服务器事件查看器

服务器事件查看器

事件查看器能看些什么

事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视的安全事件

提示：除了可以在“控制面板->管理工具”中找到“事件查看器”的踪影外，也可以在“运行”对话框中手工键入“％systemroot%\system32\eventvwr. msc/s”打开事件查看器窗口。

1.应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于您解决问题。

2，安全性日志

记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

3，系统日志

包含Windowsxp的系统组件记录的事件，例如：在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件：6006，如果你在某一天的事件查看器中没有发现ID为6006的事件，那么说明计算机在当天未正常关机，双击打开“事件厲性”窗口，如果看到手描述为“事件日志服务已停止”，说明这里的“时间”是指计算机正常关机的时间。

如果机子被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志；当启动Windows 时，“事件日志”服务(Eventlog)会自动启动，所有用户都可以查看应用稈序和系统日志，但只有管理员才能访问安全性日志。

小日志包含大信息

大家可千万别轻视这些枯燥的日志，其中可包含了很多非常有用的信息呢，如果你能仔细分析，肯定可以在这里找到很多有用的信息，这样会有助于你解决系统错误。

1.信息：描述了应用程序、驱动程序或服务的成功操作的事件，例如当网络驱动程序加载成功时，将会记录一个“信息”事件。

2.成功审核：成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件

3.失败审核：失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。

4.警告:虽然不是很重要，但是将来有可能导致问题的事件，这种情况下应该检查问题所在。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

5.错误：重要的问题，例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来，这种情况下有必要检查系统。

定期释放多余的日志

事实上，大部分时间记录下来的系统事件，都是一些流水账，随着时间的增加，系统日志的个头也会不断膨胀，当达到事先设置的日志大小后，会停止记录新的事件，因此我们需要定期释放多余的日志。

选中需要清除的日志，然后从“操作”菜单中选择“清除所有事件”，此时会弹出对话框询问是需要将当前日志保存下来，选择“是”会在清除之前将日志保存下来，选择“否”将永久丢弃当前事件记录，并开始记录新的事件。假如您觉得如果操作太繁琐的话，可以在活动日志的“属性”对话框中，选择“不改写事件（手动淸除日志）”，可以看到默认设置的“最大日志文件大小”只有512KB，我们可以根据实际情况重新设置这个值，以后当日志达到一定的大小或出现提示日志已满的信息时，系统会自动清除日志；或者选择“按需要改写事件”，这样可以确保在日志写满时也能够将所有的新事件写入日志，当然如此一来的话，新日志会自动覆盖旧日志。

不过，需要说明的，用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除或改写事件日志。或者，你也可以进入\Windows\system32\config\文件夹，其中以*.evt作为扩展名的文件就是所谓的日志文件，即“应用程序”日志，Appevent.evt即“系统”日志，Syseven t.evt即“安全性”日志，直接在这里删除相应的文件就可以了，不过如果你使用的是格式的系统，在删除日志文件之前必须首先关闭事件检查器服务才行。

除了使用“事件查看器”管理事件日志外，我们也可以使用命令行工具来创建和查询事件日志，以及使程序与特殊的日志事件关联，例如“Eventcreate.exe”可创建自定义的事件日志，“Eventque ry.vbs”可从一个或多个事件日志中列出事件和事件属性，“Eventtriggers.exe”可创建事件触发器，这样当特定事件日志发生时将自动执行相应的程序，从而弥补了事件查看器无法实时跟踪可疑事件的不足，如您感兴趣可以进行尝试。

审核Windows安全日志

安全日志是非常重要的系统记录器，不论是白己的操作还是别人远程恶意的操作都可以通过安全日志来体现出来，虽然现在的杀软以及反间谍软件已经很成熟了，但这并不代表你的系统就固若金汤，如果别人在你不注意的情况下悄悄的进入了你的电脑，而杀软却没有反应，如何揪出真凶呢？那么就要从安全日志下手了。

这里举一些翔云主机用户常见案例，供大家参考：

1.应用程序日志中存在大量ftp登陆失败日志.

相关截图：

点击后查看：

原因：有人恶意尝试破解ftp账号密码. 解决方法：

1.不使用ftp的时候可以将ftp功能关闭。

2.日志中出现大量sqlserver错误日志。

相关截图：

点击后查看：

原因：有人尝试破解服务器的sqlserver的sa密码。

解决方法：

1.万网翔云服务器默认的1433端口对外是关闭的，出现此类报错一般是由于开启了1433端口导致，

如果没有外部连接数据库的需求，建议关闭1433端口。

2.在windows防火墙中添加1433的本地ip信任。

3.日志中出现大量远程桌面登陆失败日志：

相关截图：

点击后查看：

原因：有人恶意尝试破解服务器管理员密码

解决方案：

1.修改服务器远程桌面端口至不常用端口。

2.不登陆服务器时，可以使用控制面板https://www.wendangku.net/doc/ba18233619.html,中的关闭远程桌面功能关闭服务器远程桌面。

事件查看器如何使用

一、事件查看器相关知识 1.事件查看器 事件查看器是 Microsoft 操作系统工具，事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视操作系统中的安全事件。有三种方式来打开事件查看器： (1)单击开始-设置-控制面板-管理工具-事件查看器，打开事件查看器窗口 (2)在运行对话框中手工键入%SystemRoot%system32eventvwr.msc /s打开事件查看器窗口。 (3)在运行中直接输入eventvwr或者eventvwr.msc直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志，即： (1)应用程序日志 包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。 (3)系统日志 包含 XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下会将系统事件记录到系统日志之中。如果计算机被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器，那么还将记录DNS服务器日志。当启动时，事件日志服务(EventLog)会自动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件，事件查看器屏幕左侧的图标描述了操作系统对事件的分类。事件查看器显示如下类型的事件：

事件驱动

[Part] 练习 1.

[试卷13号第11题] 假如我们想要对象eh来处理TextArea对象t的TextEvent事件，那么我们应如何把eh添加为t的事件处理程序？

(A) t.addTextListener(eh) (B) eh.addTextListener(t) (C) addTestListener(eh,t) (D) addTextListener(t,eh) 2. [试卷13号第4题] 编写JButton组件的事件处理器类时，需实现哪个接口？ (A) ItemListenser (B) ActionListenser (C) ButtonListenser (D) WindowListenser 3. [试卷13号第6题] 事件适配器类的作用是:（选三项）: [A] 为编写事件侦听器提供简便手段 [B] 创建一种全新的事件侦听机制 [C] 是由相应的事件侦听器接口继承而来 [D] 定义在Java.awt.event中 4. [试卷13号第12题] 处理一个对象事件的首选方式是哪项 (A) 覆盖对象的handleEvent()方法 (B) 添加一个或多个事件监听来处理事件 (C) 覆盖对象的processEvent()方法 (D) 覆盖对象的dispatchEvent()方法 5. [试卷13号第10题] 下列叙述正确的是哪项？（选三项） [A] TextField能产生ActionEvent事件 [B] TextArea能产生ActionEvent事件 [C] Button能产生ActionEvent事件 [D] MenuItem能产生ActionEvent事件 6. [试卷13号第2题] GUI事件模型的组成元素包括（选三项）: [A] 事件 [B] 事件处理器[C] GUI容器 [D] 事件源 7. [试卷13号第15题] 在事件委托类继承体系中，最高层次的类是哪项? (A) java.util.EventListener (B) java.util.EventObject (C) java.awt.A WTEvent (D) java.awt.event.A WTEvent 8.

[试卷13号第7题] 以下哪个方法不是鼠标事件侦听器接口（MouseListener）定义的？

(A) mousePressed (B) mouseEntered (C) mouseDragged (D) mouseClicked 9. [试卷13号第5题] 以下哪些接口是事件侦听器接口（选三项）? [A] ActionListenser [B] ItemListenser

系统安全防范之Windows日志与入侵检测

系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的方法就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己，网络上有很多专门进行此类功能的程序，例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮； (3)在“Internet服务管理员”页中单击“WWW管理”； (4)在“WWW管理”页中单击“日志”选项卡； (5)选中“启用日志”复选框，并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统，在Windows NT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类： 系统日志：跟踪各种各样的系统事件，记录由Windows NT 的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。

Windows日志文件解读

Windows日志文件完全解读 日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着非常重要的作用。但许多用户不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows 的正常运行，一旦出现问题，即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1．修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。 2．设置文件访问权限 修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。 1．查看正常开关机记录

如何查看电脑使用记录完整版

如何查看电脑使用记录 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

一、如何查看电脑开机记录 1.打开“我的电脑”，C盘Windows目录下有很多文件，找到一个（或者开始－运行）。它是“计划任务”的日志，会忠实地记录电脑计划任务的执行情况，还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”，双击“管理工具”，然后打开“事件查看器”，在左边的窗口中选择“系统”选项。单击鼠标右键，在弹出的快捷菜单中选择“属性”，在打开的“系统属性”窗口中选择“筛选器”选项卡，在“事件类型”下面选中“信息”复选项，并在“事件来源”列表中选择“eventlog”选项，继续设定其他条件后，单击“确定”按钮，即可看到需要的事件记录了。双击某条记录，如果描述信息为“事件服务已启动”，那就代表计算机开机或重新启动的时间，如果描述信息是“事件服务已停止”，即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序，文件最前面的为程序名，后面的执行代码不用理他！如果你没有优化过的话~这里面保存的东西应该是非常有价值的！

2.看你最近打开过什么文件（非程序）和文件夹(最近打开文件的历史记录)！ "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator （Administrator改成你的用户名）"-"Recent"（或开始－运行－recent）。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始－运行－Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始－文档中可以看到最近使用过的文件。 5. 电脑日志记录：开始/控制面板/性能和维护（经典视图里去掉这个）/管理工具/事件查看器，看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始－运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址，可以在IE里点击历史记录。

事件查看器登陆类型

Windows登录类型 如果你留意Windows系统的安全日志，在那些事件描述中你将会发现里面的“登录类型”并非全部相同，难道除了在键盘上进行交互式登录（登录类型1）之外还有其它类型吗？ 不错，Windows为了让你从日志中获得更多有价值的信息，它细分了很多种登录类型，以便让你区分登录者到底是从本地登录，还是从网络登录，以及其它更多的登录方式。因为了解了这些登录方式，将有助于你从事件日志中发现可疑的黑客行为，并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。 登录类型2：交互式登录（Interactive） 这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。 登录类型3：网络（Network） 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。 登录类型4：批处理（Batch） 当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。 登录类型5：服务（Service） 与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。

Windows日志文件全解读

一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例，将其转移到“d:\cce”目录下。选中Application子项

事件查看器查看故障代码

如何在事件查看器里查看故障代码 在现场维修时，我们常常会遇到手上没有KEY盘，但是为了准确找到故障点，急需详细故障代码的情况。本文的目的就是介绍在没有KEY盘的情况下，查看NCR ATM故障代码之方法。 首先，我们需要进入WINDOWS系统的事件查看器。 方法一在开始菜单的运行里面，输入“eventvwr”，敲击回车进入事件查看器。 方法二开始菜单（start）—控制面板（control panel）— —管理工具(administrative tools)—事件查看器(event viewer)。 进入事件查看器后，在左边选择“应用程序（application）”，右边会列出事件清单。 如图所示： 如果“来源（source）”一项里是“NCR Platform”则表示该事件为NCR的事件报告。一般我们需要关注的是“错误（ERROR）”与“警告（W ARNING）”两个级别的事件。 选定其中的一个事件，敲一下回车，就会弹出事件的详细描述。如下图所示：

定位码 在该事件的描述中，包含了详细的故障信息。 其中Device 表示设备 Mstatus 表示主故障代码 Slen 表示S码长度（与我们无关） Mlen 表示故障定位码长度（需减2） 在对话框下方的数据池为各类从代码（16进制）。 因为在此例中Slen=5，Mlen=12,表示前5个字节为S码，从第6个字节开始为定位码M_data，长度为12-2=10字节，如图所示。 查阅故障代码表，我们可以很清晰地找出相应的故障点——出钞模块未安装废钞箱。 再举一个例子，如图所示：

定位码 在此例中，设备为热敏流水打印机，故障主代码Mstatus=7。 因为Slen=1,Mlen=6，表示数据池前一个字节为S码，从第2个字节开始为定位码M_data 长度为6-2=4字节，也就是说定位码是40 00 00 02。 查阅故障代码表，可知流水打印机送纸堵塞。

在系统启动时至少有一个服务或驱动程序产生错误,详细信息请使用事件查看器查看日志。

在系统启动时至少有一个服务或驱动程序产生错误，详细信息请使用事件查看器查看日志。是怎么回事啊？ 右击我的电脑，属性，打开高级属性项，点击启动和故障恢复项设置，把系统失败项里的勾去掉。应该就不出了，最好找个优化大师来优化下系统垃圾文件。 修复系统吧这种情况一般都是2003SERVER或者2000SERVER 报的错先在运行里边CHKDSK 然后修复系统建议用修复盘修复 硬件驱动程序出现出错信息,可以查看该硬件在设备管理器中是否出现错误,如有错误,则删除,重新安装该硬件.(当然,硬件的驱动要装对). 打开控制面板-〉管理工具-〉服务，在右边可以看到系统服务列表，点击”启动类型“，按”启动类型“排序，查看”启动类型”为“自动”的服务的“状态”是否为“已启动”，找出没有启动的服务，然后尝试启动该服务，若正常启动，那么OK，系统启动时就不会出现上述错误了，若不能正常启动，那么根据启动错误信息再找找相关的解决办法． -------------------------------------------------------------------------------- 根据以上办法多半都能解决，不能解决的看下具体情况，如果是一些没太大必要的启动项可以禁用.以下给出更具体的解决办法： 1.最科学的方法: 第一步：记录问题的现象或者相关事件的描述。 对于某一个事件的发生，对于Windows 2000/XP/2003来说，会记录相关的日志信息。比如经常出现的启动后弹出一个对话框：“在系统启动时至少有一个服务或驱动程序产生错误，详细信息，请使用事件查看器查看事件日志”。其实很简单，操作系统已经告诉我们了，下面需要做的事情。 控制面板-〉管理工具-〉事件查看器 我们可以在事件查看器里面找到相关的事件。事件注意的顺序是：Error、Warning、Others Error（错误）事件的颜色是一个红色的标记，Warning（警告）事件是一个黄色，Other则是其他相关的标示。 那么对于这么多的错误，我们应该处理哪一个错误呢？本次开机离最后出现的事件最远的一个错误信息。也就是说，本次开机第一次出现的错误日志。这个是非常关键的部分。因为有可能后面所有的错误/警告事件的发生都跟这个有或多或少的联系。 OK，记录下事件的信息（事件源，事件ID，事件描述），相关的第一步算是完成了。 PS：对于蓝屏来说，我们需要记录的是Stop后面的东西0xXXXXXXXX(...)，和出现的相关

Automation错误的解决方案

Automation错误的解决方案 本文概述 ●本文档适用K/3各个版本 ●本文档例举了K/3在主控台、日常操作、和出现高级提示时Automation错误的出错 现象，通过对本文档的学习能够了解K/3 Automation错误的原因，如何通过各种方 法进行解决的过程。 版本信息 ●2009年06月26日 V1.0 编写人：崔志佳 版权信息 本文件使用须知 著作权人保留本文件的内容的解释权，并且仅将本文件内容提供给阁下个人使用。对于内容中所含的版权和其他所有权声明，您应予以尊重并在其副本中予以保留。您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。如果您不接受或违反上述约定，您使用本文件的授权将自动终止，同时您应立即销毁任何已下载或打印好的本文件内容。 著作权人对本文件内容可用性不附加任何形式的保证，也不保证本文件内容的绝对准确性和绝对完整性。本文件中介绍的产品、技术、方案和配置等仅供您参考，且它们可能会随时变更，恕不另行通知。本文件中的内容也可能已经过期，著作权人不承诺更新它们。如需得到最新的技术信息和服务，您可向当地的金蝶业务联系人和合作伙伴进行咨询。 著作权声明著作权所有 2009 金蝶软件（中国）有限公司。 所有权利均予保留。

目录 1AUTOMATION错误（一）主控台登录报错 (3) 1.1问题描述 (3) 1.2原因分析 (3) 1.3解决方案 (4) 1.3.1部分客户端报错 (4) 1.3.2所有客户端报错 (8) 2AUTOMATION错误（二）部分功能报错 (8) 2.1问题描述 (8) 2.2原因分析 (9) 2.3解决方案 (10) 3AUTOMATION错误（三）高级信息报错 (14) 3.1问题描述 (14) 3.2问题分析 (15) 3.3解决方案 (15)

事件驱动型会计信息系统研究

事件驱动型会计信息系统研究 秦晓霞1,席 鹏2 (1.山西财经大学会计学院,山西太原030012;2.中国人民银行太原中心支行,山西太原030002) [摘 要]本文从信息系统构建的角度对事项法会计进行了探讨。文章首先介绍了事项法会计的主要思想,进而分析了信息环境下建立事件驱动型会计信息系统的可行性,在此基础上提出构建事件驱动型会计信息系统的基本设想:由事项库、模型库与目的库三者构成的完整体系。 [关键词]事项法会计;会计信息系统;XBRL /事件驱动0是一种计算机术语,指当某一特定事件要求代码进入工作时程序指令开始执行。即平时对源数据信息不进行进一步的加工整理,当使用者需要某项专用信息时,立即驱动相关专用信息代码进行处理,实时生成信息。该思想来源于由20世纪六十年代美国会计学者George H.Sorter 提出的事项法会计。由于缺乏技术支撑,事项法会计在过去一直没有得到应有的重视,近年来,随着信息技术与网络技术的发展,关于事项法会计的研究日渐增多。本文旨在从信息系统的角度分析事项法会计的实现方式,希望能够提出一些建设性的建议。 一、事项法会计对传统会计理论的突破 事项法会计是指按照具体的经济事项来报告企业的经济活动,并以此为基础,重新构建财务会计的确认、计量和报告的理论与方法,其指导思想如下: 1、财务会计不仅要提供价值信息,也应当提供非价值信息。现行财务会计对数据的加工处理方式过滤掉了许多决策有用的非价值信息,大量会计假设与会计估计的存在降低了信息的可比性。事项法会计认为应该提供经济事项的原始形态信息,由用户根据自己的需求、偏好、决策模型等进行判断,避免了会计处理可能带来的有用信息的丧失。 2、应该采用多重计量属性对业务事件进行计量。由于不同事项具有不同的特征,不同的信息使用者关注的角度也不相同,因此,有必要采用多重计量属性,现行财务会计计量属性的单一性应该得到改善。 3、经济事项信息的处理者是信息使用者而非信息提供者。传统会计信息的处理者是信息提供者,依据相关会计法律法规的规定向外报送指定格式的报表与相关说明。事项法会计建立在使用者需求的差异性、计量属性的多样化基础上,因此信息提供者很难报送满足多方需求的会计信息,事项信息的处理者只能是信息使用人。 二、构建事件驱动型会计信息系统的可行性 电子商务的兴起,减轻了原始事项采集的工作量。电子商务代表了最先进的商务模式,通过网络,可以将信息流、商流、资金流和部分的物流完整地实现。即从寻找客户开始,一直到洽谈、订货、在线付(收)款、开据电子发票以至到电子报关、电子纳税等通过In ternet 一气呵成,在完成网上交易的同时保存了大量的交易轨迹。这些电子交易轨迹经过适当的数据改写与加工后,可以直接作为原始的事项信息,避免了人工录入系统的繁琐,极大减轻了事项采集与录入的工作量 XBRL 研究的纵深发展,对事件驱动型会计信息系统起到技术借鉴作用。美国注册会计师霍夫曼于1998年首次倡导开展XBRL 研究,至今已经取得了新的进展。我国上交所于2005年1月,要求所有在上交所注册的上市公司报送2004年年报时,必须同时报送XBRL 格式的年报全文。深交所于2005年2月也开始试点XB RL 应用示范项目,运行良好。目前,关于XBRL 分类标准的制定正在进行,该问题涉及到对基础财务数据的认定与数据相互之间逻辑关系与组合方式的分析,该研究对事件驱动型会计信息系统中对事项 的定义原则有很大的借鉴作用。此外,XBRL 必须提供给用户进行财务信息分析与计算的工具,与事件驱动型会计信息系统需要建立对数据进行深度加工的模型库、方法库的基本思想是一致的。可以预见,XBRL 技术的发展必将促进事件驱动型会计信息系统建立的进程。 三、事件驱动型会计信息系统模型设计 基于以上基本原理的分析,我们认为,事件驱动型会计信息系统应当包括事项库、模型库和目的库三部分。事项库存放企业发生的有关业务事项的原始信息,属于信息系统的输入端;模型库提供各种管理方法和数学模型供决策者使用,属于信息系统的加工处理端;目的库存放由事项库与方法库相结合产生的信息视图,构成输出端。三者的关系如下图所示 : 1、事项库。当一项业务发生时,记录人员必须判断哪些属于业务事项,那些属于非业务事项,对于业务事项,需要由各业务流程环节的相关人员按照特定的属性描述方法记录添加到共享事项库中。事项库是会计信息系统及时、高效运行的基础,若事项库中的信息不完全或者对事项特征的描述不准确,必将影响加工处理的有效性和输出系统的有用性。 2、模型库。模型库用来存放对经济事项进行处理的重分类模型、预测决策模型、财务分析模型、财务报告模型等。这其中的模型是由相对稳定的信息需求所决定的,受到各种会计规范的制约。当使用者需要关于业务事项的某方面信息时,驱动模型库中的特定的方法对事项库中的数据进行加工处理,将产生的决策所需信息存入目的库中,从而满足不同信息使用者对信息的个性化需求。模型库在建立过程中需要注意如下问题: (1)模型应该具备规范性、通用性。按照信息使用者对信息的需求动机不同,可以划分为若干种事件,为每一种事件设计相应的/过程程序0模型。模型应该尽可能按照规范性的统计学、运筹学原理进行构建,便于对不同信息系统按照同类模型处理生成结果的可比性,降低使用门槛。由于任何模型的建立都是在一系列基本假设的基础之上,因此模型库中必须有对模型的前提假设、使用条件的充分说明,避免使用者造成误解。 (2)模型库应该具备开放性。无论系统开发者考虑问题如何全面,仍然会有一部分信息使用者无法直接获取恰当的模型,因此模型库应该具备开放性,提供建立模型的工具以及信息反馈机制。一方面为有能力构建模型的使用者提供了工作平台,另一方面可以为开发人员提供有价值的参考模型,便于对模型库的改进与维护工作。 3、目的库。目的库与事项库及模型库相连接,通过读取与事项相关的数据存储,运用决策模型,将其转化为信息,以特定格式提供给信息用户。目的库与信息使用者的接触最为密切,为信息使用者提供各种视图输出并负责接收用户要求,因此目的库的创建必须友好、通俗、易理解。目的库应该能够满足如下要求: (1)具备信息检索功能。由于充分的了解模型使用条件、寻找必要事项数据对于大部分使用者来说都存在相当大的难度,因此目的库的建立应该尽可能的大众化,能够接收用户需求并据此提供建议性的策略,降低使用难度。 (2)具备多样化的信息输出格式。不同使用者对信息的输出格式要求是不一样的,提供给不同级别部门的数据也需要进行重新整理,目的库应该尽可能的减少使用者对信息进行格式转换方面的工作量,提供足够的选择、筛选、数据透视、查询等功能。现行的会计信息系统在这方面做得不是太好,例如许多用户都反映报表系统不如Excel 软件功能强大,一些最基本的工作有时做起来非常吃力,目的库的建立应该尽量避免此种情况。[责任编辑:郭小兵] # 152#2007年4月第29卷第1期 山/西/财/经/大/学/学/报 Journal of ShanXi Fi nance and Econo mics University Apr.,2007Vol.29No.1

事件查看器对应解释

Windows2003 事件查看器事件ID对应解释 使用本模块可以实现下列目标： ?识别由Microsoft? Windows Server? 2003 操作系统生成的安全事件。 返回顶部 适用范围 本模块适用于下列产品和技术： ?W indows Server 2003 返回顶部 如何使用本模块 本模块是“Windows Server 2003 安全指南”的补充内容。本模块中的表可以用作快速参考，以帮助您识别在Microsoft? Windows 操作系统事件日志中所记录的与安全有关的事件。本模块还可以用来帮助配置系统监视软件，如Microsoft Operations Manager (MOM)。 返回顶部 帐户登录事件 表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 表1：审核帐户登录事件 事件 事件描述 ID 672 已成功颁发和验证身份验证服务(AS) 票证。 673 授权票证服务(TGS) 票证已授权。TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证，允许用户对域中的特定服务进行身份验证。 674 安全主体已更新AS 票证或TGS 票证。 675 预身份验证失败。用户键入错误的密码时，密钥发行中心(KDC) 生成此事件。 676 身份验证票证请求失败。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 677 TGS 票证未被授权。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 678 帐户已成功映射到域帐户。 681 登录失败。尝试进行域帐户登录。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 682 用户已重新连接至已断开的终端服务器会话。 683 用户未注销就断开终端服务器会话。

Windows事件驱动机制-1

Windows的事件驱动机制 在Windosw系统中,程序的设计围绕事件驱动来进行。当对象有相关的事件发生时（如按下鼠标键）,对象产生一条特定的标识事件发生的消息,消息被送入消息队列,或不进入队列而直接发送给处理对象,主程序负责组织消息队列,将消息发 送给相应的处理程序,使相应的处理程序执行相应的动作,做完相应的处理后将控制权交还给主程序。 在这种机制中,对象的请求仅仅是向队列中添加相应的消息,耗时的处理则被分离给处理函数。这种结构的程序中各功能模块界限分明,便于扩充,能充分利用CPU 的处理能力,使系统对外界响应准确而及时。 Windows事件驱动机制 我们当中不少使用VC、Delphi等作为开发语言的程序员是一步步从DOS 下的Basic、C++中走过来的，而且大多在刚开始学习编程时也是先从DOS下的编程环境入手的，因此在习惯了DOS下的过程驱动形式的顺序程序设计方法后，往往在向Windows下的开发环境转型的过程中会对Windows所采取的事件驱动方式感到无法适应。因为DOS和Windows这两种操作系统的运行机制是截然不同的，DOS下的任何程序都是使用顺序的、过程驱动的程序设计方法。这种程序都有一个明显的开始、明显的过程以及一个明显的结束，因此通过程序就能直接控制程序事件或过程的全部顺序。即使是在处理异常时，处理过程也仍然是顺序的、过程驱动的结构。而Windows的驱动方式则是事件驱动的，即程序的流程不是由事件的顺序来控制，而是由事件的发生来控制，所有的事件是无序的，所为一个程序员，在编写程序时，并不知道用户会先按下哪个按纽，也就不知道程序先触发哪个消息。因此我们的主要任务就是对正在开发的应用程序要发出的或要接收的消息进行排序和管理。事件驱动程序设计是密切围绕消息的产生与处理而展开的，一条消息是关于发生的事件的消息。 Windows的消息循环 Windows操作系统为每一个正在运行的应用程序保持有一个消息队列。当有事件发生后，Windows并不是将这个激发事件直接送给应用程序，而是先将其翻译成一个Windows消息，然后再把这个消息加入到这个应用程序的消息队列中去。应用程序需要通过消息循环来接收这些消息。在MFC中使用了对WinAPI进行了很好封装的类库，虽然可以为编程提供一个面向对象的界面，使Windows程序员能够以面象对象的方式进行编程，把那些进行SDK编程时最

如何查看电脑使用记录

一、如何查看电脑开机记录 1.打开“我的电脑”，C盘Windows目录下有很多文件，找到一个SchedLgU.txt（或者开始－运行SchedLgU.txt）。它是“计划任务”的日志，会忠实地记录电脑计划任务的执行情况，还有每次开机启动及退出Windows系统的信息。 2.通过“事件查看器”的事件日志服务查看计算机的开、关机时间。打开“控制面板”，双击“管理工具”，然后打开“事件查看器”，在左边的窗口中选择“系统”选项。单击鼠标右键，在弹出的快捷菜单中选择“属性”，在打开的“系统属性”窗口中选择“筛选器”选项卡，在“事件类型”下面选中“信息”复选项，并在“事件来源”列表中选择“eventlog”选项，继续设定其他条件后，单击“确定”按钮，即可看到需要的事件记录了。双击某条记录，如果描述信息为“事件服务已启动”，那就代表计算机开机或重新启动的时间，如果描述信息是“事件服务已停止”，即代表计算机的关机时间。 3.在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间了。 二、如何查看电脑文档记录 1.找到C:\WINDOWS\Prefetch下。里面有记录你曾经运行过什么程序，文件最前面的为程序名，后面的执行代码不用理他！如果你没有优化过的话~这里面保存的东西应该是非常

有价值的！ 2.看你最近打开过什么文件（非程序）和文件夹(最近打开文件的历史记录)！ "我的电脑"-"C盘(操作系统所在盘)"-"Documents and Settings"-"Administrator （Administrator改成你的用户名）"-"Recent"（或开始－运行－recent）。可以看到在本地硬盘上的操作(包括打开的电影,word文档等)。 3.开始－运行－Local Settings,有个History的文件夹,里面的记录更详细。 4. 在开始－文档中可以看到最近使用过的文件。 5. 电脑日志记录：开始/控制面板/性能和维护（经典视图里去掉这个）/管理工具/事件查看器，看看里面的记录。 6. 查看最近删除了什么~呵呵这就要用到硬盘恢复工具。 三、如何查看电脑上网记录 1.开始－运行Local Settings,有个Temporary Internet Files的文件夹里面是记录上网的。 2.看你都打开过哪些网址，可以在IE里点击历史记录。

事件驱动型会计信息系统控制

事件驱动型会计信息系统控制【摘要】随着电子商务与信息技术的发展，传统会计信息系统（AIS）控制的局限性日益凸显。事件驱动型会计信息系统（EDAIS）控制由于考虑到各种事件中可能包含的风险，而成为会计信息系统控制的发展方向。 随着电子商务和信息网络技术的迅速发展，AIS与企业的其他业务信息系统的融合越来越紧密。AIS的控制问题不再是一个局限于会计部门的孤立的问题，而成为一个涉及到企业各项活动的系统性问题。AIS控制问题也不再是信息系统自身的问题，而应该从AIS体系结构出发，从根本上改变AIS控制的方法与范围。AIS体系结构是指采集、存储、处理、传输数据的步骤、方法或数据处理程序的结构。现有学术研究成果大多是在坚持传统AIS体系结构及其内部控制制度与控制观点的基础上，从信息技术的角度探讨如何加强AIS的控制。这种控制与电子商务、企业信息化的发展极不相适应，并且大大限制了企业的运行效率。笔者从事件驱动体系结构的角度，分析AIS控制。 一、传统会计信息系统控制的局限性 （一）传统会计信息系统数据处理流程 传统AIS是建立在传统会计体系结构基础之上的。传统会计体系结构是指现代信息技术出现之前，会计人员在处理会计数据时所采用的一系列步骤和方法，即会计循环和会计恒等式。基于这种体系结构的AIS采集和存储的数据是有关业务事件数据的一个子集，即只采集和存储那些改变企业资产、负债或所有者权益构成的会计数据。图1

反映了基于传统体系结构的AIS采集、存储和处理业务数据的流程。 （二）传统会计信息系统控制的局限性 如图1所示，传统AIS处理流程原封不动地保存了原始的会计循环，只是使用信息技术去自动化老式的会计工作流程。传统AIS控制也正是基于图1所表示的传统体系结构而形成的。 1.从原始数据录入到财务报表输出，整个过程频繁使用了大量的事务文件和工作文件对会计信息进行加工处理，最终财务报表的可依赖性取决于原始数据的可靠性。虽然使用了大量的中间文件，但这些文件内容大多来自于同一数据源。例如，应收账款总账及其所属明细账数据都来自同一销售发票。由于存在“垃圾进，垃圾出”现象，当业务过程发生了错误时，不管记录、维护及报告过程使用的技术如何，都将造成报告错误。 2.分离职责和责任局限于使一个人的工作核查另外一个人的工作，着重于事后监督，而忽视了事前预防。 3.没有考虑到信息技术能够减少业务活动中的人为错误，能够对业务与控制规则的符合程度进行监控，而对会计数据进行重复记录，对重复数据做大量调整、核对。这样，既和现代企业对AIS的要求不相适应，又影响系统的运行效率。 4.AIS专门从事收集和处理其他部门所创造的数据信息的工作，独立于业务活动，是反映性的和纠正性的，无法检查、控制、杜绝业务活动过程中发生的错误。 5.会计人员和审计人员在指导内部控制制度的设计、实现、维护

巧用事件查看器维护服务器安全

巧用事件查看器维护服务器安全 (一)事件查看器相关知识 事件查看器相当于操作系统的保健医生，一些“顽疾”的蛛丝马迹都会在事件查看器中呈现，一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志，查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息，通过查看事件属性来判定错误产生的来源和解决方法，使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识，最后给出了一个安全维护实例，对安全维护人 员维护系统有一定的借鉴和参考。 (一)事件查看器相关知识 1.事件查看器 事件查看器是Microsoft Windows 操作系统工具，事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查 看器： (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”，开事件查看器窗口 (2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。 (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志，即： (1)应用程序日志 包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响 应。 (3)系统日志 包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下Windows会将系统事件记录到系统日志之中。如果计算机被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器，那么还将记录DNS服务器日志。当启动Windows时，“事件日志”服务(EventLog)会自动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件，事件查看器屏幕左侧的图标描述了Windows 操作系统对事件的分 类。事件查看器显示如下类型的事件：