善用事件查看器定位故障

事件查看器是Windows系統內置的一個程序，它的作用就相當于一個監視器，利用它用戶能全程跟蹤記錄Windows系統和應用程序所發生的任何事件。要是計算機系統出了問題，通過查看事件查看器跟蹤記錄的事件內容，就能追本求源弄清故障原因所在。

俗話說“常在江湖飄，哪有不挨刀”。計算機也是一樣，工作時間長了，各式各樣的故障現象總會不可避免。其實，故障現象并沒有可怕之處，可怕的是找不到故障的原因；要是能夠準確定位故障根源，那么再難的問題也就不是問題了。為了幫助大家快速定位計算機故障原因，本文下面就教大家如何使用常見的事件查看器來快速定位故障位置，尋找具體故障原因，日后大家再次碰到故障時就不用四處求人了。

認識事件查看器

事件查看器是Windows系統內置的一個程序，它的作用就相當于一個監視器，利用它用戶能全程跟蹤記錄Windows系統和應用程序所發生的任何事件。要是計算機系統出了問題，通過查看事件查看器跟蹤記錄的事件內容，就能追本求源弄清故障原因所在。盡管事件查看器程序早已出現在Windows XP系統中，不過由于當時該程序的功能很單一，幾乎沒有人把它當回事，而在Windows 7系統環境中，事件查看器的功能有了明顯增強，巧妙使用這些增強的功能可以大大提升故障排查效率。

例如，計算機系統運行時間一長，用戶就會感覺到它的反應逐步變得遲鈍起來，特別是每次開機啟動時都要等上很長一段時間，類似這樣的計算機故障往往很難定位到具體的原因。不過，現在有了事件查看器程序后，它能詳細記錄Windows系統和應用程序所進行的每一項操作，通過深入分析事件內容，往往就能找出影響系統正常啟動的“禍首”。

在Windows 7系統中，查看事件查看器的操作很簡單，只要先用鼠標右鍵單擊系統桌面中的“計算機”圖標，執行快捷菜單中的“管理”命令，切換到本地系統的計算機管理窗口，在該窗口左側區域依次展開“系統工具”|“事件查看器”節點（如圖1所示），從目標節點下用戶能查看系統日志、應用程序和服務日志、自定義的日志以及安全日志等內容，通過應用程序日志可以了解應用程序或一般程序的事件，通過安全性日志可以了解比方說有效和無效的登錄嘗試等安全事件，以及與資源使用有關的事件，例如創建、打開或刪除文件以及有關設置的修改，通過系統日志可以了解Windows系統組件所發生的任何事件，包括系統啟動期間要加載的驅動程序或其他系統組件的故障。

事件查看器可以顯示的事件類型包括警告、錯誤、信息、成功審核、失敗審核這幾種，其中警告類型顯示的是不是很重要但未來容易發生問題的事件，比方說一旦硬盤空間容量很小時，系統就會生成一個警告事件。錯誤類型顯示的是系統中重要的問題，比方說數據丟失或功能損失，例如要是在系統啟動過程中服務啟動失敗，系統就會記錄這個錯誤。信息類型顯示的是應用程序、驅動程序或服務成功操作的事件，比方說成功地啟動網絡驅動程序時，系統會自動生成一個信息記錄事件。成功審核類型顯示的是審核安全訪問嘗試成功，比方說將用戶成功登錄到系統上的嘗試作為“成功審核”事件記錄下來。失敗審核類型顯示的是審核安全訪問嘗試失敗，比方說要是用戶試圖訪問網絡驅動器失敗，該嘗試就會作為“失敗審核”事件進行記錄。

選中某個類型的日志記錄，用鼠標雙擊該記錄，就能看到其詳細內容，具體的內容包括事件的發生源、事件發生日期、種類和ID以及相關的描述信息，這些內容對定位故障原因是十分重要的。

搜索有用事件

由于事件查看器會對計算機的一舉一動進行跟蹤記憶，那么系統生成的事件類型和數量自然是非常多，如果逐一對每個事件內容進行查看，工作量顯然是相當大的，而且不利于快速找到真正的故障原因。為了提高故障解決效率，我們常常要根據實際需求搜索有用的事件。

在執行事件搜索操作時，可以依次單擊“開始”|“運行”命令，在彈出的系統運行對話框中，輸入“eventvwr”命令并回車，切換到系統事件查看器界面。展開Windows日志節點，選中合適的日志類型，例如發現系統啟動比較緩慢時，可以選中“系統”選項，用鼠標右鍵單擊該選項，執行快捷菜單中的“篩選當前日志”命令，打開如圖2所示的日志篩選對話框。

其次設置好所要搜索的事件類型，比方說“警告”或“錯誤”，選擇好事件發生的時間，例如計算機系統昨天工作狀態正常，今天出了問題，那么就可以從“記錄時間”下拉列表中選中“近24小時”，之后設置好事件來源和事件類別等參數，確認之后事件查看器程序就會按照既定的要求執行搜索操作了，同時會將符合相關條件的所有事件顯示出來。

比方說，現在我們很想知道究竟是什么原因造成了系統啟動緩慢現象，那么可以利用事件查看器程序將與系統啟動有關的事件記錄全部搜索出來。由于與系統啟動有關的事件任務類別ID為101-110，我們只要在圖2界面的“包括/排除事件ID”文本框中輸入“101-110”，確認之后就能搜索到所有與啟動性能有關的事件記錄了，對這些記錄內容進行認真分析，多半就能讓造成系統啟動緩慢的元兇現形了。

定位解決故障

篩選出有用的事件記錄后，我們只要打開具體的事件屬性框，多半就能找到造成故障的詳細原因了，根據故障原因按圖索驥，很快就能將問題解決了。例如，打開ID102的某個事件屬性對話框時，我們可能會看到某個設備驅動程序啟動時間比正常時間超過了幾秒鐘，造成了系統啟動十分緩慢。出現這種問題的原因，很可能是設備使用的驅動程序存在BUG，要想解決這種問題，可以從設備的官方網站中下載獲取通過WDM認證的驅動程序。之后，依次單擊“開始”|“運行”命令，在彈出的系統運行框中執行“devmgmt. msc”命令，打開系統設備管理器窗口，從中找到并雙擊目標設備，切換到對應設備的屬性對話框，選擇“驅動程序”標簽，在如圖3所示的標簽頁面中，按下“更新驅動程序”按鈕，導入之前獲取的已通過WDM認證的驅動程序，就能讓系統啟動提速。

打開I D103的某個事件屬性對話框時，我們可能會看到某個系統服務啟動花費的時間超過了正常時間，這也會造成系統啟動變慢。要想解決由這種因素引起的計算機故障，可以依次單擊“開始”|“運行”命令，在彈出的系統運行框中執行“services.msc”命令，切換到系統服務列表界面，從中找到并雙擊目標系統服務，進入對應服務選項的設置對話框（如圖4所示），按下“停止”按鈕，同時將服務啟動類型選擇為“禁用”，確認之后就能提高系統啟動速度。同樣地，對于發現到的影響系統正常啟動的應用程序，要是沒有必要跟隨Windows系統一起啟動的，完全可以禁止其開機啟動運行。要做到這一點，只要簡單地在系統運行對話框中，執行“msconfig”命令，切換到系統實用程序配置對話框，選擇“啟動”標簽，在對應標簽頁面中就能取消任何應用程序的自啟動選項。

打開I D106的某個事件屬性對話框時，我們可能會看到系統背景優化耗費的時間比較長，這也會引起系統啟動變慢現象。要想解決這類問題時，可以對Windows系統進行設置，實現關機自動清空預讀文件目的。在進行這種操作時，可以先手工創建一個文本文件，在文本編輯界面中，輸入如下命令代碼：

@echo off

del %systemroot%/Prefetch/*.* /q

在確認上述代碼輸入正確后，依次單擊“文件”|“保存”命令，將該代碼內容存儲為“dump.bat”批處理文件。接著打開系統運行對話框，輸入“gpedit.msc”命令并回車后，彈出系統組策略編輯窗口，將鼠標定位到“計算機配置”|“Windows設置”|“腳本”分支上，雙擊該分支下的“關機”項，在其后彈出的關機對話框中按下“添加”按鈕（如圖5所示），將之前生成的“dump.bat”文件導入進來，這樣Windows系統日后在關機時就會自動在后臺調用執行“dump.bat”文件，清空預讀文件夾中的內容，來提高系統啟動速度了。

遠程查看事件

在局域網工作環境中，普通客戶機經常會發生各種各樣的故障現象，這時網絡管理員可以通過遠程查看事件的方法，來尋找故障客戶機的故障產生原因，并以此來解決網絡故障。在遠程查看故障客戶機的日志事件時，可以先按前面的操作方法，打開本地系統的事件查看器界面，用鼠標右鍵單擊“事件查看器（本地）”選項，從彈出的右鍵菜單中執行“連接到另一臺計算機”命令，切換到“選擇計算機”對話框，如圖6所示。在這里我們只要選擇“另一臺計算機”選項，單擊對應選項旁邊的“瀏覽”按鈕，從彈出的計算機選擇對話框中，導入故障客戶機的主機名稱，當然也可以直接輸入要查看的客戶機主機名稱。單擊“確定”按鈕后，打開故障客戶機的事件查看器界面，在該界面中我們就能進行更為詳細的條件設置。例如，在應用程序日志上，執行右鍵菜單中的“屬性”命令，進入應用程序屬性設置框，在常規標簽頁面中我們能看到應用程序的名稱，創建、修改、訪問時間，我們可以對最大日志以及達到極限后的處理方法進行配置，要是我們不再需要個性設置時，不妨按下“還原為默認值”按鈕，來恢復到系統缺省的設置。切換到事件日志的“篩選器”標簽頁面，我們可以對日志中的事件進行篩選，我們可以在“事件類型”選項組中進行復選框的選擇，在“事件來源”|“類別”下拉列表框中可設置篩選具體條件，還可進行時間限定，當然，篩選并不會對日志的具體內容產生影響，它只是改變了事件的顯示方式。找到故障客戶機的相關事件記錄后，對這些記錄認真加以分析，多半就能定位到具體的故障產生原因了。

追蹤重要事件

在內網中同事之間相互交流共享信息是常有的事情，不過多數用戶不希望自己的重要內容被人偷偷訪問，那么怎樣才能自動監控是否有其他用戶偷偷訪問自己的共享文件夾呢？很簡單！只要使用事件查看器程序，就能輕松追蹤類似共享訪問之類的重要事件了。

比方說，自己的共享內容全部存儲在F:\\aaa文件夾中，要監控該文件夾的共享訪問事件時，可以依次單擊“開始”|“運行”命令，打開系統運行對話框，輸入“gpedit.msc”命令并回車后，彈出系統組策略編輯窗口，將鼠標定位在該窗口左側區域的“計算機配置”|“Windows設置”|“安全設置”|“本地策略”|“審核策略”分支上，雙擊該分支下的“審核對象訪問”選項，彈出如圖7所示的選項設置對話框，同時選中“成功”、“失敗”等選項，確認之后開啟審核對象訪問的成功、失敗策略。

接著打開系統資源管理器窗口，找到保存了共享內容的F:\\aaa文件夾，用鼠標右鍵單擊該文件夾，執行右鍵菜單中的“屬性”命令，彈出目標文件夾屬性對話框。選擇“安全”標簽，點擊該標簽頁面中的“高級”按鈕，進入高級安全設置對話框。繼續選擇“審核”標簽，單擊該標簽頁面中的“添加”按鈕，從彈出的用戶或計算機選擇對話框中，導入要審核操作的用戶名，確認之后返回到審核項目列表框（如圖8所示），將其中的“讀取”和“讀取擴展屬性”的成功、失敗審核事件全部選中。

到了這里，事件查看器程序就能自動跟蹤F:\\aaa文件夾的任何訪問行為了。日后，需要了解是否有人偷偷訪問自己的共享文件夾時，只要按照前面的操作打開事件查看器程序界面，將鼠標定位到該界面中的“Windows日志”|“安全”分支上，雙擊該分支下顯示出來的審核事件，一旦看到有陌生用戶名稱出現時，那就說明共享文件夾被人偷偷訪問了。此外，按照同樣的操作方法，我們還能讓事件查看器程序自動追蹤、記錄應用程序執行事件、用戶賬號偷偷創建事件等。

任務綁定事件

與傳統操作系統相比，Windows 7的事件查看器程序新增了一個附加任務綁定事件功能，如此一來日后系統一旦發生重要事件時，就能自動觸發事先綁定的任務，實現自動報警功能，有利于用戶在第一時間發現故障、解決問題。例如，我們希望Windows 7系統在創建新用戶賬戶后，自動彈出報警提示框，向我們及時發出提醒內容，日后一旦有病毒木馬程序在系統后臺悄悄創建用戶賬戶時，我們就能及時得到這一消息，也好做到心中有數。要實現上述目的，可以按照如下步驟進行操作：

首先在Windows 7系統的開始搜索框中，執行“secpol.msc”命令，彈出本地安全策略界面，將鼠標定位到該界面左側區域的“本地策略”|“審核策略”分支上，雙擊“審核賬戶管理”選項，彈出審核賬戶管理對話框，選中“成功”復選項來開啟策略，這樣就能審核用戶賬戶創建成功時的事件類型了。

其次依次單擊“開始”|“控制面板”命令，打開系統控制面板窗口，任意創建一個用戶賬戶，這樣可以手動觸發一個新建用戶賬戶的事件，該事件是為附加特定任務而運行的。

接著按照之前的操作打開事件查看器界面，逐一展開“Windows日志”|“安全”分支，該分支下能看到與系統安全有關的事件，從中找到剛才生成的用戶賬戶的事件，用鼠標右鍵單擊該事件選項，執行右鍵菜單中的“將任務附加到此事件”命令，彈出創建基本任務向導設置框，按“下一步”按鈕，隨后會出現一個提示框，這里主要提供一些用于確認的信息，要是沒有什么錯誤的話，繼續按“下一步”按鈕，打開如圖9所示的設置對話框，選中“顯示消息”選項，再設置好消息框的標題和報警內容，最后按“完成”按鈕保存設置操作。這樣，日后每當系統中有新用戶賬戶被創建時，系統都能自動彈出對話框，提醒我們及時去檢查核對。

1

2

3

4

5

6

7

8

9