介绍
事件查看器是Windows 操作系统工具,事件查看器记录着系统的日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。是window服务器管理非常重要的工具,可以通过此工具排查问题。
打开方式:服务器管理器 -> 工具 -> 事件查看器
也可以直接window + s 搜索 事件查看器
以下演示均为 Windows Server 2016 版本
Windows 日志类型
在日志查看器中有自定义视图、Windows日志、应用程序和服务日志,我们常使用的是windows日志
window日志包含五种类型
- 应用程序:记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序;
- 安全:记录了一些用户登录事件、文件的操作、进程创建等事件;
- 系统:系统层面的日志,包含了一些服务、进程池、系统组件、驱动等等事件;
- 设置:系统设置一些,包括系统更新等等
日志等级
在事件查看器中主要有五种日志等级,代表了不同的类型和严重程度
- 错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误;
- 警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告;
- 信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件;
- 审核成功:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来;
- 审核失败:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来;
通过日志等级可以很好的筛选出错误、警告、审核失败的日志,可以通过“筛选当前日志”来筛选
事件ID
事件ID表示发生了什么事件,相同的事件的ID相同,下面列举常见的事件ID,方便大家排查
应用程序
- 1309 .net程序的异常
安全
- 4624 用户登录成功
- 4625 用户登录失败
- 4944-4958,5024-5037 防火墙相关的
- 5024 防火墙成功启动
- 5025 防火墙被关闭
- 5030 防火墙无法启动
- 4616 系统时间被修改
系统
- 1074 计算机的开机、关机、重启的时间以及原因和注释;
- 6005 日志服务正常启动
- 6006 日志服务器正常关闭
- 104 日志清除, 当有日志被清除时会记录此事件
- 5186 应用程序池因不活跃关闭进程
- 5074 应用程序池因到预定时间关闭进程