windows日誌分析方法

Ⅰ Win7系統中查看系統日誌的方法

Windows日誌位於計算機管理的事件查看器中，用於存儲來自舊版應用程序的事件以及適用於整個系統的事件。

Win7系統的Windows日誌包括五個類別，分別為應用程序日誌、安全日誌、系統日誌、安裝程序日誌和轉發事件日誌。

應用程序日誌包含由應用程序記錄的事件;安全日誌包含系統的登錄、文件資源的使用以及與系統安全相關的事件;系統日誌包含 Windows 系統組件記錄的事件;安裝程序日誌包含與應用程序安裝有關的事件;轉發事件日誌用於存儲從遠程計算機收集的事件。

下面就來看看如何查看Windows日誌吧。

1、 右鍵單擊桌面的或開始菜單的'「計算機」，選擇"管理";

2、 接著彈出的就是「計算機管理」窗口，依次展開「事件查看器」-「Windows日誌」，下拉目錄中即是前面說到的五類Windows日誌。

3、 在「windows日誌」目錄下，點擊任一種，便可以查看相關日誌了。

4、另外，還可以通過控制面板來實現，大致為控制面板-系統和安全-管理工具—查看事件日誌。

Windows日誌主要提供給專業人員分析系統存在的問題和產生問題的原因，對於普通用戶，Windows日誌有時可能毫無價值，而且佔用C盤空間。如果系統正常平穩運行，可一段時間清理一次，大部分安全軟體和系統優化軟體都提供Windows日誌清理功能。

Ⅱ 怎麼分析windows應用日誌

查看 Windows 應用程序日誌

在「開始」菜單上，依次指向「所有程序」、「管理工具」，然後單擊「事件查看器」。
在事件查看器中，單擊「應用程序」。
SQL Server 事件由「資源」列中的 MSSQLSERVER 項（命名實例以 MSSQL$<instance_name> 標識）標識。SQL Server 代理事件由 SQLSERVERAGENT 項標識（對於已命名的 SQL Server 實例，SQL Server 代理事件使用 SQLAgent$<instance_name> 標識）。Microsoft Search 服務事件由 Microsoft Search 項標識。
若要查看另一台計算機的日誌，請右鍵單擊「事件查看器」，再單擊「連接到另一台計算機」，並完成「選擇計算機」對話框。
另外，若要僅顯示 SQL Server 事件，請在「查看」菜單上單擊「篩選器」，並在「事件源」列表中，選擇MSSQLSERVER。若要僅查看 SQL Server 代理事件，請在「事件源」列表中選擇 SQLSERVERAGENT。
若要查看有關某事件的詳細信息，請雙擊該事件。

Ⅲ Win系統日誌查看方法介紹

如何查看Windows 2003系統日誌

Windows日誌文件記錄著Windows系統運行的每一個細節， 對Windows的穩定運行起著至關重要的作用。通過查看伺服器中的Windows日誌，管理員可以及時找出伺服器出現故障的原因。

一般情況下，網管都是在本地查看日誌記錄，由於目前的區域網規模都比較大，因此網管不可能每天都呆在伺服器旁。一旦遠離伺服器，網管

就很難及時了解到伺服器系統的運行狀況，維護工作便會受到影響。現在，利用Windows Server 2003(簡稱Windows 2003)提供的Web訪問介面功能就可解決這個問題，讓網管能夠遠程查看Windows 2003伺服器的日誌記錄。

遠程查看Windows 2003伺服器的日誌記錄非常簡單。在遠程客戶端(可採用Windows 98/2000/XP/2003系統)，運行IE瀏覽器， 在地址欄中輸入「https://Win2003伺服器IP地址:8098」，如「https://192.168.0.1:8098」。在彈出的`登錄對話框中輸入管理員的用戶名和密碼，點擊「確定」按鈕即可登錄Web訪問介面管理界面。接著在「歡迎使用」界面中點擊「維護」鏈接，切換到「維護」管理頁面，然後點擊「日誌」鏈接，進入到日誌管理頁面。在日誌管理頁面中，管理員可以查看、下載或清除Windows 2003伺服器日誌。

在日誌管理頁面中可列出Windows 2003伺服器的所有日誌分類，如應用程序日誌、安全日誌、系統日誌、Web管理日誌等。

查看某類日誌記錄非常簡單，筆者以查看Web管理志為例，點擊「Web管理日誌」鏈接，進入日誌查看頁面，在日誌文件列表框中選中要查

看的日誌文件，然後點擊右側的「查看日誌」按鈕，就能瀏覽Web管理日誌記錄中的詳細內容了。

清除某個日誌文件也很簡單，選中該日誌文件後，點擊「清除」按鈕即可。如果你覺得遠程查看日誌不方便，想在本 地機器中進行查看，這時你 可以將日誌文件下載到本地硬碟。選中某個日誌文件，然後點擊「下載日誌」按鈕，在彈出的「文件下載」對話框中點擊「保存」按鈕並指定存放路徑即可。

Ⅳ windows server 怎麼查看系統日誌

Windows server 2008查看Windows日誌的方法如下：

1、首先，在電腦桌面的左下角點擊開始，在開始菜單的右側欄中，依次點擊管理工具——事件查看器。

Ⅳ windows下怎麼分析apache日誌

Apache 的標准中規定了4類日誌：

錯誤日誌
訪問日誌
傳輸日誌
Cookie日誌

其中：傳輸日誌和Cookie日誌被Apache 2.0認為已經過時。所以本節僅僅討論錯誤日誌和訪問日誌。同時錯誤日誌和訪問日誌被Apache 2.0默認設置。
能從日誌中獲取哪些信息

* 訪問日誌
o 訪問伺服器的遠程機器的地址：可以得知瀏覽者來自何方
o 瀏覽者訪問的資源：可以得知網站中的哪些部分最受歡迎
o 瀏覽者的瀏覽時間：可以從瀏覽時間（如工作時間或休閑時間）對網站內容進行調整
o 瀏覽者使用的瀏覽器：可以根據大多數瀏覽者使用的瀏覽器對站點進行優化
* 錯誤日誌
o 獲知失效鏈接
o 獲知 CGI 錯誤
o 獲知用戶認證錯誤

配置錯誤日誌

錯誤日誌記錄了伺服器運行期間遇到的各種錯誤，以及一些普通的診斷信息，比如伺服器何時啟動、何時關閉等。
錯誤日誌配置指令
ErrorLog

ErrorLog 指令指定了當伺服器遇到錯誤時記錄錯誤日誌的文件名。其格式為：

格式1：ErrorLog 錯誤日誌文件名
格式2：ErrorLog "|管道程序名"

格式1直接指定錯誤日誌文件名，除非文件位置用」/「開頭，否則 ErrorLog 所制定的文件位置是相對於 ServerRoot 目錄的相對路徑。

格式2實現管道日誌，它指定一個命令來處理錯誤日誌。
Apache 編譯時默認的錯誤日誌可以使用如下命令獲得：

$ apache2 -V| grep DEFAULT_ERRORLOG
-D DEFAULT_ERRORLOG="logs/error_log"

LogLevel

LogLevel 用於調整記於錯誤日誌中的信息的詳細程度。其格式為：

LogLevel 錯誤日誌記錄等級

下面著重說說日誌記錄等級：
緊急程度 等級 說明
1 emerg 出現緊急情況使得該系統不可用，如系統宕機等
2 alert 需要立即引起注意的情況
3 crit 危險情況的警告
4 error 除了emerg、alert、crit的其他錯誤
5 warn 警告信息
6 notice 需要引起注意的情況，但不如error、warn重要
7 info 值得報告的一般消息
8 debug 由運行於debug模式的程序所產生的消息

如果指定了等級 warn，那麼就記錄緊急程度為1至5的所有錯誤信息。
Ubuntu 中 Apache 的錯誤日誌配置

配置錯誤日誌相對簡單，只要說明日誌文件的存放路徑和錯誤日誌記錄等級即可。

從 Ubuntu 中的 /etc/apache2/apache2.conf 中可知，默認的錯誤日誌存放在 /var/log/apache2/error.log

ErrorLog /var/log/apache2/error.log
LogLevel warn

您可以在 /etc/apache2/apache2.conf 中設置錯誤日誌記錄等級，也可以在相應的虛擬主機的配置文件中設置。
錯誤日誌文件舉例

下面是一個錯誤日誌文件的截取。

$ sudo tac /var/log/apache2/error.log
[Wed Jun 20 14:53:15 2007] [error] [client 192.168.0.66] File does not exist: /usr/share/phpmyadmin/favicon.ico
[Wed Jun 20 11:12:50 2007] [notice] Apache/2.0.55 (Ubuntu) DAV/2 SVN/1.3.1 mod_python/3.1.4 Python/2.4.3 PHP/5.1.2 configured -- resuming normal operations
[Wed Jun 20 11:12:49 2007] [notice] Digest: done
[Wed Jun 20 11:12:49 2007] [notice] Digest: generating secret for digest authentication ...
[Wed Jun 20 09:22:22 2007] [notice] caught SIGTERM, shutting down

從文件內容可以看出，每一行記錄了一個錯誤。格式為：

日期和時間 錯誤等級 錯誤消息

配置訪問日誌
CustomLog

CustomLog 指令用來對伺服器的請求進行日誌記錄。格式為：

格式1：CustomLog 訪問日誌文件名 記錄格式說明串|格式昵稱
格式2：CustomLog "|管道程序名 訪問日誌文件名" 記錄格式說明串|格式昵稱

其中：

1. 訪問日誌文件名：除非文件位置用」/「開頭，否則所制定的文件位置是相對於 ServerRoot 目錄的相對路徑
2. 格式昵稱：使用 LogFormat 指令將一個記錄格式說明串賦以一個名稱
3. 記錄格式說明串：用字元串和格式說明符（以%開頭）指定日誌記錄的內容
4. 管道程序名：管道符」|」後面緊跟著一個程序的路徑，這個程序把日誌從標准輸入設備中讀入並處理。

在 Ubuntu 的 Apache 默認配置中並沒有使用 CustomLog 設置訪問日誌，若您希望記錄訪問日誌，您需要在虛擬主機的配置文件中分別設置，例如：在 /etc/apache2/sites-available/default 中有如下的設置：

CustomLog /var/log/apache2/access.log combined

LogFormat

為了便於分析 Apache 的訪問日誌，Apache 的默認配置文件中，按記錄的信息不同（用不同格式昵稱說明不同的信息）將訪問日誌分為4類，並由 LogFormat 指令定義了昵稱，如表所示。
格式分類 格式昵稱 說明
普通日誌格式(common log format,CLF) common 大多數日誌分析軟體都支持這種格式
參考日誌格式(referer log format) referer 記錄客戶訪問站點的用戶身份
代理日誌格式(agent log format) agent 記錄請求的用戶代理
綜合日誌格式(combined log format) combined 結合以上三種日誌信息

LogFormat 指令用於定義訪問日誌的記錄格式。格式為：

LogFormat "記錄格式說明串" 格式昵稱

從 /etc/apache2/apache2.conf 中可知，在 Ubuntu 的 Apache 中定義了下面的 4 種類型的訪問日誌：

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

由於綜合日誌格式簡單地結合了3種日誌信息，所以在配置訪問日誌時，要麼使用一個綜合文件進行記錄，要麼使用分離的多個（1-3）文件記錄。通常使用一個綜合日誌格式文件進行記錄，配置為：

CustomLog /var/log/apache2/access.log combined

若使用3個文件分別進行記錄，配置為：

CustomLog /var/log/apache2/access.log common
CustomLog /var/log/apache2/referer.log referer
CustomLog /var/log/apache2/agent.log agent

下面的指令組：

LogFormat "%h %l %u %t \"%r\" %>s %b" common
CustomLog logs/access_log common

與下面的指令等效：

CustomLog logs/access_log "%h %l %u %t \"%r\" %>s %b"

通常我們配置訪問日誌時，使用先使用 LogFormat 指令定義格式昵稱，然後再在 CustomLog 指令中引用昵稱的方法。
格式說明符

在使用 LogFormat 和 CustomLog 指令中為了說明要記錄的日誌內容，可以使用的常用格式說明符如下表。
格式說明符 說明
%v 進行服務的伺服器的標准名字 ServerName，通常用於虛擬主機的日誌記錄中。
%h 客戶機的 IP 地址。
%l 從identd伺服器中獲取遠程登錄名稱，基本已廢棄。
%u 來自於認證的遠程用戶。
%t 連接的日期和時間。
%r HTTP請求的首行信息，典型格式是「METHOD RESOURCE PROTOCOL」，即「方法 資源 協議」。經常可能出現的 METHOD 是 GET、POST 和 HEAD；RESOURCE 是指瀏覽者向伺服器請求的文檔或 URL；PROTOCOL 通常是HTTP，後面再加上版本號，通常是 HTTP/1.1。
%>s 響應請求的狀態代碼，一般這項的值是 200，表示伺服器已經成功地響應瀏覽器的請求，一切正常；以 3 開頭的狀態代碼表示由於各種不同的原因用戶請求被重定向到了其他位置；以 4 開頭的狀態代碼表示客戶端存在某種錯誤；以 5 開頭的狀態代碼表示伺服器遇到了某個錯誤。
%b 傳送的位元組數（不包含HTTP頭信息），將日誌記錄中的這些值加起來就可以得知伺服器在一天、一周或者一月內發送了多少數據。
%{Referer}i 記錄引用此資源的網頁。
%U 請求的URL路徑，不包含查詢串。
%{User-Agent}i 使用的瀏覽器信息。
訪問日誌文件舉例

由於整個格式說明字元串是放在」「之內的，所以若要輸出的日誌信息內含有引號，需要將」前加轉義符\。例如：若要輸出子串」GET /apache_pb.gif HTTP/1.0」，則格式字元串為\」%r\」。