事件查看器相当于操作系统的保健医生，一些“顽疾”的蛛丝马迹都会在事件查看器中呈现，一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志，查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息，通过查看事件属性来判定错误产生的来源和解决方法，使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识，对安全维护人员维护系统有一定的借鉴和参考。

　　1.事件查看器

　　事件查看器是 Microsoft Windows 操作系统工具，事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查看器：

    (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”，开事件查看器窗口

    (2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。

    (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。

　　2.事件查看器中记录的日志类型

　　在事件查看器中一共记录三种类型的日志，即：

　　(1)应用程序日志

　　包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

　　(2)安全性日志

　　记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

　　(3)系统日志

　　包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下Windows会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器，那么还将记录DNS服务器日志。当启动Windows时，“事件日志”服务(EventLog)会自动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。

　　在事件查看器中主要记录五种事件，事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件：

　　(1)错误：重大问题，例如数据丢失或功能损失。例如，如果服务在启动期间无法加载，便会记录一个错误。

　　(2)警告：不一定重要的事件也能指出潜在的问题。例如，如果磁盘空间低，便会记录一个警告。

　　(3) 信息：描述应用程序、驱动程序或服务是否操作成功的事件。例如，如果网络驱动程序成功加载，便会记录一个信息事件。

　　(4)成功审核：接受审核且取得成功的安全访问尝试。例如，用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。

　　(5)失败审核：接受审核且未成功的安全访问尝试。例如，如果用户试图访问网络驱动器但未成功，该尝试将作为“失败审核”被记录下来。

　　在下一篇“事件查看器维护服务器安全的实例”中，我们将结合具体的操作过程截图对事件查看器的操作进行详细讲解。