eventlog(电脑如何设置WindowsEventLog的启动类型)

1、按下Windows键打开开始菜单，选择设置。

1、按下Windows键打开开始菜单，选择设置。

1、按下Windows键打开开始菜单，选择设置。

1、按下Windows键打开开始菜单，选择设置。

1、按下Windows键打开开始菜单，选择设置。

1、一、什么是日志文件　　日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“EventLog（事件记录）”服务的保护不能被删除，但可以被清空。。

2、二、如何查看日志文件　　在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。。

3、三、Windows日志文件的保护　　日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。　　修改日志文件存放目录　　Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。　　点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。　　笔者以应用程序日志为例，将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。。

4、设置文件访问权限　　修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。　　右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。。

5、四、Windows日志实例分析　　在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。查看正常开关机记录　　在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。　　查看DHCP配置警告信息　　在规模较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件，说明该机器无法从DHCP服务器获得信息，就要查看是该机器网络故障还是DHCP服务器问题。。

1、什么是日志文件　　日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。

2、Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。

3、这些文件受到“EventLog(事件记录)”服务的保护不能被删除，但可以被清空。

1、Windows2000/XP内含的任务管理器(Taskmgr)相信大家都熟悉吧，相比之下XP里的要比2000功能更加强大，返回的信息也更加的详细，不过您是否觉得还有很多希望获得的消息没有包含在里面吗？您是否觉得Windows的系统管理工具箱里的东西太分散了吗？下面就让我们看看它们的开发原理，并动手实现一个真正的任务管理器。

2、现在我们是调用Win32API来实现这些功能的，但是大家都说MS隐藏了太多的细节，以后我们将讨论更多关于Windows内核的东东。

3、可能大家对任务管理器里最熟悉的功能要数进程管理了，常常我们在怀疑中了病毒/木马的时候都会看看任务管理器里有没有什么特别的进程在运行，所以进程查看器应该是一个非常重要的功能。

4、我们除了需要获得进程的名称外，还有什么呢？当然包括它的进程标识符(ProcessID)，用户信息(UserName)，CPU使用时间(CPUTime)和存储器的使用情况(MemoryUsage)，还有它的优先权(BasePriority)。

5、CPU和Memory信息可以帮助我们分析进程的运行情况，而优先权可以表示进程在CPU分配处理器使用时的优先情况。

6、这些都是通用的进程信息，让我们再看看其他的信息吧。

7、进程的父进程标识符(ParentProcessID)，创建时间(CreateTime)，程序名称等在很多情况下也是我们关心的信息。

8、我们再看看进程相关的性能信息。

9、在Windows下通常有两种模式、内核模式(Kernel、Level0)和用户模式(User、Level3)，进程往往在两种模式中来回切换，所以可以获得进程在内核模式和用户模式各自的使用时间。

10、同时还包括进程相关的工作集(WorkingSet)，分页池(PagedPool)，非分页池(NonePagedPool)和页面文件(PageFile)信息。

11、进程相关的I/O操作包括读/写/其他等动作，我们可以获得这些操作的次数和传送数据的数量。

12、如果您怀疑某个进程是木马，那您还想获得哪些信息呢？简单的进程名称应该是不够的吧！我们希望获得进程的实际程序的路径，这样可以帮助我们判断究竟是那个程序在运行。

13、前段时间不是在讨论什么进程隐藏的，其中一种就是“创建远程线程”，而注体往往又是以动态链接库(DLL)的形式存在的，我们就希望看到某个具体进程所包含的所有模块(Module)，常常是DLL也。

14、“线程”是一个大家熟悉的名字，它是Windows系统中的实现体，而进程则是线程运行的环境。

15、一个进程到底创建了多少线程了？我们同样可以枚举进程内部的所有线程信息。

16、如果您发现一个木马进程，下面的动作就应该是分析它的运行机制(如果您对它感兴趣)，不过最终您还是要将它结束吧。

17、在Windows2k下，很多系统关键进程在TaskMgr里是不能被结束的，不过现在您不用担心了。

18、好的，对进程的操作当然就包括结束进程。

19、如果您用过中文的XP，您是否常常遇到任务栏“假死”的情况，虽然您的电脑没有挂掉，但却动弹不得，那好我们也同样可以将任意的进程挂起来，不管您对它做什么动作(除了结束)，它都不会有任何的反应。

20、有了挂起进程，同样我们也可以将进程从“挂起”状态激活哈。

21、桌面窗口是大家接触得最多的交互界面了，您是否想获得每个窗口的标题信息呢？当然我们还可以获得与窗口关联的进程，线程与窗口句柄属性。

22、如果大家对VC比较熟悉，就应该知道其中的一个SPY++工具吧，它就可以获得桌面窗口，进程和线程的详细信息，不过现在就不用打开这个，打开那个了，通通搞定了！系统性能是每个用户关心的话题。

23、(友情提醒、开发者网络Windows开发专栏中还有大量技巧)它包括整个系统当前创建的句柄，进程以及线程的数目。

24、还有物理存储器(PhysicalMemory)的总量和使用情况，系统高速缓存(SystemCache)的大小，存储器保留与提交(CommitCharge)状况，当然还有核心分页/非分页池(KernelMemory)的使用情况。

25、几乎包括了Windows系统下存储器管理的大部分信息。

26、虽然现在硬盘的价格已经很低了，不过我还是在用4G的小东东，所以常常遇到“LowDisk”！我们常常要看看硬盘的使用情况，不过每次都要进入我的电脑，太麻烦了。

27、而我们现在可以一次了解所有磁盘的容量和当前使用情况，同时还有它们的格式类型(如FAT,NTFS,CDFS等)和磁盘标签。

28、说到环境块，或许不是那么熟悉吧，它包含一些环境变量，而每个环境变量对应一个/多个字符串，您可以在控制面板的SYSTEM/Advanced(系统/高级)里对它们进行设置，包括添加新的环境变量，删除和编辑系统环境变量。

29、事件记录对我们分析系统的使用情况有很大的帮助。

30、事件记录分为三种、应用程序，系统和安全。

31、而对应的每种事件又可以分为几种类型，它们分别是常规信息，警告和错误。

32、其中包括记录序号(RecordNumber)，事件类型(Type)，标识符(EventID)，来源(Source)，产生时间(TimeGenerated)，用户名(User)和相关描述信息(Description)。

33、有时间大家可以多看看事件信息，当然每个网络管理员对它们应该是很熟悉的，不过还包括其他的事件日志信息。

34、Windows系统下的ipconfig/all这个命令我是常常用，因为我们使用的是DHCP，没事看看自己的IP地址变了没有。

35、其中包括详细的网络适配器的信息，包括适配器名称，描述，硬件地址和类型，IP地址及相应的子网掩码，网关与DHCP服务器地址等。

36、(友情提醒、开发者网络Windows开发专栏中还有大量技巧)不过您是否对网络流量也感兴趣呢？我们当然可以获得主机接受/发送了多少(非)广播数据报，出现了多少错误，一共接受/发送了多少信息，这些对每个网友都是有用的信息哟。

37、网络共享往往是大家注意的地方，您究竟共享了多少信息，它们的文件路径是什么，还有它们的共享类型信息。

38、我们在不需要某些共享资料时，当然不要忘了将其删除，以免泄露自己的机密信息。

39、Windows的NT是一个多用户的系统，允许多种类型用户的存在。

40、我们希望获得用户账号的使用期限(PasswordExpired)，记住要不定时的修改用户的密码哟，以及用户标识符(UserID)，组标识符(GroupID)，还有用户账号的类型(Type)，不同的类型有不同的权限，我们当然希望有最High的权力哟！看看系统对某个账号的磁盘空间使用情况是否有限制(MaxStorage)，账号登录的次数(NumberOfLogon)和登录时间信息(LogonHours)等，对我们分析用户的使用情况也有帮助的。

41、系统的Win32服务和设备驱动信息也是很重要的，我们希望探测每个服务/设备启动程序的具体路径，状态，类型，启动方式等等信息。

42、我们还希望对服务进行控制，比如停止，启动和删除操作。

43、大家可以参阅《浅析Windows2000/XP服务与后门技术》获得更多关于Win32服务的信息。

44、关机也不是那么的单调的，您可以注销自己的系统，如果您要离开当然就需要锁定了。

45、最近大家都不喜欢关机，太麻烦了，所以都习惯使用冬眠，系统将会为我们保留当前信息，不过还有支持电源管理的关机和休眠。

46、Windows2000的用户注意了，我们同样可以使用XP系统下的带有到记时与消息提示的关机和重启功能了。

47、系统的版本信息是比较固定的，主要包括操作系统的指纹，注册组织/用户，主机名和系统相关目录等信息。

48、说了这么多，我们也该谈谈如何实现了。

49、窗口信息MS为我们提供了打开特定桌面和枚举桌面窗口的函数。

50、hDesk=OpenDesktop(lpszDesktop,0,FALSE,DESKTOP_ENUMERATE)//打开我们默认的Default桌面。

51、EnumDesktopWindows(hDesk,(WNDENUMPROC)EnumWindowProc,0)//枚举打开桌面上的所有窗口，由回调函数实现。

52、BOOL__stdcallEnumWindowProc(HWND,LPARAM)//在回调函数中，我们可以获得窗口的标题和相关进程，线程信息。

53、GetWindowText(hWnd,szWindowText,dwMaxCount)GetWindowThreadProcessId(hWnd,&dwPID)设备驱动器信息(服务和设备驱动器差不多，在此不做重复)设备驱动信息有服务控制管理器(SCM)来管理的，我要打开服务控制管理器，并枚举所有的设备驱动器。

54、OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS)//以所有权限打开服务控制管理器。

55、EnumServicesStatus(schManager,dwDeviceType,dwDeviceState,EnumStatus,dwBufSize,&dwBytesNeeded,&dwDevicesReturned,&dwResumeHandle))//枚举所有设备的当前状态。

56、CloseServiceHandle(schManager)//记住，在结束访问后要关闭服务句柄。

57、OpenService(schManager,szDeviceName,SERVICE_ALL_ACCESS)//打开特定的设备驱动器。

58、QueryServiceConfig(schDevice,lpDeviceConfig,1024*8,&dwBytesNeeded)。

59、//查询驱动器的服务配置信息。

60、QueryServiceStatus(schDevice,&DeviceStatus)。

61、//查询设备驱动器的当前状态。

62、(友情提醒、开发者网络Windows开发专栏中还有大量技巧)QueryServiceConfig2(schDevice,SERVICE_CONFIG_DESCRIPTION,(LPBYTE)lpDeviceDescription,8*1024,&dwBytesNeeded)//查询设备的描述信息。

63、StartService(schDevice,0,NULL)。

64、//启动设备。

65、ControlService(schDevice,SERVICE_CONTROL_STOP,&DeviceStatus)。

66、//停止设备。

67、DeleteService(schDevice)。

68、//删除设备。

69、磁盘信息我们希望获得系统所有磁盘的信息，包括软盘，硬盘，光盘等等。

70、GetLogicalDriveStrings(dwBufferLength,lpBuffer)//获得逻辑设备的信息。

71、GetVolumeInformation(lpRootPathName,lpVolumeNameBuffer,dwVolumeNameSize,&dwVolumeSerialNumber,&dwMaximumComponentLength,&dwFileSystemFlags,lpFileSystemNameBuffer,dwFileSystemNameSize)//获得磁盘卷信息，包括卷名称和格式类型。

72、(友情提醒、开发者网络Windows开发专栏中还有大量技巧)GetDiskFreeSpaceEx(lpRootPathName,&FreeBytesAvailable,&TotalNumberOfBytes,&TotalNumberOfFreeBytes)//探测磁盘的空间使用情况。

73、环境变量我们可以从注册表中获得环境块的信息、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerEnvironment，当然要使用注册表的函数。

74、RegOpenKeyEx(HKEY_LOCAL_MACHINE,RegKey,0,KEY_QUERY_VALUE,&hKey)//打开注册表的键。

75、RegEnumValue(hKey,dwIndex,EnvironVariable,&dwVariableLength,NULL,NULL,NULL,NULL)//查询我们需要的信息值。

76、GetEnvironmentVariable(EnvironVariable,EnvironString,1024)//获得环境变量的字符串信息。

77、事件记录信息OpenEventLog(NULL,szLog)//打开时间日志记录。

78、GetOldestEventLogRecord(hEvent,&dwThisRecord)//获得最新的日志信息，以便继续查找。

79、ReadEventLog(hEvent,EVENTLOG_FORWARDS_READ│EVENTLOG_SEQUENTIAL_READ,0,pEventLogRecord,1024*32,&dwRead,&dwNeeded)//读去日志信息。

80、LookupAccountSid(NULL,pSid,szName,&dwName,szDomain,&dwDomain,&SNU)。

81、//获取账户的SID，以便获得账户的用户名称。

82、GetNumberOfEventLogRecords(hEvent,&dwTotal)。

83、//获得事件日志的总数。

84、CloseEventLog(hEvent)//不要忘记关闭事件句柄。

85、网络共享我们使用第二等级的网络共享搜索。

86、NetShareEnum(NULL,dwLevel,(PBYTE*)&pBuf,MAX_PREFERRED_LENGTH,&entriesread,&totalentries,&resume)//列举所有的共享目录及相关信息。

87、NetApiBufferFree(pBuf)//释放缓冲区。

88、(友情提醒、开发者网络Windows开发专栏中还有大量技巧)NetShareDel(NULL,(char*)lpShareNameW,0)//删除网络共享目录。

89、网络适配器信息我们要探测NIC的信息和网络流量。

90、GetAdaptersInfo(&AdapterInfo,&OutBufLen)//获取适配器信息。

91、系统性能获取系统的存储器使用情况。

92、GetPerformanceInfo(&PerfInfo,sizeof(PERFORMACE_INFORMATION))//获取系统性能信息。

93、进程/线程/模块信息在此我们使用工具帮助函数(ToolHelp32)和系统OpenProcessToken(GetCurrentProcess(),TOKEN_QUERY│TOKEN_ADJUST_PRIVILEGES,&hToken)。

94、//打开进程的令牌，提升权限。

95、AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL)//将进程的权限提升到支持调试(Debug)。

96、CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0)//创建进程的快照。

97、Process32First(hProcessSnap,&ProcessEntry32)。

98、Process32First(hProcessSnap,&ProcessEntry32)。

99、//枚举所有进程。

100、OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ProcessEntryth32ProcessID)//打开特定进程，以查询进程相关信息。

101、GetProcessTimes(hProcess,&CreateTime,&ExitTime,&KernelTime,&UserTime)。

102、//获取进程的时间信息。

103、GetProcessMemoryInfo(hProcess,&PMCounter,sizeof(PMCounter))。

104、//获取进程的存储区信息。

105、GetPriorityClass(hProcess)//获取进程的优先权。

106、GetProcessIoCounters(hProcess,&IoCounters)。

107、//获取进程的IO使用情况。

108、CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwProcessID)//创建模块快照。

109、(友情提醒、开发者网络Windows开发专栏中还有大量技巧)Module32First(hModuleSnap,&ModuleEntry32)。

110、Module32Next(hModuleSnap,&ModuleEntry32)。

111、//枚举进程模块信息。

112、CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0)//创建线程快照。

113、Thread32First(hThreadSnap,&ThreadEntry32)。

114、Thread32Next(hThreadSnap,&ThreadEntry32)。

115、//枚举线程信息。

116、OpenThread(THREAD_ALL_ACCESS,FALSE,ThreadEntryth32ThreadID)//打开线程，须自己获得此函数地址。

117、TerminateProcess(hProcess,0)。

118、//终止进程。

119、SuspendThread(hThread)//悬挂线程。

120、ResumeThread(hThread)//激活线程。

121、关机AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL)//调整进程令牌，使其支持关机。

122、ExitWindowsEx(EWX_LOGOFF,0)。

123、//注销系统。

124、LockWorkStation()。

125、//锁定系统。

126、InitiateSystemShutdown(NULL,szMessage,dwTimeout,FALSE,bSig)。

127、//支持到记时和消息显示的关机/重启。

128、SetSystemPowerState(bSig,FALSE)。

129、//系统休眠/冬眠。

130、用户信息NetUserEnum(NULL,dwLevel,FILTER_NORMAL_ACCOUNT,(LPBYTE*)&pBuf,dwPrefMaxLen,&dwEntriesRead,&dwTotalEntries,&dwResumeHandle)//枚举系统用户信息。

131、NetUserDel(NULL,lpUserNameW)。

132、//删除指定用户。

133、系统版本信息GetVersionEx((LPOSVERSIONINFO)&osviex)。

134、//获取操作系统的版本信息。

135、我们也可以通过注册表(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion)获取相关信息、GetTickCount()//获取开机时间。

136、GetComputerName(szInfo,&dwInfo)//获取计算机名称。

137、GetUserName(szInfo,&dwInfo)//获取计算机用户名。

138、GetWindowsDirectory(szInfo,MAX_PATH+1)//获取Windows目录。

139、GetSystemDirectory(szInfo,MAX_PATH+1)//获取系统目录。

140、小结、虽然我们现在已经实现了任务管理器的各项功能，甚至比Windows自带的功能还要强大，不过却没有什么兴奋的感觉。

141、因为看看我们的代码，您就会发现那些都是直接调用的Win32API函数，但是我们清楚系统底层究竟是怎么实现的吗？不管我们是否只是为了实现一个功能，还是对操作系统感兴趣，我们都应该更多的对系统底层进行研究，而不仅仅是只会使用高层函数的程序员。

142、虽然微软为我们隐藏了很多的内部细节，但正是这种底层的秘密激发了我们对其进行深入研究的兴趣和动力。

1、看计算机在哪天运行过~运行了多久。

版权声明：本文由用户上传，如有侵权请联系删除！