郭建偉

在Windows運行過程中，幾乎時刻都會產(chǎn)生各種事件，系統(tǒng)會將其自動保存到日志信息中。通過對日志進行深入分析，可以全面掌控系統(tǒng)的運行情況。當系統(tǒng)運行出現(xiàn)問題時，運行“eventvwr.msc”程序在事件查看器中對日志信息進行分析，就可以很輕松的發(fā)現(xiàn)問題所在，并據(jù)此對系統(tǒng)進行修復和優(yōu)化操作。因此，對系統(tǒng)日志進行有效管理，對于保證系統(tǒng)的高效運行是極為重要的。

管控賬戶活動信息

對于系統(tǒng)安全來說，保護賬戶安全顯得極為重要，一旦系統(tǒng)中出現(xiàn)了非法的可疑賬戶，就需要引起足夠的警惕，利用事件查看器，可以及時發(fā)現(xiàn)危險的賬戶。例如，在Windows 7中點擊“Win+R”鍵，執(zhí)行“secpol.msc”程序，在本地安全策略窗口（圖1）左側(cè)選擇“本地策略→審核策略”，在右側(cè)雙擊“審核賬戶管理”項，在彈出窗口中選擇“成功”項，點擊確定按鈕保存配置信息。

為了便于操作，可以運行“l(fā)usrmgr.msc”程序，在賬戶管理界面中新建一個賬戶。之后運行“eventvwr.msc”程序，打開事件查看器，在其左側(cè)選擇“Windows日志→安全”項，在右側(cè)窗口根據(jù)日期和時間進行排序，找到剛才創(chuàng)建賬戶觸發(fā)的記錄項（圖2），查看其事件編號（例如4720）。選中該日志項，在右側(cè)窗格中選擇“將任務(wù)附加到此事件”鏈接，在向?qū)Ы缑妫▓D3）中填入任務(wù)名稱，點擊“下一步”按鈕，在彈出窗口中選擇“顯示消息”，輸入相關(guān)的警告信息。

完成上述操作之后，單擊“完成”按鈕，就可以添加一個新的計劃任務(wù)。以后只要系統(tǒng)中新增了賬戶，系統(tǒng)就會彈出預設(shè)的警告信息引起用戶的注意了。同理，對于其他的高風險事件，也可以將其綁定到計劃任務(wù)中，實現(xiàn)有效監(jiān)控處理。注意，如果這類計劃任務(wù)失敗，也可以為其設(shè)置觸發(fā)處理動作。

在事件查看器界面左側(cè)選擇“應(yīng)用程序和服務(wù)日志→Microsoft→Windows→TaskScheduler→Operational”，從中選擇啟動失敗的計劃任務(wù)。在其右鍵菜單上點擊“將任務(wù)附加到此事件”項，按照操作向?qū)У奶崾?，設(shè)置任務(wù)名稱和描述信息，并輸入具體的警告消息內(nèi)容。這樣，如果該任務(wù)計劃沒有正常啟動，就會彈出預設(shè)的提示消息。當然，也可以選擇發(fā)送電子郵件操作，這樣您可以通過郵件得知賬戶創(chuàng)建操作。

審核用戶使用信息

如果有人未經(jīng)許可，隨意猜測并嘗試登錄密碼，對本機安全就會造成威脅。一旦其非法登錄成功，就會在本機中隨意執(zhí)行程序，輕則將本機配置搞亂，重則招來病毒侵襲。利用事件查看器，可以全程監(jiān)控非法使用信息。點擊“Win+R”鍵運行“gpedit.msc”程序，在組策略窗口左側(cè)選擇“計算機配置→管理模板→Windows組件→Windows登錄選項”項（圖4），在右側(cè)雙擊“在用戶登錄期間顯示以前登錄有關(guān)的信息”項，在彈出窗口（圖5）中選擇“已啟用”項。之后在登錄屏幕上就會顯示非法用戶嘗試登錄的次數(shù)和時間等信息。

在組策略編輯器左側(cè)選擇“計算機配置→Windows設(shè)置→安全設(shè)置→高級審核策略配置→系統(tǒng)審核策略→詳細跟蹤”項（圖6），在右側(cè)分別雙擊“審核進程創(chuàng)建”、“審核進程終止”項，為其開啟成功審核策略。這樣，當使用者運行任何程序，都會被系統(tǒng)記錄下來。在事件查看器窗口左側(cè)選擇“Windows日志→安全”，在右側(cè)窗格就可以看到使用者啟動或者終止的所有程序信息。

如果要想深入查看開啟和終止程序的時間，可以利用事件查看器的搜索功能，來搜索特定的程序名稱，就可以找到與該程序相關(guān)的審核事件，在其屬性窗口中顯示啟動該程序的精確時間。當您暫時離開電腦時，通常會點擊“Win+L”鍵來鎖定電腦，如果有人趁機猜測密碼試圖登錄的話，執(zhí)行一個解鎖過程就會產(chǎn)生一次登錄事件。所以在事件查看器中打開“Windows日志→安全”項，在右側(cè)如果發(fā)現(xiàn)了大量的解鎖失敗事件，那就說明是有人試圖非法執(zhí)行解鎖操作。

檢測系統(tǒng)啟動緩慢的原因

我們都有這種感覺，系統(tǒng)剛安裝的時候，啟動的速度很快，但是當運行一段時間后，速度就會越來越慢。毫無疑問，肯定有相關(guān)的程序拖了系統(tǒng)的后腿，利用事件查看器，可以很容易找到問題的根源。在事件查看器主界面左側(cè)點擊“應(yīng)用程序和服務(wù)日志→Microsoft→Windows→Diagnostics-Performance→Oprational”項，可以查看影響系統(tǒng)性能的事件信息（圖7）。

在右側(cè)點擊“篩選當前日志”項，在彈出窗口（圖8）中的“包括/排除事件ID”欄中輸入“100”，這是因為系統(tǒng)對啟動性能的任務(wù)類別的ID為100，點擊確定按鈕，在日志中搜索ID為100的事件信息。因為系統(tǒng)可能搜索到很多條記錄信息，為了簡單起見，可以按照具體的日志查看。例如雙擊日期為2019年12月19日的啟動記錄，在其屬性窗口（圖9）中可以查看其具體信息，在“啟動持續(xù)時間”欄中顯示該次啟動花費的時間，即從出現(xiàn)Windows徽標界面到顯示桌面為止的這段時長。注意，其單位為毫秒。如果該時間較長的話，就可以進行進一步的分析了。

打開篩選當前日志窗口，在“包括/排除事件ID”欄中輸入“101-110”，之后執(zhí)行篩選操作，將所有符合該事件ID段的日志全部過濾出來。因為該事件ID段的日志記錄的都是和啟動相關(guān)的監(jiān)控內(nèi)容，對這些記錄逐一分析，不難發(fā)現(xiàn)啟動緩慢的原因。

例如雙擊ID為103的事件項目，在其屬性窗口中的“總計時間”欄中顯示系統(tǒng)自帶的Windows Defender服務(wù)啟動的具體時長。在“降級時間”欄顯示其浪費的時間，即比正常啟動多花費的時間。例如，程序的升級操作，就會導致其啟動時間超長的現(xiàn)象等。因為該服務(wù)主要用來掃描病毒等惡意程序，因為運行異常導致拖延了系統(tǒng)啟動時間。如果您的系統(tǒng)中已經(jīng)安裝別的殺軟，可以運行“services.msc”程序，在服務(wù)管理器中關(guān)閉該服務(wù)，這樣就可以加快系統(tǒng)啟動速度了。當然，按照同樣的方法，通過對相關(guān)日志的分析，可以發(fā)現(xiàn)運行或者啟動時間超過常規(guī)值的程序。