windows服务器事件查看器 日志查看

介绍

事件查看器是Windows 操作系统工具，事件查看器记录着系统的日志，可以查看关于硬件、软件和系统问题的信息，也可以监视Windows 操作系统中的安全事件。是window服务器管理非常重要的工具，可以通过此工具排查问题。

打开方式：服务器管理器 -> 工具 -> 事件查看器

也可以直接window + s 搜索 事件查看器

以下演示均为 Windows Server 2016 版本

Windows 日志类型

在日志查看器中有自定义视图、Windows日志、应用程序和服务日志，我们常使用的是windows日志

 

window日志包含五种类型

 

•  应用程序：记录了系统程序运行时的事件，例如错误、崩溃等情况，包括安装的程序及系统自带的程序；
• 安全：记录了一些用户登录事件、文件的操作、进程创建等事件；
• 系统：系统层面的日志，包含了一些服务、进程池、系统组件、驱动等等事件；
• 设置：系统设置一些，包括系统更新等等

日志等级

在事件查看器中主要有五种日志等级，代表了不同的类型和严重程度

• 错误：重大问题，例如数据丢失或功能损失。例如，如果服务在启动期间无法加载，便会记录一个错误；
• 警告：不一定重要的事件也能指出潜在的问题。例如，如果磁盘空间低，便会记录一个警告；
• 信息：描述应用程序、驱动程序或服务是否操作成功的事件。例如，如果网络驱动程序成功加载，便会记录一个信息事件；
• 审核成功：接受审核且取得成功的安全访问尝试。例如，用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来；
• 审核失败：接受审核且未成功的安全访问尝试。例如，如果用户试图访问网络驱动器但未成功，该尝试将作为“失败审核”被记录下来；

通过日志等级可以很好的筛选出错误、警告、审核失败的日志，可以通过“筛选当前日志”来筛选

                

 

 

 事件ID

事件ID表示发生了什么事件，相同的事件的ID相同，下面列举常见的事件ID，方便大家排查

应用程序

• 1309 .net程序的异常

安全

• 4624 用户登录成功
• 4625 用户登录失败
• 4944-4958，5024-5037 防火墙相关的
• 5024 防火墙成功启动
• 5025 防火墙被关闭
• 5030 防火墙无法启动
• 4616 系统时间被修改

系统

• 1074 计算机的开机、关机、重启的时间以及原因和注释；
• 6005 日志服务正常启动
• 6006 日志服务器正常关闭
• 104 日志清除， 当有日志被清除时会记录此事件
• 5186 应用程序池因不活跃关闭进程
• 5074 应用程序池因到预定时间关闭进程