系統日誌
系統日誌
系統日誌是記錄系統中硬體、軟體和系統問題的信息,同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕迹。系統日誌包括系統日誌、應用程序日誌和安全日誌。
命令提示符
例如可以利用eventlog事件來查看計算機開關機的記錄:
在【事件查看器】窗口,在左側的窗格當中選擇【系統】選項,單擊右鍵【屬性】菜單項
之後在彈出來的【屬性】對話框當中切換到【篩選】選項卡,在【事件來源】下拉列表框中找到“evenlog之後【確定】,此時就可以看見該事件的日誌信息了!
其中事件ID 6006 ID6005、 ID 6009就表示不同狀態的機器的情況(開關機)。
6005 信息 EventLog 事件日誌服務已啟動。(開機)
6006 信息 EventLog 事件日誌服務已停止。(關機)
6009 信息 EventLog 按ctrl、alt、delete鍵(非正常)關機
如何查看系統日誌(以windows2003server為例)
查看Windows2003系統日誌的辦法
Windows日誌文件記錄著Windows系統運行的每一個細節,對Windows的穩定運行起著至關重要的作用。通過查看伺服器中的Windows日誌,管理員可以及時找出伺服器出現故障的原因。
一般情況下,網管都是在本地查看日誌記錄,由於目前的區域網規模都比較大,因此網管不可能每天都呆在伺服器旁。一旦遠離伺服器,網管
就很難及時了解到伺服器系統的運行狀況,維護工作便會受到影響。現在,利用Windows Server 2003(簡稱Windows 2003)提供的Web訪問介面功能就可解決這個問題,讓網管能夠遠程查看Windows 2003伺服器的日誌記錄。
遠程查看Windows 2003伺服器的日誌記錄非常簡單。在遠程客戶端(可採用Windows 98/2000/XP/2003系統),運行IE瀏覽器,在地址欄中輸入“https://Win2003伺服器IP地址:8098”,如“https://192.168.0.1:8098”。在彈出的登錄對話框中輸入管理員的用戶名和密碼,點擊“確定”按鈕即可登錄Web訪問介面管理界面。接著在“歡迎使用”界面中點擊“維護”鏈接,切換到“維護”管理頁面,然後點擊“日誌”鏈接,進入到日誌管理頁面。在日誌管理頁面中,管理員可以查看、下載或清除Windows 2003伺服器日誌。
在日誌管理頁面中可列出Windows 2003伺服器的所有日誌分類,如應用程序日誌、安全日誌、系統日誌、Web管理日誌等。
查看某類日誌記錄非常簡單,筆者以查看Web管理日誌為例,點擊“Web管理日誌”鏈接,進入日誌查看頁面,在日誌文件列表框中選中要查看的日誌文件,然後點擊右側的“查看日誌”按鈕,就能瀏覽Web管理日誌記錄中的詳細內容了。
清除某個日誌文件也很簡單,選中該日誌文件后,點擊“清除”按鈕即可。如果你覺得遠程查看日誌不方便,想在本 地機器中進行查看,這時你 可以將日誌文件下載到本地硬碟。選中某個日誌文件,然後點擊“下載日誌”按鈕,在彈出的“文件下載”對話框中點擊“保存”按鈕並指定存放路徑即可。
系統日誌策略可以在故障剛剛發生時就向你發送警告信息,系統日誌幫助你在最短的時間內發現問題。
系統日誌是一種非常關鍵的組件,因為系統日誌可以讓你充分了解自己的環境。這種系統日誌信息對於決定故障的根本原因或者縮小系統攻擊範圍來說是非常關鍵的,因為系統日誌可以讓你了解故障或者襲擊發生之前的所有事件。為虛擬化環境制定一套良好的系統日誌策略也是至關重要的,因為系統日誌需要和許多不同的外部組件進行關聯。良好的系統日誌可以防止你從錯誤的角度分析問題,避免浪費寶貴的排錯時間。另外一種原因是藉助於系統日誌,管理員很有可能會發現一些之前從未意識到的問題,在幾乎所有剛剛部署系統日誌的環境當中。
使用系統日誌產品當中包含的其他特性,包括向監控團隊自動發送報警通知等功能。系統日誌基於警報類型或者準確的警報消息,系統日誌可以通過觸發特定操作來完成。系統日誌通過簡單地設定這些警報,你將會在自己的環境中處於更加主動的位置,因為你可以在事故變得更加嚴重之前得到通知。