windows系统日志分析windows2008系统的一个日志

系统日志的系统日志的价值

系统日志策略可以在故障刚刚发生时就向你发送警告信息，系统日志帮助你在最短的时间内发现问题。

系统日志是一种非常关键的组件，因为系统日志可以让你充分了解自己的环境。

这种系统日志信息对于决定故障的根本原因或者缩小系统攻击范围来说是非常关键的，因为系统日志可以让你了解故障或者袭击发生之前的所有事件。

为虚拟化环境制定一套良好的系统日志策略也是至关重要的，因为系统日志需要和许多不同的外部组件进行关联。

良好的系统日志可以防止你从错误的角度分析问题，避免浪费宝贵的排错时间。

另外一种原因是借助于系统日志，管理员很有可能会发现一些之前从未意识到的问题，在几乎所有刚刚部署系统日志的环境当中。

使用系统日志产品当中包含的其他特性，包括向监控团队自动发送报警通知等功能。

系统日志基于警报类型或者准确的警报消息，系统日志可以通过触发特定操作来完成。

系统日志通过简单地设定这些警报，你将会在自己的环境中处于更加主动的位置，因为你可以在事故变得更加严重之前得到通知。

windows系统日志是什么东西 可删除吗？

Windows日志文件记录着Windows系统运行的情况。

通过查看服务器中的Windows日志，你可以及时找出服务器出现故障的原因，简单的说就是记录系统做过的事，是可以删除的，对系统没有任何影响。

电脑系统日志怎么看？

时间：关了服务中的windows time服务

日志： 控制面板---管理工具--事件查看器。

蓝屏： 000A 说明：环境不正确（系统有问题）

windows系统日志怎么看

记录开机时间,看谁动了你的电脑2008-10-01 08:27经常感觉到自己的计算机突然就不太好用了，总怀疑别人在自己离开的时候，启动了电脑，并“祸害”一顿然后关机走人(旁白：设置一个口令就能解决，但都是乡里乡亲的，不太好意思，全靠自觉吧!)。

如果能知道自己电脑的开关机记录，那不就一清二楚了吗？下面我介绍两种方法，不用任何工具，一切手动完成，一般人我不告诉他哦！ 一天记录轻松看 如果你只是想查看一下，从昨天关机到今天开机之间有没有人使用我的计算机，那么使用“查日志”的方法就可以了。

在“开始”菜单的运行”中输入“wr.msc”，打开事件查看器，在左侧窗口中选择“系统”，从右侧系统事件中查找事件ID为6005、6006的事件（事件ID号为6005的事件表示事件日志服务已启动，即开机，同理事件ID：6006表示关机），它们对应的时间就分别是开机时间和关机时间 如果你觉得从这么多事件中找开关机事件太费事，你可以使用“筛选”来使内容简洁。

在事件查看器的“查看”菜单中选择“筛选”选项，在属性对话框中选择“筛选器”选项卡，并在其中勾选“信息”、“警告”、“错误”三项，在“事件来源”下拉列表中选择“eventlog”，单击“确定”按钮后，系统事件中的内容就少了很多，我们可以轻易找到最近的开关机时间。

如果你依旧觉得太费事，那只好使用必杀技了。

在“开始”菜单中的“运行”中输入“C:WINDOWSschedlgu.txt”，在打开的schedlgu.txt文件中有“任务计划程序服务”已启动于和“任务计划程序服务”已退出于的时间，分别对应着开机和关机时间，是不是很方便呢？ 天天备案也不难 如果你想每一次开关机都能清楚地记录在案，那可以用“脚本+批处理”的方法。

不过你要亲自动手了，我们使用“脚本+批处理”的方式来实现。

只需在开机、关机脚本上添加两个记录时间的批处理命令，让它们随系统启动或关闭记录当时的时间到C:aaa.txt文件中。

首先新建两个文本文档，分别用来记录开机和关机信息，输入以下的命令，然后另存为“.bat”文件就可以了。

其中开机批处理（start.bat）如下： @echo off >>c:aaa.txt echo ***开机记录*** >>c:aaa.txt echo. >>c:aaa.txt echo %date% %time:~0,-3% %username% >>c:aaa.txt echo. >>c:aaa.txt echo ************** >>c:aaa.txt echo. >>c:aaa.txt echo. 而关机批处理(shutdown.bat)命令只要把start.bat中的“***开机记录***”改为“***关机记录***”即可，其余不变。

将上面的两个批处理命令做好后，在“开始”菜单中的“运行”中输入gpedit.msc，打开组策略，依次找到“计算机配置→windows设置→脚本(启动和关机)”，双击“启动”，在属性对话框中单击“添加”按钮，并在“脚本名”一栏中填入“start.bat”的绝对路径，单击“确定”按钮（如图2）。

同理设置好关机脚本。

这样可以了，开关机做个实验，打开C:aaa.txt文件，是不是记录了你刚才的关机和开机时间呢？

如何对windows系统日志分析

您好，很高兴为您解答。

一、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。

1． 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。

点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

笔者以应用程序日志为例，将其转移到“d:e”目录下。

选中Application子项，在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“eAppEvent.Evt”。

接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。

其它类型日志文件路径修改方法相同，只是在不同的子项下操作，或建立一系列深目录以存放新日志文件，如D:1234567，起名的原则就是要“越不起眼，越好”。

　 2． 设置文件访问权限 修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。

右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。

接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。

这样当用户清除Windows日志时，就会弹出错误对话框。

二、Windows日志实例分析 在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。

1． 查看正常开关机记录 在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。

这里我们要介绍两个事件ID“6006和6005”。

6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。

6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。

2． 查看DHCP配置警告信息 在规模较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在Windows日志中产生一个事件ID号为1007的事件。

如果用户在日志中发现该编号事件，说明该机器无法从DHCP服务器获得信息，就要查看是该机器网络故障还是DHCP服务器问题。

如若满意，请点击右侧【采纳答案】，如若还有问题，请点击【追问】 希望我的回答对您有所帮助，望采纳！ ~ O(∩_∩)O~

windows2008系统的一个日志

Windows Server 2008横空出世！释放服务器无限潜能! 试想一下，一台世界级企业服务器；其中加入了能增加正常运行时间、抵御侵害、实现管理系统自动化等创新功的能，将会是何种情形？这就意味着您将获得超人般的可靠性，释放了您现有的、甚至计划所拥有的，各种服务器的全部潜能！ 稳定性 Windows Server 2008拥有坚实的双腿,承担海量任务,一样轻松自如 安全性 Windows Server 2008全新安全特性积极保护您的数据 可管理性 变化随时出现,服务器应该足够灵活和创新,以便能迅速管理动态更新 Web 带给您高安全性和高可靠性的网络体验 数据安全是任何数据服务解决方案中的一个关键要求，而Windows Server 2008和SQL Server 2008结合起来，通过一个基于加密技术的强大集合提供了一个端对端数据保护。

　　Windows Server 2008依靠内置的IP安全(IPSec)支持，通过网络连接提供加密数据转移。

　　Windows Server 2008提供了一个增强的IPSec执行，这简化了配置和降低了管理费用。

　　NTFS： 　　NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。

　　为什么应用NTFS呢？ 　　压缩功能：包括压缩或解压缩驱动器、文件夹或者特定文件的功能。

　　文件加密：它极大地增强了安全性。

　　更好的伸缩性：划分NTFS 分区要比 FAT 分区大得多，当分区大小增加时，NTFS 的性能并不会降低，而在此情形下 FAT 的性能会降低。

　　恢复磁盘活动的日志记录;它允许 NTFS 在断电或发生其他系统问题时尽快地恢复信息。

　　安装域控制器和 Active Directory 需要使用 NTFS。

　　远程存储：使可移动媒体(如磁带)更易访问，从而扩展了磁盘空间。

　　磁盘配额：可用来监视和控制单个用户使用的磁盘空间量。

　　Windows Server 2008，支持事务的NTFS，它可让NTFS文件系统中的所有操作控制在一个事务中，通过新的内核事务管理器，允许操作系统服务加入到一个事务中。

　　Server 2008 FILESTREAM 数据类型使大型的二进制数据，像文档和图片等可以直接存储到一个NTFS文件系统中;文档和图片仍然是数据库的主要组成部分，并维护事务的一致性。

　　FILESTREAM 使传统的由数据库管理的大型二进制数据可以作为单独的文件存储在数据库之外，它们可以通过使用一个NTFS流API进行访问。

使用NTFS流API使普通文件操作可以有效的执行，同时提供所有丰富的数据库服务，包括安全和备份。

　　事务的NTFS也能够和MS DTC（Distributed Transaction Center）通讯。

如此，可以使应用程序由数据库调用组成，也包括文件系统的操作（比如文档管理系统）。

该事务功能基于SMB 2.0（服务器消息模块）协议建立，因此可以将一个分布式的文件操作包含到一个事务中。

　　TDE： 　　SQL Server 2008中的透明数据加密(TDE)，可以选择同SQL Server 2005中一样使用单元级的加密，或者是使用TDE进行完全数据库级加密、或者是由Windows提供的文件级加密。

　　它旨在为整个数据库提供静态保护而不影响现有的应用程序。

对数据库进行加密，传统上都会涉及复杂的应用程序改动，例如修改表schemas、删除函数和明显的性能下降。

　　TDE简单地加密了所有东西，所有的数据类型、键、索引，等等这些可以完全使用而不必牺牲安全或泄漏磁盘上的信息。

　　TDE是文件级的，它和两个Windows特性类似：文件加密系统(EFS)和驱动盘加密。

　　TDE没有替代单元级加密、EFS或BitLocker。

TDE适用于大量加密，它可以满足调整遵从性或公共数据安全标准。

　　TDE在数据文件或备份文件会被访问和拷贝时保护数据。

当对硬件安全模块的支持和它结合起来，TDE就提供了一个有效的保护存储在桌上电脑中数据库里的数据的方法。

此加密确保了当计算机丢失或被盗时，如果没有相应的安全硬件模块，就打不开数据库。

为了更好的保护数据，Windows Server 2008提供了增强的Microsoft BitLocker驱动加密技术，可以使用它来加密计算机里所有的硬件磁盘。