在Windows2000、Windows XP操作系統(tǒng)中有一位系統(tǒng)運(yùn)行狀況的忠實(shí)記錄者，從開(kāi)機(jī)、運(yùn)行到關(guān)機(jī)過(guò)程中發(fā)生的每一個(gè)事件都將被記錄下來(lái)，它就是“事件查看器”。用戶(hù)可以利用這個(gè)系統(tǒng)維護(hù)工具，收集有關(guān)硬件、軟件、系統(tǒng)問(wèn)題方面的信息，并監(jiān)視系統(tǒng)安全事件，將系統(tǒng)和其他應(yīng)用程序運(yùn)行中錯(cuò)誤或警告事件記錄下來(lái)，便于診斷和糾正系統(tǒng)發(fā)生的錯(cuò)誤和問(wèn)題。下面通過(guò)幾個(gè)例子來(lái)講解“事件查看器”的實(shí)際應(yīng)用。

使用事件查看器

有兩種方法可以很快地打開(kāi)事件查看器:

1.通過(guò)“我的電腦”打開(kāi)。右鍵單擊“我的電腦”，選擇“管理”，彈出“計(jì)算機(jī)管理”窗口，在“系統(tǒng)工具”標(biāo)簽下便是“事件查看器”。

2.通過(guò)“控制面板”打開(kāi)。選擇“開(kāi)始/控制面板”，在“控制面板”窗口單擊“管理工具”，在彈出窗口中雙擊“事件查看器”圖標(biāo)，便可打開(kāi)“事件查看器”窗口。

如圖1所示便是事件查看器的系統(tǒng)日志信息。

監(jiān)視文件和文件夾的訪問(wèn)

在辦公環(huán)境下，有時(shí)我們需了解計(jì)算機(jī)上其他用戶(hù)是否訪問(wèn)了我們限制的文件或文件夾，這時(shí)候我們通過(guò)組策略配合，利用事件查看器在不影響用戶(hù)正常使用的情況下，監(jiān)控用戶(hù)的訪問(wèn)情況。選擇“開(kāi)始/控制面板/管理工具/本地安全設(shè)置/本地策略/審核策略”，在右邊信息窗口中右鍵單擊“審核對(duì)象訪問(wèn)”選擇“安全性”，在“本地安全策略設(shè)置”中，單擊所需的選項(xiàng)并確定。接著在任務(wù)欄“開(kāi)始”上點(diǎn)右鍵選擇“資源管理器”，右鍵點(diǎn)擊要審核的文件或文件夾，選擇“屬性”。然后選擇“安全/高級(jí)/審核/添加”，在“選擇用戶(hù)、計(jì)算機(jī)或組”對(duì)話框中，單擊要審核操作的用戶(hù)名或組名并確定即可。

注意:必須作為管理員或管理組的成員登錄才能設(shè)置文件和文件夾的審核，只有管理員才能使用“組策略”

監(jiān)視系統(tǒng)開(kāi)關(guān)機(jī)情況

當(dāng)我們外出回來(lái)，有時(shí)我們需要了解計(jì)算機(jī)的開(kāi)關(guān)情況以及是否正常開(kāi)關(guān)機(jī)情況。我們可以通過(guò)事件查看器的系統(tǒng)日志查看計(jì)算機(jī)的開(kāi)、關(guān)機(jī)記錄，這是因?yàn)槿罩痉?wù)會(huì)隨計(jì)算機(jī)一起啟動(dòng)或關(guān)閉，并在日志中留下記錄。主要是兩個(gè)事件ID“6006和6005”。6005表示事件日志服務(wù)已啟動(dòng)，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6005的事件，就說(shuō)明在這天正常啟動(dòng)了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止(圖2)，如果沒(méi)有在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6006的事件，就表示計(jì)算機(jī)在這天沒(méi)有正常關(guān)機(jī)，可能是因?yàn)橄到y(tǒng)原因或者直接切斷電源導(dǎo)致沒(méi)有執(zhí)行正常的關(guān)機(jī)操作。

如果你是網(wǎng)絡(luò)管理員，那么這些記錄就更加的重要了，如果有意外的開(kāi)關(guān)機(jī)操作，那么你的機(jī)器已被攻擊的可能性就很大了。

解決機(jī)器開(kāi)機(jī)時(shí)的錯(cuò)誤提示窗口

如果你最近安裝或卸載了某些程序，或者是由于安全的原因關(guān)閉了某些服務(wù)，結(jié)果你發(fā)現(xiàn)每次開(kāi)機(jī)都會(huì)彈出一個(gè)錯(cuò)誤提示窗口，并提示“在系統(tǒng)啟動(dòng)時(shí)至少有一個(gè)服務(wù)或驅(qū)動(dòng)程序產(chǎn)生錯(cuò)誤。詳細(xì)信息，請(qǐng)使用事件查看器查看事件日志”。這類(lèi)問(wèn)題一般是系統(tǒng)在加載相關(guān)服務(wù)時(shí)找不到服務(wù)程序而無(wú)法啟動(dòng)產(chǎn)生的，你可以使用事件查看器來(lái)查看具體是哪個(gè)服務(wù)啟動(dòng)時(shí)出現(xiàn)了問(wèn)題，解決的辦法通常有兩種，一種是通過(guò)了解該服務(wù)是那哪些程序產(chǎn)生，不論這些服務(wù)是操作系統(tǒng)本身產(chǎn)生還是應(yīng)用程序產(chǎn)生的，都可以通過(guò)卸載相關(guān)應(yīng)用程序來(lái)解決。另一個(gè)辦法更簡(jiǎn)單直接到服務(wù)管理器中將相應(yīng)的服務(wù)設(shè)置為“禁用”即可。

分析死機(jī)故障原因

相對(duì)于Windows 98而言，Windows 2000和Windows XP均要穩(wěn)定的多，是不容易發(fā)生死機(jī)現(xiàn)象的。從理論上講，純32位的Windows 2000 是不會(huì)出現(xiàn)死機(jī)的，但是這僅僅是理論上的。病毒、硬件和硬件驅(qū)動(dòng)程序不匹配等原因?qū)⒃斐蒞indows 2000的崩潰。當(dāng)Windows 2000出現(xiàn)死機(jī)時(shí)，顯示器屏幕將變?yōu)樗{(lán)色，然后出現(xiàn)死機(jī)故障提示信息。通過(guò)事件查看能夠發(fā)現(xiàn)問(wèn)題的原因。如果出現(xiàn)的硬件設(shè)備故障，可以通過(guò)重新安裝硬件驅(qū)動(dòng)或卸載硬件來(lái)解決，如果是軟件故障可以卸相應(yīng)的驅(qū)動(dòng)程序，如果是警告顯示磁盤(pán)驅(qū)動(dòng)程序在幾次重試后，只能讀取或?qū)懭氲侥硞€(gè)扇區(qū)，十有八九是硬盤(pán)出問(wèn)題了。

即使你的系統(tǒng)沒(méi)有死機(jī)，運(yùn)行某些程序出現(xiàn)停頓現(xiàn)象，也有可能是計(jì)算機(jī)的硬盤(pán)出現(xiàn)故障，你依然可通過(guò)檢查事件查看器,看是否出現(xiàn)硬盤(pán)有無(wú)法響應(yīng)的日志，如果硬盤(pán)出現(xiàn)損壞，還是盡早更新，以免帶來(lái)重大的數(shù)據(jù)損失。

檢查不能上網(wǎng)的原因

不能上網(wǎng)的原因有非常多，其中無(wú)法獲得局域網(wǎng)DHCP服務(wù)器的數(shù)據(jù)，以至無(wú)法取得一個(gè)能上網(wǎng)的IP地址是局域網(wǎng)用戶(hù)不能上網(wǎng)的故障中最常見(jiàn)的一種，通過(guò)“事件查看器”我們可以很容易就找到這個(gè)錯(cuò)誤事件ID號(hào)為1007，此你可以先檢查你的網(wǎng)線，看是否連接正常，如果網(wǎng)絡(luò)線路正常。可以打電話咨詢(xún)網(wǎng)絡(luò)管理員是否是DHCP服務(wù)器停止工作了。

如果你使用的IP地址與網(wǎng)絡(luò)上別人使用的IP地址相同，網(wǎng)絡(luò)接口也會(huì)被系統(tǒng)禁用，一樣也無(wú)法上網(wǎng)，這個(gè)錯(cuò)誤事件ID號(hào)為1006，如果你發(fā)現(xiàn)這種情況要及時(shí)和網(wǎng)絡(luò)管理員聯(lián)系解決。

疑難問(wèn)題解決方案

上面介紹的是幾種常見(jiàn)事件管理器中發(fā)現(xiàn)的問(wèn)題的解決辦法，但在實(shí)際中可能發(fā)生的問(wèn)題是多種多樣的，對(duì)于其他的疑難問(wèn)題的方法還可以通過(guò)兩個(gè)主要途徑“微軟在線技術(shù)支持知識(shí)庫(kù)”和“Eventid.net網(wǎng)站”來(lái)解決。

1.微軟知識(shí)庫(kù)

微軟知識(shí)庫(kù)的文章是由微軟公司官方資料和微軟MVP撰寫(xiě)的技術(shù)文章組成，主要解決微軟產(chǎn)品的問(wèn)題及故障。當(dāng)微軟每一個(gè)產(chǎn)品的Bug和容易出錯(cuò)的應(yīng)用點(diǎn)被發(fā)現(xiàn)后，都將有與其對(duì)應(yīng)的KB文章分析這項(xiàng)錯(cuò)誤的解決方案。微軟知識(shí)庫(kù)的地址是:http://support.microsoft.com，在網(wǎng)頁(yè)左邊的“搜索(知識(shí)庫(kù))”中輸入相關(guān)的關(guān)鍵字進(jìn)行查詢(xún)，事件發(fā)生源和ID等信息。當(dāng)然，輸入詳細(xì)描述中的關(guān)鍵詞也是一個(gè)好辦法，如果日志中有錯(cuò)誤編號(hào)，輸入這個(gè)錯(cuò)誤編號(hào)進(jìn)行查詢(xún)也是個(gè)不錯(cuò)的主意。

2.Eventid.net

要查詢(xún)系統(tǒng)錯(cuò)誤事件的解決方案，其實(shí)還有一個(gè)更好的地方，那就是Eventid.net網(wǎng)站(圖3)，地址是:http://www.eventid.net。這個(gè)網(wǎng)站由眾多微軟MVP(最有價(jià)值專(zhuān)家)主持，幾乎包含了全部系統(tǒng)事件的解決方案。登錄網(wǎng)站后，單擊“Search Events(搜索事件)”鏈接，出現(xiàn)事件搜索頁(yè)面。根據(jù)頁(yè)面提示，輸入Event ID(事件ID)和Event Source(事件源)，并單擊“Search”按鈕。Eventid.net的系統(tǒng)會(huì)找到所有相關(guān)的資源及解決方案。最重要的是，享受這些解決方案是完全免費(fèi)的。當(dāng)然，Eventid.net的付費(fèi)用戶(hù)則能享受到更好的服務(wù)，比如直接訪問(wèn)針對(duì)某事件的知識(shí)庫(kù)文章集等。