Windows 事件查看器（收集）

事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视

Windows 的安全事件

提示：除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外，也可以在“运行”对话框中

手工键入“％SystemRoot％＼system32＼eventvwr．msc /s”打开事件查看器窗口。

1． 应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序

日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么

我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

2． 安全性日志

记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其

他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员

可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响

应。

3． 系统日志

包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系

统日志中，默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件：6006，

如果你在某一天的事件查看器中没有发现ID为6006的事件，那么说明计算机在当天未正常关机，双击打开

“事件属性”窗口，如果看到手描述为“事件日志服务已停止”，说明这里的“时间”是指计算机正常关

机的时间。

如果机子被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志；如果机子被配置为域名系

统（DNS）服务器，那么还将记录DNS服务器日志。当启动Windows时，“事件日志”服务(EventLog)会自

动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。

小日志包含大信息

朋友们可千万别轻视这些枯燥的日志，其中可包含了很多非常有用的信息呢，如果你能仔细分析，肯定可

以在这里找到很多有用的信息，这样会有助于你解决系统错误。

1．信息：描述了应用程序、驱动程序或服务的成功操作的事件，例如当网络驱动程序加载成功时，将会

记录一个“信息”事件，图1所示的是趋势科技防毒精灵专业版被成功删除的事件，从这里可以看到事件

头包括日期、时间、用户、计算机机、事件ID、来源、类型、类别等信息，在“描述”列表框中则列出了

相应的说明和查看更多信息的链接地址，从这个链接地可以指向Microsoft的“统一资源定位器”(URL)地

址。大部分情况下，这一类的事件内容没有必要去逐项查看，除非你有某些特别的需要。

2． 成功审核：成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问

、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系

统都会被记录为“成功审核”事件


3． 失败审核：失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审

核事件记录下来。

4． 警告：虽然不是很重要，但是将来有可能导致问题的事件，这种情况下应该检查问题所在。例如，当

磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

5．错误：重要的问题，例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来，这种情况下有

必要检查系统。例如，图3所示的错误事件是服务器没有在限定的时间内用DCOM注册，点击描述中的链接

会自动转到相应的帮助页面，根据提示进行相应的操作即可，如果你有兴趣的话，可以好好研究这里的内

容，相信假以时日，你会成为一个DIYer的。

定期释放多余的日志

事实上，大部分时间记录下来的系统事件，都是一些流水账，随着时间的增加，系统日志的个头也会不断

膨胀，当达到事先设置的日志大小后，会停止记录新的事件，因此我们需要定期释放多余的日志。

选中需要清除的日志，然后从“操作”菜单中选择“清除所有事件”，此时会弹出图4所示的对话框询问

是需要将当前日志保存下来，选择“是”会在清除之前将日志保存下来，选择“否”将永久丢弃当前事件

记录，并开始记录新的事件。假如你觉得如果操作太繁琐的话，可以在活动日志的“属性”对话框中，选

择“不改写事件 (手动清除日志)”，可以看到默认设置的“最大日志文件大小”只有512KB

，我们可以根据实际情况重新设置这个值，以后当日志达到一定的大小或出现提示日志已满的信息时，系

统会自动清除日志；或者选择“按需要改写事件”，这样可以确保在日志写满时也能够将所有的新事件写

入日志，当然如此一来的话，新日志会自动覆盖旧日志。

不过，需要说明的，用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除

或改写事件日志。或者，你也可以进入\WINDOWS\ SYSTEM32\config\文件夹，其中以*.evt作为扩展名的

文件就是所谓的日志文件，AppEvent.evt即“应用程序”日志，SysEvent.evt即“系统”日志，

SecEvent.evt即“安全性”日志，直接在这里删除相应的文件就可以了，不过如果你使用的是 NTFS格式

的系统，在删除日志文件之前必须首先关闭事件检查器服务才行。

除了使用“事件查看器”管理事件日志外，我们也可以使用命令行工具来创建和查询事件日志，以及使程

序与特殊的日志事件关联，例如“Eventcreate.exe”可创建自定义的事件日志，“Eventquery.vbs”可

从一个或多个事件日志中列出事件和事件属性，“Eventtriggers.exe”可创建事件触发器，这样当特定

事件日志发生时将自动执行相应的程序，从而弥补了事件查看器无法实时跟踪可疑事件的不足，感兴趣的

朋友们不妨试试

由于最近需要查找SQL SERVER的问题，所以需要使用到windows 事件查看器。其中有些代码含义需要弄清楚，所以从网上收集了一些。以作记录：

ID	类型	来   源	代 表 的 意 义 举 例 解 释
2	信息	Serial	在验证 \Device\Serial1 是否确实是串行口时，系统检测到先进先出方式(fifo)。将使用该方式。
17	错误	W32Time	时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751)
20	警告	Print	已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e
26	信息	Application Popup	弹出应用程序: Rsaupd.exe - 无法找到组件: 没有找到 MFC71.DLL，因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。
29	错误	W32Time	时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间，但是，没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。NtpClient 没有准确时间的时间源。
35	信息	W32Time	时间服务现在用时间源 time.windows.com (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步 系统时间。
115	信息	SRService	系统还原监视在所有驱动器上启用。
116	信息	SRService	系统还原监视在所有驱动器上禁用。
1001	信息	Save Dump	计算机已经从检测错误后重新启动。检测错误: 0x4a4b4d53 (0xc000000e, 0x01d04bf0, 0x00000010, 0x0000029a)。 已将转储的数据保存在: C:\WINDOWS\Minidump\Mini052809-01.dmp。
1005	警告	Dhcp	您的计算机检测到网络地址为 00E04C47978D 的网卡的 IP 地址 192.168.1.100 已在网络上使用。 计算机会自动获取另一个地址。
3260	信息	Workstation	此计算机成功加入到 workgroup 'WORKGROUP'。
4202	信息	Tcpip	系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开， 而且网卡的网络配置已经释放。如果 网卡没有断开，这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。
4226	警告	Tcpip	TCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。
4377	信息	NtServicePack	Windows XP Hotfix KB873339 was installed.
6005	信息	EventLog	事件日志服务已启动。(开机)
6006	信息	EventLog	事件日志服务已停止。(关机)
6009	信息	EventLog	按ctrl、alt、delete键(非正常)关机
6011	信息	EventLog	此机器的 NetBIOS 名称和 DNS 主机名从MACHINENAME 更改为 AA。
7000	错误	Service Control Manager	由于下列错误，npkcrypt 服务启动失败:
7031	错误	Service Control Manager	Eset Service 服务意外地终止，这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行:重新启动服务。
7035	信息	Service Control Manager	xxx服务成功发送一个开始控件。
7036	信息	Service Control Manager	xxx服务处于运行或停止等状态。
8033	信息	BROWSER	由于主浏览器已经停止，浏览器在\Device\NetBT_Tcpip_{163DE7AB-92AE-499F-8340-B6358A4597CE} 网络上进行强制性的选举。
10000	错误	DCOM	无法启动 DCOM 服务器: {80EE4902-33A8-11D1-A213-0080C88593A5}。 错误:
15007	信息	HTTP	成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。
60054	信息	Setup	安装程序成功地完成了安装 Windows 内部版本2600。
64002	信息	Windows File Protection	试图在被保护的系统文件c:\windows\system32\quartz.dll 上进行文件替换。 为了维护系统稳定，这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497。
64008	警告	Windows File Protection	无法验证受保护的c:\windows\system32\quartz.dll 系统文件，原因是 Windows 文件保护中断。 请过一会儿使用SFC 工具验证该文件的完整性。