Windows系统的事件查看器是Windows 2000/XP中提供的一个系统安全监视工具。在事件查看器中,可以通过使用事件日志,收集有关硬件、软件、系统问题方面的信息,并监视Windows系统安全。它不但可以查看系统运行日志文件,而且还可以查看事件类型,使用事件日志来解决系统故障。在启动Windows 2000系统的同时,事件日志服务会自动启动,所有用户都可以查看应用程序日志和系统日志,但只有管理员才能访问安全日志。如何找到事件查看器?点击“开始→设置→控制面板”,点击“管理工具”。然后双击“事件查看器”。现在,你就可以看到事件查看器的界面了(图1)。图1(点击放大)事件查看器都记录什么信息?
事件查看器根据来源将日志记录事件分为应用程序日志(Application)、安全日志(Security)和系统日志(System)。在左侧的类选择对话框中分别单击相应的日志即可打开进入浏览。系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误,我们不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。
安全日志中存放了审核事件是否成功的信息。通过查看这些信息,我们可以了解到这些安全审核结果为成功还是失败,可以记录有效和无效的登录尝试等安全事件以及与资源使用有关的事件。比如创建、打开或删除文件,启动时某个驱动程序加载失败。同时,管理员还可以指定在安全日志中记录的事件,比如如果启用了登录审核,那么系统登录尝试就记录在安全日志中。
应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误,我们可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。
另外,事件查看器还按照类型将记录的事件划分为错误、警告和信息三种基本类型。
错误:重要的问题,如数据丢失或功能丧失。例如在启动期间系统服务加载失败、磁盘检测错误等,这时系统就会自动记录错误。这种情况下必须要检查系统。
警告:不是非常重要但将来可能出现问题的事件,比如磁盘剩余空间较小,或者未找到安装打印机等都会记录一个警告。这种情况下应该检查问题所在。
信息:用于描述应用程序、驱动程序或服务成功操作的事件,比如加载网络驱动程序、成功地建立了一个网络连接等。
从事件查看器里找故障:有用的和有趣的就如同我们是一名要破案的警察一样,现在的资料只有一个日记本。那么,如何在这个日记本里找到线索或者提示呢?事件查看器就是系统的一本“日记”,不过系统的这本“日记”中的每一篇都有编号,我们就去找一些最重要的来看吧。在事件查看器界面中,点击“查看→筛选”,可以选择并根据“事件类型”、“事件ID”等进行筛选,快速找到自己想要的信息(如图2)。图2
6006号和6005号:当你正关闭计算机的时候,在事件查看器里ID号为6006的事件,这个事件的意思是:事件日志服务已停止(图3)。图3这意味着什么?很简单,如果你没有在当天的事件查看器中发现这个6006号事件,那么就表示计算机没有正常关机,可能是因为系统原因(例如蓝屏)或者直接按了电源键而没有执行正常的“开始”菜单中的“关机”程序。要知道,从Windows 95时代开始,我们就了解不正常关机可能会导致系统故障。当你启动系统的时候,事件查看器又记录了什么呢?这就是ID号为6005的事件。这个事件表明:事件日志服务已启动(图4)。
图4下面让我们看一些错误类型的事件吧,看看我们能找出什么来。1007号,DHCP错误:这个错误一般出现在安装了双网卡的系统中。我们假定安装了两个网卡,其中一个用于局域网,另外一个连接到ADSL的调制解调器上。这时候,用于局域网的网卡使用的是一个静态的IP地址,而用于ADSL连接的网卡则是“自动获得IP地址”。这个错误指出,在网络中系统无法找到DHCP服务器,因此使用了一个内部的自动IP地址。由于安装了双网卡,这种情况也不会影响使用,因此这个错误信息可以不予考虑。但是,如果在使用了DHCP服务器的单位的电脑上出现这个错误,那你就需要仔细检查检查了。528号:账户登录成功事件。540号:网络登录成功事件。638号:会话连接中断事件。517号:日志清除事件,如下图所示
通过检查事件查看器里面的错误记录,可以确定自己的计算机是否被攻击。如果在某个时段出现比较多的警告信息。那么,你可要小心对待了。
如何根据故障在事件查看器里查找相应的信息呢?
STOP故障从理论上讲,纯32位的Windows 2000是不会出现死机的,但是由于病毒或硬件以及硬件驱动程序不匹配等原因也会造成Windows 2000的崩溃,当Windows 2000
出现死机时,显示器屏幕将变为蓝色,然后出现STOP故障提示信息。这就是我们常说的STOP故障。如果Windows 2000可以启动,可以打开“事件查看器”查看系统日志,确定导致故障的设备或驱动程序。如果不能启动计算机,可以使用“安全模式”或“最后一次正确的配置”启动计算机,然后删除或禁用新安装的附加程序或驱动程序。如果用“安全模式”启动不了计算机,可使用故障恢复控制台,禁用一些服务或者重新命名设备驱动程序、检修引导扇区或主引导记录等。如果想详细了解故障恢复控制台,可以参考2002年《电脑爱好者》第19期的《抓住末日前一秒:Windows的故障恢复控制台》一文。然后拆下新安装的硬件设备,
检查Microsoft兼容硬件列表(HCL),确保所有的硬件和驱动程序都与Windows系统兼容,其中Hcl.txt在Windows 2000安装光盘的\Support文件夹中。另外,还可以访问微软官方技术支持站点https://www.doczj.com/doc/a016607465.html,/china/support,在搜索中输入STOP故障代码,比如出现的STOP消息为“stop:0x0000000A”,那么即可输入“stop0x0000000A”,按下回车键即可查出所出现的STOP问题的解决办法。如图5所示。图5(点击放大)
监视文件和文件夹的访问在办公环境下,有时我们需了解计算机上其他用户是否访问了我们限制的文件或文件夹,这时候我们通过组策略配合,利用事件查看器在不影响用户正常使用的情况下,监控用户的访问情况。选择“开始/控制面板/管理工具/本地安全设置/本地策略/审核策略”,在右边信息窗口中右键单击“审核对象访问”选择“安全性”,在“本地安全策略设置”中,单击所需的选项并确定。接着在任务栏“开始”上点右键选择“资源管理器”,右键点击要审核的文件或文件夹,选择“属性”。然后选择“安全/高级/审核/添加”,在“选择用户、计算机或组”对话框中,单击要审核操作的用户名或组名并确定即可。注意:必须作为管理员或管理组的成员登录才能设置文件和文件夹的审核,只有管理员才能使用“组策略”
监视系统开关机情况当我们外出回来,有时我们需要了解计算机的开关情况以及是否正常开关机情况。我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。主要是两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止(图2),如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
如果你是网络管理员,那么这些记录就更加的重要了,如果有意外的开关机操作,那么你的机器已被攻击的可能性就很大了。
解决机器开机时的错误提示窗口如果你最近安装或卸载了某些程序,或者是由于安全的原因关闭了某些服务,结果你发现每次开机都会弹出一个错误提示窗口,并提示“在系统启动时至少有一个服务或驱动程序产生错误。详细信息,请使用事件查看器查看事件日志”。这类问题一般是系统在加载相关服务时找不到服务程序而无法启动产生的,你可以使用事件查看器来查看具体是哪个服务启动时出现了问题,解决的办法通常有两种,一种是通过了解该服务是那哪些程序产生,不论这些服务是操作系统本身产生还是应用程序产生的,都可以通过卸载相关应用程序来解决。另一个办法更简单直接到服务管理器中将相应的服务设置为“禁用”即可。
分析死机故障原因相对于Windows 98而言,Windows 2000和Windows XP均要稳定的多,是不容易发生死机现象的。从理论上讲,纯32位的Windows 2000 是不会出现死机的,但是这仅仅是理论上的。病毒、硬件和硬件驱动程序不匹配等原因将造成Windows 2000
的崩溃。当Windows 2000出现死机时,显示器屏幕将变为蓝色,然后出现死机故障提示信息。通过事件查看能够发现问题的原因。如果出现的硬件设备故障,可以通过重新安装硬件驱动或卸载硬件来解决,如果是软件故障可以卸相应的驱动程序,如果是警告显示磁盘驱动程序在几次重试后,只能读取或写入到某个扇区,十有八九是硬盘出问题了。即使你的系统没有死机,运行某些程序出现停顿现象,也有可能是计算机的硬盘出现故障,你依然可通过检查事件查看器,看是否出现硬盘有无法响应的日志,如果硬盘出现损坏,还是尽早更新,以免带来重大的数据损失。
检查不能上网的原因不能上网的原因有非常多,其中无法获得局域网DHCP服务器的数据,以至无法取得一个能上网的IP地址是局域网用户不能上网的故障中最常见的一种,通
过“事件查看器”我们可以很容易就找到这个错误事件ID号为1007,此你可以先检查你的网线,看是否连接正常,如果网络线路正常。可以打电话咨询网络管理员是否是DHCP服务器停止工作了。如果你使用的IP地址与网络上别人使用的IP地址相同,网络接口也会被系统禁用,一样也无法上网,这个错误事件ID号为1006,如果你发现这种情况要及时和网络管理员联系解决。
其它查找解决这些问题的方法主要可以通过以下途径:微软在线技术支持知识库以及https://www.doczj.com/doc/a016607465.html,网站。
微软在线技术支持知识库(KB):
微软知识库的文章是由微软公司官方资料和MVP(微软最有价值专家)撰写的技术文章组成,主要解决微软产品的问题及故障。
当微软每一个产品的Bug和容易出错的应用点被发现以后,都将有与其对应的KB文章分析这项错误的解决方案。
微软知识库的地址是:https://www.doczj.com/doc/a016607465.html,,在网页左边的“搜索(知识库)”中输入相关的关键字进行查询,事件发生源和ID等信息。当然,输入详细描述中的关键词也是一个好办法,如果日志中有错误编号,输入这个错误编号进行查询也并不是一个坏主意。https://www.doczj.com/doc/a016607465.html,网站:
要查询系统错误事件的解决方案,还有一个更好的地方:https://www.doczj.com/doc/a016607465.html,网站,地址是
https://www.doczj.com/doc/a016607465.html,。这个网站由众多微软MVP(最有价值专家)主持,几乎包含了全部系统事件的解决方案。
登录网站后,单击“Search Events(搜索事件)”链接,出现事件搜索页面。根据页面提示,输入Event ID(事件ID)和Event Source(事件源),并单击“Search”按钮。https://www.doczj.com/doc/a016607465.html, 的系统会找到所有相关的资源及解决方案。最重要的是,享受这些解决方案是完全免费的。当然,https://www.doczj.com/doc/a016607465.html,的付费用户则能享受到更好的服务,比如直接访问针对某事件的知识库文章集等。
其他资源:
事实上,在网络中我们还可以找到许多有用的资源,当系统出现问题时可以参考使用。比如https://www.doczj.com/doc/a016607465.html,网站的“微软新闻组常见问题”栏目,就提供了许多有用的疑难解答小贴士。
另外,微软中文社区(https://www.doczj.com/doc/a016607465.html,/china/community)提供在线的免费技术支持和定期的专家聊天,只要稍加利用,都可以成为解决系统疑难杂症的宝贵资源。
总体来说,在Windows操作系统中提供的事件日志机制为我们找出系统问题提供了快捷的方法,而官方和第三方等多种网络资源使我们能够迅速地解决这些问题。通过本文,希望读者能够充分利用这些资源,在以后系统出现问题时,能够自主地将它们解决。节省时间,节省金钱。
事件查看器的维护与管理,
修改日志文件存放路径。Windows系统日志默认情况下被保存在Windows系统文件夹中,有的时候,如果你打算修改日志文件存放路径,可以通过修改注册表的方法。(1)修改系统日志存放路径打开注册表编辑器,展开如下分
支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\System,然后双击右侧窗口中的File键值,打开字符串编辑器,系统默认的存放路径
是%SystemRoot%\System32\Config\SysEvent.Evt,这时可以根据自己的需要设定新的存放路径,如图6所示。图6(2)修改应用程序日志存放路径打开注册表编辑器,展开如下分
支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Application,双击并修改右侧窗口中的File键值即可,方法与前面介绍的相同。(3)修改安全日志存放路径打开注册表编辑器,展开如下分
支:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Security,双击并修改右侧窗口中的File键值。完成修改后,重新启动计算机即可使修改生效。
管理事件查看器,我们现在可以修改日志文件的保存路径了,那么是否可以对日志文件根据自己的需要进行相应的管理呢?(1)改变日志文件大小在事件查看器中,用鼠标右键单击“应用程序日志”,在弹出的快捷菜单中,选择“属性”命令,打开“应用程序日志”属性对话框,在“常规”选项卡的“最大日志文件大小”文本框中可指定新的日志文件大小。如果要使新设置生效,还需要单击“清除日志”命令按钮。如果要保留日志中的当前信息,当询问清除之前是否保存原始日志时,单击“是”按钮即可。(2)清除所有事件日志在控制台树中,首先单击要清除的日志,比如“应用程序日志”,然后在“操作”菜单上,单击“清除所有事件”命令,此时系统会提示是否保存当前日志,单击“是”按钮即可清除,否则将永远丢失当前事件记录,并开始记录新的事件。(3)保存日志文件在控制台树中,单击要存档的日志,比如“应用程序日志”,然后在“操作”菜单上,单击“另存日志文件”命令,在打开的对话框中输入文件名称,在“保存类型”中选择文件保存格式,并单击“保存”按钮。(4)删除与修复损坏的日志文件如果发现日志文件已经损坏,系统将经常出现故障和错误提示,可以首先将其删除,重新启动计算机后即可恢复。对于采用NTFS分区格式的系统,如果要删除日志文件,需要首先关闭事件检查器服务才行。在控制面板中双击“管理工具”图标,在打开的管理工具中,双击“服务”图标,在服务中选择“EventLog”服务,用鼠标右键单击此服务,在弹出的快捷菜单中选择“属性”命令,弹出“服务属性”对话框,在“启动类型”中设置其为“已禁用”选项,并单击“确定”按钮完成,如图7所示。重新启动计算机,然后将文件夹“%SystemRoot%\System32\Config”中的*.evt文件删除。完成后,再次启动事件检查器服务,并重新启动计算机即可恢复损坏的事件检查器文件了。对于使用FAT分区的文件系统,可以使用DOS启动盘启动计算机,然后将“%SystemRoot%\System32\Config”目录下的文件直接删除即可。图7
删除日志文件,并重新启动计算机后,系统将自动恢复日志文件,从而保证系统的正常运行使用事件查看器
使用“事件查看器,用户可以通过使用事件日志,收集有关硬件、软件、系统问题方面的信息,并监视中文版Windows XP 安全事件,将Windows 和其他应用程序运行中错误事件记录下来,便于用户诊断和纠正可能发生的系统错误和问题。14.4.1 事件查看器当用户需要查看工作日志时,可进行以下的操作步骤:(1)单击“开始”按钮,选择“控制面板”命令,在打开的“控制面板”窗口单击“管理工具”图标,然后在“管理工具”窗口中双击“事件查看器”图标,这时就可以打开“事件查看器”窗口。(2)在“事件查看器”窗口中包括三种类型的日志记录事件:·应用程序日志:记录应用程序或一般程序的事件。·安全性日志:可以记录例如有效和无效的登录尝试等安全事件,以及与资源使用有关的事件。例如创建、打开或删除文件以及有关设置的修改。·系统日志:包含由Windows XP 系统组件记录的事件,例如,在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。(3)事件查看器显示以下事件类型:·信息:描述应用程序、驱动程序或服务成功操作的事件,例如成功地加载网络驱动程序时会记录一个信息事件。·警告:不是非常重要但将来可能出现的问题事
件。例如,如果磁盘空间较小,则会记录一个警告。·错误:重要的问题,如数据丢失或功能丧失。例如,如果在启动期间服务加载失败,则会记录错误。·成功审核:审核安全访问尝试成功。例如,将用户成功登录到系统上的尝试作为“成功审核”事件记录下来。·失败审核:审核安全访问尝试失败。例如,如果用户试图访问网络驱动器失败,该尝试就会作为“失败审核”事件进行记录。(4)如果要查看某事件的详细内容,可先选中该项,双击打开“事件属性”对话框,在其中的“事件详细信息”选项组中列出了事件发生的时间及来源、类型等详细资料,如图14.13 所示。14.4.2 事件查看器在网络中的应用由于中文版Windows XP 可以用于小型办公网络和家庭网络的组建,在网络应用过程中,网络中的计算机有时会出现故障,这时需要管理员查看这台机器的工作日志,以此来判断出现故障的原因。具体的操作步骤如下:(1)在“事件查看器(本地)”窗口中,右击“事件查看器(本地)”选项,会弹出一个快捷菜单,从中选择“连接到另一台计算机”命令,出现“选择计算机”对话框,在此用户可以选择需要这个管理单元管理的计算机,在“另一台计算机”文本框中输入要查看的工作站名,单击“确定”即可,如图14.14 所示。(2)为了在众多的计算机中准确地找到出现故障的一台,最大限度地节省时间,可以单击“浏览”按钮,出现如图14.15 所示的“选择计算机”对话框,可以在这里进行更为详细的条件限定,这样,就可以快速地找到出现故障的计算机,进行工作日志的查看。14.4.3 事件查看器窗口在“事件查看器”窗口中,用户可以利用菜单栏中的菜单项方便地进行本地事件的查看,下面是其中简单而且实用的几项操作(以“应用程序”)为例:(1)在“操作”菜单中,用户可以根据需要进行工作日志文件的打开和保存,以及事件的清除等操作。(2)选择“操作”|“属性”或者“查看”|“筛选”命令,出现“应用程序属性”对话框,在“常规”选项卡中详细显示了“应用程序”的名称,创建、修改、访问时间,用户可以对最大日志以及达到极限后的处理方法进行设定,如果用户不再需要个性设置时,可以单击“还原为默认值”按钮,即可恢复到系统默认的设置,如图14.16 所示。(3)选择“筛选器”选项卡,用户可以对日志中的事件进行筛选,用户可在“事件类型”选项组中进行复选框的选择,在“事件来源”“类别”下拉列表框中可设置筛选具体条件,还可进行时间限定。需要指出的是,筛选并不会对日志的具体内容产生影响,它只是改变了事件的显示方式,如图14.17 所示。(4)在“查看”菜单中选择“添加|删除列”命令,弹出“添加|删除列”对话框,如果用户不需要在该窗口的详细列表中显示某选项时,可在“显示列”列表中先选中,然后单击“删除”按钮,即可删除该列的显示,这样会使画面看起来更简洁,如图14.18 所示。(5)在“查看”菜单中选择“查找”命令,出现“在本地应用程序上查找”对话框,在此可设置好要查找的条件,可自行选择搜索方向,连续查找多个符合要求的事件,如图14.19 所示。
解决“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。” 提示:jpg文件没有问题,win7照片查看器原来可以打开jpg图片,现在却不能打开。jpg文件已真的损坏不在此文讨论之列。 网上有很多人都遇到过这个问题,有人提出修改文件类型关联,这个太小儿科了,大多数人提出的方法是用其他的软件看图,其实是回避了这个问题。有人提出是联网的问题,也有人说通过修改环境变量来解决这个问题,但是并不是能解决所有人的问题。看来大家见到的错误提示是一样的,但是原因不同。通过自己认真检查和实践,终于解决了这个问题,希望能给有相同原因的朋友一个正确的解决方法。 我的情况是这样的:(很多人没有将自己的情况描述清楚) 开机后,还未连上网络的情况下,用照片查看器无法打开任何jpg图片,出现提示“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。”其实jpg文件没有任何问题,用其他的软件照样可以看的。 在获取IP地址后,可以上网了,再用照片查看器就可以打开之前无法打开的jpg图片了。此时再次断网,用照片查看器仍可以正常看jpg图片。似乎照片查看器要在开机后联网进行某种注册,完成这个动作后就可以正常工作了,也不在乎网络的存在了。 (回想起来,之前我的本本所带的Ms office试用版在不上网的情况下也无法打开任何word、excel文件,后来就卸载了MS office,改用WPS。) 我安装的MS visio2010也出现同样的问题,开机后,还未连上网络的情况下,无法打开之前所作的任何vsd文件。联网之后就可以正常使用了。 我的电脑情况是这样的: 系统:win7pro32bits 本本:i7-2620m,8G RAM,其中系统无法使用的4G多RAM做了虚拟硬盘G:,为了减少对SSD硬盘的写入,将临时文件都放入RAMDISK g:中,在环境变量中修改参数。 环境变量: 用户变量(U) TEMP g:\AppData\Local\Temp TMP g:\AppData\Local\Temp 系统变量(S) TEMP g:\TEMP TMP g:\TEMP 通过认真检查发现,在开机之后,还未联网的情况下,G:盘上只有g:\TEMP,没有g:\AppData\Local\Temp这个文件夹,联网之后才出现这个文件夹。于是将用户变量做以下修改: TEMP g:\Temp TMP g:\Temp 拔掉网线,关机,开机,在不联网的情况下可以用照片查看器打开jpg图片,也可以用visio打开vsd文件了。问题解决! 环境变量的设置方法:计算机→右键→属性→高级系统设置→环境变量
任务管理器里的各个进程 【Csrss】 这是Windows的核心部份之一,全称为Client Server Process。我们不能结束该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存,建议不要修改此进程,让它运行好了【Ctfmon】 这是安装了WinXP(尤其是安装ofice XP)后,在桌面右下角显示的“语言栏”,如果不希望它出现,可通过下面的步骤取消:双击“控制面板”,“区域和语言设置”,单击“语言”标签,单击“详细信息”按钮,打开“文字服务和输入语言”对话框,单击下面“首选项”的“语言栏”按钮,打开“语言栏设置”对话框,取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节,它会为你节省1.5MB到4MB的内存。 【dovldr32】 如果你有一个Creative SBLive系列的声卡,就可能击现这个进程,它占用大约2.3MB 到2.6MB的内存。有些奇怪的是,当我从任务栏禁止了这个进程后,通过DVD实验,并没有发生任何错误。但如果你将这个文件重新命名了,就会出现windows的文件保护警告窗口,而且Creative Mixer和AudioHQ程序加载出错。当然你希望节省一些内存,那么可以将它禁止。 【explorer】 这可不是Internet Explorer,explorer.exe总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果打开“任务管理器”,就会看到一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同,通常会消耗5.8MB到36MB 内存不 【Idle】 如果你在“任务管理器”看到它显示99%的占用率,千万不要害怕,实际上这是好事,因为这表示你的计算机目前有99%的性能等待你使用!这是关键进程,不能结束。该进程只有16KB的大小,循环统计CPU的空闲度。 【IEXPLORE】/【iexplore】 这才是IE浏览器。当我们用它上网冲浪时,它占有7.3MB甚至更多的内存。当然,这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时,它并不会从任务管理器消失,IEXPLORE.EXE依然在后台运行着,它的作用是加快我们再一次打开IE的速度。【Generic Host Process for Win32 Services】 如果你安装了ZoneAlarm以后,在连接Internet时ZonAlarm总是抱怨链接不到Internet,那么你就应该好好看看下面的文字。Svhost.exe就是Generic Service Host,意思就是说,它是其他服务的主机。如果你的Internet连接不工作了,很有可能是你禁止了一些必须的服务,比如如果你禁止了“DNS搜索”功能,那么当你输入https://www.doczj.com/doc/a016607465.html, 时就不会连接上网,但如果输入IP地址,尽管还是可以上网,但实际上你已经破坏了上网冲浪的关键进程! 【msmsgs】 这是微软的Windows Messengr(即时通信软件)著名的MSN进程,在WinXP的家庭版和专业版里面绑定的,如果你还运行着Outlook和MSN Explorer等程序,该进程会在后台运行支持所有这些微软号称的很Cool的,NET功能等新技术。
一、事件查看器相关知识 1.事件查看器 事件查看器是 Microsoft 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视操作系统中的安全事件。有三种方式来打开事件查看器: (1)单击开始-设置-控制面板-管理工具-事件查看器,打开事件查看器窗口 (2)在运行对话框中手工键入%SystemRoot%system32eventvwr.msc /s打开事件查看器窗口。 (3)在运行中直接输入eventvwr或者eventvwr.msc直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。 (3)系统日志 包含 XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动时,事件日志服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了操作系统对事件的分类。事件查看器显示如下类型的事件:
3.1 Windows“任务管理器”的进程管理 (实验估计时间:60分钟) 背景知识 实验目的 工具/准备工作 实验内容与步骤 背景知识 Windows 2000的任务管理器提供了用户计算机上正在运行的程序和进程的相关信息,也显示了最常用的度量进程性能的单位。使用任务管理器,可以打开监视计算机性能的关键指示器,快速查看正在运行的程序的状态,或者终止已停止响应的程序。也可以使用多个参数评估正在运行的进程的活动,以及查看CPU 和内存使用情况的图形和数据。其中: 1) “应用程序”选项卡显示正在运行程序的状态,用户能够结束、切换或者启动程序。 2) “进程”选项卡显示正在运行的进程信息。例如,可以显示关于CPU 和内存使用情况、页面错误、句柄计数以及许多其他参数的信息。 3) “性能”选项卡显示计算机动态性能,包括CPU 和内存使用情况的图表,正在运行的句柄、线程和进程的总数,物理、核心和认可的内存总数 (KB) 等。 实验目的 通过在Windows 任务管理器中对程序进程进行响应的管理操作,熟悉操作系统进程管理的概念,学习观察操作系统运行的动态性能。 工具/准备工作 在开始本实验之前,请回顾教科书的相关内容。 需要准备一台运行Windows 2000 Professional操作系统的计算机。
实验内容与步骤 1. 使用任务管理器终止进程 2. 显示其他进程计数器 3. 更改正在运行的程序的优先级 启动并进入Windows环境,单击Ctrl + Alt + Del键,或者右键单击任务栏,在快捷菜单中单击“任务管理器”命令,打开“任务管理器”窗口。 在本次实验中,你使用的操作系统版本是: Window 2000 5.00.2195 Service Pack 4 当前机器中由你打开,正在运行的应用程序有: Windows“任务管理器”的窗口由3个选项卡组成,分别是: 当前“进程”选项卡显示的栏目分别是 (可移动窗口下方的游标/箭头,或使窗口最大化进行观察) : 1. 使用任务管理器终止进程 步骤1:单击“进程”选项卡,一共显示了____个进程。请试着区分一下,其中: 系统 (SYSTEM) 进程有_____个,填入表3-1中。 表3-1 实验记录 映像名称用户名CPU内存使用
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
关于windows任务管理器5个不错的替代选择 ZD至顶网CIO与应用频道06月23日专栏:任务管理器可以帮助你查看系统进程,但不是你可以使用的唯一一个工具。下面名单中的应用可能更适合你。Windows任务管理器一直是一个非常方便的资源,可以用于监控运行中的进程,用于终止不能通过正常手段关闭的应用。不过,和Windows任务管理器一样,有很多其他应用可以替代任务管理器,提供多样的、与任务管理器相关的服务。本文将罗列这样5个应用。1、Security Task ManagerSecurity Task Manager (如图A)可能是这个名单中最不寻常的工具。与其任务管理器一样,这款应用为你显示系统中正在运行的进程。但是这款应用与众不同之处在于,显示的进程信息突出强调了安全性。这款应用不仅提供了病毒扫描链接,而且给每个进程分配了一个安全等级,帮助你确定哪些进程可能是恶意进程。图A右键点击一个进程,打开菜单,可以进入进程所在的文件夹。你还可以Google搜索这个进程,检查病毒,评论,查看其属性。评价进程让你可以将它标记为危险的或者安全的进程,并添加注释记录你的理由。Security Task Manager 售价29美元,有免费试用版可供下载。2、Task Manager FixTask Manager Fix(如图B)是一款修复Windows任务管理器的免费工具。我曾经考虑过不把这款应用列入这个名单
中,因为它不像其他应用,实际上它并不具备我会所谓的功能集。尽管如此,我认为它仍然有自己的优点。图B多年来,我已经遇到过很多会禁用任务管理器的恶意软件。一些恶意会攻击任务管理器,这样受害人就无法使用任务管理器终止与恶意软件相关的进程。这个简单的应用要求任务管理器符合这种情况。它包含一个按钮。点击这个按钮就可以恢复任务管理器到正常的状态。3、AnVir Task Manager ProAnVir Task Manager Pro(如图C)是一款功能丰富的任务管理器替代选择。这款工具提供了标签列出启动项、应用、进程、服务和日志条目。每个标签包含过滤机制,让各种条目显示或者隐藏。除了常用任务管理器功能之外,这款工具让你可以编辑系统启动,提供管理罗列项目的详细信息。事实上,这款应用提供了大约20多种你可以选择显示或者隐藏的项目。图C企业网盘前景看好售价49.95美元,有免费试用版可供下载,此外也有免费版本。4、Remote Task ManagerRemote Task Manager(如图D)类似于原生的Windows任务管理器,但它是针对管理远程系统中的任务而设计的。它提供了关于应用、进程、服务、设备和事件的信息。它还允许应用发布到远程系统中。图DRemote Task Manager售价40美元,有免费试用版可供下载。5、Free Extended Task ManagerFree Extended Task Manager(如图E)包括一系列标签,罗列了汇总信息、应用、进程、服务、性能、网络、用户和端口使
任务栏管理器系统自带的一个很方便的软件。长久以来,大家也仅仅是习惯性的点击ctrl+alt+del来调出任务管理器了,然后取消某个失去相应的程序而已。其实任务管理器很强大的,它能很直观反映有系统的许多的东西,并且可以很方便的进行某些操作。在我们使用过程中有些技巧已经为大家所熟悉,但还有些技巧或许不是你都知道的,这里我给大家说一说任务栏管理器的一些应用或是技巧。看看能否对你将来使用电脑的时候有所帮助。一. 任务管理器的调出 1. 相信大多数朋友都会用左手按住左ctrl和alt,然后右手点击小键盘的del键来调出任务栏管理器。 2.单手按住左边的ctrl和alt,伸出一个手指来按文档控制的那个delete键也相当与ctrl+alt+del的功效。 3.你也可以选用右手按ctrl+alt+Esc也能调出任务管理器。 4.最简单的方法就是用鼠标在任务栏空白处点击右键,在弹出的菜单选择任务栏管理器即可。二. 任务管理器的外观 1. 这个问题曾经困扰着一些人,因为他们不小心把任务栏管理器弄成这个样子了,就象一个空白框,不知道怎么恢复了。其实很简单之所以能弄成这个样子,是因为你在任务管理器窗体上双击了左键。解决的方法也是相当的简单:再次双击就回复正常窗口的样子。 2. 选择不同的选项卡后再对窗体双击可以有不同的内容显示,这样你可以更加详细的对进程,或是网络cpu占用情况分析了。三. 任务栏管理器个选项卡的技巧 1. 应用程序栏:任意窗口的层叠,通过任务栏右键菜单中的“层叠窗口”命令,可以让所有打开的窗口层叠显示,但如果只是想让其中的几个窗口层叠显示出来,就要借助任务管理器了。在任务管理器的“应用程序”选项卡中选中想要层叠显示的程序窗口,然后单击右键,从菜单中执行“层叠”命令即可。此外,我们还可以随意最大化、最小化或前置指定的窗口。 2. 进程栏:在任务管理器的菜单―》查看―》选择列中可以定义要在进程栏里显示的内容,这里有许多专业的分析项目可以供你选择,比如虚拟内存大小。有些软件占用内存特别小的原因就是它用了不小的虚拟内存。默认的情况下,Windows XP任务管理器中的进程列表并不是按照名称进行排列的,查看起来不太方便,只要单击列表栏上方的文字标签,就可以让进程列表按序排列。例如单击“映像名称”标签,列表就会以进程名称的英文字母进行排序,单击“内存”标签,则可以按照内存使用量进行排序。 3. 用户栏:在这个栏目里,你可以注销已经登陆本机用户。如果你的权限足够,你可以断开任何登陆用户的登陆,如果有远程用户登陆本机。你可以选择发送消息给他。四. 任务栏管理器的升级其实任务栏管理器本身算的上一个不用安装的绿色程序了。你只需要把它拷倒你的机器上就能用了。最近网上流传着longhorn的任务管理器。这个版本的任务栏管理器比现在的windows xp版本任务栏管理器在进程那个选项里多了一个“映象路径”的功能,这样你就可以很方便的定位现在运行的进程位置。这一特性在我们对于可疑进程的鉴别上很有帮助。当然你可以用它来替换你现在使用的任务管理器。下载地址:https://www.doczj.com/doc/a016607465.html,/down.php?id=26494&url=1使用方法:1、用附件中的三个文件覆盖Windowssystem32dllcache 下的同名文件。2、再用这三个文件覆盖Windowssystem32 目录下的同名文件,此时会弹出“Windows 文件保护”对话框,选择“取消”,然后选择“是”。然后你就可以按“Ctrl+Shift+Esc”或“Ctrl+Alt+Del”来使用新的任务管理器了。点击“进程”标签,然后在查看菜单下的“选择列。。。”中可以设置显示“命令行”和“映象路径”五. 任务管理器的一个特殊功能在点击菜单―》关机―》关闭选项的时候同时按住ctrl键的话。机器会在1秒左右关闭。更多请访问https://www.doczj.com/doc/a016607465.html,/
目录 1 事件管理的定义 (2) 2 事件管理的目的 (2) 3 事件管理的范围 (3) 4 事件的优先级定义 (3) 5 事件升级 (4) 6 事件管理的流程 (5) 7 事件管理流程的主要角色 (10) 8 绩效指标 (11) 9 事件管理改进的问题提出 (12)
1事件管理的定义 突发事件是指在IT服务中的一个无计划中断或IT服务本身服务性能的降低,包括系统崩溃、硬件或软件故障、任何影响用户当前业务使用和系统正常运作的故障以及影响业务流程或违背服务级别协议的情况。 突发事件管理流程是为企业业务系统尽快恢复正常工作状态而设计的,其所关心的重点是如何达到快速响应、快速恢复,使故障对企业业务的影响最小化。 事件管理的责任是记录、分类、调查与诊断、解决已知问题、监控跟踪事件,与用户和问题管理流程交互并最终解决事件。 2 事件管理的目的 事件管理流程的主要功能是尽快解决出现的事件,保持企业业务系统的稳定性。例如,中国移动10086的服务控制台接线员会去负责记录突发事件的相关信息,并向用户提供对已知问题的处理方法,报告事件到相关的技术支持部门和尽快恢复用户的服务。解决突发事件的目的是获得尽可能高的事件解决率,其主要目的包括: (1)在成本允许的范围内尽快恢复服务 提供电话或网络在线沟通与帮助,通过自动监控和快速响应系统对故障进行及时告警等环节来保证服务能够尽快被恢复。 (2)事件控制和监控 记录任何事件,并对事件的优先级进行分类和处理。服务控制台工作人员要对当前事件进行分析和诊断,必要时把事件升级到相关的技术部门去处理,而且服务控制台工作人员要对事件的全称进行监控,直到事件得到圆满的解决。 (3)提供事件统计信息给IT管理层 可以对事件进行分类统计,比如可以通过Parato分析法分析出哪些事件是经常发生的,这些信息可以提供给管理层进行决策分析。管理者会关注那些主要的事件或缺失环节,并采取相应的措施对服务环节进行调整和提高。
Windows任务管理器的设计与实现毕业设计(作业) 毕 业 指 导 学生学院 系 专业 学生要求 交 199 windows任务管理器设计与实现 年12月19日XXXX
: ::::::: 摘要 据国外研究公司统计随着个人电脑进入千家万户,电脑操作系统中的任务管理器也越来越为越来越多的用户所熟悉和使用。 任务管理器是一个在视窗系统中管理应用程序和进程的工具。它通常由视窗操作系统提供,并有提供增强功能的第三方软件。通过任务管理器,用户可以轻松查看当前运行的程序、进程、用户、网络连接以及系统对内存和CPU资源的使用情况,并可以强制结束一些程序和进程。此外,用户可以监控系统资源的使用。 视窗任务管理器首次出现在微软公司1998年发布的视窗98操作系统中。从那以后,微软视窗操作系统的所有版本都集成了任务管理器。任务管理器不是视窗系统的专利。它广泛用于各种操作系统。苹果的苹果操作系统中有一个类似的活动监视器,基于Linux的ubuntu操作系统中有一个类似的功能系统监视器 窗口任务管理器提供有关计算机性能的信息,并显示有关计算机上运行的程序和进程的详细信息。如果您连接到网络,您还可以查看网络状态,并快速了解网络如何工作。它的用户界面提供了六个菜单项,包括文件、选项、视图、窗口、关机、帮助,以及五个选项卡,包括应用程序、进程、性能、网络和用户
项目的设计是一个模拟视窗任务管理器开发的视窗过程管理软件。主要设计是一个基于窗体的C#程序。标签控件放置在主对话框上,创建了应用程序、过程和性能的三个页面。标签控件用于选择和显示页面。这三个页面分别用于显示当前运行的窗口程序、进程和进程模块以及系统资源使用情况该程序还实现了结束任务和管理流程的基本功能。在的设计过程中,任务、进程、线程模块和系统资源使用等信息可以通过调用窗口应用编程接口函数来获得最后,在Windows10系统上对系统进行了测试,实现了流程管理的基本功能。关键词:任务经理;螺纹;过程;API 条目 1目录摘要.................................................................................................................. .. (i) 第一章简介 (1) 1.1项目背景:.............................................1 1.2国内外研究现状;................................1 1.3研究意义.............................的主要研究内容.................1 1.4的论文简要介绍了MicrosoftVisualStudio的开发环境.............................2 1.5。. (2) 1.5.1发展历史................................2 1.6工艺和螺纹介绍.. (4)
Windows2003 事件查看器事件ID对应解释 使用本模块可以实现下列目标: ?识别由Microsoft? Windows Server? 2003 操作系统生成的安全事件。 返回顶部 适用范围 本模块适用于下列产品和技术: ?W indows Server 2003 返回顶部 如何使用本模块 本模块是“Windows Server 2003 安全指南”的补充内容。本模块中的表可以用作快速参考,以帮助您识别在Microsoft? Windows 操作系统事件日志中所记录的与安全有关的事件。本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。 返回顶部 帐户登录事件 表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 表1:审核帐户登录事件 事件 事件描述 ID 672 已成功颁发和验证身份验证服务(AS) 票证。 673 授权票证服务(TGS) 票证已授权。TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 674 安全主体已更新AS 票证或TGS 票证。 675 预身份验证失败。用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。 676 身份验证票证请求失败。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 677 TGS 票证未被授权。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 678 帐户已成功映射到域帐户。 681 登录失败。尝试进行域帐户登录。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 682 用户已重新连接至已断开的终端服务器会话。 683 用户未注销就断开终端服务器会话。
服务事件管理程序 文档编号: 密级: 版本信息:V1.0 建立日期: 创建: 审核: 批准: 版权声明:本文中的所有信息均为北京首都在线科技股份有限公司内部公开信息,未经北京首都在线科技股份有限公司明确作出的书面许可,不得传播。
文档修订记录
目录 1 简介 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3术语表 (4) 1.4引用文件 (6) 2 职责 (6) 2.1服务台 (6) 2.2一线(现场工程师)/二线(专项工程师) (6) 2.3外部资源 (7) 2.4项目经理 (7) 3 流程图 (8) 4 具体内容 (9) 4.1接受/记录事件 (9) 4.2分级/分类和初步支持 (9) 4.3调查和分析 (10) 4.4解决和恢复 (10) 4.5事件关闭 (11) 4.6过程的跟踪监控 (11) 5 事件升级过程 (11) 5.1事件严重程度定义 (11) 5.2事件升级步骤 (11) 6事件管理过程与其他流程的关系 (12) 6.1事件管理过程与其他关系 (12) 7 事件管理过程的KPI (13) 7.1KPI定义 (13) 8 输出的文件和记录 (14)
1简介 1.1目的 事件管理过程提供日程支持服务的接口,以降低因IT事件带来的影响。该过程关注尽可能快的恢复服务以满足预定服务等级协议(SLA)的要求。 1.2适用范围 事件管理过程适用于记录、处理、关闭事件并监督整个过程的管理活动,事件管理过程包括服务台和相应的支持组。 1.3术语表 ●事件: 指服务的任何异常,并将导致或可能导致服务的中断或服务质量下降的事态。 ●服务请求: 来自客户对IT服务的信息、建议、标准变更或访问请求。例如要求增加内存、安装某个软件、账号申请、变更请求等。变更通常不认为是一个事件,而是一个变更请求(RFC)。但两者的处理方式相近,因此在事件处理过程中也包括对服务请求的处理,即事件包含服务请求。 ●事件关闭: 接到事件请求后,服务台不能当时解决问题,则将需要把事件分配给相应的支持组。 为尽可能快地恢复业务,可利用解决方案(永久性的)或临时措施。当事件得到了解决,并且服务也恢复到正常状态后,事件关闭。另外事件还包括系统自动产生或例行巡检所发现的某些事态,如硬盘空间超出设定值、机房UPS告警等。虽然这些事态不会对服务的交付产生直接影响,但对这些事态的处理也包括在事件管理过程中。 ●事件处理过程: 事件发生后,通常服务台接受和尝试处理,当服务台未能快速解决时,派单给一线工程师作为一线支持处理;当一线工程师未能快速解决时,事件从一线返回服务台重新分配到二线;二线未能解决时,调用三线厂商支持,后续的二线或三线支持应具有更高的技能和资源来解决事件。事件从一线支持转到二线或后续支持线,通常称为“职能升级”。为表述方便,在《事件管理程序》中,把“职能升级”过程称为“事件处理过程”。 ●事件升级过程:
教你怎么用任务管理器 任务管理器相信大家都很熟悉,因为它是windows系统中大家经常会用到的一个程序,通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。 1.在网吧也能“运行” 经常泡在网吧的朋友们都知道,网吧的机子通常来说都会将运行对话框屏蔽掉,如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时用来代替运行对话框的作用。 先按住“Ctrl+Alt+Del”组合键尝试一下能否调出任务管理器,能调出就好办了,我们依次任务管理器的菜单“文件→新建任务”,弹出“创建新任务”窗口,输入内容试试看,它跟运行对话框效果是一样的哦! 2.快速刷新注册表 许多软件在安装后会提示我们需要重新启动才能让软件正常使用,其实大部分时候这些软件只是在“小题大做”,因为重启仅仅是为了让注册表更新而已,我们可以利用任务管理器来更快地让软件生效。 方法为:在“进程”选项卡中用鼠标选择“explorer.exe”进程,然后右下角的“结束进程”按钮将它结束,这个时候桌面显示消失了。不必惊慌,我们在“创建新任务”窗口中输入“explorer.exe”。运行即可让桌面恢复显示,同时计算机的注册表也会被更新,现在软件就能正常使用了。 3.优化游戏运行 许多朋友都和一样还在使用1GB以下的内存,所以当我们玩3D游戏的时候就会觉得运行有些卡,这个时候除了使关闭游戏以外的所有程序以外,似乎再没有其他节省内存的办法了,其实我们可以在运行游戏前先在任务管理器中结束“ex plorer.exe”进程,因为它在很多情况下可都是内存耗用大户,结束它可为我们的游戏增加几十MB的可用内存,游戏效果当然会有改善。 不过此时没了桌面显示,启动游戏的方法也有所改变,我们需要打开“文件→新建任务”,然后“浏览”按钮进入游戏目录载入游戏主程序,“确定”即可运行游戏。 4.恢复浏览器网址列表 在国内被众多用户宠爱的多页面浏览器傲游和GreenBrowse都设置有一个人性化的功能,即在关闭浏览器时可以保留当前浏览的网页地址为列表以便下次打开继续浏览。不过如果在下次浏览网页之前不小心调用了它们来打开过其他关联文件,那么你保留的重要网页地址便会化为乌有了。 别着急,下面请你跟我们一起来对它施以小小“魔法”吧,保证让你的网页地址都恢复回来。记住,下次当你不小心调用了浏览器时,千万不要急忙,这时我们可以按下“Ctrl+Alt+Del”组合键,调出“Windows任务管理器”,在“进程”选项窗口内找出与傲游对应的“Maxthon.exe”映像,鼠标选中后按右下角“结束进程”将浏览器强制退出。现在重启浏览器看看,网页地址列表完整如初吧。 5.让电脑一秒关机 有时我们赶时间离开可能等不及电脑慢吞吞关机过程,但又担心插座未断电造成电能浪费,如果使用的是Windows XP系统,我们此时可以用任务管理器实现一秒关机。先调出“任务管理器”,按住“Ctrl”键同时窗口菜单“关机→关闭”,一秒钟后电脑关闭,OK,现在可以断开插座电源马上“闪人”了。
windows 任务管理器各进程详解 Win2000/XP 的任务管理器是一个非常有用的工具, 它能提供我们很多信息, 比如现在系统中运行的程序 (进程 ,但是面对那些文件可执行文件名我们可能有点茫然,不知道它们是做什么的,会不会有可疑进程 (病毒,木马等。本文的目的就是提供一些常用的 Win2000/XP 中的进程名,并简单说明它们的用处。 在 W2K/XP中,同时按下 crtl+shift+Esc键,可以打开 Windows 任务管理器,单击“进程” , 可以看到很多正在运行的进程,仔细看看有很多奇怪的 EXE 文件在运行?下面这些并不是真正的服务,而是在不同情况下运行的程序或进程,很多还是必需的进程。 【 Csrss 】 :这是 Windows 的核心部份之一,全称为 Client Server Process。我们不能结束该进程。这个只有 4K 的进程经常消耗 3MB 到 6MB 左右的内存, 建议不要修改此进程, 让它运行好了。 【 Ctfmon 】 :这是安装了 WinXP(尤其是安装 ofice XP后,在桌面右下角显示的“语言栏” , 如果不希望它出现, 可通过下面的步骤取消:双击“控制面板” , “区域和语言设置” , 单击“语言”标签,单击“详细信息”按钮,打开“文字服务和输入语言”对话框,单击下面“首选项”的“语言栏”按钮,打开“语言栏设置”对话框,取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节,它会为你节省 1.5MB 到 4MB 的内存。 【 dovldr32】 :如果你有一个 Creative SBLive 系列的声卡,就可能击现这个进程,它占用大约 2.3MB 到 2.6MB 的内存。有些奇怪的是, 当我从任务栏禁止了这个进程后, 通过 DVD 实验, 并没有发生任何错误。但如果你将这个文件重新命名了,就会出现 windows 的文件保护警告窗口,而且 Creative Mixer 和 AudioHQ 程序加载出错。当然你希望节省一些内存,那么可以将它禁止。 【 explorer 】 :这可不是 Internet Explorer , explorer.exe 总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果打开“任务管理器” ,就会看到一个
巧用事件查看器维护服务器安全 (一)事件查看器相关知识 事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人 员维护系统有一定的借鉴和参考。 (一)事件查看器相关知识 1.事件查看器 事件查看器是Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查 看器: (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口 (2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。 (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响 应。 (3)系统日志 包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了Windows 操作系统对事件的分 类。事件查看器显示如下类型的事件:
事件查看器事件处理集 打开事件查看器,发现里面有如下的系统错误日志: DCOM 遇到错误“无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动。”,试图以参数“”启动服务StiSvc 以运行服务器: {A1F4E726-8CF1-11D1-BF92-0060081ED811} 这个日志已经告诉我们了,错误就出在DCOM的权限上。原来以WindowsForm或在VS2005中的Web项目运行的时候,调用这个DCOM的是当前操作用户的权限,所以一般也没有问题,但是用IIS调用的时候就涉及到用户IUSR_××××,IWAM_×××,Network Service 等用户权限,由于这些用户的权限在各个配置中都比较低,所以造成如文件不能写入,DCOM 不能调用等错误。 我们这儿的解决办法其实也不复杂,到注册表中搜索提示的{******-*****}这个ID,可以找到这个DCOM的名字,然后运行中输入dcomcnfg打开组件服务,然后找到这个DCOM和相关调用的DCOM,将其权限中添加Network Service,把这个用户权限什么远程启动,远程激活之类的都打开。然后记住一定要重启机器,这样我们就可以在IIS中调用DCOM了。 错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。”,试图以参数“”启动服务SENS 以运行服务器: Windows2000+SP4环境,系统做过优化,有时候发现系统在无操作的时候磁盘在读盘.于是查询系统日志,有以下信息 1.错误ID:10005,错误信息:DCOM 遇到错误“无法启动服务,原因可能是它被禁用或与它相关联的设备没有启动。”,试图以参数“”启动服务SENS 以运行服务器: {D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E} 2.错误ID:10005,错误信息:DCOM 遇到错误“依存服务或组无法启动。”,试图以参数“”启动服务BITS 以运行服务器: {4991D34B-80A1-4291-83B6-3328366B9097} 因为本身系统服务做过优化,所以从服务出手,但是该动的服务太多了,不知道哪个是哪个了,于是驱猫上网搜索资料,终于找到原因. SENS(System Event Notification Services ),BITS(Background Intelligent Transfer Service)服务被我设置成禁止了,如果把这两个服务改回到自动状态,就没有这个问题了。ps:这2个系统服务都有依存关系的服务,如果发现无法启动这个服务要去检查是不是依存的服务也被你关闭了哦~
Win10怎么把图片打开方式恢复默认照片查看器方法二: Win10怎么把图片打开方式恢复默认照片查看器?想必大家已经将自己电脑上的系统升级为Win10系统了。在Win10系统中有一个最不方便的地方就是图片的打开方式为全新的应用,如果想恢复传统的照片查看器该怎么操作呢?全新安装Win10的用户一般会遇到这个问题,而从Win7/Win8/Win8.1旧版本系统升级到Windows10正式版的用户一般不会遇到。 1、首先,我们需要使用注册表编辑器来开启Win10系统照片查看器功能,因为其实这个功能是被隐藏了,那么按下Windows徽标键+R键,打开运行命令窗口,输入“regedit”命令。
2、打开注册表编辑器之后,我们双击左侧的目录,依次打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft目录,如下图所示。
3、在Microsoft目录下,我们需要找到 Windows Photo Viewer\Capabilities\FileAssociations目录项,直到看到该子目录下的一系列关键文件。
4、在FileAssociations目录下,我们对着该界面击右键,选择“新建-字符串值”菜单,如下图所示。
5、接下来就是比较关键的步骤了,如果你想要打开.jpg后缀的文件,那么数值名称要写为.jpg,数值数据写为“PhotoViewer.FileAssoc.Tiff”,如下图所示,然后点击“确定”按钮。 6、接下来,如果你想要使用Windows照片查看器查看.png后缀的文件,那么数值名称写为.png,数值数据还是为PhotoViewer.FileAssoc.Tiff。换句话说,只要你想更改任何格式的图片文件打开方式,那么数值名称就是.格式名称,数值数据一直为PhotoViewer.FileAssoc.Tiff。