了解并使用Windows实例的日志

应用场景

在Windows实例中，查看和使用日志是系统管理和故障排除的重要部分。Windows系统通过内置的事件查看器（Event Viewer）来记录各种系统、应用程序和安全事件。通过这些日志，你可以监控系统性能、诊断问题、了解系统状态以及进行安全审计。

Windows系统日志主要分为以下四类：

• 系统日志
• 应用程序日志
• 安全日志
• 应用程序和服务日志

本文以Windows Server 2022为例，介绍了系统日志、应用程序日志、安全日志以及应用程序和服务日志的使用。

实施步骤（打开事件查看器查看日志）

1. 远程连接Windows实例。

   本文以VNC登录为例。

   

2. 选择“开始 > 运行”，在运行对话框中输入eventvwr命令。

   

3. 单击“确定”，打开事件查看器。

   

4. 在事件查看器里查看以下四种日志。
   1. 系统日志

      记录操作系统本身运行过程中产生的事件（如硬件故障、驱动程序问题等）。

      

   2. 应用程序日志

      记录应用程序和服务的事件。例如，运行特定应用程序时出现的错误、崩溃等。

      

   3. 安全日志

      记录安全相关事件，例如用户登录、权限更改、资源访问等。例如，用户登录失败等。

   4. 应用程序和服务日志

      与标准的Windows 日志（如系统日志、应用程序日志和安全日志）不同，应用程序和服务日志更加注重于捕获由某些特定应用程序或服务生成的事件。这些日志通常与操作系统的核心功能无关，但对于特定应用程序、服务或功能的故障诊断和性能优化是非常有用的。

      

实施步骤（修改日志属性）

1. 打开事件查看器，在左侧导航栏中，单击“Windows 日志”。
2. 在中间列表中，右键单击一个日志名称，选择“属性”。

   

3. 在弹出的“日志属性”窗口中，根据实际需求修改以下几项设置：
   • 日志路径。
   • 日志最大大小。
   • 达到事件日志最大大小时系统应采取的操作。
     

     每个事件日志文件的默认最大大小为 20 MB。一旦日志文件达到该大小，最旧的事件会被自动删除，以腾出空间用于存储新的事件。这意味着日志文件会循环覆盖，保持一个相对恒定的大小。