如何查看电脑里的系统日志

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。下面是我收集的如何查看电脑里的系统日志，希望对您有帮助。

查看系统日志方法:开始→设置→控制面板→管理工具 中找到的“事件查看器”，

或者在【开始】→【运行】→输入 eventvwr.msc 也可以直接进入“事件查看器”

在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件，在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。

具体信息

本段例如可以利用eventlog事件来查看计算机开关机的记录：

在【事件查看器】窗口，在左侧的窗格当中选择【系统】选项，单击右键【属性】菜单项

之后在弹出来的【属性】对话框当中切换到【筛选】选项卡，在【事件来源】下拉列表框中找到“evenlog之后【确定】，此时就可以看见该事件的'日志信息了!

其中事件ID 6006 ID6005、 ID 6009就表示不同状态的机器的情况(开关机)。

6005 信息 EventLog 事件日志服务已启动。(开机)

6006 信息 EventLog 事件日志服务已停止。(关机)

6009 信息 EventLog 按ctrl、alt、键(非正常)关机

如何查看系统日志(以windows2003server为例)

查看Windows2003系统日志的办法

Windows日志文件记录着Windows系统运行的每一个细节， 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志，管理员可以及时找出服务器出现故障的原因。

一般情况下，网管都是在本地查看日志记录，由于目前的局域网规模都比较大，因此网管不可能每天都呆在服务器旁。一旦远离服务器，网管

就很难及时了解到服务器系统的运行状况，维护工作便会受到影响。现在，利用Windows Server 2003(简称Windows 2003)提供的Web访问接口功能就可解决这个问题，让网管能够远程查看Windows 2003服务器的日志记录。

远程查看Windows 2003服务器的日志记录非常简单。在远程客户端(可采用Windows 98/2000/XP/2003系统)，运行IE浏览器， 在地址栏中输入“https://Win2003服务器IP地址:8098”，如“https://192.168.0.1:8098”。在弹出的登录对话框中输入管理员的用户名和密码，点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接，切换到“维护”管理页面，然后点击“日志”链接，进入到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除Windows 2003服务器日志。

在日志管理页面中可列出Windows 2003服务器的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。

查看某类日志记录非常简单，笔者以查看Web管理志为例，点击“Web管理日志”链接，进入日志查看页面，在日志文件列表框中选中要查

看的日志文件，然后点击右侧的“查看日志”按钮，就能浏览Web管理日志记录中的详细内容了。

清除某个日志文件也很简单，选中该日志文件后，点击“清除”按钮即可。如果你觉得远程查看日志不方便，想在本 地机器中进行查看，这时你 可以将日志文件下载到本地硬盘。选中某个日志文件，然后点击“下载日志”按钮，在弹出的“文件下载”对话框中点击“保存”按钮并指定存放路径即可。

查看Win7开关机日志的方法：1.按Ctrl+D键返回windows7桌面，在“计算机”图标上点右击，选择弹出菜单中的“管理”命令2.在打开的“计算机管理”窗口左侧，依次“事件查看器”、“Windows日志”、“系统”：3.如果你的系统日志较多，在点击“系统”后窗口会卡住，没有关系，稍等既可4.然后点击右侧“操作”下的的“筛选当前日志”链接，如上图5.在打开的对话框里，“事件来源”处选择“Kernel-liower”：6.然后在“任务类别”列表选择“86”(开机)和“103”(关机)两项如上图7.当然，你也可以不选择，就是查看所有的与电源操作相关的事件了，比待机、休眠等8.然后单击“确定”按钮既可。

你好

1/5分步阅读

一、什么是日志文件

日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。 Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。

2/5

二、如何查看日志文件在Windows系统中查看日志文件很简单。点击“开始设置控制面板管理工具事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。

3/5

三、Windows日志文件的保护

日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。

1． 修改日志文件存放目录

Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。点击“开始运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的 Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D 盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。

4/5

2． 设置文件访问权限

修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。

右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。

5/5

四、Windows日志实例分析

在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。

1． 查看正常开关机记录

在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。2． 查看DHCP配置警告信息

在规模较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件，说明该机器无法从DHCP服务器获得信息，就要查看是该机器网络故障还是DHCP服务器问题。

---