日志是Windows系统中比较特殊的文件，它记录着Windows系统中所发生的一切，例如各种系统服务的启动、运行、关闭等信息。日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志和FTP日志等。

1.使用“事件查看器”查看各种日志

利用Windows系统中的事件查看器，可以查看系统存在的安全问题以及已经植入系统的“间谍软件”。选择“开始”→“控制面板”菜单命令，打开“控制面板”窗口。依次单击“系统和安全”和“管理工具”选项，在“管理工具”窗口中双击“事件查看器”选项，即可打开“事件查看器”窗口，如下图所示。可以看出事件的类型有：错误、警告、信息、审核成功、审核失败等。

“事件查看器”窗口

利用事件查看器可以查看“应用程序”“安全性”和“系统”这三个方面的日志。每一种日志的作用如下所述。

● 应用程序日志。应用程序日志包含由应用程序或系统程序记录的事件。例如，数据

库程序可在应用日志中记录文件错误。程序开发员决定记录什么事件。应用程序日

志文件的默认存放位置是C:\Windows\System32\winevt\Logs\Application.evtx，如下

左图所示。

● 系统日志。系统日志包含Windows的系统组件记录的事件。如，在启动过程将加

载的驱动程序或其他系统组件的失败记录在系统日志中。Windows预先确定由系统组件记录的事件类型。系统日志文件的默认存放位置是C:\Windows\System32\winevt\Logs\System.evtx，如下右图所示。

应用程序日志

系统日志

● 安全日志。安全日志可以记录安全事件，如有效的和无效的登录尝试，以及与创建、

打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录什么事件。

例如，如果已启用登录审核，登录系统的尝试将记录在安全日志里。安全日志文件默认位

置是C:\Windows\System32\winevt\Logs\Security.evtx，如下图所示。

安全日志(www.daowen.com)

查看日志是每一个管理员必须做的日常事务。通过查看日志，管理员不仅能够得知当前系统的运行状况、健康状态，而且能够通过登录成功或失败审核来判断是否有入侵者尝试登录该计算机，甚至可以从这些日志中找出入侵者的IP地址。因此，事件日志是管理员和入侵者都十分敏感的部分。入侵者总是要想方设法清除掉这些日志。

提示

程序语言学习顺序建议

如果不确定日志存储位置，打开“事件查看器”窗口，在左侧窗格中依次单击“Windows日志”→“应用程序”，在右侧“操作”窗格中单击“属性”，可弹出“日志属性−应用程序（类型：管理的）”对话框，如下图所示。在该对话框中可查看日志路径及应用程序日志名称。系统日志和安全日志路径查看方法类似。

2．在注册表里的查看日志

计算机中的各种日志在“注册表编辑器”窗口中也可以找到对应的键值。下面将介绍如何在注册表中查看各种日志信息。

1）应用程序日志、安全日志、系统日志、DNS服务器等日志的文件在注册表中的键为：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog，其中有很多子表中可查看到以上日志的定位目录，如下左图所示。

2）Schedluler服务日志在注册表中的键为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent。

在注册表中查看各种日志

查看S chedluler服务日志

3．FTP日志

FTP日志和IIS日志在默认情况下每天生成一个日志文件，包括当天的所有记录。文件名通常为ex（年份）（月份）（日期），从日志里能看出黑客入侵时间、使用的IP地址以及探测时使用的用户名，这样使得管理员可以想出相应的对策。FTP日志的默认存放位置：C:\Windows\System32\config\msftpsvc1\。

4．IIS日志

IIS日志是每个服务器管理者都必须学会查看的，服务器的一些状况和访问IP的来源都会记录在IIS日志中，所以IIS日志对服务器管理者非常地重要，同时也可方便网站管理人员查看网站的运营情况。IIS日志的默认存放位置：C:\Windows\System32\LogFiles\w3svc1\。

5．Schedluler服务日志

利用Schedluler服务，可以将任何脚本、程序或文档安排在某个最方便的时间运行。

Scheduler服务日志的默认存放位置：C:\Windows\schedlgu.tx。