本節書摘來華章計算機《日志管理與分析權威指南》一書中的第3章 ,第3.2.3節,(美) anton a. chuvakin kevin j. schmidt christopher phillips 著 姚 軍 簡于涵 劉 晖 等譯更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
microsoft在很久以前就決定要創造自己的日志生成和收集系統。這一系統被稱作事件日志(event log)。該系統經過了多年的發展,幾乎和windows出現得一樣早。現在的事件日志有一些進階特性。事件日志主要用于收集和檢視兩類日志:
windows日志
應用程式日志
windows日志至少包括應用程式、安全和系統。最重要的是安全日志。這是登入、登出、資源通路(共享、檔案等)記錄的地方。應用程式日志不言自明。應用程式可以寫入該日志,傳遞狀态、錯誤和其他值得記錄的項目。
我們來簡單地看一下事件日志。你可以這樣啟動檢視器:控制台→系統和安全→管理工具→檢視事件日志。這将打開事件檢視器。圖3.1展示了檢視器。
在視窗的左側窗格是各種日志消息類型。中間是你所選擇的日志消息(例中是安全日志)。在中間的日志消息下方是日志消息的細節。如果輕按兩下日志消息,将得到類似圖3.2的彈出式消息。
圖3.2展示了你所選擇的日志消息細節。根據日志消息類型,你将看到如下内容:
事件id(圖3.2中是4624)。
賬戶名稱
域
資源(檔案或者目錄通路時)
狀态(請求成功與否)
你可以看到,這裡的内容比圖3.2中實際日志的細節更多。
第8章和第15章讨論了windows事件檢視器這種寶貴資源的易管理性。