电脑日志模式怎么设置

‘壹’ 电脑日志是干什么的，怎样设置才能提高机子的性能和运行速度谢谢。。

日志系统管理的意义

在一个完整的信息系统里面，日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为，并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错，优化系统的性能，或者根据这些信息调整系统的行为。在安全领域，日志系统的重要地位尤甚，可以说是安全审计方面最主要的工具之一。

日志系统概览

按照系统类型进行区分的话，日志系统可以分为操作系统日志、应用系统日志、安全系统日志等等。每种操作系统的日志都有其自身特有的设计和规范，例如Windows系统的日志通常按照其惯有的应用程序、安全和系统这样的分类方式进行存储，而类似Linux这样的各种Class UNIX系统通常都使用兼容Syslog规范的日志系统。

而很多硬件设备的操作系统也具有独立的日志功能，以Cisco路由器为代表的网络设备通常都具有输出Syslog兼容日志的能力。应用系统日志主要包括各种应用程序服务器（例如Web服务器、FTP服务器）的日志系统和应用程序自身的日志系统，不同的应用系统都具有根据其自身要求设计的日志系统。安全系统日志从狭义上讲指信息安全方面设备或软件如防火墙系统的日志，从更广泛的意义上来说，所有为了安全目的所产生的日志都可归入此类。

日志管理工作综述

我们的主人公Mike是个安全管理员，他独立负责公司所有计算机设施的安全事务。虽然公司的设备还不算太多，但是系统倒是非常丰富，公司自己的网站基于SQL Server数据库进行编程，运行在一台运行着IIS的Windows服务器上，而公司的FTP服务则通过Linux系统下的WU-FTPD程序实现。

在公司与Internet的边界处放置着一台硬件防火墙，Web服务器就接在这台防火墙的DMZ端口上，而仍然是为了工作方便的原因，提供FTP服务的Linux机器放置与公司的内部网络上。到目前为止，所有的安全管理工作有条不紊地进行着，而这其中相当一部分是自动实现的。收集和阅读各种系统日志占据了Mike日常安全管理工作的相当比重，我们首先来看看Mike是如何完成这一切的。

Mike主要处理的日志包括了公司网站服务器上的Windows系统日志、IIS服务器软件生成的日志以及SQL Server日志，Linux服务器上的系统日志以及FTP服务日志，另外还包括公司防火墙的日志。当然了，内网所有的机器日志也在Mike的管辖范围之内，但是在Mike的计划里这些日志的优先级较低，在主要日志得到妥善处理之后，Mike不定期的对这些日志进行审阅工作。

对于Web服务器上的所有日志，Mike改变了其默认的存储位置，并将其放置在服务器上专设的一个NTFS分区上。这样做可以更好的进行管理和控制，而且将其放置在IIS所运行的分区之外，可以给攻击者造成一些障碍，将文件放置在NTFS分区则主要是为了进行访问权限的控制。因为Windows系统日志很难被删除但对其进行清除却非常容易，所以Mike需要对日志的清除包括篡改进行尽量严格的控制。

Mike自己撰写了一些Windows脚本，定期将这些日志复制到自己的Windows工作站下，而很少直接使用Web服务器上的日志文件。Linux服务器上的日志也应用了相似的权限控制，Mike在自己的工作站上运行了一个叫做Kiwi Syslog Daemon的程序，接收Linux服务器产生的所有Syslog规格的日志，这个守护程序也能够接收公司防火墙的日志归档。

Mike每天获取一次所有的日志文件，并对这些日志执行一些自动的检查工作。基本检查工作一般是在日志文件中按照可能存在的安全风险进行相应的搜索，例如我们的Web日志中如果出现了包含cmd.exe的记录，说明很可能有攻击者或者蠕虫病毒在试探是否可以利用IIS的一些进行非法操作。值得注意的是，对于文本格式的日志文件，我们通过基本的Find命令就可以执行这样的搜索。而对于使用二进制格式存储的日志文件，执行这种检查会复杂一些，通常需要利用日志系统本身的阅读程序进行读取或解码。这需要管理员非常熟悉所维护系统相关的安全漏洞，以及相应系统下的脚本编写技术，但是在这些方面付出汗水是绝对值得的，至少像Mike这样维护如此多系统还有时间阅读技术类杂志是很让人羡慕的。

这些日常的工作虽然能阻挡不少恶意访问行为，但这并不是一个安全管理员生活的全部，还是有很多问题会安然通过这些检测，对系统形成破坏。从本质上来讲，自动化的处理是相对粗粒度的，主要起到过滤没有意义的干扰信息，有效降低管理员工作负荷的作用。在日常监测之外，也应该每隔一段时间对这些日志进行更细致的审查。在新漏洞出现时，Mike都会针对漏洞的特征进行日志检查，并及时的将攻击指纹更新到自动化检查脚本中。

下文给你参考：

windows xp 速度提升和优化指南

Win XP以其华丽的操作画面和稳定的性能成为不少电脑玩家的首选操作系统，但在使用Windows XP的过程中你会发现，随着时间的推移操作系统在速度上是越来越慢了。如何才能使Windows XP提高运行速度的问题，已经成为用户十分关心的话题。

1、加快启动速度

每次启动Windows XP的时候，蓝色的滚动条都会不知疲倦地走上好几圈，对于追求高效率的你，是不是很希望它能少走几圈呢？其实我们完全可以把它的滚动时间减少，以加快启动速度。方法是：打开注册表编辑器，依次展开HKEY _ LOCAL _ MACHINE SYSTEM CurrentControlSet Control Session Manager Memory Management PrefetchParameters分支，在右侧窗口中区找到EnablePrefetcher子键，把它的默认值“3”修改为“1”。接下来用鼠标右键在桌面上单击“我的电脑”，选择“属性”命令，在打开的窗口中选择“硬件”选项卡，单击“设备管理器”按钮。在“设备管理器”窗口中展开“IDE ATA/ATAP控制器”，双击“次要IDE通道”选项，在弹出的对话框中选择“高级”选项卡，在“设备0”中的“设备类型”中，将原来的“自动检测”改为“无”，“确定”后退出。“主要IDE通道”的修改方法一致。现在重新启动计算机，看看你的滚动条滚动的时间是不是减少了？ 注意：使用VIA芯片主板的朋友千万可不能修改“VIA BUS MASTER IDE CONTROLLER”选项。

另外，如果你没有选择创建多个不同的硬件配置文件，或者希望启动期间自动加载默认的硬件配置文件而不显示列表项，那么可以将“硬件配置文件选择”小节中的“秒”中输入“0”即可。在需要选择的时候按住空格键就会显示出列表了。

2、优化网上邻居

Windows XP网上邻居在使用时，系统首先会搜索自己的共享目录和可作为网络共享的打印机以及计划任务中和网络相关的计划任务，然后才显示出来，这样会直接影响计算机的运行速度。如果不必要的话，应将其删除。具体步骤如下：在注册表编辑器中找到HKEY_LOCAL_MACHINE＼sofeware＼Microsoft＼Windows＼Current Version＼Explore＼RemoteComputer＼NameSpace，删除其下的{2227A280-3AEA-1069-A2DE08002B30309D}(打印机)和{D6277990-4C6A-11CF8D87- 00AA0060F5BF}(计划任务)，然后重新启动计算机，当你再次访问网上邻居时，发现运行速度已经提升。

3、加快开关机速度

在Windows XP中关机时，系统总会发送消息到运行程序和远程服务器，通知它们系统要关闭，并等待接到回应后系统才开始关机的。如果我们要加快开机速度的话，我们可以先设置自动结束任务的时间。方法是：打开注册表编辑器，依次展开HKEY_CURRENT _ USER Control Panel Desktop分支，找到AutoEndTasks子键，将其设置为1。再将该分支下的“HungAppTimeout”子键设置为“1000”，将“WaitTOKillService”改为“1000”(默认为5000)即可。通过这样重新设置，计算机的关机速度可获得明显加快的效果。

5、快速切换不同的工作环境

为了满足各种不同的需要和适应不同的工作环境，可以同时创建多个不同的硬件配置文件。在“硬件配置文件”对话框中按“复制”按钮，备份当前硬件配置文件，并重新命名，在不同的工作环境下均如此操作一遍。进入“硬件配置文件”对话框，用上下箭头移动配置文件，将最常用的置于最上方，在“硬件配置文件选择”小节上选“等待用户选定硬件配置文件”，重新启动计算机就可以看到“硬件配置文件选择菜单”了。这种设置办法对使用笔记本电脑用户更加实用，可以创建多个适用于不同场合的硬件配置文件，切换起来既方便又可大大提高工作效率。

6、提高宽带速度

大家都知道，专业版的Windows XP默认保留了20%的带宽，其实这对于我们个人用户来说是没有多大的作用。与其闲着还不如充分地利用起来，方法如下：在“开始→运行”中输入gpedit.msc，打开组策略编辑器。找到“计算机配置→管理模板→网络→QoS数据包调度程序”，选择右边的“限制可保留带宽”，选择“属性”打开限制可保留带宽属性对话框，选择“禁用”即可。经过这样重新设置就可以释放保留的20％的带宽了。

7、清空系统中多余的硬件信息

日常工作中使用拔插硬件设备是经常的事情，这样重复安装驱动程序的过程将会在系统中遗留下很多硬件注册信息等，导致系统速度减缓，该如何清空这些多余的硬件信息呢？首先点击“复制”按钮备份(Profile 2)，然后再重新命名，例如改为Profile，再重新启动计算机，此时会出现供你选择的提示：“1、Profile .2、Profile1 3、None of the above ”， 这里的“1”和“2”是系统中已经存在的硬件配置文件，我们当然选择“3”，这样就可以让 Windows重新检测硬件，此时屏幕会出现“检测硬件”的对话框，并提示“大约需要几分钟时间”，稍后出现的“配置设置”的对话框，提示“成功设置了新计算机的配置，名称为Profile1”，点击“确定”按钮，重新安装硬件设备的驱动程序。最后，要把除Profile1外的两个硬件配置文件删除掉，防止开机时仍然会询问你使用哪一个硬件配置文件。

8.对Windows XP进行启动优化

Windows XP有一个不错的新功能，那就是可以在启动时进行磁盘碎片整理，使那些启动所必须的文件能相邻排列，从而令下次的启动速度更快。如果你的Windows XP 中没有打开此功能，可打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\\SOFTWARE\\Mi
crosoft\\Dfrg\\BootOptimizefunction],在右侧窗格右击Enable值，在弹出的菜单中选择“修改”，然后将值改为Y（打开）（N为关闭）。修改完毕后关闭“注册表编辑器”，重启电脑。

9、自动关闭停止响应程序

有些时候，XP会提示你某某程序停止响应，很烦，通过修改注册表我们可以让其自行关闭，在HKEY_CURRENT_USER＼Control Panel＼Desktop中将字符健值是AutoEndTasks的数值数据更改为1，重新注销或启动即可。

10、清除内存中不被使用的DLL文件

在注册表的HKKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion，在Explorer增加一个项AlwaysUnloadDLL，默认值设为1。注：如由默认值设定为0则代表停用此功能。

11、停止不必要的系统服务

1)alerter 错误警报
2)automatic updates windows 自动更新
3)background intelligent transfer service 微软说使用空闲的网络带宽传数据
4)clipbook 与远程电脑来共享剪贴板内容，我看还是免了吧
5)Computer browser 维护网络更新列表
6)DHCP client 一般不需要这东西
7)Distributed link tracking client 保持局域网连接更新等信息，偶很少用局域网，这东西占用4M左右内存。
8)Distributed Transaction coordinator 协调xxx，和上面的差不多
9)DNS Client 我不需要这东西
10)Error reporting service 错误报告
11)Event Log 系统日志纪录
12)Fast user switching compatibility 用户切换
13)help and support 帮助
14)Human interface device access 据说是智能设备。。。
15)IMAPI CD-burning COM service 偶不用这个刻碟
16)Indexing service 索引，索引什么呢？
17)Internet Connection Firewall(ICF) ICF防火墙
18)IPSEC Services IP安全策略（一般都需要）
19)Logical Disk manager administrative service 配置磁盘
20)messenger windows信使服务，一般可关掉
21)MS software shadow provider 卷复制备份的，不需要
22)Net Logon 远程登录，关！
23)Netmeeting remote desktop sharing 我不用netmeeting
24)Network DDE 动态数据交换传输
25)Network DDE DSDM 和上面差不多
26)Network Location Awareness 关，我的机子不作共享
27)NTLM Security support provider－telnet 呵呵，关！
28)Performance logs and alert 将系统状态写日志或发警告
29)Portable media serial number 关！
30)Print Spooler 打印机共享，可关掉
31) QoS RSVP 关！
32)Remote desktop help session manager 远程帮助服务
33)remote Procere Call LOCATOR 管理RPC
34)remote registry 远程管理注册表，停止
35)removable storage
36)routing and remote access 我干脆禁用了它
37)security accounts manager 我的系统只是一个客户系统，不用iis。
38)smart card
39)smart card helper 关
40)SSDP Discovery service 我用不到这个
41)system event notification 如果是服务器肯定要记录的
42)system restore service 系统还原服务
43)task scheler windows 计划服务
44)Telephony 拨号服务，可停止
45)telnet 可停止
46)terminal services 终端服务，可停止
47)uninterruptible power supply UPS不间断电源，如没可关掉
48)universal plug and play device host 太先进了点，用不到
49)upload manager 关了也能传输文件的
50)volume shadow 卷备份，可停止
51)webclient 没用过
52)Windows Installer MSI服务，我一直关着。
53)windows image acquisition (WIA) 数码设备用的
54)windows management instrumentation driver extensions 关了
55)windows time 时间服务
56)wireless zero configuration 无线网络，偶用不到的
57)WMI perfromance adapter 关！

上面列出的服务可以根据自己的需要停止掉，这样开机和运行速度会快很多

12、安全设置

多了不谈，基本的共享还是得关的：

修改注册表为以下两个样式：
去除默认共享
——————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
——————————————————————
去除IPC$管理
——————————————————————
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
——————————————————————
将上面的文本保存成两个.REG文件，双击导入就可以了。

13、关闭错误报告

如不需要windows发送错误报告，可点击 控制面板---->系统---->高级---->

右下角--->错误报告---->禁用错误汇报——>确定！

14、关闭系统的预读功能 （重要必读)

根据网上一些人的介绍和经验结合我自己使用的Windows XP的经理，现在提供解决系统运行时间长后速度明显慢下来的方法，可能很多人都在抱怨启动慢--或者关机慢等等，所以我说说一个明显可以改善启动速度的方法！
你到c:/Windows下面会有一个叫Prefetch的文件夹(即Windows预读文件夹)，你会发现里面有上百个以PF为扩展名的文件：--启动慢的原因就在这里！
那么这些到底是些什么东西了？

这里是系统的预读功能，在装系统后的开始一段时间，设置为预读虽然可以提高系统速度，但是使用一段时间后，预读文件夹里的文件会变得很多，导致系统搜索花费的时间变长。而且有些应用程序会产生死链接文件，加重了系统搜索的负担。因此，他严重影响了我们系统的启动速度，我们应该定期删除这些预读文件。

在这里，Windows XP是允许我们设置预读的对象。
方法就是：打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters分支，在右侧窗口中双击"EnablePrefetcher"，在打开的"DWORD"值编辑窗口中，可以对Windows XP进行预读设置：
将该值设置为"0"，即为取消预读功能；
设置为"1"，系统将只预读应用程序；
设置为"2"，系统将只预读Windows系统文件；
设置为"3"，系统将预读Windows系统文件和应用程序。

一般我们将该值设置为"2"即可，当然，如果你的计算机配置很高，也可以将该值设置为"3"，以加快系统运行速度。

我们也可以自己制作一个批处理程序，在每次开机时删除"Windows\Prefetch"文件夹的文件。

方法如下：我们新建一个记事本文件，并且改后缀名为.bat，命名为DelPre.bat，然后用记事本打开它，并在里面加入以下内容：
del %SystemRoot%\Prefetch\*.* /q
加"/q"参数是删除全局通配符时，不要求确认，当然还可以用其他参数，如"/f"参数是强制删除只读文件。然后保存文件。

15、减少启动时加载项目

许多应用程序在安装时都会自作主张添加至系统启动组，每次启动系统都会自动运行，这不仅延长了启动时间，而且启动完成后系统资源已经被消耗掉！

启动"系统配置实用程序"（msconfig），在"启动"项中列出了系统启动时加载的项目及来源，仔细查看你是否需要它自动加载，否则清除项目前的复选框，加载的项目愈少，启动的速度自然愈快。此项需要重新启动方能生效。

‘贰’ 怎么查看电脑日志

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。
中文名
系统日志
包括
系统、应用程序和安全日志
作用
检查错误发生的原因等
定义
记录系统中硬件、软件和问题信息
快速
导航
具体信息系统日志的价值
概述
查看系统日志方法:开始→设置→控制面板→管理工具 中找到的“事件查看器”，或者在【开始】→【运行】→输入 eventvwr.msc 也可以直接进入“事件查看器”在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件，在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。
命令提示符
具体信息
例如可以利用eventlog事件来查看计算机开关机的记录：
在【事件查看器】窗口，在左侧的窗格当中选择【系统】选项，单击右键【属性】菜单项
之后在弹出来的【属性】对话框当中切换到【筛选】选项卡，在【事件来源】下拉列表框中找到“evenlog之后【确定】，此时就可以看见该事件的日志信息了！
其中事件ID 6006 ID6005、 ID 6009就表示不同状态的机器的情况（开关机）。
6005 信息 EventLog 事件日志服务已启动。(开机)
6006 信息 EventLog 事件日志服务已停止。(关机)
6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机
如何查看系统日志(以windows2003server为例)
查看Windows2003系统日志的办法
Windows日志文件记录着Windows系统运行的每一个细节， 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志，管理员可以及时找出服务器出现故障的原因。
一般情况下，网管都是在本地查看日志记录，由于局域网规模都比较大，因此网管不可能每天都呆在服务器旁。一旦远离服务器，网管

‘叁’ 电脑日志可以怎么进行查看

本视频演示机型：联想小新Air14，适用系统：Windows10；
第一种方法，鼠标右键单击【此电脑】，在弹出的菜单栏中选择【管理】选项卡，进入计算机管理界面，在左侧找到【事件查看器】功能项，接着在右侧点击【打开保存的日志】，即可查看电脑日志；
第二种方法，点击下方的任务栏中的搜索框，输入【事件查看器】，单击【事件查看器】，进入事件查看器界面之后，再选择右侧的【打开保存的日志】，即可查看电脑日志；
本视频就到这里，感谢观看。

‘肆’ 电脑的windows高级选项菜单里那些8样模式怎么使用

一、安全模式

系统问题举例：最近我给Windows XP打上了SP2补丁（非正式版本），可是之后在安装瑞星杀毒软件的过程中出现了蓝屏现象，而且每次在出现Windows登录窗口时都会自动重启，这是怎么回事？该如何解决呢？专家支招：这是因为安装的SP2补丁与瑞星杀毒软件不兼容造成的，要解决该问题，可以在“安全模式”中来完成。模式说明：“安全模式”是系统仅次于“正常模式”之后的最常用的启动模式，该模式仅使用最基本的驱动程序（比如键盘、鼠标等）启动Windows XP，不支持网络功能。通过“安全模式”可以解决Windows在启动或使用过程中出现的大部分问题，比如感染病毒、不能正常启动、账户被停用等等。


解决步骤：

第一步，在“Windows XP高级选项菜单”中选择“安全模式”并回车。第二步，在出现的提示窗口中单击“是”按钮，这样可以在安全模式下工作，单击“否”按钮可以使用系统还原来还原计算机到以前的状态。第三步，进入“安全模式”后，我们会发现桌面的四个角都有“安全模式”的字样（如图2），打开“我的电脑”，找到瑞星软件的安装目录，比如“系统安装盘\Program Files\rising”，然后分别打开rav、rfw文件夹，分别运行其中的“UnInst.exe”删除软件即可。这样重新启动到正常模式后就不会出现自动重启现象了。
二、带网络连接的安全模式

系统问题举例：最近我给创新SB Live！声卡安装了新的驱动程序，结果每次登录Windows XP的时候速度特别慢，而且经常会死机，该如何解决这个问题？专家支招：可能是因为安装了不兼容的驱动程序造成的。我们知道创新SB Live！声卡有很多种驱动程序，要解决该问题，可以先卸载已安装的驱动，再重新安装通用驱动程序。模式说明：该模式顾名思义就是指加载了网络功能的“安全模式”，在启动时会加载网络设备驱动程序和网络服务，这样就能访问局域网和Internet，并能从网上下载相应的修复工具和驱动程序来解决各种软件问题，以及因为硬件驱动程序造成的问题。
三、带命令行提示的安全模式
系统问题举例：在Windows XP中，我为了禁止《泡泡堂》游戏运行，选择在“组策略”窗口中展开“用户配置→管理模板→系统”。接着双击右侧窗口的“只运行许可的Windows应用程序”项，选 中“已启用”，并添加了notepad、gpedit.msc等允许的程序。可是结果事与愿违，现在根本无法运行“组策略”和其他程序了，总是出现本次操作被取消的提示？专家支招：这是因为错误的“组策略”设置造成的，可以在“带命令行提示的安全模式”中打开“组策略”窗口改回设置，即可解决问题。要想再阻止的话，可以双击“不要运行指定的Windows应用程序”来设置。模式说明：该模式其实就是在“安全模式”中打开“cmd.exe”（命令提示符）窗口，通过输入相应的命令来解决各种问题，可实现的功能跟“安全模式”完全一样。
解决步骤：

第一步，在“Windows XP高级选项菜单”中选择“带命令行提示的安全模式”并回车。第二步，进入安全模式后，在命令提示符下输入“mmc”，按下回车键后打开控制台窗口。第三步，依次点击“文件→添加/删除管理单元→添加”，选择“组策略”管理单元，单击“添加”按钮，再分别单击“完成”、“关闭”、“确定”即可。这样，“组策略”管理单元将被添加到控制台窗口中。第四步，展开“用户配置→管理模板→系统”，双击右侧窗口的“只运行许可的Windows应用程序”项，在属性窗口中选择“未配置”，单击“确定”按钮即可。第五步，按下“Ctrl+Alt+Del”组合键，选择“关机”，并重新启动电脑即可。Win XP高级选项菜单应用实例（下）
Windows 2000/XP的启动菜单相对于Windows 98先进了很多，按下“F8”键后，会出现一个全中文界面的“Windows XP高级选项菜单”（如图），上期我们谈到其中的安全模式、带网络连接的安全模式、带命令行提示的安全模式的应用实例，本期我们继续来探索“F8”键背后的其它应用。
四、对故障了如指掌——启用启动日志

系统问题举例：我的VIA主板板载的AC’97声卡，在安装了从网上下载的WDM驱动后，发现每次重启之后电脑不能正常发声。而且在“设备管理器”中没有发现声卡设备。究竟驱动装好没有，我们如何判断呢？专家支招：这可能是因为安装了不兼容的驱动程序造成的，这样在启动Windows XP的时候没有加载AC’97声卡驱动程序。要解决该问题可以先尝试“启用启动日志”运行系统，再找到问题根源。模式说明：启用启动日志模式可以在系统启动后生成一个名为ntbtlog.txt文件，将系统启动过程中加载的和未加载的驱动程序记录到该文件中。解决步骤：第一步，打开“系统盘：\Windows”目录，删除其中的ntbtlog.txt文件。第二步，重新启动Windows，在Windows XP高级选项菜单中选择“启用启动日志”模式启动。第三步，进入Windows XP，打开ntbtlog.txt文件，“Loaded driver”部分表示加载的驱动程序，而“Did not load driver”部分表示未加载的驱动程序，通过查找“viaudio.sys”查看是否加载。如果没有加载，就重新安装驱动程序；如果已经加载，但是不能用，就重新寻找并安装兼容的驱动程序。

五、显示器“还魂法宝”——启用VGA模式

系统问题举例：一次给显示器手工设置了高刷新频率后，显示黑屏，而且重新启动计算机后，故障如故。该怎么办？专家支招：这是因为设置了过高的显示器刷新频率 造成的黑屏，可以尝试“启用VGA模式”来重新设置合适的刷新频率。模式说明：VGA模式可以使用标准的VGA驱动程序来启动Windows XP，这样可以重新设置显示器的刷新频率。还可以删除安装错误的显卡和显示器驱动程序。解决步骤：第一步，重新启动Windows XP，在“Windows XP高级选项菜单”中选择“启用VGA模式”并回车。第二步，打开“桌面属性”窗口，选择“设置”选项卡，单击右下角“高级”按钮。第三步，选择“监视器”选项卡，在“屏幕刷新频率”中选择合适的刷新频率，连续单击“确定”按钮即可。
六、系统“救命稻草”——最后一次正确的配置

系统问题举例：今天，我给电脑重装了Windows XP，安装过程中一切正常，可是在安装完成后重新启动时出现蓝屏，并提示“Stop:0x0000000A……”，这是怎么回事？该如何解决这个问题？专家支招：这一般是由于安装了与Windows XP不兼容的硬件驱动程序造成的，我们尝试“最后一次正确的配置”。如果不能解决问题，可以尝试恢复驱动程序操作。模式说明：该模式可以利用系统在最近一次保存的正确的系统配置来启动Windows XP，包括注册表、驱动程序等等配置信息。
解决步骤：第一步，重新启动Windows XP，按下F8键，在“Windows XP高级选项菜单”中选择“最后一次正确的配置”并回车来让系统恢复注册表及其他文件。第二步，如果还不能解决问题，可以再次重新启动Windows XP，进入“安全模式”，打开“设备管理器”。第三步，打开不兼容的硬件属性窗口，选择“驱动程序”选项卡，单击“返回驱动程序”按钮来卸载当前的驱动程序，并还原到以前的驱动程序。另外，还可以使用“系统还原”将系统还原到以前的Windows XP状态。

七、活动目录修复工具——目录服务恢复模式
系统问题举例：有的公司是通过AD（Active Directory，活动目录）管理用户数据的，可是最近不知道怎么回事，AD数据库数据丢失了，以前做过备份的，该如何恢复？专家支招：因为恢复AD数据库不能在AD服务正常运行时进行，那么我们可以借助于“目录服务恢复模式”，通过系统还原工具来完成。模式说明：“目录服务恢复模式”是安全模式的一种，通过该模式可以进行Windows XP域控制器的AD的修复以及恢复。解决步骤：第一步，重新启动Windows XP，在“Windows XP高级选项菜单”中选择“目录服务恢复模式（只用于Windows 域控制器）”并回车。第二步，在登录对话框中，输入具有管理器权限的用户名和密码登录系统。在出现提示窗口时，单击“是”按钮进入“安全模式”。第三步，依次点击“开始→所有程序→附件→系统工具→备份”，在“备份或还原向导”窗口中单击“下一步”。选择“还原文件和设置”，单击“下一步”继续。第四步，在“还原项目”中选择已经备份的AD数据库，单击“下一步”继续；然后按提示进行相应的操作即可，最后重新启动计算机就完成了AD数据库的恢复。
八、硬件故障排查工具——调试模式

系统问题举例：最近我的Windows XP经常不能正常启动，但是又找不到具体的原因，该怎么办？专家支招：造成这种故障的原因很多，可能是由于硬件驱动程序不兼容，或者病毒等软件问题造成的。如果是前者可以尝试使用“调试模式”来反复调试，找到原因；如果是后者，可以通过杀毒软件进行病毒扫描以解决问题。模式说明：通过该模式可以检查硬件使用的实模式驱动程序是否会和Windows XP发生冲突，以找出硬件问题的所在。解决步骤：第一步，重新启动Windows XP，在“Windows XP高级选项菜单”中选择“调试模式”并回车。第二步，在进入Windows XP后，分别用记事本打开C盘中autoexec.bat和config.sys文件。第三步，删除或增加要启动的硬件驱动程序，再重新启动Windows，并选择“调试模式”反复进行测试，最终查出有冲突的硬件。

‘伍’ 性能监视器 日志 模式 怎么设置

1、点击“开始”--“控制面板”--“管理工具”--“性能监视器”或者点击“开始”-在搜索框中输入“perfmon.msc”回车打开”性能监视器“。
2、开始我们需要创建一个我们需求定制”性能监视器“右键单击“性能监视器”--“新建”--“数据收集器集”
3、打开“数据收集器集”-“用户定义”可以看到我们所创建的性能监视器，同时在“报告”-“用户定义”下也会创建一个相对应的报告文件。
4、现在就开始使用我们创建的监视器了，单击”aa“监视器，在右侧右键单击“系统监视器日志”选择属性。我们可以看到”属性“窗口，我们主要看计数器的添加，单击”添加“弹出”可用计数器“。我们可以勾选”显示描述“来查看计数器的内容介绍，最后点击添加即可。
5、添加计数器后我们可以观察到这个进程在运行时所占用的内存情况，这样我们就可以判断电脑卡的原因是不是这个程序引起的。
6、我们还可以对”aa“监视器设定计划和设置进行条件。在”系统监视器日志“空白处右键单击。

‘陆’ 电脑开机进入高级启动选项怎么设置

电脑开机进入高级启动选项菜单的设置：

1. 要进入高级启动选项菜单，可在开机时多次按F8，就可调出高级启动选项菜单界面。如上图。

2. 进入了高级启动选项菜单，主要有以下选项供选择：

   ①安全模式；

   ②网络安全模式；

   ③带命令提示行的安全模式；
   

   ④启用启动日志模式；

   ⑤启用低分辨率视频（640x480）；

   ⑥最近一次的正确配置（高级）；

   ⑦调试模式；

   ⑧正常启动。

3. 英文Safe Mode；安全模式是Windows操作系统中的一种特殊模式，经常使用电脑的朋友肯定不会感到陌生，在安全模式下用户可以轻松地修复系统的一些错误，起到事半功倍的效果。安全模式的工作原理是在不加载第三方设备驱动程序的情况下启动电脑，使电脑运行在系统最小模式，这样用户就可以方便地检测与修复计算机系统的错误。

4. 启用低分辨率视频（640x480），可解决分辨设置错误产生的电脑故障问题。

5. 用户可根据需要进行选择。

6. 如果选安全模式仍然进不了桌面，则系统文件存在损坏或硬盘出现损坏磁道，需要在PE下，保存数据、检测硬盘磁道，排除坏道因素后重新安装或还原系统。
   

   
   

‘柒’ 在Windows7上配置管理IIS日志记录

不仅仅是日志的格式，还是其他的一些可选项上，操作系统管理员有了更多的选择。如下图所示，就是IIS日志记录配置管理的基本页面。

在Windows7操作系统中，IIS日志记录应该视为ISS所必需的而不是可选的组件。这主要是因为日志文件对于管理IIS服务器来说具有很关键的作用。如在这个IIS服务器在受到安全威胁的情况下，可以利用日志文件并对其中包含的内在细节执行排疑式审查。如到IIS服务器发生故障后也可以利用这个日志文件中所记录的信息来检查维护过程并识别系统中的问题。笔者这里就给大家介绍一下Windows7操作系统中IIS日志记录相比Windows2003操作系统的一些新特性，并帮助大家部署一种得心应手的日志管理模式。

一、选择合适的日志记录级别。

在IIS7.0版本中，系统管理员可以根据自己的需要选择合适的日志记录级别。如可以在服务器级别上进行日志记录管理，也可以在网站、WEB应用程序文件或者目录级别上实现它。具体要在那个级别上实现，主要看系统管理员的需要。不过需要注意的是，其实现级别的不同，所支持的日志文件格式也是不同的。如在“服务器”级别实现的话，其支持的日志格式就只有两种，分别为“W3C”格式与二进制格式。而如果选择“网站”级别上实现日志管理的话，则其支持的日志格式有三种，分别为IIS、NCSA、W3C格式。而且系统管理员如果觉得这些格式还不满足的话，可以通过“自定义”的方式来自定义自己需要的格式。所以在选择日志记录级别的时候，除了需要考虑在什么级别上进行日志管理比较方便与安全，同时还需要结合自己喜欢的日志格式。笔者个人喜欢在网站级别上对日志进行管理。因为在一台服务器上，如果只部署IIS服务的话，可能比较浪费。也就是说，在同一台服务器上可能有多个应用服务。为了跟其他应用服务与服务器操作系统的日志区分开来，笔者就建议大家在网站级别上进行管理。当然，在哪个级别上进行日志管理，对于日志的内容没有实际性的差异。主要是看服务器的部署以及系统管理员的工作习惯而定。

二、为日志记录选择合适的格式。

如果选择网站级别来管理日志的话，这个日志的格式有多种选择。最重要的是，系统管理员可以选择IIS的日志记录格式。这个IIS日志记录格式是基于文本的日志记录。跟W3C日志记录格式类似，都是通过HTTP.SYS来控制的。不过这个IIS日志记录格式是一个核心模式过程。而以前的日志记录都是通过用户模式来管理的。两者之间有比较大的变化。超文本传输协议侦听程序被实现为名为 HTTP.SYS的内核模式设备驱动程序。HTTP.SYS 是 Windows 网络子系统的一个重要组成部分。在以前的版本中，当在 IIS 中创建网站时，使用 HTTP.SYS注册站点，然后HTTP.SYS将 Web 请求传送到正在运行网站的用户模式进程中。同时HTTP.SYS也将响应送回客户端。除了从其内部缓存中检索存储的响应以外，HTTP.SYS并不处理它所接收到的请求。因此，应用程序特定代码永远不会加载到内核模式中。但是有些系统管理员希望HTTP.SYS能够以核心模式运行。此时就需要采用IIS日志格式。另外IIS是基于文本的日志记录，跟二进制格式的日志记录不同，直接可以通过文本浏览器等工具来查看日志信息。所以阅读起来也更加的方便。

当然，日志文件的格式不同，其所存储的内容都是相同的。所以日志文件的格式并不会影响日志的实际管理价值。不过为了日后管理维护的方便，笔者建立系统管理员最好还是根据自己的工作习惯来选择合适的日志格式。

三、选择合适的编码格式。

一般情况下，IIS日志文件的编码格式有两种，分别为UTF-8与ANSI两种格式。在所有的字符集中，虽然ANSI比较有名。但是这个编码格式可以说是专门为英文所设计的。用来存储其他的语言时会出现乱码的情况。如对于汉语就支持的不是很好。为了解决这个问题，特意提出了一种新的编码格式，即UTF-8。这是一种UNICODEd 一种变长字符编码。如果UNICODE字符由2个字节表示，则编码成UTF-8很可能需要3个字节，而如果UNICODE字符由4个字节表示，则编码成UTF-8可能需要6个字节。UTF-8编码可以通过屏蔽位和移位操作快速读写。字符串比较时strcmp()和wcscmp()的返回结果相同，因此使排序变得更加容易。字节FF和FE在UTF-8编码中永远不会出现，因此他们可以用来表明UTF-16或UTF-32文本。 UTF-8 是字节顺序无关的.。它的字节顺序在所有系统中都是一样的。

这些字符集的格式对于某些系统管理员来说可能有点深奥。其实系统管理员也不需要了解的这么清楚。只需要明白一个原则。即如果日志中显示的如果都是英文的话，那么采用ANSI编码格式也不会有问题。但是如果日志中还会存在其他语言的话，则可能会出现乱码。为此笔者建议，还是采用UTF-8的编码格式为好。毕竟，其对于英文的支持力度也是很好的。为此还不如一劳永逸的将其设置为UTF-8格式为好。免得以后再日志阅读中遇到乱码的烦恼。

四、选择合适的日志文件滚动更新机制。

如果将IIS的日志记录都保存在一个文件中，显然文件会很长。到时候，查看记录的时候，会很麻烦。为此最好能够将日志文件进行分割，分割成一个个小文件。这方便与后续的查询与阅读。在Windows7操作系统的IIS日志中，提供了很多的日志文件滚动更新的方法。如可以根据时间来创建新的日志文件。如可以按天、按周或者按月来实现日志文件的滚动更新。一般情况下，按月来更新即可。如果IIS服务器访问比较频繁，也可以适当缩短这个日志文件滚动更新的时间间隔。如可以将时间间隔调整为一周或者一天等等。这个时间间隔到底多少为好，主要是看其记录的数量。如果日志记录数量多的话，那么可以适当缩短时间。相反，如果日志记录数量不是很多的话，则可以以月为单位建立新的日志文件。

除了可以根据时间来建立新的日志文件之外，还可以根据日志文件的大小来创建新的日志文件。在IIS日志管理器中可以选择“最大文件大小”。然后输入一个合适的尺寸。如此的话，当这个日志文件达到指定的大小之后，系统就会自动对其进行日志切换。不过笔者并不赞同采用这种方法。虽然其可以将重做日志文件控制在一个合理的大小内，但是其会打破其内在的时间联系。到时候，在遇到问题时查询起来会非常的不方便。故笔者还是建立按时间来对重做日志文件进行分割。

另外管理器还提供另一个有用的选项，即是否要将本地时间用户文件命名与翻滚。这是一个很有用途的选项。选中这个选项后，在系统自动建立的日志文件中就会反映这个时间信息。这对于系统管理员来查找日志文件，能够提供很大的帮助。特别是如果按文件大小来分割重做日志文件的话，一定要选中这个选项，以方便后续的查找。

‘捌’ 电脑引导日志记录默认是关闭，怎么样设置可以开启

win7禁止系统日志的记录的步骤：

1、选择桌面上的计算机，鼠标右键选择属性；

2、点高级系统设置；