79
雲服務器 ECS 安全:ECS Windows的日誌使用與簡要分析說明
簡介
日誌是記錄係統中硬件、軟件和係統問題的信息,同時還可以監視係統中發生的事件,當服務器被入侵或者係統(應用)出現問題時,管理員可以根據日誌來迅速定位到問題的關鍵,然後對問題在進行快速的處理,這樣才可以極大的提高我們的工作效率和服務器的安全性。Windows係統日誌主要分為三種,分別是係統日誌、應用程序日誌和安全日誌,還有應用程序和服務日誌。接下來以Windows server 2008 R2為例來簡單的介紹下四種日誌的使用和簡要分析。
Windows查看係統日誌的方法:開始>設置>控製麵板>管理工具,中找到的“事件查看器”,或者Win+r鍵輸入”eventvwr”也可以直接進入“事件查看器”。
係統日誌
係統日誌包含 Windows 係統組件記錄的事件。例如,在啟動過程中加載驅動程序或其他係統組件失敗將記錄在係統日誌中。係統組件所記錄的事件類型由 Windows 預先確定。
應用程序日誌
應用程序日誌包含由應用程序或程序記錄的事件。例如,數據庫程序可在應用程序日誌中記錄文件錯誤。程序開發人員決定記錄哪些事件。
安全日誌
安全日誌包含諸如有效和無效的登錄嚐試等事件,以及與資源使用相關的事件,如創建、打開或刪除文件或其他對象。管理員可以指定在安全日誌中記錄什麼事件。例如,如果已啟用登錄審核,則對係統的登錄嚐試將記錄在安全日誌中。
應用程序和服務日誌
應用程序和服務日誌是一種新類別的事件日誌。這些日誌存儲來自單個應用程序或組件的事件,而非可能影響整個係統的事件。
以上是四種日誌的查看方法,可以針對所有錯誤日誌的事件ID來對比微軟知識庫來找到解決方法。
日誌路徑的修改和備份
日誌默認保存在係統盤裏麵,日誌最大值默認是20M,超過20M時會覆蓋之前的事件,可以根據自己的需求修改。
右鍵選擇屬性
最後更新:2017-08-13 22:22:09