在Windows2000、Windows XP操作系統中有一位系統運行狀況的忠實記錄者，從開機、運行到關機過程中發生的每一個事件都將被記錄下來，它就是“事件查看器”。用戶可以利用這個系統維護工具，收集有關硬件、軟件、系統問題方面的信息，并監視系統安全事件，將系統和其他應用程序運行中錯誤或警告事件記錄下來，便于診斷和糾正系統發生的錯誤和問題。下面通過幾個例子來講解“事件查看器”的實際應用。

使用事件查看器

有兩種方法可以很快地打開事件查看器:

1.通過“我的電腦”打開。右鍵單擊“我的電腦”，選擇“管理”，彈出“計算機管理”窗口，在“系統工具”標簽下便是“事件查看器”。

2.通過“控制面板”打開。選擇“開始/控制面板”，在“控制面板”窗口單擊“管理工具”，在彈出窗口中雙擊“事件查看器”圖標，便可打開“事件查看器”窗口。

如圖1所示便是事件查看器的系統日志信息。

監視文件和文件夾的訪問

在辦公環境下，有時我們需了解計算機上其他用戶是否訪問了我們限制的文件或文件夾，這時候我們通過組策略配合，利用事件查看器在不影響用戶正常使用的情況下，監控用戶的訪問情況。選擇“開始/控制面板/管理工具/本地安全設置/本地策略/審核策略”，在右邊信息窗口中右鍵單擊“審核對象訪問”選擇“安全性”，在“本地安全策略設置”中，單擊所需的選項并確定。接著在任務欄“開始”上點右鍵選擇“資源管理器”，右鍵點擊要審核的文件或文件夾，選擇“屬性”。然后選擇“安全/高級/審核/添加”，在“選擇用戶、計算機或組”對話框中，單擊要審核操作的用戶名或組名并確定即可。

注意:必須作為管理員或管理組的成員登錄才能設置文件和文件夾的審核，只有管理員才能使用“組策略”

監視系統開關機情況

當我們外出回來，有時我們需要了解計算機的開關情況以及是否正常開關機情況。我們可以通過事件查看器的系統日志查看計算機的開、關機記錄，這是因為日志服務會隨計算機一起啟動或關閉，并在日志中留下記錄。主要是兩個事件ID“6006和6005”。6005表示事件日志服務已啟動，如果在事件查看器中發現某日的事件ID號為6005的事件，就說明在這天正常啟動了Windows系統。6006表示事件日志服務已停止(圖2)，如果沒有在事件查看器中發現某日的事件ID號為6006的事件，就表示計算機在這天沒有正常關機，可能是因為系統原因或者直接切斷電源導致沒有執行正常的關機操作。

如果你是網絡管理員，那么這些記錄就更加的重要了，如果有意外的開關機操作，那么你的機器已被攻擊的可能性就很大了。

解決機器開機時的錯誤提示窗口

如果你最近安裝或卸載了某些程序，或者是由于安全的原因關閉了某些服務，結果你發現每次開機都會彈出一個錯誤提示窗口，并提示“在系統啟動時至少有一個服務或驅動程序產生錯誤。詳細信息，請使用事件查看器查看事件日志”。這類問題一般是系統在加載相關服務時找不到服務程序而無法啟動產生的，你可以使用事件查看器來查看具體是哪個服務啟動時出現了問題，解決的辦法通常有兩種，一種是通過了解該服務是那哪些程序產生，不論這些服務是操作系統本身產生還是應用程序產生的，都可以通過卸載相關應用程序來解決。另一個辦法更簡單直接到服務管理器中將相應的服務設置為“禁用”即可。

分析死機故障原因

相對于Windows 98而言，Windows 2000和Windows XP均要穩定的多，是不容易發生死機現象的。從理論上講，純32位的Windows 2000 是不會出現死機的，但是這僅僅是理論上的。病毒、硬件和硬件驅動程序不匹配等原因將造成Windows 2000的崩潰。當Windows 2000出現死機時，顯示器屏幕將變為藍色，然后出現死機故障提示信息。通過事件查看能夠發現問題的原因。如果出現的硬件設備故障，可以通過重新安裝硬件驅動或卸載硬件來解決，如果是軟件故障可以卸相應的驅動程序，如果是警告顯示磁盤驅動程序在幾次重試后，只能讀取或寫入到某個扇區，十有八九是硬盤出問題了。

即使你的系統沒有死機，運行某些程序出現停頓現象，也有可能是計算機的硬盤出現故障，你依然可通過檢查事件查看器,看是否出現硬盤有無法響應的日志，如果硬盤出現損壞，還是盡早更新，以免帶來重大的數據損失。

檢查不能上網的原因

不能上網的原因有非常多，其中無法獲得局域網DHCP服務器的數據，以至無法取得一個能上網的IP地址是局域網用戶不能上網的故障中最常見的一種，通過“事件查看器”我們可以很容易就找到這個錯誤事件ID號為1007，此你可以先檢查你的網線，看是否連接正常，如果網絡線路正常。可以打電話咨詢網絡管理員是否是DHCP服務器停止工作了。

如果你使用的IP地址與網絡上別人使用的IP地址相同，網絡接口也會被系統禁用，一樣也無法上網，這個錯誤事件ID號為1006，如果你發現這種情況要及時和網絡管理員聯系解決。

疑難問題解決方案

上面介紹的是幾種常見事件管理器中發現的問題的解決辦法，但在實際中可能發生的問題是多種多樣的，對于其他的疑難問題的方法還可以通過兩個主要途徑“微軟在線技術支持知識庫”和“Eventid.net網站”來解決。

1.微軟知識庫

微軟知識庫的文章是由微軟公司官方資料和微軟MVP撰寫的技術文章組成，主要解決微軟產品的問題及故障。當微軟每一個產品的Bug和容易出錯的應用點被發現后，都將有與其對應的KB文章分析這項錯誤的解決方案。微軟知識庫的地址是:http://support.microsoft.com，在網頁左邊的“搜索(知識庫)”中輸入相關的關鍵字進行查詢，事件發生源和ID等信息。當然，輸入詳細描述中的關鍵詞也是一個好辦法，如果日志中有錯誤編號，輸入這個錯誤編號進行查詢也是個不錯的主意。

2.Eventid.net

要查詢系統錯誤事件的解決方案，其實還有一個更好的地方，那就是Eventid.net網站(圖3)，地址是:http://www.eventid.net。這個網站由眾多微軟MVP(最有價值專家)主持，幾乎包含了全部系統事件的解決方案。登錄網站后，單擊“Search Events(搜索事件)”鏈接，出現事件搜索頁面。根據頁面提示，輸入Event ID(事件ID)和Event Source(事件源)，并單擊“Search”按鈕。Eventid.net的系統會找到所有相關的資源及解決方案。最重要的是，享受這些解決方案是完全免費的。當然，Eventid.net的付費用戶則能享受到更好的服務，比如直接訪問針對某事件的知識庫文章集等。