■ 河南 張永夏

在使用Windows過程中，難免會遇到各種各樣的問題。要想排除故障，讓系統(tǒng)順暢運行，就必須找到問題的根源，對癥下藥才可以恢復系統(tǒng)活力。當遇到難題時，只需到事件查看器中一探究竟，就可以快速發(fā)現(xiàn)問題所在。在任何版本的Windows中，都深藏著事件查看器這個出色的“偵探”，從開機、運行，到關機的所有環(huán)節(jié)中，系統(tǒng)的一舉一動都被完整地記錄下來。在事件查看器的幫助下，用戶可以輕松地診斷和糾正排除系統(tǒng)發(fā)生的各種錯誤和問題。

事件查看器使用方法

事件查看器是系統(tǒng)自帶的一個監(jiān)控工具，任何和系統(tǒng)以及軟件相關的事件都會被其完整記錄下來。當系統(tǒng)出現(xiàn)故障時，只需依靠系統(tǒng)監(jiān)控記錄信息，就可以準確定位故障的源頭。在Windows XP中，雖然也內置了事件監(jiān)控器，但其功能過于簡單。在Windows 7/8等系統(tǒng)中，其功能已經(jīng)今非昔比，成為我們得心應手的維護工具。右鍵點擊桌面的計算機圖標，選擇“管理”，在計算機管理窗口左側點擊“系統(tǒng)工具→事件查看器”項，就可以查看具體的監(jiān)控信息。也可以點擊“Win+R”鍵，執(zhí)行“eventvwr.msc”程序，直接打開事件查看器界面（如圖1）?；蛘咴陂_始菜單中的搜索欄中輸入“event”，直接回車就可以了。

如果無法啟動事件查看器，可以打開服務管理界面，在其中檢測“Windows Event Log”服務是否已啟動。如果未啟動，手工將其啟動并將其啟動類型設置為“自動”。如果無法啟動該服務，可以分別 刪 除“C:WindowsSystem32Logfiles” 和“C:WindowsLogs”兩個文件夾，之后重啟動系統(tǒng)再啟動該服務。如果事件查看器因為病毒破壞等原因無法啟動，可以使用MyEventView這款小巧的軟件，來高效管理各類日志信息，下載地址：http://www.onlinedown.net/soft/65845.htm。

在事件查看器窗口左側可以選擇事件的類型。例如Windows日志，應用程序和服務日志等。事件的處理也分為多個等級，包括信息（標記為藍色），警告（標記為黃色），錯誤（標記為紅色），成功審核和失?。擞洖槌壬┑?。當然，也可以按照時間、來源以及事件ID等屬性進行分類。例如一些不是很重要但將來可能出現(xiàn)的事件（例如磁盤空間較小等），會被標記為警告類型。如果是重要的問題（例如啟動時加載服務失敗等），就會被標記為錯誤類型。

選擇對應的日志類型，可以顯示與之關聯(lián)的事件項目。例如選擇“Windows日志→系統(tǒng)”項，可以看到很多標記為錯誤的事件。例如在“事件ID”列中雙擊ID為7023的事件，通過查看其詳細信息，了解到其內容為“下列引導或系統(tǒng)驅動程序無法加載：XX”。這就說明該錯誤事件是由于特定的驅動程序沒有被正常加載造成的。

1.3.2 注射碘酊治療法:行常規(guī)口腔粘膜局部消毒后,取8號針頭從囊腫邊緣外正常粘膜部位刺入,直達囊腔內,盡可能的抽盡或擠出囊液,待囊腫縮小或凹陷后,手指壓迫囊腫周圍防止血液回流,然后向囊腔注入2%碘酊0.2-0.5ml,至囊腔內充滿碘酊液,囊壁由透明色變?yōu)榘胱仙笸Ｖ?注射后停留2分鐘,用干棉球加壓注射處,抽出針頭,手指按壓棉球1分鐘,去除棉球,檢查無藥液滲出即可,1周后復診,視情況可按以上方法重復注射1次,一般不超過3次。囑患者保持口腔清潔,必要時口服抗炎藥物,預防感染,飲食以清淡飲食為主。

在很多情況下，XX指的都是與殺軟等安全軟件相關的服務，該殺軟服務可以搶在系統(tǒng)啟動前清除頑固病毒，之所以出現(xiàn)問題，有可能是病毒對其進行了破壞，或者卸載該殺軟不徹底所致。

由系統(tǒng)優(yōu)化引發(fā)的故障

有些用戶喜歡使用各種優(yōu)化軟件，對系統(tǒng)進行優(yōu)化處理，這當然可以提高系統(tǒng)的運行效率。不過有時由此引發(fā)各種奇怪的故障。例如當運行“l(fā)usrmgr.msc”程序，試圖打開本地用戶和組界面，來管理賬戶信息時，系統(tǒng)卻彈出沒有啟動服務器的提示，導致操作失敗。在事件查看器左側選擇“Windows日志→系統(tǒng)”項，在其中搜索標記為錯誤的的記錄。為了簡單起見，可以按照日志的日期和時間排序，來準確定位發(fā)生該錯誤的日期。雙擊找到的錯誤事件項目，在其屬性窗口中顯示“與Computer Broswer服務相依的Server服務因為下述錯誤而無法啟動”。找到了問題的根源，在服務管理器中啟動“Server”服務，并將其啟動類型設置為自動，就解決了上述問題。

Office為何無法順利運行

對于使用綠色版的Office用戶來說，有時會出現(xiàn)雖然可以正常使用，但在建立新文檔時，程序彈出一個警告窗口，必須確認后才可以繼續(xù)操作，利用系統(tǒng)日志可以快速找出問題所在。

可以先打開事件查看器窗口，點擊左側的“應用程序”項，在右側顯示所有和應用程序相關的日志信息。當出現(xiàn)上述警告窗口后，點擊確定按鈕，然后在上述事件查看器界面中尋找標記為警告的事件，按照觸發(fā)的時間可以很容易找到對應的記錄，雙擊后在其屬性窗口中可以看到，問題是由于在Office運行文件夾中缺少某個文件所致，上網(wǎng)下載該文件并將其存放到Office運行目錄中，就可以讓警告窗口消失了。

不讓虛擬設備引發(fā)故障

現(xiàn)在的光驅已經(jīng)很少見了，為了使用光盤鏡像文件，有時會安裝各種虛擬光驅軟件。有時當使用了這類軟件后，在事件查看器中選擇“Windows日志→系統(tǒng)”項，會發(fā)現(xiàn)大量的錯誤記錄，對其進行分析，發(fā)現(xiàn)其內容基本一致，來源都是“SPTD”，事件 ID 為“4”，描述為“驅動程序在其數(shù)據(jù)結構中檢測到了一個內部錯誤”。

SPTD其實是一個操作系統(tǒng)底層的硬件驅動程序，外部應用程序可以通過它直接操作底層的硬件設備，比如光驅、硬盤等。因此，在一些虛擬光驅類軟件中都會使用到該文件。問題根源在于該虛擬軟件自身存在問題，只要安裝更高版本的軟件或者更換為別的虛擬光驅軟件就行了。

對于系統(tǒng)類的錯誤事件來說，在其屬性窗口中已經(jīng)提供了對應的鏈接項目，點擊后可以進入微軟的事件和錯誤消息網(wǎng)頁，按照提示輸入錯誤描述信息或者事件ID，就可以快速查詢問題的根源了。

消除系統(tǒng)啟動時的錯誤信息

如果在系統(tǒng)啟動時，總是提示“Windows Installer正在安裝”之類的信息，而且沒有具體的安裝動作，可以在事件查看器中打開“Windows日志→應用程序”項，在右側可以看到所有和應用軟件相關的日志，其中就包括和Windows Installer相關的內容。按照啟動時的時間，找到對應的日志項目，查看其詳細信息，不難找到具體的錯誤原因。

例如。某個安裝程序出現(xiàn)異常等，根據(jù)提示信息，將目標文件夾中的具體安裝程序刪除，然后再重新安裝該軟件即可。

遠程桌面罷工的原因

遠程桌面是我們常用的工具，不過有時會出現(xiàn)突然罷工的情況。在事件查看器窗口查看系統(tǒng)類日志信息，可以找到與之對應的事件，查看其詳細信息，會發(fā)現(xiàn)遠程桌面的相關文件（例如“RDPDD.dll”等）和某些驅動（例如顯卡驅動）沖突所致。為此，可以將對應驅動升級到最新版本來化解問題。如果不能解決的話，可以進入對應驅動的設置界面，對其中的某些項目進行微調，例如關閉顯卡硬件加速功能等?；蛘咴谧员碇写蜷_“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management分支，在右側窗口中新建一個DWORD類型名稱為“SessionImageSize”項目，將其值設置為20即可。

排除阻礙，讓系統(tǒng)快速啟動

我們都有這種感覺，系統(tǒng)剛安裝的時候，啟動的速度很快，但是當運行一段時間后，速度就會越來越慢，毫無疑問，肯定有相關的程序拖了系統(tǒng)的后退，利用事件查看器，可以很容易找到問題的根源。在事件查看器主界面左側點擊“應用程序和服務日志→Microsoft→Windows→Diagnostics-Performance→Oprational”項，可以查看影響系統(tǒng)性能的事件信息（如圖 2）。

在右側點擊“篩選當前日志”項，在彈出窗口中的“包括/排除事件ID”欄中輸入“100”，這是因為系統(tǒng)對啟動性能任務類別的ID為100，點擊確定按鈕，在日志中搜索ID為100的事件信息。因為系統(tǒng)可能搜索到很多條記錄信息。為了簡單起見，可以按照具體的日志查看。例如雙擊日期為2014年4月19日的啟動記錄，在其屬性窗口（如圖3）中可以查看其具體信息，在“啟動持續(xù)時間”欄中顯示該次啟動花費的時間，即從出現(xiàn)Windows徽標界面到顯示桌面為止的這段時常。注意，其單位為毫秒。如果該時間較長的話，就可以進行進一步分析了。

打開篩選當前日志窗口（如圖4），在“包括/排除事件ID”欄中輸入“101-110”，之后執(zhí)行篩選操作，將所有符合該事件ID段的日志全部過濾出來。因為該事件ID段的日志記錄的都是和啟動相關的監(jiān)控內容。對這些記錄逐一分析，不難發(fā)現(xiàn)啟動緩慢的原因。

例如雙擊ID為103的事件項目，在其屬性窗口中的“總計時間”欄中顯示系統(tǒng)自帶的Windows Defender服務啟動的具體時長，在“降級時間”欄顯示其浪費的時間，即比正常啟動多花費的時間。例如，程序的升級操作，就會導致其啟動時間超長的現(xiàn)象等。該服務主要用來掃描病毒等惡意程序，因為運行異常導致拖延了系統(tǒng)啟動時間。如果您的系統(tǒng)中已經(jīng)安裝別的殺軟，可以運行“services.msc”程序，在服務管理器中關閉該服務，這樣就可以加快系統(tǒng)啟動速度了。

當然，按照同樣的方法，通過對相關日志的分析，可以發(fā)現(xiàn)運行或者啟動時間超過常規(guī)值的程序。

對于這些程序，如果沒有什么使用價值的話，可以運行“msconfig.exe”程序，在系統(tǒng)配置實用程序窗口中的“啟動”面板中禁用不需要的程序。如果其是系統(tǒng)服務的話，可以在“服務”面板中取消這些服務的選擇狀態(tài)，將其設置為禁用狀態(tài)。經(jīng)過一番整頓后，重啟系統(tǒng)，就會發(fā)現(xiàn)啟動速度明顯提高了。

順便說一下，ID為101的事件表示某個程序的啟動事件超過了正常值，造成系統(tǒng)啟動緩慢的現(xiàn)象。ID為102的事件指某個驅動程序啟動時間超過了正常值，引起系統(tǒng)啟動緩慢。如果該驅動程序存在問題或者未通過認證，就可能觸發(fā)該事件。ID為106的事件指背景優(yōu)化操作占用的時間超過預設值，引發(fā)系統(tǒng)啟動變慢，對此可以清空預讀取文件來解決問題。

審核機制追蹤病毒的蹤跡

因為病毒入侵后，喜歡在系統(tǒng)文件夾安身。所以通過對系統(tǒng)文件夾進行監(jiān)控，就可以發(fā)現(xiàn)病毒的行蹤。執(zhí)行“gpedit.msc”命令，在組策略窗口左側依次展開“計算機配置→Windows設置→安全設置→本地策略→審核策略”分支，在右側窗口中雙擊“審核對象訪問”項，在彈出窗口中勾選“成功”和“失敗”項，點擊確定按鈕保存配置。在系統(tǒng)文件夾（例如“C:WindowsSystem32”）的屬性窗口中打開“安全”面板，點擊右下角的“高級”按鈕，在彈出窗口中的“審核”面板中點擊“添加”按鈕，在賬戶搜索窗口中選中“Everyone”用戶，在審核項目窗口中的“訪問列表”中的“遍歷文件夾/運行文件”欄中勾選“成功”和“失敗”項。

您也可以選擇其他的審計項目，包括寫入數(shù)據(jù)、刪除、讀取權限等。這樣，對目標文件夾的操作就會被系統(tǒng)列入審核的范圍內。之后，可以隨時打開Windows事件查看器，在窗口左側選擇“Windows日志→安全”項，點擊菜單“查看→篩選”項，在彈出窗口中勾選“成功審核”和“失敗審核”項，這樣就大大縮小了搜索范圍。如果發(fā)現(xiàn)有用戶對目標文件夾進行了訪問，就說明有可疑程序對系統(tǒng)文件進行了改動。之后使用殺毒軟件對系統(tǒng)進行徹底掃描，來清除深度潛伏的惡意程序。

尋找軟件運行異常的根源

除了處理系統(tǒng)事件外，還可以在事件監(jiān)控器中分析各種軟件的故障信息，例如，當遇到軟件運行異常的情況，可以在事件監(jiān)控器界面中找到與之相關的信息，來分析具體的出錯原因。例如，有時當使用Office 2007時，程序會自動打開安裝向導窗口，要求用戶按照要求重裝一次。頻繁的這類提示讓人不勝其煩。在事件查看器后選擇“Windows日志→應用程序”項，在右側搜索到與某個Office啟動時間相同的警告項目，在其屬性窗口中顯示Office的某個備份文件丟失，才啟動了Office啟動修復安裝程序。有了這一線索，對系統(tǒng)進行檢測后，發(fā)現(xiàn)問題在于運行了某優(yōu)化軟件對系統(tǒng)進行優(yōu)化處理，導致將該備份文件刪除所致。解決的方法是恢復該備份文件，并禁止優(yōu)化軟件刪除該文件。

解決系統(tǒng)自動重啟故障

有時，在使用系統(tǒng)時會出現(xiàn)系統(tǒng)重啟的現(xiàn)象，但又找不到原因。利用系統(tǒng)關機跟蹤程序，就很容易搞清事情的真相。在Windows 7/8中默認關閉了關機事件跟蹤程序，要想使用的話，可以運行“gpedit.msc”程序，在組策略編輯器左側選擇“計算機配置→管理模板→系統(tǒng)”項，在右側窗口中雙擊“顯示關閉事件跟蹤程序”項，在彈出窗口（如圖5）中選擇“已啟用”項，在選項列表中選擇“始終顯示”項，點擊“確定”按鈕保存配置。

以后在執(zhí)行關機操作時，系統(tǒng)就出現(xiàn)“選擇一個最能說明你要關閉這臺電腦的原因”窗口，在其中列表中選擇具體的關機原因，點擊“繼續(xù)”按鈕，才可以執(zhí)行關機動作，關機事件跟蹤程序隨即會在事件監(jiān)控信息中自動記錄關機的原因。如果不選擇具體的關機原因的話，是無法關機的。點擊“Win+R”鍵，執(zhí)行“eventvwr.msc”程序，在事件查看器窗口左側選擇“Windows日志→系統(tǒng)”項，在右側顯示所有和系統(tǒng)關聯(lián)的日志信息，可以在其中尋找需要分析的關機事件，在其中的“日期和時間”列中進行查找，之后雙擊與對應關機時間點對應的記錄項，在其屬性窗口中可以查看具體的監(jiān)控信息（如圖6）。

例如，可以看到“進程XXX由于以下原因已代表用戶XXX啟動計算機的關機：其他（計劃內）”之類的信息，在“原因代碼”欄中顯示具體的關機代碼，例如0x85000000等。據(jù)此不難看出，XXX進程因為系統(tǒng)產(chǎn)生的0x85000000代碼的原因，以某個賬戶的身份關閉了系統(tǒng)。如果該關機操作是用戶發(fā)起的，那就不存在什么問題。否則的話，就需要對系統(tǒng)進行一番檢測了。

例如，很多情況下，都是因為“Explorer.exe“進程執(zhí)行了某個代碼執(zhí)行了關機操作，可以根據(jù)具體的代碼來分析原因，上網(wǎng)搜索該代碼的具體含義。對于相關的進程或者文件，通過系統(tǒng)的搜索功能，搜索相關的文件。因為某些文件可能處于隱藏狀態(tài)，所以需要在文件夾選項窗口中激活顯示隱藏文件功能。

對于系統(tǒng)文件來說，一般位于系統(tǒng)路徑中，如果發(fā)現(xiàn)的文件處于別的路徑，就需要引起警惕了。因為其很可能是病毒木馬，在對系統(tǒng)進行破壞時觸發(fā)了關機動作。當然，因為病毒木馬往往采用進程注入技術，將自身隱藏到Explorer.exe等合法的進程中。所以需要使用 IceSword、Wsyscheck、Process Explorer、PowerTool等安全工具，對Explorer.exe等進程的模塊信息進行查看和分析，來搜索其中是否存在可疑的DLL文件（例如沒有數(shù)字簽名等），將其清除后，如果系統(tǒng)不再自動重啟或者關機，就說明這就是病毒木馬的非法活動導致系統(tǒng)故障。

在本例中，通過查看相關的日志，發(fā)現(xiàn)了和系統(tǒng)關機有關的日志，提示名為“unapp_.exe”的進程代表XXX賬戶重新啟動了系統(tǒng)，經(jīng)過查詢，發(fā)現(xiàn)該進程屬于某軟件在執(zhí)行卸載時使用的程序，因為該軟件的卸載并不徹底，造成問題的出現(xiàn)。這是因為有些軟件在卸載時，可能會提示用戶重啟，如果卸載異常的話，就很容易造成文件異常，導致系統(tǒng)被強制重啟。為此，重新安裝了該軟件，并執(zhí)行了徹底的卸載操作，就解決了系統(tǒng)自動重啟的問題。

之后對系統(tǒng)監(jiān)控日志進行分析時，發(fā)現(xiàn)上述日志信息已消失。