windows系统日志文件在哪里(windows日志内容怎么可以看懂)

日志文件记录了Windows系统及其各种服务的每一个细节，对增强Windows的稳定性和安全性起着非常重要的作用。但是很多用户不注意保护，一些“不速之客”很容易清空日志文件。

给系统带来了严重的安全隐患。

一.什么是日志文件？

日志文件是Windows系统中的一个特殊文件，它记录了Windows系统中发生的一切，比如各种系统服务的启动、运行、关闭等。Windows日志包括应用程序、安全、系统等。

其存储路径为“%systemroot%system32config”，应用日志、安全日志、系统日志对应的文件名分别为AppEvent.evt、SecEvent.evt、SysEvent.evt。

这些文件受“事件日志”服务保护，不能删除，但可以清空。

二、如何查看日志文件

在Windows系统中查看日志文件很简单。点击“开始设置控制面板管理工具事件查看器”，在事件查看器窗口的左栏列出本机包含的日志类型，如应用、安全、系统等。查看日志记录也很容易。

在左栏中选择某类日志，如某个应用，然后在右栏中列出该类日志的所有记录。双击其中一条记录，弹出“事件属性”对话框，显示该记录的详细信息，以便我们准确掌握系统中发生了什么。

是否影响Windows的正常运行？如果有问题，立即发现并消除。

第三，Windows日志文件的保护

日志文件对我们来说如此重要，我们不能忽视对它的保护，防止一些“不法之徒”清理它。

1.修改日志文件存储目录

Windows日志文件的默认路径是“%systemroot%system32config”。我们可以通过修改注册表来改变它的存储目录，以增强对日志的保护。

点击“开始运行”，在对话框中输入“Regedit”，回车弹出注册表编辑器。

依次展开" HKEY _ LOCAL _ MACHINE/SYSTEM/current control set/Services/event log "后，

应用、安全和系统的以下子项分别对应应用日志、安全日志和系统日志。

作者以应用程序日志为例，将其转移到“d:\cce”目录。选择Application子项，并在右栏中找到File键。

它的键值是应用程序日志文件的路径“% systemroot % system32 configappevent . evt”，修改为“d:cceappevent . evt”。然后在D盘上创建一个新的“CCE”目录，

复制“应用事件”。Evt”到这个目录，重启系统，完成对应用日志文件存储目录的修改。其他类型的日志文件路径修改方法是相同的，但是它们在不同的子项下操作。

2.设置文件访问权限

修改日志文件的存储目录后，日志仍然可以被清空。下面是通过修改日志文件的访问权限来防止这种情况发生，前提是Windows系统采用NTFS文件系统格式。

右键单击驱动器D的CCE目录，选择“Properties”，切换到“Security”选项卡后，首先取消选中“Allow inheritable permissions from the parent propagate to this object”选项。然后在帐户列表框中选择“所有人”帐户，

仅授予它“读取”权限；然后点击“添加”将“系统”账户添加到账户列表框中，赋予除“完全控制”和“修改”之外的所有权限，最后点击“确定”。以便当用户清除Windows日志时，

将弹出一个错误对话框。

四、Windows日志实例分析

Windows日志中记录了许多操作事件。为了方便用户管理，每种类型的事件都被赋予一个唯一的编号，这就是事件ID。

1 查看正常开关机记录

在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。

6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止，

如果没有在事件查看器中发现某日的事件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。

2 查看DHCP配置警告信息

在规模较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，

并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件，说明该机器无法从DHCP服务器获得信息，就要查看是该机器网络故障还是DHCP服务器问题。