admin 管理员组

文章数量: 887007

文章目录

  • 前言
  • 一、系统日志的基本概念
  • 二、系统日志的类型与详细分析
    • (一)事件日志的详细结构
    • (二)事件日志类型
    • (三)事件日志类型
  • 三、如何查看和分析系统日志
    • (一)事件查看器
    • (二)可靠性监视器
    • (三)筛选与过滤
    • (四)自定义视图
    • (五)常见事件ID
    • (六)自动化工具与策略
  • 四、系统日志的管理与维护
    • (一)设置日志记录策略
    • (二)设置日志记录策略
    • (三)监控日志数据
    • (四)保护日志数据
  • 五、 总结


前言

在当今数字化的时代,Windows 10 和 Windows 11 等系统是被极为广泛使用的操作系统。于用户而言,其稳定性与安全性有着至关重要的意义。系统的日志功能如同一位默默耕耘的“记录员”,它详细而全面地记录着系统运行的每一个细节,无论是系统的启动与关闭、软件的安装与卸载,还是各种错误信息与警告提示,都被一一记录在案。这一功能为我们深入洞察系统状况提供了关键线索,使我们能够及时发现并解决潜在问题,确保系统的稳定运行。

通过对 Windows 系统的日志进行深入分析,能够切实掌握系统的运行状态,进而及时察觉各类问题并妥善处理,有效提升系统的安全性与稳定性。本文以 Windows 10 系统为例,详细阐述了 Windows 10 系统日志的基本概念、日志类型、日志查看方式以及日志分析方法等内容,以便帮助我们更好地利用 Windows 10 系统日志来诊断和解决问题。

一、系统日志的基本概念

Windows 10系统的日志是一种记录系统、应用程序和安全事件所生成的文件,包含了有关系统活动的详细信息,如登录尝试、系统错误、应用程序崩溃等。通过分析 Windows10系统日志,我们可以了解系统的运行状况,及时发现并解决问题,提高系统的安全性和稳定性。

Windows 10系统的日志主要记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。它包含了有关系统活动的详细信息,如登录尝试、系统错误、应用程序崩溃等。

Windows 10系统主要有以下三类日志记录系统事件:
1.应用程序日志:用来记录应用程序的警告和错误信息,存储目录位于C:\Windows\System32\winevt\Logs\Application.evtx。
2.系统日志:用来记录系统的警告和错误信息,存储目录位于C:\Windows\System32\winevt\Logs\System.evtx。
3.安全日志:用来记录与安全相关的事件信息,如登录尝试、帐户管理等,存储目录位于C:\Windows\System32\winevt\Logs\Security.evtx。

二、系统日志的类型与详细分析

(一)事件日志的详细结构

  1. 日志名称:明确事件所属的类型。
  2. 来源:指产生事件的应用程序或组件。
  3. 事件 ID:作为用于识别具体事件的编号。
  4. 级别:体现事件的严重程度,包含 “信息”“警告”“错误” 等类别。
  5. 用户:记录事件发生时的用户帐户。
  6. 操作代码(OpCode):记录触发事件时所执行的操作。
  7. 记录时间:精准标注事件发生的具体时间。
  8. 任务类别:提供事件更多细节的分类。
  9. 关键字:用于对事件进行分类的关键词,常见的如 “经典”。
  10. 计算机:记录事件的计算机名称。

(二)事件日志类型

依据事件的重要程度,事件日志可划分为以下五种类型(此分类为经验总结,仅供参考):

事件类型描述严重程度示例
信息用于记录系统正常运行的事件服务启动成功
警告提示存在潜在问题的事件中等磁盘空间不足
错误表示出现严重问题的事件系统崩溃
审核成功记录安全审核成功的事件成功登录
审核失败记录安全审核失败过的事件中等无法访问网络资源

(三)事件日志类型

事件日志依据来源与内容可划分为以下几个类别(此分类为经验总结,仅供参考):

事件类型描述示例
应用程序记录应用程序相关的事件应用程序启动失败、应用程序崩溃
安全记录系统安全相关的事件登录尝试、文件访问、权限变更
系统记录系统内核、驱动程序等相关的事件内核错误、硬件故障、服务启动失败
安装记录Windows组件、Windows更新安装相关的事件组件安装成功、更新下载失败
转发的事件从其他设备转发过来的事件日志远程服务器登录失败、网络连接中断

三、如何查看和分析系统日志

(一)事件查看器

在 Windows 10 系统中,事件查看器是一个重要的系统管理工具。它记录了与系统、应用程序和安全相关的各种事件信息。从系统角度而言,它会记录诸如系统启动、设备驱动程序加载等关键操作相关的事件,以帮助我们排查系统故障,例如莫名死机或者启动缓慢等问题。对于应用程序,它会记录程序运行中的错误、警告等信息,便于我们分析软件异常。在安全方面,它能追踪用户登录、权限更改等安全相关活动,这对保障系统安全至关重要。我们可以通过分类筛选事件,如按照事件级别(信息、警告、错误等)、来源等快速定位关注的内容。

以下是打开事件查看器查看日志的两种方法:

方法一:

  1. 在 Windows 10 系统桌面中找到“此电脑”,右键点击“管理”。
  2. 在打开的计算机管理窗口中,点击“事件查看器”。
  3. 在事件查看器的子菜单中找到“Windows日志”,点击展开。
  4. 选择想要查看的日志类别,如“应用程序”、“系统”或“安全”。
  5. 在右侧窗格中滚动日志,找到并双击事件,即可查看详细信息。

方法二:

  1. 在开始菜单中点击“运行”或按下“win+R”键。
  2. 执行“eventvwr.msc”打开事件查看器。
  3. 在左侧导航栏,展开“Windows 日志”。
  4. 选择想要查看的日志类别。

(二)可靠性监视器

可靠性监视器是一项极具价值的工具,其能够以更为直观的形式呈现事件日志与系统性能数据。我们可通过控制面板中的 “系统和安全”→“安全和维护”→ “维护” →“查看可靠性历史记录” 路径来访问可靠性监视器。该工具以时间轴(按天或周划分)的方式展示事件,有助于我们更为直观地了解那些可能对系统可靠性及性能产生影响的错误与问题。此外,还存在一组可执行操作,在控制台中以链接形式表示,具体如下:

  1. 将可靠性历史记录保存为 XML 文件。若需跟踪较为陈旧的可靠性历史记录信息,可选用此选项。
  2. 启动 “问题报告” 控制台。此功能可用于监视与特定应用程序相关的问题。对于可靠性监视器检测到的每个问题,我们可利用控制台中的选项获取有关该问题的更多详细信息、联机检查解决方案或删除报告的问题信息。
  3. 浏览针对所有报告的问题的解决方案。如果想要可靠性监视器连接到 Internet 以查找有关解决所有报告问题的联机信息,可以使用此选项。
    如图所示,管理员正在对计算机的可靠性以及问题历史记录进行查看。目前,管理员已选定一周中的特定一天,并且有部分故障问题或者相关安装信息已被显示出来。此外,可靠性详细信息能够提供所选日期记录中故障及信息性事件的相关信息。对于某些事件,可选择 “查看技术详细信息” 链接来获取记录事件的详细信息。

(三)筛选与过滤

筛选与过滤是分析事件日志时最为常用的两项功能。我们能够凭借事件 ID、事件级别、事件来源、用户以及计算机等属性来进行搜索和过滤操作,进而快速定位相关日志,缩小排查的范围。例如,在事件查看器中的“Windows 日志”里,我们可以通过鼠标右键点击系统或安全日志,选择 “筛选当前日志”,并依据事件ID对日志进行筛选。倘若要筛选出最近 30 天内 Windows 10 系统的关机、重启或注销记录,便可以将事件 ID 1074 作为过滤条件加以运用。

(四)自定义视图

若要持续关注某个问题且不想重复设置筛选条件,可创建一个自定义视图,具体步骤如下:
1.在右侧窗格中,点击 “创建自定义视图”。
2.在 “按日志” 的下拉列表中,勾选需关注的日志类别。
3.选择 “事件级别”,点击 “确定”。
4.为自定义视图命名,再次点击 “确定”。
如需要调整自定义视图的筛选条件,可以通过右键点击该视图,接着选择 “属性”,然后点击 “编辑筛选器” 来进行修改。这样的操作路径能够让我们精准地调整自定义视图的筛选条件,满足我们特定的查看需求。在进行修改时,要仔细确认筛选条件的准确性,以免影响视图的呈现效果。
当不再需要某个自定义视图时:可以右键点击该视图,选择“删除”即可轻松移除。

(五)常见事件ID

  1. Windows事件查看器中常见的安全事件ID(此分类为经验总结,仅供参考):
事件ID说明
4624成功登录事件,表示用户成功登录系统
4625登录失败事件,表示用户尝试但未能成功登录系统
4634注销事件,表示用户注销系统
4647用户注销事件,表示用户通过重新启动或关闭计算机来注销系统
4720创建用户事件,表示新用户帐户已创建
4722启用用户帐户事件,表示禁用的用户帐户已被启用
4623用户密码已被更改
4724已设置用户密码
4725用户帐户已被禁用
4726用户帐户已删除
4727已创建启用安全性的全局组
4728已将成员添加到启用安全性的全局组中
4729成员已从启用安全性的全局组中删除
4730已删除启用安全性的全局组
4731创建用户组
4732已将成员添加到启用安全性的本地组
4733成员已从启用安全性的本地组中删除
4734已删除已启用安全性的本地组
4735已启用安全性的本地组已更改
4738设置用户密码事件,表示用户密码已更改或重置
  1. Windows事件查看器中常见的系统事件ID(此分类为经验总结,仅供参考):
事件ID说明
1074开机、关机、重启的时间以及原因和注释
6005日志服务启动,表明该日系统正常启动
6006系统关闭
6008非正常关机(意外关机)
6013该日志中的信息并非表明你的计算机进行了重启操作,而是用以说明自上次启动后,系统的运行时长
7036服务状态更改
104所有审计日志清除事件,当有日志被清除时,出现此事件ID
  1. 事件ID常见的登录类型有以下几种(此分类为经验总结,仅供参考):
登录类型登录标题描述
2交互式登录 (Interactive)用户登录到此计算机
3网络(Network)用户或计算机从网络登录到此计算机(常见:连接到共享文件夹或共享打印机时)
4批处理 (Batch)通常表明某计划任务启动
5服务 (Service)每种服务都被配置在某个特定的用户账号下运行
7解锁 (Unlock)此工作站已解锁(屏保解锁)
8网络明文 (Network Cleartext)登录的密码在网络上是通过明文传输的,如FTP
9新凭证 (New Credentials)使用带/Netonly参数的RUNAS命令运行一个程序
10远程交互 (Remote Interactive)通过终端服务、远程桌面或远程协助访问计算机
11缓存交互 (Cached Interactive)用户使用本地存储在计算机上的网络凭据登录到此计算机。未联系域控制器以验证凭据
  1. 例如登录类型:(4624)登录成功事件中涵盖了登录类型,即用户的登录方式。该信息对于问题排查极具帮助。

(六)自动化工具与策略

为了切实提高日志分析的效率与准确性,我们有必要建立合理的日志分析策略,并充分利用自动化工具。比如,可以采用 Log Parser Studio 等工具来对日志文件进行批量处理和分析。该工具具有强大的查询与分析功能,其优势在于能够助力我们快速锁定问题根源,并且还可以生成内容详细的报告。
若想了解具体如何使用 Log Parser Studio 工具,可以参考相关的介绍文章,例如专门讲解 Log Parser Studio 的相关文章。(https://learn.microsoft/zh-cn/archive/blogs/exchange_chs/log-parser-studio)

  1. 如何查询:在启动Log Parser Studio之后,首先呈现出来的是随查询预加载的查询库。此查询库是用于管理所有查询的所在之处。通过单击 “库”(Library)标签即可启用查询库。有多种方法可用于加载查询以进行检查或者执行操作。其中最为简便的方法是在列表中对相应查询进行选择,然后双击该查询。此时,该查询会在其专属的 “查询”(Query)标签中自动打开。
  2. 批处理作业与多线程处理:批处理作业本质上是预定义查询的集合,可通过点击一个按钮来执行全部查询。在 “批处理管理器”(Batch Manager)中,能够移除任意一个或所有查询,并执行这些查询。此外,可通过点击 “批处理管理器” 中的 “运行多个查询”(Run Multiple Queries)按钮或者 “执行”(Execute)按钮来执行查询。在执行过程中,Log Parser Studio会对批次中的每一个查询进行准备与执行相关操作。

四、系统日志的管理与维护

随着时间的推移,Windows 系统的日志会不断积累大量的数据。如果不进行有效的管理,将会占用大量的磁盘空间,甚至可能影响系统性能。因此,需要定期对 Windows 系统的日志进行备份、清理和归档。

可以根据实际需求制定合理的日志保留策略,例如只保留最近一段时间(如一个月)的详细日志,而将更早的日志进行压缩备份或者删除。这样既可以保证有足够的日志数据用于故障排查和安全分析,又能避免日志文件过度膨胀对系统造成的负面影响。

Windows 系统的日志管理作为确保日志记录、存储有效性和安全性的重要举措,具有至关重要的意义。以下是一些关键的日志管理步骤:

(一)设置日志记录策略

我们可依据实际需求对 Windows 10系统的日志大小、保留期限、事件级别等参数予以设置,以此保障日志记录的完整性与可用性。在规划日志记录策略时,应充分考量日志记录的频率、大小以及存储介质等相关因素,并根据实际情况进行合理设定。若需查看或修改日志路径与默认保存大小,可于事件查看器中的 “Windows 日志” 内,通过鼠标右键点击系统或安全日志后选择 “属性” 进行操作:

  1. 设置最大日志大小:以 “安全” 日志为例,右键点击 “安全” 日志后选择 “属性”。在弹出的属性窗口中,找到 “最大日志大小” 选项,输入期望设置的日志文件大小(以字节为单位)。当达到此大小后,系统将依据其他设置进行处理,如覆盖旧事件或者停止记录新事件等。
  2. 按天数覆盖事件:可指定日志保存的天数,超过该天数的旧事件将自动被覆盖。例如,若设置为 30 天,则 30 天前的日志记录会被新的日志记录覆盖。
  3. 根据需要覆盖事件:系统会依据日志文件的大小和可用空间情况自动判定何时覆盖旧事件。当磁盘空间不足或者日志文件达到一定大小时,较旧的事件将被新事件覆盖。
  4. 不要覆盖事件(手动清除日志):选择该选项后,日志不会自动被覆盖,需定期手动检查并清理日志,以避免日志文件占用过多磁盘空间。
  5. 注意事项:日志大小值的增量需严格设定为 64KB,且该值必须大于零。同时,日志大小会被设置为 64KB 的最小倍数。最大日志大小的取值范围处于 1MB 至 2TB 之间。其默认值为 20480KB,CIS 建议值为 81920KB。然而,若硬盘空间不受限制,建议设置一个更大的值。

(二)设置日志记录策略

我们可以定期清理和归档日志数据,以释放存储空间和保证日志数据的安全性。在清理日志数据时,我们可以根据日志记录的保留期限和事件级别进行筛选和删除。在归档日志数据时,我们可以将日志数据转移至其他存储介质,以便长期存储和备份。

  1. 手动备份:可以定期使用事件查看器的导出功能,将重要的日志文件导出并保存到其他存储位置,如外部硬盘、网络共享文件夹等。具体操作是在事件查看器中,右键点击要备份的日志类型(如 “应用程序”“安全”“系统” 等日志),选择 “保存所有事件为…” 选项,然后选择保存的位置并指定文件名和文件格式(如.evtx或.csv)。
  2. 手动清理:在事件查看器中,右键点击要清理的日志类型,选择 “清除日志”。此操作将删除该日志类型中的所有事件记录。但请注意,在清理之前,请确保你已经备份了重要的日志信息,或者你确定这些日志不再需要。

(三)监控日志数据

使用 Windows 10系统自带的监视工具,如事件查看器、性能监视器等,对日志数据进行实时监控和分析。在监控日志数据时,我们可以根据事件级别和关键字等条件进行筛选和过滤,以便及时发现和解决问题。同时,我们还可以设置警报和通知,以便在出现重要事件或错误时及时通知管理员。打开性能监视器方法如下:
方法一:打开开始菜单,搜索 “性能监视器”,然后点击搜索结果中的 “性能监视器” 应用程序。
方法二:使用 Windows 键 + R 快捷键打开 “运行” 对话框,输入 “perfmon” 并点击 “确定”。
方法三:使用 Windows 键 + X 快捷键打开 “电源用户菜单”,选择 “计算机管理”,然后在计算机管理窗口中点击 “性能”。

实时监控性能数据:

  1. 选择需监控的性能指标:于性能监视器窗口的左侧导航栏内,展开 “性能监视器” 节点。此处罗列了多种可用的性能对象与计数器,诸如 “处理器”“内存”“磁盘”“网络” 等。点击各性能对象前方的加号(+)可展开并查看其下属的具体计数器。选取所关注的性能指标对应的计数器,例如,若要监控 CPU 的使用率,则可选择 “处理器” 下的 “% Processor Time” 计数器;若要监控内存的使用状况,可选择 “内存” 下的 “Available MBytes”(可用物理内存量)或者 “% Committed Bytes In Use”(已使用的内存占总内存的百分比)等计数器。
  2. 将计数器添加至图表:在选中需监控的计数器后,点击窗口上方的绿色加号(+)按钮,将其添加至右侧的图表中。可同时添加多个计数器,以便在同一图表中对不同性能指标的变化情况进行对比。添加完毕后,性能监视器将实时显示所选计数器的数据变化曲线,以反映系统当前的性能状态。
  3. 实时更新设置:在默认情形下,性能监视器会对图表中的数据进行实时更新。若需调整更新频率,可在图表上右键点击,选择 “属性”,于弹出的 “性能监视器属性” 对话框中,切换至 “图表” 选项卡,修改 “更新间隔” 的值(单位为秒),随后点击 “确定” 进行设置保存。更新频率越高,则数据的实时性越强,但同时也会消耗更多的系统资源。
  4. 观察数据趋势:通过对图表中性能指标数据的变化趋势进行观察,可了解系统性能在一段时间内的表现情况。例如,若 CPU 使用率曲线持续处于高位,则可能表示系统正在运行一些占用大量 CPU 资源的程序,需进一步排查是哪个程序所致;若内存可用量逐渐减少,则可能意味着系统内存不足,需考虑增加内存或者优化使用内存的程序。
  5. 设置阈值与警报:可为某些关键性能指标设置阈值,当指标超过或低于设定的阈值时,触发警报以便及时采取措施。在性能监视器窗口的左侧导航栏中,展开 “数据收集器集” 节点,右键点击 “用户定义”,选择 “新建”>“数据收集器集”,依照向导创建一个新的数据收集器集,并在其中添加需监控的性能计数器。创建完成后,右键点击新建的数据收集器集,选择 “属性”,在 “警报” 选项卡中设置阈值条件与警报方式(如发送电子邮件、显示消息等)。
  6. 生成报告:若需对某段时间内的系统性能进行详细分析,则可生成性能报告。在性能监视器窗口中,点击 “报告” 菜单,选择 “用户定义”>“创建新的用户定义报告”,然后选择要包含在报告中的性能计数器和时间范围,点击 “确定” 开始生成报告。生成的报告可保存为 HTML 格式,以便于查看与分析系统性能的历史数据。

(四)保护日志数据

我们需要采取措施保护日志数据的安全性和完整性,以防止数据被恶意篡改或删除。在保护日志数据时,我们可以设置访问权限和加密等措施,以确保只有授权用户可以访问和修改日志数据。同时,我们还可以定期备份日志数据,并将备份数据存储在安全的地方,以便在出现数据丢失或损坏时进行恢复。


五、 总结

在 Windows系统中,日志功能与管理具有至关重要的作用,是确保系统稳定性与安全性的关键举措。具体来说,深入理解并熟练掌握 Windows 系统的日志功能,可使我们在第一时间发觉潜在问题,并迅速采取有效措施予以解决,进而显著提升系统的安全性与稳定性。此外,在 Windows 系统中制定合理的日志管理策略以及正确运用相关工具,是保障日志数据完整性与安全性的核心要点。日志功能作为常见的记录与排查工具,在诸多情况下是需要与系统的 Log Parser Studio、debug 等相关工具协同使用。本文旨在为用户提供一些实用的方法与建议,以助力更好地利用 Windows 系统的日志进行诊断与问题解决,使系统运行更为稳定流畅。

参考:

1. Windows 事件查看器:
https://learn.microsoft/zh-cn/host-integration-server/core/windows-event-viewer1

2. Audit logon events
https://learn.microsoft/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/basic-audit-logon-events

3. Audit account management:
https://learn.microsoft/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/basic-audit-account-management

4. 使用可靠性监视器查看可靠性:
https://learn.microsoft/zh-cn/training/modules/monitor-windows-server-performance/4-review-reliability-with-reliability-monitor

5. 介绍:Log Parser Studio:
https://learn.microsoft/zh-cn/archive/blogs/exchange_chs/log-parser-studio

6. 故障排查利器:深入解析 Windows 事件日志
https://www.sysgeek/view-windows-event-logs/

本文标签: 利器 故障 功能 系统 日志