如何修改 Windows 系統(tǒng)日志

在windows桌面，點(diǎn)擊開始菜單，點(diǎn)擊“控制面板”。

成都創(chuàng)新互聯(lián)公司成都網(wǎng)站建設(shè)按需網(wǎng)站制作，是成都網(wǎng)站建設(shè)公司,為紗窗提供網(wǎng)站建設(shè)服務(wù),有成熟的網(wǎng)站定制合作流程，提供網(wǎng)站定制設(shè)計(jì)服務(wù)：原型圖制作、網(wǎng)站創(chuàng)意設(shè)計(jì)、前端HTML5制作、后臺(tái)程序開發(fā)等。成都網(wǎng)站改版熱線：028-86922220

在控制面板中，點(diǎn)擊“管理工具”。如下圖。

點(diǎn)擊“事件查看器”。如下圖。

然后你就看到了系統(tǒng)日志內(nèi)容信息了。比如，下圖顯示

如何修改windows7系統(tǒng)日志的存放路徑？

1、首先用“win+R”組合快捷鍵打開運(yùn)行對(duì)話框，在框中輸入regedit，回車打開注冊(cè)表編輯器;

2、然后依次展開并定位到

“HKEY_LOCAL_MACHIMESystemCurrentControlSetSemcesEventLogSystem”項(xiàng);

3、然后雙擊右側(cè)窗格中的“file”值，將默認(rèn)的屬性內(nèi)容由“°/osystemroot%System32ConfigSysEvent.Evt”改為新的存放路徑即可。

4、接著也可以打開定位到

“HKEY_LOCAL_MACHIMESystemCurrentControlSetServicesEventLogApplication”，雙擊并修改右側(cè)窗格中的“file”值，在彈出的屬性窗口中將屬性內(nèi)容將tt%SystemRoot%system32configAppEvent.Evt”改為新的存放路徑也可以。

怎樣修改windows操作系統(tǒng)日志

首先在安裝軟件的電腦上安裝office。打開C:\windows\system32\config\文件夾，將需要修改的日志復(fù)制出來(lái)，并作好備份。

打開evt編輯器對(duì)evt日志文件進(jìn)行修改，然后把evt轉(zhuǎn)換成excel文件。

轉(zhuǎn)換完畢，不要關(guān)閉工具，打開軟件目錄下的export.xls進(jìn)行編輯，可以刪除任意日志，重新排序，也可以增加日志。改完后保存并關(guān)閉excel，重新回到軟件界面，點(diǎn)excel轉(zhuǎn)evt按鈕將excel寫入新的日志文件。

可參考：

如何修改系統(tǒng)日志

如果用事件日志進(jìn)行黑客跟蹤系統(tǒng)，那么就必須保存它們。從“設(shè)定日志文件大小”這項(xiàng)功能中，我們知道系統(tǒng)中的事件記錄不可能無(wú)限制的被記錄下來(lái)，要保存以前的事件日志記錄，我們就得用“事件查看器”提供的存儲(chǔ)功能。這樣我們可以按需查看各時(shí)段的事件日志了。

系統(tǒng)管理有三種日志：安全日志、系統(tǒng)日志和應(yīng)用程序日志。

1、菜單開始——運(yùn)行輸入regedit回車鍵，打開注冊(cè)表。如圖

2、系統(tǒng)日志打開注冊(cè)表，展開分支：HKEY_LOCAL_MACHINE\System\CurrentControlSet

\Services\EventLog\System，然后雙擊右側(cè)窗格中的File值，打開字符串的對(duì)話框。系統(tǒng)默認(rèn)的存放路徑是%

SystemRoot%\System32\Config\SysEvent.Evt改為E:\SysEvent.Evt單擊確定。這時(shí)可以根據(jù)自己的需

要設(shè)定新的存放路徑，如圖

3、應(yīng)用程序日志打開注冊(cè)表編輯器，展開分支:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\

Services\EventLog

\Application，雙擊并修改右側(cè)窗口中的File值,打開字符串的對(duì)話框。系統(tǒng)默認(rèn)的存放路徑是%

SystemRoot%\System32\Config\AppEvent.Evt,這時(shí)可以根據(jù)自己的需要設(shè)定新的存放路徑，如圖

4、安全日志打開注冊(cè)表編輯器，展開如下分支:

HKEY_LOCAL_MACHINE\System\CurrentControlSet

\Services

\EventLog\Security，雙擊并修改右側(cè)窗口中的File鍵值，打開字符串的對(duì)話框。系統(tǒng)默認(rèn)的存放路徑是%

SystemRoot%\System32\Config\SecEvent.Evt,這時(shí)可以根據(jù)自己的需要設(shè)定新的存放路徑，如圖

5、完成修改后，重新啟動(dòng)計(jì)算機(jī)即可使修改生效。

windows系統(tǒng)日志解讀

你好

1/5分步閱讀

一、什么是日志文件

日志文件是Windows系統(tǒng)中一個(gè)比較特殊的文件，它記錄著Windows系統(tǒng)中所發(fā)生的一切，如各種系統(tǒng)服務(wù)的啟動(dòng)、運(yùn)行、關(guān)閉等信息。 Windows日志包括應(yīng)用程序、安全、系統(tǒng)等幾個(gè)部分，它的存放路徑是“%systemroot%system32config”，應(yīng)用程序日志、安全日志和系統(tǒng)日志對(duì)應(yīng)的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些文件受到“Event Log（事件記錄）”服務(wù)的保護(hù)不能被刪除，但可以被清空。

2/5

二、如何查看日志文件在Windows系統(tǒng)中查看日志文件很簡(jiǎn)單。點(diǎn)擊“開始設(shè)置控制面板管理工具事件查看器”，在事件查看器窗口左欄中列出本機(jī)包含的日志類型，如應(yīng)用程序、安全、系統(tǒng)等。查看某個(gè)日志記錄也很簡(jiǎn)單，在左欄中選中某個(gè)類型的日志，如應(yīng)用程序，接著在右欄中列出該類型日志的所有記錄，雙擊其中某個(gè)記錄，彈出“事件屬性”對(duì)話框，顯示出該記錄的詳細(xì)信息，這樣我們就能準(zhǔn)確的掌握系統(tǒng)中到底發(fā)生了什么事情，是否影響Windows的正常運(yùn)行，一旦出現(xiàn)問題，即時(shí)查找排除。

3/5

三、Windows日志文件的保護(hù)

日志文件對(duì)我們?nèi)绱酥匾虼瞬荒芎鲆晫?duì)它的保護(hù)，防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。

1． 修改日志文件存放目錄

Windows日志文件默認(rèn)路徑是“%systemroot%system32config”，我們可以通過修改注冊(cè)表來(lái)改變它的存儲(chǔ)目錄，來(lái)增強(qiáng)對(duì)日志的保護(hù)。點(diǎn)擊“開始運(yùn)行”，在對(duì)話框中輸入“Regedit”，回車后彈出注冊(cè)表編輯器，依次展開 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的 Application、Security、System幾個(gè)子項(xiàng)分別對(duì)應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。筆者以應(yīng)用程序日志為例，將其轉(zhuǎn)移到“d:\cce”目錄下。選中Application子項(xiàng),在右欄中找到File鍵，其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”，將它修改為“d:cceAppEvent.Evt”。接著在D 盤新建“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動(dòng)系統(tǒng)，完成應(yīng)用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項(xiàng)下操作。

4/5

2． 設(shè)置文件訪問權(quán)限

修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權(quán)限，防止這種事情發(fā)生，前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。

右鍵點(diǎn)擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標(biāo)簽頁(yè)后，首先取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)勾選。接著在賬號(hào)列表框中選中“Everyone”賬號(hào)，只給它賦予“讀取”權(quán)限；然后點(diǎn)擊“添加”按鈕，將“System”賬號(hào)添加到賬號(hào)列表框中，賦予除“完全控制”和“修改”以外的所有權(quán)限，最后點(diǎn)擊“確定”按鈕。這樣當(dāng)用戶清除Windows日志時(shí)，就會(huì)彈出錯(cuò)誤對(duì)話框。

5/5

四、Windows日志實(shí)例分析

在Windows日志中記錄了很多操作事件，為了方便用戶對(duì)它們的管理，每種類型的事件都賦予了一個(gè)惟一的編號(hào)，這就是事件ID。

1． 查看正常開關(guān)機(jī)記錄

在Windows系統(tǒng)中，我們可以通過事件查看器的系統(tǒng)日志查看計(jì)算機(jī)的開、關(guān)機(jī)記錄，這是因?yàn)槿罩痉?wù)會(huì)隨計(jì)算機(jī)一起啟動(dòng)或關(guān)閉，并在日志中留下記錄。這里我們要介紹兩個(gè)事件ID“6006和6005”。6005表示事件日志服務(wù)已啟動(dòng)，如果在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6005的事件，就說(shuō)明在這天正常啟動(dòng)了Windows系統(tǒng)。6006表示事件日志服務(wù)已停止，如果沒有在事件查看器中發(fā)現(xiàn)某日的事件ID號(hào)為6006的事件，就表示計(jì)算機(jī)在這天沒有正常關(guān)機(jī)，可能是因?yàn)橄到y(tǒng)原因或者直接切斷電源導(dǎo)致沒有執(zhí)行正常的關(guān)機(jī)操作。2． 查看DHCP配置警告信息

在規(guī)模較大的網(wǎng)絡(luò)中，一般都是采用DHCP服務(wù)器配置客戶端IP地址信息，如果客戶機(jī)無(wú)法找到DHCP服務(wù)器，就會(huì)自動(dòng)使用一個(gè)內(nèi)部的IP地址配置客戶端，并且在Windows日志中產(chǎn)生一個(gè)事件ID號(hào)為1007的事件。如果用戶在日志中發(fā)現(xiàn)該編號(hào)事件，說(shuō)明該機(jī)器無(wú)法從DHCP服務(wù)器獲得信息，就要查看是該機(jī)器網(wǎng)絡(luò)故障還是DHCP服務(wù)器問題。

怎么樣修改windows操作系統(tǒng)日志

首先在安裝軟件的電腦上安裝office。打開C:\windows\system32\config\文件夾，將需要修改的日志復(fù)制出來(lái)，并作好備份。

打開evt編輯器對(duì)evt日志文件進(jìn)行修改，然后把evt轉(zhuǎn)換成excel文件。

轉(zhuǎn)換完畢，不要關(guān)閉工具，打開軟件目錄下的export.xls進(jìn)行編輯，可以刪除任意日志，重新排序，也可以增加日志。改完后保存并關(guān)閉excel，重新回到軟件界面，點(diǎn)excel轉(zhuǎn)evt按鈕將excel寫入新的日志文件。

可參考：

本文名稱：修改windows系統(tǒng)日志的簡(jiǎn)單介紹
本文地址：http://www.yijiale78.com/article12/dschsgc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營(yíng)銷型網(wǎng)站建設(shè)、定制開發(fā)、網(wǎng)站排名、域名注冊(cè)、微信小程序、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)