用事件查看器查故障

引言：網(wǎng)管員通常苦于沒有合適的第三方應(yīng)用軟件來解決各種系統(tǒng)故障問題，實(shí)際上，Windows 系統(tǒng)本身自帶了很多優(yōu)秀的小工具。本文介紹利用Windows 事件查看器所記錄下的日志內(nèi)容來發(fā)現(xiàn)Serv-U 服務(wù)無法訪問的根源，根據(jù)這一線索逐步排除最終解決問題。

微軟在以Windwos NT為內(nèi)核的操作系統(tǒng)中都集成有事件查看器，它是Microsoft Windows操作系統(tǒng)工具。

Windows事件查看器的作用

Windows事件查看器的作用主要有四個(gè)：查看信息、搜索事件、存放日志和解決問題。

1.查看信息

選中事件查看器左邊的樹形結(jié)構(gòu)圖中的日志類型（應(yīng)用程序、安全性或系統(tǒng)），在右側(cè)的詳細(xì)資料窗格中將會(huì)顯示出系統(tǒng)中該類別的全部日志，雙擊需要查看的日志，便可以查看其詳細(xì)信息。在日志屬性窗口中可以看到事件發(fā)生的日志、事件的發(fā)生源、事件的種類、ID以及事件的詳細(xì)描述。這對解決所發(fā)生的故障非常有用。

2.搜索事件

如果系統(tǒng)中的事件過多，我們將很難找到真正導(dǎo)致導(dǎo)致故障發(fā)生的事件，可以使用事件“事件查看器”中的“刷選”功能找到我們想找的日志，方法介紹如下。

選中左邊的樹形結(jié)構(gòu)圖中日志類型，右擊“查看”，并選擇“刷選”，日志刷選器將會(huì)啟動(dòng)。選擇所要查找的事件類型，比如“錯(cuò)誤”，以及相關(guān)的事件來源和類別等，并單擊“確定”。事件查看器會(huì)執(zhí)行查找，并只顯示符合這些條件的事件。

3.存放日志

系統(tǒng)日志中存放了Windows操作系統(tǒng)產(chǎn)生的信息、警告或錯(cuò)誤。通過查看這些信息、警告或錯(cuò)誤，用戶不但可以了解到某項(xiàng)功能配置或運(yùn)行的情況，或者直接可以知道其產(chǎn)生錯(cuò)誤的原因。而安全日志中存放了審核事件是否成功的信息，通過這些信息，我們可以了解這些安全審核是否成功。

同樣的，應(yīng)用程序日志中存放應(yīng)用程序產(chǎn)生的信息、警告或錯(cuò)誤。通過這些信息，我們可以了解哪些應(yīng)用程序成功，產(chǎn)生了哪些錯(cuò)誤或潛在錯(cuò)誤。

4.解決問題

查找導(dǎo)致系統(tǒng)問題的事件后，需要找到解決問題的方法。其中的很多問題我們可以通過微軟在線技術(shù)支持知識(shí)庫及Eventid.net網(wǎng)站來找到解決方法。另外，微軟中文社區(qū)提供在線支持和定期專家聊天，都可以為我們解決問題提供寶貴的資源。

事件查看器日志分類

在事件查看器中一共記錄三種類型的日志。

1.應(yīng)用程序日志

包含有應(yīng)用程序或系統(tǒng)程序記錄的事件，主要記錄程序運(yùn)行方面的事件，錄入數(shù)據(jù)庫程序可以在應(yīng)用程序日志中記錄文件錯(cuò)誤，程序開發(fā)人員可以自行決定監(jiān)視的事件。

2.安全性日志

記錄了諸如有效和無效的登錄嘗試事件，以及與資源使用相關(guān)的事件。例如，創(chuàng)建、打開或刪除文件或其他對象，系統(tǒng)管理員可以指定在安全性日志中記錄什么事件。默認(rèn)設(shè)置下，安全性日志是關(guān)閉的，管理員可以使用組策略來啟動(dòng)安全性日志，或者在注冊表中設(shè)置審核策略，以便當(dāng)安全性日志滿后使系統(tǒng)停止響應(yīng)。

3.系統(tǒng)日志

包含Windows XP的系統(tǒng)組件記錄的事件，例如在啟動(dòng)過程中加載驅(qū)動(dòng)程序或者其他系統(tǒng)組件失敗將記錄在系統(tǒng)日志中。默認(rèn)情況下，Windows會(huì)將系統(tǒng)事件記錄到系統(tǒng)日志之中。如果計(jì)算機(jī)被配置為域控制器，那么還將記錄DNS服務(wù)器日志。當(dāng)啟動(dòng)Windows時(shí)，“事件日志”服務(wù)會(huì)自動(dòng)啟動(dòng)，所有用戶都可以查看應(yīng)用程序和系統(tǒng)日志，但只有管理員才能訪問安全性日志。

事件查看器記錄內(nèi)容

在事件查看器中主要記錄五種事件，事件查看器屏幕左側(cè)的圖標(biāo)描述了Windows操作系統(tǒng)對事件的分類。事件查看器顯示如下類型的事件。

1.錯(cuò)誤：重大問題，例如數(shù)據(jù)丟失或功能丟失。如果服務(wù)在啟動(dòng)期間無法加載，便會(huì)記錄一個(gè)錯(cuò)誤。

2.警告：不一定重要的事件也能指出潛在的問題。錄入，如果磁盤空間低，便會(huì)記錄一個(gè)警告。

3.信息：描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)是否操作成功的事件。例如，如果網(wǎng)絡(luò)驅(qū)動(dòng)程序成功加載，便會(huì)記錄一個(gè)信息事件。

4.成功審核：接受審核且取得成功的安全訪問嘗試。例如，用戶對系統(tǒng)的成功登錄嘗試將作為一個(gè)“成功審核”事件被記錄下來。

5.失敗審核：接受審核且未成功的安全訪問嘗試。例如，如果用戶試圖訪問網(wǎng)絡(luò)驅(qū)動(dòng)器單未成功，該嘗試將作為“失敗審核”被記錄下來。

用事件查看器解決故障案例

筆者利用Windows 2008 Server R2搭建FTP服務(wù)器后，使用FlashFxp連接FTP服務(wù)器時(shí)候，提示“數(shù)據(jù)Socket錯(cuò)誤：連接被拒”的提示。根據(jù)以往的經(jīng)驗(yàn)，出現(xiàn)這個(gè)錯(cuò)誤是因?yàn)镕lashFXP中沒有去掉“被動(dòng)模式”，我們只要需要去掉被動(dòng)模式和關(guān)閉防火墻就可以了。

可我們將FlashFXP中的被動(dòng)模式去掉以后，測試FTP，問題同樣存在。嘗試很多辦法也不能解決問題。

圖1 “錯(cuò)誤”日志記錄

圖2 21端口被占用

最后在事件查看器中，在“應(yīng)用程序”的“事件屬性”中發(fā)現(xiàn)一項(xiàng)事件為“事件42，Serv-U FTP Server”，并且清楚表明，該事件級(jí)別為“錯(cuò)誤”，事件ID為“42”，事件來源為“Serv-U FTP Server”及記錄時(shí)間等，其中有一項(xiàng)提示“SERVER IS NOT LISTENING:Port number 21 is already in use!”（如圖 1）。

然后我們就根據(jù)這些線索對FTP訪問故障進(jìn)行逐一排除。通過“開始→運(yùn)行”，輸入CMD，進(jìn)入DOS命令模式，在命令提示符下鍵入netstat -ano命令，來查看什么程序占用了21端口（如圖 2）。

通過圖2可以看到，圖中端口號(hào)為21，所對應(yīng)的PID為38908，接下來，需要找該P(yáng)ID對應(yīng)的進(jìn)程名稱。

直接用命令查找，格式為tasklist|findstr“38908”C:>tasklist|findstr "38908" ，結(jié)果發(fā)現(xiàn)映像名稱為tor.exe占用了21端口。

首先結(jié)束該進(jìn)程，具體方法為：在DOS命提示符下輸入：taskkill /f /t /im tor.exe。

再次進(jìn)行FTP的連通性測試，完全正常。

經(jīng)驗(yàn)總結(jié)

網(wǎng)管員通常苦于沒有合適的第三方應(yīng)用軟件來解決各種系統(tǒng)故障問題，實(shí)際上Windows系統(tǒng)本身自帶了很多優(yōu)秀的小工具，而且有些小工具的功能非常強(qiáng)大，諸如垃圾清理、快速格式化、磁盤分區(qū)等。

本文利用Windows事件查看器所記錄下的日志內(nèi)容來發(fā)現(xiàn)Serv-U服務(wù)無法訪問的根源，根據(jù)這一線索逐步排除最終解決問題。利用好了這些系統(tǒng)功能，不但系統(tǒng)的各種疑難雜癥可以得到輕松解決，還有效地利用了系統(tǒng)資源。