在Windows2000、Windows XP操作系统中有一位系统运行状况的忠实记录者,从开机、运行到关机过程中发生的每一个事件都将被记录下来,它就是“事件查看器”。用户可以利用这个系统维护工具,收集有关硬件、软件、系统问题方面的信息,并监视系统安全事件,将系统和其他应用程序
监视文件和文件夹的访问
监视文件和文件夹的访问
在办公环境下,有时我们需了解计算机上其他用户是否访问了我们限制的文件或文件夹,这时候我们通过组策略配合,利用事件查看器在不影响用户正常使用的情况下,监控用户的访问情况。选择“开始/控制面板/管理工具/本地安全设置/本地策略/审核策略”,在右边信息窗口中右键单击“审核对象访问”选择“安全性”,在“本地安全策略设置”中,单击所需的选项并确定。接着在任务栏“开始”上点右键选择“资源管理器”,右键点击要审核的文件或文件夹,选择“属性”。然后选择“安全/高级/审核/添加”,在“选择用户、计算机或组”对话框中,单击要审核操作的用户名或组名并确定即可。
注意:必须作为管理员或管理组的成员登录才能设置文件和文件夹的审核,只有管理员才能使用“组策略”
监视系统开关机情况
当我们外出回来,有时我们需要了解计算机的开关情况以及是否正常开关机情况。我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。主要是两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止(图2),如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
如果你是网络管理员,那么这些记录就更加的重要了,如果有意外的开关机操作,那么你的机器已被攻击的可能性就很大了。
解决机器开机时的错误提示窗口
如果你最近安装或卸载了某些程序,或者是由于安全的原因关闭了某些服务,结果你发现每次开机都会弹出一个错误提示窗口,并提示“在系统启动时至少有一个服务或驱动程序产生错误。详细信息,请使用事件查看器查看事件日志”。这类问题一般是系统在加载相关服务时找不到服务程序而无法启动产生的,你可以使用事件查看器来查看具体是哪个服务启动时出现了问题,解决的办法通常有两种,一种是通过了解该服务是那哪些程序产生,不论这些服务是操作系统本身产生还是应用程序产生的,都可以通过卸载相关应用程序来解决。另一个办法更简单直接到服务管理器中将相应的服务设置为“禁用”即可。
分析死机故障原因
相对于Windows 98而言,Windows 2000和Windows XP均要稳定的多,是不容易发生死机现象的。从理论上讲,纯32位的Windows 2000 是不会出现死机的,但是这仅仅是理论上的。病毒、硬件和硬件驱动程序不匹配等原因将造成Windows 2000的崩溃。当Windows 2000出现死机时,显示器屏幕将变为蓝色,然后出现死机故障提示信息。通过事件查看能够发现问题的原因。如果出现的硬件设备故障,可以通过重新安装硬件驱动或卸载硬件来解决,如果是软件故障可以卸相应的驱动程序,如果是警告显示磁盘驱动程序在几次重试后,只能读取或写入到某个扇区,十有八九是硬盘出问题了。
即使你的系统没有死机,运行某些程序出现停顿现象,也有可能是计算机的硬盘出现故障,你依然可通过检查事件查看器,看是否出现硬盘有无法响应的日志,如果硬盘出现损坏,还是尽早更新,以免带来重大的数据损失。
检查不能上网的原因
不能上网的原因有非常多,其中无法获得局域网DHCP服务器的数据,以至无法取得一个能上网的IP地址是局域网用户不能上网的故障中最常见的一种,通过“事件查看器”我们可以很容易就找到这个错误事件ID号为1007,此你可以先检查你的网线,看是否连接正常,如果网络线路正常。可以打电话咨询网络管理员是否是DHCP服务器停止工作了。
如果你使用的IP地址与网络上别人使用的IP地址相同,网络接口也会被系统禁用,一样也无法上网,这个错误事件ID号为1006,如果你发现这种情况要及时和网络管理员联系解决。
网友评论