郭建伟
在Windows运行过程中,几乎时刻都会产生各种事件,系统会将其自动保存到日志信息中。通过对日志进行深入分析,可以全面掌控系统的运行情况。当系统运行出现问题时,运行“eventvwr.msc”程序在事件查看器中对日志信息进行分析,就可以很轻松的发现问题所在,并据此对系统进行修复和优化操作。因此,对系统日志进行有效管理,对于保证系统的高效运行是极为重要的。
管控账户活动信息
对于系统安全来说,保护账户安全显得极为重要,一旦系统中出现了非法的可疑账户,就需要引起足够的警惕,利用事件查看器,可以及时发现危险的账户。例如,在Windows 7中点击“Win+R”键,执行“secpol.msc”程序,在本地安全策略窗口(图1)左侧选择“本地策略→审核策略”,在右侧双击“审核账户管理”项,在弹出窗口中选择“成功”项,点击确定按钮保存配置信息。
为了便于操作,可以运行“lusrmgr.msc”程序,在账户管理界面中新建一个账户。之后运行“eventvwr.msc”程序,打开事件查看器,在其左侧选择“Windows日志→安全”项,在右侧窗口根据日期和时间进行排序,找到刚才创建账户触发的记录项(图2),查看其事件编号(例如4720)。选中该日志项,在右侧窗格中选择“将任务附加到此事件”链接,在向导界面(图3)中填入任务名称,点击“下一步”按钮,在弹出窗口中选择“显示消息”,输入相关的警告信息。
完成上述操作之后,单击“完成”按钮,就可以添加一个新的计划任务。以后只要系统中新增了账户,系统就会弹出预设的警告信息引起用户的注意了。同理,对于其他的高风险事件,也可以将其绑定到计划任务中,实现有效监控处理。注意,如果这类计划任务失败,也可以为其设置触发处理动作。
在事件查看器界面左侧选择“应用程序和服务日志→Microsoft→Windows→TaskScheduler→Operational”,从中选择启动失败的计划任务。在其右键菜单上点击“将任务附加到此事件”项,按照操作向导的提示,设置任务名称和描述信息,并输入具体的警告消息内容。这样,如果该任务计划没有正常启动,就会弹出预设的提示消息。当然,也可以选择发送电子邮件操作,这样您可以通过邮件得知账户创建操作。
审核用户使用信息
如果有人未经许可,随意猜测并尝试登录密码,对本机安全就会造成威胁。一旦其非法登录成功,就会在本机中随意执行程序,轻则将本机配置搞乱,重则招来病毒侵袭。利用事件查看器,可以全程监控非法使用信息。点击“Win+R”键运行“gpedit.msc”程序,在组策略窗口左侧选择“计算机配置→管理模板→Windows组件→Windows登录选项”项(图4),在右侧双击“在用户登錄期间显示以前登录有关的信息”项,在弹出窗口(图5)中选择“已启用”项。之后在登录屏幕上就会显示非法用户尝试登录的次数和时间等信息。
在组策略编辑器左侧选择“计算机配置→Windows设置→安全设置→高级审核策略配置→系统审核策略→详细跟踪”项(图6),在右侧分别双击“审核进程创建”、“审核进程终止”项,为其开启成功审核策略。这样,当使用者运行任何程序,都会被系统记录下来。在事件查看器窗口左侧选择“Windows日志→安全”,在右侧窗格就可以看到使用者启动或者终止的所有程序信息。
如果要想深入查看开启和终止程序的时间,可以利用事件查看器的搜索功能,来搜索特定的程序名称,就可以找到与该程序相关的审核事件,在其属性窗口中显示启动该程序的精确时间。当您暂时离开电脑时,通常会点击“Win+L”键来锁定电脑,如果有人趁机猜测密码试图登录的话,执行一个解锁过程就会产生一次登录事件。所以在事件查看器中打开“Windows日志→安全”项,在右侧如果发现了大量的解锁失败事件,那就说明是有人试图非法执行解锁操作。
检测系统启动缓慢的原因
我们都有这种感觉,系统刚安装的时候,启动的速度很快,但是当运行一段时间后,速度就会越来越慢。毫无疑问,肯定有相关的程序拖了系统的后腿,利用事件查看器,可以很容易找到问题的根源。在事件查看器主界面左侧点击“应用程序和服务日志→Microsoft→Windows→Diagnostics-Performance→Oprational”项,可以查看影响系统性能的事件信息(图7)。
在右侧点击“筛选当前日志”项,在弹出窗口(图8)中的“包括/排除事件ID”栏中输入“100”,这是因为系统对启动性能的任务类别的ID为100,点击确定按钮,在日志中搜索ID为100的事件信息。因为系统可能搜索到很多条记录信息,为了简单起见,可以按照具体的日志查看。例如双击日期为2019年12月19日的启动记录,在其属性窗口(图9)中可以查看其具体信息,在“启动持续时间”栏中显示该次启动花费的时间,即从出现Windows徽标界面到显示桌面为止的这段时长。注意,其单位为毫秒。如果该时间较长的话,就可以进行进一步的分析了。
打开筛选当前日志窗口,在“包括/排除事件ID”栏中输入“101-110”,之后执行筛选操作,将所有符合该事件ID段的日志全部过滤出来。因为该事件ID段的日志记录的都是和启动相关的监控内容,对这些记录逐一分析,不难发现启动缓慢的原因。
例如双击ID为103的事件项目,在其属性窗口中的“总计时间”栏中显示系统自带的Windows Defender服务启动的具体时长。在“降级时间”栏显示其浪费的时间,即比正常启动多花费的时间。例如,程序的升级操作,就会导致其启动时间超长的现象等。因为该服务主要用来扫描病毒等恶意程序,因为运行异常导致拖延了系统启动时间。如果您的系统中已经安装别的杀软,可以运行“services.msc”程序,在服务管理器中关闭该服务,这样就可以加快系统启动速度了。当然,按照同样的方法,通过对相关日志的分析,可以发现运行或者启动时间超过常规值的程序。