在Windows将事竭惮蚕斗件记录到以下日志中:
应用程序日志应用程序日志包含由程序记录的事件。写入刂茗岚羟应用程序日志的事件是由软件程序开发人员确定的。
安全日志安全日志包含有效和无效登录尝试之类的事件。它也包含与资源使用相关的事件,例如,您创建、打开或删除文件的时间。您必须以管理员或 Administrators 组成员的身份登录,才能打开、使用以及指定在安全日志中记录的事件。
系统日志系统日志包含由 Windows 系统组件记录的事件。这些事件是由 Windows 预先确定的。
目录服务日志目录服务日志包含与 Active Directory 相关的事件。只有域控制器上提供此日志。
DNS 服务器日志DNS 服务器日志包含与 DNS 名称和 Internet 协议 (IP) 地址双向解析相关的事件。只有 DNS 服务器上提供此日志。
文件复制服务日志文件复制服务日志包含域控制器之间进行复制过程中记录的事件。只有域控制器上提供此日志。
默认情况下,事件查看器日志文件使用 .evt 作为扩展名,并位于以下文件夹中:
%SystemRoot%\System32\Config
日志文件名和位置信息存储在注册表中。您可以编辑此信息以更改日志文件的默认位置。如果您需要更多的磁盘空间来记录数据,则可能希望将日志文件移到其他位置。
如何将事件查看器日志文件移到其他位置
若要将事件查看器日志文件移到硬盘上的其他位置,请按照下列步骤操作:
单击“开始”,然后单击“运行”。
在“打开”框中,键入regedit,然后单击“确定”。
找到并单击以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
单击表示要移动的事件日志的子项,例如,单击“Application”。
在右窗格中,双击“File”。
在“数值数据”框中,键入新位置的完整路径(包括日志文件名),然后单击“确定”。
对于每个要移动的日志文件,请重复步骤 4 至步骤 6。
单击“注册表”菜单上的“退出”。
重新启动计算机。
如何查看事件查看器日志文件的名称和位置
若要查看事件查看器日志文件的名称和位置,请按照下列步骤操作:
单击“开始”,指向“设置”,然后单击“控制面板”。
双击“管理工具”,然后双击“事件查看器”。也可以打开包含事件查看器的管理单元。
通过单击展开“事件查看器”(如果它尚未展开)。
右键单击要查看的日志,然后单击“属性”。
单击“常规”选项卡。日志文件的名称和位置显示在“日志名称”下面。