善用事件查看器定位故障

事件查看器是Windows系統(tǒng)內(nèi)置的一個(gè)程序，它的作用就相當(dāng)于一個(gè)監(jiān)視器，利用它用戶能全程跟蹤記錄Windows系統(tǒng)和應(yīng)用程序所發(fā)生的任何事件。要是計(jì)算機(jī)系統(tǒng)出了問題，通過查看事件查看器跟蹤記錄的事件內(nèi)容，就能追本求源弄清故障原因所在。

俗話說“常在江湖飄，哪有不挨刀”。計(jì)算機(jī)也是一樣，工作時(shí)間長了，各式各樣的故障現(xiàn)象總會(huì)不可避免。其實(shí)，故障現(xiàn)象并沒有可怕之處，可怕的是找不到故障的原因；要是能夠準(zhǔn)確定位故障根源，那么再難的問題也就不是問題了。為了幫助大家快速定位計(jì)算機(jī)故障原因，本文下面就教大家如何使用常見的事件查看器來快速定位故障位置，尋找具體故障原因，日后大家再次碰到故障時(shí)就不用四處求人了。

認(rèn)識(shí)事件查看器

事件查看器是Windows系統(tǒng)內(nèi)置的一個(gè)程序，它的作用就相當(dāng)于一個(gè)監(jiān)視器，利用它用戶能全程跟蹤記錄Windows系統(tǒng)和應(yīng)用程序所發(fā)生的任何事件。要是計(jì)算機(jī)系統(tǒng)出了問題，通過查看事件查看器跟蹤記錄的事件內(nèi)容，就能追本求源弄清故障原因所在。盡管事件查看器程序早已出現(xiàn)在Windows XP系統(tǒng)中，不過由于當(dāng)時(shí)該程序的功能很單一，幾乎沒有人把它當(dāng)回事，而在Windows 7系統(tǒng)環(huán)境中，事件查看器的功能有了明顯增強(qiáng)，巧妙使用這些增強(qiáng)的功能可以大大提升故障排查效率。

例如，計(jì)算機(jī)系統(tǒng)運(yùn)行時(shí)間一長，用戶就會(huì)感覺到它的反應(yīng)逐步變得遲鈍起來，特別是每次開機(jī)啟動(dòng)時(shí)都要等上很長一段時(shí)間，類似這樣的計(jì)算機(jī)故障往往很難定位到具體的原因。不過，現(xiàn)在有了事件查看器程序后，它能詳細(xì)記錄Windows系統(tǒng)和應(yīng)用程序所進(jìn)行的每一項(xiàng)操作，通過深入分析事件內(nèi)容，往往就能找出影響系統(tǒng)正常啟動(dòng)的“禍?zhǔn)住薄?/p>

在Windows 7系統(tǒng)中，查看事件查看器的操作很簡單，只要先用鼠標(biāo)右鍵單擊系統(tǒng)桌面中的“計(jì)算機(jī)”圖標(biāo)，執(zhí)行快捷菜單中的“管理”命令，切換到本地系統(tǒng)的計(jì)算機(jī)管理窗口，在該窗口左側(cè)區(qū)域依次展開“系統(tǒng)工具”|“事件查看器”節(jié)點(diǎn)（如圖1所示），從目標(biāo)節(jié)點(diǎn)下用戶能查看系統(tǒng)日志、應(yīng)用程序和服務(wù)日志、自定義的日志以及安全日志等內(nèi)容，通過應(yīng)用程序日志可以了解應(yīng)用程序或一般程序的事件，通過安全性日志可以了解比方說有效和無效的登錄嘗試等安全事件，以及與資源使用有關(guān)的事件，例如創(chuàng)建、打開或刪除文件以及有關(guān)設(shè)置的修改，通過系統(tǒng)日志可以了解Windows系統(tǒng)組件所發(fā)生的任何事件，包括系統(tǒng)啟動(dòng)期間要加載的驅(qū)動(dòng)程序或其他系統(tǒng)組件的故障。

事件查看器可以顯示的事件類型包括警告、錯(cuò)誤、信息、成功審核、失敗審核這幾種，其中警告類型顯示的是不是很重要但未來容易發(fā)生問題的事件，比方說一旦硬盤空間容量很小時(shí)，系統(tǒng)就會(huì)生成一個(gè)警告事件。錯(cuò)誤類型顯示的是系統(tǒng)中重要的問題，比方說數(shù)據(jù)丟失或功能損失，例如要是在系統(tǒng)啟動(dòng)過程中服務(wù)啟動(dòng)失敗，系統(tǒng)就會(huì)記錄這個(gè)錯(cuò)誤。信息類型顯示的是應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)成功操作的事件，比方說成功地啟動(dòng)網(wǎng)絡(luò)驅(qū)動(dòng)程序時(shí)，系統(tǒng)會(huì)自動(dòng)生成一個(gè)信息記錄事件。成功審核類型顯示的是審核安全訪問嘗試成功，比方說將用戶成功登錄到系統(tǒng)上的嘗試作為“成功審核”事件記錄下來。失敗審核類型顯示的是審核安全訪問嘗試失敗，比方說要是用戶試圖訪問網(wǎng)絡(luò)驅(qū)動(dòng)器失敗，該嘗試就會(huì)作為“失敗審核”事件進(jìn)行記錄。

選中某個(gè)類型的日志記錄，用鼠標(biāo)雙擊該記錄，就能看到其詳細(xì)內(nèi)容，具體的內(nèi)容包括事件的發(fā)生源、事件發(fā)生日期、種類和ID以及相關(guān)的描述信息，這些內(nèi)容對定位故障原因是十分重要的。

搜索有用事件

由于事件查看器會(huì)對計(jì)算機(jī)的一舉一動(dòng)進(jìn)行跟蹤記憶，那么系統(tǒng)生成的事件類型和數(shù)量自然是非常多，如果逐一對每個(gè)事件內(nèi)容進(jìn)行查看，工作量顯然是相當(dāng)大的，而且不利于快速找到真正的故障原因。為了提高故障解決效率，我們常常要根據(jù)實(shí)際需求搜索有用的事件。

在執(zhí)行事件搜索操作時(shí)，可以依次單擊“開始”|“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對話框中，輸入“eventvwr”命令并回車，切換到系統(tǒng)事件查看器界面。展開Windows日志節(jié)點(diǎn)，選中合適的日志類型，例如發(fā)現(xiàn)系統(tǒng)啟動(dòng)比較緩慢時(shí)，可以選中“系統(tǒng)”選項(xiàng)，用鼠標(biāo)右鍵單擊該選項(xiàng)，執(zhí)行快捷菜單中的“篩選當(dāng)前日志”命令，打開如圖2所示的日志篩選對話框。

其次設(shè)置好所要搜索的事件類型，比方說“警告”或“錯(cuò)誤”，選擇好事件發(fā)生的時(shí)間，例如計(jì)算機(jī)系統(tǒng)昨天工作狀態(tài)正常，今天出了問題，那么就可以從“記錄時(shí)間”下拉列表中選中“近24小時(shí)”，之后設(shè)置好事件來源和事件類別等參數(shù)，確認(rèn)之后事件查看器程序就會(huì)按照既定的要求執(zhí)行搜索操作了，同時(shí)會(huì)將符合相關(guān)條件的所有事件顯示出來。

比方說，現(xiàn)在我們很想知道究竟是什么原因造成了系統(tǒng)啟動(dòng)緩慢現(xiàn)象，那么可以利用事件查看器程序?qū)⑴c系統(tǒng)啟動(dòng)有關(guān)的事件記錄全部搜索出來。由于與系統(tǒng)啟動(dòng)有關(guān)的事件任務(wù)類別ID為101-110，我們只要在圖2界面的“包括/排除事件ID”文本框中輸入“101-110”，確認(rèn)之后就能搜索到所有與啟動(dòng)性能有關(guān)的事件記錄了，對這些記錄內(nèi)容進(jìn)行認(rèn)真分析，多半就能讓造成系統(tǒng)啟動(dòng)緩慢的元兇現(xiàn)形了。

定位解決故障

篩選出有用的事件記錄后，我們只要打開具體的事件屬性框，多半就能找到造成故障的詳細(xì)原因了，根據(jù)故障原因按圖索驥，很快就能將問題解決了。例如，打開ID102的某個(gè)事件屬性對話框時(shí)，我們可能會(huì)看到某個(gè)設(shè)備驅(qū)動(dòng)程序啟動(dòng)時(shí)間比正常時(shí)間超過了幾秒鐘，造成了系統(tǒng)啟動(dòng)十分緩慢。出現(xiàn)這種問題的原因，很可能是設(shè)備使用的驅(qū)動(dòng)程序存在BUG，要想解決這種問題，可以從設(shè)備的官方網(wǎng)站中下載獲取通過WDM認(rèn)證的驅(qū)動(dòng)程序。之后，依次單擊“開始”|“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中執(zhí)行“devmgmt. msc”命令，打開系統(tǒng)設(shè)備管理器窗口，從中找到并雙擊目標(biāo)設(shè)備，切換到對應(yīng)設(shè)備的屬性對話框，選擇“驅(qū)動(dòng)程序”標(biāo)簽，在如圖3所示的標(biāo)簽頁面中，按下“更新驅(qū)動(dòng)程序”按鈕，導(dǎo)入之前獲取的已通過WDM認(rèn)證的驅(qū)動(dòng)程序，就能讓系統(tǒng)啟動(dòng)提速。

打開I D103的某個(gè)事件屬性對話框時(shí)，我們可能會(huì)看到某個(gè)系統(tǒng)服務(wù)啟動(dòng)花費(fèi)的時(shí)間超過了正常時(shí)間，這也會(huì)造成系統(tǒng)啟動(dòng)變慢。要想解決由這種因素引起的計(jì)算機(jī)故障，可以依次單擊“開始”|“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中執(zhí)行“services.msc”命令，切換到系統(tǒng)服務(wù)列表界面，從中找到并雙擊目標(biāo)系統(tǒng)服務(wù)，進(jìn)入對應(yīng)服務(wù)選項(xiàng)的設(shè)置對話框（如圖4所示），按下“停止”按鈕，同時(shí)將服務(wù)啟動(dòng)類型選擇為“禁用”，確認(rèn)之后就能提高系統(tǒng)啟動(dòng)速度。同樣地，對于發(fā)現(xiàn)到的影響系統(tǒng)正常啟動(dòng)的應(yīng)用程序，要是沒有必要跟隨Windows系統(tǒng)一起啟動(dòng)的，完全可以禁止其開機(jī)啟動(dòng)運(yùn)行。要做到這一點(diǎn)，只要簡單地在系統(tǒng)運(yùn)行對話框中，執(zhí)行“msconfig”命令，切換到系統(tǒng)實(shí)用程序配置對話框，選擇“啟動(dòng)”標(biāo)簽，在對應(yīng)標(biāo)簽頁面中就能取消任何應(yīng)用程序的自啟動(dòng)選項(xiàng)。

打開I D106的某個(gè)事件屬性對話框時(shí)，我們可能會(huì)看到系統(tǒng)背景優(yōu)化耗費(fèi)的時(shí)間比較長，這也會(huì)引起系統(tǒng)啟動(dòng)變慢現(xiàn)象。要想解決這類問題時(shí)，可以對Windows系統(tǒng)進(jìn)行設(shè)置，實(shí)現(xiàn)關(guān)機(jī)自動(dòng)清空預(yù)讀文件目的。在進(jìn)行這種操作時(shí)，可以先手工創(chuàng)建一個(gè)文本文件，在文本編輯界面中，輸入如下命令代碼：

@echo off

del %systemroot%/Prefetch/*.* /q

在確認(rèn)上述代碼輸入正確后，依次單擊“文件”|“保存”命令，將該代碼內(nèi)容存儲(chǔ)為“dump.bat”批處理文件。接著打開系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車后，彈出系統(tǒng)組策略編輯窗口，將鼠標(biāo)定位到“計(jì)算機(jī)配置”|“Windows設(shè)置”|“腳本”分支上，雙擊該分支下的“關(guān)機(jī)”項(xiàng)，在其后彈出的關(guān)機(jī)對話框中按下“添加”按鈕（如圖5所示），將之前生成的“dump.bat”文件導(dǎo)入進(jìn)來，這樣Windows系統(tǒng)日后在關(guān)機(jī)時(shí)就會(huì)自動(dòng)在后臺(tái)調(diào)用執(zhí)行“dump.bat”文件，清空預(yù)讀文件夾中的內(nèi)容，來提高系統(tǒng)啟動(dòng)速度了。

遠(yuǎn)程查看事件

在局域網(wǎng)工作環(huán)境中，普通客戶機(jī)經(jīng)常會(huì)發(fā)生各種各樣的故障現(xiàn)象，這時(shí)網(wǎng)絡(luò)管理員可以通過遠(yuǎn)程查看事件的方法，來尋找故障客戶機(jī)的故障產(chǎn)生原因，并以此來解決網(wǎng)絡(luò)故障。在遠(yuǎn)程查看故障客戶機(jī)的日志事件時(shí)，可以先按前面的操作方法，打開本地系統(tǒng)的事件查看器界面，用鼠標(biāo)右鍵單擊“事件查看器（本地）”選項(xiàng)，從彈出的右鍵菜單中執(zhí)行“連接到另一臺(tái)計(jì)算機(jī)”命令，切換到“選擇計(jì)算機(jī)”對話框，如圖6所示。在這里我們只要選擇“另一臺(tái)計(jì)算機(jī)”選項(xiàng)，單擊對應(yīng)選項(xiàng)旁邊的“瀏覽”按鈕，從彈出的計(jì)算機(jī)選擇對話框中，導(dǎo)入故障客戶機(jī)的主機(jī)名稱，當(dāng)然也可以直接輸入要查看的客戶機(jī)主機(jī)名稱。單擊“確定”按鈕后，打開故障客戶機(jī)的事件查看器界面，在該界面中我們就能進(jìn)行更為詳細(xì)的條件設(shè)置。例如，在應(yīng)用程序日志上，執(zhí)行右鍵菜單中的“屬性”命令，進(jìn)入應(yīng)用程序?qū)傩栽O(shè)置框，在常規(guī)標(biāo)簽頁面中我們能看到應(yīng)用程序的名稱，創(chuàng)建、修改、訪問時(shí)間，我們可以對最大日志以及達(dá)到極限后的處理方法進(jìn)行配置，要是我們不再需要個(gè)性設(shè)置時(shí)，不妨按下“還原為默認(rèn)值”按鈕，來恢復(fù)到系統(tǒng)缺省的設(shè)置。切換到事件日志的“篩選器”標(biāo)簽頁面，我們可以對日志中的事件進(jìn)行篩選，我們可以在“事件類型”選項(xiàng)組中進(jìn)行復(fù)選框的選擇，在“事件來源”|“類別”下拉列表框中可設(shè)置篩選具體條件，還可進(jìn)行時(shí)間限定，當(dāng)然，篩選并不會(huì)對日志的具體內(nèi)容產(chǎn)生影響，它只是改變了事件的顯示方式。找到故障客戶機(jī)的相關(guān)事件記錄后，對這些記錄認(rèn)真加以分析，多半就能定位到具體的故障產(chǎn)生原因了。

追蹤重要事件

在內(nèi)網(wǎng)中同事之間相互交流共享信息是常有的事情，不過多數(shù)用戶不希望自己的重要內(nèi)容被人偷偷訪問，那么怎樣才能自動(dòng)監(jiān)控是否有其他用戶偷偷訪問自己的共享文件夾呢？很簡單！只要使用事件查看器程序，就能輕松追蹤類似共享訪問之類的重要事件了。

比方說，自己的共享內(nèi)容全部存儲(chǔ)在F:\\aaa文件夾中，要監(jiān)控該文件夾的共享訪問事件時(shí)，可以依次單擊“開始”|“運(yùn)行”命令，打開系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車后，彈出系統(tǒng)組策略編輯窗口，將鼠標(biāo)定位在該窗口左側(cè)區(qū)域的“計(jì)算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“本地策略”|“審核策略”分支上，雙擊該分支下的“審核對象訪問”選項(xiàng)，彈出如圖7所示的選項(xiàng)設(shè)置對話框，同時(shí)選中“成功”、“失敗”等選項(xiàng)，確認(rèn)之后開啟審核對象訪問的成功、失敗策略。

接著打開系統(tǒng)資源管理器窗口，找到保存了共享內(nèi)容的F:\\aaa文件夾，用鼠標(biāo)右鍵單擊該文件夾，執(zhí)行右鍵菜單中的“屬性”命令，彈出目標(biāo)文件夾屬性對話框。選擇“安全”標(biāo)簽，點(diǎn)擊該標(biāo)簽頁面中的“高級(jí)”按鈕，進(jìn)入高級(jí)安全設(shè)置對話框。繼續(xù)選擇“審核”標(biāo)簽，單擊該標(biāo)簽頁面中的“添加”按鈕，從彈出的用戶或計(jì)算機(jī)選擇對話框中，導(dǎo)入要審核操作的用戶名，確認(rèn)之后返回到審核項(xiàng)目列表框（如圖8所示），將其中的“讀取”和“讀取擴(kuò)展屬性”的成功、失敗審核事件全部選中。

到了這里，事件查看器程序就能自動(dòng)跟蹤F:\\aaa文件夾的任何訪問行為了。日后，需要了解是否有人偷偷訪問自己的共享文件夾時(shí)，只要按照前面的操作打開事件查看器程序界面，將鼠標(biāo)定位到該界面中的“Windows日志”|“安全”分支上，雙擊該分支下顯示出來的審核事件，一旦看到有陌生用戶名稱出現(xiàn)時(shí)，那就說明共享文件夾被人偷偷訪問了。此外，按照同樣的操作方法，我們還能讓事件查看器程序自動(dòng)追蹤、記錄應(yīng)用程序執(zhí)行事件、用戶賬號(hào)偷偷創(chuàng)建事件等。

任務(wù)綁定事件

與傳統(tǒng)操作系統(tǒng)相比，Windows 7的事件查看器程序新增了一個(gè)附加任務(wù)綁定事件功能，如此一來日后系統(tǒng)一旦發(fā)生重要事件時(shí)，就能自動(dòng)觸發(fā)事先綁定的任務(wù)，實(shí)現(xiàn)自動(dòng)報(bào)警功能，有利于用戶在第一時(shí)間發(fā)現(xiàn)故障、解決問題。例如，我們希望Windows 7系統(tǒng)在創(chuàng)建新用戶賬戶后，自動(dòng)彈出報(bào)警提示框，向我們及時(shí)發(fā)出提醒內(nèi)容，日后一旦有病毒木馬程序在系統(tǒng)后臺(tái)悄悄創(chuàng)建用戶賬戶時(shí)，我們就能及時(shí)得到這一消息，也好做到心中有數(shù)。要實(shí)現(xiàn)上述目的，可以按照如下步驟進(jìn)行操作：

首先在Windows 7系統(tǒng)的開始搜索框中，執(zhí)行“secpol.msc”命令，彈出本地安全策略界面，將鼠標(biāo)定位到該界面左側(cè)區(qū)域的“本地策略”|“審核策略”分支上，雙擊“審核賬戶管理”選項(xiàng)，彈出審核賬戶管理對話框，選中“成功”復(fù)選項(xiàng)來開啟策略，這樣就能審核用戶賬戶創(chuàng)建成功時(shí)的事件類型了。

其次依次單擊“開始”|“控制面板”命令，打開系統(tǒng)控制面板窗口，任意創(chuàng)建一個(gè)用戶賬戶，這樣可以手動(dòng)觸發(fā)一個(gè)新建用戶賬戶的事件，該事件是為附加特定任務(wù)而運(yùn)行的。

接著按照之前的操作打開事件查看器界面，逐一展開“Windows日志”|“安全”分支，該分支下能看到與系統(tǒng)安全有關(guān)的事件，從中找到剛才生成的用戶賬戶的事件，用鼠標(biāo)右鍵單擊該事件選項(xiàng)，執(zhí)行右鍵菜單中的“將任務(wù)附加到此事件”命令，彈出創(chuàng)建基本任務(wù)向?qū)гO(shè)置框，按“下一步”按鈕，隨后會(huì)出現(xiàn)一個(gè)提示框，這里主要提供一些用于確認(rèn)的信息，要是沒有什么錯(cuò)誤的話，繼續(xù)按“下一步”按鈕，打開如圖9所示的設(shè)置對話框，選中“顯示消息”選項(xiàng)，再設(shè)置好消息框的標(biāo)題和報(bào)警內(nèi)容，最后按“完成”按鈕保存設(shè)置操作。這樣，日后每當(dāng)系統(tǒng)中有新用戶賬戶被創(chuàng)建時(shí)，系統(tǒng)都能自動(dòng)彈出對話框，提醒我們及時(shí)去檢查核對。

1

2

3

4

5

6

7

8

9