Windows日志檔案完全全解讀

日志檔案，它記錄着Windows系統及其各種服務運作的每個細節，對增強Windows的穩定和安全性，起着非常重要的作用。但許多使用者不注意對它保護，一些“不速之客”很輕易就将日志檔案清空，給系統帶來嚴重的安全隐患。

一、什麼是日志檔案

　　日志檔案是Windows系統中一個比較特殊的檔案，它記錄着Windows系統中所發生的一切，如各種系統服務的啟動、運作、關閉等資訊。 Windows日志包括應用程式、安全、系統等幾個部分，它的存放路徑是“%systemroot%system32config”，應用程式日志、安全日志和系統日志對應的檔案名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些檔案受到“Event Log（事件記錄）”服務的保護不能被删除，但可以被清空。

二、如何檢視日志檔案

　　在Windows系統中檢視日志檔案很簡單。點選“開始→設定→控制台→管理工具→事件檢視器”，在事件檢視器視窗左欄中列出本機包含的日志類型，如應用程式、安全、系統等。檢視某個日志記錄也很簡單，在左欄中選中某個類型的日志，如應用程式，接着在右欄中列出該類型日志的所有記錄，輕按兩下其中某個記錄，彈出“事件屬性”對話框，顯示出該記錄的詳細資訊，這樣我們就能準确的掌握系統中到底發生了什麼事情，是否影響Windows的正常運作，一旦出現問題，即時查找排除。

      三、Windows日志檔案的保護

 　　日志檔案對我們如此重要，是以不能忽視對它的保護，防止發生某些“不法之徒”将日志檔案清洗一空的情況。

 　　1． 修改日志檔案存放目錄

　　Windows日志檔案預設路徑是“%systemroot%system32config”，我們可以通過修改系統資料庫來改變它的存儲目錄，來增強對日志的保護。

　　點選“開始→運作”，在對話框中輸入“Regedit”，回車後彈出系統資料庫編輯器，依次展開 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”後，下面的 Application、Security、System幾個子項分别對應應用程式日志、安全日志、系統日志。

 　　筆者以應用程式日志為例，将其轉移到“d:/cce”目錄下。選中Application子項,在右欄中找到File鍵，其鍵值為應用程式日志檔案的路徑“%SystemRoot%system32configAppEvent.Evt”，将它修改為“d:cceAppEvent.Evt”。接着在D 盤建立“CCE”目錄，将“AppEvent.Evt”拷貝到該目錄下，重新啟動系統，完成應用程式日志檔案存放目錄的修改。其它類型日志檔案路徑修改方法相同，隻是在不同的子項下操作。

　　2． 設定檔案通路權限

　　修改了日志檔案的存放目錄後，日志還是可以被清空的，下面通過修改日志檔案通路權限，防止這種事情發生，前提是Windows系統要采用NTFS檔案系統格式。

 　　右鍵點選D盤的CCE目錄，選擇“屬性”，切換到“安全”标簽頁後，首先取消“允許将來自父系的可繼承權限傳播給該對象”選項勾選。接着在賬号清單框中選中“Everyone”賬号，隻給它賦予“讀取”權限；然後點選“添加”按鈕，将“System”賬号添加到賬号清單框中，賦予除“完全控制”和“修改”以外的所有權限，最後點選“确定”按鈕。這樣當使用者清除Windows日志時，就會彈出錯誤對話框。

　四、Windows日志執行個體分析

 　　在Windows日志中記錄了很多操作事件，為了友善使用者對它們的管理，每種類型的事件都賦予了一個惟一的編号，這就是事件ID。

1． 檢視正常開關機記錄

　　在Windows系統中，我們可以通過事件檢視器的系統日志檢視計算機的開、關機記錄，這是因為日志服務會随計算機一起啟動或關閉，并在日志中留下記錄。這裡我們要介紹兩個事件ID“6006和6005”。6005表示事件日志服務已啟動，如果在事件檢視器中發現某日的事件ID号為6005的事件，就說明在這天正常啟動了Windows系統。6006表示事件日志服務已停止，如果沒有在事件檢視器中發現某日的事件ID号為6006的事件，就表示計算機在這天沒有正常關機，可能是因為系統原因或者直接切斷電源導緻沒有執行正常的關機操作。

　　2． 檢視DHCP配置警告資訊

　　在規模較大的網絡中，一般都是采用DHCP伺服器配置用戶端IP位址資訊，如果客戶機無法找到DHCP伺服器，就會自動使用一個内部的IP位址配置用戶端，并且在Windows日志中産生一個事件ID号為1007的事件。如果使用者在日志中發現該編号事件，說明該機器無法從DHCP伺服器獲得資訊，就要檢視是該機器網絡故障還是DHCP伺服器問題。