作为网络管理员必须具备对系统日志文件的察看、分析、处理的能力，本文详细列出服务器系统日志的备份与查看方法，小王本文希望对广大网管有帮助。服务器系统日志相当于服务器的黑盒子，在这些事件日志里，存放着一些非常重要的信息，因为它记录着所有用户登录服务器的操作，包括被审计了的操作等，对于分析入侵很有帮助。默认状态下服务器系统日志有三种类型的事件日志，即安全日志，系统日志，应用日志。
服务器系统日志查看：通过事件查看器查看，方法是点击“开始”——“设置”——“控制面板”——“管理工具”——“事件查看器”，打开此查看器后，列出了安全日志，系统日志，应用日志等常用日志，打开每一种日志，详细记录了事件类型、日期、时间、类源、分类、事件、用户、计算机。通过这些信息可以清楚地看到该服务器运行状态等，如下图：

服务器系统日志备份：系统日志文件存放在“%systemroot%\system32\config”文件夹内，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。如果要备份日志，可以通过打开事件查看器，右击相应的日志后选择“另存日志文件“即可，备份的日志文件格式为.evt文件。

文章如转载，请注明转载自：http://www.5iadmin.com/post/772.html