如果你的计算机是和好几个人共用的,那么你一定希望能够了解该计算机都在什么时间被打开以及在什么时间被关闭,同时还想知道是谁使用过。不借助第三方的软件,怎么才能了解这些情况?我们可以借助操作系统自带的事件查看器。
操作系统可以将发生的某些事情记录到系统日志中,而通过使用事件查看器我们就可以查看系统日志中的所有记录。本来这个功能是为了方便维护以及保证安全而设置的,我们就是利用了其中监视用户登录的功能。
要使用该功能,你的操作系统必须是Windows 2000/XP professional /2003,而且需要打开Event Log服务。同时,你还必须以管理员的帐户登录才能对其进行设置和查看。下文我们会以Windows XP Professional SP2为例向你介绍如何使用事件查看器。
我们的目的有两个,监视系统的开关机情况以及用户的登录情况。首先我们可以考虑一下,关于开关机,有什么比较的方法能够监视?要知道,我们既然要记录系统日志,那么相应的Event Log服务就必须在操作系统运行的时候正常运行,也就是说,Event Log这个服务启动的时候就是系统启动的时候,而该服务关闭的时候就是系统关闭的时候。我们只要能通过事件查看器得知Event Log服务启动和关闭的时间,那么操作系统什么时候启动和关闭的就会知道了。
至于具体是哪个用户登录,我们要启用审核策略,利用该策略我们可以对成功或失败的登录审核,而每个使用自己帐户登录系统的用户,这一登录过程不管是成功还是失败,都会根据审核策略的设置被记录到系统日志中。
因为网上很多操作系统优化的文章中都介绍了禁用某些不需要的服务来加快系统的运行速度,因此在进行设置前,首先保证你的Event Log服务没有被禁用。在运行中输入“Services.msc”并回车,打开服务设置窗口,在右侧的面板中找到并双击“Event Log”这个服务,查看运行方式下拉列表是否被选择了“自动”,如果没有选择,请你将其设置为自动,而如果该服务当前还没有运行起来,请点击下面的“启动”按钮。
因为系统对服务的监控默认就在进行,因此我们现在只需要设置审核策略(注意,该内容不适合Windows XP Home Edition)。在运行中输入“gpedit.msc”打开组策略编辑器,在左侧的树形列表中展开到“计算机配置-Windows设置-安全设置-本地策略-审核策略”,然后在右侧面板中找到并双击“审核登录事件”这一策略,然后选中“成功”和“失败”(图一)。
图一
到这里所有的设置工作就已经全部完成了,你可以像平时那样使用计算机。经过一段时间的使用后就可以通过事件查看器查看记录的日志了。
在运行中输入“eventvwr”后回车,可以打开事件查看器(图二)。在事件查看器窗口左侧的面板中显示了三个日志的名称,而点击其中的一个后就会在右侧的面板显示出所有该类别下的事件。
图二
要想只要计算机什么时候启动以及关闭,请点击“系统”类别,随后所有记录下来的事件就都会显示在右侧的面板中。因为其中显示的时间太多,因此可能要查找某些特定的事件就有些困难,这里我们可以利用筛选器过滤出感兴趣的事件。在查看菜单下点击筛选,打开属性对话框的筛选器选项卡(图三),我们只要在“事件来源”下拉菜单中选中“eventlog”即可。随后在右侧显示的筛选后的结果中随便双击一个,就可以看到类似图四的对话框,如同图四的事件就表示,这台计算机的某次开机时间是11月15日9:45。
图三
如果要知道哪些用户在什么时间登录到计算机,就需要查看之前设置的审核策略的审核结果了。在事件查看器左侧树形列表中点击“安全性”,继续在查看菜单下点击筛选命令,在“事件来源”下拉菜单中选择“Security”,在“类别”下拉菜单中选择“登录注销”,点击确定。双击其中的一条事件,你将能看到突五所示的界面,例如图五就表示了11月15日9:50有名为“liuhui”的帐户成功登录。