善用日志 让网络故障解决效率更快一些

　　要对某个日志文件中的具体内容进行查看时，其实也很简单，我们只要在图1界面的左侧列表中选中目标日志文件类型，在对应该类型日志文件的右侧列表区域中，用鼠标双击其中的某个记录选项，打开如所示的事件属性设置窗口。

　　从该设置窗口中我们能够非常清楚地看到对应记录的具体信息，如此一来我们就能直观地了解到本地工作站或服务器系统究竟发生了什么事情。

　　之前，本文曾经提到各种类型的日志文件是不允许被删除的，但都能够被清空。要清空其中的日志内容，我们可以先用鼠标右键单击事件查看器窗口左侧显示区域中的某种类型的日志文件，从弹出的快捷菜单中执行“清除所有事件”命令，就能将指定类型的日志文件全部清空了。除此而外，我们还能将日志文件中的内容导出成为普通的txt格式文件或csv格式的文件。

　　许多时候，一些非法攻击者常常会想方设法地清空工作站或服务器系统中的日志文件，以便及时将它们入侵目标工作站或服务器系统的各种证据全部毁灭掉，如此一来网络管理员就不能从系统的各种日志文件中，快速找到网络故障的根源或者系统存在的安全隐患了。事实上，系统的日志文件中可能会清楚地记录下，究竟是哪个IP地址、在什么时候对本地系统进行了什么攻击行为，网络管理员只有全力以赴地保护好系统的各种日志文件，才能有效地使用日志文件来提升网络故障的解决效率。

　　备份转移日志文件

　　由于一些精明的非法攻击者都知道各种日志文件默认的保存位置，他们常常会利用专业工具来对系统中的目标日志文件进行修改，以便将攻击过程中遗留下来的“痕迹”抹除干净，那样的话网络管理员就无法及时知道目标系统存在安全隐患或网络故障的原因了，为此我们有必要对日志文件的保存位置进行一下修改，同时采取适当措施保护日志文件的安全。

　　首先我们可以将日志文件转移到其他位置处，让非法攻击者找不到日志文件。在转移日志文件之前，我们先要找到默认位置处的日志文件;由于Windows系统安装路径不同，系统日志文件的保存位置也不同，在寻找日志文件默认位置时，我们不妨在所示的事件查看器窗口中。

　　用鼠标右键单击其中的某种类型日志文件，并执行快捷菜单中的“属性”命令，打开如所示的属性设置窗口。

　　在这里我们会发现系统日志文件的保存位置为“C:\WINDOWS\system32\config\SysEvent.Evt”;同样地，我们还能找出安全日志文件的保存位置为“C:\WINDOWS\System32\config\SecEvent.Evt”，应用程序日志文件的保存位置为“C:\WINDOWS\system32\config\AppEvent.Evt”。

　　找到各种日志文件的默认保存位置后，我们假设需要将它们转移到F:\backup目录中时，可以先将上面的三个文件全部拷贝到F:\backup目录中，之后修改系统注册表，以便做好系统与日志文件的关联。在拷贝各种类型的日志文件时，我们只要先进入本地系统的资源管理器窗口，并进入到日志文件的原始目录窗口，比方说我们在这里只要打开“C:\WINDOWS\System32\config”目录窗口就可以了。

　　接着选中该窗口中的“SysEvent.Evt”、“SecEvent.Evt”、“AppEvent.Evt”这三个文件，并用鼠标右键单击处于选中状态的文件，从弹出的快捷菜单中执行“复制”命令;下面再打开新目录窗口，在这里我们只要打开“F:\backup”目录窗口就可以了，然后在该窗口的空白位置处单击鼠标右键，并执行快捷菜单中的“粘贴”命令，这样一来服务器系统的三个日志文件就全部被拷贝到新目录窗口中了。

服务器系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入注册表编辑命令“regedit”，单击回车键后，打开系统的注册表编辑窗口;在该编辑窗口的左侧列表区域，用鼠标双击“HKEY_LOCAL_MACHINE”注册表子键，在随后展开的注册表分支下面依次选择“SYSTEM”、“CurrentControlSet”、“Services”、“Eventlog”项目，在对应“Eventlog”项目下面我们会看到“System”、“Security”、“Application”这三个选项，其实它们分别对应了服务器系统的系统日志文件、安全日志文件以及应用程序日志文件;

　　现在我们以修改系统日志文件关联为例，来向各位介绍一下日志文件关联设置的修改方法;在对应“System”注册表项目的右侧显示区域中，用鼠标双击“File”键值，在其后弹出的数值设置对话框中，将“F:\backup\SysEvent.Evt”字符串内容拷贝到“数值数据”文本框中，最后单击“确定”按钮;同样地，我们可以将“Security”、“Application”下面的“File”键值依次修改为“F:\backup\SecEvent.Evt”、“F:\backup\AppEvent.Evt”，最后重新启动一下本地系统，就能使各种类型的日志文件关联设置生效了。

　　完成了日志文件存放位置的转移任务后，日志文件中的内容还是可以被清空的;此时，我们不妨通过修改日志文件的访问权限，来制止非法攻击者企图毁灭证据的事情发生，当然这需要日志文件处于NTFS格式的磁盘分区中才行。

　　例如，我们可以用鼠标右键单击“F:\backup”目录，从弹出的快捷菜单中选择“属性”选项，打开对应目录的属性设置窗口;单击该设置窗口中的“安全”标签，并将对应标签页面中的“允许将来自父系的可继承权限传播给该对象”选中状态取消，同时从“组或用户名称”列表框中选中everyone帐号，并将该帐号的访问权限设置为“读取”。

　　紧接着，单击“添加”按钮，将system帐号添加到“组或用户名称”列表框中，再将system帐号的访问权限依次设置为“读取”、“写入”、“读取和运行”，最后单击“确定”按钮完成“F:\backup”目录的访问权限设置操作。如此一来，当有非法攻击者企图清空本地系统中的日志文件时，系统将会自动出现错误对话框。

　　善用日志解决故障

　　现在，我们就从实践角度出发，来为各位朋友详细介绍如何巧妙使用系统自带的日志文件，来高效、快捷地解决网络故障，从而有效地提高网络管理效率。

　　1、寻找无法上网访问原因

　　在组网规模相对大一些的局域网环境中，网络管理员常常会考虑使用DHCP服务器来为局域网中的每一台工作站来自动分配IP地址，以便提高地址分配效率。要是普通工作站无法从DHCP服务器那里获得有效的IP地址时，Windows系统将会自动使用一个内部的静态保留地址分配给普通工作站，同时会在系统的日志文件中产生一个ID标识号码为1007的事件记录。

　　日后我们发现普通工作站不能上网访问时，不妨打开本地系统的事件查看器窗口，从中找到系统日志文件，并仔细查看该日志文件中是否存在一个ID标识号码为1007的事件记录，要是我们看到了该事件记录，那么我们就能确认本地工作站系统无法从局域网的DHCP服务器那里得到有效的IP地址，此时我们应该重点检查局域网中的DHCP服务器工作状态是否正常;在确认DHCP服务器工作状态正常的前提下，我们就需要仔细检查普通工作站与DHCP服务器之间的物理连接是否畅通，相信这么一来我们就能很快解决无法上网访问的故障现象了。

　　2、寻找网络登录失败原因

　　对于QQ、MSN Messenger之类的应用程序来说，它们都有自己的日志文件，来记录对应应用程序的网络连接问题，我们可以巧妙地利用这种类型的日志文件来寻找网络登录失败原因。

　　例如，要是我们在登录QQ时遇到了登录失败提示时，可以单击提示窗口中的“详细信息”按钮，从其后的信息提示中我们发现QQ应用程序在尝试着与多个TCP服务器或UDP服务器进行连接，不过每个连接都显示为域名解析不成功，从而引起登录失败故障;此时，我们再单击提示窗口中的“疑难解决”按钮，随后QQ程序就会自动对网络连接进行诊断，根据诊断过程，我们能够判断出IP地址的测试是否能够通过，默认网关的检测是否通过;如果显示默认网关无法通过检测时，那多半是本地工作站与网关之间的物理连接出现了问题，此时我们可以重点对本地工作站的物理连通性进行检查，相信这么一来网络登录失败的故障现象就能快速被解决了。