前言
昨天服务器应用程序的接口突然都访问不了,远程进入了服务器发现程序没有问题,但服务器的桌面非常干净(一般总有未关的文件夹和文件挂载在桌面上),这时我怀疑有人重启了服务导致接口突然不能访问然后又突然好了。Windows系统有什么工具可以查看开机和关机日志呢?这时我想到了事件查看器
一、事件查看器是什么?
Windows事件查看器(Windows Event Viewer)是Windows操作系统集成的一项功能,用于查看和分析系统事件和日志。它可以提供关于系统、应用程序和安全的事件信息,帮助用户追踪问题、诊断错误和维护系统的稳定性。
Windows事件查看器可以记录各种类型的事件,例如应用程序错误、系统故障、设备驱动程序问题、安全审计等。它收集并保存了系统的事件日志,用户可以根据需要进行搜索、筛选和分析。
通过Windows事件查看器,用户可以查看事件的详细信息,例如发生时间、事件级别、事件来源、事件说明等。用户还可以创建和管理自定义事件日志,设置事件过滤器和提醒,以便及时发现并解决系统问题。
二、怎么使用事件查看器查看开机和关机日志
第一步:按下Win + R键,输入"eventvwr.msc",然后按Enter键
第二步:在事件查看器中,左侧面板会显示一系列的事件日志,如"Windows 日志"、"应用程序和服务日志"等。点击其中一个日志类别以展开其细分
第三步:根据事件ID筛选当前日志
6005和6006分别是开机和关机事件。
三、Windows常用事件ID
安全日志事件
| 事件ID | 说明 |
|---|---|
| 4624 | 成功的账号登录 |
| 4625 | 登录尝试失败 |
| 4634 | 用户注销 |
| 4648 | 使用明显凭证的登录尝试 |
| 4672 | 分配专用权限的用户登录 |
| 4720 | 创建用户帐户 |
| 4728 | 向安全组中添加成员 |
| 4732 | 向本地组中添加成员 |
| 4740 | 用户帐户被锁定 |
系统日志事件
| 事件ID | 说明 |
|---|---|
| 6005 | 事件日志服务已启动(开机) |
| 6006 | 事件日志服务已停止(关机) |
| 6008 | 不正常关机的日志 |
| 7001 | 服务依赖关系失败,无法启动服务 |
| 7009 | 服务超时(在启动设置的时间内未能启动) |
| 7011 | 服务响应失败(未在预期时间内响应请求) |
应用程序日志事件
| 事件ID | 说明 |
|---|---|
| 1000 | 应用程序错误(负责记录应用程序崩溃事件) |
| 1001 | 应用程序挂起(记录程序悬停或响应超时) |
| 1002 | 应用程序响应停止 |
DC(域控制器)特定事件:
| 事件ID | 说明 |
|---|---|
| 4741 | 创建计算机帐户 |
| 4767 | 用户账户解锁 |
| 4781 | 更改帐户名称 |
请记住,事件 ID 只有当它与其他信息(如源、消息、涉及的用户账户等)结合起来时才最有用。同时,由于各种操作系统版本(Windows Server 2003、2008、2012、2016、2019,Windows 7、8、10、11)之间存在差异,部分事件 ID 可能会发生变化。此外,第三方应用程序和服务可以定义它们自己的事件 ID。因此,针对特定的事件 ID 解读,最好以实际环境中它发生的上下文为准。
总结
总之,使用Windows事件查看器可以方便地查看系统的事件日志,并对系统问题进行分析和解决。
