Cómo eliminar el visor de eventos
Bueno, hay que tener cuidado. Lo anterior es para encontrar la falla en el visor de eventos, entonces, ¿cómo encontrar la información correspondiente en el visor de eventos en función de la falla? Error de DETENER En teoría, Windows 2000 puro de 32 bits no fallará, pero Windows 2000 sí lo hará debido a virus o discrepancias entre los controladores de software y hardware. Cuando Windows 2000 falla, la pantalla se vuelve azul y aparece un mensaje de falla de detención. Esto es lo que a menudo llamamos fracaso del stop loss. Si Windows 2000 puede iniciarse, puede abrir el Visor de eventos para ver el registro del sistema y determinar el dispositivo o controlador que está causando la falla. Si no puede iniciar su computadora, puede iniciarla usando el Modo seguro o la Última configuración conocida y luego eliminar o deshabilitar los complementos o controladores recién instalados. Si no puede iniciar su computadora en modo seguro, puede usar la Consola de recuperación para deshabilitar algunos servicios o cambiar el nombre de los controladores del dispositivo, solucionar problemas del sector de arranque o del registro de arranque maestro, etc. Si desea obtener más información sobre la consola de recuperación, puede consultar el artículo "Un segundo antes del fin del mundo: Consola de recuperación de Windows" en el número 19 de "Computer Enthusiast" de 2002. Luego elimine los dispositivos de hardware recién instalados y verifique la Lista de hardware compatible (HCL) de Microsoft para asegurarse de que todo el hardware y los controladores sean compatibles con el sistema Windows, donde se encuentra Hcl.txt en la carpeta \Support del CD de instalación de Windows 2000. Además, también puede visitar el sitio web de soporte técnico oficial de Microsoft /china/support e ingresar el código de falla DETENER en la búsqueda. Por ejemplo, si el mensaje STOP muestra "STOP:0x0000000A", puede ingresar "stop0x0000000A" y luego presionar la tecla Intro para encontrar soluciones al problema STOP. Como se muestra en la Figura 5. Figura 5 (Haga clic para ver la imagen más grande) Mantenimiento y administración del visor de eventos Modificar la ruta de almacenamiento de los archivos de registro Los registros del sistema de Windows se guardan en la carpeta del sistema de Windows de forma predeterminada. A veces, si planea modificar la ruta donde se almacenan los archivos de registro, puede modificar el registro. (1) Modifique la ruta de almacenamiento del registro del sistema, abra el editor de registro, expanda la siguiente rama: HKEY_Local_Machine\System\Current Control Set\Service\Event Log\System y luego haga doble clic en el valor de la clave del archivo en la ventana derecha para abrir el editor de cadenas. La ruta de almacenamiento predeterminada del sistema es %systemroot%\system32\config\sys event. En este momento, puede configurar una nueva ruta de almacenamiento según sus propias necesidades, como se muestra en la Figura 6. Figura 6(2) Modifique la ruta de almacenamiento del registro de la aplicación, abra el editor de registro y expanda la siguiente rama: HKEY_Local_Machine\System\Current Control Set\Service\Event Log\Application. Simplemente haga doble clic y modifique la clave del archivo en la ventana derecha. El método es el mismo que el anterior. (3) Modifique la ruta de almacenamiento del registro de seguridad, abra el editor de registro, expanda la siguiente rama: HKEY_Local_Machine\System\Current Control Set\Service\Event Log\Security, haga doble clic en la ventana derecha para modificar el valor de la clave del archivo . Una vez completada la modificación, reinicie la computadora para que la modificación surta efecto. Administrar el Visor de eventos Ahora que podemos modificar la ruta de almacenamiento del archivo de registro, ¿podemos administrar el archivo de registro según nuestras propias necesidades? (1) Cambie el tamaño del archivo de registro. En el visor de eventos, haga clic derecho en "Registro de aplicación" y en el menú de acceso directo emergente, seleccione "Propiedades" para abrir el cuadro de diálogo "Propiedades de registro de aplicación". General" Especifique el nuevo tamaño del archivo de registro en el cuadro de texto Tamaño máximo del archivo de registro de la pestaña. Si desea que la nueva configuración surta efecto, debe hacer clic en el botón de comando "Borrar registro". Si desea conservar la información en el registro actual, simplemente haga clic en el botón "Sí" cuando se le pregunte si desea guardar el registro original antes de borrarlo. (2) Para borrar todos los registros de eventos en el árbol de la consola, primero haga clic en el registro que desea borrar, como "Registro de aplicaciones", y luego haga clic en el comando "Borrar todos los eventos" en el menú "Acción". En este momento, se le preguntará si desea guardar el registro actual. Haga clic en el botón "Sí" para borrarlo. De lo contrario, el registro del evento actual se perderá permanentemente y se registrará un nuevo evento. (3) Guarde el archivo de registro en el árbol de la consola, haga clic en el registro que desea archivar, como el registro de la aplicación, luego haga clic en Guardar archivo de registro en el menú de operación, ingrese el nombre del archivo en el cuadro de diálogo abierto y seleccione guardar el archivo. formato en el tipo de guardado. Haga clic en Guardar.
(4) Elimine y repare los archivos de registro dañados. Si se descubre que el archivo de registro está dañado, el sistema a menudo experimentará fallas y mensajes de error. Puede eliminarlo primero y luego restaurarlo después de reiniciar su computadora. Para sistemas con formato de partición NTFS, si desea eliminar archivos de registro, primero debe cerrar el servicio de verificación de eventos. Haga doble clic en el ícono de la herramienta de administración en el panel de control, haga doble clic en el ícono del servicio en la herramienta de administración abierta, seleccione el servicio EventLog en el servicio, haga clic derecho en el servicio, seleccione el comando "Propiedades" en el acceso directo emergente menú y aparecerá el cuadro de diálogo "Propiedades del servicio", establezca el tipo de inicio en "Desactivado" y haga clic en Aceptar. Reinicie su computadora y elimine *. evt en la carpeta "%SystemRoot%\System32\Config". Una vez completado, inicie el servicio Event Checker nuevamente y reinicie su computadora para recuperar los archivos corruptos del Event Checker. Para los sistemas de archivos que usan particiones FAT, puede usar el disco de arranque de DOS para iniciar la computadora y luego eliminar directamente los archivos en el directorio "%SystemRoot%\System32\Config". Figura 7
Después de eliminar el archivo de registro y reiniciar la computadora, el sistema restaurará automáticamente el archivo de registro para garantizar el funcionamiento normal del sistema.
Uso del Visor de eventos
Con la herramienta de mantenimiento del sistema Visor de eventos, los usuarios pueden usar registros de eventos para recopilar información sobre hardware, software y problemas del sistema, y monitorear eventos de seguridad de la versión china de Windows XP. Registra eventos de error durante la ejecución de Windows y otras aplicaciones para facilitar a los usuarios el diagnóstico y corrección de posibles errores y problemas del sistema. 14. 4. 1 Visor de eventos Cuando los usuarios necesitan ver registros de trabajo, pueden realizar las siguientes operaciones: (1) Haga clic en el botón Inicio, seleccione el comando Panel de control, haga clic en el icono Herramientas de administración en la ventana abierta del Panel de control y luego haga clic en Gestión. Haga doble clic en la ventana de herramientas. (2) Hay tres tipos de eventos de registro en la ventana del visor de eventos: Registro de aplicaciones: registra eventos de aplicaciones o programas generales. Registro de seguridad: puede registrar eventos de seguridad, como intentos de inicio de sesión válidos e inválidos y eventos relacionados con el uso de recursos. Como crear, abrir o eliminar archivos y modificar configuraciones relacionadas. Registro del sistema: contiene eventos registrados por los componentes del sistema de Windows XP; por ejemplo, las fallas de los controladores u otros componentes del sistema que se cargarán al inicio se registran en el registro del sistema. (3) El visor de eventos muestra los siguientes tipos de eventos: Información: eventos que describen el funcionamiento exitoso de una aplicación, controlador o servicio. Por ejemplo, se registra un evento de información cuando un controlador de red se carga exitosamente. Advertencia: No es un problema crítico pero es posible en el futuro. Por ejemplo, si no hay suficiente espacio en disco, se registrará una advertencia. Error: Problema importante, como pérdida de datos o pérdida de funcionalidad. Por ejemplo, si el servicio no se carga durante el inicio, se registrará un error. Auditado con éxito: el intento de acceso de seguridad se auditó con éxito. Por ejemplo, el intento exitoso de inicio de sesión de un usuario en el sistema se registra como un evento de "Auditoría exitosa". Error de auditoría: no se pudo auditar el intento de acceso de seguridad. Por ejemplo, si un usuario no puede acceder a una unidad de red, el intento se registrará como un evento de "Auditoría fallida". (4) Si desea ver la información detallada del evento, puede seleccionar este elemento primero, hacer doble clic para abrir el cuadro de diálogo de propiedades del evento y enumerar la hora, la fuente y el tipo del evento en la opción de detalles del evento. grupo, como se muestra en la Figura 14.13. 14.4.2 Aplicación del Visor de eventos en la red Dado que la versión china de Windows XP se puede utilizar para configurar redes de oficinas pequeñas y redes domésticas, durante el proceso de aplicación de la red, las computadoras en la red a veces no funcionan correctamente. En este momento, el administrador debe verificar el registro de trabajo de la máquina para determinar la causa de la falla. Los pasos específicos son los siguientes: (1) En la ventana Visor de eventos (local), haga clic con el botón derecho en la opción Visor de eventos (local), aparecerá un menú contextual desde el cual aparecerá el comando "Conectarse a otra computadora". y en el cuadro de diálogo "Seleccionar computadora", el usuario puede seleccionar la computadora que necesita ser administrada por este complemento en "Otra computadora" (2), para saber con precisión qué computadora está defectuosa y ahorrar tiempo. en la mayor medida posible, puede hacer clic en "Examinar" El botón " abre el cuadro de diálogo "Seleccionar computadora" como se muestra en la Figura 14.15. Aquí puede establecer condiciones más detalladas, para que pueda descubrir rápidamente qué computadora está defectuosa y ver el registro de trabajo. . 14.4.3 Ventana del visor de eventos En la ventana del visor de eventos, los usuarios pueden ver fácilmente eventos locales a través de los elementos del menú en la barra de menú.
Las siguientes son algunas operaciones simples y prácticas (tomando "Aplicación" como ejemplo): (1) En el menú "Operación", los usuarios pueden abrir y guardar archivos de registro de trabajo según sea necesario, (2) Seleccionar Propiedades de operación o Ver | , Abre el cuadro de diálogo Propiedades de la aplicación, que detalla el nombre de la aplicación, los tiempos de creación, modificación y acceso en la pestaña General. Los usuarios pueden configurar el registro máximo y el método de procesamiento después de alcanzar el límite. Si el usuario ya no desea la personalización, puede hacer clic en ella. (3) Seleccione la pestaña "Filtro". Los usuarios pueden filtrar eventos en el registro, seleccionar la casilla de verificación en el grupo de opciones "Tipo de evento" y establecer condiciones de filtrado específicas en los cuadros de lista desplegables "Fuente del evento" y "Categoría". . Y limitar el tiempo. Cabe señalar que el filtrado no afecta el contenido específico del registro, solo cambia la forma en que se muestran los eventos, como se muestra en la Figura 14.438+07. (4) Seleccione "Agregar|Eliminar columna" en el menú Ver para abrir el cuadro de diálogo "Agregar|Eliminar columna". Si no necesita mostrar una opción en la lista detallada de esta ventana, puede seleccionar la opción en la lista "Mostrar columnas" y luego hacer clic en "Eliminar" para eliminar la visualización de la columna. Esto hará que la pantalla se vea. más conciso, como se muestra en la Figura 65438 +. (5) Seleccione el comando "Buscar" en el menú "Ver" para abrir el cuadro de diálogo "Buscar en aplicaciones locales". Puede configurar las condiciones de búsqueda, elegir su propia dirección de búsqueda y buscar continuamente múltiples eventos que cumplan. los requisitos, como se muestra en la Figura 14.5438+09.
Utiliza el visor de eventos para solucionar fallos del sistema operativo
Autor: Microsoft MVP Yan Nuo Actualizado el 8 de abril de 2005.
Ya sea que sea un usuario común de computadora o un administrador de sistemas informático profesional, encontrará algunos errores del sistema al operar su computadora. Muchos amigos suelen tener problemas al encontrar la causa del error y no poder resolver el problema. De hecho, la mayoría de los problemas del sistema se pueden resolver muy bien utilizando el visor de eventos integrado en Windows y los recursos de red adecuados.
I. ¿Qué puede hacer el visor de eventos?
Microsoft ha integrado el visor de eventos en los sistemas operativos basados en Windows NT, incluido Windows 2000\NT\XP\2003, etc. El Visor de eventos puede realizar muchas tareas, como auditar eventos del sistema y almacenar registros del sistema, de seguridad y de aplicaciones.
Los mensajes, advertencias o errores generados por el sistema operativo Windows se almacenan en el registro del sistema. Al observar estos mensajes, advertencias o errores, no solo podemos saber si una determinada función se configuró o se ejecutó correctamente, sino también por qué ciertas funciones del sistema fallaron o se volvieron inestables.
El registro de seguridad contiene información sobre si el evento de auditoría fue exitoso o no. Al ver esta información, podemos saber si los resultados de estas auditorías de seguridad son exitosos o fallidos.
El registro de la aplicación contiene información, advertencias o errores generados por la aplicación. Al observar estos mensajes, advertencias o errores, podemos saber qué aplicaciones se ejecutaron correctamente y qué errores o errores potenciales se produjeron. Los desarrolladores de programas pueden utilizar estos recursos para mejorar sus aplicaciones.
Haga clic en "Inicio → Ejecutar" para ingresar a eventvwr, haga clic en "Aceptar" para abrir el visor de eventos y su interfaz se muestra en la Figura 1.
Figura 1
Para ver los detalles del evento:
Seleccione el tipo de registro (Aplicación, Seguridad o sistema), todos los registros de este tipo en el sistema se mostrará en el panel de detalles a la derecha. Haga doble clic en uno de los registros para ver sus detalles, como se muestra en la Figura 2. En la ventana de propiedades del registro, podemos ver la fecha del evento, la fuente, el tipo y el ID del evento, así como una descripción detallada del evento. Esto es lo más importante que hacemos para encontrar y corregir errores.
Figura 2
Búsqueda de eventos:
Si hay demasiados eventos en el sistema, nos resultará difícil encontrar los eventos que realmente causan problemas del sistema. En este momento, podemos utilizar la función de "filtro" de eventos para encontrar los registros que estamos buscando.
Seleccione el tipo de registro (Aplicación, Seguridad o Sistema) en la estructura de árbol de la izquierda, haga clic derecho en Ver y seleccione Filtrar. El filtro de registro se iniciará como se muestra en la Figura 3.
Figura 3
Seleccione el tipo de evento que desea buscar, como "Error", y el origen y la categoría del evento relacionado, y luego haga clic en "Aceptar". El Visor de eventos realiza una búsqueda y muestra solo los eventos que coinciden con estos criterios.
En segundo lugar, utilice el visor para resolver problemas del sistema.
Después de encontrar los eventos que causan los problemas del sistema, debemos encontrar formas de resolverlos. Hay dos formas principales de encontrar soluciones a estos problemas: la base de conocimientos de soporte técnico en línea de Microsoft y el sitio web Eventid.net.
Base de conocimientos de soporte técnico en línea de Microsoft (KB):
Los artículos de la base de conocimientos de Microsoft están compuestos por materiales oficiales de Microsoft y artículos técnicos escritos por MVP (el experto más valioso de Microsoft). Resuelve principalmente problemas y fallas de los productos de Microsoft.
Cuando se descubre cada error y punto de aplicación propenso a errores de un producto de Microsoft, habrá un artículo de KB correspondiente para analizar la solución al error.
La dirección de Microsoft Knowledge Base es: Ingrese palabras clave relevantes, fuente de eventos, ID y otra información en la "Buscar (Base de conocimientos)" en el lado izquierdo de la página web. Por supuesto, también es una buena idea introducir palabras clave en la descripción detallada. Si hay un número de error en el registro, es una buena idea ingresar el número de error para consultar.
Además, la comunidad china de Microsoft (/china/community) proporciona soporte técnico en línea gratuito y chats regulares con expertos. Con un poco de uso, puede convertirse en un recurso valioso para resolver problemas del sistema.
En general, el mecanismo de registro de eventos proporcionado en el sistema operativo Windows nos proporciona una manera de descubrir rápidamente los problemas del sistema. Varios recursos de red, como los oficiales y de terceros, nos permiten resolver estos problemas rápidamente. A través de este artículo, espero que los lectores puedan aprovechar al máximo estos recursos y resolver problemas por sí mismos cuando surjan problemas en el sistema en el futuro. Ahorre tiempo y dinero.
En los sistemas operativos Windows 2000 y Windows XP, existe un registrador fiel del estado operativo del sistema, y se registrará cada evento desde el inicio, la operación hasta el apagado. Es un "Visor de eventos". Los usuarios pueden utilizar esta herramienta de mantenimiento del sistema para recopilar información sobre hardware, software y problemas del sistema, monitorear eventos de seguridad del sistema y registrar errores o eventos de advertencia en el funcionamiento del sistema y otras aplicaciones para facilitar el diagnóstico y la corrección de errores y problemas en el sistema. . A continuación se muestran algunos ejemplos para explicar el visor de eventos en acción.
Usar el Visor de eventos
Hay dos formas de abrir rápidamente el Visor de eventos:
1. Ábrelo a través de Mi PC. Haga clic derecho en Mi PC y seleccione Administrar para abrir la ventana Administración de computadoras. En la pestaña "Herramientas del sistema" se encuentra el "Visor de eventos".
2. Abrir a través del panel de control. Seleccione Inicio/Panel de control, haga clic en Herramientas administrativas en la ventana del Panel de control, haga doble clic en el icono del Visor de eventos en la ventana emergente para abrir la ventana del Visor de eventos.
Como se muestra en la Figura 1, es la información de registro del sistema del visor de eventos.
Supervisar el acceso a archivos y carpetas
En un entorno de oficina, a veces necesitamos saber si otros usuarios del ordenador han accedido a archivos o carpetas que hemos restringido. En este momento, utilizamos el visor de eventos para monitorear el acceso de los usuarios sin afectar el uso normal del usuario. Seleccione Inicio/Panel de control/Herramientas administrativas/Configuración de seguridad local/Políticas locales/Política de auditoría, haga clic con el botón derecho en Auditar acceso a objetos en la ventana de información de la derecha y luego seleccione Seguridad. En Configuración de la política de seguridad local, haga clic en la opción requerida y confirme. Luego haga clic derecho en la barra de tareas para iniciar y seleccione Explorador, haga clic derecho en el archivo o carpeta que desea ver y seleccione Propiedades. Luego seleccione Seguridad/Avanzado/Auditoría/Agregar. En el cuadro de diálogo Seleccionar usuario, computadora o grupo, haga clic en el nombre de usuario o nombre del grupo para la acción que desea auditar y confirmar.
Nota: Debe iniciar sesión como administrador o miembro de un grupo administrativo para configurar la auditoría de archivos y carpetas. Sólo los administradores pueden utilizar la política de grupo.
Enciende y apaga el sistema de monitorización.
Cuando volvemos de salir, en ocasiones necesitamos saber si el interruptor del ordenador está encendido o apagado con normalidad. Podemos ver los registros de inicio y apagado de la computadora a través del registro del sistema del visor de eventos, porque el servicio de registro se iniciará o apagará junto con la computadora y dejará un registro en el registro. Principalmente los dos ID de evento "6006 y 6005". 6005 indica que se ha iniciado el servicio de registro de eventos. Si se encuentra un evento con el número de ID de evento 6005 en el visor de eventos, significa que el sistema Windows se inició normalmente ese día. 6006 indica que el servicio de registro de eventos se ha detenido (Figura 2).
Si no se encuentra ningún evento con el número de ID de evento 6006 en un día determinado en el visor de eventos, significa que la computadora no se apagó correctamente ese día, lo que puede deberse a razones del sistema o a un corte de energía directo.
Si eres administrador de red, estos registros son aún más importantes. Si hay una operación de encendido/apagado inesperada, es muy probable que su máquina esté bajo ataque.
Resolver la ventana de mensaje de error al iniciar la máquina.
Si recientemente instaló o desinstaló algunos programas, o cerró algunos servicios por razones de seguridad, encontrará que aparecerá una ventana de error cada vez que inicie el sistema, que le preguntará "Al menos un servicio A". o se produjo un error del controlador. "Para obtener más información, use el Visor de eventos para ver el registro de eventos". Este problema generalmente se debe a que el sistema no puede encontrar el programa de servicio al cargar el servicio relacionado. .Qué servicio tiene un problema al iniciarse. Generalmente hay dos soluciones. Una es averiguar qué programas generan los servicios, si estos servicios son generados por el propio sistema operativo o por la aplicación, lo que se puede solucionar desinstalando las aplicaciones correspondientes. Otra forma es más sencilla: vaya directamente al administrador de servicios y configure el servicio correspondiente como "deshabilitado".
Compare con Windows 98. Windows 2000 y Windows XP son mucho más estables y menos propensos a fallar. En teoría, Windows 2000 puro no fallará, pero esto es sólo teórico. Windows 2000 fallará debido a virus, hardware y controladores de hardware incorrectos. Cuando Windows 2000 falla, la pantalla se vuelve azul y luego aparece un mensaje. Aparecerá un mensaje de bloqueo. Si se produce una falla en el dispositivo de hardware, se puede resolver reinstalando el controlador de hardware o desinstalando el hardware. Si hay un problema, puede desinstalar el controlador correspondiente si advierte que el controlador de disco solo puede leer y. escribe un determinado sector después de volver a intentarlo varias veces, probablemente haya algún problema con el disco duro.
Incluso si es el tuyo, el sistema no ha fallado y algunos programas se han bloqueado. El disco duro ha fallado. Aún puedes consultar el visor de eventos para ver si hay registros que no responden. Si el disco duro está dañado, actualízalo lo antes posible para evitar una pérdida grave de datos. >Comprueba los motivos por los que no puedes acceder a Internet.
Hay muchos motivos por los que no puedes acceder a Internet. Entre ellos, no puedes obtener los datos del servidor DHCP en la LAN, ni siquiera obtener una IP. dirección que puede acceder a Internet La falla más común para los usuarios A través del visor de eventos, podemos encontrar fácilmente que el número de ID del evento de error es 1007. Primero puede verificar su cable de red para ver si la línea de red es normal. El administrador pregunta si el servidor DHCP ha dejado de funcionar.
Si la dirección IP que utiliza es la misma que la dirección IP utilizada por otros en la red, el sistema también desactivará la interfaz de red y usted lo hará. no podrá acceder a Internet El número de identificación del evento de error es 1006. Si encuentra esta situación, comuníquese con el administrador de red a tiempo para resolverlo
1.
Los artículos de Microsoft Knowledge Base son proporcionados oficialmente por Microsoft. Consisten en información y artículos técnicos escritos por MVP de Microsoft, que resuelven principalmente problemas y fallas de los productos de Microsoft cuando se trata de errores y puntos de aplicación propensos a errores de los productos de Microsoft. se descubre, habrá un artículo de KB correspondiente para analizar la solución al error. La dirección de Microsoft Knowledge Base es: Ingrese palabras clave relevantes en "Buscar (Base de conocimientos)" en el lado izquierdo de la página web para consultar, fuente de evento e ID. Por supuesto, también es una buena idea introducir palabras clave en la descripción detallada. Si hay un número de error en el registro, también es una buena idea ingresar el número de error para consultar.
2.Eventid.net
De hecho, existe un mejor lugar para consultar sobre soluciones a eventos de error del sistema, y ese es el sitio web Eventid.net (Figura 3). Este sitio web está alojado por muchos MVP (Profesionales más valiosos) de Microsoft y contiene soluciones para casi todos los incidentes del sistema. Después de iniciar sesión en el sitio web, haga clic en el enlace "Buscar eventos" para abrir la página de búsqueda de eventos. De acuerdo con las indicaciones de la página, ingrese el ID del evento y la fuente del evento, y haga clic en el botón "Buscar". El sistema de Eventid.net encontrará todos los recursos y soluciones relevantes. Lo mejor de todo es que disfrutar de estas soluciones es completamente gratis.
Por supuesto, los usuarios pagos de Eventid.net pueden disfrutar de mejores servicios, como acceso directo a la base de conocimientos de artículos sobre un determinado evento.
Utilice el Visor de eventos para diagnosticar problemas de Windows. Haga clic en el visor de eventos para comprender toda la ayuda que contiene.
Te conviene publicar un poquito para que lo veas. .
Descripción general del Visor de eventos
En el Visor de eventos, puede recopilar información sobre hardware, software, problemas del sistema y monitorear eventos de seguridad de Windows mediante registros de eventos.
Windows utiliza tres tipos de registro de eventos:
Registros de aplicaciones
Los registros de aplicaciones contienen eventos registrados por aplicaciones o programas generales. Por ejemplo, los programas de bases de datos utilizan el registro de la aplicación para registrar errores de archivos. El desarrollador decide qué eventos se registran.
Registro del sistema
El registro del sistema contiene eventos registrados por los componentes del sistema de Windows. Por ejemplo, los errores al cargar controladores u otros componentes del sistema durante el inicio se registran en el registro del sistema. Los tipos de eventos registrados por los componentes del sistema están predeterminados.
Registro de seguridad
El registro de seguridad puede registrar eventos de seguridad, como intentos de inicio de sesión válidos e inválidos, así como eventos relacionados con el uso de recursos, como la creación, apertura o eliminación de archivos. . Los administradores pueden especificar eventos que se registrarán en el registro de seguridad. Por ejemplo, si la auditoría de inicio de sesión está habilitada, los intentos de inicio de sesión del sistema se registran en el registro de seguridad.
El Visor de eventos muestra los siguientes tipos de eventos:
Errores
Problemas importantes como pérdida de datos o pérdida de funcionalidad. Por ejemplo, si el servicio no se carga durante el inicio, se registrará un error.
Eventos que no son muy importantes pero que pueden causar problemas en el futuro. Por ejemplo, si no hay suficiente espacio en disco, se registrará una advertencia.
Información
Eventos que describen el funcionamiento exitoso de una aplicación, controlador o servicio. Por ejemplo, cuando un controlador de red se carga correctamente, se registra un evento de información.
Auditoría exitosa
El intento de acceso de seguridad de auditoría fue exitoso. Por ejemplo, el intento exitoso de inicio de sesión de un usuario en el sistema se registra como un evento de "Auditoría exitosa".
Error de auditoría
El intento de acceso de seguridad de auditoría falló. Por ejemplo, si un usuario no puede acceder a una unidad de red, el intento se registrará como un evento de "Auditoría fallida".
Cuando inicias Windows, el servicio de Registro de eventos se inicia automáticamente. Todos los usuarios pueden ver los registros de la aplicación y del sistema, pero solo los administradores pueden acceder a los registros de seguridad.
De forma predeterminada, el registro de seguridad está desactivado. Puede utilizar la Política de grupo para habilitar el registro de seguridad. Los administradores también pueden establecer políticas de auditoría en el registro para detener el sistema cuando el registro de seguridad esté lleno.
Ver temas relacionados para más información.