家对“黑匣子”想必都不陌生，它忠实地记录着飞机飞行的每个参数，一旦出现事故，就可以通过查看“黑匣子”中的数据，找出故障原因。Windows系统也有个“黑匣子”，这就是日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着非常重要的作用。但许多用户不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。

一、什么是日志文件
日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%\system32\config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。

二、如何查看日志文件
在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。

三、Windows日志文件的保护
日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。

1．修改日志文件存放目录
Windows日志文件默认路径是“%systemroot%\system32\config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。

点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

笔者以应用程序日志为例，将其转移到“d:\cce\”目录下。选中Application子项（如图），在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%\system32\config\AppEvent.Evt”，将它修改为“d:\cce\AppEvent.Evt”。接着在D盘新建“CCE”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。

2．设置文件访问权限
修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。
右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。

四、Windows日志实例分析
在Windows日志中记录了很多操作事件，为了方便用户对它们的管理，每种类型的事件都赋予了一个惟一的编号，这就是事件ID。

1．查看正常开关机记录
在Windows系统中，我们可以通过事件查看器的系统日志查看计算机的开、关机记录，这是因为日志服务会随计算机一起启动或关闭，并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动，如果在事件查看器中发现某日的事件ID号为6005的事件，就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止，如果没有在事件查看器中发现某日的事件ID号为6006的事件，就表示计算机在这天没有正常关机，可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。

2．查看DHCP配置警告信息
在规模较大的网络中，一般都是采用DHCP服务器配置客户端IP地址信息，如果客户机无法找到DHCP服务器，就会自动使用一个内部的IP地址配置客户端，并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件，说明该机器无法从DHCP服务器获得信息，就要查看是该机器网络故障还是DHCP服务器问题。