事件检视器的使用介绍(一)--Windows内建的日志查看程序

今天正式进入Windows的事件检视器了，先来看懂这项工具吧，首先我们按Win+X显示功能表，再按V开起事件检视器(Windows Event Viewer)，就是这个看来很酷的讯息介面，然後他显示你的电脑有许多错误跟警告，这是正常现象，听说以前有一种诈骗就是会有人打电话过来自称是Micosoft的人员说你的电脑有问题，然後叫你打开事件检视器看一堆错误报告，最後要求你提供信用卡号资讯之类的。
Imgur

研究的理由

对於电脑无时无刻发生各种错误其实不稀奇古怪，之前看ProcessMonitor就知道其实很多程序每秒都在动作，总是会发生一些小问题，像是日志档塞满了或是一些小程序启动失败或者权限不足等等，也可能软件本身写得不好，或是我们安装软件失败之类的，那像蓝屏画面这种重大错误，甚至是硬体层面的就更会被记录在这。不过除了错误也会记录各种成功执行的事件，像是开关机，帐户验证，或是软件安装执行成功等等，各种大小事都被记录在上面，如果电脑常常当机就可以过来这里找资讯，他也是Windows内建的功能，对於一个洁癖工程师，错误当然是越少越好，有种在自行提升系统稳定性的自我感觉良好意识，所以，学习这个看懂这个检视器然後去纠正错误，可以学会自己修电脑还可以提升自我优越感，是笔者研究他的理由，帮自己的Windows debug的小小梦想，是不是可以更接近一步呢~~

妄想对自己的Windows优化兼Debug的工程师很正常吧!?

概念原理

我们的事件检视器位在%SystemRoot%\system32\路径下，他叫eventvwr.msc可以在执行对话框输入他直接呼叫，资料夹内还有个eventvwr.exe，执行他会去同一个资料夹下呼叫mmc.exe，他的全名是Microsoft Management Console，是提供副档名为.msc的管理程序运行的平台，像是前面提到的组策略编辑器等，当他被eventvwr.exe呼叫後会去运行eventvwr.msc打开Windows Event Viewer。

从1993年开始，Windows NT就提供事件日志档的纪录，对於开发人员来说日志档很重要，Windows事件检视器可以检视他纪录的特殊格式事件档，而且对这种可识别的事件都有特定的ID去指称，也开发出一些API让我们可以去产生安全稽核的事件，这些档案的位置根据登录档HKLM\SYSTEM\CurrentControlSet\Services\EventSystem各种类型的事件，有个叫file的登录值(REG_EXPAND_SZ)，会指出事件日志档的位置，大致上会在C:\Windows\System32\winevt\Logs里，他们副档名是.evtx，Windows系统的日至对应如下：

应用程序：Application.evtx
安全性：Security.evtx
Setup：Setup.evtx
系统：System.evtx

而会读取这些日志的也包括控制台里安全性与维护，有个可靠性监视器，会记录Windows更新之类的事件，严重一点的错误才会显示。
Imgur

介面介绍

在右上角有上下一页跟版面排版的配置。
Imgur

左边是各种日志的目录，对日志档按右键内容可以查看他的文件实体位置，选择将所有事件另存为…可以汇出特定格式的日志档方便我们给别人查看。
Imgur

中间的概观可以看到上次重新整理的时间，右键可以重新整理刷新他，会有一些统计资料告诉你近期的事件纪录，如果不清楚问题属於哪一个日志档可以从这里看起，点加号会展开项目双击会跳到同一种事件纪录的详细资料，下面也显示有哪些纪录档，也显示每个日志档都有他的大小限制避免占用太多空间，新的事件可以去覆盖最旧的事件，双击就会跳到那个日志档的目录。
Imgur

左边有一些动作可以执行，大概包括对档案按右键的功能，看使用者习惯也可以关闭这个页签。
Imgur

点进一个日志会看到他纪录的事件列表，下面是事件的内容，可以理解大概发生什麽，其中事件识别码很重要，要找问题就把它拿去google，他帮事件分类可以更有效率查到事件资讯。
Imgur

下面点进详细资料有两种检视模式，虽然是英文但他纪录的更详细，易阅模式的加号一样可以往下展开资料，XML格式会标高亮出来。
Imgur
Imgur
以上就是对事件检视器的概略简介，了解他的使用方式，下篇我们再来分析各日志档的内容跟类型的判别，也来看看要怎麽理解Event ID(事件识别码)的存在意义，准备好好玩玩这些奇妙的工具吧。