Win XP的系统日志文件一般都存放在什么地方，如何通过日志文件查看系统的信息。 

答案 安全日志文件：%systemroot%\system32\config \SecEvent.EVT 

系统日志文件：%systemroot%\system32\config \SysEvent.EVT 

应用程序日志文件：%systemroot%\system32\config \AppEvent.EVT 

WIN2000与XP的日志文件放在哪了?
1.Windows 98的日志文件 

因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。 

(1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的网络协议，并添加“个人Web服务器”的情况下)。 

(2)在“管理”选项卡中单击“管理”按钮； 　　 

(3)在“Internet服务管理员”页中单击“WWW管理”； 　　 

(4)在“WWW管理”页中单击“日志”选项卡； 　　 

(5)选中“启用日志”复选框，并根据需要进行更改。 将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。 

普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 

2.Windows NT下的日志系统 

Windows NT是目前受到攻击较多的操作系统，在Windows NT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类： 

系统日志 ：跟踪各种各样的系统事件，记录由 Windows NT 的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 

应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 

安全日志 ：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。 

Windows NT的日志系统通常放在下面的位置，根据操作系统的不同略有变化。 

C:\systemroot\system32\config\sysevent.evt 

C:\systemroot\system32\config\secevent.evt 

C:\systemroot\system32\config\appevent.evt 

Windows NT使用了一种特殊的格式存放它的日志文件，这种格式的文件可以被事件查看器读取，事件查看器可以在“控制面板”中找到，系统管理员可以使用事件查看器选择要查看的日志条目，查看条件包括类别、用户和消息类型。 

3.Windows 2000的日志系统 

与Windows NT一样，Windows 2000中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图7-1所示。 

在Windows 2000中，日志文件的类型比较多，通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows 2000时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”，但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启，就会无限制的记录下去，直到装满时停止运行。 

Windows 2000日志文件默认位置： 

应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\sys tem32\config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。 

安全日志文件：c:\sys temroot\sys tem32\config\SecEvent.EVT 

系统日志文件：c:\sys temroot\sys tem32\config\SysEvent.EVT 

应用程序日志文件：c:\sys temroot\sys tem32\config\AppEvent.EVT 

Internet信息服务FTP日志默认位置：c:\systemroot\sys tem32\logfiles\msftpsvc1\。 

Internet信息服务WWW日志默认位置：c:\systemroot\sys tem32\logfiles\w3svc1\。 

Scheduler服务器日志默认位置：c:\systemroot\schedlgu.txt 。该日志记录了访问者的IP，访问的时间及请求访问的内容。 

因Windows2000延续了NT的日志文件，并在其基础上又增加了FTP和WWW日志，故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显，所以高级黑客们根本不会用这种方法来传文件，取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下，默认是每天一个日志文件， 

FTP和WWW日志可以删除，但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来，如果用户需要尝试删除这些文件，通过一些并不算太复杂的方法，例如首先停止某些服务，然后就可以将该日志文件删除。具体方法本节略。 

Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，有很强的日志管理功能，它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录，而是通过分类的方式将各种事件整理好，让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析，避免了一个个单独去分析的麻烦。 

4.Windows XP日志文件 

说Windows XP的日志文件，就要先说说Internet连接防火墙(ICF)的日志，ICF的日志可以分为两类：一类是ICF审核通过的IP数据包，而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下，文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format)，分为两部分，分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明，需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息，包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式，这与在常用日志分析工具中使用的格式类似。 当我们在WindowsXP的“控制面板”中，打开事件查看器。 

就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件，当你单击其中任一文件时，就可以看见日志文件中的一些记录。 

在高级设备中，我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作。 

若要启用对不成功的连接尝试的记录，请选中“记录丢弃的数据包”复选框，否则禁用。另外，我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。 

5.日志分析 

当日志每天都忠实的为用户记录着系统所发生的一切的时候，用户同样也需要经常规范管理日志，但是庞大的日志记录却又令用户茫然失措，此时，我们就会需要使用工具对日志进行分析、汇总，日志分析可以帮助用户从日志记录中获取有用的信息，以便用户可以针对不同的情况采取必要的措施。 

7.2 系统日志的删除 

因操作系统的不同，所以日志的删除方法也略有变化，本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。 

7.2.1 Windows 98下的日志删除 

在纯DOS下启动计算机，用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后，系统会检查日志文件的存在，如果发现日志文件不存在，系统将自动重建一个，但原有的日志文件将全部被消除。 

7.2.2 Windows 2000的日志删除 

Windows 2000的日志可就比Windows 98复杂得多了，我们知道，日志是由系统来管理、保护的，一般情况下是禁止删除或修改，而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限，因为安全日志和系统日志必须由系统管理员方可查看，然后才可以删除它们。 

我们将针对应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件，就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件，但安全日志就必须要使用系统中的“事件查看器”来控制它，打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单。 

输入远程计算机的IP，然后需要等待，选择远程计算机的安全性日志，点击属性里的“清除日志”按钮即可。

关于WindowsXP日志文件目录的问题。
 悬赏分：0 - 提问时间2006-9-22 23:06 问题为何被关闭
我已经修改了WindowsXP日志文件目录了，没有放在系统默认的目录了，但是，我在我自己修改的三个目录下看到的也只是我分别拷贝过去的三个.evt文件，而没有看到所谓的日志文件喃？？？ 
然后我又去注册表检查，我又确实是修改了WindowsXP日志文件的存放目录的啊，请问我该怎样确定我是修改了的啊？？？ 

怎样确认现在WindowsXP日志文件是存放在了我自己修改好的三个目录下了呢？？？ 

答复    共 1 条
1.删除多余文档 
Windows XP中有许多文件平时我们很少用到，放在硬盘中，白白浪费空间，降低系统性能。我们完全可以把这些用不到的文件删除，需要删除的文件有： 
帮助文件：在C:WindowsHelp目录下。 
驱动备份：C:Windowsdriver cachei386目录下的Driver.cab文件。 
系统文件备份： 一般用户是不怎么用的，利用命令sfc.exe /purgecache删除。 
备用的dll文件：在C:Windowssystem32dllcache目录下。 
输入法：在C:WindowsIme文件夹下直接删除chtime、imjp8_1、imkr6_1三个目录即可，分别是繁体中文、日文、韩文输入法。 
2.删除WindowsXP中隐含的组件 
Windows XP在正常安装之后，会自动安装许多组件，这些组件有许多是平时用不到的，安装在系统中会占用很多空间，降低系统性能，我们可以用下述方法删除不用的组件。 
用记事本修改C:WindowsInf目录下的Sysoc.inf文件，用查找/替换功能，在查找框中输入“,hide”（一个英文逗号紧跟hide），将“替换为”框设为空。并选全部替换，这样，就把所有的“,hide”都去掉了，存盘退出，再单击“开始/控制面板/添加或删除程序”,就可以看到许多平时见不到的组件，选择不需要程序进行删除即可。 
3.清理垃圾文件 
Windows XP在正常的使用过程中会产生扩展名为TMP、BAK、OLD之类的垃圾文件，你可以用Windows的搜索功能，查出这些文件，然后把它们删除。另外Windows XP默认会在系统失败时记录错误事件，并写入调试信息，这些文件信息我们完全可以弃之不用。方法是单击“开始/控制面板/系统/高级/启动和故障恢复”，清空“将事件写入日志文件”，在“写入调试信息”下拉框里选“无”即可。 
4.删除多余字体 
Windows XP中安装的字体越多，就会占用更多的内存的系统资源，减慢系统的运行速度，因此，对于不常用的字体，我们最好把它从系统中删除。字体文件存放在C:Windowsfont目录下，你完全可以根据需要选择一些字体，对于更多不用的字体，一删了之。 
5.清除预读文件 
当Windows XP使用一段时间后，安装目录下的预读文件夹（C:Windowsprefetch）里的文件会变的很大，里面会有死链接文件，这会减慢系统时间，建议