■　自由风数码　徐海斌

　　在Windows的不少地方都有日志功能，但我们往往觉得它事不关己，于是“高高挂起”。其实，日志文件的作用还真不小，它除了可以帮助我们查找故障以外，还可以成为黑客攻击电脑的突破口呢！怎么防御黑客攻击呢？赶快来一起看看吧！

统“健康”报告──系统事件日志

　　Windows XP会将系统或程序中发生的、要求通知用户的任何重要事情，或是用户定义需要添加到日志中的其他事件自动保存到系统事件日志中。了解系统事件日志，对Windows稳定运行起着至关重要的作用，事件日志可以帮助我们确定和诊断当前系统问题的根源，还可以帮助我们预测潜在的系统问题，尤其是对于服务器来说，通过查看安全事件，管理员可以及时找出服务器出现故障的原因，发现未知的安全配置问题，如不正确的权限，或者不严格的账户锁定设置等。

　　《电脑爱好者》曾在2003年第20期《警惕系统的8种“红色警报”》一文中详细介绍了系统日志的各种类型和举例，您可以用来作为故障解决的参考书。这里只介绍两个那篇文章没有提到的内容。

实例一：给系统日志加装“防盗门”

　　很多人认为系统日志是一个电脑用户查看错误、解决故障的场所，不过在黑客眼里，这可是入侵系统的好地方。保护系统安全，要从这里入手。系统事件日志文件的扩展名为EVT，共有三个文件，分别与三种类别相对应。AppEvent.Evt是应用程序日志，SecEvent.Evt是安全性日志，SysEvent.Evt是系统日志。我们不能直接打开日志文件查看，而事件查看器正是这些事件日志文件的阅读器。事件日志文件保存在Windows\system32\config目录中。为了防止日志文件被别人非法获取和修改，我们可以修改日志文件的路径和文件名，打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Eventlog]，下面有Application、Security、System三个子键，分别对应于应用程序、安全性、系统三种类别，打开每个子键，右键的“File”键值就是对应的日志文件路径和文件名，修改即可。

实例二：“失败”是成功之母

　　失败审核是一种描述未成功受审核的安全事件，它是系统日志中重要的部分。例如，当用户无法访问网络驱动器时，就可能记录“失败审核”事件。在默认情况下，你可能看不到成功审核和失败审核类型，因为这两种类型是安全性日志中专有的，而Windows XP在默认情况下，安全性日志不会记录任何内容，我们必须以管理员身份登录系统，指定哪些事件将被审核并记录在安全性日志中，打开组策略设置中的“计算机配置→安全设置→本地策略→审核策略”，双击右边列表中需要审核的事件，在打开的属性窗口中选择审核失败事件即可。

实例三：查到日志后怎么办

　　双击某条日志记录即可看到该事件日志的详细资料(见图1)。通过这些资料，我们可以知道系统是在某时某刻出现了什么问题，以及详细的问题描述。但多数情况下，仅靠这些描述并不能解决问题。此时就得借助网络来快速找到解决方法。

方法一:通过微软知识库查找。微软知识库的网址是http://support.microsoft.com，查找时需要在“搜索(知识库)”栏中输入事件日志中的关键字或事件发生源和ID信息等。