【原创科普】定位问题 有效求助——Windows事件查看器（2015-9-10更新，改进搜索）

villana

翼风Fly 发表于 2015-8-29 21:21
当然可以，只不过会在“保存的日志”中
但是除非需要把自己的日志给别人，否则不推荐用这种方法，还不如 ...

还有个问题，eventwvr.msc跟eventwvr.exe有什么区别？

翼风Fly

villana 发表于 2015-8-29 22:55
不是，可能我的硬盘性能有点低，我的意思是打开事件查看器因为要加载所有日志在我的机器上速度有点慢，而 ...

没明白。。。你不选择要查看的日志，也不会加载啊
如果希望快速加载，就得定期清理日志，或者设置日志为一个较小的大小——不过，感觉没必要

至于eventwvr.msc和eventwvr.exe的区别

eventvwr.exe是打开Windows事件管理器的一个媒介，运行后会自动调用mmc.exe启动eventvwr.msc文件，从而启动事件管理器

这两个命令都可以打开“事件查看器”。
不过exe的那个可以跟参数
详见：https://msdn.microsoft.com/zh-cn ... PPError=-2147217396

villana

翼风Fly 发表于 2015-8-30 11:18
没明白。。。你不选择要查看的日志，也不会加载啊
如果希望快速加载，就得定期清理日志，或者设置日志为 ...

其实就是加载日志项目列表有点慢，不如直接找那个项目的日志文件。

翼风Fly

villana 发表于 2015-8-30 12:19
其实就是加载日志项目列表有点慢，不如直接找那个项目的日志文件。

你说的“项目”是指出错的程序？似乎不行，毕竟日志不会针对某一个进程进行记录
除非那个软件在软件分类里有日志项（例如Office、毛豆）
最多也要等到右侧项目加载完成后做筛选

villana

翼风Fly 发表于 2015-8-30 12:58
你说的“项目”是指出错的程序？似乎不行，毕竟日志不会针对某一个进程进行记录
除非那个软件在软件分类 ...

不是，打开事件查看器左侧不是会加载各个日志项目列表嘛，就是觉得这个过程有点慢，所以就不如直接去文件夹里找那个项目的文件。

翼风Fly

villana 发表于 2015-8-30 17:10
不是，打开事件查看器左侧不是会加载各个日志项目列表嘛，就是觉得这个过程有点慢，所以就不如直接去文件 ...

你是说左边的那个列表慢？
我一直以为你在说右边
好吧，这个就不清楚了。。。那就直接双击打开日志文件吧。。。

jackxicy

win10有个错误，不知道你们有没有，不知道怎么解决
”同步主机_Session1 服务意外地终止，这种情况已经出现了 1 次。以下的修正操作将在 10000 毫秒内运行: 重新启动服务。“
- System

  - Provider

   [ Name]  Service Control Manager
   [ Guid]  {555908d1-a6d7-4695-8e1e-26931d2012f4}
   [ EventSourceName]  Service Control Manager

  - EventID 7031

   [ Qualifiers]  49152

   Version 0

   Level 2

   Task 0

   Opcode 0

   Keywords 0x8080000000000000

  - TimeCreated

   [ SystemTime]  2015-09-06T16:27:10.376069700Z

   EventRecordID 3870

   Correlation

  - Execution

   [ ProcessID]  616
   [ ThreadID]  916

   Channel System

   Computer DESKTOP-PQ021SE

   Security


- EventData

  param1 同步主机_Session1
  param2 1
  param3 10000
  param4 1
  param5 重新启动服务
   4F006E006500530079006E0063005300760063005F00530065007300730069006F006E0031000000


--------------------------------------------------------------------------------

二进制数据:


以字为单位

0000: 006E004F 00530065 006E0079 00530063
0010: 00630076 0053005F 00730065 00690073
0020: 006E006F 00000031   


以字节为单位

0000: 4F 00 6E 00 65 00 53 00   O.n.e.S.
0008: 79 00 6E 00 63 00 53 00   y.n.c.S.
0010: 76 00 63 00 5F 00 53 00   v.c._.S.
0018: 65 00 73 00 73 00 69 00   e.s.s.i.
0020: 6F 00 6E 00 31 00 00 00   o.n.1...

翼风Fly

jackxicy 发表于 2015-9-7 22:49
win10有个错误，不知道你们有没有，不知道怎么解决
”同步主机_Session1 服务意外地终止，这种情况已经出 ...

说一下这个问题的分析过程
日志的关键信息

• 文字叙述：同步主机_Session1 服务意外地终止，这种情况已经出现了 1 次。以下的修正操作将在 10000 毫秒内运行: 重新启动服务。
  由此可知，是一个名为 同步主机_Session1 的服务出现了问题。
• 名称：[ Name]  Service Control Manager
  错误由”服务控制管理器“（直译）提供。
• 日志ID：EventID  7031
  这也是比较重要的排错信息来源。
  

解决思路

1、直接搜索问题名称
根据含义来看，是有一个服务莫名停止。不过这个服务名我没见过，于是搜索服务名：同步主机_Session1
在远景论坛发现相似解决方案：http://bbs.pcbeta.com/viewthread-1598810-1-1.html

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到OneSyncSvc、OneSyncSvc_Session1、UserDataSvc、UserDataSvc_Session1将start值改为4

也就是说通过注册表关闭服务。
尤其当看到日志下方“以字节为单位”瞬间无语：
OneSyncSvc_Session1
终于知道“同步主机”服务指的是什么鬼。。。有时候不翻译比翻译好多了。。。
这货是OneDrive的吧？



2、EventID进一步查看
为了进一步确认，在http://www.eventid.net/上继续搜索。ID是7031 ，名称是Service Control Manager ，搜索得出：http://www.eventid.net/display-e ... tno-465-phase-1.htm
其中也说：

This error is not specific to the <service name> service but it is generated by the Service Control Manager when it detects that a specific service terminated ungracefully. In order to troubleshoot this error look for other events, logs, etc., that are specific to the service in question.

简单来说，这个错误的原因并不单纯来自于报错并停止的<服务名称>，需要通过其他日志错误来进一步分析。
其中罗列的一些服务错误列表，也可以发现大量的错误都要通过其他错误日志定位。
所以建议继续看一下其他错误以进一步排除

ELOHIM

楼主很棒。以前跟他们说看事件日志，结果好像意义不大。
这个地方也是黑客喜欢来的地方，他们要做的就是消尸灭记。
还是建议用户使用低权限身份进行上网操作并及时备份事件日志以便发生问题可以溯源。

翼风Fly

ELOHIM 发表于 2015-9-8 09:47
楼主很棒。以前跟他们说看事件日志，结果好像意义不大。
这个地方也是黑客喜欢来的地方，他们要做的 ...

好像意义不大

这都上主页了还没什么阅读量，好失败的赶脚

建议用户使用低权限身份进行上网操作并及时备份事件日志以便发生问题可以溯源。

其实这个建议对大部分人来说

好像意义不大

话说黑客要扫的脚印不止这一点