indows日志特指Windows操作系統(tǒng)中各種各樣的日志文件,如應用程序日志,安全日志、系統(tǒng)日志、Scheduler服務日志、FTP日志、WWW日志、DNS服務器日志等,這些根據(jù)你的系統(tǒng)開啟的服務的不同而有所不同。我們在系統(tǒng)上進行一些操作時,這些日志文件通常會記錄下我們操作的一些相關內(nèi)容,這些內(nèi)容對系統(tǒng)安全工作人員相當有用。
Windows日志
在Windows系統(tǒng)中查看Windows日志文件很簡單。點擊“ 開始→設置→控制面板→管理工具→事件查看器”,在事件查看器窗口左欄中列出本機包含的日志類型,如應用程序、安全、系統(tǒng)等。查看某個日志記錄也很簡單,在左欄中選中某個類型的日志,如應用程序,接著在右欄中列出該類型日志的所有記錄,雙擊其中某個記錄,彈出“事件屬性”對話框,顯示出該記錄的詳細信息,這樣我們就能準確的掌握系統(tǒng)中到底發(fā)生了什么事情,是否影響Windows的正常運行,一旦出現(xiàn)問題,即時查找排除。
EventLog Analyzer
EventLog Analyzer可以幫助管理員高效維護維護Windows日志,重要業(yè)務應用程序包括MS SQL服務器,Oracle數(shù)據(jù)庫和終端服務器,例如打印服務器等。它有助于跟蹤重要事件,例如特權用戶活動和數(shù)據(jù)庫事務,身份異常活動和非法訪問。如果檢測到威脅,EventLog Analyzer可以生成實時電子郵件和SMS通知。
ntbtlog.txt作為Windows 10的引導日志文件,它能記錄系統(tǒng)引導的全過程,因此可供我們排查系統(tǒng)引導過程中出現(xiàn)的問題。但是,若系統(tǒng)中沒有發(fā)現(xiàn)這個文件,如何開啟呢?
關于啟動引導日志文件
當系統(tǒng)啟動時在F8菜單中選擇了“創(chuàng)建啟動日志”模式,就會創(chuàng)建系統(tǒng)啟動引導日志文件。該模式以普通的安全模式啟動,同時將所有驅動程序和服務記錄到ntbtlog.txt中。該文件位于%windir%(默認為c:\windows\)目錄中。啟動日志可用來確定系統(tǒng)啟動問題的準確原因。
1. 使用系統(tǒng)命令開啟ntbtlog.txt
我們首先可以使用BCDEDIT命令來開啟ntbtlog.txt。進入管理員命令提示符窗口,執(zhí)行BCDEDIT命令,記下Windows啟動加載器的標識符{current}(圖1)。
然后執(zhí)行如下命令,顯示“操作成功完成”之后,系統(tǒng)自動開啟了ntbtlog.txt文件記錄功能(圖2)。
bcdedit /set {current} bootlog Yes
小提示:
如果此后想要關閉ntbtlog.txt文件記錄,執(zhí)行如下命令即可:
bcdedit /set {current} bootlog No
2. 用系統(tǒng)配置來開啟ntbtlog.txt
使用MSCONFIG系統(tǒng)配置工具,也可以開啟引導日志記錄功能。按下Win+R啟動“運行”框,輸入并執(zhí)行MSCONFIG。在打開的系統(tǒng)配置窗口中,點擊“引導”選項卡,然后選中“引導日志”復選框。如果是雙系統(tǒng)或多系統(tǒng),則選中Windows 10后,再選“引導日志”項(圖3)。
3. 通過ntbtlog.txt查看和排除故障
查看和排除故障通過ntbtlog.txt文件中記錄的信息進行。若加載程序正常,會顯示如圖所示的“Loaded driver…”信息(圖4)。
如果程序或驅動未被加載,則問題可能出現(xiàn)在這里,可按照未加載信息的提示,重新安裝驅動或軟件(圖5)。
小技巧:
如果ntbtlog.txt文件損壞,無法讀取,可在管理員命令提示符窗口中運行SFC /SCANNOW命令恢復系統(tǒng)