郭建偉

在Windows運(yùn)行過(guò)程中，幾乎時(shí)刻都會(huì)產(chǎn)生各種事件，系統(tǒng)會(huì)將其自動(dòng)保存到日志信息中。通過(guò)對(duì)日志進(jìn)行深入分析，可以全面掌控系統(tǒng)的運(yùn)行情況。當(dāng)系統(tǒng)運(yùn)行出現(xiàn)問(wèn)題時(shí)，運(yùn)行“eventvwr.msc”程序在事件查看器中對(duì)日志信息進(jìn)行分析，就可以很輕松的發(fā)現(xiàn)問(wèn)題所在，并據(jù)此對(duì)系統(tǒng)進(jìn)行修復(fù)和優(yōu)化操作。因此，對(duì)系統(tǒng)日志進(jìn)行有效管理，對(duì)于保證系統(tǒng)的高效運(yùn)行是極為重要的。

管控賬戶活動(dòng)信息

對(duì)于系統(tǒng)安全來(lái)說(shuō)，保護(hù)賬戶安全顯得極為重要，一旦系統(tǒng)中出現(xiàn)了非法的可疑賬戶，就需要引起足夠的警惕，利用事件查看器，可以及時(shí)發(fā)現(xiàn)危險(xiǎn)的賬戶。例如，在Windows 7中點(diǎn)擊“Win+R”鍵，執(zhí)行“secpol.msc”程序，在本地安全策略窗口（圖1）左側(cè)選擇“本地策略→審核策略”，在右側(cè)雙擊“審核賬戶管理”項(xiàng)，在彈出窗口中選擇“成功”項(xiàng)，點(diǎn)擊確定按鈕保存配置信息。

為了便于操作，可以運(yùn)行“l(fā)usrmgr.msc”程序，在賬戶管理界面中新建一個(gè)賬戶。之后運(yùn)行“eventvwr.msc”程序，打開(kāi)事件查看器，在其左側(cè)選擇“Windows日志→安全”項(xiàng)，在右側(cè)窗口根據(jù)日期和時(shí)間進(jìn)行排序，找到剛才創(chuàng)建賬戶觸發(fā)的記錄項(xiàng)（圖2），查看其事件編號(hào)（例如4720）。選中該日志項(xiàng)，在右側(cè)窗格中選擇“將任務(wù)附加到此事件”鏈接，在向?qū)Ы缑妫▓D3）中填入任務(wù)名稱，點(diǎn)擊“下一步”按鈕，在彈出窗口中選擇“顯示消息”，輸入相關(guān)的警告信息。

完成上述操作之后，單擊“完成”按鈕，就可以添加一個(gè)新的計(jì)劃任務(wù)。以后只要系統(tǒng)中新增了賬戶，系統(tǒng)就會(huì)彈出預(yù)設(shè)的警告信息引起用戶的注意了。同理，對(duì)于其他的高風(fēng)險(xiǎn)事件，也可以將其綁定到計(jì)劃任務(wù)中，實(shí)現(xiàn)有效監(jiān)控處理。注意，如果這類計(jì)劃任務(wù)失敗，也可以為其設(shè)置觸發(fā)處理動(dòng)作。

在事件查看器界面左側(cè)選擇“應(yīng)用程序和服務(wù)日志→Microsoft→Windows→TaskScheduler→Operational”，從中選擇啟動(dòng)失敗的計(jì)劃任務(wù)。在其右鍵菜單上點(diǎn)擊“將任務(wù)附加到此事件”項(xiàng)，按照操作向?qū)У奶崾?，設(shè)置任務(wù)名稱和描述信息，并輸入具體的警告消息內(nèi)容。這樣，如果該任務(wù)計(jì)劃沒(méi)有正常啟動(dòng)，就會(huì)彈出預(yù)設(shè)的提示消息。當(dāng)然，也可以選擇發(fā)送電子郵件操作，這樣您可以通過(guò)郵件得知賬戶創(chuàng)建操作。

審核用戶使用信息

如果有人未經(jīng)許可，隨意猜測(cè)并嘗試登錄密碼，對(duì)本機(jī)安全就會(huì)造成威脅。一旦其非法登錄成功，就會(huì)在本機(jī)中隨意執(zhí)行程序，輕則將本機(jī)配置搞亂，重則招來(lái)病毒侵襲。利用事件查看器，可以全程監(jiān)控非法使用信息。點(diǎn)擊“Win+R”鍵運(yùn)行“gpedit.msc”程序，在組策略窗口左側(cè)選擇“計(jì)算機(jī)配置→管理模板→Windows組件→Windows登錄選項(xiàng)”項(xiàng)（圖4），在右側(cè)雙擊“在用戶登錄期間顯示以前登錄有關(guān)的信息”項(xiàng)，在彈出窗口（圖5）中選擇“已啟用”項(xiàng)。之后在登錄屏幕上就會(huì)顯示非法用戶嘗試登錄的次數(shù)和時(shí)間等信息。

在組策略編輯器左側(cè)選擇“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→高級(jí)審核策略配置→系統(tǒng)審核策略→詳細(xì)跟蹤”項(xiàng)（圖6），在右側(cè)分別雙擊“審核進(jìn)程創(chuàng)建”、“審核進(jìn)程終止”項(xiàng)，為其開(kāi)啟成功審核策略。這樣，當(dāng)使用者運(yùn)行任何程序，都會(huì)被系統(tǒng)記錄下來(lái)。在事件查看器窗口左側(cè)選擇“Windows日志→安全”，在右側(cè)窗格就可以看到使用者啟動(dòng)或者終止的所有程序信息。

如果要想深入查看開(kāi)啟和終止程序的時(shí)間，可以利用事件查看器的搜索功能，來(lái)搜索特定的程序名稱，就可以找到與該程序相關(guān)的審核事件，在其屬性窗口中顯示啟動(dòng)該程序的精確時(shí)間。當(dāng)您暫時(shí)離開(kāi)電腦時(shí)，通常會(huì)點(diǎn)擊“Win+L”鍵來(lái)鎖定電腦，如果有人趁機(jī)猜測(cè)密碼試圖登錄的話，執(zhí)行一個(gè)解鎖過(guò)程就會(huì)產(chǎn)生一次登錄事件。所以在事件查看器中打開(kāi)“Windows日志→安全”項(xiàng)，在右側(cè)如果發(fā)現(xiàn)了大量的解鎖失敗事件，那就說(shuō)明是有人試圖非法執(zhí)行解鎖操作。

檢測(cè)系統(tǒng)啟動(dòng)緩慢的原因

我們都有這種感覺(jué)，系統(tǒng)剛安裝的時(shí)候，啟動(dòng)的速度很快，但是當(dāng)運(yùn)行一段時(shí)間后，速度就會(huì)越來(lái)越慢。毫無(wú)疑問(wèn)，肯定有相關(guān)的程序拖了系統(tǒng)的后腿，利用事件查看器，可以很容易找到問(wèn)題的根源。在事件查看器主界面左側(cè)點(diǎn)擊“應(yīng)用程序和服務(wù)日志→Microsoft→Windows→Diagnostics-Performance→Oprational”項(xiàng)，可以查看影響系統(tǒng)性能的事件信息（圖7）。

在右側(cè)點(diǎn)擊“篩選當(dāng)前日志”項(xiàng)，在彈出窗口（圖8）中的“包括/排除事件ID”欄中輸入“100”，這是因?yàn)橄到y(tǒng)對(duì)啟動(dòng)性能的任務(wù)類別的ID為100，點(diǎn)擊確定按鈕，在日志中搜索ID為100的事件信息。因?yàn)橄到y(tǒng)可能搜索到很多條記錄信息，為了簡(jiǎn)單起見(jiàn)，可以按照具體的日志查看。例如雙擊日期為2019年12月19日的啟動(dòng)記錄，在其屬性窗口（圖9）中可以查看其具體信息，在“啟動(dòng)持續(xù)時(shí)間”欄中顯示該次啟動(dòng)花費(fèi)的時(shí)間，即從出現(xiàn)Windows徽標(biāo)界面到顯示桌面為止的這段時(shí)長(zhǎng)。注意，其單位為毫秒。如果該時(shí)間較長(zhǎng)的話，就可以進(jìn)行進(jìn)一步的分析了。

打開(kāi)篩選當(dāng)前日志窗口，在“包括/排除事件ID”欄中輸入“101-110”，之后執(zhí)行篩選操作，將所有符合該事件ID段的日志全部過(guò)濾出來(lái)。因?yàn)樵撌录蘒D段的日志記錄的都是和啟動(dòng)相關(guān)的監(jiān)控內(nèi)容，對(duì)這些記錄逐一分析，不難發(fā)現(xiàn)啟動(dòng)緩慢的原因。

例如雙擊ID為103的事件項(xiàng)目，在其屬性窗口中的“總計(jì)時(shí)間”欄中顯示系統(tǒng)自帶的Windows Defender服務(wù)啟動(dòng)的具體時(shí)長(zhǎng)。在“降級(jí)時(shí)間”欄顯示其浪費(fèi)的時(shí)間，即比正常啟動(dòng)多花費(fèi)的時(shí)間。例如，程序的升級(jí)操作，就會(huì)導(dǎo)致其啟動(dòng)時(shí)間超長(zhǎng)的現(xiàn)象等。因?yàn)樵摲?wù)主要用來(lái)掃描病毒等惡意程序，因?yàn)檫\(yùn)行異常導(dǎo)致拖延了系統(tǒng)啟動(dòng)時(shí)間。如果您的系統(tǒng)中已經(jīng)安裝別的殺軟，可以運(yùn)行“services.msc”程序，在服務(wù)管理器中關(guān)閉該服務(wù)，這樣就可以加快系統(tǒng)啟動(dòng)速度了。當(dāng)然，按照同樣的方法，通過(guò)對(duì)相關(guān)日志的分析，可以發(fā)現(xiàn)運(yùn)行或者啟動(dòng)時(shí)間超過(guò)常規(guī)值的程序。