■ 河南 张永夏

在使用Windows过程中，难免会遇到各种各样的问题。要想排除故障，让系统顺畅运行，就必须找到问题的根源，对症下药才可以恢复系统活力。当遇到难题时，只需到事件查看器中一探究竟，就可以快速发现问题所在。在任何版本的Windows中，都深藏着事件查看器这个出色的“侦探”，从开机、运行，到关机的所有环节中，系统的一举一动都被完整地记录下来。在事件查看器的帮助下，用户可以轻松地诊断和纠正排除系统发生的各种错误和问题。

事件查看器使用方法

事件查看器是系统自带的一个监控工具，任何和系统以及软件相关的事件都会被其完整记录下来。当系统出现故障时，只需依靠系统监控记录信息，就可以准确定位故障的源头。在Windows XP中，虽然也内置了事件监控器，但其功能过于简单。在Windows 7/8等系统中，其功能已经今非昔比，成为我们得心应手的维护工具。右键点击桌面的计算机图标，选择“管理”，在计算机管理窗口左侧点击“系统工具→事件查看器”项，就可以查看具体的监控信息。也可以点击“Win+R”键，执行“eventvwr.msc”程序，直接打开事件查看器界面（如图1）。或者在开始菜单中的搜索栏中输入“event”，直接回车就可以了。

如果无法启动事件查看器，可以打开服务管理界面，在其中检测“Windows Event Log”服务是否已启动。如果未启动，手工将其启动并将其启动类型设置为“自动”。如果无法启动该服务，可以分别 删 除“C:WindowsSystem32Logfiles” 和“C:WindowsLogs”两个文件夹，之后重启动系统再启动该服务。如果事件查看器因为病毒破坏等原因无法启动，可以使用MyEventView这款小巧的软件，来高效管理各类日志信息，下载地址：http://www.onlinedown.net/soft/65845.htm。

在事件查看器窗口左侧可以选择事件的类型。例如Windows日志，应用程序和服务日志等。事件的处理也分为多个等级，包括信息（标记为蓝色），警告（标记为黄色），错误（标记为红色），成功审核和失败（标记为橙色）等。当然，也可以按照时间、来源以及事件ID等属性进行分类。例如一些不是很重要但将来可能出现的事件（例如磁盘空间较小等），会被标记为警告类型。如果是重要的问题（例如启动时加载服务失败等），就会被标记为错误类型。

选择对应的日志类型，可以显示与之关联的事件项目。例如选择“Windows日志→系统”项，可以看到很多标记为错误的事件。例如在“事件ID”列中双击ID为7023的事件，通过查看其详细信息，了解到其内容为“下列引导或系统驱动程序无法加载：XX”。这就说明该错误事件是由于特定的驱动程序没有被正常加载造成的。

1.3.2 注射碘酊治疗法:行常规口腔粘膜局部消毒后,取8号针头从囊肿边缘外正常粘膜部位刺入,直达囊腔内,尽可能的抽尽或挤出囊液,待囊肿缩小或凹陷后,手指压迫囊肿周围防止血液回流,然后向囊腔注入2%碘酊0.2-0.5ml,至囊腔内充满碘酊液,囊壁由透明色变为半紫色后停止,注射后停留2分钟,用干棉球加压注射处,抽出针头,手指按压棉球1分钟,去除棉球,检查无药液渗出即可,1周后复诊,视情况可按以上方法重复注射1次,一般不超过3次。嘱患者保持口腔清洁,必要时口服抗炎药物,预防感染,饮食以清淡饮食为主。

在很多情况下，XX指的都是与杀软等安全软件相关的服务，该杀软服务可以抢在系统启动前清除顽固病毒，之所以出现问题，有可能是病毒对其进行了破坏，或者卸载该杀软不彻底所致。

由系统优化引发的故障

有些用户喜欢使用各种优化软件，对系统进行优化处理，这当然可以提高系统的运行效率。不过有时由此引发各种奇怪的故障。例如当运行“lusrmgr.msc”程序，试图打开本地用户和组界面，来管理账户信息时，系统却弹出没有启动服务器的提示，导致操作失败。在事件查看器左侧选择“Windows日志→系统”项，在其中搜索标记为错误的的记录。为了简单起见，可以按照日志的日期和时间排序，来准确定位发生该错误的日期。双击找到的错误事件项目，在其属性窗口中显示“与Computer Broswer服务相依的Server服务因为下述错误而无法启动”。找到了问题的根源，在服务管理器中启动“Server”服务，并将其启动类型设置为自动，就解决了上述问题。

Office为何无法顺利运行

对于使用绿色版的Office用户来说，有时会出现虽然可以正常使用，但在建立新文档时，程序弹出一个警告窗口，必须确认后才可以继续操作，利用系统日志可以快速找出问题所在。

可以先打开事件查看器窗口，点击左侧的“应用程序”项，在右侧显示所有和应用程序相关的日志信息。当出现上述警告窗口后，点击确定按钮，然后在上述事件查看器界面中寻找标记为警告的事件，按照触发的时间可以很容易找到对应的记录，双击后在其属性窗口中可以看到，问题是由于在Office运行文件夹中缺少某个文件所致，上网下载该文件并将其存放到Office运行目录中，就可以让警告窗口消失了。

不让虚拟设备引发故障

现在的光驱已经很少见了，为了使用光盘镜像文件，有时会安装各种虚拟光驱软件。有时当使用了这类软件后，在事件查看器中选择“Windows日志→系统”项，会发现大量的错误记录，对其进行分析，发现其内容基本一致，来源都是“SPTD”，事件 ID 为“4”，描述为“驱动程序在其数据结构中检测到了一个内部错误”。

SPTD其实是一个操作系统底层的硬件驱动程序，外部应用程序可以通过它直接操作底层的硬件设备，比如光驱、硬盘等。因此，在一些虚拟光驱类软件中都会使用到该文件。问题根源在于该虚拟软件自身存在问题，只要安装更高版本的软件或者更换为别的虚拟光驱软件就行了。

对于系统类的错误事件来说，在其属性窗口中已经提供了对应的链接项目，点击后可以进入微软的事件和错误消息网页，按照提示输入错误描述信息或者事件ID，就可以快速查询问题的根源了。

消除系统启动时的错误信息

如果在系统启动时，总是提示“Windows Installer正在安装”之类的信息，而且没有具体的安装动作，可以在事件查看器中打开“Windows日志→应用程序”项，在右侧可以看到所有和应用软件相关的日志，其中就包括和Windows Installer相关的内容。按照启动时的时间，找到对应的日志项目，查看其详细信息，不难找到具体的错误原因。

例如。某个安装程序出现异常等，根据提示信息，将目标文件夹中的具体安装程序删除，然后再重新安装该软件即可。

远程桌面罢工的原因

远程桌面是我们常用的工具，不过有时会出现突然罢工的情况。在事件查看器窗口查看系统类日志信息，可以找到与之对应的事件，查看其详细信息，会发现远程桌面的相关文件（例如“RDPDD.dll”等）和某些驱动（例如显卡驱动）冲突所致。为此，可以将对应驱动升级到最新版本来化解问题。如果不能解决的话，可以进入对应驱动的设置界面，对其中的某些项目进行微调，例如关闭显卡硬件加速功能等。或者在注册表中打开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management分支，在右侧窗口中新建一个DWORD类型名称为“SessionImageSize”项目，将其值设置为20即可。

排除阻碍，让系统快速启动

我们都有这种感觉，系统刚安装的时候，启动的速度很快，但是当运行一段时间后，速度就会越来越慢，毫无疑问，肯定有相关的程序拖了系统的后退，利用事件查看器，可以很容易找到问题的根源。在事件查看器主界面左侧点击“应用程序和服务日志→Microsoft→Windows→Diagnostics-Performance→Oprational”项，可以查看影响系统性能的事件信息（如图 2）。

在右侧点击“筛选当前日志”项，在弹出窗口中的“包括/排除事件ID”栏中输入“100”，这是因为系统对启动性能任务类别的ID为100，点击确定按钮，在日志中搜索ID为100的事件信息。因为系统可能搜索到很多条记录信息。为了简单起见，可以按照具体的日志查看。例如双击日期为2014年4月19日的启动记录，在其属性窗口（如图3）中可以查看其具体信息，在“启动持续时间”栏中显示该次启动花费的时间，即从出现Windows徽标界面到显示桌面为止的这段时常。注意，其单位为毫秒。如果该时间较长的话，就可以进行进一步分析了。

打开筛选当前日志窗口（如图4），在“包括/排除事件ID”栏中输入“101-110”，之后执行筛选操作，将所有符合该事件ID段的日志全部过滤出来。因为该事件ID段的日志记录的都是和启动相关的监控内容。对这些记录逐一分析，不难发现启动缓慢的原因。

例如双击ID为103的事件项目，在其属性窗口中的“总计时间”栏中显示系统自带的Windows Defender服务启动的具体时长，在“降级时间”栏显示其浪费的时间，即比正常启动多花费的时间。例如，程序的升级操作，就会导致其启动时间超长的现象等。该服务主要用来扫描病毒等恶意程序，因为运行异常导致拖延了系统启动时间。如果您的系统中已经安装别的杀软，可以运行“services.msc”程序，在服务管理器中关闭该服务，这样就可以加快系统启动速度了。

当然，按照同样的方法，通过对相关日志的分析，可以发现运行或者启动时间超过常规值的程序。

对于这些程序，如果没有什么使用价值的话，可以运行“msconfig.exe”程序，在系统配置实用程序窗口中的“启动”面板中禁用不需要的程序。如果其是系统服务的话，可以在“服务”面板中取消这些服务的选择状态，将其设置为禁用状态。经过一番整顿后，重启系统，就会发现启动速度明显提高了。

顺便说一下，ID为101的事件表示某个程序的启动事件超过了正常值，造成系统启动缓慢的现象。ID为102的事件指某个驱动程序启动时间超过了正常值，引起系统启动缓慢。如果该驱动程序存在问题或者未通过认证，就可能触发该事件。ID为106的事件指背景优化操作占用的时间超过预设值，引发系统启动变慢，对此可以清空预读取文件来解决问题。

审核机制追踪病毒的踪迹

因为病毒入侵后，喜欢在系统文件夹安身。所以通过对系统文件夹进行监控，就可以发现病毒的行踪。执行“gpedit.msc”命令，在组策略窗口左侧依次展开“计算机配置→Windows设置→安全设置→本地策略→审核策略”分支，在右侧窗口中双击“审核对象访问”项，在弹出窗口中勾选“成功”和“失败”项，点击确定按钮保存配置。在系统文件夹（例如“C:WindowsSystem32”）的属性窗口中打开“安全”面板，点击右下角的“高级”按钮，在弹出窗口中的“审核”面板中点击“添加”按钮，在账户搜索窗口中选中“Everyone”用户，在审核项目窗口中的“访问列表”中的“遍历文件夹/运行文件”栏中勾选“成功”和“失败”项。

您也可以选择其他的审计项目，包括写入数据、删除、读取权限等。这样，对目标文件夹的操作就会被系统列入审核的范围内。之后，可以随时打开Windows事件查看器，在窗口左侧选择“Windows日志→安全”项，点击菜单“查看→筛选”项，在弹出窗口中勾选“成功审核”和“失败审核”项，这样就大大缩小了搜索范围。如果发现有用户对目标文件夹进行了访问，就说明有可疑程序对系统文件进行了改动。之后使用杀毒软件对系统进行彻底扫描，来清除深度潜伏的恶意程序。

寻找软件运行异常的根源

除了处理系统事件外，还可以在事件监控器中分析各种软件的故障信息，例如，当遇到软件运行异常的情况，可以在事件监控器界面中找到与之相关的信息，来分析具体的出错原因。例如，有时当使用Office 2007时，程序会自动打开安装向导窗口，要求用户按照要求重装一次。频繁的这类提示让人不胜其烦。在事件查看器后选择“Windows日志→应用程序”项，在右侧搜索到与某个Office启动时间相同的警告项目，在其属性窗口中显示Office的某个备份文件丢失，才启动了Office启动修复安装程序。有了这一线索，对系统进行检测后，发现问题在于运行了某优化软件对系统进行优化处理，导致将该备份文件删除所致。解决的方法是恢复该备份文件，并禁止优化软件删除该文件。

解决系统自动重启故障

有时，在使用系统时会出现系统重启的现象，但又找不到原因。利用系统关机跟踪程序，就很容易搞清事情的真相。在Windows 7/8中默认关闭了关机事件跟踪程序，要想使用的话，可以运行“gpedit.msc”程序，在组策略编辑器左侧选择“计算机配置→管理模板→系统”项，在右侧窗口中双击“显示关闭事件跟踪程序”项，在弹出窗口（如图5）中选择“已启用”项，在选项列表中选择“始终显示”项，点击“确定”按钮保存配置。

以后在执行关机操作时，系统就出现“选择一个最能说明你要关闭这台电脑的原因”窗口，在其中列表中选择具体的关机原因，点击“继续”按钮，才可以执行关机动作，关机事件跟踪程序随即会在事件监控信息中自动记录关机的原因。如果不选择具体的关机原因的话，是无法关机的。点击“Win+R”键，执行“eventvwr.msc”程序，在事件查看器窗口左侧选择“Windows日志→系统”项，在右侧显示所有和系统关联的日志信息，可以在其中寻找需要分析的关机事件，在其中的“日期和时间”列中进行查找，之后双击与对应关机时间点对应的记录项，在其属性窗口中可以查看具体的监控信息（如图6）。

例如，可以看到“进程XXX由于以下原因已代表用户XXX启动计算机的关机：其他（计划内）”之类的信息，在“原因代码”栏中显示具体的关机代码，例如0x85000000等。据此不难看出，XXX进程因为系统产生的0x85000000代码的原因，以某个账户的身份关闭了系统。如果该关机操作是用户发起的，那就不存在什么问题。否则的话，就需要对系统进行一番检测了。

例如，很多情况下，都是因为“Explorer.exe“进程执行了某个代码执行了关机操作，可以根据具体的代码来分析原因，上网搜索该代码的具体含义。对于相关的进程或者文件，通过系统的搜索功能，搜索相关的文件。因为某些文件可能处于隐藏状态，所以需要在文件夹选项窗口中激活显示隐藏文件功能。

对于系统文件来说，一般位于系统路径中，如果发现的文件处于别的路径，就需要引起警惕了。因为其很可能是病毒木马，在对系统进行破坏时触发了关机动作。当然，因为病毒木马往往采用进程注入技术，将自身隐藏到Explorer.exe等合法的进程中。所以需要使用 IceSword、Wsyscheck、Process Explorer、PowerTool等安全工具，对Explorer.exe等进程的模块信息进行查看和分析，来搜索其中是否存在可疑的DLL文件（例如没有数字签名等），将其清除后，如果系统不再自动重启或者关机，就说明这就是病毒木马的非法活动导致系统故障。

在本例中，通过查看相关的日志，发现了和系统关机有关的日志，提示名为“unapp_.exe”的进程代表XXX账户重新启动了系统，经过查询，发现该进程属于某软件在执行卸载时使用的程序，因为该软件的卸载并不彻底，造成问题的出现。这是因为有些软件在卸载时，可能会提示用户重启，如果卸载异常的话，就很容易造成文件异常，导致系统被强制重启。为此，重新安装了该软件，并执行了彻底的卸载操作，就解决了系统自动重启的问题。

之后对系统监控日志进行分析时，发现上述日志信息已消失。