日志文件，它記錄著Windows系統及其各種服務運行的每個細節，對增強Windows的穩定和安全性，起著非常重要的作用。但許多用戶不注意對它保護，一些“不速之客”很輕易就將日志文件清空，給系統帶來嚴重的安全隱患。

一、什么是日志文件

　　日志文件是Windows系統中一個比較特殊的文件，它記錄著Windows系統中所發生的一切，如各種系統服務的啟動、運行、關閉等信息。 Windows日志包括應用程序、安全、系統等幾個部分，它的存放路徑是“%systemroot%system32config”，應用程序日志、安全日志和系統日志對應的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。這些文件受到“Event Log（事件記錄）”服務的保護不能被刪除，但可以被清空。

二、如何查看日志文件

　　在Windows系統中查看日志文件很簡單。點擊“開始→設置→控制面板→管理工具→事件查看器”，在事件查看器窗口左欄中列出本機包含的日志類型，如應用程序、安全、系統等。查看某個日志記錄也很簡單，在左欄中選中某個類型的日志，如應用程序，接著在右欄中列出該類型日志的所有記錄，雙擊其中某個記錄，彈出“事件屬性”對話框，顯示出該記錄的詳細信息，這樣我們就能準確的掌握系統中到底發生了什么事情，是否影響Windows的正常運行，一旦出現問題，即時查找排除。

三、Windows日志文件的保護

　　日志文件對我們如此重要，因此不能忽視對它的保護，防止發生某些“不法之徒”將日志文件清洗一空的情況。

　　1． 修改日志文件存放目錄

　　Windows日志文件默認路徑是“%systemroot%system32config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強對日志的保護。

　　點擊“開始→運行”，在對話框中輸入“Regedit”，回車后彈出注冊表編輯器，依次展開 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的 Application、Security、System幾個子項分別對應應用程序日志、安全日志、系統日志。

　　筆者以應用程序日志為例，將其轉移到“d:\cce”目錄下。選中Application子項,在右欄中找到File鍵，其鍵值為應用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”，將它修改為“d:cceAppEvent.Evt”。接著在D 盤新建“CCE”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統，完成應用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項下操作。

　　2． 設置文件訪問權限

　　修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權限，防止這種事情發生，前提是Windows系統要采用NTFS文件系統格式。

　　右鍵點擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標簽頁后，首先取消“允許將來自父系的可繼承權限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取”權限；然后點擊“添加”按鈕，將“System”賬號添加到賬號列表框中，賦予除“完全控制”和“修改”以外的所有權限，最后點擊“確定”按鈕。這樣當用戶清除Windows日志時，就會彈出錯誤對話框。

四、Windows日志實例分析

　　在Windows日志中記錄了很多操作事件，為了方便用戶對它們的管理，每種類型的事件都賦予了一個惟一的編號，這就是事件ID。

1． 查看正常開關機記錄

　　在Windows系統中，我們可以通過事件查看器的系統日志查看計算機的開、關機記錄，這是因為日志服務會隨計算機一起啟動或關閉，并在日志中留下記錄。這里我們要介紹兩個事件ID“6006和6005”。6005表示事件日志服務已啟動，如果在事件查看器中發現某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統。6006表示事件日志服務已停止，如果沒有在事件查看器中發現某日的事件ID號為6006的事件，就表示計算機在這天沒有正常關機，可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。
 

2． 查看DHCP配置警告信息

　　在規模較大的網絡中，一般都是采用DHCP服務器配置客戶端IP地址信息，如果客戶機無法找到DHCP服務器，就會自動使用一個內部的IP地址配置客戶端，并且在Windows日志中產生一個事件ID號為1007的事件。如果用戶在日志中發現該編號事件，說明該機器無法從DHCP服務器獲得信息，就要查看是該機器網絡故障還是DHCP服務器問題。