Windows 日志存放路径
Windows 日志文件默认位置:%systemroot%\system32\config
安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
FTP 连接日志和 HTTPD 事务日志:%systemroot%\system32\LogFiles\
日志文件的清除
在 「系统查看器」 中不能直接清除,要清除且干净,还是用第三方的工具比较好,比如 MyEventViewer。
如何打开其他电脑上的.evt 日志文件
打开 「事件查看器」(或运行中输入命令 Eventvwr.msc),找到.evt 日志文件存放路径即可打开。
注:貌似打开其他系统的.evt 文件,会提示 「日志文件损坏」,还没有找到方法。
如何分析 Windows 系统是否正常开关机
正常关机系统日志事件 ID:6006,描述:事件日志服务已停止;正常开始系统日志事件 ID:6005,描述:事件日志服务已启动。
正常情况,6005 之前紧挨着就会有 6006,如果没有,说明没有正常关机。
本机日志文件损坏的修复方法
- 禁用 「Event Log」 服务
- 重启计算机
- 删除日志文件(%systemroot%\system32\config 下的所有.evt 文件)
- 启用 「Event Log」 服务(若不能启用则重启计算机再启用)
- 完成
参考资料
- http://www.zhzxkj.cn/Article/Print.asp?ArticleID=59