Windows 事件查看器(Event Viewer) 检查日志的方法
Windows 事件查看器(Event Viewer) 检查日志的方法
【来源:小鸟云计算】
Ps.小鸟云,国内专业的云计算服务商
Windows 系统下用户有时会遇到主机自动重启,资源异常,应用程序错误等现象,可以使用操作系统自带的事件查看器检查对应的事件进行排查。
事件查看器
点击“计算机”—右键“管理”–打开服务器管理—诊断—事件查看器—windows 日志;如下
Windows日志
Windows日志中比较常查看的有系统日志、应用程序、安全日志这三个日志内容;
系统日志:一般记录系统异常引起的事件。比如系统更新,内存资源不足等,在系统日志中都可以查看到。带有“!”标示的是警告,一般不会严重影响使用,但比如“内存资源不足”等事件,多次警告,可能会导致主机卡慢或假死的
现象;
2.应用程序:一般记录服务器上安装的一些应用程序或系统默认程序的事件。比如您的主机安装的站点服务,mysql ,PHP ,IIS 等相关的应用程序的事件记录;如
3.安全日志:一般记录服务器的登陆信息,或一些策略的审核事件;比如远程登录,如果是正常的登陆,会显示审核成功,如果是异常的,比如密码错误等,就会提示“审核失败”比如:
应用程序和服务日志
该路径包含Windows系统其它各类重要服务组件的事件日志。例如,在路径Microsoft -> Windows ->TerminalServices-LocalSessionManager 的Operational 日志中记录了用户远程桌面的访问日志,可以通过该日志定位远程登录的相关问题。
windows系统日志与入侵检测详解-电脑教程
windows系统日志与入侵检测详解 -电脑教程.txt我很想知道,多少人分开了,还是深爱着?、自己哭自己笑自己看着自己闹 . 你用隐身来躲避我丶我用隐身来成全你!待到一日权在手 , 杀尽天下负我 狗 .windows 系统日志与入侵检测详解 - 电脑教程 系统日志源自航海日志:当人们出海远行地时候,总是要做好航海日志,以便为以后地工作做出依据?日志文件作为微软 Windows系列操作系统中地一个比较特殊地文件,在安全方面 具有无可替代地价值 . 日志每天为我们忠实地记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在地系统入侵作出记录和预测,但遗憾地是目前绝大多数地人都忽略了它地存在?反而是因为黑客们光临才会使我们想起这个重要地系统日志文件? 7.1日志文件地特殊性 要了解日志文件,首先就要从它地特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改?我们不能用针对普通 TXT文件地编辑方法来编辑它 例如 WPS系列、Word系列、写字板、Edit等等,都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作 , 否则系统就会很不客气告诉你:访问被拒绝? 当然 , 在纯DOS地状态下,可以对它进行一些常规操作(例如 Win98状态下 >,但是你很快就会发现,你地 修改根本就无济于事 , 当重新启动 Windows 98 时 , 系统将会自动检查这个特殊地文本文件 , 若不存在就会自动产生一个;若存在地话,将向该文本追加日志记录? b5E2RGbCAP 7.1.1黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了,包括日志文件?但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己地入侵踪迹,就必须对日志进行修改 . 最简单地方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己,网络上有很多专门进行此类 功能地程序,例如Zap、Wipe等.p1EanqFDPw 7.1.2Windows 系列日志系统简介 1.Windows 98 地日志文件 因目前绝大多数地用户还是使用地操作系统是 Windows 98,所以本节先从 Windows 98 地日志文件讲起 .Windows 98 下地普通用户无需使用系统日志,除非有特殊用途,例如,利用 Windows 98建立个人 Web服务器时,就会需要启用系统日志来作为服务器安全方面地参考,当已利用 Windows 98 建立个人 Web 服务器地用户,可以进行下列操作来启用日志功能 . DXDiTa9E3d (1>在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关地网络协议,并添加“个人 Web服务器”地情况下>.RTCrpUDGiT (2> 在“管理”选项卡中单击“管理”按钮; (3>在“In ternet 服务管理员”页中单击“ WW管理”;
windows照片查看器无法打开此图片
解决“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。” 提示:jpg文件没有问题,win7照片查看器原来可以打开jpg图片,现在却不能打开。jpg文件已真的损坏不在此文讨论之列。 网上有很多人都遇到过这个问题,有人提出修改文件类型关联,这个太小儿科了,大多数人提出的方法是用其他的软件看图,其实是回避了这个问题。有人提出是联网的问题,也有人说通过修改环境变量来解决这个问题,但是并不是能解决所有人的问题。看来大家见到的错误提示是一样的,但是原因不同。通过自己认真检查和实践,终于解决了这个问题,希望能给有相同原因的朋友一个正确的解决方法。 我的情况是这样的:(很多人没有将自己的情况描述清楚) 开机后,还未连上网络的情况下,用照片查看器无法打开任何jpg图片,出现提示“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。”其实jpg文件没有任何问题,用其他的软件照样可以看的。 在获取IP地址后,可以上网了,再用照片查看器就可以打开之前无法打开的jpg图片了。此时再次断网,用照片查看器仍可以正常看jpg图片。似乎照片查看器要在开机后联网进行某种注册,完成这个动作后就可以正常工作了,也不在乎网络的存在了。 (回想起来,之前我的本本所带的Ms office试用版在不上网的情况下也无法打开任何word、excel文件,后来就卸载了MS office,改用WPS。) 我安装的MS visio2010也出现同样的问题,开机后,还未连上网络的情况下,无法打开之前所作的任何vsd文件。联网之后就可以正常使用了。 我的电脑情况是这样的: 系统:win7pro32bits 本本:i7-2620m,8G RAM,其中系统无法使用的4G多RAM做了虚拟硬盘G:,为了减少对SSD硬盘的写入,将临时文件都放入RAMDISK g:中,在环境变量中修改参数。 环境变量: 用户变量(U) TEMP g:\AppData\Local\Temp TMP g:\AppData\Local\Temp 系统变量(S) TEMP g:\TEMP TMP g:\TEMP 通过认真检查发现,在开机之后,还未联网的情况下,G:盘上只有g:\TEMP,没有g:\AppData\Local\Temp这个文件夹,联网之后才出现这个文件夹。于是将用户变量做以下修改: TEMP g:\Temp TMP g:\Temp 拔掉网线,关机,开机,在不联网的情况下可以用照片查看器打开jpg图片,也可以用visio打开vsd文件了。问题解决! 环境变量的设置方法:计算机→右键→属性→高级系统设置→环境变量
事件查看器如何使用
一、事件查看器相关知识 1.事件查看器 事件查看器是 Microsoft 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视操作系统中的安全事件。有三种方式来打开事件查看器: (1)单击开始-设置-控制面板-管理工具-事件查看器,打开事件查看器窗口 (2)在运行对话框中手工键入%SystemRoot%system32eventvwr.msc /s打开事件查看器窗口。 (3)在运行中直接输入eventvwr或者eventvwr.msc直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。 (3)系统日志 包含 XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动时,事件日志服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了操作系统对事件的分类。事件查看器显示如下类型的事件:
系统安全防范之Windows日志与入侵检测
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
Windows日志文件解读
Windows日志文件完全解读 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows 的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1.修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。 2.设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1.查看正常开关机记录
Windows日志文件全解读
一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项
事件查看器对应解释
Windows2003 事件查看器事件ID对应解释 使用本模块可以实现下列目标: ?识别由Microsoft? Windows Server? 2003 操作系统生成的安全事件。 返回顶部 适用范围 本模块适用于下列产品和技术: ?W indows Server 2003 返回顶部 如何使用本模块 本模块是“Windows Server 2003 安全指南”的补充内容。本模块中的表可以用作快速参考,以帮助您识别在Microsoft? Windows 操作系统事件日志中所记录的与安全有关的事件。本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。 返回顶部 帐户登录事件 表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 表1:审核帐户登录事件 事件 事件描述 ID 672 已成功颁发和验证身份验证服务(AS) 票证。 673 授权票证服务(TGS) 票证已授权。TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 674 安全主体已更新AS 票证或TGS 票证。 675 预身份验证失败。用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。 676 身份验证票证请求失败。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 677 TGS 票证未被授权。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 678 帐户已成功映射到域帐户。 681 登录失败。尝试进行域帐户登录。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 682 用户已重新连接至已断开的终端服务器会话。 683 用户未注销就断开终端服务器会话。
详述Windows 2000 系统日志及删除方法
详述Windows 2000 系统日志及删除方法.txt两个人吵架,先说对不起的人,并不是认输了,并不是原谅了。他只是比对方更珍惜这份感情。Windows 2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config, 默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 Scheduler服务日志默认位置:%systemroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
巧用事件查看器维护服务器安全
巧用事件查看器维护服务器安全 (一)事件查看器相关知识 事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人 员维护系统有一定的借鉴和参考。 (一)事件查看器相关知识 1.事件查看器 事件查看器是Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查 看器: (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口 (2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。 (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响 应。 (3)系统日志 包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了Windows 操作系统对事件的分 类。事件查看器显示如下类型的事件:
事件查看器事件处理集
事件查看器事件处理集 打开事件查看器,发现里面有如下的系统错误日志: DCOM 遇到错误“无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动。”,试图以参数“”启动服务StiSvc 以运行服务器: {A1F4E726-8CF1-11D1-BF92-0060081ED811} 这个日志已经告诉我们了,错误就出在DCOM的权限上。原来以WindowsForm或在VS2005中的Web项目运行的时候,调用这个DCOM的是当前操作用户的权限,所以一般也没有问题,但是用IIS调用的时候就涉及到用户IUSR_××××,IWAM_×××,Network Service 等用户权限,由于这些用户的权限在各个配置中都比较低,所以造成如文件不能写入,DCOM 不能调用等错误。 我们这儿的解决办法其实也不复杂,到注册表中搜索提示的{******-*****}这个ID,可以找到这个DCOM的名字,然后运行中输入dcomcnfg打开组件服务,然后找到这个DCOM和相关调用的DCOM,将其权限中添加Network Service,把这个用户权限什么远程启动,远程激活之类的都打开。然后记住一定要重启机器,这样我们就可以在IIS中调用DCOM了。 错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。”,试图以参数“”启动服务SENS 以运行服务器: Windows2000+SP4环境,系统做过优化,有时候发现系统在无操作的时候磁盘在读盘.于是查询系统日志,有以下信息 1.错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。”,试图以参数“”启动服务SENS 以运行服务器: {D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E} 2.错误ID:10005,错误信息:DCOM 遇到错误“依存服务或组无法启动。”,试图以参数“”启动服务BITS 以运行服务器: {4991D34B-80A1-4291-83B6-3328366B9097} 因为本身系统服务做过优化,所以从服务出手,但是该动的服务太多了,不知道哪个是哪个了,于是驱猫上网搜索资料,终于找到原因. SENS(System Event Notification Services ),BITS(Background Intelligent Transfer Service)服务被我设置成禁止了,如果把这两个服务改回到自动状态,就没有这个问题了。ps:这2个系统服务都有依存关系的服务,如果发现无法启动这个服务要去检查是不是依存的服务也被你关闭了哦~
Evtsys--轻松将Windows日志转换为SYSLOG
Evtsys--轻松将Windows日志转换为SYSLOG 们知道,无论是Unix、Linux、FreeBSD、Ubuntu,还是路由器、交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉,如果您还不了解SYSLOG,请登录百度或Google查询。 很多时候,我们需要对日志进行集中化管理,如各种操作系统、网络设备、安全设备,甚至应用系统、业务系统等,但是不知道你注意看上文了没:Windows的应用、安全、系统日志怎么办? Windows操作系统本身是可以产生很多日志的,如每次插拔U盘、服务的重启等,都会产生日志,这些信息会记录在操作系统中,如果我们想集中管理,怎么办?Windows操作系统本身并不支持把日志发送到SYSLOG服务器去 还好,我们有Evtsys。什么是Evtsys呢?如果你想下载Evtsys,请登录https://www.360docs.net/doc/966151352.html,/p/eventlog-to-syslog/ 查看并获取最新更新。值得称道的是,程序仅仅有几十KB大小! 下载Evtsys后,将其复制到系统目录,XP下是Windows\system32目录。然后在CMD下执行: evtsys.exe -i -h 192.168.1.101 -p 514 这个是标准格式,亦可精简为: evtsys -i -h 192.168.1.101 参数说明: i是安装成Window服务; h是syslog服务器地址; p是syslog服务器的接收端口。 默认下,端口可以省略,默认是514. 启动Evtsys服务,命令是: net start evtsys 查看Windows的“服务”,发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”,并且已经启动。
win10图片打开方式里没有默认照片查看器的解决方法
Win10怎么把图片打开方式恢复默认照片查看器方法二: Win10怎么把图片打开方式恢复默认照片查看器?想必大家已经将自己电脑上的系统升级为Win10系统了。在Win10系统中有一个最不方便的地方就是图片的打开方式为全新的应用,如果想恢复传统的照片查看器该怎么操作呢?全新安装Win10的用户一般会遇到这个问题,而从Win7/Win8/Win8.1旧版本系统升级到Windows10正式版的用户一般不会遇到。 1、首先,我们需要使用注册表编辑器来开启Win10系统照片查看器功能,因为其实这个功能是被隐藏了,那么按下Windows徽标键+R键,打开运行命令窗口,输入“regedit”命令。
2、打开注册表编辑器之后,我们双击左侧的目录,依次打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft目录,如下图所示。
3、在Microsoft目录下,我们需要找到 Windows Photo Viewer\Capabilities\FileAssociations目录项,直到看到该子目录下的一系列关键文件。
4、在FileAssociations目录下,我们对着该界面击右键,选择“新建-字符串值”菜单,如下图所示。
5、接下来就是比较关键的步骤了,如果你想要打开.jpg后缀的文件,那么数值名称要写为.jpg,数值数据写为“PhotoViewer.FileAssoc.Tiff”,如下图所示,然后点击“确定”按钮。 6、接下来,如果你想要使用Windows照片查看器查看.png后缀的文件,那么数值名称写为.png,数值数据还是为PhotoViewer.FileAssoc.Tiff。换句话说,只要你想更改任何格式的图片文件打开方式,那么数值名称就是.格式名称,数值数据一直为PhotoViewer.FileAssoc.Tiff。
Windows事件查看器事件代码详解
0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足,无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不足,无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20 系统找不到指定的设备。 21 设备未就绪。 22 设备不识别此命令。 23 数据错误(循环冗余检查)。 24 程序发出命令,但命令长度不正确。 25 驱动器找不到磁盘上特定区域或磁道。 26 无法访问指定的磁盘或软盘。 27 驱动器找不到请求的扇区。 28 打印机缺纸。 29 系统无法写入指定的设备。 30 系统无法从指定的设备上读取。 31 连到系统上的设备没有发挥作用。 32 另一个程序正在使用此文件,进程无法访问。 33 另一个程序已锁定文件的一部分,进程无法访问。 36 用来共享的打开文件过多。 38 已到文件结尾。 39 磁盘已满。 50 不支持请求。 51 Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。如果 Windows 仍然无法找到网络路径,请与网络管理员联系。 52 由于网络上有重名,没有连接。请到“控制面板”中的“系统”更改计算机名,然后重试。 53 找不到网络路径。 54 网络很忙。
55 指定的网络资源或设备不再可用。 56 已达到网络 BIOS 命令限制。 57 网络适配器硬件出错。 58 指定的服务器无法运行请求的操作。 59 出现了意外的网络错误。 60 远程适配器不兼容。 61 打印机队列已满。 62 服务器上没有储存等待打印的文件的空间。 63 已删除等候打印的文件。 64 指定的网络名不再可用。 65 拒绝网络访问。 66 网络资源类型不对。 67 找不到网络名。 68 超出本地计算机网络适配器卡的名称限制。 69 超出了网络 BIOS 会话限制。 70 远程服务器已暂停,或正在启动过程中。 71 已达到计算机的连接数最大值,无法再同此远程计算机连接。 72 已暂停指定的打印机或磁盘设备。 80 文件存在。 82 无法创建目录或文件。 83 INT 24 上的故障。 84 无法取得处理此请求的存储空间。 85 本地设备名已在使用中。 86 指定的网络密码不正确。 87 参数不正确。 88 网络上发生写入错误。 89 系统无法在此时启动另一个进程。 100 无法创建另一个系统信号灯。 101 另一个进程拥有独占的信号灯。 102 已设置信号灯,无法关闭。 103 无法再设置信号灯。 104 无法在中断时请求独占的信号灯。 105 此信号灯的前一个所有权已结束。 107 由于没有插入另一个软盘,程序停止。 108 磁盘在使用中,或被另一个进程锁定。 109 管道已结束。 110 系统无法打开指定的设备或文件。 111 文件名太长。 112 磁盘空间不足。 113 没有更多的内部文件标识符。 114 目标内部文件标识符不正确。 117 应用程序发出的 IOCTL 调用不正确。 118 验证写入的切换参数值不正确。 119 系统不支持请求的命令。
windows 日志文件详解
以WINDOWS2000为例! Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至饔捌舳毙枰猰svcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT 系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT 应用程序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志 Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent FTP和WWW日志详解: FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例: #Software: Microsoft Internet Information Services 5.0 (微软IIS5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录)0318 127.0.0.1 [1]PASS – 530 (登录失败) 032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06 127.0.0.1 [1]PASS – 530 (登录失败) 032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录) 0322 127.0.0.1 [1]PASS – 530 (登录失败) 0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录)
Windows 事件查看器
在Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,您可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助您预测潜在的系统问题。 事件日志类型 基于Windows XP 的计算机将事件记录在以下三种日志中: 应用程序日志 应用程序日志包含由程序记录的事件。例如,数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。 安全日志 安全日志记录有效和无效的登录尝试等事件,以及与资源使用有关的事件(如创建、打开或删除文件)。例如,在启用登录审核的情况下,每当用户尝试登录到计算机上时,都会在安全日志中记录一个事件。您必须以Administrator 或Administrators 组成员的身份登录,才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。 系统日志 系统日志包含Windows XP 系统组件所记录的事件。例如,如果在启动过程中未能加载某个驱动程序,则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记录的事件。 如何查看事件日志 要打开事件查看器,请按照下列步骤操作: 单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。或者,打开包含事件查看器管理单元的MMC。 在控制台树中,单击“事件查看器”。 应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。 如何查看事件详细信息 要查看事件的详细信息,请按照下列步骤操作: 单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。或者,打开包含事件查看器管理单元的MMC。 在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。 在详细信息窗格中,双击您要查看的事件。 会显示“事件属性”对话框,其中包含事件的标题信息和描述。 要复制事件的详细信息,请单击“复制”按钮,使用要在其中粘贴事件的程序(例如Microsoft Word)打开一个新文档,然后单击“编辑”菜单上的“粘贴”。 要查看上一个或下一个事件的描述,请单击上箭头或下箭头。 回到顶端
解决windows照片查看其无法打开此图片
【解决】Windows 照片查看器无法打开此图片.因为此文件可能已损坏.损毁或过大【问题】 (2011-03-30 23:09:59) 转载▼ 很多人问环境变量在那设置:右击"我的电脑"--高级--环境变量里面有用户变量和系统变量 windows7 右击“计算机”--点击【高级系统设置】--高级-环境变量! 前些几天用电脑出现了如下的问题: Windows 照片查看器无法打开此图片.因为此文件可能已损坏.损毁或过大 当然照片本身没有任何问题!而且可以在幻灯片模式下进行查看(就是中间那个小按钮)为了让大家看清楚,我特意又重新修改了一些东西,截下了这张图,相信有不少人遇到过这个问题!之前我遇到这个问题的时候,本着有事上百度的原则,发现了好多人出现过这个问题,可是到目前为止网上还没出现任何真正解决这个问题的办法~很多人建议使用其他的软件之类的,但是于我们来讲出现了问题不去解决总是不舒服的,至少就为曾经的困惑以及到现在依然存在的困惑,也应该去解决它,是不? 那么下面就由我全互联网首创解决此问题! 先说下我出现这个问题的当时环境,我是突然出现的,照片查看器就不可以用了!出现了图片所示如上情况,抓狂ing,百度竟然没有真正的解决方法! 之前用MATLAB安装时用到了“环境变量”这个东西,这段时间在学习Java,我想学Java 的人都会遇到关于修改环境变量这个问题,因为开始也不是很明白,所以在环境变量里面捣
鼓了很久,多多少少修改了一些东西,等修改完照片查看器就不可以用了,我就开始回想修改了什么东西,我修改了环境变量TMP(下图) 这时照片查看器就不可用了。至于怎么解决,把它改过来就好了,修改环境变量TMP值 (见图) 此时你再用照片查看器,惊喜的发现一张张美图不需要其他的软件就可以浏览啦...哈哈
Windows日志浅析
Windows日志浅析 总体来看,登录/登出事件对可以很好地追踪用户在一台主机上完整活动过程的起至点,和登录方式无关。此外可以提供一些“帐户登录”没有的信息,例如登录的类型。此外对终端服务的活动专门用两个事件ID来标识。ok,我们开始分析,同样从5种类型分别进行分析。 1、本地方式的登录和登出 Randy大神在书中只提到了Windows使用两个事件ID528和540记录用户成功的登录(后者对应网络类型的登录),登出使用ID530。然而事实上同时发生的事件不只限于这些,那么让我们来看看用户简单的登录和登出活动至少会触发那些事件。 首先是成功的登录,从日志分析来看至少会有2个事件发生,分别为ID552和528,以下从左到右分别是各自的截图。 现在来各种进行详细分析,首先是ID552事件,该事件说明有人使用身份凭据在尝试登录,并且头字段中的用户名为SYSTEM。看看描述信息中有什么好东西: 使用明确凭据的登录尝试: (说明有人在尝试登录) 登录的用户: 用户名: WIN2003$ (主机名加了$后缀) 域: WORKGROUP (主机的域名,此例中主机在名称为“WORKGROUP”的工作组中) 登录ID: (0x0,0x3E7) 登录GUID: - 凭据被使用的用户: 目标用户名: Administrator (登录使用的用户名) 目标域: WIN2003 (要登录的主机名) 目标登录GUID: - 目标服务器名称: localhost 目标服务器信息: localhost 调用方进程ID: 1612 源网络地址: 127.0.0.1 (从IP地址很容易判断是本地登录) 源端口: 0 这里有一点要说明一下,Windows对这条日志的解释是“一个已登录的用户尝试使用另外一个用户凭证创建登录会话,例如使用“RUNAS”命令来运行某个可执行文件”。但事实上第1次用户成功登录后也会产生这个事件。