动静结合，了解XP系统日志那些事儿

yumiao0160

现在排除故障的常规思路是要扫一份报告上来，但俺一看见长长的报告就想去打酱油。其实，用sreng扫上来的报告是对系统整体的一种把握，但扫报告的人却往往是因为感觉到自己机子出了影响正常使用的问题才会上传报告求助。换言之，其最想解决的问题不是排除掉所有故障，而是马上恢复正常。但sreng扫上来的报告经常使人抓不住重点，也就是说，看日志的人对最近发生了什么并不能从报告中看出，这时俺的思路是同时查看系统事件报告（相当于动态）跟sreng报告（相当于静态）。之所以只说xp系统是因为vista的系统查看器虽然很强大，但用的人不多。查看事件报告是为了确定故障重点，查看sreng报告以便于对故障重点进行定位排除。
       事件报告在哪里？
答：windows自带了事件查看器并记录事件。除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外，也可以在“运行”对话框中手工键入“％SystemRoot％＼system32＼eventvwr．msc /s”打开事件查看器窗口。

       事件报告包括什么？
答：

　1． 应用程序日志

　　包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

　　2． 安全性日志

　　记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

　　3． 系统日志

　　包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件：6006，如果你在某一天的事件查看器中没有发现ID为6006的事件，那么说明计算机在当天未正常关机，双击打开“事件属性”窗口，如果看到手描述为“事件日志服务已停止”，说明这里的“时间”是指计算机正常关机的时间。

　　如果机子被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志；如果机子被配置为域名系统（DNS）服务器，那么还将记录DNS服务器日志。当启动Windows时，“事件日志”服务(EventLog)会自动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。

       系统日志怎么看？
答：筛选着看。日志量是很大的，不做筛选比看sreng日志还费事。筛选的方法如下：

要选择好时间区段与事件类型，这样筛出的信息更有针对性，筛选出问题日志后可导出为文本，但文本只有事件ID比较有用，可以到http://www.eventid.net上输入ID与事件源查询事故原因，但你也许会碰事件ID为0的情况，这时按照事件描述去办就行。

      关于事件查看的辅助工具有哪些？
答：1、myeventviewer
以下为其描述，其与系统自带的事件查看器比较明显的优势是体积小巧，事件与描述可同时显示出来，并且导出方式更多一些。但经测试只能读取当前系统的日志，也就是说在pe下无法使用。

MyEventViewer is a simple alternative to the standard event viewer of Windows. As oppose to Windows event viewer, MyEventViewer allows you to watch multiple event logs in one list, as well as the event description and data are displayed in the main window, instead of opening a new one. Also, with MyEventViewer you can easily select multiple event items and then save them to HTML/Text/XML file, or copy them to the clipboard (Ctrl+C) and then paste them into Excel.

myeventviewer.zip (40.48 KB, 下载次数: 265)

2009-3-27 22:12 上传

点击文件名下载附件
这个软件的作者提供了汉化参数，可用命令行转到软件目录下输入MyEventViewer.exe /savelangfile这时根目录会生成MyEventViewer_lng.ini打开更改对应英语后即可汉化。

这是软件界面

这里提供一个这种文件
MyEventViewer_lng.rar (1006 Bytes, 下载次数: 250)

2009-3-27 22:12 上传

点击文件名下载附件
2、 GFI eventsmanager 8
这软件很强大，很专业，同时很贵。它可以扫描机器中所有的日志文件并进行分析。官方提供了30天的试用期而且是英文版，所以俺也没怎么用。但该公司提供在线免费的安全日志扫描http://www.gfi.com/eventlogscan/大家有兴趣可以试试，其分析效果不错，但同样英文。另外附上软件网址http://www.gfi.com/eventsmanager。
3、系统中另外的工具
Eventcreate.exe创建自定义的事件日志

eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d descrīption
含义：-s 为远程主机创建日志： -u 远程主机的用户名 -p 远程主机的用户密码-l 日志；可以创建system和application 不能创建security日志，
-so 日志来源，可以是任何日志 -t 日志类型如information信息，error错误,warning 警告，
-d 日志描述，可以是任意语句 -id 自主日志为1-1000之内
例如，我们要本地创建一个系统日志，日至来源为admin,日志类型是警告,描述为"this is a test",事件ID为500
可以用如下参数
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
这个工具不能创建安全日志。

Eventtriggers.exe可创建事件触发器，这样当特定事件日志发生时将自动执行相应的程序，从而弥补了事件查看器无法实时跟踪可疑事件的不足，这一工具可以为安全软件的完善提供一个思路

假设当有人试图登录系统但验证身份失败时，想要执行 C:\Admin\InvalidLogon.cmd脚本，可设置如下：eventtriggers /create /l security /eid 529 /tr“登录失败”/tk c:\admin\InvalidLogon.cmd /ru:administrator。

Eventquery.vbs可从一个或多个事件日志中列出事件和事件属性

语法
# eventquery[.vbs][/s Computer [/u Domain\User [/p Password]]][/fi FilterName][/fo {TABLE | LIST | CSV}][/r EventRange [/nh] [/v] [/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [UserDefinedLog] [DirectoryLogName] ]
参数
/s Computer
指定远程计算机名称或 IP 地址（不能使用反斜杠）。该默认值是本地计算机。
/u Domain\User
根据由 User 或 Domain\User 指定的用户所具有的帐户权限来运行脚本。默认值是当前登录发出命令的计算机的用户具有的权限。
/p Password
指定在 /u 参数中指定的用户帐户的密码。
/fi FilterName
指定要包括在查询中的事件类型，或指定要从查询中排除的事件类型。以下是有效的筛选器名称、运算符和值：名称运算符值 日期时间 eq，ne，ge，le，gt，lt mm/dd/yy(yyyy)，hh:mm:ssAM(/PM) 键入 eq，ne {ERROR | INFORMATION | WARNING | SUCCESS | SUCCESSAUDIT | FAILUREAUDIT} ID eq，ne，ge，le，gt，lt 任何有效的正整数。 用户 eq，ne 任何有效字符串。 计算机 eq，ne 任何有效字符串。 来源 eq，ne 任何有效字符串。 分类 eq，ne 任何有效字符串
/fo {TABLE | LIST | CSV}
指定输出所用的格式。有效值为 table、list 和 csv。
/r EventRange
指定要列出的事件的范围。值描述 N 列出 N 个最新的事件。 -N 列出 N 个最旧的事件。 N1-N2 列出从 N1 到 N2 的事件。
/nh
取消输出结果中的列标题。仅适用于 table 和 csv 格式。
/v
指定显示在输出结果中的详细事件信息。
/l
# [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [UserDefinedLog] [DirectoryLogName]
指定要监视的日志。有效值为 Application、System、Security、"DNS server"、用户自定义日志以及 Directory 日志。只有在由 /s 参数指定的计算机上运行 DNS 服务的情况下，才可以使用 "DNS server"。要指定多个要监视的日志，请再次使用 /l 参数。可以使用通配符 (*)，并且是默认值。
/?
在命令提示符下显示帮助。
注释
•
要运行此脚本，必须正在运行 Cscript。如果尚未将默认 Windows Script Host 设置为 Cscript，请键入：
cscript //h:cscript //s //nologo
示例
下面的示例显示如何使用 Eventquery 命令：
eventquery /l system
eventquery /l mylog
eventquery /l application /l system
eventquery /s srvmain /u maindom\hiropln /p
p@ssW23
/v /l *
eventquery /r 10 /l application /nh
eventquery /r -10 /fo LIST /l security
eventquery /r 5-10 /l "DNS server"
eventquery /fi "Type eq Error" /l application
eventquery /fi "Datetime eq 06/25/00,03:15:00AM/06/25/00,03:15:00PM" /l application
eventquery /fi "Datetime gt 08/03/00,06:20:00PM" /fi "id gt 700" /fi "Type eq warning" /l system

好了，俺的介绍结束了。本文参考了多篇技术文献，乃是一锅大杂烩，故仅作经验之谈。但本文融入了俺的一些经验与思路，凡引用部分皆非原创，但希望大家能够接受这种通过系统日志来排除故障的思路。相信这会为我们保证计算机安全，了解系统的运行提供资料。

dl123100

楼主上次的dump分析例子没选好，分析部分不具体。
这篇倒不错，虽然不怎么常用。

backway

直接运行eventvwr.msc就可以打开事件查看器了 干嘛还要具体路径涅
系统日志有点复杂

　查到导致系统问题的事件后，我们需要找到解决它们的办法。查找解决这些问题的方法主要可以通过两个途径：微软在线技术支持知识库以及Eventid.net网站。
　　微软在线技术支持知识库（KB）：
　　微软知识库的文章是由微软公司官方资料和MVP（微软最有价值专家）撰写的技术文章组成，主要解决微软产品的问题及故障。
　　当微软每一个产品的Bug和容易出错的应用点被发现以后，都将有与其对应的KB文章分析这项错误的解决方案。
　　微软知识库的地址是：http://support.microsoft.com，在网页左边的“搜索（知识库）”中输入相关的关键字进行查询，事件发生源和ID等信息。当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询也并不是一个坏主意。
Eventid.net网站：
　　要查询系统错误事件的解决方案，还有一个更好的地方：Eventid.net网站，地址是www.eventid.net。这个网站由众多微软MVP（最有价值专家）主持，几乎包含了全部系统事件的解决方案。

[ 本帖最后由 backway 于 2009-3-27 22:31 编辑 ]

Fengyun

有助于对系统的学习，谢谢了，学习啦。

缘尽于此

学习下。

yumiao0160

那次是刚重装了，没有dump文件，所以就用冰刃搞了一次蓝屏出来。这次本来想搞个实例解释，但又想不出用什么样本合适。另外搜资料时发现了Eventtriggers.exe，感觉这个工具很独特。通过事件引发调用程序，有点HIPS的意思。
另外补充下，最后一个工具要在windows\system32目录下运行命令行版本的Windows脚本宿主： Cscript.exe才能调用。格式：Cscript Eventquery.vbs /l system /fi "Datetime gt mm/dd/yy,12:00:00AM"/fi "Type eq Warning"

tawny2008

楼主可以帮忙分析一下这个DUMP吗？
http://bbs.kafan.cn/thread-449090-1-1.html

tawny2008

过来支持一下，谢谢解答

backway

都是夜猫，还没睡觉呢

tawny2008

在学习分析SREng日志，以前经常是用来修复注册表项目的，很少看过日志，刚才研究了一下已经会看了，现在学写专杀