Server 2008 R2 事件查看器实现日志分析
在 windows server 2008 R2 中,可以通过点击 "开始" -> "管理工具" -> "事件查看器" ,来打开并查看各种类型的系统内置日志记录;让我们来做一个实际练习:使用事件查看器检查各种帐户的登录事件,包括系统内置的特殊帐户,以及大家熟悉的administrator 管理员帐户。
一般而言,在启动服务器后,一个叫做 winlogon.exe 的进程会先以
NT AUTHORITY\SYSTEM (帐户域\帐户权限)登录,然后
进入要求用户键入ctrl + alt + del 并输入帐密的登录界面,此时,winlogon.exe 检查并验证用户的输入,通常的做法是将用户键入的密码以某种哈希算法生成密文,将其与SAM 数据库文件中的密文进行比对,如果一致则该账户通过验证并登录,然后赋予相应的权限。
所有这些过程都会被记录进系统内置的"安全"类型日志,可以通过事件查看器浏览;
除了 winlogon.exe 进程外,其它一些系统进程也会在用户登录前,使用特殊帐户先行登录。这些登录事件同样可以在事件查看器中一览无遗,
(例如,一个叫做 services.exe 的系统服务进程,使用 NT AUTHORITY\SYSTEM (帐户域\帐户权限)登录,然后它会创建数个 svchost.exe子进程,而每个 svchost.exe 进程都会启动并纳宿一些基本的windows 服务,而许多用户空间的应用程序将使用这些服务,实现它们的功能)
下面结合图片讲解事件查看器在这两个场景中的应用:
一,首先按照上述步骤打开事件查看器,在左侧窗口中展开 "Windows 日志"节点,选取"安全"项目,此时在中间的窗口会列出自系统安装以来,记录的所有安全事件,假设我们要查看最近24 小时以内的帐户登录与验证,审核,权力指派等事件,可以在"安全"项目上右击鼠标,在弹出的上下文菜单中选择"筛选当前日志(L)"
二,在打开的对话框中,切换到"筛选器"标签,在"记录时间(G)"右侧的下拉列表中,选择"近24 小时",然后点击下方的确定按钮
三,显示出筛选的结果,下面这张图显示了在24 小时内纪录的73 项安全事件(Microsoft Windows 安全审核是准确的称呼),你可以按照日期与时间列排序事件,或者按照事件ID,任务类别(我觉得翻译成事件类别会比较好理解)来排序时间,
我们关注的是"登录"与"特殊登录"事件,因此需要选择以任务类别排序.
下图中没有按照任务类别排序,而是默认按照日期与时间排序,其优点是,可以追踪在系统启
动过程中,哪个系统进程使用哪个系统内置帐户登录,并且可以直观地看出它们之间的先后次序.
通过上面的分析,你是否已经直观地感受到事件查看器的强大功能?
下面让我们再看另一个例子:使用事件查看器浏览,因远程过程调用(RPC)服务启动失败,导致我们无法以管理员登录windows server 2008 R2 的事件记录.
先纠正一个普遍存在的错误理解;
RPC 监听在本地环回(127.0.0.1)地址的135 端口,出于安全考虑,很多人会将这个端口关闭,以阻止蠕虫病毒与攻击者入侵,但是我们会发现这个地址上的135 端口始终关不掉而因此忧心忡忡;
其实,127.0.0.1:135 是必须的,如果该端口不打开,则说明RPC 服务没有启动,从而导致很多依赖RPC 的其它系统服务无法启动,
再说,除非你手动通过 services.msc 服务管理器来禁用它,否则通过其它手段是很难关闭的(包括修改注册表键值),
我们真正应该关闭并警惕的,是那些监听在非本地环回的135 端口,例如192.168.0.1:135 ,因为这个地址是可以与远程主机的地址通信的,攻击者可以扫描监听在这个地址端口上的程序漏洞,并远程执行恶意代码(通过Metasploit即可办到),从而入侵我们的服务器.
如果关不掉,也可以使用windows 高级防火墙来禁止该地址端口上的出入站流量.
总之,本地环回的135 端口是必须打开的,这并非是恶意软件,木马程序开放的端口,否则你连windows 桌面都无法登录.
如果无法登录windows server 2008 R2 服务器的桌面,并且系统提示RPC 服务启动失败,无法读取用户profile ,那么可以进入安全模式,运行 services.msc ,找到其中的 Remote Procedure Call (RPC) 以及 RPC Endpoint Mapper(RpcEptMapper) ,将这两个服务设置为自动启动,然后运行msconfig ,
在"服务"标签中,确保勾选了 RPC Endpoint Mapper ,点确定后重启系统,以正常模式进入,应该就能用管理员账户登录了.
下图给出了一个事件查看器中的一项RPC 服务启动失败信息:
解决“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。” 提示:jpg文件没有问题,win7照片查看器原来可以打开jpg图片,现在却不能打开。jpg文件已真的损坏不在此文讨论之列。 网上有很多人都遇到过这个问题,有人提出修改文件类型关联,这个太小儿科了,大多数人提出的方法是用其他的软件看图,其实是回避了这个问题。有人提出是联网的问题,也有人说通过修改环境变量来解决这个问题,但是并不是能解决所有人的问题。看来大家见到的错误提示是一样的,但是原因不同。通过自己认真检查和实践,终于解决了这个问题,希望能给有相同原因的朋友一个正确的解决方法。 我的情况是这样的:(很多人没有将自己的情况描述清楚) 开机后,还未连上网络的情况下,用照片查看器无法打开任何jpg图片,出现提示“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。”其实jpg文件没有任何问题,用其他的软件照样可以看的。 在获取IP地址后,可以上网了,再用照片查看器就可以打开之前无法打开的jpg图片了。此时再次断网,用照片查看器仍可以正常看jpg图片。似乎照片查看器要在开机后联网进行某种注册,完成这个动作后就可以正常工作了,也不在乎网络的存在了。 (回想起来,之前我的本本所带的Ms office试用版在不上网的情况下也无法打开任何word、excel文件,后来就卸载了MS office,改用WPS。) 我安装的MS visio2010也出现同样的问题,开机后,还未连上网络的情况下,无法打开之前所作的任何vsd文件。联网之后就可以正常使用了。 我的电脑情况是这样的: 系统:win7pro32bits 本本:i7-2620m,8G RAM,其中系统无法使用的4G多RAM做了虚拟硬盘G:,为了减少对SSD硬盘的写入,将临时文件都放入RAMDISK g:中,在环境变量中修改参数。 环境变量: 用户变量(U) TEMP g:\AppData\Local\Temp TMP g:\AppData\Local\Temp 系统变量(S) TEMP g:\TEMP TMP g:\TEMP 通过认真检查发现,在开机之后,还未联网的情况下,G:盘上只有g:\TEMP,没有g:\AppData\Local\Temp这个文件夹,联网之后才出现这个文件夹。于是将用户变量做以下修改: TEMP g:\Temp TMP g:\Temp 拔掉网线,关机,开机,在不联网的情况下可以用照片查看器打开jpg图片,也可以用visio打开vsd文件了。问题解决! 环境变量的设置方法:计算机→右键→属性→高级系统设置→环境变量
一、事件查看器相关知识 1.事件查看器 事件查看器是 Microsoft 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视操作系统中的安全事件。有三种方式来打开事件查看器: (1)单击开始-设置-控制面板-管理工具-事件查看器,打开事件查看器窗口 (2)在运行对话框中手工键入%SystemRoot%system32eventvwr.msc /s打开事件查看器窗口。 (3)在运行中直接输入eventvwr或者eventvwr.msc直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。 (3)系统日志 包含 XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动时,事件日志服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了操作系统对事件的分类。事件查看器显示如下类型的事件:
请注意:系统仅支持IE浏览器和搜狗浏览器,不支持360等其他浏览器 一:将报表网地址添加到可信站点 二:调整受信任站点安全级别 三:设置浏览器访问选项 四:(可选)IE8 及以上需调整”启用内存保护以减少联机攻击” 五:(可选)录入控件安装 六:(可选)搜狗浏览器设置 七:(可选)Windows7的设置 一:将报表网地址添加到可信站点 打开IE浏览器窗口 第一步:工具-> Internet选项->安全,点击->受信任站点->站点,将网址添加到受信任站点中,同时将“对该区域中的所有站点要求服务器验证的(https:)”前的√去掉(图1-2),点击确定。如图1-1所示: 图1-1
图1-2 二:调整受信任站点安全级别 点击图1-1下面的“自定义级别”,在“重置自定义设置”中选择“安全级--低”,点击重置,再点击确定。如下图1-3所示: 图1-3
三:设置浏览器访问选项 点击工具->Internet选项->常规->浏览历史记录->设置->internet临时文件,将检查所存网页的较新版本设置为“每次访问网页时”。 四:(可选)IE8 及以上需调整”启用内存保护以减少联机攻击” 点击工具->Internet选项->高级->安全,找到选项“启用内存保护以减少联机攻击”,去掉它前面的√,点击确定。
五:(可选)录入控件安装 系统首页中下载“录入控件安装.zip”,进行解压缩后安装。安装成功后关闭浏览器重新登录。 六:(可选)搜狗浏览器设置 搜狗浏览器需要设置3处:皮肤、兼容浏览模式、默认下载方式 工具-更换皮肤-搜狗浏览器ie经典版 工具- 搜狗浏览器选项–高级–浏览器模式选择策略-默认使用兼容模式 工具- 搜狗浏览器选项–下载–默认下载方式IE下载 七:(可选)操作系统Windows7设置 如果使用的操作系统是Windows7,请按照以下说明操作 1)打开C盘,找到C:\Program Files\Internet Explorer这个路径下 2)找到右键点击“以管理员身份”运行 3)按照上面描述的一、二、三项进行浏览器设置即可
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
Windows登录类型 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗? 不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。 登录类型2:交互式登录(Interactive) 这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。 登录类型3:网络(Network) 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。 登录类型4:批处理(Batch) 当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。 登录类型5:服务(Service) 与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
如何在事件查看器里查看故障代码 在现场维修时,我们常常会遇到手上没有KEY盘,但是为了准确找到故障点,急需详细故障代码的情况。本文的目的就是介绍在没有KEY盘的情况下,查看NCR ATM故障代码之方法。 首先,我们需要进入WINDOWS系统的事件查看器。 方法一在开始菜单的运行里面,输入“eventvwr”,敲击回车进入事件查看器。 方法二开始菜单(start)—控制面板(control panel)— —管理工具(administrative tools)—事件查看器(event viewer)。 进入事件查看器后,在左边选择“应用程序(application)”,右边会列出事件清单。 如图所示: 如果“来源(source)”一项里是“NCR Platform”则表示该事件为NCR的事件报告。一般我们需要关注的是“错误(ERROR)”与“警告(W ARNING)”两个级别的事件。 选定其中的一个事件,敲一下回车,就会弹出事件的详细描述。如下图所示:
定位码 在该事件的描述中,包含了详细的故障信息。 其中Device 表示设备 Mstatus 表示主故障代码 Slen 表示S码长度(与我们无关) Mlen 表示故障定位码长度(需减2) 在对话框下方的数据池为各类从代码(16进制)。 因为在此例中Slen=5,Mlen=12,表示前5个字节为S码,从第6个字节开始为定位码M_data,长度为12-2=10字节,如图所示。 查阅故障代码表,我们可以很清晰地找出相应的故障点——出钞模块未安装废钞箱。 再举一个例子,如图所示:
定位码 在此例中,设备为热敏流水打印机,故障主代码Mstatus=7。 因为Slen=1,Mlen=6,表示数据池前一个字节为S码,从第2个字节开始为定位码M_data 长度为6-2=4字节,也就是说定位码是40 00 00 02。 查阅故障代码表,可知流水打印机送纸堵塞。
搜狗高速浏览器安装使用协议 "搜狗高速浏览器"是由搜狗公司提供的客户端软件和相关的网络服务。用户在安装"搜狗高速浏览器"前应仔细阅读本服务协议,只要用户安装"搜狗高速浏览器",即表明用户已经完整准确地了解了本协议所有约定,并同意接受本协议的全部条款。 一.关于知识产权保护 "搜狗高速浏览器"受国际版权公约、中华人民共和国著作权法、专利法、及其他知识产权方面的法律法规的保护,其所有知识产权归搜狗公司所有和享有。用户需承认搜狗公司拥有对"搜狗高速浏览器"的所有权利,包括但不限于所有知识产权。"知识产权"包括在专利法、版权法、商标法、反不正当竞争法中等法律规定的任何和所有权利、任何和所有其它所有权以及其中的任何和所有应用、更新、扩展和恢复。 用户不得修改、改编、翻译"搜狗高速浏览器",或者创作"搜狗高速浏览器"的派生作品,不得通过反向工程、反编译、反汇编或其他类似行为获得"搜狗高速浏览器"源代码,否则由此引起的一切法律后果由用户负责,搜狗公司将依法追究违约方的法律责任。 用户不得恶意修改、复制、传播与"搜狗高速浏览器"相关的材料。如果用户复制和修改传播这些材料,因此而造成对其他人的损害,或者造成对搜狗公司形象损害,要承担相应的法律责任。用户不得删除、掩盖或更改搜狗公司的版权声明、商标或其它权利声明。 二.义务和责任限制 搜狗公司免费授权用户非商业性使用"搜狗高速浏览器"软件,并为用户提供升级更新和提供有关网络服务。这意味着用户可以自主选择安装或卸载并免费使用或停止使用"搜狗高速浏览器",及免费使用搜狗公司提供的有关网络服务。用户可以非商业性地复制和散发"搜狗高速浏览器"。但是如果要进行商业性的销售、复制、散发或其他商业活动,例如软件预装和捆绑,必须事先获得搜狗公司的书面授权和许可。另外,用户在使用"搜狗高速浏览器"时,不得损害、妨碍、影响、禁用搜狗的网络服务,也不得影响任何其它方享用搜狗的网络服务,不得有违反法律、危害网络安全或损害第三方合法权益之行为,否则由此产生的后果均由用户自己承担,搜狗公司对用户不承担任何责任。 用户理解并同意自主选择免费下载和使用"搜狗高速浏览器",风险自负,包括但不限于用户使用"搜狗高速浏览器"过程中的行为,以及因使用"搜狗高速浏览器"而产生的一切后果。如因下载或使用"搜狗高速浏览器"而对计算机系统造成的损坏或数据的丢失,用户须自行承担全部责任。在法律允许的最大限度内,搜狗公司明确表示不做出任何明示、暗示和强制的担保,包括但不限于适销性、针对特定用途的适用性以及不侵犯所有权的担保。搜狗公司不做出任何与"搜狗高速浏览器"的安全性、可靠性、及时性和性能有关的担保。搜狗公司有权在任何时候,暂时或永久地变更、中断或终止"搜狗高速浏览器"或其中任何一部分。搜狗公司对本服务的变更、中断或终止,对用户和任何第三人均不承担任何责任。 用户可以向搜狗公司提出咨询和获得"搜狗高速浏览器"相关的合理技术支持,搜狗公司的此项义务不应超过搜狗公司的合理承受限度。如果用户对"搜狗高速浏览器"有任何意见,或有如何改进的建议,请使用"用户反馈"功能发表您的意见或建议。 三.无担保声明及隐私政策
搜狗高速浏览器3.2 一.优点 1.搜狗高速浏览器双核加速引擎,可以智能的切换浏览器的浏览模式,高速模式可以加速打开浏览,兼容模式可以更佳兼容正常浏览网页。 2.防假死功能采用多任务异步浏览的技术,实现在某个页面出错崩溃或者失去响应时不会影响其他页面的正常浏览。 3.预连接和预读取功能,瞬间打开网址链接。 4.全网加速,提升网通,电信,教育网互访速度。 5.网速保护,保证下载,看视频时还能高速浏览网页。 6.高速下载,不耗资源,可提升下载速度1.5倍,并且用户还能方便的选择其他的下载方式进行下载。 7.网页安全卫士对网购欺诈网址实时监测、瞬间拦截,避免网购上当。同时支持对网银、支付等相关网站的网址认证功能,帮助有效识别。 8.网页安全卫士有效防止网页中的病毒木马通过浏览器入侵电脑。 9.隐私浏览模式可以安全隐私的浏览网页,保护用户隐私。 10.自动获取所关注网页的新内容,支持各类主流网站。 11.网络账户可以轻松一键登录,支持QQ号,人人账号,淘宝账号和搜狗账号。 12.多标签浏览,且可以在标签上滚动鼠标滚轮迅速找到所有看的网页,更方便快捷,在标签右键还可以对其进行管理操作。 13.撤销列表功能可找回最近关闭的网页,不必担心误操作。 14.搜狗智能填表功能能够记忆曾使用过的个人信息,并在再次访问该网站时在相应的表格中智能匹配上,用户还可以在浏览器选项中,对该信息进行编辑,比较方便。 15.广告过滤功能拦截弹窗广告、漂浮广告等,保证了整洁干净的网页界面。 16.独立网页视频播放器能将视频(或者游戏)从网页中提取出来,并支持随意拖动、缩放及置顶,方便用户一边看网页视频(或玩游戏)一边浏览网页新闻。 17.可以按照浏览时间或者站点域名对历史记录进行分类查看,同时允许按照关键词对历史记录进行搜索,更方便快捷。 18.搜狗网页静音功能可以单独关闭网页中的声音,方便用户边听音乐,边浏览网页。 19.支持在浏览器中设置多个代理服务器地址,高级代理管理中的代理测速功能还可以方便测算每个添加过的代理服务器的访问速度,以便您选择最快的代理设置。 20.各种鼠标手势,操作方便快捷。比如:按住鼠标右键在页面中轻轻一划,即可快速对网页进行操作(例如关闭、刷新、前进、后退等等),大大提高了用户浏览网页的速度。 21.用鼠标快捷拖拽选中的关键字,可迅速在新网页中进行搜索。 22.搜狗提供网址自动补全功能,智能补全您可能希望访问的网址,让上网冲浪更轻松。 23.支持Windows7所特有的任务栏预览、快速跳转、下载进度预览、任务栏状态图标等新特性。 24.搜狗地址栏支持输入网站关键字或网站名称,实时从搜索引擎返回网址搜索结果,方便迅速的找到所要访问的网站。 25.搜狗提供的皮肤盒子可让用户使用更炫酷的浏览器皮肤,并且支持对浏览器皮肤自由更换背景,数十款皮肤与数百款背景自由搭配,打造最个性化的浏览器外观。 26.搜狗提供了五种主页模式:包含各类精品网站地址的“网址大全”、帮您迅速访问最常访问网站的“我的最爱”、包含各类搜索的“全能搜索”、自定义的主页地址以及空白页,用户可以根据自己的实际需求自由选择其中的一种作为您的主页。 27.搜狗网络账户可自动保存并同步网页收藏、网址记录、用户设置等用户数据,支持数据
Windows2003 事件查看器事件ID对应解释 使用本模块可以实现下列目标: ?识别由Microsoft? Windows Server? 2003 操作系统生成的安全事件。 返回顶部 适用范围 本模块适用于下列产品和技术: ?W indows Server 2003 返回顶部 如何使用本模块 本模块是“Windows Server 2003 安全指南”的补充内容。本模块中的表可以用作快速参考,以帮助您识别在Microsoft? Windows 操作系统事件日志中所记录的与安全有关的事件。本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。 返回顶部 帐户登录事件 表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 表1:审核帐户登录事件 事件 事件描述 ID 672 已成功颁发和验证身份验证服务(AS) 票证。 673 授权票证服务(TGS) 票证已授权。TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 674 安全主体已更新AS 票证或TGS 票证。 675 预身份验证失败。用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。 676 身份验证票证请求失败。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 677 TGS 票证未被授权。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 678 帐户已成功映射到域帐户。 681 登录失败。尝试进行域帐户登录。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 682 用户已重新连接至已断开的终端服务器会话。 683 用户未注销就断开终端服务器会话。
巧用事件查看器维护服务器安全 (一)事件查看器相关知识 事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人 员维护系统有一定的借鉴和参考。 (一)事件查看器相关知识 1.事件查看器 事件查看器是Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查 看器: (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口 (2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。 (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响 应。 (3)系统日志 包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了Windows 操作系统对事件的分 类。事件查看器显示如下类型的事件:
事件查看器事件处理集 打开事件查看器,发现里面有如下的系统错误日志: DCOM 遇到错误“无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动。”,试图以参数“”启动服务StiSvc 以运行服务器: {A1F4E726-8CF1-11D1-BF92-0060081ED811} 这个日志已经告诉我们了,错误就出在DCOM的权限上。原来以WindowsForm或在VS2005中的Web项目运行的时候,调用这个DCOM的是当前操作用户的权限,所以一般也没有问题,但是用IIS调用的时候就涉及到用户IUSR_××××,IWAM_×××,Network Service 等用户权限,由于这些用户的权限在各个配置中都比较低,所以造成如文件不能写入,DCOM 不能调用等错误。 我们这儿的解决办法其实也不复杂,到注册表中搜索提示的{******-*****}这个ID,可以找到这个DCOM的名字,然后运行中输入dcomcnfg打开组件服务,然后找到这个DCOM和相关调用的DCOM,将其权限中添加Network Service,把这个用户权限什么远程启动,远程激活之类的都打开。然后记住一定要重启机器,这样我们就可以在IIS中调用DCOM了。 错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。”,试图以参数“”启动服务SENS 以运行服务器: Windows2000+SP4环境,系统做过优化,有时候发现系统在无操作的时候磁盘在读盘.于是查询系统日志,有以下信息 1.错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。”,试图以参数“”启动服务SENS 以运行服务器: {D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E} 2.错误ID:10005,错误信息:DCOM 遇到错误“依存服务或组无法启动。”,试图以参数“”启动服务BITS 以运行服务器: {4991D34B-80A1-4291-83B6-3328366B9097} 因为本身系统服务做过优化,所以从服务出手,但是该动的服务太多了,不知道哪个是哪个了,于是驱猫上网搜索资料,终于找到原因. SENS(System Event Notification Services ),BITS(Background Intelligent Transfer Service)服务被我设置成禁止了,如果把这两个服务改回到自动状态,就没有这个问题了。ps:这2个系统服务都有依存关系的服务,如果发现无法启动这个服务要去检查是不是依存的服务也被你关闭了哦~
Win10怎么把图片打开方式恢复默认照片查看器方法二: Win10怎么把图片打开方式恢复默认照片查看器?想必大家已经将自己电脑上的系统升级为Win10系统了。在Win10系统中有一个最不方便的地方就是图片的打开方式为全新的应用,如果想恢复传统的照片查看器该怎么操作呢?全新安装Win10的用户一般会遇到这个问题,而从Win7/Win8/Win8.1旧版本系统升级到Windows10正式版的用户一般不会遇到。 1、首先,我们需要使用注册表编辑器来开启Win10系统照片查看器功能,因为其实这个功能是被隐藏了,那么按下Windows徽标键+R键,打开运行命令窗口,输入“regedit”命令。
2、打开注册表编辑器之后,我们双击左侧的目录,依次打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft目录,如下图所示。
3、在Microsoft目录下,我们需要找到 Windows Photo Viewer\Capabilities\FileAssociations目录项,直到看到该子目录下的一系列关键文件。
4、在FileAssociations目录下,我们对着该界面击右键,选择“新建-字符串值”菜单,如下图所示。
5、接下来就是比较关键的步骤了,如果你想要打开.jpg后缀的文件,那么数值名称要写为.jpg,数值数据写为“PhotoViewer.FileAssoc.Tiff”,如下图所示,然后点击“确定”按钮。 6、接下来,如果你想要使用Windows照片查看器查看.png后缀的文件,那么数值名称写为.png,数值数据还是为PhotoViewer.FileAssoc.Tiff。换句话说,只要你想更改任何格式的图片文件打开方式,那么数值名称就是.格式名称,数值数据一直为PhotoViewer.FileAssoc.Tiff。
0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足,无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不足,无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20 系统找不到指定的设备。 21 设备未就绪。 22 设备不识别此命令。 23 数据错误(循环冗余检查)。 24 程序发出命令,但命令长度不正确。 25 驱动器找不到磁盘上特定区域或磁道。 26 无法访问指定的磁盘或软盘。 27 驱动器找不到请求的扇区。 28 打印机缺纸。 29 系统无法写入指定的设备。 30 系统无法从指定的设备上读取。 31 连到系统上的设备没有发挥作用。 32 另一个程序正在使用此文件,进程无法访问。 33 另一个程序已锁定文件的一部分,进程无法访问。 36 用来共享的打开文件过多。 38 已到文件结尾。 39 磁盘已满。 50 不支持请求。 51 Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。如果 Windows 仍然无法找到网络路径,请与网络管理员联系。 52 由于网络上有重名,没有连接。请到“控制面板”中的“系统”更改计算机名,然后重试。 53 找不到网络路径。 54 网络很忙。
55 指定的网络资源或设备不再可用。 56 已达到网络 BIOS 命令限制。 57 网络适配器硬件出错。 58 指定的服务器无法运行请求的操作。 59 出现了意外的网络错误。 60 远程适配器不兼容。 61 打印机队列已满。 62 服务器上没有储存等待打印的文件的空间。 63 已删除等候打印的文件。 64 指定的网络名不再可用。 65 拒绝网络访问。 66 网络资源类型不对。 67 找不到网络名。 68 超出本地计算机网络适配器卡的名称限制。 69 超出了网络 BIOS 会话限制。 70 远程服务器已暂停,或正在启动过程中。 71 已达到计算机的连接数最大值,无法再同此远程计算机连接。 72 已暂停指定的打印机或磁盘设备。 80 文件存在。 82 无法创建目录或文件。 83 INT 24 上的故障。 84 无法取得处理此请求的存储空间。 85 本地设备名已在使用中。 86 指定的网络密码不正确。 87 参数不正确。 88 网络上发生写入错误。 89 系统无法在此时启动另一个进程。 100 无法创建另一个系统信号灯。 101 另一个进程拥有独占的信号灯。 102 已设置信号灯,无法关闭。 103 无法再设置信号灯。 104 无法在中断时请求独占的信号灯。 105 此信号灯的前一个所有权已结束。 107 由于没有插入另一个软盘,程序停止。 108 磁盘在使用中,或被另一个进程锁定。 109 管道已结束。 110 系统无法打开指定的设备或文件。 111 文件名太长。 112 磁盘空间不足。 113 没有更多的内部文件标识符。 114 目标内部文件标识符不正确。 117 应用程序发出的 IOCTL 调用不正确。 118 验证写入的切换参数值不正确。 119 系统不支持请求的命令。
在Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志,您可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助您预测潜在的系统问题。 事件日志类型 基于Windows XP 的计算机将事件记录在以下三种日志中: 应用程序日志 应用程序日志包含由程序记录的事件。例如,数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。 安全日志 安全日志记录有效和无效的登录尝试等事件,以及与资源使用有关的事件(如创建、打开或删除文件)。例如,在启用登录审核的情况下,每当用户尝试登录到计算机上时,都会在安全日志中记录一个事件。您必须以Administrator 或Administrators 组成员的身份登录,才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。 系统日志 系统日志包含Windows XP 系统组件所记录的事件。例如,如果在启动过程中未能加载某个驱动程序,则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记录的事件。 如何查看事件日志 要打开事件查看器,请按照下列步骤操作: 单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。或者,打开包含事件查看器管理单元的MMC。 在控制台树中,单击“事件查看器”。 应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。 如何查看事件详细信息 要查看事件的详细信息,请按照下列步骤操作: 单击“开始”,然后单击“控制面板”。单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。或者,打开包含事件查看器管理单元的MMC。 在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。 在详细信息窗格中,双击您要查看的事件。 会显示“事件属性”对话框,其中包含事件的标题信息和描述。 要复制事件的详细信息,请单击“复制”按钮,使用要在其中粘贴事件的程序(例如Microsoft Word)打开一个新文档,然后单击“编辑”菜单上的“粘贴”。 要查看上一个或下一个事件的描述,请单击上箭头或下箭头。 回到顶端
《搜狗浏览器--插件》开发指南 创建一个以名为《Hello World》的扩展, 主要分为以下几步: 1. 创建一个名为helloworld的目录, 2. 在目录中创建名为manifest.xml的文件,并写入以下内容(需注意,manifest.xml需使用UTF-8无BOM头方式编码)
request_api_version值为扩展需要用户浏览器api_version的最小值。如果api_version大于用户浏览器本身的 api_version,则扩展无法安装。 author为扩展作者的名字 3. 将名为default.ico(16*16)以及default-big.png(32*32)的图标文件放到文件夹中。最好都是32位色,以达到最佳显示效果。 4.扩展打包将扩展目录中的所有文件压缩为一个zip文件,并且将后缀名改名为.sext,在搜狗浏览器中双击即可安装 5.找到安装后的扩展安装后扩展会被安装在搜狗浏览器数据目录中的Extension目录中(通常为%appdata%\SogouExplorer\Extension\)。找到对应你的扩展id的目录,即为扩展的安装目录。后续的开发调试可以在这个目录中进行 6.为扩展添加点击弹出气泡的功能编辑扩展安装目录中的manifest.xml,并为extensio n标签添加popup子标签,添加后如下.并在目录中创建名为popup.html的文件。
【解决】Windows 照片查看器无法打开此图片.因为此文件可能已损坏.损毁或过大【问题】 (2011-03-30 23:09:59) 转载▼ 很多人问环境变量在那设置:右击"我的电脑"--高级--环境变量里面有用户变量和系统变量 windows7 右击“计算机”--点击【高级系统设置】--高级-环境变量! 前些几天用电脑出现了如下的问题: Windows 照片查看器无法打开此图片.因为此文件可能已损坏.损毁或过大 当然照片本身没有任何问题!而且可以在幻灯片模式下进行查看(就是中间那个小按钮)为了让大家看清楚,我特意又重新修改了一些东西,截下了这张图,相信有不少人遇到过这个问题!之前我遇到这个问题的时候,本着有事上百度的原则,发现了好多人出现过这个问题,可是到目前为止网上还没出现任何真正解决这个问题的办法~很多人建议使用其他的软件之类的,但是于我们来讲出现了问题不去解决总是不舒服的,至少就为曾经的困惑以及到现在依然存在的困惑,也应该去解决它,是不? 那么下面就由我全互联网首创解决此问题! 先说下我出现这个问题的当时环境,我是突然出现的,照片查看器就不可以用了!出现了图片所示如上情况,抓狂ing,百度竟然没有真正的解决方法! 之前用MATLAB安装时用到了“环境变量”这个东西,这段时间在学习Java,我想学Java 的人都会遇到关于修改环境变量这个问题,因为开始也不是很明白,所以在环境变量里面捣
鼓了很久,多多少少修改了一些东西,等修改完照片查看器就不可以用了,我就开始回想修改了什么东西,我修改了环境变量TMP(下图) 这时照片查看器就不可用了。至于怎么解决,把它改过来就好了,修改环境变量TMP值 (见图) 此时你再用照片查看器,惊喜的发现一张张美图不需要其他的软件就可以浏览啦...哈哈
https://www.doczj.com/doc/797989884.html,将事件查看器中的事件及其消息导出的代码如下: Public Class Form1 '将事件查看器中的事件及其消息导出到外部日志文件中 Private Sub button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles button1.Click Try If (System.IO.File.Exists("MyEventsLogSave.evtx")) Then System.IO.File.Delete("MyEventsLogSave.evtx") End If Dim MySession As New System.Diagnostics.Eventing.Reader.EventLogSession() MySession.ExportLogAndMessages("Security", System.Diagnostics.Eventing.Reader.PathType.LogName, "*", "MyEventsLogSave.evtx", False, System.Globalization.CultureInfo.CurrentCulture) MessageBox.Show("在当前文件夹中成功导出事件日志文件!", "乐博网提示", MessageBoxButtons.OK, https://www.doczj.com/doc/797989884.html,rmation) Catch ex As Exception MessageBox.Show(ex.Message, "乐博网提示", MessageBoxButtons.OK, MessageBoxIcon.Error) End Try End Sub End Class