激活Userenv.log和winlogon.log分析系统故障

客户机登陆域慢的原因可能会有许多,关于登陆域的问题,有1个log可以用来排错,Userenv.log,它位于%windir%\Debug\UserMode文件夹下面,需要在客户端上面增加一个注册表键值激活USERENV日志。

激活Userenv.log日志

启动注册表编辑器:

在 HKEY_LOCAL_MACHINE\Software\Microsoft\windowsNT\currentVersion\Winlogon

创建DWORD值:UserenvDebugLevel 

键值:0x00000000(表示禁用)

0x00000001(记录普通消息)

0x00000002(记录详细消息)

0x00010000(产生日志文件)

0x00020000(记录最详细的消息)

通常使用 0x00010002

默认值是 记录普通消息|产生日志文件 (0x00010001)。

注意:要禁用日志,请选择 禁用 值为 0X00000000)。 

您也可以将这些值组合起来。例如,将 记录详细消息 0x00000002 和 产生日志文件 0x00010000 组合起来,便可得到 0x00010002。因此,如果您将 UserEnvDebugLevel 的值设置为 0x00010002,将同时打开 产生日志文件 和 记录详细消息。将这些值组合起来与使用 OR 语句具有相同的效果: 

0x00010000 OR 0x00000002 = 0x00010002 

注意:如果设置了 UserEnvDebugLevel = 0x00030002,则会在 Userenv.log 文件中记录最为详细的信息。 

该日志文件会被写入 %Systemroot%\Debug\UserMode\Userenv.log 文件中。如果 Userenv.log 已存在并且大于 300 KB,则现有文件将重命名为 Userenv.bak,同时创建一个新的日志文件。Userenv.log,它位于%windir%\Debug\UserMode文件夹下面 

userenv格式说明

Userenv(178.17c) 13:48:51:089 MyRegUnLoadKey:Failed to unmount hive 000005

Userenv(178.17c):日志文件中的每一条表项都以USERENV开始。(178.17c)表示进程名代码.线程名代码。

13:47:51:表示处理时间

MyRegUnLoadKey:表示处理名称

Faild to unmount hiv 000005:表示处理事件简述。 

 

激活winlogon日志 

启动注册表编辑器: 

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

创建DWORD值:ExtensionDebugLevel

键值:2

Winlogon.log位于%Systemroot%\Security\Logs文件夹下面