在Windows2000、Windows XP操作系統(tǒng)中有一位系統(tǒng)運(yùn)行狀況的忠實記錄者，從開機(jī)、運(yùn)行到關(guān)機(jī)過程中發(fā)生的每一個事件都將被記錄下來，它就是“事件查看器”。用戶可以利用這個系統(tǒng)維護(hù)工具，收集有關(guān)硬件、軟件、系統(tǒng)問題方面的信息，并監(jiān)視系統(tǒng)安全事件，將系統(tǒng)和其他應(yīng)用程序運(yùn)行中錯誤或警告事件記錄下來，便于診斷和糾正系統(tǒng)發(fā)生的錯誤和問題。下面通過幾個例子來講解“事件查看器”的實際應(yīng)用。

使用事件查看器

有兩種方法可以很快地打開事件查看器:

1.通過“我的電腦”打開。右鍵單擊“我的電腦”，選擇“管理”，彈出“計算機(jī)管理”窗口，在“系統(tǒng)工具”標(biāo)簽下便是“事件查看器”。

2.通過“控制面板”打開。選擇“開始/控制面板”，在“控制面板”窗口單擊“管理工具”，在彈出窗口中雙擊“事件查看器”圖標(biāo)，便可打開“事件查看器”窗口。

如圖1所示便是事件查看器的系統(tǒng)日志信息。

監(jiān)視文件和文件夾的訪問

在辦公環(huán)境下，有時我們需了解計算機(jī)上其他用戶是否訪問了我們限制的文件或文件夾，這時候我們通過組策略配合，利用事件查看器在不影響用戶正常使用的情況下，監(jiān)控用戶的訪問情況。選擇“開始/控制面板/管理工具/本地安全設(shè)置/本地策略/審核策略”，在右邊信息窗口中右鍵單擊“審核對象訪問”選擇“安全性”，在“本地安全策略設(shè)置”中，單擊所需的選項并確定。接著在任務(wù)欄“開始”上點(diǎn)右鍵選擇“資源管理器”，右鍵點(diǎn)擊要審核的文件或文件夾，選擇“屬性”。然后選擇“安全/高級/審核/添加”，在“選擇用戶、計算機(jī)或組”對話框中，單擊要審核操作的用戶名或組名并確定即可。

注意:必須作為管理員或管理組的成員登錄才能設(shè)置文件和文件夾的審核，只有管理員才能使用“組策略”

監(jiān)視系統(tǒng)開關(guān)機(jī)情況

當(dāng)我們外出回來，有時我們需要了解計算機(jī)的開關(guān)情況以及是否正常開關(guān)機(jī)情況。我們可以通過事件查看器的系統(tǒng)日志查看計算機(jī)的開、關(guān)機(jī)記錄，這是因為日志服務(wù)會隨計算機(jī)一起啟動或關(guān)閉，并在日志中留下記錄。主要是兩個事件ID“6006和6005”。6005表示事件日志服務(wù)已啟動，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止(圖2)，如果沒有在事件查看器中發(fā)現(xiàn)某日的事件ID號為6006的事件，就表示計算機(jī)在這天沒有正常關(guān)機(jī)，可能是因為系統(tǒng)原因或者直接切斷電源導(dǎo)致沒有執(zhí)行正常的關(guān)機(jī)操作。

如果你是網(wǎng)絡(luò)管理員，那么這些記錄就更加的重要了，如果有意外的開關(guān)機(jī)操作，那么你的機(jī)器已被攻擊的可能性就很大了。

解決機(jī)器開機(jī)時的錯誤提示窗口

如果你最近安裝或卸載了某些程序，或者是由于安全的原因關(guān)閉了某些服務(wù)，結(jié)果你發(fā)現(xiàn)每次開機(jī)都會彈出一個錯誤提示窗口，并提示“在系統(tǒng)啟動時至少有一個服務(wù)或驅(qū)動程序產(chǎn)生錯誤。詳細(xì)信息，請使用事件查看器查看事件日志”。這類問題一般是系統(tǒng)在加載相關(guān)服務(wù)時找不到服務(wù)程序而無法啟動產(chǎn)生的，你可以使用事件查看器來查看具體是哪個服務(wù)啟動時出現(xiàn)了問題，解決的辦法通常有兩種，一種是通過了解該服務(wù)是那哪些程序產(chǎn)生，不論這些服務(wù)是操作系統(tǒng)本身產(chǎn)生還是應(yīng)用程序產(chǎn)生的，都可以通過卸載相關(guān)應(yīng)用程序來解決。另一個辦法更簡單直接到服務(wù)管理器中將相應(yīng)的服務(wù)設(shè)置為“禁用”即可。

分析死機(jī)故障原因

相對于Windows 98而言，Windows 2000和Windows XP均要穩(wěn)定的多，是不容易發(fā)生死機(jī)現(xiàn)象的。從理論上講，純32位的Windows 2000 是不會出現(xiàn)死機(jī)的，但是這僅僅是理論上的。病毒、硬件和硬件驅(qū)動程序不匹配等原因?qū)⒃斐蒞indows 2000的崩潰。當(dāng)Windows 2000出現(xiàn)死機(jī)時，顯示器屏幕將變?yōu)樗{(lán)色，然后出現(xiàn)死機(jī)故障提示信息。通過事件查看能夠發(fā)現(xiàn)問題的原因。如果出現(xiàn)的硬件設(shè)備故障，可以通過重新安裝硬件驅(qū)動或卸載硬件來解決，如果是軟件故障可以卸相應(yīng)的驅(qū)動程序，如果是警告顯示磁盤驅(qū)動程序在幾次重試后，只能讀取或?qū)懭氲侥硞€扇區(qū)，十有八九是硬盤出問題了。

即使你的系統(tǒng)沒有死機(jī)，運(yùn)行某些程序出現(xiàn)停頓現(xiàn)象，也有可能是計算機(jī)的硬盤出現(xiàn)故障，你依然可通過檢查事件查看器,看是否出現(xiàn)硬盤有無法響應(yīng)的日志，如果硬盤出現(xiàn)損壞，還是盡早更新，以免帶來重大的數(shù)據(jù)損失。

檢查不能上網(wǎng)的原因

不能上網(wǎng)的原因有非常多，其中無法獲得局域網(wǎng)DHCP服務(wù)器的數(shù)據(jù)，以至無法取得一個能上網(wǎng)的IP地址是局域網(wǎng)用戶不能上網(wǎng)的故障中最常見的一種，通過“事件查看器”我們可以很容易就找到這個錯誤事件ID號為1007，此你可以先檢查你的網(wǎng)線，看是否連接正常，如果網(wǎng)絡(luò)線路正常。可以打電話咨詢網(wǎng)絡(luò)管理員是否是DHCP服務(wù)器停止工作了。

如果你使用的IP地址與網(wǎng)絡(luò)上別人使用的IP地址相同，網(wǎng)絡(luò)接口也會被系統(tǒng)禁用，一樣也無法上網(wǎng)，這個錯誤事件ID號為1006，如果你發(fā)現(xiàn)這種情況要及時和網(wǎng)絡(luò)管理員聯(lián)系解決。

疑難問題解決方案

上面介紹的是幾種常見事件管理器中發(fā)現(xiàn)的問題的解決辦法，但在實際中可能發(fā)生的問題是多種多樣的，對于其他的疑難問題的方法還可以通過兩個主要途徑“微軟在線技術(shù)支持知識庫”和“Eventid.net網(wǎng)站”來解決。

1.微軟知識庫

微軟知識庫的文章是由微軟公司官方資料和微軟MVP撰寫的技術(shù)文章組成，主要解決微軟產(chǎn)品的問題及故障。當(dāng)微軟每一個產(chǎn)品的Bug和容易出錯的應(yīng)用點(diǎn)被發(fā)現(xiàn)后，都將有與其對應(yīng)的KB文章分析這項錯誤的解決方案。微軟知識庫的地址是:http://support.microsoft.com，在網(wǎng)頁左邊的“搜索(知識庫)”中輸入相關(guān)的關(guān)鍵字進(jìn)行查詢，事件發(fā)生源和ID等信息。當(dāng)然，輸入詳細(xì)描述中的關(guān)鍵詞也是一個好辦法，如果日志中有錯誤編號，輸入這個錯誤編號進(jìn)行查詢也是個不錯的主意。

2.Eventid.net

要查詢系統(tǒng)錯誤事件的解決方案，其實還有一個更好的地方，那就是Eventid.net網(wǎng)站(圖3)，地址是:http://www.eventid.net。這個網(wǎng)站由眾多微軟MVP(最有價值專家)主持，幾乎包含了全部系統(tǒng)事件的解決方案。登錄網(wǎng)站后，單擊“Search Events(搜索事件)”鏈接，出現(xiàn)事件搜索頁面。根據(jù)頁面提示，輸入Event ID(事件ID)和Event Source(事件源)，并單擊“Search”按鈕。Eventid.net的系統(tǒng)會找到所有相關(guān)的資源及解決方案。最重要的是，享受這些解決方案是完全免費(fèi)的。當(dāng)然，Eventid.net的付費(fèi)用戶則能享受到更好的服務(wù)，比如直接訪問針對某事件的知識庫文章集等。