Windows日志记录了系统中硬件、软件和系统问题的信息,同时还监视着系统中发生的事件。当ECS实例受到入侵或者系统(应用)出现问题时,您可以借助日志迅速定位问题的关键,从而极大地提高工作效率和服务器的安全性。本文以Windows Server 2022为例,介绍了系统日志、应用程序日志、安全日志以及应用程序和服务日志的使用。
背景信息
Windows系统日志主要分为以下四类:
系统日志
应用程序日志
安全日志
应用程序和服务日志
打开事件查看器查看日志
Windows系统日志是默认开启的,您可以在连接实例后直接打开事件查看器查看日志。
完成以下操作,进入事件查看器查看日志:
远程连接Windows实例。
具体操作,请参见通过密码或密钥认证登录Windows实例。
选择,在运行对话框中执行
eventvwr命令,然后单击确定,打开事件查看器。
在事件查看器里查看以下四种日志。
说明通过本文所述的四种日志查看方法找到的所有错误日志事件ID,可以用于在微软知识库中找到解决方法。
系统日志
系统日志包含了Windows系统组件记录的事件。例如,在系统日志中会记录在启动过程中加载驱动程序或其他系统组件失败的情况。这些事件类型是由Windows预先确定的。
应用程序日志
应用程序日志包含了由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。
安全日志
安全日志包含了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。您可以指定在安全日志中记录某些事件。例如,如果已启用登录审核,则安全日志将记录系统的登录尝试。
应用程序和服务日志
应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。
修改日志路径并备份日志
按以下步骤修改日志路径并备份日志。
进入事件查看器窗口,在左侧导航栏中,单击Windows 日志。
在右侧列表中,右键单击一个日志名称,选择属性。
在弹出的日志属性窗口,按实际需求修改以下信息。
日志路径。
日志最大大小。
达到事件日志最大大小时系统应采取的操作。
说明日志默认保存在系统盘中。日志的最大大小默认为20 MB,当超过20 MB时,最旧的事件将被自动删除,以腾出空间给新的事件记录。您可以根据需要调整这些设置,以确保日志文件不会无限制增长,并能持续记录系统和应用程序的新事件。
