1、计算机操作系统基础与应用计算机操作系统基础与应用第第1篇篇 操作系统原理操作系统原理第第2篇篇 Windows XP基础与实训基础与实训第第3篇篇 Linux基础与实训基础与实训第第4章章 Windows XP入门入门第第5章章 Windows XP的管理工具与系统结构的管理工具与系统结构 第第6章章 Windows XP的资源管理功能的资源管理功能 第第7章章 Windows Vista入门入门 第第5章章 Windows XP的管理工具与系统结构的管理工具与系统结构 本章重点介绍本章重点介绍Windows XP的系统结构。的系统结构。Windows内部的许多细节可以利用各种实用工具来查看和
2、证实。内部的许多细节可以利用各种实用工具来查看和证实。在在Windows XP中有一套现成的工具,在第中有一套现成的工具,在第4章中已经介章中已经介绍了其中与用户界面紧密相关的一部分工具,本章再介绍了其中与用户界面紧密相关的一部分工具,本章再介绍绍4个有用的工具:注册表编辑器、任务管理器、事件个有用的工具:注册表编辑器、任务管理器、事件查看器和性能监视器。学会使用这些工具,将有助于对查看器和性能监视器。学会使用这些工具,将有助于对Windows XP内部结构的理解和日常更好地发挥内部结构的理解和日常更好地发挥Windows XP的作用。的作用。5.1 注册表机制注册表机制 注册表包含了引导和配
3、置系统所需的信息、控注册表包含了引导和配置系统所需的信息、控制制Windows操作的系统范围软件设置、安全数据库,操作的系统范围软件设置、安全数据库,以及各个用户的配置设定。同时,注册表是反映内以及各个用户的配置设定。同时,注册表是反映内存中易失数据的窗口,从中可以观察硬件当前状态存中易失数据的窗口,从中可以观察硬件当前状态和性能计数器信息。和性能计数器信息。 对注册表的改动必须十分小心,这里介绍注册对注册表的改动必须十分小心,这里介绍注册表,只是为了后面通过查看注册表来加深对表,只是为了后面通过查看注册表来加深对Windows系统结构的理解。系统结构的理解。5.1.1 注册表逻辑结构注册表逻
4、辑结构 键是注册表的主要成分,每个键对应一个键键是注册表的主要成分,每个键对应一个键值,还可以包含若干下一级键(也称为子键)。值,还可以包含若干下一级键(也称为子键)。一个键值包含若干项,每个项有名称、类型和数一个键值包含若干项,每个项有名称、类型和数据。键组成了注册表的层次结构,顶级的键称为据。键组成了注册表的层次结构,顶级的键称为根键。键在键名和路径的表示方面类似于文件。根键。键在键名和路径的表示方面类似于文件。 注册表有注册表有 5 个根键,分别存储一个方面的各个根键,分别存储一个方面的各种信息(见表种信息(见表5-1)。其中的)。其中的HKCC、HKCR和和HKCU是链接根键,链接到别
5、的键。是链接根键,链接到别的键。表表5-1 注册表的根键注册表的根键根键名根键名缩写缩写存储的信息存储的信息HKEY_CLASSES_ROOTHKCR文件关联和组件对象模型的对象注册信息文件关联和组件对象模型的对象注册信息HKEY_CURRENT_USERHKCU与当前登录用户有关的信息与当前登录用户有关的信息HKEY_LOCAL_MACHINEHKLM与系统有关的信息与系统有关的信息HKEY_USERHKU本台机器上所有账号的信息本台机器上所有账号的信息HKEY_CURRENT_CONFIGHKCC与当前硬件配置有关的信息与当前硬件配置有关的信息 HKLM包含系统范围内的配置子键(见表包含系
6、统范围内的配置子键(见表5-2)。而子键下还有键值和下一层子键,如此逐层)。而子键下还有键值和下一层子键,如此逐层下去,构成一棵下去,构成一棵HKLM树。其他根键也类似。这树。其他根键也类似。这些树统称为注册表树。些树统称为注册表树。 HKU包含了系统上加载的各个用户配置文件包含了系统上加载的各个用户配置文件和用户类注册数据库的子键,还包含了名为和用户类注册数据库的子键,还包含了名为HKU.DEFAULT的子键,链接到默认工作站配置的子键,链接到默认工作站配置文件。文件。 表表5-2 HKLM的子键的子键子键名子键名包含信息包含信息HARDWARE系统范围的硬件描述和所有硬件设备系统范围的硬件
7、描述和所有硬件设备-驱动器驱动器的映射的映射SAM本地账号和组信息本地账号和组信息SECURITY系统范围内的安全策略和用户权限分配系统范围内的安全策略和用户权限分配SOFTWARE系统初启时不需要的系统范围的配置信息,系统初启时不需要的系统范围的配置信息,第三方应用程序的系统范围设置第三方应用程序的系统范围设置SYSTEM系统初启时需要的系统范围的配置信息系统初启时需要的系统范围的配置信息 HKCU包含了当前本地登录用户的参数和软包含了当前本地登录用户的参数和软件配置数据,件配置数据,HKCU链接到链接到HKU中的与当前登录中的与当前登录用户对应的子键。用户对应的子键。 HKCR包含的各个用
8、户类注册信息来自包含的各个用户类注册信息来自HKCUSOFTWAREClasses,系统范围的类注册,系统范围的类注册信息来自信息来自HKLMSOFTWAREClasses。 HKCC中包含的当前硬件配置信息则来自中包含的当前硬件配置信息则来自HKLMSYSTEMCurrentControlSetHardware ProfilesCurrent。 5.1.2 注册表数据类型注册表数据类型 键值可采用的数据类型如表键值可采用的数据类型如表5-3所示,其中所示,其中常用的有常用的有REG_DWORD、REG_BINARY、REG_SZ和和REG_LINK。REG_DWORD类型的类型的键值可以存储
9、数字和布尔值;键值可以存储数字和布尔值;REG_BINARY类型类型的键值可以存储大于的键值可以存储大于32位的数字或原始数据,如位的数字或原始数据,如加密口令;加密口令;REG_SZ键值存储文件名、路径和类键值存储文件名、路径和类型等字符串;型等字符串;REG_LINK十分有用,它允许一个十分有用,它允许一个键值透明地指向另一个键或键值,这就使得一个键值透明地指向另一个键或键值,这就使得一个键值可以有多条检索路径。键值可以有多条检索路径。表表5-3 注册表的键值类型注册表的键值类型键值类型键值类型说明说明REG_NONE无键值类型无键值类型REG_SZ以以null结束的定长结束的定长unic
10、ode字符串字符串REG_EXPAND_SZ以以null结束的可变长结束的可变长unicode字符串字符串REG_BINARY任意长二进制数据任意长二进制数据REG_DWORD32位数位数REG_DWORD_LITTLE_ENDIAN32位数,低位字节在前。等价于位数,低位字节在前。等价于REG_DWORDREG_DWORD_BIG_ENDIAN32位数,高位字节在前位数,高位字节在前REG_LINKunicode符号链接符号链接REG_MULTI_SZ以以null结束的结束的unicode字符串数组字符串数组REG_RESOURCE_LISAT硬件资源列表硬件资源列表REG_FULL_RES
11、OURCE_DESCRIPTOR硬件资源描述硬件资源描述REG_RESOURCE_REQUIREMENTS_LIST资源需求列表资源需求列表 5.1.3 注册表编辑器注册表编辑器 利用利用Windows XP提供的注册表编辑器提供的注册表编辑器regedit,可,可以操作注册表。在以操作注册表。在Windows XP中也可用中也可用regedt32,但,但它实际上直接调用了它实际上直接调用了regedit。注册表编辑器的窗口的。注册表编辑器的窗口的菜单栏和状态栏之间的区域分两个部分,左面是键导菜单栏和状态栏之间的区域分两个部分,左面是键导航树,右面是键值显示框(见图航树,右面是键值显示框(见图
12、5-1)。)。图图5-1 注册表编辑器的窗口注册表编辑器的窗口 下面举例说明注册表编辑器的使用方法。下面举例说明注册表编辑器的使用方法。 【例【例5.1】 启动注册表编辑器启动注册表编辑器 单击单击“开始开始”菜单中的菜单中的“运行运行”项,在项,在“打打开开(O):”左边的编辑框中输入左边的编辑框中输入“regedit”,然后,然后单击单击“确定确定”按钮就启动了注册表编辑器。按钮就启动了注册表编辑器。 【例【例5.2】 查看环境变量查看环境变量 环境变量是环境变量是Windows XP的重要参数,控制着程的重要参数,控制着程序的多种行为。例如,序的多种行为。例如,Path指定了系统文件夹,
13、指定了系统文件夹,TEMP指定临时文件存放位置,指定临时文件存放位置,Windir则给出了则给出了Windows XP的系统安装文件夹。要查看环境变量,的系统安装文件夹。要查看环境变量,可以如下操作:可以如下操作: 启动注册表编辑器。启动注册表编辑器。 在左面的键导航树中依次展开在左面的键导航树中依次展开HKLM、SYSTEM、CurrentControlSet、Control和和Session Manager各层各层键,单击键,单击Enviroment。 在右面的键值显示框中就能看到全部环境变量的在右面的键值显示框中就能看到全部环境变量的值。例如,系统目前实际配置的处理器数就记录在值。例如,
14、系统目前实际配置的处理器数就记录在NUMBER_OF_PROCESSORS项上(见图项上(见图5-2)。)。图图5-2 在在regedit中看到的的中看到的的HKLM树(未完全展开)树(未完全展开) 【例【例5.3】 查看显卡的信息查看显卡的信息 显卡的信息包括显卡名、显卡驱动程序和显卡配显卡的信息包括显卡名、显卡驱动程序和显卡配置参数等。要查看这些信息,可按如下步骤进行:置参数等。要查看这些信息,可按如下步骤进行: 启动注册表编辑器。启动注册表编辑器。 在左面的键导航树中依次展开在左面的键导航树中依次展开HKLM、HARDWARE和和DEVICEMAP,然后单击,然后单击VIDEO,右,右面
15、键值显示框中(见图面键值显示框中(见图5-3)的)的DeviceVideo0项的值项的值就是显卡信息存放的位置。值就是显卡信息存放的位置。值REGISTRYMachine SystemControlSet001ServicesialmDevice0中的中的REGISTRY是指注册表,是指注册表,Machine指指HKLM。 图图5-3 在注册表编辑器中看到的在注册表编辑器中看到的VIDEO键值键值 再进行类似再进行类似那样操作,查看那样操作,查看HKLMSystemControlSet001ServicesialmDevice0子子键内容,右面键值显示框中键内容,右面键值显示框中DeviceD
16、escription项的值项的值就是显卡名(见图就是显卡名(见图5-4)。)。 图图5-4 在注册表编辑器中看到的显卡名在注册表编辑器中看到的显卡名 在在HKLMSystemControlSet001Servicesialm的键的键值中,值中,ImagePath项的值就是显卡驱动程序项的值就是显卡驱动程序(见图见图5-5)。 图图5-5 在注册表编辑器中看到的显卡驱动程序名在注册表编辑器中看到的显卡驱动程序名 沿着路径沿着路径 HKLMSystemCurrentControlSetHardware Profiles CurrentSystem CurrentControlSetSERVICES
17、逐层逐层展开,可以看到展开,可以看到中得到的中得到的DeviceVideo0项值对应的项值对应的子键子键ialmDevice0,单击这个子键,就可在键值显示框,单击这个子键,就可在键值显示框中看到显卡配置参数。如水平分辨率中看到显卡配置参数。如水平分辨率(DefaultSettings.XResolution)和每像素位数)和每像素位数(DefaultSettings.BitsPerPel)等(见图)等(见图5-6)。)。图图5-6 在注册表编辑器中看到的显卡配置参数在注册表编辑器中看到的显卡配置参数 【例【例5.4】 设置注册表安全属性设置注册表安全属性 利用注册表编辑器可以对注册表进行安全
18、设利用注册表编辑器可以对注册表进行安全设置,限制某些用户对注册表的访问权限,提高注置,限制某些用户对注册表的访问权限,提高注册表的安全性。步骤如下:册表的安全性。步骤如下: 单击要在其上进行安全设置的键,再单击单击要在其上进行安全设置的键,再单击“编编辑辑”菜单中的菜单中的“权限权限”,则弹出设置权限对话框;,则弹出设置权限对话框; 可在里面添加、删除或修改用户对指定键的权可在里面添加、删除或修改用户对指定键的权限。限。 【例【例5.5】 远程管理注册表远程管理注册表 注册表编辑器还提供了远程管理注册表功能。注册表编辑器还提供了远程管理注册表功能。当有足够的权限时,可如下操作:当有足够的权限时
19、,可如下操作: 单击单击“文件文件”菜单中的菜单中的“连接网络注册表连接网络注册表”,则弹出则弹出“选择计算机选择计算机”对话框;对话框; 在其中选择想要对其进行操作的计算机,然后在其中选择想要对其进行操作的计算机,然后单击单击“确定确定”。 5.1.4 注册表内部结构注册表内部结构 1储箱和储箱文件储箱和储箱文件 在在Windows XP内部,注册表对应多个文件,内部,注册表对应多个文件,每个文件对应一个储箱(每个文件对应一个储箱(hive),每个储箱包含),每个储箱包含一个注册表树,但这里的注册表树并不与注册表一个注册表树,但这里的注册表树并不与注册表编辑器显示的根键一一对应。通过注册表编
20、辑器编辑器显示的根键一一对应。通过注册表编辑器可以看到储箱及其对应文件(称为储箱文件)的可以看到储箱及其对应文件(称为储箱文件)的列表,这只要单击列表,这只要单击HKLMSYSTEMCurrentControlSetControlhivelist子键即行。子键即行。图图5-7 从注册表编辑器可以看到储箱对应的文件从注册表编辑器可以看到储箱对应的文件 在图在图5-7显示的注册表编辑器界面上,键值显显示的注册表编辑器界面上,键值显示框里列出了系统当前装载的各储箱的信息,名示框里列出了系统当前装载的各储箱的信息,名称列给出储箱(注册表子键),数据列给出储箱称列给出储箱(注册表子键),数据列给出储箱文
21、件名(包括路径)。可以看到,其中有的储箱文件名(包括路径)。可以看到,其中有的储箱(例如(例如HKLMHARDWARE)没有对应的文件,)没有对应的文件,这是这是“易失性储箱易失性储箱”,系统在内存中创建和管理,系统在内存中创建和管理它。常见的注册表键和储箱文件的对应关系见表它。常见的注册表键和储箱文件的对应关系见表5-4。表表5-4 注册表键与对应文件的路径注册表键与对应文件的路径注册表键的路径注册表键的路径储箱文件的路径储箱文件的路径HKEY_LOCAL_MACHINESYSTEMWINDOWSSystem32ConfigSystemHKEY_LOCAL_MACHINESAMWINDOWS
22、System32ConfigSamHKEY_LOCAL_MACHINESECURITYWINDOWSSystem32ConfigSecurityHKEY_LOCAL_MACHINESOFTWAREWINDOWSSystem32ConfigSoftwareHKEY_LOCAL_MACHINEHARDWARE(易失性储箱)(易失性储箱)HKEY_LOCAL_MACHINESYSTEMClone(易失性储箱)(易失性储箱)HKEY_USERSDocuments and SettingsNtuser.datHKEY_USERS_ClassesDocuments and SettingsLocal Se
23、ttingsApplication Data MicrosoftWindowsUsrclass.datHKEY_USERS.DEFAULTWINDOWSSystem32ConfigDefault 2配置管理器配置管理器 配置管理器是配置管理器是Windows XP内部的一个实现注册内部的一个实现注册表的子系统。它负责组织储箱文件,管理注册表,表的子系统。它负责组织储箱文件,管理注册表,并且确保注册表始终处于可恢复状态。除开用户储并且确保注册表始终处于可恢复状态。除开用户储箱文件(见表箱文件(见表5-4中的第中的第7、8行)外,其他所有储箱行)外,其他所有储箱文件的路径都被编码在配置管理器中。配
24、置管理器文件的路径都被编码在配置管理器中。配置管理器装载储箱时,就在装载储箱时,就在HKLMCurrentControlSetControlhivelist子键的键子键的键值中记下这每个储箱文件的路径,同时创建与这些值中记下这每个储箱文件的路径,同时创建与这些储箱链接的根键,建立注册表编辑器显示的注册表储箱链接的根键,建立注册表编辑器显示的注册表结构。当卸下储箱时,配置管理器就删除其路径。结构。当卸下储箱时,配置管理器就删除其路径。 为了有效地管理注册表,配置管理器采取了为了有效地管理注册表,配置管理器采取了一系列措施,包括引入块(一系列措施,包括引入块(block)、单元()、单元(cell
25、)和盒(和盒(bin)等管理单位,以及单元映射、名字空)等管理单位,以及单元映射、名字空间稳态存贮等技术,并且进行了性能优化。间稳态存贮等技术,并且进行了性能优化。5.2 任务管理器任务管理器 任务管理器以图形和数据形式提供程序的运任务管理器以图形和数据形式提供程序的运行状态、计算机性能的关键指示器、运行进程的行状态、计算机性能的关键指示器、运行进程的活动、活动、CPU和内存的使用情况。使用任务管理器,和内存的使用情况。使用任务管理器,除了可以查看上述状态,还可以结束进程、结束除了可以查看上述状态,还可以结束进程、结束正在运行或已停止响应的程序、启动新的程序、正在运行或已停止响应的程序、启动新
26、的程序、关闭计算机。此外,若正与网络连接,则可以查关闭计算机。此外,若正与网络连接,则可以查看网络状态,查看网络上其他用户及其活动,给看网络状态,查看网络上其他用户及其活动,给其他用户发送消息。其他用户发送消息。 5.2.1 任务管理器界面任务管理器界面 1任务管理器界面组成任务管理器界面组成 要进入任务管理器主界面,可以按要进入任务管理器主界面,可以按Ctrl+Alt+Del组合键,也可以右击任务栏空白处并在弹出的快捷菜组合键,也可以右击任务栏空白处并在弹出的快捷菜单中单击单中单击“任务管理器任务管理器”。 任务管理器主界面由选项卡和菜单栏组成,选项任务管理器主界面由选项卡和菜单栏组成,选项
27、卡有卡有5个:应用程序、进程、性能、联网、用户,菜单个:应用程序、进程、性能、联网、用户,菜单栏包括的菜单项和下拉菜单中的菜单项,都随选项卡栏包括的菜单项和下拉菜单中的菜单项,都随选项卡而略有变动。而略有变动。 “应用程序应用程序”选项卡显示正在运行程序的状态,包括选项卡显示正在运行程序的状态,包括正在运行、没有响应或停止。还设有正在运行、没有响应或停止。还设有“结束任务结束任务”、 “切换至切换至”和和“新任务新任务”3个按钮。个按钮。 “进程进程”选项卡显示正在运行进程的有关信息,例选项卡显示正在运行进程的有关信息,例如,进程使用如,进程使用CPU和内存的情况、页面错误、句柄计数,和内存的
28、情况、页面错误、句柄计数,以及其他参数的信息。在以及其他参数的信息。在“进程进程”选项卡上有选项卡上有“结束进结束进程程”按钮。按钮。 “性能性能”选项卡显示计算机性能的动态概况,包括:选项卡显示计算机性能的动态概况,包括:CPU和内存使用情况的图表,正在运行的句柄、线程和和内存使用情况的图表,正在运行的句柄、线程和进程的总数,物理内存、核心内存和认可的内存量(如进程的总数,物理内存、核心内存和认可的内存量(如图图5-8所示)。所示)。 图图5-8 任务管理器动态显示计算机性能概况任务管理器动态显示计算机性能概况 “联网联网”选项卡仅当成功联网时才会显示,无论连选项卡仅当成功联网时才会显示,无
29、论连接到一个还是多个网络,都能以图形和列表形式显示网接到一个还是多个网络,都能以图形和列表形式显示网络连接的状态。只有工作组成员或独立计算机,并且启络连接的状态。只有工作组成员或独立计算机,并且启用了用了“快速用户切换快速用户切换”时,才出现时,才出现“用户用户”选项卡。选项卡。 “用户用户”选项卡显示可以访问本计算机的用户,以选项卡显示可以访问本计算机的用户,以及会话的状态与名称。及会话的状态与名称。“用户用户”给出使用该会话的客户给出使用该会话的客户机的名称,机的名称,“会话会话”提供一个任务名称,例如发送消息、提供一个任务名称,例如发送消息、连接或控制台等。连接或控制台等。“用户用户”选
30、项卡设有选项卡设有“断开断开”、 “注销注销”和和“发送消息发送消息”3个按钮。个按钮。 在在“进程进程”选选项卡中,可以列项卡中,可以列表显示进程的各表显示进程的各种属性信息(见种属性信息(见图图5-9)。这个列)。这个列表所包含的每一表所包含的每一列,或者对应一列,或者对应一个进程属性,或个进程属性,或者对应一个与进者对应一个与进程相关的计数器。程相关的计数器。图图5-9 从从“查看查看”的的“选择列选择列”框选择要显示的属性框选择要显示的属性2任务管理器提供的进程信息任务管理器提供的进程信息 5.2.2 任务管理器的使用任务管理器的使用 1用于管理程序用于管理程序 (1) 启动新程序启动
31、新程序 单击单击“应用程序应用程序”选项卡中的选项卡中的“新任务新任务”按按钮,接着在钮,接着在“创建新任务创建新任务”窗口的窗口的“打开打开”框中框中键入要运行的程序的路径和名称,然后单击键入要运行的程序的路径和名称,然后单击“确确定定”。在任务管理器中启动新程序,相当于利用。在任务管理器中启动新程序,相当于利用“开始开始”菜单中的菜单中的“运行运行”启动新程序。启动新程序。 (2) 切换到另一个程序切换到另一个程序 在在“应用程序应用程序”选项卡上选定要切换到的程选项卡上选定要切换到的程序,再单击序,再单击“切换至切换至”按钮。按钮。 (3) 终止程序终止程序 在在“应用程序应用程序”选项
32、卡上选定要结束的任务,选项卡上选定要结束的任务,再单击再单击“结束任务结束任务”按钮。利用这个功能可以结按钮。利用这个功能可以结束程序,不管它是正在运行还是已经停止响应。束程序,不管它是正在运行还是已经停止响应。注意,如果一个程序被结束,那么该程序中任何注意,如果一个程序被结束,那么该程序中任何未保存的输入数据或所作更改均将丢失。未保存的输入数据或所作更改均将丢失。 2用于管理进程用于管理进程 (1) 改变进程优先级改变进程优先级 在在“进程进程”选项卡中,右击要改变优先级的选项卡中,右击要改变优先级的进程,指向进程,指向“设置优先级设置优先级”项,在出现的下拉列项,在出现的下拉列表中单击所需
33、的优先级。更改一个进程的优先级表中单击所需的优先级。更改一个进程的优先级可以改变其运行速度,但也会影响其他进程的性可以改变其运行速度,但也会影响其他进程的性能。能。 (2) 将进程指派给处理器将进程指派给处理器 在在“进程进程”选项卡上,右击要指派的进程,选项卡上,右击要指派的进程,在弹出的快捷菜单中单击在弹出的快捷菜单中单击“设置仿射性设置仿射性”,再单,再单击一个或多个处理器。这个操作将进程限制在选击一个或多个处理器。这个操作将进程限制在选定处理器上执行,它可能导致总体性能下降。这定处理器上执行,它可能导致总体性能下降。这个操作仅在多处理器计算机上可用。个操作仅在多处理器计算机上可用。 (
34、3) 终止进程或进程树终止进程或进程树 在在“进程进程”选项卡上选定要结束的进程,再选项卡上选定要结束的进程,再单击单击“结束进程结束进程”按钮。或者在按钮。或者在“进程进程”选项卡选项卡上右击要结束的进程,再在快捷菜单中单击上右击要结束的进程,再在快捷菜单中单击“结结束进程束进程”或或“结束进程树结束进程树”项。项。 注意:如果被结束的是应用程序的进程,则注意:如果被结束的是应用程序的进程,则将丢失未保存的数据;如果被结束的是系统服务,将丢失未保存的数据;如果被结束的是系统服务,则系统的某些部分可能无法正常工作;而则系统的某些部分可能无法正常工作;而“结束结束进程树进程树”操作则会结束与选定
35、进程相关的所有进操作则会结束与选定进程相关的所有进程。程。 3用于监视计算机性能用于监视计算机性能 (1) 选择查看的计数器选择查看的计数器 在在“进程进程”选项卡上单击选项卡上单击“查看查看”项,在下项,在下拉菜单中单击拉菜单中单击“选择列选择列”,在弹出的,在弹出的“选择列选择列”窗口中选定所要监视的各个性能计数器名称,然窗口中选定所要监视的各个性能计数器名称,然后单击后单击“确定确定”。 (2) 刷新和改变更新频率刷新和改变更新频率 在任务管理器的任一选项卡上,单击在任务管理器的任一选项卡上,单击“查看查看”项,在下拉菜单中,除了针对不同选项卡而特有项,在下拉菜单中,除了针对不同选项卡而
36、特有的选项外,还有的选项外,还有“立即刷新立即刷新”和和“更新速度更新速度”两两个选项。单击个选项。单击“立即刷新立即刷新”,则使选项卡上的图,则使选项卡上的图表反映最新的状况;单击表反映最新的状况;单击“更新速度更新速度”,则可在,则可在出现的下拉列表中选定高、标准或低的更新频率。出现的下拉列表中选定高、标准或低的更新频率。这个列表中还有个这个列表中还有个“暂停暂停”选项,可用于暂时固选项,可用于暂时固定选项卡上的图表。定选项卡上的图表。 (3) 更改显示选项更改显示选项 在一个选项卡上单击在一个选项卡上单击“查看查看”项,则出现该项,则出现该选项卡对应的选项卡对应的“查看查看”下拉菜单。对
37、于下拉菜单。对于“应用程应用程序序”选项卡,可以选择按详细信息、大图标或小选项卡,可以选择按详细信息、大图标或小图标查看。对于图标查看。对于“进程进程”选项卡,可以选择要显选项卡,可以选择要显示的列。对于示的列。对于“性能性能”选项卡,可以选择选项卡,可以选择CPU记记录图,并显示内核时间。如果选择了录图,并显示内核时间。如果选择了“显示内核显示内核时间时间”,那么在,那么在“CPU使用使用”和和“CPU使用记录使用记录”图表上将以红线表示出内核操作占用图表上将以红线表示出内核操作占用CPU资源的资源的状况。状况。5.3 事件查看器事件查看器 利用事件查看器,可以搜集计算机系统中硬利用事件查看
38、器,可以搜集计算机系统中硬件、软件和系统问题方面的信息,监视件、软件和系统问题方面的信息,监视Windows XP安全性事件,将系统和应用程序运行中的事件安全性事件,将系统和应用程序运行中的事件记录到日志中,便于诊断和纠正可能发生的系统记录到日志中,便于诊断和纠正可能发生的系统错误和问题。错误和问题。 5.3.1 日志类型和事件类型日志类型和事件类型 这里所谓的事件,是指系统或应用程序中需这里所谓的事件,是指系统或应用程序中需要通知用户的所有重要事情,以及要被添加到日要通知用户的所有重要事情,以及要被添加到日志中的其他项目。志中的其他项目。 1日志类型日志类型 Windows XP中用来记录事
39、件的日志类型通常中用来记录事件的日志类型通常有:有: (1) 应用程序日志应用程序日志 包含由应用程序或系统程序记包含由应用程序或系统程序记录的事件。例如,数据库应用程序可在应用程序录的事件。例如,数据库应用程序可在应用程序日志中记录文件错误。在应用程序日志记录什么日志中记录文件错误。在应用程序日志记录什么事件,由开发人员来决定。事件,由开发人员来决定。 (2) 系统日志系统日志 包含由包含由Windows XP系统组件记录的系统组件记录的事件。例如,把启动过程中加载驱动程序或其他事件。例如,把启动过程中加载驱动程序或其他系统组件时发生的故障记录在系统日志中。由系系统组件时发生的故障记录在系统
40、日志中。由系统组件记录的事件类型是预先确定的。统组件记录的事件类型是预先确定的。 (3) 安全性日志安全性日志 记录诸如有效和无效的登录尝试记录诸如有效和无效的登录尝试等安全事件,以及诸如创建、打开或删除文件等等安全事件,以及诸如创建、打开或删除文件等与资源使用有关的事件。管理员可以指定在安全与资源使用有关的事件。管理员可以指定在安全日志中记录的事件,例如,如果启用了登录审核,日志中记录的事件,例如,如果启用了登录审核,那么对系统的登录尝试就记录在安全日志中。那么对系统的登录尝试就记录在安全日志中。 还可建立新的日志。所有用户都能查看应用还可建立新的日志。所有用户都能查看应用程序日志和系统日志
41、,但只有管理员才能访问安程序日志和系统日志,但只有管理员才能访问安全日志。在缺省情况下,安全日志是关闭的。可全日志。在缺省情况下,安全日志是关闭的。可以使用以使用“组策略组策略”来启用安全日志,管理员也可来启用安全日志,管理员也可在注册表中设置审核策略,以使系统在安全日志在注册表中设置审核策略,以使系统在安全日志写满时停止响应。写满时停止响应。 2事件类型事件类型 日志中记录和显示的事件可分为以下五种类型:日志中记录和显示的事件可分为以下五种类型: (1) 错误错误 引起数据丢失或功能丧失等严重问题的引起数据丢失或功能丧失等严重问题的事件。例如,若在启动期间服务加载失败,则作事件。例如,若在启
42、动期间服务加载失败,则作为错误记录下来。为错误记录下来。 (2) 警告警告 不很严重但将来可能出现问题的事件。不很严重但将来可能出现问题的事件。例如,若磁盘空间较小,则会作为一个警告记录例如,若磁盘空间较小,则会作为一个警告记录下来。下来。 (3) 信息信息 描述应用程序、驱动程序或服务的成功描述应用程序、驱动程序或服务的成功操作的事件。例如,当成功地加载网络驱动程序操作的事件。例如,当成功地加载网络驱动程序时会记录一个信息事件。时会记录一个信息事件。 (4) 成功审核成功审核 审核安全访问尝试成功。例如,将审核安全访问尝试成功。例如,将用户成功登录到系统上的尝试作为用户成功登录到系统上的尝试
43、作为“成功审核成功审核”事件记录下来。事件记录下来。 (5) 失败审核失败审核 审核安全访问尝试失败。例如,如审核安全访问尝试失败。例如,如果用户试图访问网络驱动器失败,该尝试就会作果用户试图访问网络驱动器失败,该尝试就会作为为“失败审核失败审核”事件记录下来。事件记录下来。 查看事件日志有助于预测和识别系统问题的查看事件日志有助于预测和识别系统问题的根源。例如,若日志警告显示磁盘驱动程序对某根源。例如,若日志警告显示磁盘驱动程序对某个扇区在几次重试后才能读写,则该扇区可能不个扇区在几次重试后才能读写,则该扇区可能不久将出现故障。日志也可用于确定软件问题。如久将出现故障。日志也可用于确定软件问
44、题。如果应用程序崩溃,那么可以利用应用程序日志分果应用程序崩溃,那么可以利用应用程序日志分析引起该事件的原因。析引起该事件的原因。 5.3.2 事件查看器的使用事件查看器的使用 1查看事件信息查看事件信息 (1) 启动事件查看器启动事件查看器 单击单击“控制面板控制面板”中的中的“管理工具管理工具”,再单击,再单击“事件查看器事件查看器”,则出现,则出现“事件查看器事件查看器”的窗口(见的窗口(见图图5-10)。该窗口的左面是控制台树,右面是详细信)。该窗口的左面是控制台树,右面是详细信息窗格。息窗格。图图5-10 事件查看器窗口事件查看器窗口 (2) 查看事件详细信息查看事件详细信息 单击控
45、制台树中某个日志,则该日志被打开,单击控制台树中某个日志,则该日志被打开,其中记录的事件信息就在详细信息窗格里列出,其中记录的事件信息就在详细信息窗格里列出,每行一个事件记录。通过单击菜单项每行一个事件记录。通过单击菜单项“查看查看”,再单击下拉菜单中的再单击下拉菜单中的“添加添加/删除列删除列”,就可以决,就可以决定在详细信息窗格里显示事件的哪些内容。可供定在详细信息窗格里显示事件的哪些内容。可供选择的有:类型、日期、时间、来源、分类、事选择的有:类型、日期、时间、来源、分类、事件、用户和计算机。其中,类型是必需的。件、用户和计算机。其中,类型是必需的。 要改变详细信息窗格中事件记录的排列顺
46、序,要改变详细信息窗格中事件记录的排列顺序,只需单击要排序的列标题。只需单击要排序的列标题。“查看查看”菜单上有菜单上有“后进先出后进先出”和和“先进先出先进先出”按钮。默认是按钮。默认是“后后进先出进先出”,即,后发生的事件排列在前。双击某,即,后发生的事件排列在前。双击某个事件(或者选中要查看的事件,再单击个事件(或者选中要查看的事件,再单击“操作操作”菜单中的菜单中的“属性属性”),就弹出该事件的属性窗口。),就弹出该事件的属性窗口。其中,除了上面提到的全部信息,还给出了事件其中,除了上面提到的全部信息,还给出了事件描述和数据,右上角的描述和数据,右上角的3个按钮依次表示个按钮依次表示“
47、上一上一个个”、“下一个下一个”和和“复制复制”(见图(见图5-11)。)。图图5-11 事件的属性窗事件的属性窗 (3) 刷新详细信息窗格刷新详细信息窗格 打开日志时,详细信息窗格里显示的是日志打开日志时,详细信息窗格里显示的是日志的当前信息,窗格里的信息只有在刷新日志后才的当前信息,窗格里的信息只有在刷新日志后才被更新。在被更新。在“操作操作”子菜单中有子菜单中有“刷新刷新”选项,选项,也可以单击相应的图标。如果从一个日志切换到也可以单击相应的图标。如果从一个日志切换到另一个日志然后返回到前一个日志,那么该日志另一个日志然后返回到前一个日志,那么该日志将自动更新。必须以管理员或管理组成员的
48、身份将自动更新。必须以管理员或管理组成员的身份登录才能刷新安全日志。存档的日志是不允许更登录才能刷新安全日志。存档的日志是不允许更新的。新的。 (4) 查找或筛选事件查找或筛选事件 如果要在某一日志中查找特定条件事件,可如果要在某一日志中查找特定条件事件,可以在控制台树中选定要搜索的日志,再单击以在控制台树中选定要搜索的日志,再单击“查查看看”菜单中的菜单中的“查找查找”,在弹出的窗口中指定要,在弹出的窗口中指定要查找事件的事件类型和搜索方向,同时可以对事查找事件的事件类型和搜索方向,同时可以对事件来源、类别、事件件来源、类别、事件ID、用户、计算机和描述等、用户、计算机和描述等定义条件,最后
49、单击定义条件,最后单击“查找下一个查找下一个”按钮,就可按钮,就可以在详细信息窗格里逐个查看满足条件的事件。以在详细信息窗格里逐个查看满足条件的事件。 若要按某些条件筛选事件,则可以在控制台若要按某些条件筛选事件,则可以在控制台树中选定要筛选的日志,再单击树中选定要筛选的日志,再单击“查看查看”菜单中菜单中的的“筛选筛选”,在,在“筛选器筛选器”选项卡上指定所需的选项卡上指定所需的特性值,单击特性值,单击“确定确定”按钮就可以在详细信息窗按钮就可以在详细信息窗格里看到全部满足条件的事件。要关闭筛选,可格里看到全部满足条件的事件。要关闭筛选,可单击单击“查看查看”菜单上的菜单上的“所有记录所有记
50、录”。 为查找或筛选设置的条件值,在当前会话中为查找或筛选设置的条件值,在当前会话中一直被保留着,除非作了改动。若要恢复默认的一直被保留着,除非作了改动。若要恢复默认的搜索条件,则可单击搜索条件,则可单击“还原默认值还原默认值”按钮。每次按钮。每次启动事件查看器时将恢复默认设置。启动事件查看器时将恢复默认设置。 (5) 查看另一台计算机上的事件查看另一台计算机上的事件 右击控制台树中的右击控制台树中的“事件查看器(本地)事件查看器(本地)”,在弹出菜单中单击在弹出菜单中单击“连接到另一台计算机连接到另一台计算机”,在,在弹出的弹出的“选择计算机选择计算机”对话框中选定对话框中选定“另一台计另一
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。