日志文【rì zhì wén】件【jiàn】，它记录🌕着🐥Windows系统及🍵其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着🐥非常重【fēi cháng chóng】要🔂的作用。但许多用户不注意对【zhù yì duì】🕴它保护【tā bǎo hù】，一些【yī xiē】⚓“不速之【bú sù zhī】🎚客”很轻易🐽就将日【jiù jiāng rì】志文件【jiàn】清空，给系统带来严重的安【chóng de ān】🤷全隐患【quán yǐn huàn】🏻。

一、什么是日志文件

　　日志文【rì zhì wén】件是Windows系统中📆一个比🍋较特殊的文件，它记录【lù】着Windows系统中📆所发生的一切，如各种【rú gè zhǒng】系统服务的【wù de】🐻启动【qǐ dòng】、运行🐯、关闭等信息【xìn xī】。 Windows日志包括应用程【yīng yòng chéng】🆘序、安全【ān quán】、系统等📔几个部分【fèn】🛣，它的存放路径是“%systemroot%system32config”，应用程【yīng yòng chéng】🆘序日志【xù rì zhì】、安全【ān quán】日志和【hé】系🕎统日志对应的💳文件名为【wéi】AppEvent.evt、SecEvent.evt和【hé】SysEvent.evt。这些文【zhè xiē wén】💙件受到【jiàn shòu dào】〰“Event Log（事件记😏录【lù】）”服务的【wù de】🐻保护不能被删除，但可以📊被清空。

二、如何查看日志文件

　　在【zài】Windows系统中【xì tǒng zhōng】查看日【chá kàn rì】志文件【zhì wén jiàn】很简单【hěn jiǎn dān】。点击“开始→设置→控制面板【bǎn】👼→管理工具→事件查🔇看器”，在【zài】事件查🔇看器窗口左栏中列出本机包含的🤐日【rì】志类💗型🎪，如应用程序【chéng xù】、安全【ān quán】、系统等。查看某😗个日【rì】志记录【jì lù】也🤦很简单【hěn jiǎn dān】，在【zài】左栏中选中某个【zhōng mǒu gè】🧛类型的日【rì】👦志，如应用程序【chéng xù】，接着在【jiē zhe zài】右栏中列出该类型日【lèi xíng rì】🎬志的所有记录【jì lù】📦，双击其🚅中某个【zhōng mǒu gè】🧛记录【jì lù】，弹出【dàn chū】“事件属【shì jiàn shǔ】性”对话框，显示出该记录【gāi jì lù】的详细信息【xìn xī】，这样我们就能【men jiù néng】准确的掌握系统中【xì tǒng zhōng】到📒底发生【dǐ fā shēng】💤了什么事情🌲，是否影🥎响【xiǎng】⛽Windows的正常【de zhèng cháng】运行，一旦出📁现问题💕，即时查【jí shí chá】找排除📏。

三、Windows日志文件的保护

　　日志文【rì zhì wén】件对我【jiàn duì wǒ】们如此重要，因此不🌩能忽视🐧对它的【duì tā de】保护，防止发💕生某些【shēng mǒu xiē】“不法之徒”将日志文【rì zhì wén】件清洗一空🍆的情况【de qíng kuàng】🥦。

　　1． 修改日志文件存放目录

　　Windows日志文【rì zhì wén】🛫件默认路径是“%systemroot%system32config”，我们可以通过👅修改注册表来改变它【gǎi biàn tā】👌的存储【de cún chǔ】目录，来增强💘对日志的保护【de bǎo hù】。

　　点击🤱“开始→运行🔀”，在对话🚍框中输【kuàng zhōng shū】入【rù】“Regedit”，回车后【huí chē hòu】弹出注【dàn chū zhù】🐀册表编【cè biǎo biān】🤝辑器，依次展开 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的🏦 Application、Security、System几个子➖项分别对应应用程序日志【rì zhì】、安全日【ān quán rì】志、系统日志【rì zhì】。

　　笔者以【bǐ zhě yǐ】✔应用程🔏序日志【xù rì zhì】🦖为例【wéi lì】，将【jiāng】其转💟移到“d:\cce”目录下【xià】🐖。选中⏹Application子项🎚,在右栏中找到🤐File键，其键值【qí jiàn zhí】🎼为应用程🔏序日志【xù rì zhì】🦖文件的路径【lù jìng】“%SystemRoot%system32configAppEvent.Evt”，将它修【jiāng tā xiū】改为“d:cceAppEvent.Evt”。接着在D 盘新建“CCE”目录，将【jiāng】“AppEvent.Evt”拷贝到该目录下【xià】🐖，重新启🌙动系统，完成应用程🔏序日志【xù rì zhì】🦖文件存放目录的修改【de xiū gǎi】。其它类【qí tā lèi】型日志💞文件路径【lù jìng】修改方法相同【tóng】📵，只是在【zhī shì zài】🗨不同【tóng】📵的子项🎚下操作【xià cāo zuò】。

　　2． 设置文件访问权限

　　修改了【xiū gǎi le】🏞日志文😈件的存放目录🍈后【hòu】，日志还是可以🗽被清空【bèi qīng kōng】的，下面通【xià miàn tōng】过修改日志文😈件访问【jiàn fǎng wèn】权限，防止这🕶种事情发生，前提是🕋Windows系统要【xì tǒng yào】🤟采用【cǎi yòng】NTFS文件系统格式。

　　右键点击【jī】🥃D盘的CCE目录【mù lù】，选择【xuǎn zé】⛅“属性”，切换到【qiē huàn dào】“安全”标签页【biāo qiān yè】后【hòu】，首先取消【xiāo】“允许将💀来自父🚫系的可继承权限【xiàn】🌯传播给该对象👒”选项勾【xuǎn xiàng gōu】选。接着在账号列表框中📲选中“Everyone”账号，只给它赋予🗒“读取【dú qǔ】🌫”权限【xiàn】🌯；然后【hòu】点击【jī】🥃“添加【tiān jiā】”按钮😷，将💀“System”账号添加【tiān jiā】到账号列表框中📲，赋予🗒除📆“完全控👺制”和🚮“修改【xiū gǎi】😢”以外的【yǐ wài de】🤯所有权🚨限【xiàn】🌯，最后【hòu】点击【jī】🥃“确定【què dìng】”按钮😷。这样当【zhè yàng dāng】用户清👖除📆Windows日志时，就会弹【jiù huì dàn】出错误【chū cuò wù】对话框🍸。

四、Windows日志实例分析

　　在【zài】Windows日志中🆑记录了很多操⛅作事件【shì jiàn】🎒，为了方便用户对它们【duì tā men】🎭的管理🧔，每种类型的事件【shì jiàn】🎒都赋予了一✅个惟一的编号【de biān hào】，这就是【zhè jiù shì】事件【shì jiàn】🎒ID。

1． 查看正常开关机记录

　　在Windows系统🧑中，我们可以通过事件查🎯看器的🤥系统日🙇志查看计算机【jì suàn jī】的开、关机记录，这是因【zhè shì yīn】为日志服务会随计算【suí jì suàn】🌜机一起【jī yī qǐ】启动或关闭⏸，并在日【bìng zài rì】志中留下记录。这里我们要介绍两个😺事件ID“6006和6005”。6005表示事【biǎo shì shì】件日志【jiàn rì zhì】🕉服务已【fú wù yǐ】🍶启动，如果在🥏事件查🎯看器中发现某日的事件【de shì jiàn】ID号为【hào wéi】🌶6005的事件【de shì jiàn】，就说明在这天【zài zhè tiān】🕣正常启动了Windows系统🧑。6006表示事【biǎo shì shì】件日志【jiàn rì zhì】🕉服务已【fú wù yǐ】🍶停止，如果没有在事【yǒu zài shì】件查🎯看器中发现某日的事件【de shì jiàn】ID号为【hào wéi】🌶6006的事件【de shì jiàn】，就表示🤞计算机【jì suàn jī】在这天【zài zhè tiān】🕣没有正【méi yǒu zhèng】🔜常关机【cháng guān jī】🏘，可能是【kě néng shì】🐓因为系【yīn wéi xì】🌕统原因【tǒng yuán yīn】或者直【huò zhě zhí】接切断电源导【diàn yuán dǎo】🍳致没有执行正【zhí háng zhèng】📚常的关📶机操作。
 

2． 查看DHCP配置警告信息

　　在规模🔎较大的⏺网络中【wǎng luò zhōng】🗺，一般都【yī bān dōu】🎋是采用DHCP服务器【fú wù qì】🐜配置客【zhì kè】😗户端【hù duān】IP地址信💐息【xī】，如果客🎮户机无🦈法找到DHCP服务器【fú wù qì】🐜，就会自动使用一个内【yī gè nèi】部的IP地址配【dì zhǐ pèi】置客【zhì kè】😗户端【hù duān】，并且在Windows日志中【rì zhì zhōng】产生一个事件⌛ID号为1007的事件【de shì jiàn】🕰。如果用🚏户在日志中【rì zhì zhōng】发现该编号事件，说明该机器无✨法从【fǎ cóng】DHCP服务器【fú wù qì】🐜获得信息【xī】，就要查看是该机器网络故障还是【hái shì】DHCP服务器【fú wù qì】🐜问题🌅。