windows服务器事件查看器 日志查看

介绍

事件查看器是Windows 操作系统工具,事件查看器记录着系统的日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。是window服务器管理非常重要的工具,可以通过此工具排查问题。

打开方式:服务器管理器 -> 工具 -> 事件查看器

也可以直接window + s 搜索 事件查看器

以下演示均为 Windows Server 2016 版本

Windows 日志类型

在日志查看器中有自定义视图、Windows日志、应用程序和服务日志,我们常使用的是windows日志

 

window日志包含五种类型

 

  •  应用程序:记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序;
  • 安全:记录了一些用户登录事件、文件的操作、进程创建等事件;
  • 系统:系统层面的日志,包含了一些服务、进程池、系统组件、驱动等等事件;
  • 设置:系统设置一些,包括系统更新等等

日志等级

在事件查看器中主要有五种日志等级,代表了不同的类型和严重程度

  • 错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误;
  • 警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告;
  • 信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件;
  • 审核成功:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来;
  • 审核失败:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来;

通过日志等级可以很好的筛选出错误、警告、审核失败的日志,可以通过“筛选当前日志”来筛选

                

 

 

 事件ID

事件ID表示发生了什么事件,相同的事件的ID相同,下面列举常见的事件ID,方便大家排查

应用程序

  • 1309 .net程序的异常

安全

  • 4624 用户登录成功
  • 4625 用户登录失败
  • 4944-4958,5024-5037 防火墙相关的
  • 5024 防火墙成功启动
  • 5025 防火墙被关闭
  • 5030 防火墙无法启动
  • 4616 系统时间被修改

系统

  • 1074 计算机的开机、关机、重启的时间以及原因和注释;
  • 6005 日志服务正常启动
  • 6006 日志服务器正常关闭
  • 104 日志清除, 当有日志被清除时会记录此事件
  • 5186 应用程序池因不活跃关闭进程
  • 5074 应用程序池因到预定时间关闭进程

 

 

posted @ 2022-03-14 17:00  范斯  阅读(7630)  评论(0编辑  收藏  举报