事件查看器学习

电脑问题解决：事件查看器的使用（windows系统）我们在使用电脑的时候难免会出现一些问题，在出现的时候我们通常会通过电脑表现的症状来判断问题的原因，但有时出现的一些问题并不容易判断出是什么原因导致的，因此，这时候我们就要借助windows系统自带的事件查看器来查找问题出现的原因了。

通常情况下，当电脑出现问题时不管是硬件问题还是软件问题在windows系统中基本上会有相关的日志记录（偶尔出现丢失的情况），而这记录的信息就可以在事件查看器中找到。

什么是事件查看器（eventvwr.msc）？微软在以Windows NT为内核的操作系统中都集成有事件查看器，它是 Microsoft Windows 操作系统工具。

事件查看器是重要的系统管理软件。

事件查看器有什么作用？1. 查看信息在事件查看器中可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。

这对寻找解决错误是最重要的。

2. 搜索事件如果系统中的事件过多，会很难找到真正导致系统问题的事件。

这时，可以使用事件“筛选”功能找到想找的日志以快速确定问题原因。

3. 存放日志微软在Windows 2000/NT/XP/2003等操作系统中都集成有事件查看器，它可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。

系统日志中存放了Windows操作系统产生的信息、警告或错误。

通过查看这些信息、警告或错误，用户不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。

安全日志中存放了审核事件是否成功的信息。

通过查看这些信息，用户可以了解到这些安全审核结果为成功还是失败。

应用程序日志中存放应用程序产生的信息、警告或错误。

通过查看这些信息、警告或错误，用户可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。

程序开发人员可以利用这些资源来改善应用程序。

事件查看器的打开方式方式一：首先右键点击桌面上“此电脑图标”，在弹出的右键菜单中选择“管理”在打开的“计算机管理”窗口左侧展开事件查看器即可方式二：按win+R组合键，打开运行对话框，在其中输入eventvwr 回车就可以直接打开（或者输入 eventvwr.msc）方式三：在搜索框中输入事件查看器搜索到事件查看器应用程序，直接打开就可以了。

事件查看器日志详解●帐号登录事件(事件编号与描述)672 身份验证服务（AS）票证得到成功发行与验证。

673 票证授权服务（TGS）票证得到授权。

TGS是一份由Kerberos 5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。

674 安全主体重建AS票证或TGS票证。

675 预身份验证失败。

这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。

676 身份验证票证请求失败。

这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。

677 TGS票证无法得到授权。

这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。

678 指定帐号成功映射到一个域帐号。

681 登录失败。

域帐号尝试进行登录。

这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。

682 用户重新连接到一个已经断开连接的终端服务器会话上。

683 用户在没有注销的情况下与终端服务器会话断开连接。

●帐号管理事件624 一个用户帐号被创建。

627 一个用户密码被修改。

628 一个用户密码被设置。

630 一个用户密码被删除。

631 一个全局组被创建。

632 一个成员被添加到特定全局组中。

633 一个成员从特定全局组中被删除。

634 一个全局组被删除。

635 一个新的本地组被创建。

636 一个成员被添加到本地组中。

637 一个成员从本地组中被删除。

638 一个本地组被删除。

639 一个本地组帐号被修改。

641 一个全局组帐号被修改。

642 一个用户帐号被修改。

643 一个域策略被修改。

644 一个用户帐号被自动锁定。

645 一个计算机帐号被创建。

646 一个计算机帐号被修改。

647 一个计算机帐号被删除。

648 一个禁用安全特性的本地安全组被创建。

Windows cmd 中的事件查看与日志记录技巧Windows 操作系统是广泛使用的操作系统之一，而命令提示符（cmd）是Windows 系统中强大且常用的工具之一。

在日常使用中，我们经常需要查看系统事件和记录日志，以便及时发现问题并进行相应的处理。

本文将介绍一些Windows cmd 中的事件查看与日志记录技巧，帮助读者更好地利用这一工具。

一、查看系统事件1. 查看系统启动时间在命令提示符中输入“systeminfo | findstr /C:"System Boot Time"”，即可查看系统的启动时间。

这对于了解系统的运行情况和排查问题非常有帮助。

2. 查看系统错误日志输入“eventvwr”命令，打开事件查看器，可以查看系统的错误日志。

在左侧的面板中，可以选择不同的日志类型，如应用程序、安全性、系统等。

通过查看这些日志，我们可以了解系统的异常情况，例如应用程序崩溃、安全事件等。

3. 查看网络连接输入“netstat”命令，可以查看当前系统的网络连接情况。

通过查看网络连接，我们可以了解系统与外部设备或服务器的连接状态，以及相关端口的使用情况。

这对于网络故障排查和安全性管理非常重要。

二、日志记录技巧1. 输出命令结果到文件在命令提示符中，我们可以使用“>”符号将命令的输出结果保存到文件中。

例如，输入“ipconfig > C:\ipconfig.txt”，即可将 ipconfig 命令的结果保存到 C 盘下的ipconfig.txt 文件中。

这对于保存命令输出结果、进行后续分析和排查问题非常有用。

2. 创建自定义日志文件通过使用“echo”命令和“>>”符号，我们可以创建自定义的日志文件并将内容写入其中。

例如，输入“echo %DATE% %TIME%: This is a log message >> C:\log.txt”，即可将当前日期、时间以及自定义的日志信息写入 C 盘下的 log.txt 文件中。

Windows事件查看器事件代码详解0 操作成功完成。

1 函数不正确。

2 系统找不到指定的文件。

3 系统找不到指定的路径。

4 系统无法打开文件。

5 拒绝访问。

6 句柄无效。

7 存储控制块被损坏。

8 存储空间不足，无法处理此命令。

9 存储控制块地址无效。

10 环境不正确。

11 试图加载格式不正确的程序。

12 访问码无效。

13 数据无效。

14 存储空间不足，无法完成此操作。

15 系统找不到指定的驱动器。

16 无法删除目录。

17 系统无法将文件移到不同的驱动器。

18 没有更多文件。

19 介质受写入保护。

20 系统找不到指定的设备。

21 设备未就绪。

22 设备不识别此命令。

23 数据错误(循环冗余检查)。

24 程序发出命令，但命令长度不正确。

25 驱动器找不到磁盘上特定区域或磁道。

26 无法访问指定的磁盘或软盘。

27 驱动器找不到请求的扇区。

28 打印机缺纸。

29 系统无法写入指定的设备。

30 系统无法从指定的设备上读取。

31 连到系统上的设备没有发挥作用。

32 另一个程序正在使用此文件，进程无法访问。

33 另一个程序已锁定文件的一部分，进程无法访问。

36 用来共享的打开文件过多。

38 已到文件结尾。

39 磁盘已满。

50 不支持请求。

51 Windows 无法找到网络路径。

请确认网络路径正确并且目标计算机不忙或已关闭。

如果Windows 仍然无法找到网络路径，请与网络管理员联系。

52 由于网络上有重名，没有连接。

请到“控制面板”中的“系统”更改计算机名，然后重试。

53 找不到网络路径。

54 网络很忙。

55 指定的网络资源或设备不再可用。

56 已达到网络 BIOS 命令限制。

57 网络适配器硬件出错。

58 指定的服务器无法运行请求的操作。

59 出现了意外的网络错误。

60 远程适配器不兼容。

61 打印机队列已满。

62 服务器上没有储存等待打印的文件的空间。

63 已删除等候打印的文件。

64 指定的网络名不再可用。

维护服务器安全维护技巧之日志分析事件查看器相当于操作系统的保健医生，一些“顽疾”的蛛丝马迹都会在事件查看器中呈现，一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志，查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息，通过查看事件属性来判定错误产生的来源和解决方法，使操作系统和应用程序正常工作。

本文介绍了事件查看器的一些相关知识，最后给出了一个安全维护实例，对安全维护人员维护系统有一定的借鉴和参考。

(一)事件查看器相关知识1.事件查看器事件查看器是Microsoft Windows 操作系统工具，事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视Windows 操作系统中的安全事件。

有三种方式来打开事件查看器：(1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”，开事件查看器窗口(2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。

(3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。

2.事件查看器中记录的日志类型在事件查看器中一共记录三种类型的日志，即：(1)应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。

如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

(2)安全性日志记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。

默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

电脑系统错误日志的查看与分析在进行电脑维护和故障排查时，查看和分析电脑系统错误日志是一项非常重要的任务。

错误日志记录了系统发生的各种错误和异常情况，通过仔细分析这些错误日志，可以帮助我们快速定位和解决问题。

本文将介绍如何查看和分析电脑系统错误日志。

一、查看错误日志1. 打开事件查看器在Windows系统中，可以通过打开事件查看器来查看电脑的错误日志。

首先，点击开始菜单，并在搜索栏中输入“事件查看器”，然后点击打开该应用程序。

2. 导航到Windows日志在事件查看器中，我们需要导航到Windows日志，以查看系统的错误日志。

依次展开“Windows日志”文件夹下的“应用程序”，“安全性”，“系统”等子文件夹，即可找到相应的错误日志。

3. 查看错误详细信息在选择了特定的错误日志后，我们可以在右侧的窗口中查看该错误的详细信息。

这些详细信息包括错误的时间戳、错误代码、错误描述等，这些信息对于进一步分析错误非常有帮助。

二、分析错误日志1. 关键事件筛选在分析错误日志时，我们可以通过关键事件筛选，找出与特定问题相关的错误。

比如，如果我们遇到了蓝屏问题，可以在事件查看器中选择“系统”文件夹，并使用筛选功能来过滤出与蓝屏相关的错误日志。

2. 判断错误类型错误日志中记录了各种类型的错误事件，包括驱动程序错误、硬件故障、系统崩溃等。

通过仔细阅读错误描述和错误代码，我们可以初步判断错误的类型，从而有针对性地解决问题。

3. 查找解决方案一旦确定了错误的类型，我们可以在互联网上搜索相关的解决方案。

通常情况下，其他用户可能已经遇到过类似的问题，并提供了解决方案。

我们可以根据错误描述、错误代码等信息来查找合适的解决方案。

4. 参考技术支持文档如果在互联网上找不到合适的解决方案，我们还可以查阅相关的技术支持文档。

例如，操作系统、硬件制造商等都会提供详细的故障排查指南和解决方案，这些文档通常包含了处理常见错误的步骤和注意事项。

CMD命令中的系统日志与事件查看方法在计算机维护和故障排查过程中，系统日志和事件记录是非常重要的工具。

通过查看系统日志和事件记录，我们可以了解系统的运行状况、故障原因以及可能的解决方法。

在CMD命令中，也有一些命令可以帮助我们查看系统日志和事件记录。

本文将介绍一些常用的CMD命令，帮助读者更好地了解和使用系统日志和事件查看方法。

一、查看系统日志1. eventvwr命令eventvwr命令是Windows系统自带的系统日志查看工具。

通过运行该命令，我们可以打开“事件查看器”窗口，查看系统日志、应用程序日志、安全日志等。

在CMD命令行中输入eventvwr并按下回车键，即可打开“事件查看器”窗口。

在该窗口中，可以选择不同的日志类型，并查看相应的日志记录。

例如，我们可以选择“系统”日志类型，查看系统运行过程中的错误和警告信息。

2. wevtutil命令wevtutil命令是Windows系统自带的事件查看工具。

通过运行该命令，我们可以在CMD命令行中直接查看系统日志，而无需打开“事件查看器”窗口。

在CMD命令行中输入wevtutil qe System /c:10 /rd:true /f:text，即可查看最近10条系统日志记录。

其中，/c:10表示显示最近10条日志，/rd:true表示按时间倒序排列，/f:text表示以文本格式显示。

二、查看事件记录1. eventquery命令eventquery命令是Windows系统自带的事件记录查看工具。

通过运行该命令，我们可以在CMD命令行中查看事件记录，并根据特定条件进行筛选。

在CMD命令行中输入eventquery /l application /fi "EventID eq 1000"，即可查看应用程序日志中EventID为1000的事件记录。

其中，/l application表示查看应用程序日志，/fi "EventID eq 1000"表示筛选EventID为1000的事件记录。

CMD命令行中的系统事件查看和管理在Windows操作系统中，CMD命令行是一个非常强大的工具，它可以让用户通过输入命令来管理和控制系统。

除了常见的文件和文件夹操作，CMD命令行还提供了一些功能强大的系统事件查看和管理命令，方便用户了解和掌握系统的运行状态。

本文将介绍一些常用的CMD命令行中的系统事件查看和管理命令，帮助读者更好地利用CMD命令行来管理系统。

1. 查看系统启动时间在CMD命令行中，可以使用命令"systeminfo"来查看系统的详细信息，其中包括系统的启动时间。

只需要在CMD命令行中输入"systeminfo"，然后等待系统输出信息即可。

在输出的信息中，可以找到"系统启动时间"一项，即可得知系统的启动时间。

2. 查看系统日志系统日志是记录了系统运行状态和事件的重要文件，通过查看系统日志可以了解系统的运行情况和遇到的问题。

在CMD命令行中，可以使用命令"eventvwr"来打开系统事件查看器，然后选择"Windows日志"下的相应日志，如"应用程序日志"、"系统日志"等。

通过查看这些日志，可以得到系统的运行情况和事件的详细信息。

3. 清除系统日志系统日志会随着时间的推移不断增大，如果不及时清理，可能会占用大量的磁盘空间。

在CMD命令行中，可以使用命令"wevtutil cl <日志名称>"来清除指定的系统日志。

例如，如果要清除"应用程序日志"，只需要在CMD命令行中输入"wevtutil cl Application"，然后等待系统完成清除操作即可。

4. 查看系统服务系统服务是在后台运行的程序，它们负责系统的各种功能和任务。

在CMD命令行中，可以使用命令"sc query"来查看系统的服务列表。

事件查看器如何使用2.跟踪事件：事件查看器提供了一个界面，用于跟踪和查看所有已创建的事件。

用户可以通过、过滤和排序等功能，方便地找到特定事件或查看特定时间范围内的所有事件。

通过事件跟踪功能，用户可以了解事件的当前状态、处理进度和相关人员。

4.分配任务：有些事件可能需要多个人协同处理，事件查看器提供了分配任务的功能，用户可以将特定任务关联到特定的人员或小组，并设置截止日期和优先级等相关信息。

通过任务分配功能，用户可以实时监控任务的执行情况，并及时协调和调整工作流程。

5.记录进展：在事件的处理过程中，用户需要记录和更新事件的进展情况。

事件查看器可以提供一个便捷的界面，供用户随时记录事件的最新进展，包括任务的完成情况、关键决策和相关沟通等。

这些记录可以作为事件处理过程的参考和交流的依据，方便各方共同跟踪和了解事件的动态。

6.统计分析：事件查看器通常会提供一些统计和分析功能，帮助用户更好地评估和分析事件的数据。

用户可以根据特定的维度和指标，生成各种图表和报告，以便于对事件进行深入分析和洞察。

通过统计分析功能，用户可以快速了解事件的趋势、问题和改善机会等，并做出有针对性的决策。

7.通知提醒：事件查看器通常支持用户设置提醒和通知功能，帮助用户及时了解事件的状态和进展。

用户可以根据自己的需求，设置不同类型的通知方式，如邮件、短信或应用内通知等。

通过通知提醒功能，用户可以及时获取事件的最新信息，以便于做出及时的决策和行动。

总的来说，事件查看器可以提供一个集中管理和跟踪事件的平台，帮助用户更好地了解和处理各种事件。

用户可以通过创建事件、跟踪事件、添加附件、分配任务、记录进展、统计分析和通知提醒等功能，提高事件管理的效率和质量，从而更好地应对各种事件和挑战。