精华内容
下载资源
问答
  • Windows日志文件

    2010-07-09 18:52:00
    日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保 ...Windows日志包括应用程序、安全、系统等几个部分,它的存放

    日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保 护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。

      一、什么是日志文件

      日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的 启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是 “%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、 SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。

      二、如何查看日志文件

      在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日 志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其 中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一 旦出现问题,即时查找排除。

      三、Windows日志文件的保护

      日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。

      1. 修改日志文件存放目录

      Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录, 来增强对日志的保护。

      点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的 Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

      笔者以应用程序日志为例,将其转移到“d:/cce”目录下。选中Application子项(如图),在右栏中找到File键,其键值为应 用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为 “d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日 志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。 
    图片点击可放大

    Windows日志文件完全全解读 2. 设置文件访问权限

      修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用 NTFS文件系统格式。

    右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该 对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列 表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。
     四、Windows日志实例分析

      在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。

      1. 查看正常开关机记录

      在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志 中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的 事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表 示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。

      2. 查看DHCP配置警告信息

      在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地 址配置客户端,并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信 息,就要查看是该机器网络故障还是DHCP服务器问题。进入讨论组讨论。


     

    展开全文
  • 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着... Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、

    日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。

      一、什么是日志文件

      日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。 Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。

      二、如何查看日志文件

      在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。

      三、Windows日志文件的保护

      日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。

      1. 修改日志文件存放目录

      Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。

      点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的 Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

      笔者以应用程序日志为例,将其转移到“d:/cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D 盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。

      2. 设置文件访问权限

      修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。

      右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。

      四、Windows日志实例分析

      在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。

      1. 查看正常开关机记录

      在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。

      2. 查看DHCP配置警告信息

      在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。

     

     

    本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接:http://www.hackbase.com/tech/2009-08-23/55235.html

     

     

    1.有时各位同仁在处理问题时,查看事件查看器,根据事件源及ID,想要去查看是什么原因,可以到internet上去找,可是有的要收费的,下面的方法可以去eventid上查看。
    引用:
    可是EVENTID.NET上有的信息要付费注册用户才能看,怎么办呢:)
     
    查EVENTID.NET可以按以下方法来查
    [url]http://www.eventid.net/display.asp?eventid=xxxx&source=yyyy[/url]
    xxxx即事件ID
    yyyy即事件来源
     
    2.当windows系统出现蓝屏时,我们可以通过工具软件去读取蓝屏所生成的文件去,根据此工具提供的信息,对你也许用!发现机器很不稳定,经常蓝屏,不知道如何去处理? 重装系统后,好了几天,有出现同样的问题,这么头疼的问题,怎么办?怀疑硬件问题,但怎么看都不像是硬件的故障。 可能大家束手无策的时候,有一个Windows Debug工具,能够通过分析Dump文件来确定机器BSOD的原因,从而轻松解决蓝屏问题。
    一、当遇到Windows兰屏或不稳定时,用DSET工具收集系统的日志,来具体分析:是不是有兰屏?机器有没有生成Dump文件?
            1,在DSET的Logs中打开system Uptime,可以发现机器关机的几种类型:Shutdown(正常关机)、Abnormal shutdown(非正常关机)、Blue Screen(兰屏);
     
    2,在Environment中的Kernel Dump中可以发现是否已经生成了Dump文件:Minidump、Complete dump;
    二,这些文件存放在目录C:/windows/minidump中,所有的文件都只有64K。
             假如没有发现这些minidump文件,建议您检查windows关于Dump文件的设置是否正确:

    三,用windows debug工具来分析这些Dump文件;
    1, 安装windows debug工具,最新版的工具可以直接从Microsoft下载:  
    [url]http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.6.03.5.exe[/url]
           2,下载对应操作系统的符号文件库,不同的操作系统会对应不同的符号文件:windows2003和windows 2003SP1就有不同 的符号库,同样,windows2000SP2和windowsSP4也有各自的符号库,这些符号库可以在微软的网站下载:
          
    [url]http://msdl.microsoft.com/download/symbols/packages[/url]
    3, 在windows debug中设置好符号库文件的路径,以便分析时能调用到正确的符号库文件;
     
     

    4,打开你要分析的windows Minidump文件:File-----open crash dump;
     5,打开Dump文件后,屏幕会出现windows的Debug窗口,在窗口的底部会出现命令行,输入 ‘!analyze -v’命令即可开始兰屏的分析,剩下来的工作就是等这个工具给你一个满意的答案:某个驱动文件引起的兰屏。

     
    你还可以验证这个驱动程序是不是在机器的的内存中,键入‘lm’就可以列出所有驻留在内存中的程序;
    命令:‘lmvm sentinel’可以查到这个驱动文件所在目录:

     6, 你可以将你找到的这个驱动程序在Googel或者Baidu上搜索以下,很快你就会发现这个驱动是哪个第三方的应用程序,这个例子中的SENTINEL.SYS 是金蝶软件加密狗的软件模拟驱动。
    说明:实际情况中可能会有很多分析的结果会显示是windows的内核文件引起的兰屏,这是因为windows debug无法从Minidump中分析 出具体是内核文件调用了哪个驱动程序后引起的兰屏。这时就需要提供更全面的完全内存转储文件或内核转储文件,通过更多的命令行来分析具体的原因了。更多的 命令的介绍,可以参看安装好后的debuging help。

    另外,通过在以下的联接中输入兰屏代码,如:0x000000ab,你也可以找到一些微软关于这样的出错的解释和解决方案。

     

     

    展开全文
  • Windows下监控mysql正在执行的sql和日志   我们开发的时候大部分是在本机进行,使用本地的数据库, 以本机mysql为例,先查看mysql日志启用情况,默认情况下mysql日志关闭状态,可以通过如下语句 SHOW ...

    Windows下监控mysql正在执行的sql和日志

     

    我们开发的时候大部分是在本机进行,使用本地的数据库,

    以本机mysql为例,先查看mysql日志启用情况,默认情况下mysql日志是关闭状态,可以通过如下语句 SHOW VARIABLES LIKE "general_log%" ,进行查看,这时我们看到的是OFF,还有日志所在的位置,使用此默认位置

     

    可以通过如下语句开启,SET GLOBAL general_log = 'ON',执行成功之后看到如下

    这样我们就开启mysql日志文件了,若是在Linux系统下,我们直接使用 tail -f 命令进行日志的输出查看,在Windows下,我们通过Bare Tail这个实时读取sql日志文件和输出sql语句

     

    Bare Tail帮我们实时跟踪执行sql,我们选择

    日志路径和自动滚动就行了

     

    展开全文
  • 网上流传的日志配置版本绝大部分都是5.6以前的,使用该种配置之后启动mysql会报错1067服务器关闭。本文提供了5.6以后的各种日志的正确配置法。

    mysql日志:

      错误日志:     log-error     --记录一系列发生错误的事件,可以在这里查询mysql出错的原因
      查询日志:     log              --记录所有的查询语句
      慢查询日志:   slow_query_log    --记录所有查询时间慢于某个值(long_query_time)的查询事件
      二进制日志: log_bin        --记录所有更新和删除的语句,通常用于数据库崩溃后启用备份数据库时,运行他,让备份的数据库恢复到崩溃前的状态


    在网上找了一堆启动日志配置日志的文章,发现全是错的!!!都是适用于mysql5.6以前的版本的,使用该种配置方法的话,系统会报错1067,服务器无法打开,这不坑爹吗。。害我查了好久的错,看了各种系统日志,错误日志,配置日志,连官网的配置介绍都去翻了个遍,瞎了。。总算找到正确的日志配置方法了。。

    PS:如果是使用安装的mysql的话,在安装过程中就会提示你配置日志了,但是我的因为是windows64位的,不想装32位的,所以就下了解压缩版的mysql,然后就导致了一系列的配置问题。。连个日志都要自己配置T-T,不过也算是了解到了不少东西,第一次学会了看日志来解决问题,哈哈

    以下是mysql5.6.x版本以后的正确配置法:

    用文本格式打开my.ini

    加入:

    [mysqld]    
    
    #log
    #错误日志
    log-error=C:/Users/public.public-PC/Documents/mysql/logs/err.log
    #全查询日志 
    log_output=FILE     
                      #不启用的话慢日志查询会存在数据表中
    general_log=on
    general_log_file=C:/Users/public.public-PC/Documents/mysql/logs/query.log
    #慢查询日志
    slow_query_log=on   
    long_query_time =2  
                      #慢于2秒的会被记录
    slow_query_log_file=C:/Users/public.public-PC/Documents/mysql/logs/slowquery.log
    
    #二进制日志配置,第二、三行配置最后一个binlog-bin和binlog是不加后缀的文件名,不加后缀的话有妙用
    server-id=1
    log_bin=C:/Users/public.public-PC/Documents/mysql/log_bin/binlog-bin
    log_bin_index=C:/Users/public.public-PC/Documents/mysql/log_bin/binlog

    代码的第一行[mysqld],如果你文档里最上有这个了就不需要加,没有就加上,一般是有的,所以复制内容跟在后面就行了

    以上。我给的代码里是_file都是根据自己的存放地址来的,大家要自己选择存放日志的地址,windows下路径中最好使用/而不是\,\很容易遇到问题,经常会跟转义字符弄混,有时会出各种小bug,所以用/是最好的。此外,二进制日志配置里,第二、三行配置最后一个binlog-bin和binlog是不加后缀的文件名,不加后缀的话会有妙用,如下:


    他会按照序号的形式生成。


    配置完重新启动服务器

    cmd模式下输入net start mysql查看是否配置成功

    最后附上官网二进制日志的正确配置介绍:

    http://dev.mysql.com/doc/refman/5.6/en/replication-options-binary-log.html#sysvar_log_bin


    展开全文
  • windowsnt 技术内幕

    2014-04-09 20:47:17
    调协系统管理告警(Administrative Alert) 向用户发送系统管理消息 远程关闭一台Windows NT计算机 使用Windows NT系统属性对话框 Windows NT诊断程序(Diagnostic)简介 使用Windows NT诊断程序打印一份报告 在Windows ...
  • 程序 explorer.exe 版本 6.3.9600.17415 停止与 Windows 交互并关闭。要查看是否有关于该问题的详细信息,请检查操作中心控制面板中的问题历史记录。 网上发现老外也有类似情况 http://www.eightfor...
  • 它能识别所有的标准串行和并行 IOCTL,甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。 ProcDump 这一新的命令行实用工具旨在捕获其他方式难以隔离和重现 CPU 峰值的进程...
  • Microsoft Windows 系统错误代码简单分析:  0000 操作已成功完成。  0001 错误的函数。  0002 系统找不到指定的文件。  0003 系统找不到指定的路径。  0004 系统无法打开文件。  0005 拒绝访问。...
  • 1.MYSQL配置文件 1.1二进制日志log-bin 主从复制及备份恢复(了解),(默认关闭) ...默认关闭,记录查询的sql语句,如果开启会境地mysql性能,因为记录日志也需要消耗资源 1.4数据文件 1.4.1 两系统: windows...
  • 一般Oracle数据库(Oracle Database)可以分为两部分,即实例(Instance)和数据库(Database)。 实例:是一个非固定的、基于内存的基本进程与内存结构。当服务器关闭后,实例也就不存在了。 数据库(Database...
  • 在项目运营时,我们都会遇到一个问题,项目需要更新时,我们可能需先暂时关闭下服务器来更新。但这可能会出现一些状况:   1.用户还在操作,被强迫终止了(我们可以看日志等没人操作的时候更新,但总可能会有...
  • 在项目运营时,我们都会遇到一个问题,项目需要更新时,我们可能需先暂时关闭下服务器来更新。但这可能会出现一些状况:   1.用户还在操作,被强迫终止了(我们可以看日志等没人操作的时候更新,但总可能会有...
  • 第一部分 界面设计

    2013-10-22 23:10:34
    实例177 如何禁止关闭Windows操作系统 实例178 如何修改IE浏览器的背景 实例179 如何在程序中控制IE窗口 实例180 如何使用默认浏览器打开指定网页 实例181 如何获取当前正在运行的程序 实例182 如何监视系统...
  • 6.17.2 部分关闭的操作 63 6.18 UDP客户端的编程 64 6.19 面向连接的和无连接的UDP套接字 64 6.20 对UDP使用connect 65 6.21 使用UDP和服务器通信 65 6.22 关闭使用UDP的套接字 65 6.23 对UDP的部分关闭 65 ...
  • 启动与配置参数 更改系统元数据和参数配置 动态视图 存储的物理和逻辑结构 启动和关闭 top启动与配置参数在SQL Server安装的时候,同时也会往Windows注册表里面添加一些记录,这些注册表键值指定了实例所需要的各种...
  • 本书大小为140M左右 ,由于上传大小限制,分为七部分上传, 七部分全下载完后,放在同目录下解压即可。 =================================================== 内容简介  本书是一本毫无保留的Oracle学习宝典。...
  • Visual C++程序开发范例宝典配套光盘,因大小受限,所以分成8部分上传,必须全部下载才能正常解压! 第1章 窗体与界面设计 1.1 菜单应用实例 实例001 在系统菜单中添加菜单项 实例002 带图标的程序菜单 实例003...
  • Visual C++程序开发范例宝典配套光盘,因大小受限,所以分成8部分上传,必须 全部下载才能正常解压! 第1章 窗体与界面设计 1.1 菜单应用实例 实例001 在系统菜单中添加菜单项 实例002 带图标的程序菜单 实例...
  • Visual C++程序开发范例宝典配套光盘,因大小受限,所以分成8部分上传,必须全部下载才能正常解压! 第1章 窗体与界面设计 1.1 菜单应用实例 实例001 在系统菜单中添加菜单项 实例002 带图标的程序菜单 实例003...
  • 明日科技出版的Visual C++程序开发范例宝典配套光盘,因大小受限,所以分成8部分上传,必须全部下载才能正常解压! 第1章 窗体与界面设计 1.1 菜单应用实例 实例001 在系统菜单中添加菜单项 实例002 带图标的...
  • Visual C++程序开发范例宝典配套光盘,因大小受限,所以分成8部分上传,必须全部下载才能正常解压! 第1章 窗体与界面设计 1.1 菜单应用实例 实例001 在系统菜单中添加菜单项 实例002 带图标的程序菜单 实例003...
  • Visual C++程序开发范例宝典配套光盘,因大小受限,所以分成8部分上传,必须全部下载才能正常解压! 第1章 窗体与界面设计 1.1 菜单应用实例 实例001 在系统菜单中添加菜单项 实例002 带图标的程序菜单 实例003...
  • Visual C++程序开发范例宝典配套光盘,因大小受限,所以分成8部分上传,必须全部下载才能正常解压! 第1章 窗体与界面设计 1.1 菜单应用实例 实例001 在系统菜单中添加菜单项 实例002 带图标的程序菜单 实例003...
  • Visual C++程序开发范例宝典配套光盘,因大小受限,所以分成8部分上传,必须全部下载才能正常解压! 第1章 窗体与界面设计 1.1 菜单应用实例 实例001 在系统菜单中添加菜单项 实例002 带图标的程序菜单 实例003...
  • 今天,一实施同事求助,说一地市oracle数据库无法通过远程连接,连接报错如图: 操作系统:windows server2008 R2 ...查看告警日志,最近的一次数据库启动发生在上午10:50,部分告警日志如下: Wed Aug ...
  • 错误截图: 故障ID为两部分ID:2601和SQL错误代码4060 查询Windows日志如下图: 我在部署SCVMM2008时所使用的账户是Domain Admin用户,安理说不应该存在权限问题。 当时,后来发现,很多的时候不能够用经验来判断...
  • DirectX修复工具最新版:DirectX Repair V3.2 标准版!...改进了日志文件的部分编码方式。使用旧版程序可能无法正确显示所有的内容,而新版本可以正常显示V2.5及之前的所有版本的日志文件。其他细节性改进。
  • Native error日志偶现fd找不到,这一句最后是定位到NetLink模块的一句Socket释放上,这一部分日志打印都是偶现,但是崩溃的时候必出现libc的pthread_start和pthread_exit,所以一时间很迷茫。 原因分析: 怀疑点1...

空空如也

空空如也

1 2 3 4 5 ... 10
收藏数 181
精华内容 72
关键字:

关闭部分windows日志