巧用事件查看器维护服务器安全

1、查看事件在事件查看器窗口中单击“系统”，选择“错误”记录，双击即可打开并查看事件的属性，发现该事件为一个攻击事件，其事件描述为：2、事件描述连接自*.*.*.*（IP地址）的一个匿名会话尝试在此计算机上打开一个LSA 策略句柄。

尝试被以 STATUS_ACCESS_DENIED 拒绝，以防止将安全敏感的信息泄露给匿名呼叫者。

说明：该描述信息表明IP地址为“*.*.*.*”的计算机在攻击计算机。

3、建议方案进行此尝试的应用程序需要被更正。

请与应用程序供应商联系。

作为暂时的解决办法，此安全措施可以通过设置：\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAn onymousBlock DWORD 值为 1 来禁用。

此消息将一天最多记录一次。

4、根据提示修补系统漏洞根据描述信息，直接打开注册表编辑器，依次层层展开找到键值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffA nonymousBlock”或者新建一个DWORD 的“TurnOffAnonymousBlock”键，并设置其值为“1”。

5、进一步复查既然出现了LSA的匿名枚举，那么一定会存在登录信息，单击“安全性”查看事件属性，先针对“审核失败”进行查看，可以看到上面IP地址的多次连接失败的审核信息。

然后依次查看审核成功的登录记录，如果发现该IP地址登录成功，那么还需要对系统进行彻底的安全检查，包括修改登录密码，查看系统是否被攻击者留下了后门。

在本例中主要事件就是上述IP地址的计算机在进行密码攻击扫描，根据事件属性中提供的策略进行设置后，即可解决该匿名枚举的安全隐患。

用Windows 2008 R2中的事件查看器功能来审计AD管理员微软系统中任何关于如何限制或控制管理员权限的讨论通常都会得到这样的结果：你怎样才能不把管理权限送给那些你不信任的人？这有一定道理，但是在没有证据表明管理员做错了事情的情况下，如何才能正确判断一个管理员是否值得信任呢？再者，你如何证明你的判断呢？你不能剥夺一个域管理员太多权限，尤其是在每个域都要管理的多网域环境下，所以说有时候限制管理员的权利和授权活动这项工作很难实现。

辅助人员和供给人员通常也需要具有管理权利，而且有时政治需求还会需要更多的管理人员。

所以，真正的问题是，你如何去审计一个管理员？虽然答案是只要启用审计就行了，但是只是简单地启用审计功能并不能解决所有的问题。

举例来说，我最近与许多管理员一起进行了一项大型的活动目录部署活动。

他们有一个应用程序，使用特定的用户对象属性提供对该应用程序的连接。

站在安全相关立场，他们发现管理员可以禁用审计功能，修改一些关键的属性，并且可以对该应用程序做坏事。

然后该管理员可以重新启用审计功能而不会被觉察---甚至Windows Server 2008 R2的属性审计功能也是如此。

启用审计功能的时候，系统可以记录足够的事件，从中可以看出谁改变了对象，以及谁改变了属性。

但是由于审计功能被禁用，所有这方面的证据都消失了。

事实证明，当非目录对象审计功能开启的时候，事件ID 4907 (图1)被记录了下来，然而目录对象的审计却没有记录这个事件。

图1. 事件ID 4907虽然这个事件清楚地显示出了审计政策发生了变化以及谁进行的这项改变，但是我们不能在微软系统中用其它方法在事情被记录之前得到所需信息，我需要这方面的功能。

这很重要，因为它允许我向大家示范事件查看器的强大功能，比如为Windows Server 2008 R2准备的自定义查看以及排序分类/存储过滤器功能等。

如果启用对象审计的话，详细的审计会在安全日志中添加数量巨大的事件。

电脑问题解决：事件查看器的使用（windows系统）我们在使用电脑的时候难免会出现一些问题，在出现的时候我们通常会通过电脑表现的症状来判断问题的原因，但有时出现的一些问题并不容易判断出是什么原因导致的，因此，这时候我们就要借助windows系统自带的事件查看器来查找问题出现的原因了。

通常情况下，当电脑出现问题时不管是硬件问题还是软件问题在windows系统中基本上会有相关的日志记录（偶尔出现丢失的情况），而这记录的信息就可以在事件查看器中找到。

什么是事件查看器（eventvwr.msc）？微软在以Windows NT为内核的操作系统中都集成有事件查看器，它是 Microsoft Windows 操作系统工具。

事件查看器是重要的系统管理软件。

事件查看器有什么作用？1. 查看信息在事件查看器中可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。

这对寻找解决错误是最重要的。

2. 搜索事件如果系统中的事件过多，会很难找到真正导致系统问题的事件。

这时，可以使用事件“筛选”功能找到想找的日志以快速确定问题原因。

3. 存放日志微软在Windows 2000/NT/XP/2003等操作系统中都集成有事件查看器，它可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。

系统日志中存放了Windows操作系统产生的信息、警告或错误。

通过查看这些信息、警告或错误，用户不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。

安全日志中存放了审核事件是否成功的信息。

通过查看这些信息，用户可以了解到这些安全审核结果为成功还是失败。

应用程序日志中存放应用程序产生的信息、警告或错误。

通过查看这些信息、警告或错误，用户可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。

程序开发人员可以利用这些资源来改善应用程序。

事件查看器的打开方式方式一：首先右键点击桌面上“此电脑图标”，在弹出的右键菜单中选择“管理”在打开的“计算机管理”窗口左侧展开事件查看器即可方式二：按win+R组合键，打开运行对话框，在其中输入eventvwr 回车就可以直接打开（或者输入 eventvwr.msc）方式三：在搜索框中输入事件查看器搜索到事件查看器应用程序，直接打开就可以了。

怎样在Windows系统中查看系统启动时的错误信息Windows系统是目前广泛使用的操作系统之一，而在Windows系统中，有时会出现系统启动时的错误信息。

出现这些错误信息，可能会导致系统无法正常启动，进而影响用户的正常使用。

因此，了解如何查看系统启动时的错误信息，可以帮助我们更好地排除故障，并解决问题。

本文将介绍在Windows系统中如何查看系统启动时的错误信息。

在Windows系统中，查看系统启动时的错误信息可以借助事件查看器，该工具能够记录系统的各类事件，包括系统启动时的错误信息。

下面将为大家分步介绍具体操作方法。

步骤一：打开事件查看器首先，我们需要打开事件查看器。

在Windows系统中，可以通过两种方式来打开事件查看器：- 方法一：使用快捷键 Win + R 打开运行窗口，输入"eventvwr.msc" ，然后点击“确定”按钮即可打开事件查看器；- 方法二：在“开始”菜单中，找到“管理工具”，点击打开，然后再点击“事件查看器”。

步骤二：查看启动错误信息打开事件查看器后，我们可以在左侧窗口中看到一系列的事件日志分类。

要查看系统启动时的错误信息，需要按照以下路径依次展开查找：- 依次点击“应用程序和服务日志”→“Microsoft”→“Windows”→“Diagnostics-Performance”→“Operational”。

在该路径下，我们可以找到“Operational”文件夹，它包含了系统启动时的错误信息。

点击“Operational”后，右侧窗口将显示一系列启动事件的记录。

步骤三：筛选启动错误信息在右侧窗口中，我们可以看到多个事件记录，这些事件包含了系统启动过程中的各种细节和错误信息。

为了筛选出与系统启动相关的错误信息，我们需要进行以下操作：- 在右侧窗口顶部的搜索框中，输入关键词“启动”，然后按下回车键；- 此时，事件查看器将根据关键词筛选出与系统启动相关的事件记录，我们只需要关注这些事件即可。

电脑系统错误日志的查看与分析在进行电脑维护和故障排查时，查看和分析电脑系统错误日志是一项非常重要的任务。

错误日志记录了系统发生的各种错误和异常情况，通过仔细分析这些错误日志，可以帮助我们快速定位和解决问题。

本文将介绍如何查看和分析电脑系统错误日志。

一、查看错误日志1. 打开事件查看器在Windows系统中，可以通过打开事件查看器来查看电脑的错误日志。

首先，点击开始菜单，并在搜索栏中输入“事件查看器”，然后点击打开该应用程序。

2. 导航到Windows日志在事件查看器中，我们需要导航到Windows日志，以查看系统的错误日志。

依次展开“Windows日志”文件夹下的“应用程序”，“安全性”，“系统”等子文件夹，即可找到相应的错误日志。

3. 查看错误详细信息在选择了特定的错误日志后，我们可以在右侧的窗口中查看该错误的详细信息。

这些详细信息包括错误的时间戳、错误代码、错误描述等，这些信息对于进一步分析错误非常有帮助。

二、分析错误日志1. 关键事件筛选在分析错误日志时，我们可以通过关键事件筛选，找出与特定问题相关的错误。

比如，如果我们遇到了蓝屏问题，可以在事件查看器中选择“系统”文件夹，并使用筛选功能来过滤出与蓝屏相关的错误日志。

2. 判断错误类型错误日志中记录了各种类型的错误事件，包括驱动程序错误、硬件故障、系统崩溃等。

通过仔细阅读错误描述和错误代码，我们可以初步判断错误的类型，从而有针对性地解决问题。

3. 查找解决方案一旦确定了错误的类型，我们可以在互联网上搜索相关的解决方案。

通常情况下，其他用户可能已经遇到过类似的问题，并提供了解决方案。

我们可以根据错误描述、错误代码等信息来查找合适的解决方案。

4. 参考技术支持文档如果在互联网上找不到合适的解决方案，我们还可以查阅相关的技术支持文档。

例如，操作系统、硬件制造商等都会提供详细的故障排查指南和解决方案，这些文档通常包含了处理常见错误的步骤和注意事项。

巧用WINDOWS计划任务解决SERV-U服务自动停止问题（windows7 2008 xp）由与破解版的SERV-U普遍存在运行6小时或12小时自动停止问题。

笔者巧妙使用WINDOWS的计划任务解决了此问题，实现了使SERV-U在停止时通过计划任务自动启动的效果。

具体操作步骤如下（只在WINDOWS2008下测试）：首先：打开事件查看器，在“WINDOWS日志”下的“系统”中找到有关SERV-U停止的日志，得到事件ID为7036，来源为服务控制管理器事件日志提供程序。

如下图，不同计算机上的事件ID可能会有不同，后面的操作根据你所查询到的实际ID来设置。

然后，打开管理工具中的任务计划程序。

点击任务计划程序窗口右边的创建任务选项。

在“常规”标签中姓名中输入：启动SERV-U；描述中输入：当查询到7036事件时自动运行。

在触发器标签中点击新建按钮，以增加触发器。

新建触发器对话框中设置如下图，开始任务选择：发生事件时；设置中选择“基本”，日志中选择“系统”；源中选择“服务控制管理器事件日志提供程序”；事件ID中输入7036（在日志中查询到的SERV-U事件的实际ID）。

确定后如下图所示。

再选择操作标签，点击新建按钮。

在新建操作对话框中，操作选项中选择“启动程序”：设置中的程序和脚本中输入“net”添加参数中输入“start serv-u”；然后确定。

确定后如下图所示。

再次点击确定完成添加计划任务，如下图所示。

现在我们手动停止SERV-U进行测试，当我们停止SERV-U时，会出现如下DOS窗口，显示“Serv-U File Server 服务正在启动”，同时，SERV-U也已经处于已连接状态。

如果不想看到上面的DOS窗口，请修改我们刚刚建立的“启动SERV-U”的常规属性。

选择单选钮：不管用户是否登录都要运行。

点确定后输入密码即可。

笔者推荐这种方式，因为这样不管我们是否登录服务器，都可以运行该计划任务。

win10系统用户通过事件查看器排查故障缘由的方法步骤
win10系统用户通过事件查看器排查故障缘由的方法步骤。

方法步骤：
1、右键“此电脑”图标，选择“管理”；
2、在管理页面中，按照以下路径展开“系统工具”/“事件查看器”/“Windows日志”/“系统”，最后点击“系统”；
3、随后，就可以在右侧页面看到电脑最近的事件了。

以上内容就是有关于win10系统用户通过事件查看器排查故障缘由的方法了，我们只需要通过事件查看器，对于电脑的活动信息就可以轻松了解了，对于排查故障缘由十分有利。

教你巧用事件查看器维护效劳器平安电脑资料事件查看器相当于操作系统的保健医生，一些“顽疾”的蛛丝马迹都会在事件查看器中呈现，一个合格的系统员和平安维护人员会定期查看应用程序、平安性和系统日志，查看是否存在非法、系统是否非正常关机、程序执行错误等信息，通过查看事件属性来断定错误产生的和解决方法，使操作系统和应用程序正常工作，一、事件查看器相关知识1.事件查看器事件查看器是 Microsoft Windows 操作系统工具，事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视Windows 操作系统中的平安事件。

有三种方式来翻开事件查看器：(1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”，翻开事件查看器窗口(2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”翻开事件查看器窗口。

(3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接翻开事件查看器。

2.事件查看器中记录的日志类型在事件查看器中一共记录三种类型的日志，即：(1)应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件，(2)平安性日志记录了诸如有效和无效的尝试等事件，以及与资源使用相关的事件，例如创立、翻开或删除文件或其他对象，系统管理员可以指定在平安性日志中记录什么事件。

默认设置下，平安性日志是关闭的，管理员可以使用组策略来启动平安性日志，或者在表中设置审核策略，以便当平安性日志满后使系统停顿响应。

(3)系统日志包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下Windows会将系统事件记录到系统日志之中。

假设计算机被配置为域控制器，那么还将包括目录效劳日志、文件复制效劳日志;假设机子被配置为域名系统(DNS)效劳器，那么还将记录DNS效劳器日志。

U9-IT维护手册本文档将介绍U9上线后，建议服务器维护人员进行的一些日常维护工作，目的是保证U9的稳定健康地运行。

由于各个企业的实际情况有所不同，本文档只作为参考和建议用。

数据库和应用服务器的日常硬件检查非常必要。

通过服务器各类硬件指示灯，我们可以知道CPU风扇是否需要更换、硬盘是否损坏、电源是否正常工作等。

一旦发现硬件故障应该及时通知硬件维护商，在系统宕机前解决问题。

各企业可以根据自己实际情况创建自己的巡检机制和巡检报告，但是巡检频率最好不要少于一周一次。

下表是某公司服务器硬件巡检报告（一天一次），供参考：3.1. 防火墙U9上线后，如果新增防火墙（软、硬件），应注意尽量将U9数据库服务器和应用服务器放在防火墙同一侧，避免防火墙阻隔数据库服务器和应用服务器的正常通讯。

3.2. 杀毒软件杀毒软件种类繁多，企业引入杀毒软件应注意是否对性能造成影响。

总体原则是建议对外网访问的安全控制统一在代理服务器上进行，内部网络的访问不要设置对TCP/IP和HTTP 协议的包过滤检查，因为这会严重影响网络传输性能。

当然，文件杀毒则是每台机器都应该配置启用的。

3.3. win2008(vista)和win2003混合使用目前微软已经不再出售win2003操作系统，但是企业中仍然有很多安装了win2008和win2003操作系统的计算机在混合使用。

当win2003和win2008混合使用时，如果发现通过网络互相访问较慢时，应该检查win2008的网络自动优化功能是否开启。

该项功能可能由于部分路由器无法正确支持RFC1323协议，反而在某些情况下导致网络性能大幅下降。

如果发现网络访问存在性能问题，请关闭掉Win2008接收窗口自动调谐功能。

检查win2008是否开启网络自动优化功能（命令：netsh interface tcp show global），如下图：“normal”说明已经开启网络自动优化功能。

关闭win2008网络自动优化功能（命令：netsh interface tcp set global autotuninglevel=disabled），如下图：“disabled”说明已经关闭网络自动优化功能。

服务器日常维护与保养指南随着信息技术的不断发展，服务器在企业和个人生活中扮演着越来越重要的角色。

服务器的正常运行对于保障数据安全、提高工作效率至关重要。

为了确保服务器的稳定性和安全性，日常维护与保养工作显得尤为重要。

本文将为您介绍服务器日常维护与保养的指南，帮助您更好地管理和保护服务器。

一、定期清理服务器内部和外部1. 清理服务器内部定期清理服务器内部尘埃和杂物是保持服务器正常运行的关键。

首先，关闭服务器电源并拔掉电源插头，然后打开服务器外壳，使用专业的吹风机或吸尘器清理内部灰尘。

注意不要触碰内部电子元件，以免造成损坏。

2. 清理服务器外部除了清理内部，还需要定期清洁服务器外部。

使用干净柔软的布料蘸取少量清水，擦拭服务器外壳和接口，保持外部清洁。

避免使用含有酒精或化学成分的清洁剂，以免损坏外壳表面。

二、定期备份重要数据数据是企业的生命线，定期备份重要数据是防止数据丢失的有效方法。

建议采用多重备份策略，包括本地备份和远程备份，确保数据安全可靠。

同时，定期检查备份数据的完整性和可恢复性，及时发现问题并进行修复。

三、更新系统和软件及时更新服务器操作系统和相关软件是保障服务器安全的重要措施。

新版本的系统和软件通常修复了之前版本的漏洞和bug，提升了系统的稳定性和安全性。

定期检查系统更新和安全补丁，及时进行更新和安装，确保服务器处于最新的安全状态。

四、监控服务器性能监控服务器性能可以及时发现问题并进行处理，提高服务器的稳定性和性能。

通过安装监控软件，实时监测服务器的CPU、内存、硬盘等资源利用情况，及时发现异常情况并进行调整。

同时，定期分析监控数据，优化服务器配置，提升性能表现。

五、加强服务器安全服务器安全是保障数据安全的重中之重。

建议采取以下措施加强服务器安全：1. 设置复杂密码：定期更换密码，避免使用简单密码，确保密码的复杂性和安全性。

2. 防火墙设置：配置防火墙规则，限制不必要的端口和服务访问，提升服务器安全性。