XPシステムイベントビューアを使用する（1）

XPシステムイベントビューアを使用する：

Windows XPを使用したことがある場合は、それが好きかどうかに関係なく、オペレーティングシステムは毎日使用されています。バックグラウンドでは、すべての動きが曖昧に記録されていますが、これは忠実な歴史家である「春と秋」のスタイラスに相当し、「コントロールパネル」の「管理ツール」にある「イベントビューア」です。それは、システムの感情や悲しみ、そしてすべての言葉や行動を理解することができますが、それらはすべて実行中のアカウントですが、成功の喜びと失敗の理由を味わうことができます。

イベントビューアは何を見ることができますか？

イベントビューアは、ハードウェア、ソフトウェア、システムの問題、およびWindows XPのセキュリティイベントに関する情報を表示できるシックシステムログに相当します。

ヒント：[コントロールパネルと管理ツール]の[イベントビューア]に加えて、[ファイル名を指定して実行]ダイアログボックスに「<％SystemRoot％\\ system32 \\」と手動で入力することもできます。 Eventvwr。 Msc /s - イベントビューアウィンドウを開きます。

1。アプリケーションログ

には、アプリケーションまたはシステムプログラムによって記録されたイベントが含まれ、主にプログラムの実行中のイベントが記録されます（データベースプログラムはアプリケーションログにファイルエラーを記録し、プログラム開発者は監視するイベントを決定できます）。 。アプリケーションがクラッシュした場合は、プログラムイベントログから対応するレコードを見つけることができます。これは問題の解決に役立つことがあります。

2。セキュリティログ

有効または無効なログイン試行などのイベントと、システム管理者がセキュリティログで指定できるファイルやその他のオブジェクトの作成、開く、削除などのリソース使用量に関連するイベントを記録します。記録されているイベント既定では、セキュリティログは無効になっています。管理者はグループポリシーを使用してセキュリティログを開始するか、またはセキュリティログがいっぱいになったときにシステムが応答しないようにレジストリに監査ポリシーを設定できます。

3。システムログ

起動時にドライバや他のシステムコンポーネントをロードするなど、Windows XPに含まれるシステムコンポーネントによって記録されるイベントは、システムログに記録されますデフォルトでは、Windowsはシステムイベントをシステムログに記録します。その中で。ここに非常に重要なイベントがあります。6006。ある日のイベントビューアでID 6006のイベントが見つからない場合、その日はコンピュータは正常にシャットダウンしません。ダブルクリックして「イベントのプロパティ」ウィンドウを開きます。説明は「イベントログサービスが停止しました」であり、「時間」はコンピュータが正常にシャットダウンされた時間を表します。

コンピュータがドメインコントローラとして構成されている場合は、ディレクトリサービスログ、ファイルコピーサービスログも含まれ、コンピュータがドメインネームシステム（DNS）サーバーとして構成されている場合は、DNSサーバーログも記録されます。 Windowsが起動すると、 "Event Log"サービス（EventLog）が自動的に開始され、すべてのユーザーがアプリケーションとシステムのログを表示できますが、セキュリティログにアクセスできるのは管理者だけです。

小さなログに大きな情報が含まれている

友人がこれらの退屈なログを過小評価してはいけません。慎重に分析できれば、間違いなくここに来ることができます。システムエラーの解決に役立つ有用な情報を数多く見つけましょう。

1。情報：アプリケーション、ドライバ、またはサービスの正常な動作を説明するイベント（ネットワークドライバが正常にロードされたときなど）、「情報」イベントが記録されます。ここから、日付、時刻、ユーザー、コンピュータ、イベントID、ソース、種類、カテゴリなどを含むイベントヘッダーを確認できます。対応する説明と詳細情報が[説明]リストボックスに表示されます。 Microsoftの「URL」アドレスを指すことができるリンクアドレス。

ほとんどの場合、特別な必要がない限り、この種のイベントをアイテムごとに見る必要はありません。

2。成功した監査：成功した監査セキュリティアクセス試行は、主にセキュリティログを指し、ユーザーのログイン/ログアウト、オブジェクトアクセス、特権の使用、アカウント管理、ポリシー変更、詳細追跡、ディレクトリサービスアクセス、アカウントログインなどのイベントを記録します。成功したすべてのログインシステムは、「成功したレビュー」イベントとして記録されます。

3。失敗の監査：ユーザーがネットワークドライブにアクセスしようとして失敗するなど、失敗した監査セキュリティログイン試行は失敗した監査イベントとして記録されます。

4。警告：それほど重要ではありませんが、将来問題を引き起こす可能性のあるイベントがある可能性があります。たとえば、十分なディスク容量がない場合やプリンタが見つからない場合は、「警告」イベントがログに記録されます。

5。エラー：データの損失や機能の損失などの重要な問題は「エラー」イベントの形で記録されます。その場合はシステムを確認する必要があります。説明にあるリンクをクリックすると、対応するヘルプページに自動的に移動し、指示に従って対応する操作を行うことができます興味のある方は、ここで内容を調べることができます。やがてあなたはDIYerになると私は信じています。

定期的に冗長ログを解放する

実際、ほとんどの場合記録されているシステムイベントは実行中のアカウントであり、時間の経過とともにシステムログは拡大し続けます。事前設定されたログサイズに達すると、新しいイベントが停止されるため、定期的に余分なログを解放する必要があります。

クリアするログを選択して、[アクション]メニューから[すべてのイベントをクリア]を選択すると、現在のログを保存するように求めるダイアログボックスが表示されます。[はい]をクリックします。;消去する前にログを保存し、[いいえ]を選択すると、現在のイベントレコードを永久に破棄して新しいイベントの記録を開始します。操作が面倒な場合は、アクティビティログの[ロジスティクス]ダイアログボックスで[イベントを書き換えない（手動でログを消去する）]を選択できます。ログが一定のサイズに達するか、ログがいっぱいであることを示すメッセージが表示されると、システムは自動的にログを消去するか、必要に応じてイベントを再書き込みするように選択します。ログがいっぱいになったときに、すべての新しいイベントをログに書き込むこともできますが、もちろん、新しいログは古いログを自動的に上書きします。

ただし、説明を加えると、イベントログを消去または書き換えるための十分な権限を持つには、ユーザーは管理者またはAdministratorsグループのメンバーとしてシステムにログインする必要があります。または、\\ WINDOWS \\ SYSTEM32 \\ config \\フォルダに移動することもできます。拡張子が* .evtのファイルはいわゆるログファイル、AppEvent.evtはアプリケーションログ、SysEvent.evtは'です。システムログ、SecEvent.evt、つまり「セキュリティ」ログは、対応するファイルを直接削除してください。ただし、NTFS形式のシステムを使用している場合は、ログファイルを削除する前にまずイベントチェッカーを閉じる必要があります。サービスは大丈夫です。

イベントビューアを使用してイベントログを管理するだけでなく、コマンドラインツールを使用してイベントログを作成およびクエリし、プログラムを' Eventcreate.exe&'などの特別なログイベントに関連付けることもできます。カスタムイベントログを作成する、Eventquery.vbsは1つ以上のイベントログからイベントとイベントのプロパティを一覧表示する、Eventtriggers.exeは特定のイベントログが発生したときにイベントトリガーを作成する対応するプログラムが自動的に実行されるため、イベントビューアが疑わしいイベントをリアルタイムで追跡することができなくなります。

2。成功した監査：成功した監査セキュリティアクセス試行は、主にセキュリティログを指し、ユーザーのログイン/ログアウト、オブジェクトアクセス、特権の使用、アカウント管理、ポリシー変更、詳細追跡、ディレクトリサービスアクセス、アカウントログインなどのイベントを記録します。成功したすべてのログインシステムは、「成功したレビュー」イベントとして記録されます。

3。失敗の監査：ユーザーがネットワークドライブにアクセスしようとして失敗するなど、失敗した監査セキュリティログイン試行は失敗した監査イベントとして記録されます。

4。警告：それほど重要ではありませんが、将来問題を引き起こす可能性のあるイベントがある可能性があります。たとえば、十分なディスク容量がない場合やプリンタが見つからない場合は、「警告」イベントがログに記録されます。

5。エラー：データの損失や機能の損失などの重要な問題は「エラー」イベントの形で記録されます。その場合はシステムを確認する必要があります。説明にあるリンクをクリックすると、対応するヘルプページに自動的に移動し、指示に従って対応する操作を行うことができます興味のある方は、ここで内容を調べることができます。やがてあなたはDIYerになると私は信じています。

定期的に冗長ログを解放する

実際、ほとんどの場合記録されているシステムイベントは実行中のアカウントであり、時間の経過とともにシステムログは拡大し続けます。事前設定されたログサイズに達すると、新しいイベントが停止されるため、定期的に余分なログを解放する必要があります。

クリアするログを選択して、[アクション]メニューから[すべてのイベントをクリア]を選択すると、現在のログを保存するように求めるダイアログボックスが表示されます。[はい]をクリックします。;消去する前にログを保存し、[いいえ]を選択すると、現在のイベントレコードを永久に破棄して新しいイベントの記録を開始します。操作が面倒な場合は、アクティビティログの[ロジスティクス]ダイアログボックスで[イベントを書き換えない（手動でログを消去する）]を選択できます。ログが一定のサイズに達するか、ログがいっぱいであることを示すメッセージが表示されると、システムは自動的にログを消去するか、必要に応じてイベントを再書き込みするように選択します。ログがいっぱいになったときに、すべての新しいイベントをログに書き込むこともできます。

ただし、説明を加えると、イベントログを消去または書き換えるための十分な権限を持つには、ユーザーは管理者またはAdministratorsグループのメンバーとしてシステムにログインする必要があります。または、\\ WINDOWS \\ SYSTEM32 \\ config \\フォルダに移動することもできます。拡張子が* .evtのファイルはいわゆるログファイル、AppEvent.evtはアプリケーションログ、SysEvent.evtは'です。システムログ、SecEvent.evt、つまり「セキュリティ」ログは、対応するファイルを直接削除してください。ただし、NTFS形式のシステムを使用している場合は、ログファイルを削除する前にまずイベントチェッカーを閉じる必要があります。サービスは大丈夫です。

イベントビューアを使用してイベントログを管理するだけでなく、コマンドラインツールを使用してイベントログを作成およびクエリし、プログラムを' Eventcreate.exe&'などの特別なログイベントに関連付けることもできます。カスタムイベントログを作成する、Eventquery.vbsは1つ以上のイベントログからイベントとイベントのプロパティを一覧表示する、Eventtriggers.exeは特定のイベントログが発生したときにイベントトリガーを作成する対応するプログラムが自動的に実行されるため、イベントビューアが疑わしいイベントをリアルタイムで追跡することができなくなります。