论文部分内容阅读
在夺回了自己心爱的“黑珍珠”号以及摆平了被诅咒的巴博萨船长之后,迷人的杰克船长并未就此过上风平浪静的逍遥日子,这次他又迎来了一个更为离奇的敌人——传说中的不死人大卫·琼斯!航船再次起锚,迎接它的是风浪、凶险、暗礁……而这一切,只有在那永不间断的航海日志中,去探求、去追寻根源……
对于网管来说,“日志”就是船长的“航海日志”,就是飞机上的“黑匣子”,有了它,一切问题都能追寻到解决的方案。
讲述网管自己的故事
我名叫周翔,在一家电视台做网管,我的任务很简单,就是保证直播光纤的畅通。我觉得做网管最重要的素质就是解决问题,尤其是突发问题——在发生任何故障的时候,能用最快的时间分析出最可能导致该故障的原因。就我的工作来说,如果直播的时候网络出现问题,那后果是无法想象的。
此外,在发生故障时能及时提供备用方案,比如这次发生在台湾附近的地震,让网络中断如此之久,这显然是我们网络管理从业者的一件不光彩的事。
第一课:什么是日志文件?
“所有的一切,日志都会告诉你答案,因为它最有耐心、最忠实。”——《船长日记》
日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。当然,对于一些应用程序来说,它们也有自己的日志,比如MSN Messenger、QQ等,多是txt或者log格式的文本文件。
Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。大家可以在“开始→运行”菜单中输入“%systemroot%system32config”就能看到这些文件了。
第二课:玩日志,你别乱来
“日志是一种熟悉却又神秘的东西,如果邪恶的人动了它的主意,那它就显得非常邪恶。”——《船长日记》
大家可以试试双击打开那些日志文件,实际上是打不开的(用记事本打开是乱码),要查看日志,需要到“开始→设置→控制面板→管理工具→事件查看器”菜单中,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等(见图1)。
查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确地掌握系统中到底发生了什么事情(见图2)。
前文中我们说了日志是可以清空的,具体方法就是:右键点击左栏中的项目,选择“清除所有事件”菜单即可。当然,你也可以将日志导出为文本或csv文件。
第三课:如何查询和备份日志
“日志写多了,查起来就不那么容易了。按图索骥也好,分门别类也罢,你得有自己的一套方法。”——《船长日记》
前文我们讲了,直接用文本编辑器打开日志文件,看到的是乱码。那么有没有工具能直接阅读日志文件呢?答案当然是肯定的。用微软resourceKit工具包中的dumpel.exe(大家可以在Windows安装盘中找到)就可以。此外,这个小软件还能帮助你备份日志,其使用方法为:
dumpel -f filename -s server -l log
其中,-f filename为输出日志的位置和文件名,-s server为输出远程计算机日志,-l log中的“log”可选为system、security、application等。例如,目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:
dumpel server -l system -f backupsystem.log
我们可以将其配合计划任务来实现日志的定时备份。
第四课:将你的日志保护起来
“航海日志一定要放在船长能看到的地方,并且只能他一人。”——《船长日记》
我们需要将存放目录修改一下,免得捣蛋者找到该目录来搞鬼。
第1步 进入注册表的[HKEY_ LOCAL_MACHINESystemCurrentControlSetServicesEventlog]主键,以应用程序日志为例,将其转移到“D:cfan”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径修改为“D:cfanAppEvent.Evt”。
第2步 在D盘新建cfan目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式:
右键点击D盘的cfan目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框(见图3)。
第五课:利用日志来解决问题
“日志如果不用,那纯粹是在浪费笔墨,一个优秀的船长是不会做这些无用功的。”——《船长日记》
下面我们通过几个实例来讲讲如何利用各种系统日志来解决实际问题,这才是我们了解、使用日志的初衷。
实例1:用DHCP配置警告解决网络问题
在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。
实例2:查看QQ和MSN Messenger的登录日志解决网络故障
QQ和MSN Messenger都提供了详细的日志和连接问题疑难解答程序,我们可以留意这个信息来解决故障。以QQ为例:
第1步 如果出现登录问题,QQ弹出“登录失败”窗口,点击“详细信息”,从这里我们可以看到QQ在尝试多个UDP服务器和TCP服务器的连接,但域名解析都不成功,最终登录失败。
第2步 点击“疑难解决”按钮,这时候诊断程序就会尝试一步步连接网络,结果显示IP地址的检测通过,但在连接默认网关的时候出现检测失败。这代表你的电脑在连接网关的时候不成功,其原因可能是网络断线,或者网关服务器有问题(见图4)。
而MSN Messenger的登录与之类似,连接过程一共分为检测IP、连接默认网关、检查IE脱机设置、检测主机文件、DNS和代理服务器,连接主要端口等。通过该疑难检测工具,我们能发现网络故障的范围。
实例3:自动分析HiJackThis日志
HiJackThis恐怕是很多网管手中常用的软件,不过它的日志看起来并不轻松,我们可以通过专门的分析站点来解决。打开http://hjt.networktechs.com/(或http://exelib.com/hijack),将你的HiJackThis日志内容copy到这里,它会返回一个分析结果。其中:
红色的项目:异常/危险项目, 几乎都要移除
绿色的项目:正常项目, 不用理会
橙色的项目:无效项目, 请安全移除
蓝色的项目:通常无害的项目, 第三方应用程序
紫色的项目:如果你不知道这是什么, 可以认为是危险项目
黑色的项目:未知项, 需要进一步分析
橙色双下划线的项目:有广告链接
对于网管来说,“日志”就是船长的“航海日志”,就是飞机上的“黑匣子”,有了它,一切问题都能追寻到解决的方案。
讲述网管自己的故事
我名叫周翔,在一家电视台做网管,我的任务很简单,就是保证直播光纤的畅通。我觉得做网管最重要的素质就是解决问题,尤其是突发问题——在发生任何故障的时候,能用最快的时间分析出最可能导致该故障的原因。就我的工作来说,如果直播的时候网络出现问题,那后果是无法想象的。
此外,在发生故障时能及时提供备用方案,比如这次发生在台湾附近的地震,让网络中断如此之久,这显然是我们网络管理从业者的一件不光彩的事。
第一课:什么是日志文件?
“所有的一切,日志都会告诉你答案,因为它最有耐心、最忠实。”——《船长日记》
日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。当然,对于一些应用程序来说,它们也有自己的日志,比如MSN Messenger、QQ等,多是txt或者log格式的文本文件。
Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。大家可以在“开始→运行”菜单中输入“%systemroot%system32config”就能看到这些文件了。
第二课:玩日志,你别乱来
“日志是一种熟悉却又神秘的东西,如果邪恶的人动了它的主意,那它就显得非常邪恶。”——《船长日记》
大家可以试试双击打开那些日志文件,实际上是打不开的(用记事本打开是乱码),要查看日志,需要到“开始→设置→控制面板→管理工具→事件查看器”菜单中,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等(见图1)。
查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确地掌握系统中到底发生了什么事情(见图2)。
前文中我们说了日志是可以清空的,具体方法就是:右键点击左栏中的项目,选择“清除所有事件”菜单即可。当然,你也可以将日志导出为文本或csv文件。
第三课:如何查询和备份日志
“日志写多了,查起来就不那么容易了。按图索骥也好,分门别类也罢,你得有自己的一套方法。”——《船长日记》
前文我们讲了,直接用文本编辑器打开日志文件,看到的是乱码。那么有没有工具能直接阅读日志文件呢?答案当然是肯定的。用微软resourceKit工具包中的dumpel.exe(大家可以在Windows安装盘中找到)就可以。此外,这个小软件还能帮助你备份日志,其使用方法为:
dumpel -f filename -s server -l log
其中,-f filename为输出日志的位置和文件名,-s server为输出远程计算机日志,-l log中的“log”可选为system、security、application等。例如,目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:
dumpel server -l system -f backupsystem.log
我们可以将其配合计划任务来实现日志的定时备份。
第四课:将你的日志保护起来
“航海日志一定要放在船长能看到的地方,并且只能他一人。”——《船长日记》
我们需要将存放目录修改一下,免得捣蛋者找到该目录来搞鬼。
第1步 进入注册表的[HKEY_ LOCAL_MACHINESystemCurrentControlSetServicesEventlog]主键,以应用程序日志为例,将其转移到“D:cfan”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径修改为“D:cfanAppEvent.Evt”。
第2步 在D盘新建cfan目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式:
右键点击D盘的cfan目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框(见图3)。
第五课:利用日志来解决问题
“日志如果不用,那纯粹是在浪费笔墨,一个优秀的船长是不会做这些无用功的。”——《船长日记》
下面我们通过几个实例来讲讲如何利用各种系统日志来解决实际问题,这才是我们了解、使用日志的初衷。
实例1:用DHCP配置警告解决网络问题
在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。
实例2:查看QQ和MSN Messenger的登录日志解决网络故障
QQ和MSN Messenger都提供了详细的日志和连接问题疑难解答程序,我们可以留意这个信息来解决故障。以QQ为例:
第1步 如果出现登录问题,QQ弹出“登录失败”窗口,点击“详细信息”,从这里我们可以看到QQ在尝试多个UDP服务器和TCP服务器的连接,但域名解析都不成功,最终登录失败。
第2步 点击“疑难解决”按钮,这时候诊断程序就会尝试一步步连接网络,结果显示IP地址的检测通过,但在连接默认网关的时候出现检测失败。这代表你的电脑在连接网关的时候不成功,其原因可能是网络断线,或者网关服务器有问题(见图4)。
而MSN Messenger的登录与之类似,连接过程一共分为检测IP、连接默认网关、检查IE脱机设置、检测主机文件、DNS和代理服务器,连接主要端口等。通过该疑难检测工具,我们能发现网络故障的范围。
实例3:自动分析HiJackThis日志
HiJackThis恐怕是很多网管手中常用的软件,不过它的日志看起来并不轻松,我们可以通过专门的分析站点来解决。打开http://hjt.networktechs.com/(或http://exelib.com/hijack),将你的HiJackThis日志内容copy到这里,它会返回一个分析结果。其中:
红色的项目:异常/危险项目, 几乎都要移除
绿色的项目:正常项目, 不用理会
橙色的项目:无效项目, 请安全移除
蓝色的项目:通常无害的项目, 第三方应用程序
紫色的项目:如果你不知道这是什么, 可以认为是危险项目
黑色的项目:未知项, 需要进一步分析
橙色双下划线的项目:有广告链接