包含由应用程序或系统程序记录的事件。例如,数据库程序可在应用日志中记录文件错误。程序开发员决定记录哪一个事件。
包含Windows 2000的系统组件记录的事件。例如,在启动过程将加载的驱动程序或其他系统组件的失败记录在系统日志中。Windows 2000预先确定由系统组件记录的事件类型。
记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除文件等资源使用相关联的事件。
对于IIS服务器而言,系统日志中记录的事件显得更加重要。如图,在事件查看器控制树中选择系统日志,则右侧窗格列出已经被记录的全部事件,事件分为:错误、警告、信息等不同类型。其中错误事件意味着服务启动失败或者某种功能的丧失,属于最严重的系统事件,应当十分关注;警告事件意味着存在发生错误的可能,但错误还并未发生,也应予以关注。此外,事件的记录是按照时间顺序从上到下依次排列的,最先发生的事件在事件列表的最下方,这样,按照一般的逻辑,先发生的错误是最致命的,它导致后来发生的全部错误,因此,最下面的错误通常是IIS工作不正常的根本原因。
事件列表中仅显示有关事件发生的时间、来源、分类和用户等有限信息,为了详细查看某一事件的描述或信息代码,应双击列表中的事件,查阅事件属性对话框。如右图所示,在事件属性对话框中详细描述事件发生的情况和可能的原因,典型的事件还给出了数据代码供程序员调试使用。单击事件属性对话框中的上下箭头可以继续查看上一个或下一个事件的详细信息。
关于事件查看器本身的属性,需在日志属性对话框中配置。三种日志可以独立的配置属性。右击事件查看器控制树中的日志节点,选择【属性】,打开如右图所示的属性对话框。最重要的日志属性是事件的老化机制,因为系统记录的事件随着时间的推移会愈来愈多,而我们并不需要保留很久以前的日志。日志老化可以通过文件大小和时间周期来指定,默认值为大于512KB的事件(较旧的)和久于7天的事件将被自动删除。单击【清除日志】按钮亦可手工清除日志中的全部事件。
某些情况下,我们不但不需要清除日志事件,还需要将它们保留起来作为记录,这是就应将事件记录保存为.evt文件。右击需要保存的日志节点,选择【另存日志文件】,然后指定文件路径并单击【确定】。打开被保存日志文件的方法与此相反,右击日志节点选择【打开日志文件】,然后指定路径。以文件方式保存的事件不受日志属性的限制,可以长期保存。