事件日志

应用到: Windows 7, Windows Server 2008 R2, Windows Vista

Windows Vista 包括以下两个类别的事件日志:Windows 日志应用程序和服务日志。可以使用事件查看器或 wevtutil 命令行工具来管理事件日志。使用 wevtutil 管理事件日志时,从 wevtutil 收到的消息可能会将事件日志作为频道加以引用。大多数情况下,事件日志和频道是等效的。有关事件日志和频道的详细信息,请联机参阅 Windows 事件日志软件开发工具包 (SDK) 中的 Windows 事件日志中的事件日志和频道(可能为英文网页)主题。

Windows 日志

Windows 日志类别包括以下在早期版本的 Windows 中可用的日志:应用程序、安全和系统日志。此外还包括两个新的日志:安装程序日志和 ForwardedEvents 日志。Windows 日志用于存储来自旧版应用程序的事件以及适用于整个系统的事件。

应用程序日志

应用程序日志包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。

安全日志

安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则对系统的登录尝试将记录在安全日志中。

安装程序日志

安装程序日志包含与应用程序安装有关的事件。

系统日志

系统日志包含 Windows 系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由 Windows 预先确定。

ForwardedEvents 日志

ForwardedEvents 日志用于存储从远程计算机收集的事件。若要从远程计算机收集事件,必须创建事件订阅。若要了解有关事件订阅的信息,请参阅事件订阅

应用程序和服务日志

应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。

此类别的日志包括四个子类型:管理日志、操作日志、分析日志和调试日志。管理日志中的事件尤其受使用事件查看器解决问题的 IT 专业人士的关注。管理日志中的事件应该提供有关如何对事件做出响应的指南。操作日志中的事件对 IT 专业人士也很有用,但他们可能需要更多解释。

管理日志和调试日志并不那么用户友好。分析日志存储跟踪问题的事件,并且通常记录大量事件。调试日志由开发人员在调试应用程序时使用。默认情况下,分析日志和调试日志都为隐藏和禁用状态。若要使这些日志可见,请按照显示或隐藏分析日志和调试日志中的步骤操作。若要启用这些日志,请按照启用分析日志和调试日志中的步骤操作。

管理事件

这些事件主要以最终用户、管理员和技术支持人员为目标。管理通道中的事件指示问题以及管理员可以操作的良好定义的解决方案。管理事件的示例之一是应用程序无法连接到打印机时所发生的事件。这些事件或者有详细文档记录,或者有与其关联的消息直接指导读者纠正问题所必须做的事情。

操作事件

操作事件用于分析和诊断问题或发生的事件。这些事件可以用于基于问题或发生的事件触发工具或任务。操作事件的示例之一是在从系统中添加或删除打印机时所发生的事件。

分析事件

分析事件是大量发布的事件。这些事件描述程序操作并指示用户干预所无法处理的问题。

调试事件

调试事件由开发人员用于解决其程序中的问题。

基于 XML 的基础结构

作为事件日志记录基础的基础结构已在 Windows Vista 中得到完整的修补。有关每个事件的信息都符合 XML 架构,且可以访问代表给定事件的 XML。还可以针对事件日志构造基于 XML 的查询。无须了解有关 XML 的任何知识就可以充分利用可用的新功能。使用事件查看器可以用易用的图形化格式访问功能。

社区附加资源

添加
显示: