WINDOWS 操作系统非法关机如何通过系统日志查看？

事件查看器相当于操作系统的保健医生，查看应用程序、安全性和系统日志，查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息，通过查看事件属性来判定错误产生的来源和解决方法，使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识，最后给出了一个安全维护实例，对安全维护人员维护系统有一定的借鉴和参考。

(一)事件查看器相关知识

1事件查看器

事件查看器是 Microsoft Windows 操作系统工具，事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查看器：

(1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”，开事件查看器窗口

(2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwrmsc /s”打开事件查看器窗口。

(3)在运行中直接输入“eventvwr”或者“eventvwrmsc”直接打开事件查看器。

2事件查看器中记录的日志类型

在事件查看器中一共记录三种类型的日志，即：

(1)应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

(2)安全性日志

记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

(3)系统日志

包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下Windows会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器，那么还将记录DNS服务器日志。当启动Windows时，“事件日志”服务(EventLog)会自动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。

在事件查看器中主要记录五种事件，事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件：

(1)错误：重大问题，例如数据丢失或功能损失。例如，如果服务在启动期间无法加载，便会记录一个错误。

(2)警告：不一定重要的事件也能指出潜在的问题。例如，如果磁盘空间低，便会记录一个警告。

(3) 信息：描述应用程序、驱动程序或服务是否操作成功的事件。例如，如果网络驱动程序成功加载，便会记录一个信息事件。

(4)成功审核：接受审核且取得成功的安全访问尝试。例如，用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。

(5)失败审核：接受审核且未成功的安全访问尝试。例如，如果用户试图访问网络驱动器但未成功，该尝试将作为“失败审核”被记录下来。

(二)维护服务器安全实例

1打开并查看事件查看器中的三类日志

在“运行”中输入“eventvwrmsc”直接打开事件查看器，在该窗口中单击“系统”，单击窗口右边的类型进行排序，可以看到类型中有警告、错误等多条信息。

2查看系统错误记录详细信息

选择“错误”记录，双击即可打开并查看事件的属性，如图2所示，可以发现该事件为一个攻击事件，其事件描述为：

连接自 211992269 的一个匿名会话尝试在此计算机上打开一个 LSA 策略句柄。尝试被以 STATUS_ACCESS_DENIED 拒绝， 以防止将安全敏感的信息泄露给匿名呼叫者。

进行此尝试的应用程序需要被更正。请与应用程序供应商联系。 作为暂时的解决办法，此安全措施可以通过设置： \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值为 1 来禁用。 此消息将一天最多记录一次。

说明：该描述信息表明IP地址为“211992269”的计算机在攻击此服务器。

3根据提示修补系统漏洞

根据描述信息，直接打开注册表编辑器，依次层层展开找到键值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一个DWORD 的 “TurnOffAnonymousBlock Block DWORD” 键，并设置其值为“ 1”，。

说明：如果在事件属性中未给出解决方案，除了在google中寻找解决方法外，还可以对错误信息进行追踪，以找到合适的解决方法，一般有两种方式：

(1)微软知识库。微软知识库的文章是由微软公司官方资料和微软MVP撰写的技术文章组成，主要解决微软产品的问题及故障。当微软每一个产品的Bug和容易出错的应用点被发现后，都将有与其对应的KB文章分析这项错误的解决方案。微软知识库的地址是:http://supportmicrosoftcom，在网页左边的“搜索(知识库)”中输入相关的关键字进行查询，事件发生源和ID等信息。当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询。

(2)通过Eventidnet网站来查询

要查询系统错误事件的解决方案，其实还有一个更好的地方，那就是Eventidnet网站地址是:http://wwweventidnet。这个网站由众多微软MVP(最有价值专家)主持，几乎包含了全部系统事件的解决方案。登录网站后，单击“Search Events(搜索事件)”链接，出现事件搜索页面。根据页面提示，输入Event ID(事件ID)和Event Source(事件源)，并单击“Search”按钮。Eventidnet的系统会找到所有相关的资源及解决方案。最重要的是，享受这些解决方案是完全免费的。当然，Eventidnet的付费用户则能享受到更好的服务，比如直接访问针对某事件的知识库文章集等。

4多方复查

既然出现了LSA的匿名枚举，那么一定会存在登录信息，如图4所示，单击“安全性”查看事件属性，先针对“审核失败”进行查看，可以看到IP地址“211992269”的多次连接失败的审核信息。需要特别注意的是，事件查看器中记录的日志必须先在安全策略中进行设置，默认情况下不记录，只要启用审核以后才记录。然后依次查看审核成功的登录记录，如果发现该IP地址登录成功，那么还需要对系统进行彻底的安全检查，包括修改登录密码，查看系统时候被攻击者留下了后门。在本例中主要事件就是IP地址为211992269的服务器在进行密码攻击扫描，根据事件属性中提供的策略进行设置后，即可解决该匿名枚举的安全隐患。

问题一：电脑怎么查看开机记录 XP下，控制面板-管理工具-事件查看器-系统

来源叫：eventlog，这个能记录你开机时间和关机时间的。

不过你妈要是能从这知道，我劝你还是死了玩电脑的心吧・・・・可怜的孩子

问题二：如何查看笔记本电脑的开关机历史记录？ 1 首先打开“我的电脑”，然后右击左面“计算机”图标，打开“管理”选项，如下图：

2 在打开的“计算机管理”管理界面中，依次点击左面的“系统工具”――事件查看器，如下图：

3 单击“Windows日志”――“系统” ，然后选择打开右边的“筛选当前日记”，如下图：

4 在“筛选当前日志”窗口中，事件来源选择“eventlog”，在如下图位置输入“6005,6006”。

备注：eventlog标示开关，而6005表示开机，6006表示关机。

5 输好后点击确定，在主要窗口就会筛选出电脑最近时间的开机关机情况，如下图：

问题三：怎么查看和删除电脑的开机记录？ 查看电脑使用记录

查看开关机

打开“我的电脑”，C盘Windows目录下有很多文件，找到一个SchedLgUtxt 它是“计划任务”的日志，会忠实地记录电脑计划任务的执行情况，还有每次开机启动Windows系统的信息。这下哪怕他半夜里偷偷开电脑，我早上一查就知道了。

查看文档记录

开始→我最近的文档，点开这里就可以查看他最近都写了什么文档，看了什么**、。

查看上网记录

只要他用IE浏工器浏览任何网站，在Windows＼History的文件夹里都将自动保持记录，最近的可记录99天的一切操作过程，包括去过什么网站、看过什么、打开过什么文件等信息。

更简单的方法就是打开IE浏览器，在地址栏的边上有一个下拉的按键，点一下，就可以看到最近上网比较频繁的网站了。

楼主明白了吧,把那些文件删了就OK了!

问题四：怎么看电脑上一次关机时间 windows自带。

我的电脑右键，管理，系统工具，事件查看器。

问题五：如何查看自己电脑的开机记录？？？ 鼠标右键点击：桌面上“我的电脑”里面的管理，选择系统工具里面的事件查看器，里面的系统可以看到什么时候开机什么时候关机。。。。

问题六：如何查询自己电脑的最后关机时间？ 如何查到自己电脑上次关机时间，操作方式如下：

1、首先右键电脑桌面上的计算机图标，在弹出的选项中，点击“管理”选项 如图

2、打开计算机管理之后，点击左边的“系统工具” 如图

3、打开系统工具之后，点击里面的“事件查看器” 如图

4、打开“事件查看器”之后，在点击里面的“Windows日志”里面的“系统” 如图

5、打开系统所有事件之后，点击右边的“刷选当前日志”选项 如图

6、打开刷选当前日志窗口之后，在ID栏那里输入“6005,6006”，因为6005是代表开机，6006是代表关机，然后点击底下的“确定” 如图

7、完成以上操作步骤之后，就可以查看到自己电脑的关机时间和开机时间了 如图

问题七：开关机的时间在电脑上有记录吗？怎么查？ 右击我的电脑，管理，打开事件查看器，在左侧窗口中选择“系统”，从右侧系统事件中查找事件ID为6005、6006的事件（事件ID号为6005的事件表示事件日志服务已启动，即开机，同理事件ID：6006表示关机），它们对应的时间就分别是开机时间和关机时间。可以在菜单栏--查看--筛选，写入事件ID，

问题八：怎么查询自己电脑的开机关机时间记录 打开“控制面板”，双击“管理工具”，然后打开“事件查看器”，在左边的窗浮中选择“系统”选项。单击鼠标右键，在dan出的快捷菜单中选择“属性”，在打开的“系统属性”窗口中选择“筛选器”选项卡，在“事件类型”下面选中“信息”复选项，并在“事件来源”列表中选择“eventlog”选项，继续设定其他条件后，单击“确定”按钮，即可看到需要的事件记录了。双击某条记录，如果描述信息为“事件服务已启动”，那就代表计算机开机或重新启动的时间，如果描述信息是“事件服务已停止”，即代表计算机的关机时间。开始/控制面板/管理工具/事件查看器

左边选系统,然后看右边的事件,事件为6005的为开机,6006的为关机

如果你是电脑盲,觉得上面这个方法麻烦,就用下面这个方法:

开始/运行/输入C:\WINDOWS\schedlgutxt

问题九：怎么查看电脑的开机关机记录 可以通过系统日志查看

右键“我的电脑”（计算机） -->管理（也可以在控制面板中打开：控制面板-->系统和安全-->管理工具-->计算机管理）

点开（系统工具）事件查看器

然后找到（Windows日志）系统

双击打开开

你将会在右侧看到一堆列表

查看来源列

如果你发现“Winlogon” ，那这条“Winlogon”所对应的日期和时间就是一个开机记录

如果不存在Winlogon，则可以查找eventlog事件中的ID号为6005事件

因为系统每次开机都会触发6005事件，这样也就相当于知道了你的一次开机记录

PS，事件比较多的话，你可以筛选着看

找到 ”筛选当前日志“（筛选器）Windows7应该在右栏

单击打开对话框，找到“事件来源” 选择“Winlogon”或者 直接在事件ID中输入6005，确定即可

看图：

　系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。下面是我收集的如何查看电脑里的系统日志，希望对您有帮助。

　查看系统日志方法:开始→设置→控制面板→管理工具 中找到的“事件查看器”，

　或者在开始→运行→输入 eventvwrmsc 也可以直接进入“事件查看器”

　在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件，在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。

　具体信息

　本段例如可以利用eventlog事件来查看计算机开关机的记录：

　在事件查看器窗口，在左侧的窗格当中选择系统选项，单击右键属性菜单项

　之后在弹出来的属性对话框当中切换到筛选选项卡，在事件来源下拉列表框中找到“evenlog之后确定，此时就可以看见该事件的'日志信息了!

　其中事件ID 6006 ID6005、 ID 6009就表示不同状态的机器的情况(开关机)。

　6005 信息 EventLog 事件日志服务已启动。(开机)

　6006 信息 EventLog 事件日志服务已停止。(关机)

　6009 信息 EventLog 按ctrl、alt、键(非正常)关机

　如何查看系统日志(以windows2003server为例)

　查看Windows2003系统日志的办法

　Windows日志文件记录着Windows系统运行的每一个细节， 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志，管理员可以及时找出服务器出现故障的原因。

　一般情况下，网管都是在本地查看日志记录，由于目前的局域网规模都比较大，因此网管不可能每天都呆在服务器旁。一旦远离服务器，网管

　就很难及时了解到服务器系统的运行状况，维护工作便会受到影响。现在，利用Windows Server 2003(简称Windows 2003)提供的Web访问接口功能就可解决这个问题，让网管能够远程查看Windows 2003服务器的日志记录。

　远程查看Windows 2003服务器的日志记录非常简单。在远程客户端(可采用Windows 98/2000/XP/2003系统)，运行IE浏览器， 在地址栏中输入“https://Win2003服务器IP地址:8098”，如“https://19216801:8098”。在弹出的登录对话框中输入管理员的用户名和密码，点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接，切换到“维护”管理页面，然后点击“日志”链接，进入到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除Windows 2003服务器日志。

　在日志管理页面中可列出Windows 2003服务器的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。

　查看某类日志记录非常简单，笔者以查看Web管理志为例，点击“Web管理日志”链接，进入日志查看页面，在日志文件列表框中选中要查

　看的日志文件，然后点击右侧的“查看日志”按钮，就能浏览Web管理日志记录中的详细内容了。

　清除某个日志文件也很简单，选中该日志文件后，点击“清除”按钮即可。如果你觉得远程查看日志不方便，想在本 地机器中进行查看，这时你 可以将日志文件下载到本地硬盘。选中某个日志文件，然后点击“下载日志”按钮，在弹出的“文件下载”对话框中点击“保存”按钮并指定存放路径即可。

问题一：如何查看电脑重启原因的历史记录 我的电脑上右键---管理---展开 事件查看器（非时间查看器），伐里分应用程序、安全性、系统，三大类的事件记录，点击相应的项，在右侧就看到所有事件的记录。主要用于分析出错原因。

问题二：如何查看自己电脑的开机记录？？？ 鼠标右键点击：桌面上“我的电脑”里面的管理，选择系统工具里面的事件查看器，里面的系统可以看到什么时候开机什么时候关机。。。。

问题三：电脑怎么查看开机记录 XP下，控制面板-管理工具-事件查看器-系统

来源叫：eventlog，这个能记录你开机时间和关机时间的。

不过你妈要是能从这知道，我劝你还是死了玩电脑的心吧・・・・可怜的孩子

问题四：怎么查看电脑有没有自动重启 硬盘通电时间,假如距离上次关机时间不对,其间可能重启过

问题五：如何查看电脑开关机记录 (一）如果你只是想查看一下，从昨天关机到今天开机之间有没有人使用我的计算机，在“开始”菜单的运行”中输入“eventvwrmsc”，或者是按下开始菜单-程序-管理工具-事件查看器,打开事件查看器，在左侧窗口中选择“系统”，从右侧系统事件中查找事件ID为6005、6006的事件（事件ID号为6005的事件表示事件日志服务已启动，即开机，同理事件ID：6006表示关机），它们对应的时间就分别是开机时间和关机时间。(二）如果你觉得从这么多事件中找开关机事件太费事，你可以使用“筛选”来使内容简洁。在事件查看器的“查看”菜单中选择“筛选”选项，在属性对话框中选择“筛选器”选项卡，并在其中勾选“信息”、“警告”、“错误”三项，在“事件来源”下拉列表中选择“eventlog”，单击“确定”按钮后，系统事件中的内容就少了很多，我们可以轻易找到最近的开关机时间。(三）如果你依旧觉得太费事，那只好使用必杀技了。在“开始”菜单中的“运行”中输入“C:\WINDOWS\schedlgutxt”，在打开的schedlgutxt文件中有“任务计划程序服务”已启动于和“任务计划程序服务”已退出于的时间，分别对应着开机和关机时间，是不是很方便呢？天天备案也不难。(四）如果你想每一次开关机都能清楚地记录在案，那可以用“脚本+批处理”的方法。不过你要亲自动手了，我们使用“脚本+批处理”的方式来实现。只需在开机、关机脚本上添加两个记录时间的批处理命令，让它们随系统启动或关闭记录当时的时间到C:\aaatxt文件中。首先新建两个文本文档，分别用来记录开机和关机信息，输入以下的命令，然后另存为“bat”文件就可以了。其中开机批处理（startbat）如下：而关机批处理(shutdownbat)命令只要把startbat中的“开机记录”改为“关机记录”即可，其余不变。将上面的两个批处理命令做好后，在“开始”菜单中的“运行”中输入gpeditmsc，打开组策略，依次找到“计算机配置→windows设置→ 脚本(启动和关机)”，双击“启动”，在属性对话框中单击“添加”按钮，并在“脚本名”一栏中填入“startbat”的绝对路径，单击“确定”按钮。同理设置好关机脚本。这样可以了，开关机做个实验，打开C:\aaatxt文件，是不是记录了你刚才的关机和开机时间呢？

问题六：怎么查看和删除电脑的开机记录？ 查看电脑使用记录

查看开关机

打开“我的电脑”，C盘Windows目录下有很多文件，找到一个SchedLgUtxt 它是“计划任务”的日志，会忠实地记录电脑计划任务的执行情况，还有每次开机启动Windows系统的信息。这下哪怕他半夜里偷偷开电脑，我早上一查就知道了。

查看文档记录

开始→我最近的文档，点开这里就可以查看他最近都写了什么文档，看了什么**、。

查看上网记录

只要他用IE浏工器浏览任何网站，在Windows＼History的文件夹里都将自动保持记录，最近的可记录99天的一切操作过程，包括去过什么网站、看过什么、打开过什么文件等信息。

更简单的方法就是打开IE浏览器，在地址栏的边上有一个下拉的按键，点一下，就可以看到最近上网比较频繁的网站了。

楼主明白了吧,把那些文件删了就OK了!

问题七：如何查看笔记本电脑的开关机历史记录？ 1 首先打开“我的电脑”，然后右击左面“计算机”图标，打开“管理”选项，如下图：

2 在打开的“计算机管理”管理界面中，依次点击左面的“系统工具”――事件查看器，如下图：

3 单击“Windows日志”――“系统” ，然后选择打开右边的“筛选当前日记”，如下图：

4 在“筛选当前日志”窗口中，事件来源选择“eventlog”，在如下图位置输入“6005,6006”。

备注：eventlog标示开关，而6005表示开机，6006表示关机。

5 输好后点击确定，在主要窗口就会筛选出电脑最近时间的开机关机情况，如下图：

问题八：怎么查看电脑的开机关机记录 可以通过系统日志查看

右键“我的电脑”（计算机） -->管理（也可以在控制面板中打开：控制面板-->系统和安全-->管理工具-->计算机管理）

点开（系统工具）事件查看器

然后找到（Windows日志）系统

双击打开开

你将会在右侧看到一堆列表

查看来源列

如果你发现“Winlogon” ，那这条“Winlogon”所对应的日期和时间就是一个开机记录

如果不存在Winlogon，则可以查找eventlog事件中的ID号为6005事件

因为系统每次开机都会触发6005事件，这样也就相当于知道了你的一次开机记录

PS，事件比较多的话，你可以筛选着看

找到 ”筛选当前日志“（筛选器）Windows7应该在右栏

单击打开对话框，找到“事件来源” 选择“Winlogon”或者 直接在事件ID中输入6005，确定即可

看图：

问题九：如何查看电脑强行关机的记录？ 咳咳 楼主对不起哈 这个问题貌似不能 目前还查不到此记录 不过呢 可以查开关机记录的 不过查不到是不是强行的懂了么？楼主？ 右击我的电脑→左键依次点管理→事件查看器→系统，找到eventlog这一项就可以看见上次关机时间和开机时间。 这是一种方法。 第二种：默认Windows的任务计划是启动的，因此可以通过查看任务计划的日志来查看开关机的时间。因为在开机时会有一条任务计划启动的日志，具 置在C:\windows(winnt)下的SchedLgUTxt。

SchedLgUTxt内容大致如下：

“任务计划程序服务” 已启动于 2XXX-X-XX:XX:XX

“任务计划程序服务”

已退出于 2XXX-X-X XXXXX

相当于告诉你：2XXX-X-X:X:X电脑关机，2XXX-XXX:XX:XX电脑开机。] 看懂了 给个采纳呗

问题十：怎么查看Mac电脑的开机记录？ finder-前往-实用工具-控制台，在右上角输入 BOOT_ 即可看到开机时间

是定时关机还是怎样的？描述清楚才好解决。

sudo crontab -e里看看有没有关机的代码，/etc/crond里看看有没有跟关机有关的，

看看/var/log/authlog里有没有关机相关的日志，/var/log下有很多日志，仔细看看吧。

方法/步骤

点击’开始菜单‘，然后点击’控制面板‘。

1、在打开的控制面板当中，以’类别‘方式来查看时，点击系统和安全；

2、在’系统和安全‘面板中找到’管理工具‘，点击下面的’查看事件日志‘，就可以打开’事件查看器‘了。

也可以通过dos命令来打开’事件查看器‘：按下组合键win+r,然后输入’eventvwrexe‘,然后回车就可以打开了。

在打开的’事件查看器‘面板中，点击左侧的’Windows日志‘，可以看到有’应用程序、安全、setup、系统等‘可以在这里查看自己需要看的信息。

1、如：我要查看系统的 开关机，则点击右侧的’筛选当前日志‘然后输入 6005,6006，点击确定，则可以查到到系统的开关机时间。

2、也可以清除日志、清除筛选器等。