Windows XP 事件查看器你用好了吗?
2006-07-02 21:51:45 来源:WEB开发网4. 警告:虽然不是很重要,但是将来有可能导致问题的事件,这种情况下应该检查问题所在。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
5. 错误:重要的问题,例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来,这种情况下有必要检查系统。例如,图3所示的错误事件是服务器没有在限定的时间内用DCOM注册,点击描述中的链接会自动转到相应的帮助页面,根据提示进行相应的操作即可,如果你有兴趣的话,可以好好研究这里的内容,相信假以时日,你会成为一个DIYer的。
图3定期释放多余的日志
事实上,大部分时间记录下来的系统事件,都是一些流水账,随着时间的增加,系统日志的个头也会不断膨胀,当达到事先设置的日志大小后,会停止记录新的事件,因此我们需要定期释放多余的日志。
选中需要清除的日志,然后从“操作”菜单中选择“清除所有事件”,此时会弹出图4所示的对话框询问是需要将当前日志保存下来,选择“是”会在清除之前将日志保存下来,选择“否”将永久丢弃当前事件记录,并开始记录新的事件。假如你觉得如果操作太繁琐的话,可以在活动日志的“属性”对话框中,选择“不改写事件(手动清除日志)”,如图5所示,可以看到默认设置的“最大日志文件大小”只有512KB,我们可以根据实际情况重新设置这个值,以后当日志达到一定的大小或出现提示日志已满的信息时,系统会自动清除日志;或者选择“按需要改写事件”,这样可以确保在日志写满时也能够将所有的新事件写入日志,当然如此一来的话,新日志会自动覆盖旧日志。
图4图5不过,需要说明的,用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除或改写事件日志。或者,你也可以进入\WINDOWS\ SYSTEM32\config\文件夹,其中以*.evt作为扩展名的文件就是所谓的日志文件,AppEvent.evt即“应用程序”日志,SysEvent.evt即“系统”日志,SecEvent.evt即“安全性”日志,直接在这里删除相应的文件就可以了,不过如果你使用的是NTFS格式的系统,在删除日志文件之前必须首先关闭事件检查器服务才行。
除了使用“事件查看器”管理事件日志外,我们也可以使用命令行工具来创建和查询事件日志,以及使程序与特殊的日志事件关联,例如“Eventcreate.exe”可创建自定义的事件日志,“Eventquery.vbs”可从一个或多个事件日志中列出事件和事件属性,“Eventtriggers.exe”可创建事件触发器,这样当特定事件日志发生时将自动执行相应的程序,从而弥补了事件查看器无法实时跟踪可疑事件的不足,感兴趣的朋友们不妨试试。
更多精彩
赞助商链接