善用事件查看器定位故障

事件查看器是Windows系统内置的一个程序，它的作用就相当于一个监视器，利用它用户能全程跟踪记录Windows系统和应用程序所发生的任何事件。要是计算机系统出了问题，通过查看事件查看器跟踪记录的事件内容，就能追本求源弄清故障原因所在。

俗话说“常在江湖飘，哪有不挨刀”。计算机也是一样，工作时间长了，各式各样的故障现象总会不可避免。其实，故障现象并没有可怕之处，可怕的是找不到故障的原因；要是能够准确定位故障根源，那么再难的问题也就不是问题了。为了帮助大家快速定位计算机故障原因，本文下面就教大家如何使用常见的事件查看器来快速定位故障位置，寻找具体故障原因，日后大家再次碰到故障时就不用四处求人了。

认识事件查看器

事件查看器是Windows系统内置的一个程序，它的作用就相当于一个监视器，利用它用户能全程跟踪记录Windows系统和应用程序所发生的任何事件。要是计算机系统出了问题，通过查看事件查看器跟踪记录的事件内容，就能追本求源弄清故障原因所在。尽管事件查看器程序早已出现在Windows XP系统中，不过由于当时该程序的功能很单一，几乎没有人把它当回事，而在Windows 7系统环境中，事件查看器的功能有了明显增强，巧妙使用这些增强的功能可以大大提升故障排查效率。

例如，计算机系统运行时间一长，用户就会感觉到它的反应逐步变得迟钝起来，特别是每次开机启动时都要等上很长一段时间，类似这样的计算机故障往往很难定位到具体的原因。不过，现在有了事件查看器程序后，它能详细记录Windows系统和应用程序所进行的每一项操作，通过深入分析事件内容，往往就能找出影响系统正常启动的“祸首”。

在Windows 7系统中，查看事件查看器的操作很简单，只要先用鼠标右键单击系统桌面中的“计算机”图标，执行快捷菜单中的“管理”命令，切换到本地系统的计算机管理窗口，在该窗口左侧区域依次展开“系统工具”|“事件查看器”节点（如图1所示），从目标节点下用户能查看系统日志、应用程序和服务日志、自定义的日志以及安全日志等内容，通过应用程序日志可以了解应用程序或一般程序的事件，通过安全性日志可以了解比方说有效和无效的登录尝试等安全事件，以及与资源使用有关的事件，例如创建、打开或删除文件以及有关设置的修改，通过系统日志可以了解Windows系统组件所发生的任何事件，包括系统启动期间要加载的驱动程序或其他系统组件的故障。

事件查看器可以显示的事件类型包括警告、错误、信息、成功审核、失败审核这几种，其中警告类型显示的是不是很重要但未来容易发生问题的事件，比方说一旦硬盘空间容量很小时，系统就会生成一个警告事件。错误类型显示的是系统中重要的问题，比方说数据丢失或功能损失，例如要是在系统启动过程中服务启动失败，系统就会记录这个错误。信息类型显示的是应用程序、驱动程序或服务成功操作的事件，比方说成功地启动网络驱动程序时，系统会自动生成一个信息记录事件。成功审核类型显示的是审核安全访问尝试成功，比方说将用户成功登录到系统上的尝试作为“成功审核”事件记录下来。失败审核类型显示的是审核安全访问尝试失败，比方说要是用户试图访问网络驱动器失败，该尝试就会作为“失败审核”事件进行记录。

选中某个类型的日志记录，用鼠标双击该记录，就能看到其详细内容，具体的内容包括事件的发生源、事件发生日期、种类和ID以及相关的描述信息，这些内容对定位故障原因是十分重要的。

搜索有用事件

由于事件查看器会对计算机的一举一动进行跟踪记忆，那么系统生成的事件类型和数量自然是非常多，如果逐一对每个事件内容进行查看，工作量显然是相当大的，而且不利于快速找到真正的故障原因。为了提高故障解决效率，我们常常要根据实际需求搜索有用的事件。

在执行事件搜索操作时，可以依次单击“开始”|“运行”命令，在弹出的系统运行对话框中，输入“eventvwr”命令并回车，切换到系统事件查看器界面。展开Windows日志节点，选中合适的日志类型，例如发现系统启动比较缓慢时，可以选中“系统”选项，用鼠标右键单击该选项，执行快捷菜单中的“筛选当前日志”命令，打开如图2所示的日志筛选对话框。

其次设置好所要搜索的事件类型，比方说“警告”或“错误”，选择好事件发生的时间，例如计算机系统昨天工作状态正常，今天出了问题，那么就可以从“记录时间”下拉列表中选中“近24小时”，之后设置好事件来源和事件类别等参数，确认之后事件查看器程序就会按照既定的要求执行搜索操作了，同时会将符合相关条件的所有事件显示出来。

比方说，现在我们很想知道究竟是什么原因造成了系统启动缓慢现象，那么可以利用事件查看器程序将与系统启动有关的事件记录全部搜索出来。由于与系统启动有关的事件任务类别ID为101-110，我们只要在图2界面的“包括/排除事件ID”文本框中输入“101-110”，确认之后就能搜索到所有与启动性能有关的事件记录了，对这些记录内容进行认真分析，多半就能让造成系统启动缓慢的元凶现形了。

定位解决故障

筛选出有用的事件记录后，我们只要打开具体的事件属性框，多半就能找到造成故障的详细原因了，根据故障原因按图索骥，很快就能将问题解决了。例如，打开ID102的某个事件属性对话框时，我们可能会看到某个设备驱动程序启动时间比正常时间超过了几秒钟，造成了系统启动十分缓慢。出现这种问题的原因，很可能是设备使用的驱动程序存在BUG，要想解决这种问题，可以从设备的官方网站中下载获取通过WDM认证的驱动程序。之后，依次单击“开始”|“运行”命令，在弹出的系统运行框中执行“devmgmt. msc”命令，打开系统设备管理器窗口，从中找到并双击目标设备，切换到对应设备的属性对话框，选择“驱动程序”标签，在如图3所示的标签页面中，按下“更新驱动程序”按钮，导入之前获取的已通过WDM认证的驱动程序，就能让系统启动提速。

打开I D103的某个事件属性对话框时，我们可能会看到某个系统服务启动花费的时间超过了正常时间，这也会造成系统启动变慢。要想解决由这种因素引起的计算机故障，可以依次单击“开始”|“运行”命令，在弹出的系统运行框中执行“services.msc”命令，切换到系统服务列表界面，从中找到并双击目标系统服务，进入对应服务选项的设置对话框（如图4所示），按下“停止”按钮，同时将服务启动类型选择为“禁用”，确认之后就能提高系统启动速度。同样地，对于发现到的影响系统正常启动的应用程序，要是没有必要跟随Windows系统一起启动的，完全可以禁止其开机启动运行。要做到这一点，只要简单地在系统运行对话框中，执行“msconfig”命令，切换到系统实用程序配置对话框，选择“启动”标签，在对应标签页面中就能取消任何应用程序的自启动选项。

打开I D106的某个事件属性对话框时，我们可能会看到系统背景优化耗费的时间比较长，这也会引起系统启动变慢现象。要想解决这类问题时，可以对Windows系统进行设置，实现关机自动清空预读文件目的。在进行这种操作时，可以先手工创建一个文本文件，在文本编辑界面中，输入如下命令代码：

@echo off

del %systemroot%/Prefetch/*.* /q

在确认上述代码输入正确后，依次单击“文件”|“保存”命令，将该代码内容存储为“dump.bat”批处理文件。接着打开系统运行对话框，输入“gpedit.msc”命令并回车后，弹出系统组策略编辑窗口，将鼠标定位到“计算机配置”|“Windows设置”|“脚本”分支上，双击该分支下的“关机”项，在其后弹出的关机对话框中按下“添加”按钮（如图5所示），将之前生成的“dump.bat”文件导入进来，这样Windows系统日后在关机时就会自动在后台调用执行“dump.bat”文件，清空预读文件夹中的内容，来提高系统启动速度了。

远程查看事件

在局域网工作环境中，普通客户机经常会发生各种各样的故障现象，这时网络管理员可以通过远程查看事件的方法，来寻找故障客户机的故障产生原因，并以此来解决网络故障。在远程查看故障客户机的日志事件时，可以先按前面的操作方法，打开本地系统的事件查看器界面，用鼠标右键单击“事件查看器（本地）”选项，从弹出的右键菜单中执行“连接到另一台计算机”命令，切换到“选择计算机”对话框，如图6所示。在这里我们只要选择“另一台计算机”选项，单击对应选项旁边的“浏览”按钮，从弹出的计算机选择对话框中，导入故障客户机的主机名称，当然也可以直接输入要查看的客户机主机名称。单击“确定”按钮后，打开故障客户机的事件查看器界面，在该界面中我们就能进行更为详细的条件设置。例如，在应用程序日志上，执行右键菜单中的“属性”命令，进入应用程序属性设置框，在常规标签页面中我们能看到应用程序的名称，创建、修改、访问时间，我们可以对最大日志以及达到极限后的处理方法进行配置，要是我们不再需要个性设置时，不妨按下“还原为默认值”按钮，来恢复到系统缺省的设置。切换到事件日志的“筛选器”标签页面，我们可以对日志中的事件进行筛选，我们可以在“事件类型”选项组中进行复选框的选择，在“事件来源”|“类别”下拉列表框中可设置筛选具体条件，还可进行时间限定，当然，筛选并不会对日志的具体内容产生影响，它只是改变了事件的显示方式。找到故障客户机的相关事件记录后，对这些记录认真加以分析，多半就能定位到具体的故障产生原因了。

追踪重要事件

在内网中同事之间相互交流共享信息是常有的事情，不过多数用户不希望自己的重要内容被人偷偷访问，那么怎样才能自动监控是否有其他用户偷偷访问自己的共享文件夹呢？很简单！只要使用事件查看器程序，就能轻松追踪类似共享访问之类的重要事件了。

比方说，自己的共享内容全部存储在F:\aaa文件夹中，要监控该文件夹的共享访问事件时，可以依次单击“开始”|“运行”命令，打开系统运行对话框，输入“gpedit.msc”命令并回车后，弹出系统组策略编辑窗口，将鼠标定位在该窗口左侧区域的“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“审核策略”分支上，双击该分支下的“审核对象访问”选项，弹出如图7所示的选项设置对话框，同时选中“成功”、“失败”等选项，确认之后开启审核对象访问的成功、失败策略。

接着打开系统资源管理器窗口，找到保存了共享内容的F:\aaa文件夹，用鼠标右键单击该文件夹，执行右键菜单中的“属性”命令，弹出目标文件夹属性对话框。选择“安全”标签，点击该标签页面中的“高级”按钮，进入高级安全设置对话框。继续选择“审核”标签，单击该标签页面中的“添加”按钮，从弹出的用户或计算机选择对话框中，导入要审核操作的用户名，确认之后返回到审核项目列表框（如图8所示），将其中的“读取”和“读取扩展属性”的成功、失败审核事件全部选中。

到了这里，事件查看器程序就能自动跟踪F:\aaa文件夹的任何访问行为了。日后，需要了解是否有人偷偷访问自己的共享文件夹时，只要按照前面的操作打开事件查看器程序界面，将鼠标定位到该界面中的“Windows日志”|“安全”分支上，双击该分支下显示出来的审核事件，一旦看到有陌生用户名称出现时，那就说明共享文件夹被人偷偷访问了。此外，按照同样的操作方法，我们还能让事件查看器程序自动追踪、记录应用程序执行事件、用户账号偷偷创建事件等。

任务绑定事件

与传统操作系统相比，Windows 7的事件查看器程序新增了一个附加任务绑定事件功能，如此一来日后系统一旦发生重要事件时，就能自动触发事先绑定的任务，实现自动报警功能，有利于用户在第一时间发现故障、解决问题。例如，我们希望Windows 7系统在创建新用户账户后，自动弹出报警提示框，向我们及时发出提醒内容，日后一旦有病毒木马程序在系统后台悄悄创建用户账户时，我们就能及时得到这一消息，也好做到心中有数。要实现上述目的，可以按照如下步骤进行操作：

首先在Windows 7系统的开始搜索框中，执行“secpol.msc”命令，弹出本地安全策略界面，将鼠标定位到该界面左侧区域的“本地策略”|“审核策略”分支上，双击“审核账户管理”选项，弹出审核账户管理对话框，选中“成功”复选项来开启策略，这样就能审核用户账户创建成功时的事件类型了。

其次依次单击“开始”|“控制面板”命令，打开系统控制面板窗口，任意创建一个用户账户，这样可以手动触发一个新建用户账户的事件，该事件是为附加特定任务而运行的。

接着按照之前的操作打开事件查看器界面，逐一展开“Windows日志”|“安全”分支，该分支下能看到与系统安全有关的事件，从中找到刚才生成的用户账户的事件，用鼠标右键单击该事件选项，执行右键菜单中的“将任务附加到此事件”命令，弹出创建基本任务向导设置框，按“下一步”按钮，随后会出现一个提示框，这里主要提供一些用于确认的信息，要是没有什么错误的话，继续按“下一步”按钮，打开如图9所示的设置对话框，选中“显示消息”选项，再设置好消息框的标题和报警内容，最后按“完成”按钮保存设置操作。这样，日后每当系统中有新用户账户被创建时，系统都能自动弹出对话框，提醒我们及时去检查核对。

1

2

3

4

5

6

7

8

9