事件查看器对应解释
Windows2003 事件查看器事件ID对应解释
使用本模块可以实现下列目标:
?识别由Microsoft? Windows Server? 2003 操作系统生成的安全事件。
返回顶部
适用范围
本模块适用于下列产品和技术:
?W indows Server 2003
返回顶部
如何使用本模块
本模块是“Windows Server 2003 安全指南”的补充内容。本模块中的表可以用作快速参考,以帮助您识别在Microsoft? Windows 操作系统事件日志中所记录的与安全有关的事件。本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。
返回顶部
帐户登录事件
表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
表1:审核帐户登录事件
事件
事件描述
ID
672 已成功颁发和验证身份验证服务(AS) 票证。
673 授权票证服务(TGS) 票证已授权。TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。
674 安全主体已更新AS 票证或TGS 票证。
675 预身份验证失败。用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。
676 身份验证票证请求失败。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
677 TGS 票证未被授权。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
678 帐户已成功映射到域帐户。
681 登录失败。尝试进行域帐户登录。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。
682 用户已重新连接至已断开的终端服务器会话。
683 用户未注销就断开终端服务器会话。
返回顶部
帐户管理事件
表2 显示了由“审核帐户管理”安全模板设置所生成的安全事件。表2:审核帐户管理事件
事件描述
事件
ID
624 用户帐户已创建。
627 用户密码已更改。
628 用户密码已设置。
630 用户帐户已删除。
631 全局组已创建。
632 成员已添加至全局组。
633 成员已从全局组删除。
634 全局组已删除。
635 已新建本地组。
636 成员已添加至本地组。
637 成员已从本地组删除。
638 本地组已删除。
639 本地组帐户已更改。
641 全局组帐户已更改。
642 用户帐户已更改。
643 域策略已修改。
644 用户帐户被自动锁定。
645 计算机帐户已创建。
646 计算机帐户已更改。
647 计算机帐户已删除。
ID
648 禁用安全的本地安全组已创建。
注意:从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。
649 禁用安全的本地安全组已更改。
650 成员已添加至禁用安全的本地安全组。
651 成员已从禁用安全的本地安全组删除。
652 禁用安全的本地组已删除。
653 禁用安全的全局组已创建。
654 禁用安全的全局组已更改。
655 成员已添加至禁用安全的全局组。
656 成员已从禁用安全的全局组删除。
657 禁用安全的全局组已删除。
658 启用安全的通用组已创建。
659 启用安全的通用组已更改。
660 成员已添加至启用安全的通用组。
661 成员已从启用安全的通用组删除。
662 启用安全的通用组已删除。
663 禁用安全的通用组已创建。
664 禁用安全的通用组已更改。
665 成员已添加至禁用安全的通用组。
666 成员已从禁用安全的通用组删除。
667 禁用安全的通用组已删除。
668 组类型已更改。
684 管理组成员的安全描述符已设置。
注意:在域控制器上,每隔60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。
ID
685 帐户名称已更改。
返回顶部
目录服务访问事件
表3 显示了由“审核目录服务访问”安全模板设置所生成的安全事件。
表3:审核目录服务访问事件
事件ID 事件描述
566 发生了一般对象操作。
返回顶部
审核登录事件
表4 包含由“审核登录事件”安全模板设置所生成的安全事件。
表4:审核登录事件
审核登录事件
事件
ID
528 用户成功登录到计算机。
529 登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。530 登录失败。试图在允许的时间外登录。
531 登录失败。试图使用禁用的帐户登录。
532 登录失败。试图使用已过期的帐户登录。
533 登录失败。不允许登录到指定计算机的用户试图登录。
534 登录失败。用户试图使用不允许的密码类型登录。
535 登录失败。指定帐户的密码已过期。
536 登录失败。Net Logon 服务没有启动。
537 登录失败。由于其他原因登录尝试失败。
注意:在某些情况下,登录失败的原因可能是未知的。
538 用户的注销过程已完成。
539 登录失败。试图登录时,该帐户已锁定。
ID
540 用户成功登录到网络。
541 本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式Internet 密钥交换(IKE) 身份验证已完成,或者快速模式已建立了数据频道。
542 数据频道已终止。
543 主要模式已终止。
注意:如果安全关联的时间限制(默认为8 小时)过期、策略更改或对等终止,则会发生此情况。
544 由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。
545 由于Kerberos 失败或者密码无效,造成主要模式身份验证失败。
546 由于对等客户端发送的建议无效,造成IKE 安全关联建立失败。接收到的程序包包含无效数据。
547 在IKE 握手过程中,出现错误。
548 登录失败。来自信任域的安全标识符(SID) 与客户端的帐户域SID 不匹配。
549 登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的SID 将被筛选出去。
550 可以用来指示可能的拒绝服务(DoS) 攻击的通知消息。
551 用户已启动注销过程。
552 用户使用明确凭据成功登录到作为其他用户已登录到的计算机。
682 用户已重新连接至已断开的终端服务器会话。
683 用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。
事件查看器如何使用
一、事件查看器相关知识 1.事件查看器 事件查看器是 Microsoft 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视操作系统中的安全事件。有三种方式来打开事件查看器: (1)单击开始-设置-控制面板-管理工具-事件查看器,打开事件查看器窗口 (2)在运行对话框中手工键入%SystemRoot%system32eventvwr.msc /s打开事件查看器窗口。 (3)在运行中直接输入eventvwr或者eventvwr.msc直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。 (3)系统日志 包含 XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动时,事件日志服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了操作系统对事件的分类。事件查看器显示如下类型的事件:
教育学综合名词解释汇总
教育学综合名词解释汇总 名词解释: 1、教育先行:教育先行就是要求教育要面向未来,使教育在适应现存生产力和政治经济发展水平的基础上,适当超前于社会生产力和政治经济的发展,其中一是教育投资增长速度应当超过经济增长速度;二是在人才培养上要兼顾社会主义现代化建设近期与远期的需要,目标、内容等方面适应超前。 2、教育目的的社会本位论:社会本位的教育目的论的基本主张是以社会的稳定和发展为教育的最高宗旨,教育目的应当依据社会的要求来确定。代表人物:涂尔干、孔德等。 3、终身教育:它在20世纪60年代中期星期,70年代产生广泛影响,主要代表人物是法国的朗格郎。终生教育强调教育史贯穿人的整个一生及人的发展各个阶段的持续不断的过程;终生教育的主要任务是养成学习的习惯和继续学习所需的各种能力。 4、教师专业性发展:教师专业化是指教师的专业知识、专业能力和职业道德品质的成长发展的过程,也是教师职业具有自己独特的职业要求和职业条件,成为专业人员并在教学中逐步成熟的发展过程。这个过程包括两个方面的内容:教师职业专业化和教师教育专业化。其中教师职业专业化只能是通过教师教育专业化来实现。 5、先行组织者:奥苏贝尔提出的。是先于学习任务呈现的一种引导性材料,它的抽象、概括和综合水平高于学习任务,并且与认知结构中原有的观念和心的学习任务相关联。其目的是为新的学习任务提供观念上的固着点,增加新旧知识之间的可辨别性,以促进学习的迁移。 6、五育并举的教育方针:在全国第一次教育讨论会上,蔡元培明确提出新的教育方针,提出“五育并举”的思想。包括军国民教育(军国民教育即军事体育)、公民道德教育即德育、实利主义教育(实利主义教育即智育)世界观教育、美感教育(美感教育亦称美育)。。“五育”并举的教育就是德智体美和谐发展的教育,是符合当时历史发展要求的,是对封建教育及半殖民到半封建教育宗旨的否定,在教育思想史上也是一个巨大的进步。从人才培养看,也符合人的全面发展的教育规律。 7、苏格拉底法:苏格拉底在教学中形成了具有自己特色的方法,一般称为“苏格拉底法”,苏格拉底将它称为“产婆术”。苏格拉底法可以分为四个部分:讥讽、助产术、归纳和下定义。所谓“讥讽”,就是在谈话中让对方谈出自己对某一问题的看法,然后揭露出对方谈话中的自相矛盾,使对方承认自己对这一问题实际上一无所知。所谓“助产术”,就是用谈话法帮助对方把知识回忆起来,就像助产婆帮助产妇产出婴儿一样。所谓“归纳”,是通过问答使对方的认识能逐步排除事物的个别的特殊的东西,揭示出事物的本质的普遍的东西。从而得出事物的“定义”。这是一个从现象、个别到普遍、一般的过程。 8、《初等教育法》:1870年,英国国会正式颁布“初等教育法”(Elementary也称福斯特法案)。这是英国国民教育制度正式形成的标志。 ⑴提出在全国各地5-12岁普及义务教育; ⑵国家仍然保留国民教育,特别是初等教育辅助权,监督权; ⑶将全国分成若干学区,每学区建立可征收税收,地方教育局领导地方教育,承认英国私立教育机构,认为这是国家教育的一种类型; ⑷宗教科目与世俗科目分离。 9、学习动机:是指激发个体进行学习活动、维持已引起的学习活动并致使行为朝向一定的
Windows日志文件解读
Windows日志文件完全解读 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows 的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1.修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。 2.设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1.查看正常开关机记录
如何查看电脑使用记录完整版
如何查看电脑使用记录 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
一、如何查看电脑开机记录 1.打开“我的电脑”,C盘Windows目录下有很多文件,找到一个(或者开始-运行)。它是“计划任务”的日志,会忠实地记录电脑计划任务的执行情况,还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”,双击“管理工具”,然后打开“事件查看器”,在左边的窗口中选择“系统”选项。单击鼠标右键,在弹出的快捷菜单中选择“属性”,在打开的“系统属性”窗口中选择“筛选器”选项卡,在“事件类型”下面选中“信息”复选项,并在“事件来源”列表中选择“eventlog”选项,继续设定其他条件后,单击“确定”按钮,即可看到需要的事件记录了。双击某条记录,如果描述信息为“事件服务已启动”,那就代表计算机开机或重新启动的时间,如果描述信息是“事件服务已停止”,即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序,文件最前面的为程序名,后面的执行代码不用理他!如果你没有优化过的话~这里面保存的东西应该是非常有价值的!
2.看你最近打开过什么文件(非程序)和文件夹(最近打开文件的历史记录)! "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator (Administrator改成你的用户名)"-"Recent"(或开始-运行-recent)。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始-运行-Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始-文档中可以看到最近使用过的文件。 5. 电脑日志记录:开始/控制面板/性能和维护(经典视图里去掉这个)/管理工具/事件查看器,看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始-运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址,可以在IE里点击历史记录。
事件查看器登陆类型
Windows登录类型 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗? 不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。 登录类型2:交互式登录(Interactive) 这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。 登录类型3:网络(Network) 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。 登录类型4:批处理(Batch) 当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。 登录类型5:服务(Service) 与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
教育学名词解释精选汇总
教育学名词解释 1、学制: 学制就是学校教育制度得简称,指一个国家各级各类学校得系统,它规定各级各类学校得性质、任务、入学条件、修业年限、领导体制以及它们之间得相互关系等。 2、课堂教学: 又称班级授课制,就是将学生按年龄与知识水平,分成固定人数得班级,教师以班为单位,按固定得时间表,分科进行连续教学活动得一种组织形式。 3、学校教育: 亦称狭义教育,就是教育者根据一定社会得要求与年轻一代身心发展规律,对受教育者所进行得一种有目得,有计划,有组织得传授知识技能,培养思想品德,发展智力与体力得活动。 4、陶冶教育: 在对学生进行思想品德教育过程中,创设与利用有教育意义得情境以及教育者自身等教育因素,潜移默化培养学生高尚情操得一种方法。 5、《学记》: 就是中国古代得教育专著,就是世界上最早得教育理论著作,在世界教育史上影响较大。它仅仅用了一千二百二十九个字就比较准确地揭示了教育活动得许多规律,对今天得教育活动仍有巨大得指导作用。 6、课堂教学 课堂教学(又称班级授课制)将学生按年龄与知识水平,分成固定人数得班级,教师以班为单位,按固定 得时间表,分科进行连续教学活动得一种组织形式。 7、学制 学制就是由国家制定得全国各级各类学校得系统,它规定着各级各类学校得性质、任务、入学条件、修业年限以及它们之间得关系 8、遗传素质 遗传素质就是指人从祖先那里继承下来得解剖生理方面得特点。 9、讲授法 讲授法就是教师通过语言向学生系统地连贯地传授文化科学知识得教学方法。它包括讲述、讲解、讲读、讲演等方式。 10、美育 美育又称为审美教育,就是培养学生正确得审美观与感受美、鉴赏美、体现美能力,以及培养学生具有从事艺术与创造美能力得活动。 11、教育目得 教育目得就就是把受教育者培养成为一定社会所需要得人得总要求,规定着人才培养得质量规格。 12、教学大纲 教学大纲就是根据教学计划以纲要得形式编定得有关学科教学内容得教学指导文件。 13、启发式 启发式指教师从学生得实际出发,采取各种有效得形式去调动学生学习得积极性与主动性,指导她们自已去学习得方法。通过启发教学,促使学生独立思考问题,引起学习兴趣,培养学习能力,使她们生动、活泼、主动地得到发展。 14、榜样示范 榜样示范就是利用她人得模范行为或英雄事迹作榜样,培养学生良好得思想品德得一种教育方法。 15、集体舆论 集体舆论就是指在集体中占优势得,为大多数人赞同得言论与意见。它以议论、褒贬等形式肯定或否定集体得动向与集体成员得言行,成为个人与集体发展得一种力量,就是学生自我教育得主要手段。
Windows日志文件全解读
一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项
事件查看器查看故障代码
如何在事件查看器里查看故障代码 在现场维修时,我们常常会遇到手上没有KEY盘,但是为了准确找到故障点,急需详细故障代码的情况。本文的目的就是介绍在没有KEY盘的情况下,查看NCR ATM故障代码之方法。 首先,我们需要进入WINDOWS系统的事件查看器。 方法一在开始菜单的运行里面,输入“eventvwr”,敲击回车进入事件查看器。 方法二开始菜单(start)—控制面板(control panel)— —管理工具(administrative tools)—事件查看器(event viewer)。 进入事件查看器后,在左边选择“应用程序(application)”,右边会列出事件清单。 如图所示: 如果“来源(source)”一项里是“NCR Platform”则表示该事件为NCR的事件报告。一般我们需要关注的是“错误(ERROR)”与“警告(W ARNING)”两个级别的事件。 选定其中的一个事件,敲一下回车,就会弹出事件的详细描述。如下图所示:
定位码 在该事件的描述中,包含了详细的故障信息。 其中Device 表示设备 Mstatus 表示主故障代码 Slen 表示S码长度(与我们无关) Mlen 表示故障定位码长度(需减2) 在对话框下方的数据池为各类从代码(16进制)。 因为在此例中Slen=5,Mlen=12,表示前5个字节为S码,从第6个字节开始为定位码M_data,长度为12-2=10字节,如图所示。 查阅故障代码表,我们可以很清晰地找出相应的故障点——出钞模块未安装废钞箱。 再举一个例子,如图所示:
定位码 在此例中,设备为热敏流水打印机,故障主代码Mstatus=7。 因为Slen=1,Mlen=6,表示数据池前一个字节为S码,从第2个字节开始为定位码M_data 长度为6-2=4字节,也就是说定位码是40 00 00 02。 查阅故障代码表,可知流水打印机送纸堵塞。
在系统启动时至少有一个服务或驱动程序产生错误,详细信息请使用事件查看器查看日志。
在系统启动时至少有一个服务或驱动程序产生错误,详细信息请使用事件查看器查看日志。是怎么回事啊? 右击我的电脑,属性,打开高级属性项,点击启动和故障恢复项设置,把系统失败项里的勾去掉。应该就不出了,最好找个优化大师来优化下系统垃圾文件。 修复系统吧这种情况一般都是2003SERVER或者2000SERVER 报的错先在运行里边CHKDSK 然后修复系统建议用修复盘修复 硬件驱动程序出现出错信息,可以查看该硬件在设备管理器中是否出现错误,如有错误,则删除,重新安装该硬件.(当然,硬件的驱动要装对). 打开控制面板-〉管理工具-〉服务,在右边可以看到系统服务列表,点击”启动类型“,按”启动类型“排序,查看”启动类型”为“自动”的服务的“状态”是否为“已启动”,找出没有启动的服务,然后尝试启动该服务,若正常启动,那么OK,系统启动时就不会出现上述错误了,若不能正常启动,那么根据启动错误信息再找找相关的解决办法. -------------------------------------------------------------------------------- 根据以上办法多半都能解决,不能解决的看下具体情况,如果是一些没太大必要的启动项可以禁用.以下给出更具体的解决办法: 1.最科学的方法: 第一步:记录问题的现象或者相关事件的描述。 对于某一个事件的发生,对于Windows 2000/XP/2003来说,会记录相关的日志信息。比如经常出现的启动后弹出一个对话框:“在系统启动时至少有一个服务或驱动程序产生错误,详细信息,请使用事件查看器查看事件日志”。其实很简单,操作系统已经告诉我们了,下面需要做的事情。 控制面板-〉管理工具-〉事件查看器 我们可以在事件查看器里面找到相关的事件。事件注意的顺序是:Error、Warning、Others Error(错误)事件的颜色是一个红色的标记,Warning(警告)事件是一个黄色,Other则是其他相关的标示。 那么对于这么多的错误,我们应该处理哪一个错误呢?本次开机离最后出现的事件最远的一个错误信息。也就是说,本次开机第一次出现的错误日志。这个是非常关键的部分。因为有可能后面所有的错误/警告事件的发生都跟这个有或多或少的联系。 OK,记录下事件的信息(事件源,事件ID,事件描述),相关的第一步算是完成了。 PS:对于蓝屏来说,我们需要记录的是Stop后面的东西0xXXXXXXXX(...),和出现的相关
Automation错误的解决方案
Automation错误的解决方案 本文概述 ●本文档适用K/3各个版本 ●本文档例举了K/3在主控台、日常操作、和出现高级提示时Automation错误的出错 现象,通过对本文档的学习能够了解K/3 Automation错误的原因,如何通过各种方 法进行解决的过程。 版本信息 ●2009年06月26日 V1.0 编写人:崔志佳 版权信息 本文件使用须知 著作权人保留本文件的内容的解释权,并且仅将本文件内容提供给阁下个人使用。对于内容中所含的版权和其他所有权声明,您应予以尊重并在其副本中予以保留。您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。如果您不接受或违反上述约定,您使用本文件的授权将自动终止,同时您应立即销毁任何已下载或打印好的本文件内容。 著作权人对本文件内容可用性不附加任何形式的保证,也不保证本文件内容的绝对准确性和绝对完整性。本文件中介绍的产品、技术、方案和配置等仅供您参考,且它们可能会随时变更,恕不另行通知。本文件中的内容也可能已经过期,著作权人不承诺更新它们。如需得到最新的技术信息和服务,您可向当地的金蝶业务联系人和合作伙伴进行咨询。 著作权声明著作权所有 2009 金蝶软件(中国)有限公司。 所有权利均予保留。
目录 1AUTOMATION错误(一)主控台登录报错 (3) 1.1问题描述 (3) 1.2原因分析 (3) 1.3解决方案 (4) 1.3.1部分客户端报错 (4) 1.3.2所有客户端报错 (8) 2AUTOMATION错误(二)部分功能报错 (8) 2.1问题描述 (8) 2.2原因分析 (9) 2.3解决方案 (10) 3AUTOMATION错误(三)高级信息报错 (14) 3.1问题描述 (14) 3.2问题分析 (15) 3.3解决方案 (15)
事件查看器对应解释
Windows2003 事件查看器事件ID对应解释 使用本模块可以实现下列目标: ?识别由Microsoft? Windows Server? 2003 操作系统生成的安全事件。 返回顶部 适用范围 本模块适用于下列产品和技术: ?W indows Server 2003 返回顶部 如何使用本模块 本模块是“Windows Server 2003 安全指南”的补充内容。本模块中的表可以用作快速参考,以帮助您识别在Microsoft? Windows 操作系统事件日志中所记录的与安全有关的事件。本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。 返回顶部 帐户登录事件 表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 表1:审核帐户登录事件 事件 事件描述 ID 672 已成功颁发和验证身份验证服务(AS) 票证。 673 授权票证服务(TGS) 票证已授权。TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 674 安全主体已更新AS 票证或TGS 票证。 675 预身份验证失败。用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。 676 身份验证票证请求失败。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 677 TGS 票证未被授权。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 678 帐户已成功映射到域帐户。 681 登录失败。尝试进行域帐户登录。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 682 用户已重新连接至已断开的终端服务器会话。 683 用户未注销就断开终端服务器会话。
如何查看电脑使用记录
一、如何查看电脑开机记录 1.打开“我的电脑”,C盘Windows目录下有很多文件,找到一个SchedLgU.txt(或者开始-运行SchedLgU.txt)。它是“计划任务”的日志,会忠实地记录电脑计划任务的执行情况,还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”,双击“管理工具”,然后打开“事件查看器”,在左边的窗口中选择“系统”选项。单击鼠标右键,在弹出的快捷菜单中选择“属性”,在打开的“系统属性”窗口中选择“筛选器”选项卡,在“事件类型”下面选中“信息”复选项,并在“事件来源”列表中选择“eventlog”选项,继续设定其他条件后,单击“确定”按钮,即可看到需要的事件记录了。双击某条记录,如果描述信息为“事件服务已启动”,那就代表计算机开机或重新启动的时间,如果描述信息是“事件服务已停止”,即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序,文件最前面的为程序名,后面的执行代码不用理他!如果你没有优化过的话~这里面保存的东西应该是非常
有价值的! 2.看你最近打开过什么文件(非程序)和文件夹(最近打开文件的历史记录)! "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator (Administrator改成你的用户名)"-"Recent"(或开始-运行-recent)。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始-运行-Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始-文档中可以看到最近使用过的文件。 5. 电脑日志记录:开始/控制面板/性能和维护(经典视图里去掉这个)/管理工具/事件查看器,看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始-运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址,可以在IE里点击历史记录。
如何查看或删除电脑历史操作记录
如何查看电脑历史操作记录 如何查看电脑历史操作记录? 1.看计算机在哪天运行过~运行了多久! (系统安装在c盘) 找到c:\windows\SchedLgU.txt文件里面有你自这个系统产生以来曾经工作过的时间,包括哪天开了机开机时间关机时间! 2.看你最近运行过什么程序: 找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序,文件最前面的及为程序名,后面的执行代码不用理他!如果你没有优化过的话~这里面保存的东西应该是非常有价值的! 3.看你最近打开过什么文件(非程序)和文件夹! 开始--运行—recent可以看到在本地硬盘上的操作,(包括打开的电影,word文档等). 还可以运行Local Settings,有个History的文件夹,里面的记录更详细. 若要查看上网记录,运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的. 4.看最近在网上做了什么…………等等~ 显示所有文件个文件夹,找到C:\Documents and Settings\xukunping\Local Settings目录~~你慢慢探索一下这个文件夹吧~如果没有进行过磁盘清理或相关优化~你所有记录可全在这个里面哦~(包括你上网干了什么坏事~可能还能有视频,图片罪证呢!呵呵) 5.查看最近删除了什么:这就要用到硬盘恢复工具啦~把你曾经以为彻底删除掉的东西都给你翻出来~~哈哈!! ---------- 6、开机到现在的总时间 运行---cmd----systeminfo 有一行为“系统启动时间”其描述的为开机到现在的总时间 另有计算机的其它信息,如系统型号;安装初始时间;产品ID号等; 在Windows XP中,我们可以通过“事件查看器” 的事件日志服务查看计算机的开、关机时间。 控制面板/管理工具/事件查看器, 1 1、打开“控制面板”,双击“管理工具”,然后打 开“事件查看器”,在左边的窗口中选择“系统” 选项。单击鼠标右键,在弹出的快捷菜单中 选择“属性”,
巧用事件查看器维护服务器安全
巧用事件查看器维护服务器安全 (一)事件查看器相关知识 事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人 员维护系统有一定的借鉴和参考。 (一)事件查看器相关知识 1.事件查看器 事件查看器是Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查 看器: (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口 (2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。 (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响 应。 (3)系统日志 包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了Windows 操作系统对事件的分 类。事件查看器显示如下类型的事件:
如何查看电脑开关机记录
如何查看电脑开关机记录 | 浏览:3 | 更新:2013-04-26 14:56 | 标签:开关机 如何查看电脑开关机记录 (一)如果你只是想查看一下,从昨天关机到今天开机之间有没有人使用我的计算机,在“开始”菜单的运行”中输入“eventvwr.msc” ,或者是按下"开始菜单"-"程序"-"管理工具"-"事件查看器",打开事件查看器,在左侧窗口中选择“系统”
,从右侧系统事件中查找事件ID为6005、6006的事件(事件ID号为6005的事件表示事件日志服务已启动,即开机,同理事件ID:6006表示关机),它们对应的时间就分别是开机时间和关机时间。 (二)如果你觉得从这么多事件中找开关机事件太费事,你可以使用“筛选”来使内容简洁。在事件查看器的“查看”菜单中选择“筛选”选项,在属性对话框中选择“筛选器”选项卡,并在其中勾选“信息”、“警告”、“错误”三项,
在“事件来源”下拉列表中选择“eventlog”,单击“确定”按钮后,系统事件中的内容就少了很多,我们可以轻易找到最近的开关机时间。 (三)如果你依旧觉得太费事,那只好使用必杀技了。在“开始”菜单中的“运行”中输入“C:\WINDOWS\schedlgu.txt”,在打开的schedlgu.txt文件中有“任务计划程序服务”已启动于和“任务计划程序服务”已退出于的时间,分别对应着开机和关机时间,是不是很方便呢?
天天备案也不难。 (四)如果你想每一次开关机都能清楚地记录在案,那可以用“脚本+批处理”的方法。不过你要亲自动手了,我们使用“脚本+批处理”的方式来实现。只需在开机、关机脚本上添加两个记录时间的批处理命令,让它们随系统启动或关闭记录当时的时间到C:\aaa.txt文件中。首先新建两个文本文档,分别用来记录开机和关机信息,输入以下的命令,然后另存为“.bat”文件就可以了。其中开机批处理(start.bat)如下:@echo off>>c:\aaa.txt echo ***开机记录***>>c:\aaa.txt echo.>>c:\aaa.txt echo %date% %time:~0,-3% %username%>>c:\aaa.txt echo.>>c:\aaa.txt echo **************>>c:\aaa.txt echo.>>c:\aaa.txt echo. 而关机批处理(shutdown.bat)命令只要把start.bat中的“***开机记录***”改为“***关机记录***”即可,其余不变。将上面的两个批处理命令做好后,在“开始”菜单中的“运行”中输入gpedit.msc,打开组策略,依次找到“计算机配置→windows设置→脚本(启动和关机)”,双击“启动”,在属性对话框中单击“添加”按钮,并在“脚本名”一栏中填入“start.bat”的绝对路径,单击“确定”按钮。同理设置好关机脚本。这样可以了,开关机做个实验,打开C:\aaa.txt 文件,是不是记录了你刚才的关机和开机时间呢?
事件查看器事件处理集
事件查看器事件处理集 打开事件查看器,发现里面有如下的系统错误日志: DCOM 遇到错误“无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动。”,试图以参数“”启动服务StiSvc 以运行服务器: {A1F4E726-8CF1-11D1-BF92-0060081ED811} 这个日志已经告诉我们了,错误就出在DCOM的权限上。原来以WindowsForm或在VS2005中的Web项目运行的时候,调用这个DCOM的是当前操作用户的权限,所以一般也没有问题,但是用IIS调用的时候就涉及到用户IUSR_××××,IWAM_×××,Network Service 等用户权限,由于这些用户的权限在各个配置中都比较低,所以造成如文件不能写入,DCOM 不能调用等错误。 我们这儿的解决办法其实也不复杂,到注册表中搜索提示的{******-*****}这个ID,可以找到这个DCOM的名字,然后运行中输入dcomcnfg打开组件服务,然后找到这个DCOM和相关调用的DCOM,将其权限中添加Network Service,把这个用户权限什么远程启动,远程激活之类的都打开。然后记住一定要重启机器,这样我们就可以在IIS中调用DCOM了。 错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。”,试图以参数“”启动服务SENS 以运行服务器: Windows2000+SP4环境,系统做过优化,有时候发现系统在无操作的时候磁盘在读盘.于是查询系统日志,有以下信息 1.错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。”,试图以参数“”启动服务SENS 以运行服务器: {D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E} 2.错误ID:10005,错误信息:DCOM 遇到错误“依存服务或组无法启动。”,试图以参数“”启动服务BITS 以运行服务器: {4991D34B-80A1-4291-83B6-3328366B9097} 因为本身系统服务做过优化,所以从服务出手,但是该动的服务太多了,不知道哪个是哪个了,于是驱猫上网搜索资料,终于找到原因. SENS(System Event Notification Services ),BITS(Background Intelligent Transfer Service)服务被我设置成禁止了,如果把这两个服务改回到自动状态,就没有这个问题了。ps:这2个系统服务都有依存关系的服务,如果发现无法启动这个服务要去检查是不是依存的服务也被你关闭了哦~
Windows事件查看器事件代码详解
0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足,无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不足,无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20 系统找不到指定的设备。 21 设备未就绪。 22 设备不识别此命令。 23 数据错误(循环冗余检查)。 24 程序发出命令,但命令长度不正确。 25 驱动器找不到磁盘上特定区域或磁道。 26 无法访问指定的磁盘或软盘。 27 驱动器找不到请求的扇区。 28 打印机缺纸。 29 系统无法写入指定的设备。 30 系统无法从指定的设备上读取。 31 连到系统上的设备没有发挥作用。 32 另一个程序正在使用此文件,进程无法访问。 33 另一个程序已锁定文件的一部分,进程无法访问。 36 用来共享的打开文件过多。 38 已到文件结尾。 39 磁盘已满。 50 不支持请求。 51 Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。如果 Windows 仍然无法找到网络路径,请与网络管理员联系。 52 由于网络上有重名,没有连接。请到“控制面板”中的“系统”更改计算机名,然后重试。 53 找不到网络路径。 54 网络很忙。
55 指定的网络资源或设备不再可用。 56 已达到网络 BIOS 命令限制。 57 网络适配器硬件出错。 58 指定的服务器无法运行请求的操作。 59 出现了意外的网络错误。 60 远程适配器不兼容。 61 打印机队列已满。 62 服务器上没有储存等待打印的文件的空间。 63 已删除等候打印的文件。 64 指定的网络名不再可用。 65 拒绝网络访问。 66 网络资源类型不对。 67 找不到网络名。 68 超出本地计算机网络适配器卡的名称限制。 69 超出了网络 BIOS 会话限制。 70 远程服务器已暂停,或正在启动过程中。 71 已达到计算机的连接数最大值,无法再同此远程计算机连接。 72 已暂停指定的打印机或磁盘设备。 80 文件存在。 82 无法创建目录或文件。 83 INT 24 上的故障。 84 无法取得处理此请求的存储空间。 85 本地设备名已在使用中。 86 指定的网络密码不正确。 87 参数不正确。 88 网络上发生写入错误。 89 系统无法在此时启动另一个进程。 100 无法创建另一个系统信号灯。 101 另一个进程拥有独占的信号灯。 102 已设置信号灯,无法关闭。 103 无法再设置信号灯。 104 无法在中断时请求独占的信号灯。 105 此信号灯的前一个所有权已结束。 107 由于没有插入另一个软盘,程序停止。 108 磁盘在使用中,或被另一个进程锁定。 109 管道已结束。 110 系统无法打开指定的设备或文件。 111 文件名太长。 112 磁盘空间不足。 113 没有更多的内部文件标识符。 114 目标内部文件标识符不正确。 117 应用程序发出的 IOCTL 调用不正确。 118 验证写入的切换参数值不正确。 119 系统不支持请求的命令。