引言：網(wǎng)管員通常苦于沒有合適的第三方應用軟件來解決各種系統(tǒng)故障問題，實際上，Windows 系統(tǒng)本身自帶了很多優(yōu)秀的小工具。本文介紹利用Windows 事件查看器所記錄下的日志內(nèi)容來發(fā)現(xiàn)Serv-U 服務無法訪問的根源，根據(jù)這一線索逐步排除最終解決問題。

微軟在以Windwos NT為內(nèi)核的操作系統(tǒng)中都集成有事件查看器，它是Microsoft Windows操作系統(tǒng)工具。

Windows事件查看器的作用

Windows事件查看器的作用主要有四個：查看信息、搜索事件、存放日志和解決問題。

1.查看信息

選中事件查看器左邊的樹形結(jié)構圖中的日志類型（應用程序、安全性或系統(tǒng)），在右側(cè)的詳細資料窗格中將會顯示出系統(tǒng)中該類別的全部日志，雙擊需要查看的日志，便可以查看其詳細信息。在日志屬性窗口中可以看到事件發(fā)生的日志、事件的發(fā)生源、事件的種類、ID以及事件的詳細描述。這對解決所發(fā)生的故障非常有用。

2.搜索事件

如果系統(tǒng)中的事件過多，我們將很難找到真正導致導致故障發(fā)生的事件，可以使用事件“事件查看器”中的“刷選”功能找到我們想找的日志，方法介紹如下。

選中左邊的樹形結(jié)構圖中日志類型，右擊“查看”，并選擇“刷選”，日志刷選器將會啟動。選擇所要查找的事件類型，比如“錯誤”，以及相關的事件來源和類別等，并單擊“確定”。事件查看器會執(zhí)行查找，并只顯示符合這些條件的事件。

3.存放日志

系統(tǒng)日志中存放了Windows操作系統(tǒng)產(chǎn)生的信息、警告或錯誤。通過查看這些信息、警告或錯誤，用戶不但可以了解到某項功能配置或運行的情況，或者直接可以知道其產(chǎn)生錯誤的原因。而安全日志中存放了審核事件是否成功的信息，通過這些信息，我們可以了解這些安全審核是否成功。

同樣的，應用程序日志中存放應用程序產(chǎn)生的信息、警告或錯誤。通過這些信息，我們可以了解哪些應用程序成功，產(chǎn)生了哪些錯誤或潛在錯誤。

4.解決問題

查找導致系統(tǒng)問題的事件后，需要找到解決問題的方法。其中的很多問題我們可以通過微軟在線技術支持知識庫及Eventid.net網(wǎng)站來找到解決方法。另外，微軟中文社區(qū)提供在線支持和定期專家聊天，都可以為我們解決問題提供寶貴的資源。

事件查看器日志分類

在事件查看器中一共記錄三種類型的日志。

1.應用程序日志

包含有應用程序或系統(tǒng)程序記錄的事件，主要記錄程序運行方面的事件，錄入數(shù)據(jù)庫程序可以在應用程序日志中記錄文件錯誤，程序開發(fā)人員可以自行決定監(jiān)視的事件。

2.安全性日志

記錄了諸如有效和無效的登錄嘗試事件，以及與資源使用相關的事件。例如，創(chuàng)建、打開或刪除文件或其他對象，系統(tǒng)管理員可以指定在安全性日志中記錄什么事件。默認設置下，安全性日志是關閉的，管理員可以使用組策略來啟動安全性日志，或者在注冊表中設置審核策略，以便當安全性日志滿后使系統(tǒng)停止響應。

3.系統(tǒng)日志

包含Windows XP的系統(tǒng)組件記錄的事件，例如在啟動過程中加載驅(qū)動程序或者其他系統(tǒng)組件失敗將記錄在系統(tǒng)日志中。默認情況下，Windows會將系統(tǒng)事件記錄到系統(tǒng)日志之中。如果計算機被配置為域控制器，那么還將記錄DNS服務器日志。當啟動Windows時，“事件日志”服務會自動啟動，所有用戶都可以查看應用程序和系統(tǒng)日志，但只有管理員才能訪問安全性日志。

事件查看器記錄內(nèi)容

在事件查看器中主要記錄五種事件，事件查看器屏幕左側(cè)的圖標描述了Windows操作系統(tǒng)對事件的分類。事件查看器顯示如下類型的事件。

1.錯誤：重大問題，例如數(shù)據(jù)丟失或功能丟失。如果服務在啟動期間無法加載，便會記錄一個錯誤。

2.警告：不一定重要的事件也能指出潛在的問題。錄入，如果磁盤空間低，便會記錄一個警告。

3.信息：描述應用程序、驅(qū)動程序或服務是否操作成功的事件。例如，如果網(wǎng)絡驅(qū)動程序成功加載，便會記錄一個信息事件。

4.成功審核：接受審核且取得成功的安全訪問嘗試。例如，用戶對系統(tǒng)的成功登錄嘗試將作為一個“成功審核”事件被記錄下來。

5.失敗審核：接受審核且未成功的安全訪問嘗試。例如，如果用戶試圖訪問網(wǎng)絡驅(qū)動器單未成功，該嘗試將作為“失敗審核”被記錄下來。

用事件查看器解決故障案例

筆者利用Windows 2008 Server R2搭建FTP服務器后，使用FlashFxp連接FTP服務器時候，提示“數(shù)據(jù)Socket錯誤：連接被拒”的提示。根據(jù)以往的經(jīng)驗，出現(xiàn)這個錯誤是因為FlashFXP中沒有去掉“被動模式”，我們只要需要去掉被動模式和關閉防火墻就可以了。

可我們將FlashFXP中的被動模式去掉以后，測試FTP，問題同樣存在。嘗試很多辦法也不能解決問題。

圖1 “錯誤”日志記錄

圖2 21端口被占用

最后在事件查看器中，在“應用程序”的“事件屬性”中發(fā)現(xiàn)一項事件為“事件42，Serv-U FTP Server”，并且清楚表明，該事件級別為“錯誤”，事件ID為“42”，事件來源為“Serv-U FTP Server”及記錄時間等，其中有一項提示“SERVER IS NOT LISTENING:Port number 21 is already in use!”（如圖 1）。

然后我們就根據(jù)這些線索對FTP訪問故障進行逐一排除。通過“開始→運行”，輸入CMD，進入DOS命令模式，在命令提示符下鍵入netstat -ano命令，來查看什么程序占用了21端口（如圖 2）。

通過圖2可以看到，圖中端口號為21，所對應的PID為38908，接下來，需要找該PID對應的進程名稱。

直接用命令查找，格式為tasklist|findstr“38908”C:>tasklist|findstr "38908" ，結(jié)果發(fā)現(xiàn)映像名稱為tor.exe占用了21端口。

首先結(jié)束該進程，具體方法為：在DOS命提示符下輸入：taskkill /f /t /im tor.exe。

再次進行FTP的連通性測試，完全正常。

經(jīng)驗總結(jié)

網(wǎng)管員通?？嘤跊]有合適的第三方應用軟件來解決各種系統(tǒng)故障問題，實際上Windows系統(tǒng)本身自帶了很多優(yōu)秀的小工具，而且有些小工具的功能非常強大，諸如垃圾清理、快速格式化、磁盤分區(qū)等。

本文利用Windows事件查看器所記錄下的日志內(nèi)容來發(fā)現(xiàn)Serv-U服務無法訪問的根源，根據(jù)這一線索逐步排除最終解決問題。利用好了這些系統(tǒng)功能，不但系統(tǒng)的各種疑難雜癥可以得到輕松解決，還有效地利用了系統(tǒng)資源。