服务器事件查看器培训资料(doc 34页).doc

服务器事件查看器事件查看器能看些什么 事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视Windows 的安全事件提示：除了可以在“控制面板管理工具”中找到“事件查看器”的踪影外，也可以在“运行”对话框中手工键入“SystemRootsystem32eventvwrmsc /s”打开事件查看器窗口。 1 应用程序日志 包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。 2 安全性日志 记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。 3 系统日志 包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中，默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件：6006，如果你在某一天的事件查看器中没有发现ID为6006的事件，那么说明计算机在当天未正常关机，双击打开“事件属性”窗口，如果看到手描述为“事件日志服务已停止”，说明这里的“时间”是指计算机正常关机的时间。 如果机子被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志；如果机子被配置为域名系统（DNS）服务器，那么还将记录DNS服务器日志。当启动Windows时，“事件日志”服务(EventLog)会自动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。 小日志包含大信息 朋友们可千万别轻视这些枯燥的日志，其中可包含了很多非常有用的信息呢，如果你能仔细分析，肯定可以在这里找到很多有用的信息，这样会有助于你解决系统错误。 1信息：描述了应用程序、驱动程序或服务的成功操作的事件，例如当网络驱动程序加载成功时，将会记录一个“信息”事件，图1所示的是趋势科技防毒精灵专业版被成功删除的事件，从这里可以看到事件头包括日期、时间、用户、计算机机、事件ID、来源、类型、类别等信息，在“描述”列表框中则列出了相应的说明和查看更多信息的链接地址，从这个链接地可以指向Microsoft的“统一资源定位器”(URL)地址。大部分情况下，这一类的事件内容没有必要去逐项查看，除非你有某些特别的需要。 2 成功审核：成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件3 失败审核：失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。 4 警告：虽然不是很重要，但是将来有可能导致问题的事件，这种情况下应该检查问题所在。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。 5错误：重要的问题，例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来，这种情况下有必要检查系统。例如，图3所示的错误事件是服务器没有在限定的时间内用DCOM注册，点击描述中的链接会自动转到相应的帮助页面，根据提示进行相应的操作即可，如果你有兴趣的话，可以好好研究这里的内容，相信假以时日，你会成为一个DIYer的。 定期释放多余的日志 事实上，大部分时间记录下来的系统事件，都是一些流水账，随着时间的增加，系统日志的个头也会不断膨胀，当达到事先设置的日志大小后，会停止记录新的事件，因此我们需要定期释放多余的日志。 选中需要清除的日志，然后从“操作”菜单中选择“清除所有事件”，此时会弹出图4所示的对话框询问是需要将当前日志保存下来，选择“是”会在清除之前将日志保存下来，选择“否”将永久丢弃当前事件记录，并开始记录新的事件。假如你觉得如果操作太繁琐的话，可以在活动日志的“属性”对话框中，选择“不改写事件 (手动清除日志)”，可以看到默认设置的“最大日志文件大小”只有512KB，我们可以根据实际情况重新设置这个值，以后当日志达到一定的大小或出现提示日志已满的信息时，系统会自动清除日志；或者选择“按需要改写事件”，这样可以确保在日志写满时也能够将所有的新事件写入日志，当然如此一来的话，新日志会自动覆盖旧日志。 不过，需要说明的，用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除或改写事件日志。或者，你也可以进入WINDOWS SYSTEM32config文件夹，其中以*.evt作为扩展名的文件就是所谓的日志文件，AppEvent.evt即“应用程序”日志，SysEvent.evt即“系统”日志，SecEvent.evt即“安全性”日志，直接在这里删除相应的文件就可以了，不过如果你使用的是 NTFS格式的系统，在删除日志文件之前必须首先关闭事件检查器服务才行。 除了使用“事件查看器”管理事件日志外，我们也可以使用命令行工具来创建和查询事件日志，以及使程序与特殊的日志事件关联，例如“Eventcreate.exe”可创建自定义的事件日志，“Eventquery.vbs”可从一个或多个事件日志中列出事件和事件属性，“Eventtriggers.exe”可创建事件触发器，这样当特定事件日志发生时将自动执行相应的程序，从而弥补了事件查看器无法实时跟踪可疑事件的不足，感兴趣的朋友们不妨试试。 - 审核WINDOWS安全日志 安全日志是非常重要的系统记录器，不论是自己的操作还是别人远程恶意的操作都可以通过安全日志来体现出来，虽然现在的杀软已经反间谍软件已经很成熟了，但这并不代表你的系统就固若金汤，如果别人在你不注意的情况下悄悄的进入了你的电脑，而杀软却没有反应，如果揪出真凶呢？那么就要从安全日志下手了 . 登录类型 登录类型2:交互式登录(INTERACTIVE) 本地键盘上的登录,基于网络上的KVM登录也是这种类型! 登录类型3:网络(NETWORK) 当你从网络上访问一台PC时WINDOWS记为类型3,常见的是通过网络连接到共享文件夹或共享打印机! 登录类型4:批处理(BATCH) 运行计划任务是产生的记录类型.也可能是HACKER通过它来猜测用户密码! 登录类型5:服务(SERVICE) 一个服务开始时,WINDOWS为这个特定的用户创造的一个登录会话,记为类型5! 登录类型7:解锁(UNLOOK) 解除锁定的PC密码,比如对屏保密码的解除操作! 登录类型8:网络明文(NETWORKCLEARTEXT) 网络明文传输! 登录类型9:新凭证(NEWCREDENTIALS) 登录类型10:远程交互(REMOTEINTERACTIVE) 通过终端服务,远程桌面,或远程协约访问PC时,WINDOWS记为类垀?10! 登录类型11:缓存交互(CACHEDINTERACTIVE) 安全事件日志中的事件编号与描述 . 帐号登录事件 . (事件编号与描述) 672 身份验证服务（AS）票证得到成功发行与验证。 673 票证授权服务（TGS）票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。 674 安全主体重建AS票证或TGS票证。 675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。 676 身份验证票证请求失败。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。 677 TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。 678 指定帐号成功映射到一个域帐号。 681 登录失败。域帐号尝试进行登录。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。 682 用户重新连接到一个已经断开连接的终端服务器会话上。 683 用户在没有注销的情况下与终端服务器会话断开连接。 / 帐号管理事件 . 624 一个用户帐号被创建。 627 一个用户密码被修改。 628 一个用户密码被设置。 630 一个用户密码被删除。 631 一个全局组被创建。 632 一个成员被添加到特定全局组中。 633 一个成员从特定全局组中被删除。 634 一个全局组被删除。 635 一个新的本地组被创建。 636 一个成员被添加到本地组中。 637 一个成员从本地组中被删除。 638 一个本地组被删除。 639 一个本地组帐号被修改。 641 一个全局组帐号被修改。 642 一个用户帐号被修改。 643 一个域策略被修改。 644 一个用户帐号被自动锁定。 645 一个计算机帐号被创建。 646 一个计算机帐号被修改。 647 一个计算机帐号被删除。 648 一个禁用安全特性的本地安全组被创建。说明：正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。 649 一个禁用安全特性的本地安全组被修改。 650 一个成员被添加到一个禁用安全特性的本地安全组中。 651 一个成员从一个禁用安全特性的本地安全组中被删除。 652 一个禁用安全特性的本地组被删除。 653 一个禁用安全特性的全局组被创建。 654 一个禁用安全特性的全局组被修改。 655 一个成员被添加到一个禁用安全特性的全局组中。 656 一个成员从一个禁用安全特性的全局组中被删除。 657 一个禁用安全特性的全局组被删除。 658 一个启用安全特性的通用组被创建。 659 一个启用安全特性的通用组被修改。 660 一个成员被添加到一个启用安全特性的通用组中。 661 一个成员从一个启用安全特性的通用组中被删除。 662 一个启用安全特性的通用组被删除。 663 一个禁用安全特性的通用组被创建。 664 一个禁用安全特性的通用组被修改。 665 一个成员被添加到一个禁用安全特性的通用组中。 666 一个成员从一个禁用安全特性的通用组中被删除。 667 一个禁用安全特性的通用组被删除。 668 一个组类型被修改。 684 管理组成员的安全描述符被设置。说明：在域控制器上，一个后台线程每60秒将对管理组中的所有成员（如域管理员、企业管理员和架构管理员）进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。 685 一个帐号名称被修改。 审核登录事件 . 528 用户成功登录到计算机上。 529 登录失败：试图使用未知用户名或带有错误密码的已知用户名进行登录。 530 登录失败：试图在允许时间范围以外进行登录。 531 登录失败：试图通过禁用帐号进行登录。 532 登录失败：试图通过过期帐号进行登录。 533 登录失败：试图通过不允许在特定计算机上进行登录的用户帐号进行登录。 534 登录失败：用户试图通过不允许使用的密码类型进行登录。 535 登录失败：针对指定帐号的密码已经过期。 536 登录失败：网络登录服务未被激活。 537 登录失败：由于其它原因导致登录失败。说明：在某些情况下，登录失败原因可能无法确定。 538 针对某一用户的注销操作完成。 539 登录失败：登录帐号在登录时刻已被锁定。 540 用户成功登录到网络。 541 本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换（IKE）身份验证操作已经完成（建立一条安全关联），或者快速模式已经建立一条数据通道。 542 数据通道被中断。 543 主模式被中断。说明：这种事件可能在安全关联时间限制到期（缺省值为8小时）、策略修改或对等客户中断时发生。 544 由于对等客户未能提供合法证书或签署未通过验证导致主模式身份骀?证失败。 545 由于Kerberos失败或密码不合法导致主模式身份验证失败。 546 由于对等客户发送非法了非法提议，IKE 安全关联建立没有成功。收到一个包含非法数据的数据包。 547 IKE握手过程中发生错误。 548 登录失败：来自信任域的安全标识符（SID）与客户端的帐号域SID不匹配。 549 登录失败：在跨域身份验证过程中，所有同非信任名称空间相对应的SID均已被过滤掉。 550 能够指示可能发生拒绝服务（DoS）攻击的通知消息。 551 用户发起注销操作。 552 用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。 682 用户重新连接到一个已经断开连接的终端服务器会话上。 683 用户在没有注销的情况下与终端服务器会话断开连接。说明：这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。 对象访问事件 . 560 访问由一个已经存在的对象提供授权。 562 一个对象访问句柄被关闭。 563 试图打开并删除一个对象。说明：当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时，这种事件将被文件系统所使用。 564 一个保护对象被删除。 565 访问由一种已经存在的对象类型提供授权。 567 一种与句柄相关联的权限被使用。说明：一个授予特定权限（读取、写入等）的句柄被创建。当使用这个句柄时，至多针对所用到的每种权限产生一次审核。 568 试图针对正在进行审核的文件创建硬连接。 569 身份验证管理器中的资源管理器试图创建客户端上下文。 570 客户端试图访问一个对象。说明：针对对象的每次操作尝试都将产生一个事件。 571 客户端上下文被身份验证管理器应用程序删除。 572 管理员管理器初始化应用程序。 772 证书管理器拒绝了挂起的证书申请。 773 证书服务收到重新提交的证书申请。 774 证书服务吊销了证书。 775 证书服务收到发行证书吊销列表(CRL) 的请求。 776 证书服务发行了证书吊销列表(CRL)。 777 更改了证书申请扩展。 778 更改了多个证书申请属性。 779 证书服务收到关机请求。 780 已开始证书服务备份。 781 已完成证书服务备份。 782 已开始证书服务还原。 783 已完成证书服务还原。 784 证书服务已经开始。 785 证书服务已经停止。 786 证书服务更改的安全权限。 787 证书服务检索了存档密钥。 788 证书服务尀?证书导入数据库中。 789 证书服务更改的审核筛选。 790 证书服务收到证书申请。 791 证书服务批准了证书申请并颁发了证书。 792 证书服务拒绝证书申请。 793 证书服务将证书申请状态设为挂起。 794 证书服务更改的证书管理器设置 795 证书服务更改的配置项。 796 证书服务更改属性。 797 证书服务存档了密钥。 798 证书服务导入和存档了密钥。 799 证书服务将证书发行机构（CA）证书发行到Active Directory。 800 从证书数据库删除一行或多行。 801 角色分隔被启用。 审核策略更改事件 . 608 用户权限已被分配。 609 用户权限已被删除。 610 与另一个域的信任关系已被创建。 611 与另一个域的信任关系已被删除。 612 审核策略已被更改。 613 Internet协议安全性（IPSec）策略代理已经启动。 614 IPSec策略代理已被禁用。 615 IPSec策略代理已被更改。 616 IPSec策略代理遇到一个潜在的严重问题。 617 Kerberos 5.0版策略已被更改。 618 经过加密的数据恢复策略已更改。 620 与另一个域的信任关系已被修改。 621 系统访问权限已被授予帐号。 622 系统访问权限已从帐号中删除。 623 审核策略以对等用户为单位进行设置。 625 审核策略以对等用户为单位进行刷新。 768 检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明：当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时，它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。 769 添加了受信任的森林信息。说明：这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录，生成的所有事件消息都将被分配一个相同且唯一标识符（称作操作编号）。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于 “TopLevelName”类型的记录便是非法的。 770 删除了受信任的森林信息。说明：查看编号为769的事件描述。 771 修改了受信任的森林信息。说明：查看编号为769的事件描述。 805 事件日志服务读取针对会话的安权限使用事件 权限使用事件 . 576 特定权限已被添加到用户访问令牌中。说明：这种事件将在用户登录时产生。 577 用户试图执行受到权限保护的系统服务操作。 578 在已经处于打开状态的受保护对象句柄上使用权限。 详细跟踪事件 . 592 已经创建新的过程。 593 已经退出某过程。 594 对象的句柄被重复 595 已经取得对象的间接访问权。 596 数据保护主密钥备份。说明：主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统（EFS）所使用。这种主密钥将在每次创建新增主密钥时予以备份。（缺省设置为90天。）密钥备份操作通常由域控制器执行。 597 数据保护主密钥已由恢复服务器恢复完毕。 598 审核数据已得到保护。 599 审核数据保护已取消。 600 分派给进程一个主令牌。 601 用户尝试安装服务。 602 一个计划作业已被创建。 面向审核系统事件的系统事件消息 . 512 正在启动 Windows。 513 Windows 正在关机。 514 本地安全机制机构已加载身份验证数据包。 515 受信任的登录过程已经在本地安全机制机构注册。 516 用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。 517 审核日志已经清除。 518 安全帐户管理器已经加载通知数据包。 519 一个过程正在试图通过无效本地过程调用（LPC）端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。 520 系统时间已更改。说明：这种审核操作通常成对出现 多看看这些东西有助于对系统的了解 - ASP 错误代码 ASP 错误代码（测试网页的时候很有用) ASP 错误代码 说明 ASP 0100 内存不足 ASP 0101 意外错误 ASP 0102 需要字符串输入 ASP 0103 需要数字输入 ASP 0104 不允许此项操作 ASP 0105 下标越界 ASP 0106 类型不匹配 ASP 0107 堆栈溢出 ASP 0108 创建对象失败 ASP 0109 找不到成员 ASP 0110 未知名称 ASP 0111 未知接口 ASP 0112 缺少参数 ASP 0113 脚本超时 ASP 0114 非自由线程对象 ASP 0115 意外错误 ASP 0116 丢失脚本关闭分隔符 ASP 0117 丢失脚本关闭标记 ASP 0118 丢失对象关闭标记 ASP 0119 丢失 Classid 或 Progid 特性 ASP 0120 无效的 Runat 特性 ASP 0121 对象标记中包含无效作用域 ASP 0122 对象标记中包含无效作用域 ASP 0123 丢失 Id 特性 ASP 0124 丢失 Language 特性 ASP 0125 丢失特性的关闭符 ASP 0126 找不到包含文件 ASP 0127 丢失了 HTML 注释的关闭符 ASP 0128 丢失 File 或 Virtual 特性 ASP 0129 未知的脚本语言 ASP 0130 无效的 File 特性 ASP 0131 不允许的父路径 ASP 0132 编译错误 ASP 0133 无效的 ClassID 特性 ASP 0134 无效的 ProgID 特性 ASP 0135 循环包含 ASP 0136 无效对象实例名称 ASP 0137 无效全局脚本 ASP 0138 嵌套的 Script 块 ASP 0139 嵌套的 Object ASP 0140 Page 命令无序 ASP 0141 Page 命令重复 ASP 0142 线程令牌错误 ASP 0143 无效的应用程序名 ASP 0144 初始化错误 ASP 0145 新建应用程序失败 ASP 0146 新建会话失败 ASP 0147 500 服务器错误 ASP 0148 服务器太忙 ASP 0149 应用程序正在重新启动 ASP 0150 应用程序目录错误 ASP 0151 更改通知错误 ASP 0152 安全错误 ASP 0153 线程错误 ASP 0154 写入 HTTP 头错误 ASP 0155 写入页内容错误 ASP 0156 标头错误 ASP 0157 缓冲已打开 ASP 0158 丢失 URL ASP 0159 缓冲已关闭 ASP 0160 日志记录失败 ASP 0161 数据类型错误 ASP 0162 不能修改 Cookie ASP 0163 逗号的使用不正确 ASP 0164 无效的超时值 ASP 0165 SessionID 错误 ASP 0166 未初始化的对象 ASP 0167 会话初始化错误 ASP 0168 不允许的对象使用方式 ASP 0169 丢失对象信息 ASP 0170 删除会话错误 ASP 0171 缺少路径 ASP 0172 无效路径 ASP 0173 无效 Path 字符 ASP 0174 无效 Path 字符 ASP 0175 不允许的 Path 字符 ASP 0176 找不到路径 ASP 0177 Server.CreateObject 失败 ASP 0178 Server.CreateObject 访问错误 ASP 0179 应用程序初始化错误 ASP 0180 不允许的对象使用方式 ASP 0181 无效线程模型 ASP 0182 丢失对象信息 ASP 0183 空 Cookie 关键字 ASP 0184 丢失 Cookie 名称 ASP 0185 丢失默认属性 ASP 0186 解析证书时出错 ASP 0187 对象添加冲突 ASP 0188 不允许的对象使用方式 ASP 0189 不允许的对象使用方式 ASP 0190 意外错误 ASP 0191 意外错误 ASP 0192 意外错误 ASP 0193 OnStartPage 失败 ASP 0194 OnEndPage 失败 ASP 0195 无效服务器方法调用 ASP 0196 不能启动进程外组件 ASP 0197 不允许的对象使用方式 ASP 0198 服务器正在关闭 ASP 0199 不允许的对象使用方式 ASP 0200 Expires 特性越界 ASP 0201 无效的默认脚本语言 ASP 0202 丢失代码页 ASP 0203 无效代码页 ASP 0204 CodePage 值无效 ASP 0205 更改通知 ASP 0206 不能调用 BinaryRead ASP 0207 不能使用 Request.Form ASP 0208 不能使用一般 Request 集合 ASP 0209 TRANSACTION 属性值非法 ASP 0210 方法未实现 ASP 0211 对象越界 ASP 0212 不能清除缓冲区 ASP 0214 无效路径参数 ASP 0215 ENABLESESSIONSTATE 属性值非法 ASP 0216 MSDTC 服务不在运行 ASP 0217 对象标记中包含无效作用域 ASP 0218 丢失 LCID ASP 0219 无效的 LCID ASP 0220 不允许 GLOBAL.ASA 请求 ASP 0221 无效的 命令指令 ASP 0222 无效 TypeLib 规格 ASP 0223 未找到 TypeLib ASP 0224 无法加载 TypeLib ASP 0225 无法包装 TypeLibs ASP 0226 不能修改 StaticObjects ASP 0227 Server.Execute 失败 ASP 0228 Server.Execute 错误 ASP 0229 Server.Transfer 失败 ASP 0230 Server.Transfer 错误 ASP 0231 Server.Execute 错误 ASP 0232 无效的 Cookie 规格 ASP 0233 无法加载 cookie 脚本源 ASP 0234 无效的包含指令 ASP 0235 Server.Transfer 错误 ASP 0236 无效的 Cookie 规格 ASP 0237 无效的 Cookie 规格 ASP 0238 丢失特性值 ASP 0239 无法处理文件 ASP 0240 脚本引擎异常 ASP 0241 CreateObject 异常 ASP 0242 查询 OnStartPage 接口异常 ASP 0243 Global.asa 中包含无效的 METADATA 标记 ASP 0244 无法启用会话状态 ASP 0245 代码页值的混合使用 ASP 0246 并发用户太多。请稍后重试。 ASP 0247 无效的 BinaryRead 参数。 ASP 0248 脚本未经事务处理。此 ASP 文件必须经过事务处理以使用 ObjectContext 对象。 ASP 0249 不能在 Request 上使用 IStream。使用 Request.Form 集合或 Request.BinaryRead 后不能在 Request 对象上使用 IStream。 ASP 0250 无效默认代码页。指定的应用程序默认代码页无效。 ASP 0251 超过响应缓冲区限制。此 ASP 页的执行造成响应缓冲区超过其配置限制。 参考 有关如何诊断更常见的 ASP 0115 错误的其他信息，请单击下面的文章编号，查看 Microsoft 知识库中的相应文章： 281674 HOWTO:诊断 IIS 中的 ASP 0115 错误 有关错误信息的另一个列表，请单击下面的文章编号，查看 Microsoft 知识库中的相应文章： 180751 INFO:Error Messages Shared Between VBCE and VBScript - 启动时DCOM出错的解决 应用程序-特定权限设置未将COM 服务器应用程序事件查看器，里面有个DCOM错误： 应用程序-特定 权限设置未将 COM 服务器应用程序(CLSID 为0C0A3666-30C9-11D0-8F20-00805F2CD064 )的 本地 激活 权限授予用户 xxxIWAM_xxxx-91EB569A3 SID (S-1-5-21-776561741-1292428093-1417001333-1010)。可以使用组件服务管理工具修改此安全权限。有关更多信息，请参阅在 /fwlink/events.asp 的帮助和支持中心。 搜索了一下，采用如下的方法： 点击“开始”-“控制面板”-“管理工具”-“组件服务”-“计算机”-“我的电脑”-“DCOM”选项，选择其下的“IIS ADMIN SERVICE”，右健选择“属性”，找到“安全”，在“启动和激活权限”中编辑“自定义”，添加帐号“IWAM_*”， 该账号可以用户帐户中找到给该帐号赋予“本地启动”和“本地激活”的权限，重新启动IIS. （点“开始”-“运行”-“CMD”，点确定，然后运行IISRESET）有可能DCOM配置时属性选项不见了 建议: 保证以下几个服务处于启动状态 Remote Procedure Call (RPC) COM+ Event System DCOM Server Process Launcher Distributed Transaction Coordinator 运行:msdtc -uninstall 重启机器-运行:msdtc -install 重启机器 , 我的就是这样弄好的 可以试下 - 时间服务有86400 秒没有与系统时间同步，因为没有一个时间服务提供程序提供可用的时间戳程序代码 事件类型: 警告 事件来源: W32Time 事件种类: 无 事件 ID: 36 日期: 2006-12-19 事件: 13:29:51 用户: N/A 计算机: 3nbfi8b33e3 描述: 时间服务有 86400 秒没有与系统时间同步，因为没有一个时间服务提供程序 提供可用的时间戳。时间服务将不再是同步的，也不能为其它客户端提供 时间或者更新系统时钟。请查看事件查看器中显示的系统事件，以确认没 有发生更严重的问题。 有关更多信息，请参阅在 /fwlink/events.asp 的帮助和支持中心。 86400秒正好是24小时， 如果没有关闭“自动与internet时间同步的选项”的话，系统会每阁一个星期就是7天自动进行一次时间同步，不知道为什么，dns老是解析“”造成解析出错，这个时候就会提示这个警告，这个警告只是告诉我们是同步一次出错延时24小时了，所以这个警告不会对我们的系统造成任何影响，除非你的程序需要很准确的时间解决方案：设置-控制面板-管理工具-服务-启动windows time服务,并设置为自动,重启,就可以同步时间了 - RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接 事件类型: 错误 事件来源: TermDD 事件种类: 无 事件 ID: 50 日期: 2008-4-30 事件: 6:35:09 用户: N/A 计算机: 描述: RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接。 有关更多信息，请参阅在 /fwlink/events.asp 的帮助和支持中心。 数据: 0000: 00 00 08 00 02 00 56 00 .V. 0008: 00 00 00 00 32 00 0a c0 .2. 0010: 00 00 00 00 32 00 0a c0 .2. 0018: 00 00 00 00 00 00 00 00 . 0020: 00 00 00 00 00 00 00 00 . 0028: 0b 00 00 00 0d 0a 0d 0a . 如果你的服务器有如下错误： “RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接。” 可能的有2种： 1：你试试能否能继续远程登陆，有可能你的远程登陆组件出现问题。 2：有人攻击你，使用暴力破解的方法登陆你的系统，导致系统拒绝服务。 一句话注意防贼！ 解决方法： 设置组策略=管理摸板=wndows组件=终端服务！ 新的补充（比较狠的解决方法，呵呵。）： 事件类型: 错误 事件来源: TermDD 描述: RDP 的 DATA ENCRYPTION 协议组件在协议流中检测到一个错误并且中断了客户机。 经过网上查找资料及分析，原来是注册表中的“Certificate”子键被损坏，才导致用户无法与终端服务进行正常通信。 分析：Certificate子键负责终端服务通信中数据信息的认证和加密，它一旦被损坏，终端服务的协议组件就会检测到错误，中断客户机与终端服务器之间的通信。导致Certificate子键损坏的原因很多，如管理员安装和卸载某些系统软件、对终端服务参数的不合理配置等。这时我们需要重置该键值中的内容，才能修复终端服务。 解决办法：进入注册表编辑器窗口，展开 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermServiceParameters”， 找到名为“Certificate”的子键，将它删除，重新启动Windows 2003 Server服务器，系统就会重新生成“Certificate”子键，这样客户端就能正常连接到终端服务器了.服务器还可以远程控制, 有人攻击了 Fucking world! - 提供服务的进程在与 World Wide Web Publishing 服务通信时遇到致命错误 事件类型: 警告 事件来源: W3SVC 事件种类: 无 事件 ID: 1011 日期: 2007-7-2 事件: 15:30:31 用户: N/A 计算机: WWW 描述: 为应用程序池 AppPool-BBS 提供服务的进程在与 World Wide Web Publishing 服务通信时遇到致命错误。进程 ID 为 2052。数据字段包含错误号。 有关更多信息，请参阅在 /fwlink/events.asp 的帮助和支持中心。 数据: 0000: 6d 00 07 80 m. 经查证: 原因为同事删除了user用户组对system32目录的访问权限,更正后完好! - 错误: 应用程序池 的模板永久性缓存初始化失败，这是由下列错误所导致. 事件类型: 错误 事件来源: Active Server Pages 事件种类: 无 事件 ID: 5 日期: 2008-5-27 事件: 8:00:15 用户: N/A 计算机: CHINA 描述: 错误: 应用程序池 的模板永久性缓存初始化失败，这是由下列错误所导致: 无法创建应用程序池的磁盘缓存子目录。数据可能包含额外的错误代码。 有关更多信息，请参阅在 /fwlink/events.asp 的帮助和支持中心。 数据: 0000: 05 00 00 00 . / _ 原因: IIS运行权限的问题 解决方法： 更改IIS运行时用的两个帐户:IIS_WPG 和 NETWORK SERVICE ）对应应用程序池用到的相关目录的NTFS权限，将IIS_WPG帐户设置为读取与执行、列出文件夹目录、读取，而NETWORK SERVICE 则需要完全控制权限。 要配置的相关目录有以下几个： %systemroot%HelpIISHelpCommon %systemroot%System32InetsrvASP Compiled Templates %systemroot%IIS Temporary Compressed Files 完成后，重启IIS Admin服务，即可解决此问题。 附：%systemroot%通常指C:Windows。 - Unable to read local eventlog (reason: 传递给系统调用的数据区域太小。). 事件类型: 错误 事件来源: SQLSERVERAGENT 事件种类: Alert Engine 事件 ID: 318 日期: 2008-6-26 事件: 9:25:10 用户: N/A 计算机: WD1026 描述: Unable to read local eventlog (reason: 传递给系统调用的数据区域太小。). 有关更多信息，请参阅在 /fwlink/events.asp 的帮助和支持中心。 微软的解释 - When you set Dr. Watson as the default debugger, a SQLSERVERAGENT error with Event id: 318 may appear in Event Viewer immediately after an application generates an unhandled exception error. - 你可以这样做： 1.关闭华生医生 2.MS SQL Server企业管理器 - 管理 - SQL Server代理 - 警报， 删除所有的警报(选中所有的警报，右键，删除)， 就OK了。 - 这是微软建议： You can ignore the SQL Server Agent error Event id: 318. The error occurs because of another application failure that is running on the same computer where SQL Server is running. To prevent the error, troubleshoot and resolve the application error that is raised by the other application 具体什么问题造成的希望有人能给指点个明路 - 无法读取 System Overview 日志或警报配置的 Log File Folder 数值。 将使用默认数值。 事件类型: 警告 事件来源: SysmonL