Windows日誌記錄了系統中硬體、軟體和系統問題的資訊,同時還監視著系統中發生的事件。當ECS執行個體受到入侵或者系統(應用)出現問題時,您可以藉助日誌迅速定位問題的關鍵,從而極大地提高工作效率和伺服器的安全性。本文以Windows Server 2022為例,介紹了系統日誌、應用程式記錄檔、安全日誌以及應用程式和服務日誌的使用。
背景資訊
Windows系統日誌主要分為以下四類:
系統日誌
應用程式記錄檔
安全日誌
應用程式和服務日誌
開啟事件檢視器查看日誌
Windows系統日誌是預設開啟的,您可以在串連執行個體後直接開啟事件檢視器查看日誌。
完成以下操作,進入事件檢視器查看日誌:
遠端連線Windows執行個體。
具體操作,請參見通過密碼或密鑰認證登入Windows執行個體。
選擇
,在運行對話方塊中執行eventvwr
命令,然後單擊確定,開啟事件檢視器。在事件檢視器裡查看以下四種日誌。
說明通過本文所述的四種日誌查看方法找到的所有錯誤記錄檔事件ID,可以用於在微軟知識庫中找到解決方案。
系統日誌
系統日誌包含了Windows系統組件記錄的事件。例如,在系統日誌中會記錄在啟動過程中載入驅動程式或其他系統組件失敗的情況。這些事件類型是由Windows預先確定的。
應用程式記錄檔
應用程式記錄檔包含了由應用程式或程式記錄的事件。例如,資料庫程式可在應用程式記錄檔中記錄檔案錯誤。
安全日誌
安全日誌包含了諸如有效和無效的登入嘗試等事件,以及與資源使用相關的事件,如建立、開啟或刪除檔案或其他對象。您可以指定在安全日誌中記錄某些事件。例如,如果已啟用登入審核,則安全日誌將記錄系統的登入嘗試。
應用程式和服務日誌
應用程式和服務日誌是一種新類別的事件記錄。這些日誌儲存來自單個應用程式或組件的事件,而非可能影響整個系統的事件。
修改日誌路徑並備份日誌
按以下步驟修改日誌路徑並備份日誌。
進入事件檢視器視窗,在左側導覽列中,單擊Windows 日誌。
在右側列表中,按右鍵一個日誌名稱,選擇屬性。
在彈出的日誌屬性視窗,按實際需求修改以下資訊。
日誌路徑。
日誌最大大小。
達到事件記錄最大大小時系統應採取的操作。
說明日誌預設儲存在系統硬碟中。日誌的最大大小預設為20 MB,當超過20 MB時,最舊的事件將被自動刪除,以騰出空間給新的事件記錄。您可以根據需要調整這些設定,以確保記錄檔不會無限制增長,並能持續記錄系統和應用程式的新事件。