如何收集伺服器系統日誌
A. 備份伺服器信息收集
收集NBU軟體信息 nbsu_info
C:\Program Files\Veritas\NetBackup\bin\support\nbsu.exe -s DEV_scsi_reg -s NBU_nbdb_info -s
收集進程狀態信息 NBU_bpps
C:\Program Files\Veritas\NetBackup\bin\bpps
備份存儲單元狀態 NBU_bpstulist
C:\Program Files\Veritas\netbackup\bin\admincmd\bpstulist -g -U
磁帶使用狀態 NBU_available_media
C:\Program Files\Veritas\NetBackup\Bin\goodies\available_media -a
客戶端信息 NBU_bpplclients
C:\Program Files\Veritas\NetBackup\Bin\admincmd\bpplclients -allunique -U
備份作業檢查 NBU_backup_status
C:\Program Files\Veritas\NetBackup\Bin\admincmd\bperror -U -backstat
linux下巡檢命令
[root@nbuserver ~]# /usr/openv/netbackup/bin/bpps -a
[root@nbuserver ~]# /usr/openv/netbackup/bin/admincmd/bpstulist -L
[root@nbuserver ~]# /usr/openv/netbackup/bin/admincmd/bpplclients -allunique -U
[root@nbuserver ~]# /usr/openv/netbackup/bin/admincmd/bpdbjobs -L
[root@nbuserver ~]# /usr/openv/netbackup/bin/admincmd/bperror -backstat -hoursago 72 –L
日誌文件收集執行命令 /usr/openv/netbackup/bin/support/nbsu -c -t
啟動NetBackup圖形界面
/usr/openv/netbackup/bin/jnbSA &
可做alias如下所示
oracle@nbumaster:~> cat /etc/bash.bashrc | grep ^alias
alias nbu='/usr/openv/netbackup/bin/jnbSA &'
NetBackup故障後,日誌收集
nbumaster:~ # /usr/openv/netbackup/bin/support/nbsu
日誌存放點:/usr/openv/netbackup/bin/support/output/nbsu
以及收集如下日誌:
3. Display NetBackup status and troubleshooting information or entries from NetBackup error catalog
Unix/Linux
/usr/openv/netbackup/bin/admincmd/bperror -all -hoursago 72 -verbose -U > /tmp/bperror_all.txt
/usr/openv/netbackup/bin/admincmd/bperror -backstat -hoursago 72 -verbose -U > /tmp/bperror_backstat.txt
/usr/openv/netbackup/bin/admincmd/bperror -problems -hoursago 72 -verbose -U > /tmp/bperror_problems.txt
/usr/openv/netbackup/bin/admincmd/bperror -media -hoursago 72 -verbose -U > /tmp/bperror_media.txt
/usr/openv/netbackup/bin/admincmd/bperror -tape -hoursago 72 -verbose -U > /tmp/bperror_tape.txt
3、磁帶立即過期
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/bpexpdate -m media_id -d 0
4、查看所有磁帶使用情況,條形碼為media id
nbumaster:~ # /usr/openv/netbackup/bin/goodies/available_media
5、查看磁帶過期時間
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/bpmedialist -U
6、查看nbu的版本
nbumaster:~ # cat /usr/openv/netbackup/version
HARDWARE LINUX_SUSE_X86
VERSION NetBackup 7.0.0
RELEASEDATE Thu Jul 08 01:22:07 CDT 2010
BUILDNUMBER 20100707
或
nbumaster:~ # more /usr/openv/netbackup/bin/version
NetBackup-SuSE2.6.16 7.0.1
7、查看驅動器的狀態,是否處於正常的TLD狀態還是ACTIVE,或者不正常的AVR狀態
nbumaster:~ # /usr/openv/volmgr/bin/vmoprcmd
8、查看驅動器是否需要清洗
nbumaster:~ # /usr/openv/volmgr/bin/tpclean -L
Drive Name Type Mount Time Frequency Last Cleaned Comment
********** **** ********** ********* **************** *******
HP.ULTRIUM4-SCSI.000 hcart* 4231.6 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.001 hcart* 798.4 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.002 hcart* 645.0 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.003 hcart* 642.3 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.004 hcart* 2340.8 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.005 hcart* 646.2 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.006 hcart* 14.9 0 N/A
HP.ULTRIUM4-SCSI.007 hcart* 17.4 0 N/A
HP.ULTRIUM4-SCSI.008 hcart* 10.0 0 N/A
HP.ULTRIUM4-SCSI.009 hcart* 22.1 0 N/A
9、掃描本機所有的機械手和驅動器
nbumaster:~ #/usr/openv/volmgr/bin/scan
************************************************************
*********************** SDT_TAPE ************************
*********************** SDT_CHANGER ************************
************************************************************
------------------------------------------------------------
Device Name : "/dev/sg30" //機械手
Passthru Name: "/dev/sg30"
Volume Header: ""
Port: -1; Bus: -1; Target: -1; LUN: -1
Inquiry : "ADIC Scalar i2000 650Q"
Vendor ID : "ADIC "
Proct ID : "Scalar i2000 "
Proct Rev: "650Q"
Serial Number: "ADIC273100135_LL0"
WWN : ""
WWN Id Type : 0
Device Identifier: "ADIC 273100135_LL0 "
Device Type : SDT_CHANGER //機械手
NetBackup Robot Type: 8
Removable : Yes
Device Supports: SCSI-3
Number of Drives : 10
Number of Slots : 684
Number of Media Access Ports: 24 //10個驅動器
Drive 1 Serial Number : "HU10159TD2"
Drive 2 Serial Number : "HU10109851"
Drive 3 Serial Number : "HU10159TC8"
Drive 4 Serial Number : "HU10038GVG"
Drive 5 Serial Number : "HU10109839"
Drive 6 Serial Number : "HU101098DU"
Drive 7 Serial Number : "HU10159TCV"
Drive 8 Serial Number : "HU1010983B"
Drive 9 Serial Number : "MXP1226LMC"
Drive 10 Serial Number : "HU10159TAP"
10、手動嘗試抓取機械手,可驗證機械手是否正常,該操作可在nbu服務未啟動時候就可執行
以下表明機械手找不到
nbumaster:/usr/openv/volmgr/misc # /usr/openv/volmgr/bin/robtest
Configured robots with local control supporting test utilities:
TLD(0) robotic path = /dev/sg8
Robot Selection
---------------
1) TLD 0
2) none/quit
Enter choice: 1
Robot selected: TLD(0) robotic path = /dev/sg8
Invoking robotic test utility:
/usr/openv/volmgr/bin/tldtest -rn 0 -r /dev/sg8
Opening /dev/sg8
Error opening /dev/sg8, No such device or address
Robotic test utility /usr/openv/volmgr/bin/tldtest
returned abnormal exit status (1).
11、查看磁帶驅動器及robot(機械手)細節情況
nbumaster:~ # /usr/openv/volmgr/bin/tpconfig -d 亦可使用tpconfig -dl或tpconfig -l,顯示的信息是不一樣的
Id DriveName Type Residence
Drive Path Status
****************************************************************************
0 HP.ULTRIUM4-SCSI.000 hcart TLD(0) DRIVE=10
/dev/nst5 UP
1 HP.ULTRIUM4-SCSI.001 hcart TLD(0) DRIVE=9
/dev/nst6 UP
2 HP.ULTRIUM4-SCSI.002 hcart TLD(0) DRIVE=8
/dev/nst9 UP
Currently defined robotics are:
TLD(0) robotic path = /dev/sg30
EMM Server = nbumaster
可使用如下命令查看驅動器和機械手的相關信息
(Display device configuration)
tpconfig -d
tpconfig -dl
tpconfig -l
另/usr/openv/volmgr/bin/tpconfig 提供add ,delete,list NBU可以識別並使用的物理設備,如
機械手/dev/sg30的符號在操作系統更改後,可通過tpconfig來進行更改
12、查看nbu進程情況,一般使用bpps -x
nbumaster:~ # /usr/openv/netbackup/bin/bpps -列出nbu服務運行的進程
-a 在列表中包括介質管理器進程
-x 在列表中包括介質管理器進程和其他共享進程
13、查看操作系統是否認識到機械手
nbumaster:~ # cat /proc/scsi/scsi 可搜索關鍵字Medium
Host: scsi1 Channel: 00 Id: 01 Lun: 02
Vendor: ADIC Model: Scalar i2000 Rev: 605A
Type: Medium Changer ANSI SCSI revision: 03
lsscsi和cat /proc/scsi/scsi其實是一樣的
nbumaster:~ # lsscsi
[0:0:0:0] disk SEAGATE ST9146803SS FS62 -
[0:0:1:0] disk SEAGATE ST9146803SS FS62 -
[0:1:2:0] disk LSILOGIC Logical Volume 3000 /dev/sda
[1:0:0:0] storage QUANTUM Scalar i6000 650Q -
[1:0:0:2] mediumx ADIC Scalar i2000 650Q -
14、如何重啟nbu服務
正常情況只需要
nbumaster:~ # /usr/openv/netbackup/bin/bp.kill_all
nbumaster:~ # /usr/openv/netbackup/bin/bpps -x
nbumaster:~ # /usr/openv/netbackup/bin/bp.start_all
如果以上重啟nbu方式不行,則採用如下方式
How to restart services
On NetBackup Master Server
1) Stop the NetBackup Services.
nbumaster:~ # /usr/openv/netbackup/bin/bp.kill_all
If the NetBackup services did not stop completely,please stop the process by using the kill command.
nbumaster:~ # /usr/openv/netbackup/bin/bpps -x
Remove cache files
nbumaster:~ # cd /usr/openv/var
nbumaster:~ # ls -lh
nbumaster:~ # rm /usr/openv/var/*.ior
nbumaster:~ # rm /usr/openv/var/*.ior.mgr
nbumaster:~ # cd /usr/openv/volmgr/misc 若有lock文件,可刪除
nbumaster:~ # ls -lh
2)stop vxpbx services.
nbumaster:~ # /opt/VRTSpbx/bin/vxpbx_exchanged stop
On NetBackup Master Server
1) start the vxpbx Services.
nbumaster:~ # /opt/VRTSpbx/bin/vxpbx_exchanged start
2) art the NetBackup Services.
nbumaster:~ # /usr/openv/netbackup/bin/bp.start_all
15、cannot connect to robotic software daemon報錯
這個錯誤是因為nbu在關閉的時候某些LOCK文件沒有被完全刪除造成的,可以使用下面的步驟重啟後解決
A. Shut down all the VERITAS NetBackup (tm) daemons:
#/usr/openv/netbackup/bin/goodies/netbackup stop
B. Verify all NetBackup daemons are down by running the command:
#/usr/openv/netbackup/bin/bpps –a
Do not proceed until all NetBackup processes are down. (Remember to exit from the GUI interface.)if remain process if JAVA REF. you can use the 「kill -9」 command to kill them.
C. cd /usr/openv/volmgr/misc/
D. Delete the lock files (*lock*) that exist in this directory
E. Restart the NetBackup daemons:
#/usr/openv/netbackup/bin/goodies/netbackup start
16、bpexpdate過期磁帶,報」requested media id is in use」錯誤解決辦法
如果你確認這個media並沒有在使用,可以手工釋放這個media佔用的資源
首先使用/usr/openv/netbackup/bin/admincmd/nbrbutil -mp命令得到磁帶佔用資源的id
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/nbrbutil -mp
Allocation Requests
(AllocationRequestSeq )
MDS allocations in EMM:
MdsAllocation: allocationKey=91666 jobType=1 mediaKey=4000261 mediaId=YZ5350 driveKey=2000012 driveName=HP.ULTRIUM4-SCSI.004 drivePath=/dev/nst0 stuName=nbumaster-hcart-robot-tld-0 masterServerName=nbumaster mediaServerName=nbumaster ndmpTapeServerName= diskVolumeKey=0 mountKey=0 linkKey=0 fatPipeKey=0 scsiResType=1 serverStateFlags=1
MdsAllocation: allocationKey=91667 jobType=1 mediaKey=4000264 mediaId=YZ5353 driveKey=2000008 driveName=HP.ULTRIUM4-SCSI.000 drivePath=/dev/nst5 stuName=nbumaster-hcart-robot-tld-0 masterServerName=nbumaster mediaServerName=nbumaster ndmpTapeServerName= diskVolumeKey=0 mountKey=0 linkKey=0 fatPipeKey=0 scsiResType=1 serverStateFlags=1
nbumaster:~ #
然後使用/usr/openv/netbackup/bin/admincmd/nbrbutil –releaseMDS 即上面的「allocationKey=」後面相應的數值,來釋放資源
這樣我們便能成功執行bpexpdate命令
17、查詢目前有哪些磁帶正在被哪個驅動器調用,以及正在運行哪些備份任務
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/nbrbutil -mp
18、列出所有的job的明細
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/bpdbjobs
將bpdbjobs輸出到/tmp/bpdbjobs.txt文件中
bpdbjobs -file /tmp/bpdbjobs.txt
列出所有作業的摘要,可查看目前正處於ACTIVE的任務有多少個
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/bpdbjobs -summary
MASTER SERVER QUEUED REQUEUED ACTIVE SUCCESS PARTSUCC FAILED INCOMP SUSP WAITING_RETRY TOTAL
nbumaster 0 0 5 1320 0 43 0 0 0 1368
僅供參考
B. 如何配置日誌伺服器來接收系統日誌
在運行中輸入(services.msc)回車,會看到本地服務的框線,tab一次就是列表: 01.顯示名稱:alerter ◎進程名稱:svchost.exe -k LocalService ◎微軟描述:通知所選用戶和計算機有關系統管理級警報。如果服務停止,使用管理警報的程序將不會收到它們。如果此服務被禁用,任何直接依賴它的服務都將不能啟動。 ◎補充描述:警報器。該服務進程名為Services.exe,一般家用計算機根本不需要傳送或接收計算機系統管理來的警示(Administrativealerts),除非你的計算機用在區域網絡上。 ◎默認:禁用 建議:禁用 02.顯示名稱:Application Layer Gateway Service ◎進程名稱:alg.exe -k Local Service ◎微軟描述:為 Internet 連接共享和 Windows 防火牆提供第三方協議插件的支持。 ◎補充描述:XP SP2自帶的防火牆,如果不用可以關掉。 ◎默認:手動(已啟動) 建議:禁用 03.顯示名稱:Application Management ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:提供軟體安裝服務,諸如分派,發行以及刪除。 ◎ 補充描述:應用程序管理。從Windows2000開始引入的一種基於msi文件格式的全新有效軟體管理方案:程序管理組件服務。該服務不僅可以管理軟體的安裝、刪除,還可以使用此服務修改、修復現有應用程序,監視文件復原並通過復原排除基本故障等,軟體安裝變更的服務。 ◎默認:手動 建議:手動 04.顯示名稱:Automatic Updates ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:允許下載並安裝 Windows 更新。如果此服務被禁用,計算機將不能使用 Windows Update 網站的自動更新功能。 ◎補充描述:自動更新,手動就行,需要的時候打開,沒必要隨時開著。 不過2005年4月12日以後微軟將對沒有安裝SP2的WindowsXP操作系統強制安裝系統補丁SP2。 ◎默認:自動 建議:手動 05.顯示名稱:Background Intelligent Transfer Service ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:在後台傳輸客戶端和伺服器之間的數據。如果禁用了 BITS,一些功能,如 Windows Update,就無法正常運行。 ◎補充描述:經由HTTP1.1在背景傳輸資料的東西,例如 Windows Update 就是以此為工作之一。這個服務原是用來實現http1.1伺服器之間的信息傳輸,微軟稱支持windows更新時斷點續傳。 ◎默認:手動 建議:手動 06.顯示名稱:ClipBook ◎進程名稱:clipsrv.exe ◎微軟描述:啟用「剪貼簿查看器」儲存信息並與遠程計算機共享。如果此服務終止,「剪貼簿查看器」 將無法與遠程計算機共享信息。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:剪貼簿。把剪貼簿內的信息和其它台計算機分享,一般家用計算機根本用不到。 ◎默認:禁用 建議:禁用 07.顯示名稱:COM+ Event System ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:支持系統事件通知服務(SENS),此服務為訂閱組件對象模型(COM) 組件事件提供自動分布功能。如果停止此服務,SENS 將關閉,而且不能提供登錄和注銷通知。如果禁用此服務,顯式依賴此服務的其他服務將無法啟動。 ◎補充描述:COM+ 事件系統。有些程序可能用到 COM+ 組件,如自己的系統優化工具BootVis。檢查系統盤的目錄「C:\Program Files\ComPlus Applications」,沒東西可以把這個服務關閉。 ◎默認:手動(已啟動) 建議:手動 08.顯示名稱:COM+ System Application ◎進程名稱:dllhost.exe /Processid: ◎微軟描述:管理 基於COM+ 組件的配置和跟蹤。如果服務停止,大多數基於COM+ 組件將不能正常工作。如果本服務被禁用,任何明確依賴它的服務都將不能啟動。 ◎ 補充描述:如果 COM+ Event System 是一台車,那麼 COM+ SystemApplication 就是司機,如事件檢視器內顯示的 DCOM 沒有啟用,則會導致一些 COM+軟體無法正常運行。檢查系統盤的目錄「C:\Program Files\ComPlus Applications」,沒東西可以把這個服務關閉。 ◎默認:手動 建議:手動 09.顯示名稱:Computer Browser ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:維護網路上計算機的更新列表,並將列表提供給計算機指定瀏覽。如果服務停止,列表不會被更新或維護。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。 ◎補充描述:計算機瀏覽器。一般家庭用計算機不需要,除非你的計算機應用在區域網之上。 ◎默認:自動 建議:手動 10.顯示名稱:Cryptographic Services ◎進程名稱:svchost.exe -k netsvcs ◎ 微軟描述:提供三種管理服務: 編錄資料庫服務,它確定 Windows 文件的簽字; 受保護的根服務,它從此計算機添加和刪除受信根證書機構的證書;和密鑰(Key)服務,它幫助注冊此計算機獲取證書。如果此服務被終止,這些管理服務將無法正常運行。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:簡單的說就是 Windows Hardware Quality Lab (WHQL)微軟的一種認證服務,例如你使用 Automatic Updates,升級驅動程序,你就會需要這個。 ◎默認:自動 建議:自動 11.顯示名稱:DCOM Server Process Launcher ◎進程名稱:svchost -k DcomLaunch ◎微軟描述:為 DCOM 服務提供載入功能。 ◎補充描述:SP2新增的服務,DCOM(分布式組件對象模式),關閉這個服務會造成很多手動服務無法在需要的時候自動啟動,很麻煩。 關閉這個服務還有以下現象:比如一些軟體無法正常安裝,flashmx ,還有些列印機的驅動無法安裝,都提示錯誤「RPC伺服器不可用」。 ◎默認:自動 建議:自動 12.顯示名稱:DHCP Client ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:通過注冊和更改 IP 地址以及 DNS 名稱來管理網路配置。 ◎補充描述:DHCP 客戶端。沒有固定IP的的用戶還是開著吧,否則上不了網,特別是小區光纖用戶。 ◎默認:自動 建議:手動 13.顯示名稱:Distributed Link Tracking Client ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:在計算機內 NTFS 文件之間保持鏈接或在網路域中的計算機之間保持鏈接。 ◎補充描述:分布式連結追蹤客戶端。用於區域網更新連接信息,比如在電腦A有個文件,在B做了個連接,如果文件移動了,這個服務將會更新信息。對於絕大多數用戶來說,形同虛設,可以關閉,特殊用戶除外。佔用4兆內存。 ◎默認:自動 建議:手動 14.顯示名稱:Distributed Transaction Coordinator ◎進程名稱:msdtc.exe ◎微軟描述:協調跨多個資料庫、消息隊列、文件系統等資源管理器的事務。如果停止此服務,則不會發生這些事務。如果禁用此服務,顯式依賴此服務的其他服務將無法啟動。 ◎補充描述:分布式交換協調器。一般家庭用計算機用不太到,除非你啟用的Message Queuing。 ◎默認:手動 建議:手動 15.顯示名稱:DNS Client ◎進程名稱:svchost.exe -k NetworkService ◎微軟描述:為此計算機解析和緩沖域名系統 (DNS) 名稱。如果此服務被停止,計算機將不能解析 DNS 名稱並定位 Active Directory 域控制器。如果此服務被禁用,任何明確依賴它的服務將不能啟動。 ◎補充描述:DNS 客戶端。另外IPSEC需要用到。DNS解析服務。事實上,一個網站並不是只有一台伺服器在工作,基於安全性考慮,停止。 ◎默認:自動 建議:自動 16.顯示名稱:Error Reporting Service ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:服務和應用程序在非標准環境下運行時允許錯誤報告。 ◎補充描述:微軟的應用程序錯誤報告服務,對於大多數用戶來說也沒什麼用處。這個服務每當在在使用微軟的軟體時如果發生了錯誤,系統會自動將錯誤代碼作為一個備份文件,並且詢問你是否要把文件發送至微軟以尋求幫助?由於普通用戶與微軟總部聯系的機會實在是很少. ◎默認:自動 建議:禁用 17.顯示名稱:Event Log ◎進程名稱:services.exe ◎微軟描述:啟用在事件查看器查看基於 Windows 的程序和組件頒發的事件日誌消息。無法終止此服務。 ◎補充描述:事件查看器。允許事件訊息顯示在事件檢視器之上。 ◎默認:自動 建議:自動 18.顯示名稱:Fast User Switching Compatibility ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:為在多用戶下需要協助的應用程序提供管理。 ◎補充描述:另外像是注銷畫面中的切換使用者功能,一般建議採用默認手動,否則可能很多功能實現。如果你基於安全性考慮,並且不使用多用戶環境,可以停止。 ◎默認:手動(已啟動) 建議:手動 19.顯示名稱:Help and Support ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:啟用在此計算機上運行幫助和支持中心。如果停止服務,幫助和支持中心將不可用。如果禁用服務,任何直接依賴於此服務的服務將無法啟動。 ◎補充描述:如果不使用就關了吧,現實中證明沒有多少人需要它,除非有特別需求,否則建議停用。 ◎默認:自動 建議:手動 20.顯示名稱:HTTP SSL ◎進程名稱:svchost.exe -k HTTPFilter ◎微軟描述:此服務通過安全套接字層(SSL)實現 HTTP 服務的安全超文本傳送協議(HTTPS)。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:SP2新增的服務,默認就是手動,實際使用中也沒見它啟動過,就不要管它了! ◎默認:手動 建議:手動 21.顯示名稱:Human Interface Device Access ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:啟用對智能界面設備 (HID)的通用輸入訪問,它激活並保存鍵盤、遠程式控制制和其它多媒體設 備上的預先定義的熱按鈕。如果此服務被終止,由此服務控制的熱按鈕將不再運行。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:如果沒有什麼HID裝置,可以停用。比如鍵盤上調音量的按鈕就屬於智能界面設備。 ◎默認:禁用 建議:禁用 22.顯示名稱:IMAPI CD-Burning COM Service ◎進程名稱:imapi.exe ◎微軟描述:用 Image Mastering Applications Programming Interface(IMAPI) 管理 CD 錄制。如果停止該服務,這台計算機將無法錄制 CD。如果該服務被停用,任何依靠它的服務都無法啟動。 ◎補充描述:XP 整合的 CD-R 和 CD-RW 光碟機上拖放的燒錄功能,可惜比不上燒錄軟體,關掉還可以加快Nero的開啟速度,如果習慣使用第三方軟體或者根本沒有刻錄機,那就停用。佔用1.6兆內存。 ◎默認:手動 建議:禁用 23.顯示名稱:Indexing Service ◎進程名稱:cisvc.exe ◎微軟描述:本地和遠程計算機上文件的索引內容和屬性;通過靈活查詢語言提供文件快速訪問。 ◎補充描述:索引服務。簡單的說可以讓你加快搜查速度,不過我想應該很少人和遠程計算機作搜尋吧,除非特殊工作。 ◎默認:手動 建議:手動 24.顯示名稱:Internet Connection - Firewall (ICF) / Sharing (ICS) ◎進程名稱:svchost.exe ◎微軟描述:為家庭和小型辦公網路提供網路地址轉換、定址、名稱解析和/或入侵保護服務。 ◎補充描述:在SP2中已經被Windows Firewall/Internet Connection Sharing (ICS)取代。 ◎默認:手動 建議:手動 25.顯示名稱:IPSEC Services ◎進程名稱: lsass.exe ◎微軟描述:管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。 ◎補充描述:IP 安全性服務。協助保護經由網路傳送的數據。IPSec 為一重要環節,為虛擬私人網路 (VPN) 中提供安全性,而 VPN 允許組織經由網際網路安全地傳輸數據。在某些網域上也許需要,但是一般使用者大部分是不太需要的,可停止。 ◎默認:自動 建議:手動 26.顯示名稱:Logical Disk Manager ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:監測和監視新硬碟驅動器並向邏輯磁碟管理器管理服務發送卷的信息以便配置。如果此服務被終止,動態磁碟狀態和配置信息會過時。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎ 補充描述:邏輯磁碟管理員。磁碟管理員用來動態管理磁碟,如顯示磁碟可用空間等和使用 Microsoft Management Console(MMC)主控台的功能,該服務對於經常使用移動硬碟、閃盤等外設的用戶必不可少,根據具體情況。改為手動後需要時它會通知你。 ◎默認:自動 建議:自動 27.顯示名稱:Logical Disk Manager Administrative Service ◎進程名稱:dmadmin.exe /com ◎微軟描述:配置硬碟驅動器和卷。此服務只為配置處理運行,然後終止。 ◎補充描述:邏輯磁碟管理員系統管理服務。使用 Microsoft Management Console(MMC)主控台的功能時才用到。磁碟管理服務。需要時它會通知你,所以一般手動。 ◎默認:手動 ?建議:手動 28.顯示名稱:Machine Debug Manager Service ◎進程名稱:mdm.exe ◎微軟描述:支持對 Visual Studio 和腳本調試器進行本地和遠程調試。如果該服務停止,調試器將不能正常工作。 ◎補充描述:對於開發人員使用的腳本調試器,一般不需要。 ◎默認:手動 建議:手動 29.顯示名稱:Messenger ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:傳輸客戶端和伺服器之間的 NET SEND 和 alerter 服務消息。此服務與 Windows Messenger 無關。如果服務停止,alerter 消息不會被傳輸。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。 ◎補充描述:信使服務。允許網路之間互相傳送提示信息的功能,net send 功能,如不想被騷擾話可關了。 ◎默認:禁用 建議:禁用 30.顯示名稱:MS Software Shadow Copy Provider ◎進程名稱:dllhost.exe /Processid: ◎微軟描述:管理卷影復制服務拍攝的軟體卷影復制。如果該服務被停止,軟體卷影復制將無法管理。如果該服務被停用,任何依賴它的服務將無法啟動。 ◎補充描述:如上所說的,用來備份的東西,如 MS Backup 程序就需要這個服務,但是大多數人用不到這個功能。 ◎默認:手動 建議:手動 31.顯示名稱:Net Logon ◎進程名稱:lsass.exe ◎微軟描述:支持網路上計算機 pass-through 帳戶登錄身份驗證事件。 ◎補充描述:一般家用計算機不太可能去用到登入網路審查這個服務。登陸Domain Controller用的,大眾用戶快關。如果要使用網內的域伺服器登錄到域時,啟動。 ◎默認:手動 ?建議:手動 32.顯示名稱:NetMeeting Remote Desktop Sharing ◎進程名稱:mnmsrvc.exe ◎微軟描述:使授權用戶能夠通過使用 NetMeeting 跨企業 intranet 遠程訪問此計算機。如果此服務被停用,遠程桌面服務將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:NetMeeting 遠程桌面共享。讓使用者可以將計算機的控制權分享予網路上或網際網路上的其它使用者,用NetMeeting實現電腦共享。 如果你重視安全性,就關。如果你需要用到遠程桌面求助或幫助別人就別動。 ◎默認:手動 建議:手動 33.顯示名稱:Network Connections ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:管理「網路和撥號連接」文件夾中對象,在其中您可以查看區域網和遠程連接。 ◎補充描述:網路連接。控制你的網路連接,網際網路、區域網要用的東東。關了就看不見網路連接了,不過需要的時候可以隨時打開,不影響上網! ◎默認:手動(已啟動) 建議:手動 34.顯示名稱:Network DDE ◎進程名稱:netdde.exe ◎微軟描述:為在同一台計算機或不同計算機上運行的程序提供動態數據交換(DDE) 的網路傳輸和安全。如果此服務被終止, DDE 傳輸和安全將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:網路 DDE。一般人好像用不到。 ◎默認:禁用 建議:禁用 35.顯示名稱:Network DDE DSDM ◎進程名稱:netdde.exe ◎微軟描述:管理動態數據交換 (DDE) 網路共享。如果此服務終止,DDE 網路共享將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:網路 DDE DSDM。一般好像用不到。 ◎默認:禁用 建議:禁用 36.顯示名稱:Network Location Awareness (NLA) ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:收集並保存網路配置和位置信息,並在信息改動時通知應用程序。 ◎補充描述:如果不使用ICF和ICS可以關了它。如有網路共享或ICS/ICF可能需要(伺服器端)。對於移動辦公用戶,啟動。 ◎默認:手動(已啟動) 建議:手動 37.顯示名稱:Network Provisioning Service ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:為自動網路提供管理基於域的 XML 配置文件。 ◎補充描述: ◎默認:手動 建議:手動 38.顯示名稱:NT LM Security Support Provider ◎進程名稱:lsass.exe ◎微軟描述:為使用傳輸協議而不是命名管道的遠程過程調用(RPC)程序提供安全機制。 ◎補充描述:NTLM 安全性支持提供者。如果不使用 Message Queuing 或是Telnet Server 那就關了它,一般用戶也用不上。 ◎默認:手動 建議:手動 39.顯示名稱:Performance Logs and alerts ◎進程名稱:smlogsvc.exe ◎微軟描述:收集本地或遠程計算機基於預先配置的日程參數的性能數據,然後將此數據寫入日誌或觸發警報。如果此服務被終止,將不會收集性能信息。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:性能記錄文件及警示。記錄機器運行狀況而且定時寫入日誌或發警告,內容比較專業, 可以不用。 ◎默認:手動 建議:手動 40.顯示名稱:Plug and Play ◎進程名稱:services.exe ◎微軟描述:使計算機在極少或沒有用戶輸入的情況下能識別並適應硬體的更改。終止或禁用此服務會造成系統不穩定。 ◎補充描述:即插即用。顧名思義就是 PNP 環境,一般計算機中都需要PNP環境的支持,所以不要關閉。 ◎默認:自動 建議:自動 41.顯示名稱:Portable Media Serial Number Service ◎進程名稱:svchost.exe -k netsvcs ◎ 微軟描述:Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device. ◎補充描述:WmdmPmSN(便攜的媒體序號服務)。獲得系統中媒體播放器的序列號,用於控制盜版音樂文件復制到便攜播放器上,如MP3、MD等。該服務進程名為Svchost.exe。 ◎默認:手動 建議:手動 42.顯示名稱:Print Spooler ◎進程名稱:spoolsv.exe ◎微軟描述:將文件載入到內存中以便遲後列印。 ◎補充描述:列印多任務緩沖處理器。可以優化列印,對於列印功能有一定的幫助,如果根本沒有列印機,可以關了。 ◎默認:自動 ◎建議:手動 43.顯示名稱:Protected Storage ◎進程名稱:lsass.exe ◎微軟描述:提供對敏感數據(如私鑰)的保護性存儲,以便防止未授權的服務,過程或用戶對其的非法訪問。 ◎補充描述:受保護的存放裝置。用來儲存你計算機上密碼的服務,像 Outlook、撥號程序、其它應用程序、主從架構等等。視具體使用環境而定,在不安全的環境下建議停止。 ◎默認:自動 建議:手動 44.顯示名稱:QoS RSVP ◎進程名稱:rsvp.exe ◎微軟描述:為依賴質量服務(QoS)的程序和控制應用程序提供網路信號和本地通信控制安裝功能。 ◎補充描述:QoS 許可控制,RSVP。用來保留 20% 帶寬的服務,如果你的網卡不支持802.1p 或在你計算機的網路上沒有 ACS server,那就不用多說了,關了它。 ◎默認:手動 建議:手動 45.顯示名稱:Remote Access Auto Connection Manager ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:無論什麼時候當某個程序引用一個遠程 DNS 或 NetBIOS 名或者地址就創建一個到遠程網路的連接。 ◎補充描述:如果你的機器提供網路共享服務就啟動它,以避免網路斷線後手動連接,否則停止。 ◎默認:手動 建議:手動 46.顯示名稱:Remote Access Connection Manager ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:創建網路連接。 ◎補充描述:根據具體情況而定。 ◎默認:手動 建議:手動 47.顯示名稱:Remote Desktop Help Session Manager ◎進程名稱:sessmgr.exe ◎微軟描述:管理並控制遠程協助。如果此服務被終止,遠程協助將不可用。終止此服務前,請參見「屬性」對話框上的「依存」選項卡。 ◎補充描述:遠程桌面協助服務,用於管理和控制遠程協助,,對於普通用戶來說,用處不大,可以關閉。佔用4兆內存。 ◎默認:手動 建議:手動 48.顯示名稱:Remote Procere Call (RPC) ◎進程名稱:svchost -k rpcss ◎微軟描述:提供終結點映射程序 (endpoint mapper) 以及其它 RPC 服務。 ◎補充描述:遠程過程調用。系統級服務,別去動它! ◎默認:自動 建議:自動 49.顯示名稱:Remote Procere Call (RPC) Locator ◎進程名稱:locator.exe ◎微軟描述:管理 RPC 名稱服務資料庫。 ◎補充描述:遠程過程調用定位程序。在一般計算機上很少用到,沒什麼特殊要求,可以嘗試關了。 ◎默認:手動 建議:手動 50.顯示名稱:Remote Registry ◎進程名稱:svchost.exe -k LocalService ◎微軟描述:使遠程用戶能修改此計算機上的注冊表設置。如果此服務被終止,只有此計算機上的用戶才能修改注冊表。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎補充描述:遠程登錄注冊表服務。允許遠程用戶在許可權許可的情況下登錄本機並修改注冊表設置。一般而言,這項服務是很少用到的,而且給自己的計算機增加了不必要的危險,因此也把它設為禁止。 ◎默認:自動 建議:禁用 51.顯示名稱:Removable Storage ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:無 ◎補充描述:卸除式存放裝置。除非你有 Zip 磁碟驅動器或是 USB 之類移動式的硬體或是 Tape備份裝置,不然可以嘗試關了,現在的這方面的設備很多,建議保留。 ◎默認:手動 建議:手動 52.顯示名稱:Routing and Remote Access ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:在區域網以及廣域網環境中為企業提供路由服務。 ◎補充描述:路由和遠程訪問提供撥號聯機到網路或是 VPN 服務,一般用戶用不到,可以關閉。 ◎默認:禁用 建議:禁用 53.顯示名稱:Secondary Logon ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:啟用替換憑據下的啟用進程。如果此服務被終止,此類型登錄訪問將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。 ◎ 補充描述:Seclogon(二次登錄服務)。在多用戶使用的計算機上,某些用戶因為是非管理員許可權,導致某些程序無法執行。為了讓沒有管理員許可權的已登錄用戶可以使用這個程序,WindowsXP設計了這個功能來分配臨時的管理員許可權。該服務進程名為svchost.exe。基於安全性考慮,停止。 ◎默認:自動 建議:手動 54.顯示名稱:Security Accounts Manager ◎進程名稱:lsass.exe ◎微軟描述:存儲本地用戶帳戶的安全信息。 ◎補充描述:安全性賬戶管理員。管理賬號和群組原則(gpedit.msc)應用。 ◎默認:自動 建議:自動 55.顯示名稱:Security Center ◎進程名稱:svchost.exe -k netsvcs ◎微軟描述:監視系統安全設置和配置。 ◎補充描述:SP2的安全中心。 ◎默認:自動 建議:禁用
C. 如何查看伺服器系統日誌
這些日誌信息對計算機犯罪調查人員非常有用。
所謂日誌是指系統所指定對象的某些操作和其操作結果按時間有序的集合。每個日誌文件由日誌記錄組成.每條日誌記錄描述了一次單獨的系統事件。通常情況下,系統日誌
是用戶可以直接閱讀的文本文件,其中包含了一個時間戳和一個信息或者子系統所特有的其他信息。日誌文件為伺服器、工作站、防火牆和應用軟體等IT資源相關活動記錄必要的、有價值的信息,這對系統監控、查詢、報表和安全審汁是十分重要的。日誌文件中的記錄可提供以下用途:監控系統資源,審汁用戶行為,對可疑行為進行報警,確定入侵行為的范圍,為恢復系統提供幫助,生成調查報告,為打擊計算機犯罪提供證據來源。
在windows操作系統中有一位系統運行狀況的忠實記錄者,它可以詳細記錄計算機從開機、運行到關機過程中發生的每一個事件,它就是「事件查看器」。用戶可以利用這個系統維護工具,收集有關硬體、軟體、系統問題方面的信息,並監視系統安全事件,將系統和其他應用程序運行中的錯誤或警告事件記錄下來,便於診斷和糾正系統發生的錯誤和問題。
可以雙擊「控制面板」中「管理工具」中的「事件查看器」,打開事件查看器窗口
D. 如何收集 HP ProLiant 系列伺服器iLo日誌,iLO出廠默認配置。不可以重啟機器
接路由上 可以看到ILO的ip
否則需要自己開DHCP服務
訪問可以直接用IP 或者是ILO的名字
比如一般是 ILO********** //*部分是你的序列號
用戶名一般是administrator
密碼是附帶的吊牌上的
忘記密碼需要撥機箱裡面的那一組小開關。具體需要看說明書。能重置ILO的密碼
ILO4實測沒問題。
E. 怎麼查看linux伺服器系統日誌
last
-a 把從何處登入系統的主機名稱或ip地址,顯示在最後一行。
-d 指定記錄文件。指定記錄文件。將IP地址轉換成主機名稱。
-f <記錄文件> 指定記錄文件。
-n <顯示列數>或-<顯示列數> 設置列出名單的顯示列數。
-R 不顯示登入系統的主機名稱或IP地址。
-x 顯示系統關機,重新開機,以及執行等級的改變等信息
以下看所有的重啟、關機記錄
last | grep rebootlast | grep shutdown
history
列出所有的歷史記錄:
[zzs@Linux] # history
只列出最近10條記錄:
[zzs@linux] # history 10 (注,history和10中間有空格)
使用命令記錄號碼執行命令,執行歷史清單中的第99條命令
[zzs@linux] #!99 (!和99中間沒有空格)
重復執行上一個命令
[zzs@linux] #!!
執行最後一次以rpm開頭的命令(!? ?代表的是字元串,這個String可以隨便輸,Shell會從最後一條歷史命令向前搜索,最先匹配的一條命令將會得到執行。)
[zzs@linux] #!rpm
逐屏列出所有的歷史記錄:
[zzs@linux]# history | more
立即清空history當前所有歷史命令的記錄
[zzs@linux] #history -c
cat, tail 和 watch
系統所有的日誌都在 /var/log 下面自己看(具體用途可以自己查,附錄列出一些常用的日誌)
cat /var/log/syslog 等
cat /var/log/*.log
tail -f
如果日誌在更新,如何實時查看 tail -f /var/log/messages
還可以使用 watch -d -n 1 cat /var/log/messages
-d表示高亮不同的地方,-n表示多少秒刷新一次。
該指令,不會直接返回命令行,而是實時列印日誌文件中新增加的內容,
這一特性,對於查看日誌是非常有效的。如果想終止輸出,按 Ctrl+C 即可。
除此之外還有more,less,dmesg|more,這里就不作一一列舉了,因為命令太多了,關鍵看個人喜好和業務需求.個人常用的就是以上那些.《Linux就該這么學》一起學習linux
linux日誌文件說明
/var/log/message 系統啟動後的信息和錯誤日誌,是Red Hat Linux中最常用的日誌之一
/var/log/secure 與安全相關的日誌信息
/var/log/maillog 與郵件相關的日誌信息
/var/log/cron 與定時任務相關的日誌信息
/var/log/spooler 與UUCP和news設備相關的日誌信息
/var/log/boot.log 守護進程啟動和停止相關的日誌消息
/var/log/wtmp 該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件
F. filebeat+elasticsearch+logstash+kibana收集系統日誌(docker)
我們這里用到的是 filebeat+elk(elasticsearch+logstash+kibana) 來進行系統日誌的收集。filebeat安裝在各個伺服器中,Logstash+ElasticSearch+Kibana安裝在一台專門用於基礎服務的伺服器上。
Filebeat是一個輕量級的托運人,用於轉發和集中日誌數據. Filebeat作為代理安裝在伺服器上,監視您指定的日誌文件或位置,收集日誌事件,並將它們轉發到 ElasticSearch 或 Logstash 進行索引.
官方中文文檔: https://s0www0elastic0co.i.site/guide/en/beats/filebeat/current/index.html
Logstash是一個開源的伺服器端數據處理管道,可以同時從多個數據源獲取數據,並對其進行轉換,然後將其發送到你最喜歡的「存儲」。
官方中文文檔: https://s0www0elastic0co.i.site/guide/en/logstash/current/index.html
Elasticsearch 是一個開源的搜索引擎,建立在一個全文搜索引擎庫 Apache Lucene™ 基礎之上。Lucene 可以說是當下最先進、高性能、全功能的搜索引擎庫--無論是開源還是私有。
官方中文文檔: https://s0www0elastic0co.i.site/guide/en/elasticsearch/reference/current/index.html
《Elasticsearch:權威指南》: https://www.elastic.co/guide/cn/elasticsearch/guide/current/index.html
Kibana 是一款開源的數據分析和可視化平台,它是 Elastic Stack 成員之一,設計用於和 Elasticsearch 協作。您可以使用 Kibana 對 Elasticsearch 索引中的數據進行搜索、查看、交互操作。您可以很方便的利用圖表、表格及地圖對數據進行多元化的分析和呈現。
官方中文文檔: https://www.elastic.co/guide/cn/kibana/current/index.html
nginx.conf中設置日誌文件格式:
修改完成後,通過 sudo nginx -t 來檢查配置文件是否正確,然後 sudo nginx -s reload 來重啟
filebeat各系統安裝教程詳見官方文檔。
我這里安裝的deb包(rpm包也同樣),配置文件在 /etc/filebeat/filebeat.yml ,
filebeat命令:
參數介紹:
在/usr/local/文件夾下依次創建logstash/conf.d/logstash.conf
grok正則在線驗證地址: http://grokdebug.herokuapp.com
正則代表的含義: https://github.com/elastic/logstash/blob/v1.4.2/patterns/grok-patterns
配置成功後,執行如下命令重啟docker中的logstash (有時會重啟失敗,多試幾次吧)
在瀏覽器中輸入 http://ip:5601 進入kibana
然後如下設置
然後創建 index pattern
然後選擇@timestamp
最後在Discover標簽頁就可以看到了
G. 用linu日誌伺服器如何收集類似於windows下的windows日誌、應用程序日誌和服務日誌
我覺得用系統備份工具備份,然後通過磁碟映射復制到linux環境中,在tar出來如何。
H. Win系統日誌查看方法介紹
如何查看Windows 2003系統日誌
Windows日誌文件記錄著Windows系統運行的每一個細節, 對Windows的穩定運行起著至關重要的作用。通過查看伺服器中的Windows日誌,管理員可以及時找出伺服器出現故障的原因。
一般情況下,網管都是在本地查看日誌記錄,由於目前的區域網規模都比較大,因此網管不可能每天都呆在伺服器旁。一旦遠離伺服器,網管
就很難及時了解到伺服器系統的運行狀況,維護工作便會受到影響。現在,利用Windows Server 2003(簡稱Windows 2003)提供的Web訪問介面功能就可解決這個問題,讓網管能夠遠程查看Windows 2003伺服器的日誌記錄。
遠程查看Windows 2003伺服器的日誌記錄非常簡單。在遠程客戶端(可採用Windows 98/2000/XP/2003系統),運行IE瀏覽器, 在地址欄中輸入「https://Win2003伺服器IP地址:8098」,如「https://192.168.0.1:8098」。在彈出的`登錄對話框中輸入管理員的用戶名和密碼,點擊「確定」按鈕即可登錄Web訪問介面管理界面。接著在「歡迎使用」界面中點擊「維護」鏈接,切換到「維護」管理頁面,然後點擊「日誌」鏈接,進入到日誌管理頁面。在日誌管理頁面中,管理員可以查看、下載或清除Windows 2003伺服器日誌。
在日誌管理頁面中可列出Windows 2003伺服器的所有日誌分類,如應用程序日誌、安全日誌、系統日誌、Web管理日誌等。
查看某類日誌記錄非常簡單,筆者以查看Web管理志為例,點擊「Web管理日誌」鏈接,進入日誌查看頁面,在日誌文件列表框中選中要查
看的日誌文件,然後點擊右側的「查看日誌」按鈕,就能瀏覽Web管理日誌記錄中的詳細內容了。
清除某個日誌文件也很簡單,選中該日誌文件後,點擊「清除」按鈕即可。如果你覺得遠程查看日誌不方便,想在本 地機器中進行查看,這時你 可以將日誌文件下載到本地硬碟。選中某個日誌文件,然後點擊「下載日誌」按鈕,在彈出的「文件下載」對話框中點擊「保存」按鈕並指定存放路徑即可。
I. 如何查看伺服器系統日誌
伺服器系統日誌是記載著伺服器每時每刻的信息的一個資料庫,上面記載著的一些信息對於我們了解伺服器的運行狀況都有很大的幫助。 查看方法:登陸伺服器後進入控制面板—管理工具—事件查看器日誌按照內容被分為三類,雙擊每條日誌即可查看詳情。 應用程序:主要是記載伺服器上面軟體程序運行方面的一些事件。 安全性:主要是記載伺服器用戶登錄的情況。 系統:主要是記載伺服器系統程序運行狀況。 下面分別舉例介紹: 應用程序日誌 這個事例記錄的是用戶資料庫服務登陸失敗的信息。 安全性日誌這是記載用戶通過遠程登陸伺服器的日誌,包括用戶名以及登陸伺服器時客戶端的ip地址,當您懷疑伺服器被人登陸時在這里可以查實。 系統日誌這個日誌記載了iis運行過程中的一個事件,當您的網站無法訪問時在這里可以了解iis的工作狀態。 以上只是各舉了一個例子,更多的內容需要您在實際使用中總結。