本文讲述以下四个知识点:什么是日志文件,日志类型有哪些,事件查看器日志文件的扩展名和位置,.evt格式的文件如何打开。IT部落窝就四个问题分别讲解:
一、什么是日志文件?
它是一些文件系统集合,依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时,数据就遵从日志文件中的信息记录原封不动进行恢复。日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客会在入侵成功后迅速清除掉对自己不利的日志。无论是攻还是防,日志的重要性由此可见。
二、日志类型
操作系统将事件分类记录到下列日志中:
应用程序日志:应用程序日志包含由程序记录的事件。软件程序开发人员确定写入应用程序日志的事件。
安全日志:安全日志包含有效和无效登录尝试之类的事件。它也包含与资源使用相关的事件,例如,您创建、打开或删除文件的时间。您必须以管理员或 Administrators 组成员的身份登录,才能打开、使用以及指定在安全日志中记录哪些事件。
系统日志:系统日志包含由系统组件记录的事件。这些事件是由 Windows 系统预先确定的。
三、事件查看器日志文件的扩展名和位置
事件查看器日志文件使用.evt 作为扩展名。
Windows日志文件默认位置是:%systemroot%\system32\config。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
FTP连接日志和HTTPD事务日志:%systemroot%\system32\LogFiles\
四、.evt格式的文件如何打开?
打开开始菜单——运行,在框里输入Eventvwr.msc或开始—控制面版—管理工具—事件查看器,然后单击操作菜单下的“打开日志文件”命令,找到*.evt文件打开即可,打开的时候需要选择日志类型,比如系统日志或安全日志。为了方便,可以将文件另存为TXT格式,这样以后就可以用记事本直接查看。操作方法是:单击操作菜单中的另存日志文件,选择格式为文本(*.txt)即可。