windows日志分析方法

Ⅰ Win7系统中查看系统日志的方法

Windows日志位于计算机管理的事件查看器中，用于存储来自旧版应用程序的事件以及适用于整个系统的事件。

Win7系统的Windows日志包括五个类别，分别为应用程序日志、安全日志、系统日志、安装程序日志和转发事件日志。

应用程序日志包含由应用程序记录的事件;安全日志包含系统的登录、文件资源的使用以及与系统安全相关的事件;系统日志包含 Windows 系统组件记录的事件;安装程序日志包含与应用程序安装有关的事件;转发事件日志用于存储从远程计算机收集的事件。

下面就来看看如何查看Windows日志吧。

1、 右键单击桌面的或开始菜单的'“计算机”，选择"管理";

2、 接着弹出的就是“计算机管理”窗口，依次展开“事件查看器”-“Windows日志”，下拉目录中即是前面说到的五类Windows日志。

3、 在“windows日志”目录下，点击任一种，便可以查看相关日志了。

4、另外，还可以通过控制面板来实现，大致为控制面板-系统和安全-管理工具—查看事件日志。

Windows日志主要提供给专业人员分析系统存在的问题和产生问题的原因，对于普通用户，Windows日志有时可能毫无价值，而且占用C盘空间。如果系统正常平稳运行，可一段时间清理一次，大部分安全软件和系统优化软件都提供Windows日志清理功能。

Ⅱ 怎么分析windows应用日志

查看 Windows 应用程序日志

在“开始”菜单上，依次指向“所有程序”、“管理工具”，然后单击“事件查看器”。
在事件查看器中，单击“应用程序”。
SQL Server 事件由“资源”列中的 MSSQLSERVER 项（命名实例以 MSSQL$<instance_name> 标识）标识。SQL Server 代理事件由 SQLSERVERAGENT 项标识（对于已命名的 SQL Server 实例，SQL Server 代理事件使用 SQLAgent$<instance_name> 标识）。Microsoft Search 服务事件由 Microsoft Search 项标识。
若要查看另一台计算机的日志，请右键单击“事件查看器”，再单击“连接到另一台计算机”，并完成“选择计算机”对话框。
另外，若要仅显示 SQL Server 事件，请在“查看”菜单上单击“筛选器”，并在“事件源”列表中，选择MSSQLSERVER。若要仅查看 SQL Server 代理事件，请在“事件源”列表中选择 SQLSERVERAGENT。
若要查看有关某事件的详细信息，请双击该事件。

Ⅲ Win系统日志查看方法介绍

如何查看Windows 2003系统日志

Windows日志文件记录着Windows系统运行的每一个细节， 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志，管理员可以及时找出服务器出现故障的原因。

一般情况下，网管都是在本地查看日志记录，由于目前的局域网规模都比较大，因此网管不可能每天都呆在服务器旁。一旦远离服务器，网管

就很难及时了解到服务器系统的运行状况，维护工作便会受到影响。现在，利用Windows Server 2003(简称Windows 2003)提供的Web访问接口功能就可解决这个问题，让网管能够远程查看Windows 2003服务器的日志记录。

远程查看Windows 2003服务器的日志记录非常简单。在远程客户端(可采用Windows 98/2000/XP/2003系统)，运行IE浏览器， 在地址栏中输入“https://Win2003服务器IP地址:8098”，如“https://192.168.0.1:8098”。在弹出的`登录对话框中输入管理员的用户名和密码，点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接，切换到“维护”管理页面，然后点击“日志”链接，进入到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除Windows 2003服务器日志。

在日志管理页面中可列出Windows 2003服务器的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。

查看某类日志记录非常简单，笔者以查看Web管理志为例，点击“Web管理日志”链接，进入日志查看页面，在日志文件列表框中选中要查

看的日志文件，然后点击右侧的“查看日志”按钮，就能浏览Web管理日志记录中的详细内容了。

清除某个日志文件也很简单，选中该日志文件后，点击“清除”按钮即可。如果你觉得远程查看日志不方便，想在本 地机器中进行查看，这时你 可以将日志文件下载到本地硬盘。选中某个日志文件，然后点击“下载日志”按钮，在弹出的“文件下载”对话框中点击“保存”按钮并指定存放路径即可。

Ⅳ windows server 怎么查看系统日志

Windows server 2008查看Windows日志的方法如下：

1、首先，在电脑桌面的左下角点击开始，在开始菜单的右侧栏中，依次点击管理工具——事件查看器。

Ⅳ windows下怎么分析apache日志

Apache 的标准中规定了4类日志：

错误日志
访问日志
传输日志
Cookie日志

其中：传输日志和Cookie日志被Apache 2.0认为已经过时。所以本节仅仅讨论错误日志和访问日志。同时错误日志和访问日志被Apache 2.0默认设置。
能从日志中获取哪些信息

* 访问日志
o 访问服务器的远程机器的地址：可以得知浏览者来自何方
o 浏览者访问的资源：可以得知网站中的哪些部分最受欢迎
o 浏览者的浏览时间：可以从浏览时间（如工作时间或休闲时间）对网站内容进行调整
o 浏览者使用的浏览器：可以根据大多数浏览者使用的浏览器对站点进行优化
* 错误日志
o 获知失效链接
o 获知 CGI 错误
o 获知用户认证错误

配置错误日志

错误日志记录了服务器运行期间遇到的各种错误，以及一些普通的诊断信息，比如服务器何时启动、何时关闭等。
错误日志配置指令
ErrorLog

ErrorLog 指令指定了当服务器遇到错误时记录错误日志的文件名。其格式为：

格式1：ErrorLog 错误日志文件名
格式2：ErrorLog "|管道程序名"

格式1直接指定错误日志文件名，除非文件位置用”/“开头，否则 ErrorLog 所制定的文件位置是相对于 ServerRoot 目录的相对路径。

格式2实现管道日志，它指定一个命令来处理错误日志。
Apache 编译时默认的错误日志可以使用如下命令获得：

$ apache2 -V| grep DEFAULT_ERRORLOG
-D DEFAULT_ERRORLOG="logs/error_log"

LogLevel

LogLevel 用于调整记于错误日志中的信息的详细程度。其格式为：

LogLevel 错误日志记录等级

下面着重说说日志记录等级：
紧急程度 等级 说明
1 emerg 出现紧急情况使得该系统不可用，如系统宕机等
2 alert 需要立即引起注意的情况
3 crit 危险情况的警告
4 error 除了emerg、alert、crit的其他错误
5 warn 警告信息
6 notice 需要引起注意的情况，但不如error、warn重要
7 info 值得报告的一般消息
8 debug 由运行于debug模式的程序所产生的消息

如果指定了等级 warn，那么就记录紧急程度为1至5的所有错误信息。
Ubuntu 中 Apache 的错误日志配置

配置错误日志相对简单，只要说明日志文件的存放路径和错误日志记录等级即可。

从 Ubuntu 中的 /etc/apache2/apache2.conf 中可知，默认的错误日志存放在 /var/log/apache2/error.log

ErrorLog /var/log/apache2/error.log
LogLevel warn

您可以在 /etc/apache2/apache2.conf 中设置错误日志记录等级，也可以在相应的虚拟主机的配置文件中设置。
错误日志文件举例

下面是一个错误日志文件的截取。

$ sudo tac /var/log/apache2/error.log
[Wed Jun 20 14:53:15 2007] [error] [client 192.168.0.66] File does not exist: /usr/share/phpmyadmin/favicon.ico
[Wed Jun 20 11:12:50 2007] [notice] Apache/2.0.55 (Ubuntu) DAV/2 SVN/1.3.1 mod_python/3.1.4 Python/2.4.3 PHP/5.1.2 configured -- resuming normal operations
[Wed Jun 20 11:12:49 2007] [notice] Digest: done
[Wed Jun 20 11:12:49 2007] [notice] Digest: generating secret for digest authentication ...
[Wed Jun 20 09:22:22 2007] [notice] caught SIGTERM, shutting down

从文件内容可以看出，每一行记录了一个错误。格式为：

日期和时间 错误等级 错误消息

配置访问日志
CustomLog

CustomLog 指令用来对服务器的请求进行日志记录。格式为：

格式1：CustomLog 访问日志文件名 记录格式说明串|格式昵称
格式2：CustomLog "|管道程序名 访问日志文件名" 记录格式说明串|格式昵称

其中：

1. 访问日志文件名：除非文件位置用”/“开头，否则所制定的文件位置是相对于 ServerRoot 目录的相对路径
2. 格式昵称：使用 LogFormat 指令将一个记录格式说明串赋以一个名称
3. 记录格式说明串：用字符串和格式说明符（以%开头）指定日志记录的内容
4. 管道程序名：管道符”|”后面紧跟着一个程序的路径，这个程序把日志从标准输入设备中读入并处理。

在 Ubuntu 的 Apache 默认配置中并没有使用 CustomLog 设置访问日志，若您希望记录访问日志，您需要在虚拟主机的配置文件中分别设置，例如：在 /etc/apache2/sites-available/default 中有如下的设置：

CustomLog /var/log/apache2/access.log combined

LogFormat

为了便于分析 Apache 的访问日志，Apache 的默认配置文件中，按记录的信息不同（用不同格式昵称说明不同的信息）将访问日志分为4类，并由 LogFormat 指令定义了昵称，如表所示。
格式分类 格式昵称 说明
普通日志格式(common log format,CLF) common 大多数日志分析软件都支持这种格式
参考日志格式(referer log format) referer 记录客户访问站点的用户身份
代理日志格式(agent log format) agent 记录请求的用户代理
综合日志格式(combined log format) combined 结合以上三种日志信息

LogFormat 指令用于定义访问日志的记录格式。格式为：

LogFormat "记录格式说明串" 格式昵称

从 /etc/apache2/apache2.conf 中可知，在 Ubuntu 的 Apache 中定义了下面的 4 种类型的访问日志：

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

由于综合日志格式简单地结合了3种日志信息，所以在配置访问日志时，要么使用一个综合文件进行记录，要么使用分离的多个（1-3）文件记录。通常使用一个综合日志格式文件进行记录，配置为：

CustomLog /var/log/apache2/access.log combined

若使用3个文件分别进行记录，配置为：

CustomLog /var/log/apache2/access.log common
CustomLog /var/log/apache2/referer.log referer
CustomLog /var/log/apache2/agent.log agent

下面的指令组：

LogFormat "%h %l %u %t \"%r\" %>s %b" common
CustomLog logs/access_log common

与下面的指令等效：

CustomLog logs/access_log "%h %l %u %t \"%r\" %>s %b"

通常我们配置访问日志时，使用先使用 LogFormat 指令定义格式昵称，然后再在 CustomLog 指令中引用昵称的方法。
格式说明符

在使用 LogFormat 和 CustomLog 指令中为了说明要记录的日志内容，可以使用的常用格式说明符如下表。
格式说明符 说明
%v 进行服务的服务器的标准名字 ServerName，通常用于虚拟主机的日志记录中。
%h 客户机的 IP 地址。
%l 从identd服务器中获取远程登录名称，基本已废弃。
%u 来自于认证的远程用户。
%t 连接的日期和时间。
%r HTTP请求的首行信息，典型格式是“METHOD RESOURCE PROTOCOL”，即“方法 资源 协议”。经常可能出现的 METHOD 是 GET、POST 和 HEAD；RESOURCE 是指浏览者向服务器请求的文档或 URL；PROTOCOL 通常是HTTP，后面再加上版本号，通常是 HTTP/1.1。
%>s 响应请求的状态代码，一般这项的值是 200，表示服务器已经成功地响应浏览器的请求，一切正常；以 3 开头的状态代码表示由于各种不同的原因用户请求被重定向到了其他位置；以 4 开头的状态代码表示客户端存在某种错误；以 5 开头的状态代码表示服务器遇到了某个错误。
%b 传送的字节数（不包含HTTP头信息），将日志记录中的这些值加起来就可以得知服务器在一天、一周或者一月内发送了多少数据。
%{Referer}i 记录引用此资源的网页。
%U 请求的URL路径，不包含查询串。
%{User-Agent}i 使用的浏览器信息。
访问日志文件举例

由于整个格式说明字符串是放在”“之内的，所以若要输出的日志信息内含有引号，需要将”前加转义符\。例如：若要输出子串”GET /apache_pb.gif HTTP/1.0”，则格式字符串为\”%r\”。