什么是日志？

日志是指系统或应用程序在运行过程中产生的记录文件，这些文件记录了系统或应用程序的运行情况、错误信息、用户操作等。

日志的主要作用

记录信息：日志可以记录系统或应用程序的启动、运行、停止等状态信息，以及用户的登录、操作等行为信息。

诊断问题：当系统或应用程序出现故障时，可以通过查看日志来定位问题所在，例如查看异常堆栈信息、错误代码等。

监控性能：日志还可以记录系统或应用程序的性能指标，如响应时间、吞吐量等，用于监控系统的运行状况。

安全审计：对于安全敏感的系统或应用程序，日志可以用于记录用户的访问行为、操作记录等，用于安全审计和追踪。

日志的基本部分

时间戳：记录日志产生的时间。

日志级别：如DEBUG、INFO、WARN、ERROR等，用于标识日志的重要程度。

日志内容：具体的日志信息，可以是文本、数字或其他数据类型。

来源信息：记录日志产生的位置或来源，如哪个系统、哪个应用程序、哪个用户等。

Windows系统下的日志

查看系统日志的步骤：

方法一：

通过控制面板：点击开始菜单，选择“控制面板”。

在控制面板中，点击“管理工具”。

点击“事件查看器”，即可看到系统日志内容信息。

方法二：

通过运行命令：按下“win+R”键打开运行窗口。

输入“eventvwr”命令并回车，即可打开事件查看器查看系统日志。

导航到系统日志：

在事件查看器的左侧窗格中，展开“Windows日志”文件夹。

单击“系统”，即可在右侧窗格中显示系统日志的详细信息。

筛选和排序日志： 

 

系统日志中可能包含大量的信息，为了方便查找和分析，可以使用筛选和排序功能：

筛选：在右侧窗格的上方，有一个搜索框。在该搜索框中输入关键字，以筛选出包含特定关键字的日志。

也可以右键单击“系统”并选择“筛选当前日志”，然后按照需要选择筛选条件。

排序：单击任意列的标题栏，即可按该列进行排序。例如，单击“日期和时间”列的标题栏可以按时间排序。

导出和保存日志：

 

如果需要导出和保存日志以备后续分析或备份，可以执行以下步骤：

在事件查看器中，选择要导出的日志（例如，系统日志）。

在右侧窗格的“操作”菜单中，选择“保存所有事件为...”选项。

在保存对话框中，选择保存的位置和文件名，并选择保存文件的格式（如CSV、TXT等）。

单击“保存”按钮，即可将日志保存到指定的位置。

清除日志：

为了保持系统日志的整洁，定期清除旧的日志是很有必要的。但请注意，在清除日志之前，确保已经备份了任何重要的日志信息。

在事件查看器中，选择要清除的日志（例如，系统日志）。

右键单击该日志，然后选择“清除日志”选项。

关闭日志： 

关闭Windows系统上的日志文件通常涉及到禁用或停止记录日志的服务。

关闭Windows系统上的日志文件需要谨慎操作，因为它可能会影响到系统稳定性和安全性。在大多数情况下，建议保留系统日志以便进行故障排除和监控。如果你确实需要关闭某些日志记录功能，请仔细评估你的需求并选择合适的方法进行操作。

方法一：通过服务管理器停止Windows事件日志服务

打开服务管理器：在系统桌面的“计算机”图标上单击鼠标右键，选择“管理”。

在“计算机管理”窗口中，点击左侧的“服务和应用程序”，然后点击“服务”。

找到Windows事件日志服务：在服务列表中，找到“Windows Event Log”服务项。

停止服务：在“Windows Event Log”服务项上单击鼠标右键，选择“停止”。

注意：停止Windows事件日志服务可能会影响到系统稳定性和安全性，因为许多系统组件和应用程序都依赖于这个服务来记录重要的事件和错误。因此，在大多数情况下，不建议直接停止这个服务。

方法二：通过系统属性关闭事件日志记录

打开系统属性：右键点击“计算机”或“此电脑”图标，选择“属性”。

在系统面板里，点击左侧的“高级系统设置”。

进入启动和故障恢复设置：在系统属性面板里，点击“启动和故障恢复”栏的“设置”按钮。

关闭事件日志记录：在“启动和故障恢复”对话框中，找到“将事件写入系统日志”选项，取消其勾选状态。

点击“确定”保存设置。

注意：这种方法并不会完全关闭Windows事件日志服务，而是禁止系统在启动和故障恢复时将事件写入系统日志。因此，它不会影响到其他系统组件和应用程序对日志的依赖。

日志文件格式：

Windows系统日志通常保存在.evtx格式的文件中（从Windows Vista和Windows Server 2008开始）。这种格式是Windows 7/2008以及以后的Windows系统日志采用的文件格式，可使用Windows事件查看器打开，并导出为evtx、xml、txt和csv格式的文件。

注意事项：

在查看系统日志时，请确保具有足够的权限。

定期备份重要的系统日志，以防意外丢失。

不要随意清除系统日志，除非你确定不再需要这些信息，并且已经进行了适当的备份。

Linux系统下的日志

使用journalctl（Systemd日志系统）：对于使用Systemd作为初始化系统的现代Linux发行版，可以使用journalctl命令查看日志。

例如，查看所有日志：journalctl。

查看特定时间范围内的日志：journalctl --since today。

查看特定服务的日志：journalctl -u sshd。

实时查看日志：journalctl -f。

使用传统日志工具：对于使用传统syslog服务的系统，日志文件通常存储在/var/log目录下。

可以使用cat、tail -f等命令查看日志文件内容。

使用图形界面工具：一些Linux发行版提供了图形界面的日志查看工具，如GNOME的Logs应用或KDE的KSystemLog。