事件管理器中的事件编号是什么意思
答案:2 悬赏:50 手机版
解决时间 2021-03-10 14:06
- 提问者网友:川水往事
- 2021-03-09 19:31
事件管理器中的事件编号是什么意思
最佳答案
- 五星知识达人网友:独行浪子会拥风
- 2021-03-09 19:40
日志记录了系统中庞大而繁多的操作事件,提供了“编号”的方式供管理员进行快速查找所需要的事件记录。
小知识:
在事件查看器中事件类型有错误、警告、信息、成功/失败审核五种。通常重要的问题显示为“错误”,这种情况下必须要检查系统;将来可能出现问题的事件显示为“警告”,这种情况下应该检查问题并加以预防;用于描述应用程序或服务成功操作的事件显示为“信息”,这种情况也应加以关注。
根据经验,相对来说值得关注的编号有以下这些:
编号:624 //添加账户(成功审核)
原因:系统中已成功添加一个账户,该账户将具有指定权限。类似原因编号有642等。
作用:一个对网络安全敏感的管理员,如果在服务器中出现这条审核事件,那么应该立即检查是谁添加了这个账户、何时添加的、具有的权限是什么——很多黑客远程恶意添加账户的操作就是这么检查出来的。
编号:636 //为某个组添加了账户(成功审核)
原因:某个账户被添加到了指定的用户组中。
作用:除了管理员调整账户权限外,更多的可能就是黑客在远程恶意更改了用户所在组,并借此获得了相应的权限。如将公用账号Guest添加到管理员组中。下图中可以看到用户Shyzhong将shy这个账户添加到了Administrator管理员组中。如果不是管理员进行的操作,那么一定要仔细检查是否已遭到黑客入侵。
编号:643 //账户登录成功(成功审核)
原因:账户成功登录系统。
作用:如果在系统并未重启(根据日志事件发生时间判断)的情况下,在安全日志中发现了账户成功登录系统的事件,那么就要小心了,应当立即检查是否有恶意用户利用终端等方式进行了系统登录。
编号:1007号 //进行了DHCP配置(警告):
原因:这个警告信息是指在网络中某块网卡无法找到DHCP服务器,因此使用了一个内部的自动IP地址。如“计算机已自动配置网络地址为 005056C00008 的网卡的 IP 地址。 使用的 IP 地址是 169.254.218.201”这样的信息。
作用;如果是安装了双网卡,这种情况将不会影响正常的网络使用,因此这个错误信息可以不予考虑。但如果是在使用了DHCP服务器的局域网出现这个错误,那就需要仔细检查并予以排除了。
编号:1524 //程序卸载失败(警告)
原因:Windows不能正常卸载类注册文件,原因是还有别的应用程序或服务在使用它。此文件将在不再被使用时卸载。类似原因的编号还有1517等。
作用:在清除一些程序时,可以快速查出不能卸载的原因,以便采取正确的方法。
编号:6005 //事件日志服务已启动(信息)
原因:每次系统启动后,日志服务均会自动启动并记载指定事件。
作用:得知日志服务工作正常与否。
编号:6006 //事件日志服务已停用(信息)
原因:系统因关机、重启、崩溃等原因导致日志服务被迫中止。
作用:举个例子,如果你的服务器正常是不关机的,但却出现这个事件记录,那么应检查是否曾被恶意用户在本地或远程执行了重启操作。但对于个人用户来说出现这个信息则很正常,因为正常的关机操作也会出现它的。
编号:7001 //服务被禁止(错误)
原因:与 Computer Browser 服务相依的 Server 服务因一些错误而无法启动,原因可能是已被禁用或与其相关联的设备没有启动。
作用:应检查系统“服务”中的Server等服务是否被关闭,例如有的单机用户为了彻底杜绝默认共享的问题,而将Server服务关闭。随后当该机进行组建局域网、访问共享资源等操作时,就会因Server服务关闭而出现这类错误。这个事件有助于管理员方便地进行故障定位。
编号:11309 //调用文件失败(错误)
原因:读取文件“X:\office(出错文件位置和名称)”时出错。请确认文件是否存在,以及是否能够访问该文件。
作用:可以快速查知文件调用失败的原因,如是否因权限不够等
小知识:
在事件查看器中事件类型有错误、警告、信息、成功/失败审核五种。通常重要的问题显示为“错误”,这种情况下必须要检查系统;将来可能出现问题的事件显示为“警告”,这种情况下应该检查问题并加以预防;用于描述应用程序或服务成功操作的事件显示为“信息”,这种情况也应加以关注。
根据经验,相对来说值得关注的编号有以下这些:
编号:624 //添加账户(成功审核)
原因:系统中已成功添加一个账户,该账户将具有指定权限。类似原因编号有642等。
作用:一个对网络安全敏感的管理员,如果在服务器中出现这条审核事件,那么应该立即检查是谁添加了这个账户、何时添加的、具有的权限是什么——很多黑客远程恶意添加账户的操作就是这么检查出来的。
编号:636 //为某个组添加了账户(成功审核)
原因:某个账户被添加到了指定的用户组中。
作用:除了管理员调整账户权限外,更多的可能就是黑客在远程恶意更改了用户所在组,并借此获得了相应的权限。如将公用账号Guest添加到管理员组中。下图中可以看到用户Shyzhong将shy这个账户添加到了Administrator管理员组中。如果不是管理员进行的操作,那么一定要仔细检查是否已遭到黑客入侵。
编号:643 //账户登录成功(成功审核)
原因:账户成功登录系统。
作用:如果在系统并未重启(根据日志事件发生时间判断)的情况下,在安全日志中发现了账户成功登录系统的事件,那么就要小心了,应当立即检查是否有恶意用户利用终端等方式进行了系统登录。
编号:1007号 //进行了DHCP配置(警告):
原因:这个警告信息是指在网络中某块网卡无法找到DHCP服务器,因此使用了一个内部的自动IP地址。如“计算机已自动配置网络地址为 005056C00008 的网卡的 IP 地址。 使用的 IP 地址是 169.254.218.201”这样的信息。
作用;如果是安装了双网卡,这种情况将不会影响正常的网络使用,因此这个错误信息可以不予考虑。但如果是在使用了DHCP服务器的局域网出现这个错误,那就需要仔细检查并予以排除了。
编号:1524 //程序卸载失败(警告)
原因:Windows不能正常卸载类注册文件,原因是还有别的应用程序或服务在使用它。此文件将在不再被使用时卸载。类似原因的编号还有1517等。
作用:在清除一些程序时,可以快速查出不能卸载的原因,以便采取正确的方法。
编号:6005 //事件日志服务已启动(信息)
原因:每次系统启动后,日志服务均会自动启动并记载指定事件。
作用:得知日志服务工作正常与否。
编号:6006 //事件日志服务已停用(信息)
原因:系统因关机、重启、崩溃等原因导致日志服务被迫中止。
作用:举个例子,如果你的服务器正常是不关机的,但却出现这个事件记录,那么应检查是否曾被恶意用户在本地或远程执行了重启操作。但对于个人用户来说出现这个信息则很正常,因为正常的关机操作也会出现它的。
编号:7001 //服务被禁止(错误)
原因:与 Computer Browser 服务相依的 Server 服务因一些错误而无法启动,原因可能是已被禁用或与其相关联的设备没有启动。
作用:应检查系统“服务”中的Server等服务是否被关闭,例如有的单机用户为了彻底杜绝默认共享的问题,而将Server服务关闭。随后当该机进行组建局域网、访问共享资源等操作时,就会因Server服务关闭而出现这类错误。这个事件有助于管理员方便地进行故障定位。
编号:11309 //调用文件失败(错误)
原因:读取文件“X:\office(出错文件位置和名称)”时出错。请确认文件是否存在,以及是否能够访问该文件。
作用:可以快速查知文件调用失败的原因,如是否因权限不够等
全部回答
- 1楼网友:执傲
- 2021-03-09 20:01
我是来看评论的
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯