了解系统“内心”的故事——利用事件查看器清查故障

技巧与实践

河北 刘勇 · 2006年10月30日

当你遭遇系统错误提示时,是漠然处之、向高手求助还是自力更生去解决问题呢?无论怎样,笔者都建议先到“事件查看器”中看看,尽管它不能帮你立即解决问题,但里面的系统日志也许会提供很多解决问题的小提示。即使水平很菜,只要掌握了事件查看器的使用方法,再配合网络资源,相信很快便能步入系统高手之列。

小知识:事件查看器是什么?

事件查看器与组策略、服务、磁盘管理一样,也是控制台的管理单元之一。它能收集有关硬件、软件和系统问题的信息,并且监视 Windows 操作系统的安全性事件,以日志的形式记录下来,同时按事件来源或不同用途而进行分类:

应用程序日志:记录第三方应用程序(当然也包括系统自带程序)成功或失败运行的事件。例如,关闭网际快车时出现了“内存读写”错误,该错误将记录到此日志类别中。

系统日志:记录由操作系统组件记录的事件,侧重于驱动程序、系统服务进程启动、出错等事件。例如,某某服务成功启动、某某服务已经关闭等等信息。

安全性日志:记录安全事件,诸如有效和无效的登录尝试。不过,在服务器中管理员可指定需要记录的事件,而对于个人用户来说用途比较小。

基本操作:查看事件查看器

下面我们就来了解一下事件查看器的使用方法。依次打开“控制面板→管理工具→事件查看器”(或在“运行”中输入eventvwr)即可看到已经记录的日志事件(图1)。查看日志最常用的有两种方法:一是点击右侧标题中的“时间”或“日期”,将按照发生时间的顺序进行排列;二是依次点击“查看→筛选”,在“事件类型”里筛选相应的事件。对于经常使用事件查看器的用户来讲,在“事件来源”中选择具体项目,在“事件ID”直接查找ID号则效率更高。

43-f13-1-1.jpg
图1

必备技能:寻找故障解决方案

在“事件详细信息”标签中标明了该事件发生的具体时间、来源、类型、事件ID以及对该事件的描述。首先,我们应根据系统出问题的具体时间来判断出可疑的事件,然后根据来源、事件ID等信息,到微软的中文官方网站中查找解决方案。

微软技术知识库(http://support.microsoft.com/search)专门收集了众多微软工程师及微软最有价值专家(MVP),通过亲自使用或用户反馈某种系统问题的解决方案,且以知识库文章编号(KB)的形式供网友查阅。打开该页面,在“搜索”中输入事件来源、事件ID甚至“描述”中的某些关键词进行查找(图2)。搜索到的技术文章结构顺序一般为问题描述、引发该问题的原因、解决方法、适用范围,在这里不仅能得到解决问题的方法,而且也会学到更深层次的知识。

43-f13-1-2.jpg
图2

网站中推出了“机器翻译”服务,它把超过20万篇的英文知识库文章自动的翻译为中文,并随英文知识库的更新而自动快速更新,因此即使你的英文水平低也没有关系,机器翻译质量还是可以忍受的。

提示:Eventid.net网站是由众多微软MVP所创办,需要查询事件时请打开http://www.eventid.net/search.asp,在“Enter the event ID”中输入事件ID、“Enter event source”中输入事件源,按下“Search”按钮即可查找事件的解释以及解决方案。可惜的是,该网站只提供了英文信息,事实上更适合网络管理员等专业人士使用。

高手惯招:保存更多的系统日志

专业的系统维护员在解决他人的系统问题时,往往会先通过“事件查看器”阅读系统日志后,再进行相应的故障排除操作,因此,“事件查看器”对于他们特别有用。由于默认日志文件只有512KB,要想得到或保留更多日志信息就需要进行更多的设置(下面以应用程序日志为例)。

增加默认日志大小:右击“应用程序”并选择“属性”,在“日志大小”中输入需要的数字后确认即可(图3)。

43-f13-1-3.jpg
图3

导出日志:右击“应用程序”后选择“另存日志文件”,在保存对话框中指定保存位置及文件名后选择“*.CSV”格式,以后可用Excel随时查看。

更改默认保存位置:由上面的“属性”界面可知,系统默认将日志保存在了C:\Windows\system32\config\AppEvent.Evt,如果想更改此位置,请在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Services\Eventlog”,选中“Application”后双击右侧的“file”,在“数值数据”中输入新位置的完整路径(包括日志文件名)即可。

应用实例:利用事件查看器“追踪”木马

最近,各种流氓软件、木马病毒在互联网中肆无忌惮地横行,笔者也不慎中了木马,不断生成一些exe文件,其中“eraseme_”后面的数字是不断变化的。利用EWIDO、HijackThis、木马克星等专杀工具无法找到该木马后台监护程序,不能彻底禁止木马的生成。最后,笔者利用事件查看器“追踪”到木马,排除了故障。

打开事件查看器,通过查看病毒监控程序的日志找到拦截木马的时间,然后在“系统”日志中找到该事件。经过搜索微软知识库(关键词:ID 7901)得知,原来是计划任务没有得到按期执行造成的,软件刚执行就被病毒监控程序拦截了。是不是只要禁用了计划任务就可以了呢?接下来找到并删除了At1.job,然后在“服务”管理器中禁用“Task Scheduler”服务,现在,病毒提示框就不会再出现了。

提示:对于经常使用计划任务功能的朋友来说,此方法不是根本解决问题的手段,只算权宜之计而已,只有等到杀毒软件更新病毒库后再进行相关操作。在此,笔者只是想告诉大家,遭遇系统故障或木马侵入时请莫忘事件查看器。