关于 Windows 系统日志的集中整理

   Updated: 2013-11-10 20:20       关于 Windows 系统日志的集中整理无评论

Windows 日志存放路径

Windows 日志文件默认位置:%systemroot%\system32\config
安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
FTP 连接日志和 HTTPD 事务日志:%systemroot%\system32\LogFiles\

日志文件的清除

在 「系统查看器」 中不能直接清除,要清除且干净,还是用第三方的工具比较好,比如 MyEventViewer

如何打开其他电脑上的.evt 日志文件

打开 「事件查看器」(或运行中输入命令 Eventvwr.msc),找到.evt 日志文件存放路径即可打开。

注:貌似打开其他系统的.evt 文件,会提示 「日志文件损坏」,还没有找到方法。

如何分析 Windows 系统是否正常开关机

正常关机系统日志事件 ID:6006,描述:事件日志服务已停止;正常开始系统日志事件 ID:6005,描述:事件日志服务已启动。

正常情况,6005 之前紧挨着就会有 6006,如果没有,说明没有正常关机。

本机日志文件损坏的修复方法

  1. 禁用 「Event Log」 服务
  2. 重启计算机
  3. 删除日志文件(%systemroot%\system32\config 下的所有.evt 文件)
  4. 启用 「Event Log」 服务(若不能启用则重启计算机再启用)
  5. 完成

参考资料

  1. http://www.zhzxkj.cn/Article/Print.asp?ArticleID=59

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注