c#.NET中日志信息写入Windows日志

c#.NET中日志信息写入Windows日志中解决...

疯狂代码 https://www.360docs.net/doc/019361745.html,/ ?:http:/https://www.360docs.net/doc/019361745.html,/DotNet/Article31165.html

、 目的

应用系统的开发和维护离不开日志系统，选择一个功能强大的日志系统解决方案是应用系统开发过程中很重要的一部分。在.net环境下的日志系统解决方案有许多种，log4net是其中的佼佼者。

在Windows2000及以上操作系统中，有一个Windows日志系统，它包括应用程序（Application）事件日志、系统（System）日志和安全（Security）日志，事件日志也可以是自定义日志。在.net Framework中也提供了相应的类和接口来使用应用程序事件日志或者自定义事件日志。使用Windows日志可以使应用系统与操作系统更好的结合，与单纯使用自定义的日志系统相比，因为有了操作系统的支持，查询和管理日志更方便。在实际应用中，根据实际情况，可以选择一种合适的日志解决方案，也可以自定义日志系统和Windows日志系统两种日志解决方案同时使用。

2、 使用Windows日志的方法

2.1、方法概述

在.net Framework中提供了一个类EventLog，使用EventLog类可以添加新的事件日志条目或从服务器事件日志中获取已有的条目。EventLog类包括一个WriteEntry()方法，可以用它来把一个新的事件写入到事件日志中。在写入一个新的条目到事件日志时，是使用特定的事件源（event source）来把条目写入到特定的事件日志中。

事件源对于事件日志而言是唯一的。在Windows2000及以上操作系统中，包括一个事件日志：应用程序（Application）事件日志，还有系统（System）日志和安全（Security）日志，并且系统允许自定义事件日志。使用EventLog类，可以将日志条目添加到应用程序（Application）事件日志中，也可以添加到自定义事件日志中。事件源相当于事件日志的下一级目录，每一条日志条目都必须对应一个事件源。EventLog类可以创建一个自定义事件日志，也可以创建一个事件源，事件源可以创建在应用程序（Application）事件日志中，也可以创建在自定义事件日志中。Windows日志系统如下图所示：

为了便于不同应用系统之间的日志区分和查看方便，一般将事件源创建在自定义事件日志中，可以创建多个事件日志，一个事件日志也可以创建多个事件源。

2.2、事件日志和事件源创建方法

创建一个新的事件日志或事件源时，其实是在对注册表添加一个条目。由于写注册表要求特殊的权限，所以在Web项目中创建事件日志和事件源就存在权限和安全的问题，Application项目中不存在此问题，本文重点讲述Web项目中Windows日志使用方法，Application项目中的使用方法类似于Web项目，抛弃掉Web项目中的权限和安全处理即可，本文不再赘述。

在Web项目中，当使用https://www.360docs.net/doc/019361745.html,向系统中创建一个事件日志或者一个事件源时，可能会得到如下异常错误消息： System.Security.SecurityException: 不允许所请求的注册表访问权。这是因为运行https://www.360docs.net/doc/019361745.html,进程的默认帐户是ASPNET（在IIS6.0下面是NetworkService），而此账户默认只有读权限，没有写权限，所以不能创建事件日志或事件源。解决此问题的办法有提升ASPNET帐户的权限、不在程序内部创建事件日志或事件源等，主要有以下三种解决方案：

A、 在程序运行之前，定义要使用的事件日志和事件源，打开注册表编辑器，手工将事件日志和事件源添加到注册表中。主要步骤如下：

① 点击“开始”菜单，再点击“运行”。

② 在“运行”的“打开”框中输入“regedit”,然后按OK按钮，打开注册表编辑器。

③ 在注册表编辑器中找到下列子键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

④ 右键单击“Eventlog”,点击“新建”，再点“项”，将在“Eventlog”的下一级创建一个新的项目，将此项目命名为“TDDN”， TDDN项就是事件日志，可以根据实际情况为此项命名，比如可以命名为项目名称。

⑤ 在“TDDN”项上单击右键，点击“新建”，再点“项”，将在“TDDN”的下一级创建一个新的项，将此项命名为“Weblog”， Weblog项就是事件源，此项也可以根据实际情况命名。

⑥ 关闭注册表编辑器。

这样事件日志和事件源就建好了，如果需要多个事件日志或事件源，重复以上过程。这种方法要求对注册表比较熟悉，操作起来可能有一点复杂，可以写一个类来实现配置注册表，只要运行该类便可添加相应的项目，免除了手工添加的繁琐，这是第二种解决方案，方法如下：

B、 在System.Diagnostics命名空间中有一个EventLogInstaller类，它能够创建和配置应用程序在运行时要读写的事件日志和事件源。通过下列步骤，便能够使用EventLogInstaller类来创建一个事件日志和事件源：

① 用C#来创建一个名为EventLogSourceInstaller的“类库”。

② 在此项目中添加对System.Configuration.Install.dll的引用。

③ 将自动产生的Class1.cs更名为MyEventLogInstaller.cs。

④ 在MyEventLogInstaller.cs中的写入以下代码：

using System;

using System.Diagnostics;

using https://www.360docs.net/doc/019361745.html,ponentModel;

using System.Configuration.Install;

namespace EventLogSourceInstaller {

[RunInstaller(true)]

public class MyEventLogInstaller: Installer{

public EventLogInstaller myEventLogInstaller;

public MyEventLogInstaller(){

//Create Instance of EventLogInstaller

myEventLogInstaller = new EventLogInstaller();

// Set the Source of Event Log, to be created.

myEventLogInstaller.Source = "WebLog";

// Set the Log that source is created in

myEventLogInstaller.Log = "TDDN";

Installers.Add(myEventLogInstaller);

}

}

}

⑤ 生成此项目，得到EventLogSourceInstaller.dll。

⑥ 打开Visual Studio .NET 命令提示，转到EventLogSourceInstaller.dll所在目录。

⑦ 运行此命令来创建事件日志和事件源，运行方法为：输入命令InstallUtil EventLogSourceInstaller.dll。

这样程序就在系统中创建一个事件日志：TDDN，在事件日志TDDN下创建了一个事件源：WebLog。

以上的这两种解决方案都是在应用系统运行之前，为系统手工添加事件日志和事件源，这样做没有安全权限问题，不存在安全隐患。更方便的方法还可以在应用系统运行时，让程序自动创建事件日志和事件源，这种方法必须提升ASPNET帐户的系统操作权限，或者给https://www.360docs.net/doc/019361745.html,进程一个有更大权限的模拟帐号。模拟帐号的实现比较复杂，而且功能和安全性上和提升ASPNET帐户没有区别，这里采用的方法是提升ASPNET帐户的权限。以下是第三种解决方案：

C、 提升ASPNET帐户的权限可以直接在Windows系统管理中给ASPNET帐户添加对系统的读写权限，但是这样做存在很严重的安全问题，https://www.360docs.net/doc/019361745.html,进程有直接读写操作系统的权限，将给系统带来很大的安全隐患。这里采用的提升ASPNET帐户权限的方法是只将系统日志的操作权限赋给ASPNET帐户，这样虽然还存在一定的安全隐患，但是隐患已经大大降低，并且可以在程序内部自由创建事件日志和事件源，极大的提高了灵活性。ASPNET帐户权限提升方法如下：

① 点击“开始”，“运行”，输入“regedit”，打开注册表编辑器。

② 在注册表编辑器中找到下列子键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

③ 在Eventlog项目上单击右键，在弹出的菜单中选择“访问许可”选项，然后找到本机的ASPNET帐户加进来，并赋予读写权限。

这样，ASPNET帐户就有了读写系统日志的权限，就可以在程序中根据情况自由创建事件日志和事件源了。在程序中创建事件日志和事件源的方法如下：

调用 EventLog类的CreateEventSource 方法并指定数据源字符串和要创建的事件日志名称，如果将事件日志名称指定为空 ("")，事件日志名称将默认为Application，这样不会创建新事件日志，但会为应用程序(Application)事件日志创建指定的数据源。如果创建一个新的事件日志，则在确定事件日志名称是否唯一时将只计算指定字符串的前8 个字母。如下代码所示：

System.Diagnostics.EventLog.CreateEventSource("WebLog", "TDDN");

将创建一个事件日志为TDDN，在该事件日志下创建一个事件源WebLog。要在远程计算机上创建自定义事件日志，要将此计算机名指定为第三个参数。以下代码提供了一个示例：

System.Diagnostics.EventLog.CreateEventSource(" WebLog ", " TDDN ", "myserver");

将在远程计算机myserver上创建该事件日志和事件源。

2.3、写入Windows日志的方法

事件日志与事件源创建的问题解决了，接下来就可以在程序中将日志信息写入到Windows系统日志中了。写入方法是，首先创建EventLog类的一个实例，将其Source属性与事件源名称相关联，最后调用WriteEntry方法来往事件日志中添加日志信息。下面是一段写入系统日志的简单示例代码：

EventLog eventLog = null;

if (!(EventLog.SourceExists("WebLog"))){

EventLog.CreateEventSource("WebLog", "TDDN");

}

if (eventLog == null){

eventLog = new EventLog("TDDN");

eventLog.Source = "WebLog";

}

eventLog.WriteEntry("This is error！", EventLogEntryType.Error);

}

上面程序段中首先判断数据源“WebLog”是否存在，如果不存在调用CreateEventSource方法创建该事件源，然后将事件源与EventLog 类的Source属性关联，进行写操作。传递给WriteEntry方法的第一个参数代表要记录的日志消息，可以写入任何消息。第二个参数代表事件日志的类型。

A、 事件日志类型分类

事件日志的类型用于指示事件日志的严重度。每个事件必须具有单一的类型，应用程序在报告事件时将指示该类型。事件查看器使用该类型来确定在日志的列表视图中显示哪一个图标。它分为如下五类：

① Error：错误事件，它指示用户应该知道的严重问题（通常是功能或数据的丢失）。

② FailureAudit：失败审核事件，它指示当审核访问尝试失败（例如打开文件的尝试失败）时发生的安全事件。

③ Information：信息事件，它指示重要、成功的操作。

④ SuccessAudit：成功审核事件，它指示当审核访问尝试成功（例如成功登录）时发生的安全事件。

⑤ Warning：警告事件，它指示并不立即具有重要性的问题，但此问题可能表示将来会导致问题的条件。 在实际应用中，选择合适的事件日志类型，可以使日志记录更清晰明了，帮助开发维护人员对应用系统更好的监控和维护。

B、 针对事件日志的五种类型分类，可以在应用程序中写一个通用的类，为每一个类型写一个方法来写入事件日志。

下面是自定义的通用类的代码片断：

public void Error(string sourceName, string message){

EventLog eventLog = null;

if (!(EventLog.SourceExists(sourceName))){

EventLog.CreateEventSource(sourceName, "TDDN");

}

if (eventLog == null){

eventLog = new EventLog("TDDN");

eventLog.Source = sourceName;

}

eventLog.WriteEntry(message, EventLogEntryType.Error);

}

public void Warning(string sourceName, string message){

EventLog eventLog = null;

if (!(EventLog.SourceExists(sourceName))){

EventLog.CreateEventSource(sourceName, "TDDN");

}

if (eventLog == null){

eventLog = new EventLog("TDDN");

eventLog.Source = sourceName;

}

eventLog.WriteEntry(message,System.Diagnostics.EventLogEntryType.Warning);

}

类似的可以写出其它三种类型的事件日志写入方法。该类方法将事件源（sourceName）和日志消息（message）作为参数传递，这样可以提高事件日志写入的灵活性。

C、 调用通用类事件日志写入的方法

通用类方法的调用非常简单，如下代码片断是调用通用类中Error方法的一个范例：

string strSourceName="WebLog";

CoustomEventLog log=new CoustomEventLog();

log.Error(strSourceName,"This is Error!");

strSourceName是事件源，log是CoustomEventLog类（即通用类）的一个实例，然后调用Error方法将日志消息“This is Error!”写入到事件日志中。

也可以将程序中抛出的异常信息写入事件日志：

string strSourceName="WebLog";

CoustomEventLog log=new CoustomEventLog();

该文章转载自脚本之家：https://www.360docs.net/doc/019361745.html,/html/2007 2008-12-10 11:15:37

疯狂代码 https://www.360docs.net/doc/019361745.html,/

windows系统日志与入侵检测详解-电脑教程

windows系统日志与入侵检测详解 -电脑教程.txt我很想知道，多少人分开了，还是深爱着?、自己哭自己笑自己看着自己闹 . 你用隐身来躲避我丶我用隐身来成全你！待到一日权在手 , 杀尽天下负我 狗 .windows 系统日志与入侵检测详解 - 电脑教程 系统日志源自航海日志：当人们出海远行地时候，总是要做好航海日志，以便为以后地工作做出依据?日志文件作为微软 Windows系列操作系统中地一个比较特殊地文件,在安全方面 具有无可替代地价值 . 日志每天为我们忠实地记录着系统所发生一切，利用系统日志文件，可以使系统管理员快速对潜在地系统入侵作出记录和预测，但遗憾地是目前绝大多数地人都忽略了它地存在?反而是因为黑客们光临才会使我们想起这个重要地系统日志文件? 7.1日志文件地特殊性 要了解日志文件，首先就要从它地特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护,一般情况下普通用户不能随意更改?我们不能用针对普通 TXT文件地编辑方法来编辑它 例如 WPS系列、Word系列、写字板、Edit等等，都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作 , 否则系统就会很不客气告诉你:访问被拒绝? 当然 , 在纯DOS地状态下，可以对它进行一些常规操作(例如 Win98状态下 >,但是你很快就会发现，你地 修改根本就无济于事 , 当重新启动 Windows 98 时 , 系统将会自动检查这个特殊地文本文件 , 若不存在就会自动产生一个；若存在地话，将向该文本追加日志记录? b5E2RGbCAP 7.1.1黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了，包括日志文件?但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己地入侵踪迹，就必须对日志进行修改 . 最简单地方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己，网络上有很多专门进行此类 功能地程序，例如Zap、Wipe等.p1EanqFDPw 7.1.2Windows 系列日志系统简介 1.Windows 98 地日志文件 因目前绝大多数地用户还是使用地操作系统是 Windows 98，所以本节先从 Windows 98 地日志文件讲起 .Windows 98 下地普通用户无需使用系统日志，除非有特殊用途，例如，利用 Windows 98建立个人 Web服务器时，就会需要启用系统日志来作为服务器安全方面地参考，当已利用 Windows 98 建立个人 Web 服务器地用户，可以进行下列操作来启用日志功能 . DXDiTa9E3d (1>在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关地网络协议，并添加“个人 Web服务器”地情况下>.RTCrpUDGiT (2> 在“管理”选项卡中单击“管理”按钮； (3＞在“In ternet 服务管理员”页中单击“ WW管理”；

详解Windows Server 2008安全日志

建立安全日志记录 为了让大家了解如何追踪计算机安全日志功能的具体方面，首先需要了解如何启动安全日志。大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。这样的设置有利也有弊，弊的方面在于，除非用户强迫计算机开始日志记录安全事件，否则根本无法进行任何追踪。好的方面在于，不会发生日志信息爆满的问题以及提示日志已满的错误信息，这也是Windows Server 2003域控制器在没有任何预警下的行为。 安全日志事件跟踪可以使用组策略来建立和配置，当然你可以配置本地组策略对象，但是这样的话，你将需要对每台计算机进行单独配置。另外，你可以使用Active Directory内的组策略为多台计算机设置日志记录配置。要建立安全日志追踪，首先打开连接到域的计算机上的Group Policy Management Console (GPMC，组策略管理控制台)，并以管理员权限登录。在GPMC中，你可以看到所有的组织单位(OU)(如果你事先创建了的话)以及GPO(如果你创建了两个以上)，在本文中，我们将假设你有一个OU，这个OU中包含所有需要追踪相同安全日志信息的计算机，我们将使用台式计算机OU和AuditLog GPO。 编辑AuditLog GPO然后展开至以下节点： Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy 类别控制范围的简要介绍 以下是关于每种类别控制范围的简要介绍： 审计帐户登录事件–每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计，计算机执行该审计是为了验证帐户，关于这一点的最好例子就是，当用户登录到他们的Windows XP Professional计算机上，总是由域控制器来进行身份验证。由于域控制器对用户进行了验证，这样就会在域控制器上生成事件。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外，没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。我还发现，在很多环境中，客户端也会配置为审计这些事件。 审计账户管理–这个将对所有与管理计算机(配置了审计)的用户数据库中的帐户的用户有关的事件进行审计，这些事件的示例如下： ·创建一个用户帐户 ·添加用户到一个组 ·重命名用户帐户 ·为用户帐户更改密码 对于域控制器而言，该管理政策将会对域帐户更改进行审计。对于服务器或者客户端而言，它将会审计本地安全帐户管理器(Security Accounts Manager)以及相关的帐户。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外，没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。对于用户帐户的审计，安全日志以及审计设置是不能捕捉的。 审计目录服务访问–这个将对与访问AD对象(已经被配置为通过系统访问控制列表SACL 追踪用户访问情况)的用户有关的事件进行审计，AD对象的SACL指明了以下三件事： ·将会被追踪的帐户(通常是用户或者组)

系统安全防范之Windows日志与入侵检测

系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮； (3)在“Internet服务管理员”页中单击“WWW管理”； (4)在“WWW管理”页中单击“日志”选项卡； (5)选中“启用日志”复选框，并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统，在Windows NT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类： 系统日志：跟踪各种各样的系统事件，记录由Windows NT 的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。

Windows日志文件解读

Windows日志文件完全解读 日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着非常重要的作用。但许多用户不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows 的正常运行，一旦出现问题，即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1．修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。 2．设置文件访问权限 修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。 1．查看正常开关机记录

Windows日志文件全解读

一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项

详述Windows 2000 系统日志及删除方法

详述Windows 2000 系统日志及删除方法.txt两个人吵架，先说对不起的人，并不是认输了，并不是原谅了。他只是比对方更珍惜这份感情。Windows 2000的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同。当我们用流光探测时，比如说IPC探测，就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等，用FTP探测后，也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库，如果服务器没有这个文件都会在日志里记录下来，这就是为什么不要拿国内主机探测的原因了，他们记下你的IP后会很容易地找到你，只要他想找你！！还有Scheduler日志这也是个重要的LOG，你应该知道经常使用的srv.exe就是通过这个服务来启动的，其记录着所有由Scheduler服务启动的所有行为，如服务的启动和停止。 日志文件默认位置： 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config， 默认文件大小512KB，管理员都会改变这个默认大小。 安全日志文件：%systemroot%\system32\config\SecEvent.EVT 系统日志文件：%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志 Scheduler服务日志默认位置：%systemroot%\schedlgu.txt 以上日志在注册表里的键： 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

windows 日志文件详解

以WINDOWS2000为例! Windows2000的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等，可能会根据服务器所开启的服务不同。当我们用流光探测时，比如说IPC探测，就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等，用FTP探测后，也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至饔捌舳毙枰猰svcp60.dll这个动库链接库，如果服务器没有这个文件都会在日志里记录下来，这就是为什么不要拿国内主机探测的原因了，他们记下你的IP后会很容易地找到你，只要他想找你！！还有Scheduler日志这也是个重要的LOG，你应该知道经常使用的srv.exe就是通过这个服务来启动的，其记录着所有由Scheduler服务启动的所有行为，如服务的启动和停止。 日志文件默认位置： 应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\sys tem32\config，默认文件大小512KB，管理员都会改变这个默认大小。 安全日志文件：%sys temroot%\sys tem32\config\SecEvent.EVT 系统日志文件：%sys temroot%\sys tem32\config\SysEvent.EVT 应用程序日志文件：%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%sys temroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日志 Internet信息服务WWW日志默认位置：%sys temroot%\sys tem32\logfiles\w3svc1\，默认每天一个日志 Scheduler服务日志默认位置：%sys temroot%\schedlgu.txt 以上日志在注册表里的键： 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent FTP和WWW日志详解： FTP日志和WWW日志默认情况，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开，如下例： #Software: Microsoft Internet Information Services 5.0 （微软IIS5.0） #Version: 1.0 （版本1.0） #Date: 20001023 0315 （服务启动时间日期） #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331 （IP地址为127.0.0.1用户名为administator试图登录）0318 127.0.0.1 [1]PASS – 530 （登录失败） 032:04 127.0.0.1 [1]USER nt 331 （IP地址为127.0.0.1用户名为nt的用户试图登录） 032:06 127.0.0.1 [1]PASS – 530 （登录失败） 032:09 127.0.0.1 [1]USER cyz 331 （IP地址为127.0.0.1用户名为cyz的用户试图登录） 0322 127.0.0.1 [1]PASS – 530 （登录失败） 0322 127.0.0.1 [1]USER administrator 331 （IP地址为127.0.0.1用户名为administrator试图登录）

Evtsys--轻松将Windows日志转换为SYSLOG

Evtsys--轻松将Windows日志转换为SYSLOG 们知道，无论是Unix、Linux、FreeBSD、Ubuntu，还是路由器、交换机，都会产生大量的日志，而这些，一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉，如果您还不了解SYSLOG，请登录百度或Google查询。 很多时候，我们需要对日志进行集中化管理，如各种操作系统、网络设备、安全设备，甚至应用系统、业务系统等，但是不知道你注意看上文了没：Windows的应用、安全、系统日志怎么办？ Windows操作系统本身是可以产生很多日志的，如每次插拔U盘、服务的重启等，都会产生日志，这些信息会记录在操作系统中，如果我们想集中管理，怎么办？Windows操作系统本身并不支持把日志发送到SYSLOG服务器去 还好，我们有Evtsys。什么是Evtsys呢？如果你想下载Evtsys，请登录https://www.360docs.net/doc/019361745.html,/p/eventlog-to-syslog/ 查看并获取最新更新。值得称道的是，程序仅仅有几十KB大小！ 下载Evtsys后，将其复制到系统目录，XP下是Windows\system32目录。然后在CMD下执行： evtsys.exe -i -h 192.168.1.101 -p 514 这个是标准格式，亦可精简为： evtsys -i -h 192.168.1.101 参数说明： i是安装成Window服务； h是syslog服务器地址； p是syslog服务器的接收端口。 默认下，端口可以省略，默认是514. 启动Evtsys服务，命令是： net start evtsys 查看Windows的“服务”，发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”，并且已经启动。

Windows 事件查看器

在Windows XP 中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，您可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助您预测潜在的系统问题。 事件日志类型 基于Windows XP 的计算机将事件记录在以下三种日志中： 应用程序日志 应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。 安全日志 安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除文件）。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。您必须以Administrator 或Administrators 组成员的身份登录，才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。 系统日志 系统日志包含Windows XP 系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱动程序，则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记录的事件。 如何查看事件日志 要打开事件查看器，请按照下列步骤操作： 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的MMC。 在控制台树中，单击“事件查看器”。 应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。 如何查看事件详细信息 要查看事件的详细信息，请按照下列步骤操作： 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的MMC。 在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。 在详细信息窗格中，双击您要查看的事件。 会显示“事件属性”对话框，其中包含事件的标题信息和描述。 要复制事件的详细信息，请单击“复制”按钮，使用要在其中粘贴事件的程序（例如Microsoft Word）打开一个新文档，然后单击“编辑”菜单上的“粘贴”。 要查看上一个或下一个事件的描述，请单击上箭头或下箭头。 回到顶端

Windows日志浅析

Windows日志浅析 总体来看，登录/登出事件对可以很好地追踪用户在一台主机上完整活动过程的起至点，和登录方式无关。此外可以提供一些“帐户登录”没有的信息，例如登录的类型。此外对终端服务的活动专门用两个事件ID来标识。ok，我们开始分析，同样从5种类型分别进行分析。 1、本地方式的登录和登出 Randy大神在书中只提到了Windows使用两个事件ID528和540记录用户成功的登录（后者对应网络类型的登录），登出使用ID530。然而事实上同时发生的事件不只限于这些，那么让我们来看看用户简单的登录和登出活动至少会触发那些事件。 首先是成功的登录，从日志分析来看至少会有2个事件发生，分别为ID552和528，以下从左到右分别是各自的截图。 现在来各种进行详细分析，首先是ID552事件，该事件说明有人使用身份凭据在尝试登录，并且头字段中的用户名为SYSTEM。看看描述信息中有什么好东西： 使用明确凭据的登录尝试: （说明有人在尝试登录） 登录的用户: 用户名: WIN2003$ （主机名加了$后缀） 域: WORKGROUP （主机的域名，此例中主机在名称为“WORKGROUP”的工作组中） 登录ID: (0x0,0x3E7) 登录GUID: - 凭据被使用的用户: 目标用户名: Administrator （登录使用的用户名） 目标域: WIN2003 （要登录的主机名） 目标登录GUID: - 目标服务器名称: localhost 目标服务器信息: localhost 调用方进程ID: 1612 源网络地址: 127.0.0.1 （从IP地址很容易判断是本地登录） 源端口: 0 这里有一点要说明一下，Windows对这条日志的解释是“一个已登录的用户尝试使用另外一个用户凭证创建登录会话，例如使用“RUNAS”命令来运行某个可执行文件”。但事实上第1次用户成功登录后也会产生这个事件。

win2003中快速查看系统日志有一招

win2003中快速查看系统日志有一招 导读:系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹,记录着Windows系统运行的每一个细节，对Windows的稳定运行起着至关重要的作用。一旦服务器出现故障,管理员可以通过查看服务器中的Windows日志,及时找出出现故障的原因. 一般情况下，网管都是在本地查看日志记录，由于目前的局域网规模都比较大，因此网管不可能每天都呆在服务器旁。一旦远离服务器，网管就很难及时了解到服务器系统的运行状况，维护工作便会受到影响。现在，利用Windows Server 2003(简称Windows 2003)提供的Web访问接口功能就可解决这个问题，让网管能够远程查看windows 2003服务器的日志记录。 远程查看windows 2003服务器的日志记录非常简单。在远程客户端(可采用windows 98/2000/XP/2003系统)，运行IE浏览器，在地址栏中输入“https:##Win2003服务器IP地址:8098”，如“https:##192.168.0.1:8098”。在弹出的登录对话框中输入管理员的用户名和密码，点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接，切换到“维护”管理页面，然后点击“日志”链接，进入到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除windows 2003服务器日志。 在日志管理页面中可列出windows 2003服务器的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。 查看某类日志记录非常简单，笔者以查看Web管理志为例，点击“Web管理日志”链接，进入日志查看页面，在日志文件列表框中选中要查看的日志文件，然后点击右侧的“查看日志”按钮，就能浏览Web管理日志记录中的详细内容了。 清除某个日志文件也很简单，选中该日志文件后，点击“清除”按钮即可。如果你觉得远程查看日志不方便，想在本地机器中进行查看，这时你可以将日志文件下载到本地硬盘。选中某个日志文件，然后点击“下载日志”按钮，在弹出的“文件下载”对话框中点击“保存”按钮并指定存放路径即可。

系统日志文件

系统日志源自航海日志：当人们出海远行的时候，总是要做好航海日志，以便为以后的工作做出依据。日志文件作为微软Windows系列操作系统中的一个比较特殊的文件，在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切，利用系统日志文件，可以使系统管理员快速对潜在的系统入侵作出记录和预测，但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为黑客们光临才会使我们想起这个重要的系统日志文件。 7.1 日志文件的特殊性 要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。 7.1.1 黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。 7.1.2 Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。 (1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮； (3)在“Internet服务管理员”页中单击“WWW管理”；

使用CleanIISLog清除Windows系统日志、安全日志和应用程序日志

使用工具清除IIS日志 一、实验目的 ●了解IIS日志文件清除的基本原理。 ●掌握CleanIISLog.exe工具的使用方法和各项功能。 ●通过使用CleanIISLog.exe工具清除本机上的IIS日志。 ●掌握针对日志清除攻击的防御方法。 二、实验要求 ●认真阅读和掌握本实验相关的知识点。 ●上机实现软件的基本操作。 ●得到实验结果，并加以分析生成实验报告。 注：因为实验所选取的软件版本不同，学生要有举一反三的能力，通过对该软件的使用能掌握运行其他版本或类似软件的方法。 三、实验步骤 1、获取IIS日志文件的存放路径和文件名 通过“控制面板”-“管理工具”-“Internet 信息服务”打开Internet 信息服务管理器，从“Internet 信息服务”依次展开至“网站”-“默认网站”，然后右键单击选择“属性”，打开默认网站属性配置窗口，如图1所示。 图1打开默认网站“属性”配置 查看“W3C扩展日志文件”的保存位置。在网站“属性”配置中，如果没有启用日志记录，则在系统中不会记录IIS的日志，默认是启用日志记录。单击活动日志格式下面的“属性”按钮，在弹出的窗口中可以看到日志记录的保存位置，如图2所示，单击“扩展属性”

可以查看日志记录的详细设置选项。 图2 查看W3C扩展日志文件的保存位置 说明： ①IIS日志文件一般是存放于系统目录的logfiles目录，例如在WindowsXP以及Windows2003操作系统中，默认日志文件存放于“C:\WINDOWS\system32\Logfiles\”目录下，日志文件夹以“W3SVC”进行命名，如果有多个网站目录，则会存在多个“W3SVC”目录。 2. 查看日志文件 如果在IIS配置中启用了日志记录，则用户在访问网站时，系统会自动记录IIS日志，并生成log文件。在本案例中直接打开“C:\WINDOWS\system32\Logfiles\W3SVC1\ex100507.log”日志文件，如图3所示，其中包含了用户访问的IP地址，访问的网站文件等信息 图3 打开日志文件 3．测试CleanIISLog软件能否正常运行 启动DOS窗口，并到CleanIISLog.exe软件所在目录下，然后输入“CleanIISLog”命令；如果运行正常则会给出一些帮助信息，如图4所示；否则会提示错误信息。

Windows事件日志详解--登陆类型

Windows事件日志详解--登陆类型 windows 安全日志时，经常发现登录类型的值不同。有2，3，5，8等。最常见的类型是2 (交互式)和3 (网络)。下面详细列出了可能的登录类型值 登录类型2：交互式登录（Interactive） 这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录。 登录类型3：网络（Network） 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。 成功的网络登录: 用户名: 域: 登录ID: (0x2,0xFC38EC05) 登录类型: 3 登录过程: NtLmSsp 身份验证数据包: NTLM 工作站名: 098B11CAF05E4A0 登录GUID: - 调用方用户名: - 调用方域: - 调用方登录ID: - 调用方进程ID: - 传递服务: - 源网络地址: 192.168.197.35 源端口: 0 调用方进程名称: %16 登录类型4：批处理（Batch） 当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。 登录类型5：服务（Service） 与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务

分析windows系统DCOM错误日志及解决方案

分析系统错误日志及解决方案 这几天有一个客户的服务器出现死机现象，上去看了下日志，里面有很多的错误日志，也不知道是不是死机的原因，先处理了再说 日志内容： 事件类型：错误 事件来源： 事件种类：无 事件: 日期： 事件： 用户： 计算机： 描述： 权限设置未将服务器应用程序( 为{})的权限授予用户()。可以使用组件服务管理工具修改此安全权限。 日志内容的意思是说， 用户对为的应用程序没有本地激活的权限，所以找到这个应用程序，需要在组件服务管理工具里加上本地激活的权限即可。以下是网操作方法：)由于在组件服务管理工具里，只显示组件名称和应用程序()，所以要先到注册表里找这个对应的应用程序的. )打开注册表，找到{}下面的,将的值复制出来。 ) 在组件服务管理工具里找这个对应的应用程序，找到后打开应用程序的属性，在属性里的安全选项卡里的启动和激活权限下选择自定义编辑，在弹出的窗口中将用户添加进去，并勾选本地激活的权限即可。 结语：您是不是也会咯? 以下内容为繁体版這幾天有一個客戶的服務器出現死機現象，上去看瞭下日志，裡面有很多的錯誤日志，也不知道是不是死機的原因，先處理瞭再說日志內容： 事件類型：錯誤 事件來源： 事件種類：無 事件: 日期： 事件： 用戶： 計算機： 描述： 權限設置未將服務器應用程序( 為{})的權限授予用戶()。可以使用組件服務管理工具修改此安全權限。 日志內容的意思是說， 用戶對為的應用程序沒有本地激活的權限，所以找到這個應用程序，需要在組件服務管理工具裡加上本地激活的權限即可。以下是網操作方法：

)由於在組件服務管理工具裡，隻顯示組件名稱和應用程序()，所以要先到註冊表裡找這個對應的應用程序的. )打開註冊表，找到{}下面的,將的值復制出來。 ) 在組件服務管理工具裡找這個對應的應用程序，找到後打開應用程序的屬性，在屬性裡的安全選項卡裡的啟動和激活權限下選擇自定義編輯，在彈出的窗口中將用戶添加進去，並勾選本地激活的權限即可。 結語：您是不是也會咯?

部署收集windows日志软件

部署收集windows日志软件evtsys 1、第一阶段部署服务器列表(要求顺序部署) 2、第二阶段部署服务器列表

3、解压缩Evtsys_4.5.1_32-Bit.zip文件，得到evtsys.exe文件。 4、32位windows系统evtsys安装(如果是64位windows系统， 请找陈涛要64位安装包) copy evtsys.exe c:\windows\system32\ cd c:\windows\system32 evtsys.exe -i -a -h 172.30.10 -l 3 命令成功运行后会在系统增加EventLog to Syslog服务。 5、启动Evtsys服务，命令是： net start evtsys 6、打开windows控制面板/管理工具/服务，查看“Eventlog to syslog”服务的状态是否“正在运行”，启动类型是否“自动”。

7、回滚措施 停止Evtsys服务，命令是： net stop evtsys 删除Evtsys服务，命令是： cd c:\windows\system32 evtsys -u 8、evtsys参数说明 可以在下载后的安装包中查看说明文档有详细信息

evtsys.exe -i|-u|-d [-h host] [-p port] -i Install service (安装服务) -u Uninstall service (卸载服务) -d Debug: run as console program (以debug模式运行) -h host Name of log host (日志服务器IP地址) -p port Port number of syslogd (日志服务器端口，默认是514

如何查看服务器系统日志

关闭计算机时，提示“其他用户登录到这台计算机，关闭WINDOWS会使他们丢失数据，您想要继续关机么” 最佳答案 1、你用的是哪个用户名?如果是唯一的一个administrator那么这个提示就不应该有,如果有两个,或者两个以上,那么这个提示有就是正常的。 你的电脑应该有两个用户以上 2、你在局域网里吗？ 原因：别人使用你在局域网的共享资料。 关闭方法： 1）点击/开始/控制面板/性能和维护/管理工具/服务/右击Server/选“属性”/常规/（在该标签下把“启动类型”下拉列表框中）选中“已禁用”/确定，就可禁止所有共享，即不能再共享硬盘了。 2）还要关闭简单文件共享：打开“我的电脑”，选择菜单“工具”菜单下的“文件夹选项”，然后点击“查看”标签，去掉“使用简单文件共享（推荐）”前面的“√”/确定即可 3、待机状态下，系统没有退出，所以提示有其他用户登录， 重新登录后，再关机 4、查你自己的3389端口,有可能有人远程上了你的电脑.打全补丁.关闭远程登陆 谢谢各位大仙,估计问题就是如各位所说的待机状态下，系统没有退出，所以提示有其他用户登录，我明白了,再次感谢! 待机是系统将当前状态保存于内存中，然后退出系统，此时电源消耗降低，维持CPU、内存和硬盘最低限度的运行；按计算机上的电源就可以激活系统，电脑迅速从内存中调入待机前状态进入系统，这是重新开机最快的方式，但是系统并未真正关闭，适用短暂关机 怎么设置自动待机桌面右键→属性→屏幕保护程序→电源→电源使用方案→系 统待机→选个时间→确定→确定

如何查看服务器系统日志? 如果你已经用上了Windows XP，那么是否意识到不管你是否愿意，操作系统每天都在后台默默无闻地记录下所有的一举一动，相当于忠实的史官“铁笔写春秋”， 这就是可以在“控制面板→管理工具”中找到的“事件查看器”，通过它可以了解系统的喜怒哀乐和一言一行，虽然都是一些流水账，但我们既可以从中品尝到成功的喜悦，也可以找到失败的原因，实在是一个忠实的系统助手。 查看方法：登陆服务器后进入控制面板—管理工具—事件查看器 日志按照内容被分为三类，双击每条日志即可查看详情。 应用程序：主要是记载服务器上面软件程序运行方面的一些事件。 安全性：主要是记载服务器用户登录的情况。 系统：主要是记载服务器系统程序运行状况。 下面分别举例介绍： 应用程序日志