事件查看器

在 Windows XP 中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过 使用事件查看器中的事件日志，您可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统 问题的根源，还可以帮助您预测潜在的系统问题。

事件日志类型

基于 Windows XP 的计算机将事件记录在以下三种日志中：

• 应用程序日志

  应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。

• 安全日志

  安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除文件）。例如，在启用登录审核的情况下，每当用 户尝试登录到计算机上时，都会在安全日志中记录一个事件。您必须以 Administrator 或 Administrators 组成员的身份登录，才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。

• 系统日志

  系统日志包含 Windows XP 系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱动程序，则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记录的事件。

如何查看事件日志

要打开事件查看器，请按照下列步骤操作：

1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。
2. 在控制台树中，单击“事件查看器”。

   应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。

如何查看事件详细信息

要查看事件的详细信息，请按照下列步骤操作：

1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。
2. 在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。
3. 在详细信息窗格中，双击您要查看的事件。

   会显示“事件属性”对话框，其中包含事件的标题信息和描述。

   要复制事件的详细信息，请单击“复制”按钮，使用要在其中粘贴事件的程序（例如 Microsoft Word）打开一个新文档，然后单击“编辑”菜单上的“粘贴”。

   要查看上一个或下一个事件的描述，请单击上箭头或下箭头。

如何解释事件

每个日志项都按类型进行分类，并包含事件的标题信息和描述。

事件标题

事件标题包含以下关于事件的信息：

• 日期

  事件发生的日期。

• 时间

  事件发生的时间。

• 用户

  事件发生时已登录的用户的用户名。

• 计算机

  发生事件的计算机的名称。

• 事件 ID

  标识事件类型的事件编号。产品支持代表可以使用事件 ID 来帮助了解系统中发生的情况。

• 来源

  事件的来源。它可以是程序、系统组件或大型程序的单个组件的名称。

• 类型

  事件的类型。它可以是以下五种类型之一：错误、警告、信息、成功审核或失败审核。

• 类别

  按事件来源对事件进行的分类。它主要用于安全日志。

事件类型

所记录的每个事件的说明取决于事件类型。日志中的每个事件都可归类为以下类型之一：

• 信息

  描述任务（如应用程序、驱动程序或服务）成功运行的事件。例如，当网络驱动程序成功加载时将记录“信息”事件。

• 警告

  不一定重要但可能表明将来有可能出现问题的事件。例如，当磁盘空间快用完时将记录“警告”消息。

• 错误

  描述重要问题（如关键任务失败）的事件。“错误”事件可能涉及数据丢失或功能缺失。例如，当启动过程中无法加载服务时将记录“错误”事件。

• 成功审核（安全日志）

  描述成功完成受审核安全事件的事件。例如，当用户登录到计算机上时将记录“成功审核”事件。

• 失败审核（安全日志）

  描述未成功完成的受审核安全事件的事件。例如，当用户无法访问网络驱动器时可能记录“失败审核”事件。

如何在日志中查找事件

事件日志的默认视图将列出其所有项。如果您需要查找特定的事件或查看事件子集，则可以搜索日志，也可以对日志数据应用筛选器。

如何搜索特定的日志事件

要搜索特定的日志事件，请按照下列步骤操作：

1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。
2. 在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。
3. 在“查看”菜单上，单击“查找”。
4. 在“查找”对话框中指定您要查看的事件的选项，然后单击“查找下一个”。

将在详细信息窗格中突出显示满足搜索条件的事件。单击“查找下一个”可按照搜索条件的定义找到下一个事件匹配项。

如何筛选日志事件

要筛选日志事件，请按照下列步骤操作：

1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。
2. 在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。
3. 在“查看”菜单上，单击“筛选”。
4. 单击“筛选”选项卡（如果尚未选择它）。
5. 指定所需的筛选选项，然后单击“确定”。

详细信息窗格中将只显示满足筛选条件的事件。

要使视图重新显示所有日志项，请单击“查看”菜单上的“筛选”，然后单击“还原默认值”。

如何管理日志内容

默认情况下，日志的初始最大大小设置为 512 KB，当达到此大小时，新事件将根据需要覆盖旧事件。您可以根据需要更改这些设置或清除日志内容。

如何设置日志大小和覆盖选项

要指定日志大小和覆盖选项，请按照下列步骤操作：

1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。
2. 在控制台树中，展开“事件查看器”，然后右键单击要设置其大小和覆盖其选项的日志。
3. 在“日志大小”下的“日志大小上限”框中键入所需的大小。
4. 在“达到日志大小上限时”下，单击所需的覆盖选项。
5. 如果您要清除日志内容，请单击“清除日志”。
6. 单击“确定”。

如何将日志存档

如果您要保存日志数据，可以将事件日志存档为以下任何格式：

• 日志文件格式 (.evt)
• 文本文件格式 (.txt)
• 逗号分隔的文本文件格式 (.csv)

要将日志存档，请按照下列步骤操作：

1. 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的 MMC。
2. 在控制台树中，展开“事件查看器”，右键单击要将其存档的日志，然后单击“另存日志文件”。
3. 指定文件名和文件的保存位置。在“保存类型”框中，单击所需格式，然后单击“保存”。

将以指定的格式保存日志文件。