任何一台安装了系统的工作站或，在缺省状态下会对在系统中进行的各种操作事件进行自动记录，同时会将记录下来的内容自动到系统中的相关日志文件中；一旦普通工作站或系统遇到网络故障时，网络管理员可以尝试从系统的日志文件中寻找与网络故障相关的蛛丝马迹，从而为快速解决网络故障提供应对依据。然而很多时候，不少网络管理员常常会忽略日志文件的存在，以致于在网络故障排除过程中多走了许多弯路；事实上，善用系统中的各种日志文件，我们可以让网络故障解决效率变得快点、快点、再快一点！

    撩开日志文件面纱

    日志文件，其实是普通工作站或服务器系统中的一个非常特殊的系统文件，它在默认状态下将会把在本地工作站或服务器中发生的一切操作行为记录下来，包括各种网络访问操作在内，比方说拨号上网连接请求操作，系统服务的关闭、启用操作，DHCP服务器为工作站或服务器分配IP地址的操作等；当然，对于一些特殊的应用程序来说，它们都有各自的日志文件，这些文件也会自动记录对应应用程序的相关操作行为，例如QQ、MSN Messenger等，它们的日志文件一般都是log格式或txt格式的纯文本文件。

    系统的日志文件主要包含三种类型，第一种是系统日志文件，第二种是日志文件，第三种是应用程序日志文件，这三个日志文件在默认状态下都会被自动保存在Windows系统安装目录下的“system32\config”文件夹中，并且它们默认的大小都为512KB，当然它们的位置我们也可以通过合适的设置，将它们调整到系统分区以外的磁盘分区中，以便有效宝贵的系统分区空间资源。对应这三个日志文件的名称一般为sysevent.evt、secevent.evt、appevent.evt，我们可以直接在系统的运行对话框中执行字符串命令“%systemroot%\system32\config”，就能在其后弹出的文件夹窗口中看到这三个日志文件的“身影”了。

    有一点需要提醒各位注意的是，对于服务器系统来说，除了上面三种类型的日志文件来说，还会存在WWW、FTP、Scheduler服务等类型的日志文件，这些日志文件一般全部都处于Event Log服务的保护之下，而不允许被用户随意删除，不过其中的内容能够被用户清空。

[1]