因 。如果出现的硬件设备故障,可以通过重新安装硬件驱动或卸载硬件来解决,如果是软件故障可以卸相应的驱动程序,如果是警告显示磁盘驱动程序在几次重试后,只能读取或写入到某个扇区,十有八九是硬盘出问题了 。
推荐阅读
- “追捕”Windows XP的正常运行时间
- 处理win10提示“windows无法自动检测此网络的代理设置”的方法
- Windows操作系统加速安装经验谈
- Windows XP操作系统异常故障解决方法
- 为Windows操作系统配置多个网关
- 快速关机会导致Windows数据损坏吗?
- 保持Windows桌面整洁的一个好方法
- Windows开机启动项设置方法
- 秘密:创建Windows共享的方式
- 给操作系统排毒 WinXP另类垃圾的清理