事件查看器如何使用

   一、事件查看器相关知识

  1.事件查看器

  事件查看器是 Microsoft 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视 操作系统中的安全事件。有三种方式来打开事件查看器:

  (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,打开事件查看器窗口

  (2)在“运行”对话框中手工键入“%SystemRoot%system32eventvwr.msc /s”打开事件查看器窗口。

  (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。

  2.事件查看器中记录的日志类型

  在事件查看器中一共记录三种类型的日志,即:

  (1)应用程序日志

  包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

  (2)安全性日志

  记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

  (3)系统日志

  包含 XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。

  在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了 操作系统对事件的分类。事件查看器显示如下类型的事件:

  (1)错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。

  (2)警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。

  (3) 信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。

  (4)成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。

  (5)失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。

  二、维护服务器安全实例

  1.打开并查看事件查看器中的三类日志

  在“运行”中输入“eventvwr.msc”直接打开事件查看器,在该窗口中单击“系统”,单击窗口右边的类型进行排序,可以看到类型中有警告、错误等多条信息。

  2.查看系统错误记录详细信息

  选择“错误”记录,双击即可打开并查看事件的属性,例如发现该事件为一个攻击事件,其事件描述为:

  连接自 211.99.226.9 的一个匿名会话尝试在此计算机上打开一个 LSA 策略句柄。尝试被以 STATUS_ACCESS_DENIED 拒绝, 以防止将安全敏感的信息泄露给匿名呼叫者。

  进行此尝试的应用程序需要被更正。请与应用程序供应商联系。 作为暂时的解决办法,此安全措施可以通过设置: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTurnOffAnonymousBlock DWORD 值为 1 来禁用。 此消息将一天最多记录一次。

  说明:该描述信息表明IP地址为“211.99.226.9”的计算机在攻击此服务器。

  3.根据提示修补系统漏洞

  根据描述信息,直接打开注册表编辑器,依次层层展开找到键值“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTurnOffAnonymous”新建一个DWORD 的 “TurnOffAnonymousBlock Block DWORD” 键,并设置其值为“ 1”;

  说明:如果在事件属性中未给出解决方案,可以对错误信息进行追踪,以找到合适的解决方法,一般有两种方式:

  (1)微软知识库。微软知识库的文章是由微软公司官方资料和微软MVP撰写的技术文章组成,主要解决微软产品的问题及故障。当微软每一个产品的Bug和容易出错的应用点被发现后,都将有与其对应的文章分析这项错误的解决方案。

  (2)通过Eventid.net网站来查询。要查询系统错误事件的解决方案,其实还有一个更好的地方,那就是Eventid.net网站。这个网站由众多微软MVP(最有价值专家)主持,几乎包含了全部系统事件的解决方案。

  4.多方复查

  既然出现了LSA的匿名枚举,那么一定会存在登录信息,单击“安全性”查看事件属性,先针对“审核失败”进行查看,可以看到IP地址“211.99.226.9”的多次连接失败的审核信息。需要特别注意的是,事件查看器中记录的日志必须先在安全策略中进行设置,默认情况下不记录,只要启用审核以后才记录。然后依次查看审核成功的登录记录,如果发现该IP地址登录成功,那么还需要对系统进行彻底的安全检查,包括修改登录密码,查看系统时候被攻击者留下了后门。在本例中主要事件就是IP地址为211.99.226.9的服务器在进行密码攻击扫描,根据事件属性中提供的策略进行设置后,即可解决该匿名枚举的安全隐患。

时间: 2024-10-29 11:31:47

事件查看器如何使用的相关文章

如何关闭事件查看器

如何关闭事件查看器"Events.asp" 链接?我们一般可以在组策略里实现,如图所示,打开该策略在组策略里的策略选项,指定事件查看器应用程序内的事件是否显示 "Events.asp" 超链接. 事件查看器通常将所有 HTTP URL 指向单击时激活 Internet 浏览器的热链接.此外,如果事件由 Microsoft 组件生成,描述文本的结尾将显示"更多信息".此文本包含的链接(URL)在单击时将有关事件的信息发送到 Microsoft,并允

WinXP系统中事件查看器怎么打开

  WinXP系统中事件查看器怎么打开          第一:事件查看器怎么打开? 要打开事件查看器,请按照下列步骤操作: 1.单击"开始",然后单击"控制面板".单击"性能和维护",再单击"管理工具",然后双击"计算机管理".或者,打开包含事件查看器管理单元的 MMC. 2.在控制台树中,单击"事件查看器".应用程序日志.安全日志和系统日志显示在"事件查看器"窗口

Win7系统打不开事件查看器怎么处理?

  Win7系统打不开事件查看器怎么处理? 1.双击桌面的"计算机",打开资源管理器,根据路径 "C:/windows/system32/logfiles/wmi" 找到目录下"RTbackup"文件夹,右键弹出菜单选择"属性",点选"安全"标签,查看"组或用户名",其中可能会没有SYSTEM这个用户,那就继续点击"编辑",打开"RTbackup权限&quo

win7系统事件查看器怎么打开

  win7系统事件查看器怎么打开         1.点击开始菜单,在计算机(我的电脑)上单击右键选择"管理"点击左侧的"事件查看器"; 方法二: 1.点击开始菜单,在搜索栏中输入:事件查看器 在弹出的搜索结果中即可看到并点击[事件查看器]即可打开. windows7教程 windows8教程 windows10教程

Win10系统上使用事件查看器解决实际问题

  每当系统出现问题,自带的事件查看器都会进行相应的记录.通过事件查看器,我们可以找出问题产生的原因,以及解决方法.下面小编介绍Win10下事件查看器的使用教程. 操作步骤 第一步.按下Win+X组合键,菜单中点击选择"事件查看器". 第二步.在事件查看器窗口,我们会看到有四个项目,他们分别是:自定义视图(一个总的列表).Windows日志(分为应用程序.安全.设置.系统以及以转发事件).应用程序和服务日志(里面是更详细的分类)以及订阅. 这里主要谈谈"管理事件",

什么是Winows系统事件查看器

  所谓的"事件"(Event.也称"日志"),是指操作系统组件.服务或应用程序发生审核范围内的行为时,就会被系统的Event Log服务自动记录下来并保存到事件日志中.查看这些事件需要一个专门的工具,这个工具就叫做"事件查看器".系统管理员通过事件中记录的内容,可以快速判断出系统的状态.错误发生的原因.用户的使用状态,等等. 以windows xp为例,可以使用如下几种方法调出"事件查看器"窗口: 步骤1:依次点击"

Win7无法打开事件查看器怎么解决?

  事件查看器相当于电脑的日志,可以看到每天电脑硬件软件以及系统运行出现问题的信息,也会记录在Windows系统中出现的安全事件,不过有不少小伙伴都说打不开事件查看器,这是什么原因呢?下面让小编带大家一起来解决这个问题吧. 解决Win7系统的"事件查看器"无法启动的步骤 1.双击桌面的"计算机",打开资源管理器,根据路径 "C:/windows/system32/logfiles/wmi" 找到目录下"RTbackup"文件夹

Win7系统打不开事件查看器怎么办?

  Win7系统打不开事件查看器怎么办?事件查看器不仅可以查看关于硬件.软件以及系统问题的信息,也可以监视Windows 操作系统中的安全事件.但最近有Win7系统用户反映,事件查看器打不开.这有什么办法可以解决呢?下面一起跟小编来看看教程吧. 解决Win7系统的"事件查看器"无法启动的步骤 1.双击桌面的"计算机",打开资源管理器,根据路径 "C:/windows/system32/logfiles/wmi" 找到目录下"RTback

如何打开“事件查看器”

我的电脑一开机就出现一个"服务控制管理器"对话框,上面的内容是"在系统启动时至少有一个服务或驱动程序产生错误.详细信息,请使用事件查看器查看事件日志."请问怎么打开"事件查看器",如何使用? 用鼠标右键单击桌面上的"我的电脑"→"管理",打开"计算机管理"对话框,单击"计算机管理"对话框左侧的"系统工具"→"事件查看器"即可打开

Win8如何打开事件查看器有哪些方法

  相信很多人从没使用过Windows系统自带的事件查看器,它可以查看系统各种重要操作行为的记录.那么在Win8下我们如何打开事件查看器呢? 方法一:开始菜单 把鼠标放在桌面左下角那块空白地方,右键单击,点击选择"事件查看器". 温馨提示 :右击Win8.1开始按钮就可以直接打开这个菜单. 方法二:利用系统文件 打开C:WindowsSystem32,在文件夹里面找到并双击eventvwr.msc(其中event就是事件的意思),是不是也可以打开事件查看器呢? 方法三:利用系统搜索 按