怎么查看电脑日志,怎么分析系统日志
怎么查看电脑日志
方法/步骤
点击’开始菜单‘,然后点击’控制面板‘。
1、在打开的控制面板当中,以’类别‘方式来查看时,点击系统和安全;
2、在’系统和安全‘面板中找到’管理工具‘,点击下面的’查看事件日志‘,就可以打开’事件查看器‘了。
也可以通过dos命令来打开’事件查看器‘:按下组合键win+r,然后输入’eventvwr.exe‘,然后回车就可以打开了。
在打开的’事件查看器‘面板中,点击左侧的’Windows日志‘,可以看到有’应用程序、安全、setup、系统等‘可以在这里查看自己需要看的信息。
1、如:我要查看系统的 开关机,则点击右侧的’筛选当前日志...‘然后输入 6005,6006,点击确定,则可以查到到系统的开关机时间。
2、也可以清除日志、清除筛选器等。
如何对windows系统日志分析
您好,很高兴为您解答。
一、Windows日志文件的保护
日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。
1. 修改日志文件存放目录
Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。
点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。
笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作,或建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07,起