系統日誌

查看系統日誌方法:開始→設置→控制面板→管理工具 中找到的“事件查看器”，或者在【開始】→【運行】→輸入 eventvwr.msc 也可以直接進入“事件查看器”在“事件查看器”當中的系統日誌中包含了windows XP 系統組建記錄的事件，在啓動過程中加載驅動程序和其他一些系統組建的成功與否都記錄在系統日誌當中。

例如可以利用eventlog事件來查看計算機開關機的記錄：

在【事件查看器】窗口，在左側的窗格當中選擇【系統】選項，單擊右鍵【屬性】菜單項

之後在彈出來的【屬性】對話框當中切換到【篩選】選項卡，在【事件來源】下拉列表框中找到“evenlog之後【確定】，此時就可以看見該事件的日誌信息了！

其中事件ID 6006 ID6005、 ID 6009就表示不同狀態的機器的情況（開關機）。

6005 信息 EventLog 事件日誌服務已啓動。(開機)

6006 信息 EventLog 事件日誌服務已停止。(關機)

6009 信息 EventLog 按ctrl、alt、delete鍵(非正常)關機

如何查看系統日誌(以windows2003server為例)

查看Windows2003系統日誌的辦法

Windows日誌文件記錄着Windows系統運行的每一個細節， 對Windows的穩定運行起着至關重要的作用。通過查看服務器中的Windows日誌，管理員可以及時找出服務器出現故障的原因。

一般情況下，網管都是在本地查看日誌記錄，由於局域網規模都比較大，因此網管不可能每天都呆在服務器旁。一旦遠離服務器，網管

就很難及時瞭解到服務器系統的運行狀況，維護工作便會受到影響。利用Windows Server 2003(簡稱Windows 2003)提供的Web訪問接口功能就可解決這個問題，讓網管能夠遠程查看Windows 2003服務器的日誌記錄。

遠程查看Windows 2003服務器的日誌記錄非常簡單。在遠程客户端(可採用Windows 98/2000/XP/2003系統)，運行IE瀏覽器， 在地址欄中輸入“https://Win2003服務器IP地址:8098”，如“https://192.168.0.1:8098”。在彈出的登錄對話框中輸入管理員的用户名和密碼，點擊“確定”按鈕即可登錄Web訪問接口管理界面。接着在“歡迎使用”界面中點擊“維護”鏈接，切換到“維護”管理頁面，然後點擊“日誌”鏈接，進入到日誌管理頁面。在日誌管理頁面中，管理員可以查看、下載或清除Windows 2003服務器日誌。

在日誌管理頁面中可列出Windows 2003服務器的所有日誌分類，如應用程序日誌、安全日誌、系統日誌、Web管理日誌等。

查看某類日誌記錄非常簡單，筆者以查看Web管理日誌為例，點擊“Web管理日誌”鏈接，進入日誌查看頁面，在日誌文件列表框中選中要查看的日誌文件，然後點擊右側的“查看日誌”按鈕，就能瀏覽Web管理日誌記錄中的詳細內容了。

清除某個日誌文件也很簡單，選中該日誌文件後，點擊“清除”按鈕即可。如果你覺得遠程查看日誌不方便，想在本 地機器中進行查看，這時你 可以將日誌文件下載到本地硬盤。選中某個日誌文件，然後點擊“下載日誌”按鈕，在彈出的“文件下載”對話框中點擊“保存”按鈕並指定存放路徑即可。 ^[1] 

系統日誌策略可以在故障剛剛發生時就向你發送警告信息，系統日誌幫助你在最短的時間內發現問題。

系統日誌是一種非常關鍵的組件，因為系統日誌可以讓你充分了解自己的環境。這種系統日誌信息對於決定故障的根本原因或者縮小系統攻擊範圍來説是非常關鍵的，因為系統日誌可以讓你瞭解故障或者襲擊發生之前的所有事件。為虛擬化環境制定一套良好的系統日誌策略也是至關重要的，因為系統日誌需要和許多不同的外部組件進行關聯。良好的系統日誌可以防止你從錯誤的角度分析問題，避免浪費寶貴的排錯時間。另外一種原因是藉助於系統日誌，管理員很有可能會發現一些之前從未意識到的問題，在幾乎所有剛剛部署系統日誌的環境當中。

使用系統日誌產品當中包含的其他特性，包括向監控團隊自動發送報警通知等功能。系統日誌基於警報類型或者準確的警報消息，系統日誌可以通過觸發特定操作來完成。系統日誌通過簡單地設定這些警報，你將會在自己的環境中處於更加主動的位置，因為你可以在事故變得更加嚴重之前得到通知。 ^[2]