#干货满满#Windows日志分析实例

     日志记录了系统中硬件、软件和系统问题的信息，同时还监视着系统中发生的事件。当服务器被入侵或者系统（应用）出现问题时，您可以根据日志迅速定位问题的关键，从而极大地提高工作效率和服务器的安全性。本文以Windows Server 2012 R2为例，介绍四种日志的使用和简要分析。

背景信息

Windows系统日志主要分为：系统日志、应用程序日志、安全日志以及应用程序和服务日志。进入事件查看器查看日志

完成以下操作，进入事件查看器查看日志：

• 单击开始，在底部单击下拉按钮，然后单击运行。
• 在运行对话框中执行命令eventvwr，打开事件查看器。
• 您可以在事件查看器里查看以下四种日志。

  
  
  系统日志

  在左侧导航栏，单击Windows 日志 > 系统，查看系统日志。

  系统日志包含Windows系统组件记录的事件。例如，系统日志中会记录在启动过程中加载驱动程序或其他系统组件失败。

  系统组件所记录的事件类型由Windows预先确定。

  应用程序日志

  在左侧导航栏，单击Windows 日志 > 应用程序，查看应用程序日志。

  应用程序日志包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。

  程序开发人员决定记录哪些事件。

  安全日志

  在左侧导航栏，单击Windows 日志 > 安全，查看安全日志。

  安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。

  管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则安全日志将记录对系统的登录尝试。

  应用程序和服务日志

  应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件，而非可能影响整个系统的事件。

  
  

修改日志路径并备份日志

日志默认保存在系统盘里面。日志最大值默认是20 MB，超过20 MB时会覆盖之前的事件。您可以根据自己的需求修改。

按以下步骤修改日志路径并备份日志。

• 在事件查看器窗口，在左侧导航栏里，单击Windows 日志。
• 在右边列表中，右键单击一个日志名称，选择属性。
• 在日志属性 窗口，按界面显示修改以下信息：

  
  
  日志路径。
  日志最大大小。
  达到事件日志最大大小时系统应采取的操作。
  
  

感谢楼主分享！文章对了解Windows日志问题很有帮助，如增加基础操作步骤，更多日志类型讲解，举例，呼应开头应急响应专题更生动且通俗易懂，期待楼主带来更多有价值的文章

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主分析的很详细，不错的实战经验