日志文件，它记录着Windows 及其各种服务运行的每个细节，对加强 Windows的稳定和安全性，起着十分 重要的作用。但许多用户不注意对它保护，一些“不速之客”很随便 就将日志文件清空，给系统带来严重的安全隐患。

一、什么是日志文件

日志文件是Windows 中一个比较特殊的文件，它记录着Windows 中所发作 的一切，如各种系统服务的启动、运行、关闭等信息。 Windows日志包括应用程序、安全、系统等几个部分，它的保存 路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件遭到 “Event Log(事情 记录)”服务的保护不能被删除，但可以被清空。

二、如何查看日志文件

在Windows 中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事情 查看器”，在事情 查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏当选 中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的一切 记录，双击其中某个记录，弹出“事情 属性”对话框，显示出该记录的详细信息，这样我们就能精确 的控制 系统中到底发作 了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。

三、Windows日志文件的保护

日志文件对我们如此重要，因而 不能无视 对它的保护，避免 发作 某些“不法之徒”将日志文件清洗一空的状况 。

1． 修改日志文件保存 目录

Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改动 它的存储目录，来加强 对日志的保护。

点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的 Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

笔者以应用程序日志为例，将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D 盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件保存 目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。

2． 设置文件访问权限

修改了日志文件的保存 目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，避免 这种事情发作 ，前提是Windows 要采用NTFS文件系统格式。

右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许未来 自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框当选 中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的一切 权限，最后点击“确定”按钮。这样当用户清空 Windows日志时，就会弹出错误对话框。

四、Windows日志实例剖析

在Windows日志中记录了很多操作事情 ，为了方.便 用户对它们的管理，每品种 型的事情 都赋予了一个唯一 的编号，这就是事情 ID。

1． 查看正常开关机记录

在Windows 中，我们可以通过事情 查看器的系统日志查看计算机的开、关机记录，这是由于 日志服务会随计算机一同 启动或关闭，并在日志中留下记录。这里我们要介绍两个事情 ID“6006和6005”。6005表示事情 日志服务已启动，假如 在事情 查看器中发现某日的事情 ID号为6005的事情 ，就说明在这天正常启动了Windows 。6006表示事情 日志服务已停止，假如 没有在事情 查看器中发现某日的事情 ID号为6006的事情 ，就表示计算机在这天没有正常关机，可能是由于 系统原因或者直接切断电源导致没有执行正常的关机操作。

2． 查看DHCP配置正告 信息

在范围 较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息，假如 客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在Windows日志中产生一个事情 ID号为1007的事情 。假如 用户在日志中发现该编号事情 ，说明该机器无法从DHCP服务器取得 信息，就要查看是该机器网络问题 还是DHCP服务器问题。