事件查看器对应解释
事件查看器ID详解
事件查看器日志详解●帐号登录事件(事件编号与描述)672 身份验证服务(AS)票证得到成功发行与验证。
673 票证授权服务(TGS)票证得到授权。
TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。
674 安全主体重建AS票证或TGS票证。
675 预身份验证失败。
这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。
676 身份验证票证请求失败。
这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
677 TGS票证无法得到授权。
这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
678 指定帐号成功映射到一个域帐号。
681 登录失败。
域帐号尝试进行登录。
这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。
●帐号管理事件624 一个用户帐号被创建。
627 一个用户密码被修改。
628 一个用户密码被设置。
630 一个用户密码被删除。
631 一个全局组被创建。
632 一个成员被添加到特定全局组中。
633 一个成员从特定全局组中被删除。
634 一个全局组被删除。
635 一个新的本地组被创建。
636 一个成员被添加到本地组中。
637 一个成员从本地组中被删除。
638 一个本地组被删除。
639 一个本地组帐号被修改。
641 一个全局组帐号被修改。
642 一个用户帐号被修改。
643 一个域策略被修改。
644 一个用户帐号被自动锁定。
645 一个计算机帐号被创建。
646 一个计算机帐号被修改。
647 一个计算机帐号被删除。
648 一个禁用安全特性的本地安全组被创建。
系统日志事件ID对应一览
55
168
1041
二:不能进入系统,可以将Windows XP系统安装盘放入光驱,重启 后,进入Windows XP安装 界面,根据提示按“R键”进入“故障恢复控制台”,在提示符后输 入“chkdsk [驱动器] /r”, 本错误可能是由于Removable Storage Management (RSM)和某些备 份软件同时试图去控制管理磁带库而产生的。建议用户在服务选项 里将Removable Storage这项服务设置成为“已禁用”,可防止发生 此错误。 这是微软的一个已知错误,当客户端连接终端服务器时“Reconnect if connection is dropped”选项被勾选时会发生此error,取消该 选项即可解决。 本错误可能是由于用户远程登录服务器时远程桌面本地设置时勾选 了打印机所产生的,建议用户登录服务器时,去掉打印机选项。 该错误是由于适配器配置过程中发生失败所造成的,原因有可能是 因为适配器,集线器或者交换机的线路发生了故障。同时,内部适 配器,集线器或者交换机上面的错误也可能导致这种情况。 建议用户检查适配器,集线器或者交换机之间的线路是否出现问 题,如果没有发现线路方面的问题,适配器,集线器或者交换机可 能需要更换。
解决 该问题的发生有可能是由于RAID控制器向机箱管理设备发送了一条 不被支持的命令所造成的,该错误并不影响任何功能上的问题,是 可以被忽视的。 原因:由于自动Internet时间服务器同步失败导致。 解决:双击任务栏右下角时间,打开日期和时间属性对话框,选择 Internet时间,将自动与Internet时间服务器同步前面的选项去掉 官方对此系统报警解释在大多数情况下,这些消息都是因为待更新 计算机与 Windows Update 服务器之间的通信发生短暂中断而导致 的,因此属于临时或短暂性。 此事件是由于无法进行网络时间校准而产生的,解决方法是在“日 期和时间属性”中取消"自动与Internet时间服务器同步"选项 Event ID 55: 事件说明:一般来说出现这种故障属于操作问题,不属于硬件问题 。 解决方法: 一: 可以进入系统: 那么可以让机器在开机的时候自动扫描磁 盘,一般均可解决问题, 或者在进入系统后自己手动扫描,方法是:在“我的电脑”中的驱 动器图标上单击右键 选“属性”“工具”“开始检查”,即可。也可以利用软件检查, 推荐Norton Disk Doctor
Windows事件查看器事件代码详解
Windows事件查看器事件代码详解2000 无效的像素格式。
2001 指定的驱动程序无效。
2002 窗口样式或类别属性对此操作无效。
2003 不支持请求的图元操作。
2004 不支持请求的变换操作。
2005 不支持请求的剪切操作。
2010 指定的颜色管理模块无效。
2011 制定的颜色文件配置无效。
2012 找不到指定的标识。
2013 找不到所需的标识。
2014 指定的标识已经存在。
2015 指定的颜色文件配置与任何设备都不相关。
2016 找不到该指定的颜色文件配置2017 指定的颜色空间无效。
2018 图像颜色管理没有启动。
2019 在删除该颜色传输时有一个错误。
2020 该指定的颜色传输无效。
2021 该指定的变换与位图的颜色空间不匹配。
2022 该指定的命名颜色索引在配置文件中不存在。
2102 没有安装工作站驱动程序。
2103 无法定位服务器。
2104 发生内部错误,网络无法访问共享内存段。
2105 网络资源不足。
2106 工作站不支持该操作。
2107 设备没有连接。
2108 网络连接已成功,但需要提示用户输入一个不同于原始指定的密码。
2109 使用默认凭据成功连接网络。
2114 没有启动服务器服务。
2115 队列空。
2116 设备或目录不存在。
2117 无法在重定向的资源上执行此操作。
2118 名称已经共享。
2119 服务器目前无法提供所需的资源。
2121 额外请求的项目超过允许的上限。
2122 对等服务只支持两个同时操作的用户。
2123 API 返回的缓冲区太小。
2127 远程 API 错误。
2131 打开或读取配置文件时出错。
2136 发生一般网络错误。
2137 工作站服务的状态不一致。
重新启动工作站服务之前,请先重新启动计算机。
2138 工作站服务没有启动。
2139 所需信息不可用。
2140 发生 Windows 2000 内部错误。
2141 服务器没有配置事务处理。
2142 远程服务器不支持请求的 API。
事件查看器如何使用
事件查看器如何使用2.跟踪事件:事件查看器提供了一个界面,用于跟踪和查看所有已创建的事件。
用户可以通过、过滤和排序等功能,方便地找到特定事件或查看特定时间范围内的所有事件。
通过事件跟踪功能,用户可以了解事件的当前状态、处理进度和相关人员。
4.分配任务:有些事件可能需要多个人协同处理,事件查看器提供了分配任务的功能,用户可以将特定任务关联到特定的人员或小组,并设置截止日期和优先级等相关信息。
通过任务分配功能,用户可以实时监控任务的执行情况,并及时协调和调整工作流程。
5.记录进展:在事件的处理过程中,用户需要记录和更新事件的进展情况。
事件查看器可以提供一个便捷的界面,供用户随时记录事件的最新进展,包括任务的完成情况、关键决策和相关沟通等。
这些记录可以作为事件处理过程的参考和交流的依据,方便各方共同跟踪和了解事件的动态。
6.统计分析:事件查看器通常会提供一些统计和分析功能,帮助用户更好地评估和分析事件的数据。
用户可以根据特定的维度和指标,生成各种图表和报告,以便于对事件进行深入分析和洞察。
通过统计分析功能,用户可以快速了解事件的趋势、问题和改善机会等,并做出有针对性的决策。
7.通知提醒:事件查看器通常支持用户设置提醒和通知功能,帮助用户及时了解事件的状态和进展。
用户可以根据自己的需求,设置不同类型的通知方式,如邮件、短信或应用内通知等。
通过通知提醒功能,用户可以及时获取事件的最新信息,以便于做出及时的决策和行动。
总的来说,事件查看器可以提供一个集中管理和跟踪事件的平台,帮助用户更好地了解和处理各种事件。
用户可以通过创建事件、跟踪事件、添加附件、分配任务、记录进展、统计分析和通知提醒等功能,提高事件管理的效率和质量,从而更好地应对各种事件和挑战。
Windows 事件查看器(Event Viewer) 检查日志的方法
Windows 事件查看器(Event Viewer) 检查日志的方法
【来源:小鸟云计算】
Ps.小鸟云,国内专业的云计算服务商
Windows 系统下用户有时会遇到主机自动重启,资源异常,应用程序错误等现象,可以使用操作系统自带的事件查看器检查对应的事件进行排查。
事件查看器
点击“计算机”—右键“管理”–打开服务器管理—诊断—事件查看器—windows 日志;如下
Windows日志
Windows日志中比较常查看的有系统日志、应用程序、安全日志这三个日志内容;
系统日志:一般记录系统异常引起的事件。
比如系统更新,内存资源不足等,在系统日志中都可以查看到。
带有“!”标示的是警告,一般不会严重影响使用,但比如“内存资源不足”等事件,多次警告,可能会导致主机卡慢或假死的
现象;
2.应用程序:一般记录服务器上安装的一些应用程序或系统默认程序的事件。
比如您的主机安装的站点服务,mysql ,PHP ,IIS 等相关的应用程序的事件记录;如
3.安全日志:一般记录服务器的登陆信息,或一些策略的审核事件;比如远程登录,如果是正常的登陆,会显示审核成功,如果是异常的,比如密码错误等,就会提示“审核失败”比如:
应用程序和服务日志
该路径包含Windows系统其它各类重要服务组件的事件日志。
例如,在路径Microsoft -> Windows ->TerminalServices-LocalSessionManager 的Operational 日志中记录了用户远程桌面的访问日志,可以通过该日志定位远程登录的相关问题。
windows事件id及解释大全
windows事件id及解释大全Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。
在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。
日志路径:C:\Windows\System32\winevt\Logs查看日志:Security.evtx、System.evtx、Application.evtx常用安全事件ID:系统:1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。
安全:4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。
————————————————EVENT_ID安全事件信息1100-----事件记录服务已关闭1101-----审计事件已被运输中断。
1102-----审核日志已清除1104-----安全日志现已满1105-----事件日志自动备份1108-----事件日志记录服务遇到错误4608-----Windows正在启动4609-----Windows正在关闭4610-----本地安全机构已加载身份验证包4611-----已向本地安全机构注册了受信任的登录进程4612-----为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
4614-----安全帐户管理器已加载通知包。
Windows系统的事件查看器
Windows系统的事件查看器是Windows 2000/XP中提供的一个系统安全监视工具。
在事件查看器中,可以通过使用事件日志,收集有关硬件、软件、系统问题方面的信息,并监视Windows系统安全。
它不但可以查看系统运行日志文件,而且还可以查看事件类型,使用事件日志来解决系统故障。
在启动Windows 2000系统的同时,事件日志服务会自动启动,所有用户都可以查看应用程序日志和系统日志,但只有管理员才能访问安全日志。
如何找到事件查看器?点击“开始→设置→控制面板”,点击“管理工具”。
然后双击“事件查看器”。
现在,你就可以看到事件查看器的界面了(图1)。
图1(点击放大)事件查看器都记录什么信息?事件查看器根据来源将日志记录事件分为应用程序日志(Application)、安全日志(Security)和系统日志(System)。
在左侧的类选择对话框中分别单击相应的日志即可打开进入浏览。
系统日志中存放了Windows操作系统产生的信息、警告或错误。
通过查看这些信息、警告或错误,我们不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。
安全日志中存放了审核事件是否成功的信息。
通过查看这些信息,我们可以了解到这些安全审核结果为成功还是失败,可以记录有效和无效的登录尝试等安全事件以及与资源使用有关的事件。
比如创建、打开或删除文件,启动时某个驱动程序加载失败。
同时,管理员还可以指定在安全日志中记录的事件,比如如果启用了登录审核,那么系统登录尝试就记录在安全日志中。
应用程序日志中存放应用程序产生的信息、警告或错误。
通过查看这些信息、警告或错误,我们可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。
程序开发人员可以利用这些资源来改善应用程序。
另外,事件查看器还按照类型将记录的事件划分为错误、警告和信息三种基本类型。
错误:重要的问题,如数据丢失或功能丧失。
例如在启动期间系统服务加载失败、磁盘检测错误等,这时系统就会自动记录错误。
事件查看器看电脑开关机时间
பைடு நூலகம்
系统的事件日志服务会随计算机一起启动和关闭,并在事件日志中留下记录。我们可以在事件查看器中找到这两个ID:6006和6005。在事件查看器里ID号为6006的事件表示事件日志服务已停止,如果你没有在当天的事件查看器中发现这个ID号为6006的事件,那么就表示计算机没有正常关机,可能是因为系统原因或者直接按下了计算机电源键,没有执行正常的关机操作造成的。当你启动系统的时候,事件查看器的事件日志服务就会启动,这就是ID号为6005的事件。
查看事件查看器的具体方法是:右键点击“我的电脑”——“管理”,然后打开“事件查看器”中的“系统”选项。单击鼠标右键,在弹出的快捷菜单中选择“属性”,在打开的“系统属性”窗口中选择“筛选器”选项卡,在“事件类型”下面选中“信息”复选项,并在“事件来源”列表中选择“eventlog”选项,继续设定其他条件后,单击“确定”按钮,即可看到需要的事件记录了。双击某条记录,如果描述信息为“事件服务已启动”,那就代表计算机开机或重新启动的时间,如果描述信息是“事件服务已停止”,即代表计算机的关机时间。
事件查看器看电脑开关机时间
2009-09-21 信息来源:八笛远程服务网
视力保护色: 【大 中 小】【打印本页】【关闭窗口】
如果您已经成为孩子的父母,如何才能判断当你不在家的时候自己的孩子是好好学习还是偷玩电脑了呢?在Windows XP系统中,我们可以通过“事件查看器”中的日志来查看计算机的开、关机时间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows2003 事件查看器事件ID对应解释
使用本模块可以实现下列目标:
•识别由Microsoft® Windows Server™ 2003 操作系统生成的安全事件。
返回顶部
适用范围
本模块适用于下列产品和技术:
•W indows Server 2003
返回顶部
如何使用本模块
本模块是“Windows Server 2003 安全指南”的补充内容。
本模块中的表可以用作快速参考,以帮助您识别在Microsoft® Windows 操作系统事件日志中所记录的与安全有关的事件。
本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。
返回顶部
帐户登录事件
表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
表1:审核帐户登录事件
事件
事件描述
ID
672 已成功颁发和验证身份验证服务(AS) 票证。
673 授权票证服务(TGS) 票证已授权。
TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。
674 安全主体已更新AS 票证或TGS 票证。
675 预身份验证失败。
用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。
676 身份验证票证请求失败。
在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
677 TGS 票证未被授权。
在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
678 帐户已成功映射到域帐户。
681 登录失败。
尝试进行域帐户登录。
在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
682 用户已重新连接至已断开的终端服务器会话。
683 用户未注销就断开终端服务器会话。
返回顶部
帐户管理事件
表2 显示了由“审核帐户管理”安全模板设置所生成的安全事件。
表2:审核帐户管理事件
事件描述
事件
ID
624 用户帐户已创建。
627 用户密码已更改。
628 用户密码已设置。
630 用户帐户已删除。
631 全局组已创建。
632 成员已添加至全局组。
633 成员已从全局组删除。
634 全局组已删除。
635 已新建本地组。
636 成员已添加至本地组。
637 成员已从本地组删除。
638 本地组已删除。
639 本地组帐户已更改。
641 全局组帐户已更改。
642 用户帐户已更改。
643 域策略已修改。
644 用户帐户被自动锁定。
645 计算机帐户已创建。
646 计算机帐户已更改。
647 计算机帐户已删除。
ID
648 禁用安全的本地安全组已创建。
注意:从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。
649 禁用安全的本地安全组已更改。
650 成员已添加至禁用安全的本地安全组。
651 成员已从禁用安全的本地安全组删除。
652 禁用安全的本地组已删除。
653 禁用安全的全局组已创建。
654 禁用安全的全局组已更改。
655 成员已添加至禁用安全的全局组。
656 成员已从禁用安全的全局组删除。
657 禁用安全的全局组已删除。
658 启用安全的通用组已创建。
659 启用安全的通用组已更改。
660 成员已添加至启用安全的通用组。
661 成员已从启用安全的通用组删除。
662 启用安全的通用组已删除。
663 禁用安全的通用组已创建。
664 禁用安全的通用组已更改。
665 成员已添加至禁用安全的通用组。
666 成员已从禁用安全的通用组删除。
667 禁用安全的通用组已删除。
668 组类型已更改。
684 管理组成员的安全描述符已设置。
注意:在域控制器上,每隔60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。
该事件已记录。
ID
685 帐户名称已更改。
返回顶部
目录服务访问事件
表3 显示了由“审核目录服务访问”安全模板设置所生成的安全事件。
表3:审核目录服务访问事件
事件ID 事件描述
566 发生了一般对象操作。
返回顶部
审核登录事件
表4 包含由“审核登录事件”安全模板设置所生成的安全事件。
表4:审核登录事件
审核登录事件
事件
ID
528 用户成功登录到计算机。
529 登录失败。
试图使用未知的用户名或已知用户名但错误密码进行登录。
530 登录失败。
试图在允许的时间外登录。
531 登录失败。
试图使用禁用的帐户登录。
532 登录失败。
试图使用已过期的帐户登录。
533 登录失败。
不允许登录到指定计算机的用户试图登录。
534 登录失败。
用户试图使用不允许的密码类型登录。
535 登录失败。
指定帐户的密码已过期。
536 登录失败。
Net Logon 服务没有启动。
537 登录失败。
由于其他原因登录尝试失败。
注意:在某些情况下,登录失败的原因可能是未知的。
538 用户的注销过程已完成。
539 登录失败。
试图登录时,该帐户已锁定。
ID
540 用户成功登录到网络。
541 本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式Internet 密钥交换(IKE) 身份验证已完成,或者快速模式已建立了数据频道。
542 数据频道已终止。
543 主要模式已终止。
注意:如果安全关联的时间限制(默认为8 小时)过期、策略更改或对等终止,则会发生此情况。
544 由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。
545 由于Kerberos 失败或者密码无效,造成主要模式身份验证失败。
546 由于对等客户端发送的建议无效,造成IKE 安全关联建立失败。
接收到的程序包包含无效数据。
547 在IKE 握手过程中,出现错误。
548 登录失败。
来自信任域的安全标识符(SID) 与客户端的帐户域SID 不匹配。
549 登录失败。
在林内进行身份验证时,所有与不受信任的名称空间相关的SID 将被筛选出去。
550 可以用来指示可能的拒绝服务(DoS) 攻击的通知消息。
551 用户已启动注销过程。
552 用户使用明确凭据成功登录到作为其他用户已登录到的计算机。
682 用户已重新连接至已断开的终端服务器会话。
683 用户还未注销就断开终端服务器会话。
注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。
该事件出现在终端服务器上。