如果用户关心系统的安全,并且想快捷地查找出系统的安全隐患或发生安全问题的原因,则可通过Windows系统中事件查看器发现一些安全问题的苗头及已植入系统的“间谍”所在。在Windows 7系统中打开事件查看器方法为:右击桌面“计算机”图标,选择“管理”,打开“计算机管理”窗口,如下图所示,单击展开“系统工具”,然后单击“事件查看器”即可打开“事件查看器”窗口。
“事件查看器”窗口
1.事件查看器查获“间谍”实例
由于日志记录了系统运行过程中大量的操作事件,为了方便用户查阅这些信息,采取了“编号”方式,同一编号代表同一类操作事件。
(1)编号:6006(事件日志服务已停用,信息)
原因:系统因关机、重启、崩溃等原因导致日志服务被迫中止。
作用:如果用户的服务器正常是不关机的,但却出现了这个事件记录,那么就应该检查是否曾被恶意用户在本地或远程执行了重启操作。但对于个人用户来说出现这个信息则很正常,因为正常关机操作也会出现这个信息。
(2)编号:7001(服务被禁止,错误)
原因:与Computer Browser服务相依的Server服务因一些错误而无法启动。原因可能是已被禁用或与其相关联的设备没有启动。
作用:应检查系统“服务”中的Server等服务是否被关闭,例如有的单机用户为了彻底杜绝默认共享的问题,而将Server服务关闭。随后当该机进行组建局域网、访问共享资源等操作时,就会因Server服务关闭而出现这类错误。
(3)编号:6005(事件日志服务已启动,信息)
原因:每次系统启动后,日志服务均会自动启动并记载指定事件。
作用:得知日志服务工作正常与否。
2.安全日志的启用
安全日志在默认情况下是停用的,但作为维护系统安全中最重要的措施之一,将其开启显然是非常必要的,通过查阅安全日志可以得知系统是否出现过恶意入侵的行为等。
启用安全日志的具体操作步骤如下。(www.xing528.com)
STEP01:打开“运行”对话框
STEP02:打开“控制台”窗口
STEP03:添加或删除管理单元
STEP04:打开“选择组策略对象”对话框
STEP05:返回“控制台”窗口
STEP06:打开“审核账户管理属性”对话框
3.事件查看器的管理
由于日志记录了大量的系统信息,需要占用一定的磁盘空间,因此个人计算机用户应经常清除日志以减少磁盘占用量。如果觉得日志内容比较重要,则可将其保存到安全的地方。
清除日志方法一:
STEP01:打开“事件查看器”窗口
STEP02:查看提示信息
清除日志方法二:
STEP01:保存日志文件
STEP02:查看日志属性
STEP03:清除日志
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
