如何查詢伺服器事件代碼
1. server error怎麼解決
摘要 1、打開伺服器日誌日誌。如果伺服器是物理伺服器,請打開「控制面板」→「管理工具」→「事件查看器」→「伺服器日誌」。
2. 系統日誌事件代碼分別代表啥意思
作為一個伺服器維護者,我的工作就是檢查日誌。今天我想和大家分享的不是上面的任何一個日誌,而是系統的管理日誌。在windows 2003系統中,在「開始」菜單「運行」中輸入「eventvwr」就可以打開事件查看器,不過一般我們是打開計算機管理,他包含了這個時間查看器,方便管理,在運行中輸入「compmgmt.msc」或者右擊我的電腦選擇「管理」就可以打開計算機管理。事件查看器 一般可以查看四類日誌,他們分別是「應用程序」,「internet explorer」,「安全性」和「系統」。
如圖
[attachment=1584]
對於「登陸/注銷」來說我們重點關注 「應用程序」和「系統」這2類,「登陸/注銷」這種行為一般發生在系統用戶和資料庫用戶,下面以一個例子來具體說明。
比如,我以administrator身份登陸3389埠的遠程終端,那麼日誌記錄一般為4條,同時發生。
這個審核是默認開啟的,如果想修改可以在運行中輸入gpedit.msc打開組策略,在計算機配置-windows設置-安全設置-本地策略-審核策略,即可看到對系統登陸時間的審核。
[attachment=1585]
此類日誌保存在「安全性」這一類中
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 帳戶登錄
事件 ID: 680
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
嘗試登錄的用戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登錄帳戶: administrator
源工作站: TAGggg-DDD3333
錯誤代碼: 0x0
這個日誌是記錄嘗試登陸的用戶,比如你在登陸窗口測試用戶名和密碼的話,這里都會記載下載,如果你發現有不是系統用戶的記錄,那麼肯定是有人在猜你的用戶名了
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 552
日期: 2010-2-4
事件: 20:52:37
用戶: NT AUTHORITY\SYSTEM
計算機: TAGggg-DDD3333
描述:
使用明確憑據的登錄嘗試:
登錄的用戶:
用戶名: TAGggg-DDD3333$
域: WORKGROUP
登錄 ID: (0x0,0x3E7)
登錄 GUID: -
憑據被使用的用戶:
目標用戶名: administrator
目標域: TAGggg-DDD3333
目標登錄 GUID: -
目標伺服器名稱: localhost
目標伺服器信息: localhost
調用方進程 ID: 3224
源網路地址: 142.97.167.96
源埠: 53637
如果登陸成功,那麼將在這里記載,如果被人拿到了3389的賬號和密碼,那麼這里將記載ip和方式,很明顯這里是使用憑據登陸的。
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 528
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
登錄成功:
用戶名: administrator
域: TAGggg-DDD3333
登錄 ID: (0x0,0x3B5BA)
登錄類型: 10
登錄進程: User32
身份驗證數據包: Negotiate
工作站名: TAGggg-DDD3333
登錄 GUID: -
調用方用戶名: TAGggg-DDD3333$
調用方域: WORKGROUP
調用方登錄 ID: (0x0,0x3E7)
調用方進程 ID: 3224
傳遞服務: -
源網路地址: 142.97.167.96
源埠: 53637
這條日誌最為重要,他有3個地方說明了登陸方式是遠程連接登陸桌面的,第一個地方是登錄方式為10,這種方式是遠程交互(RemoteInteractive),說明是通過終端服務、遠程桌面或遠程協助登陸的;第二個地方就是:登錄進程: User32 ,說明是調用了user32.exe進程來登陸的。 第三個地址我們在關注一下調用方進程ID,打開任務管理器,可以看到3224的進程是winlogen.exe,這3點都說明了這個日誌是遠程連接日誌
[attachment=1586]
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 576
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
指派給新登錄的特殊許可權:
用戶名:
域:
登錄 ID: (0x0,0x3B5BA)
特權: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
這個日誌是說明給予登陸用戶的許可權。
好了,上面就是遠程登陸的日誌了。下面介紹關於mssql的登陸日誌。我將mssql的登陸日誌分為3類:普通用戶登陸,SA登陸和系統用戶登陸。
需要開啟sql server和windows身份驗證,審核全部。點擊mssql實例,右擊屬性,在「安全性」選項卡中選擇即可
[attachment=1587]
我們重點關注SA和系統用戶的登陸。
mssql的系統用戶的登陸日誌也保存在「安全性」這類日誌中,它的日誌和遠程登陸相似,主要區別在第三個日誌,比如
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 528
日期: 2010-2-4
事件: 21:50:34
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
登錄成功:
用戶名: administrator
域: TAGggg-DDD3333
登錄 ID: (0x0,0x48EF44)
登錄類型: 5
登錄進程: Advapi
身份驗證數據包: Negotiate
工作站名: TAGggg-DDD3333
登錄 GUID: -
調用方用戶名: TAGggg-DDD3333$
調用方域: WORKGROUP
調用方登錄 ID: (0x0,0x3E7)
調用方進程 ID: 444
傳遞服務: -
源網路地址: -
源埠: -
可以看到這個日誌的源網路地址和源埠為空。登錄類型為5,了解過windows登陸類型的知道這是以服務的方式來登陸的,登錄進程為Advapi ,是因mssql調用了LogonUser(管理員)(API call to LogonUser)」,從而產生了登錄事件,調用方進程ID為444即serverices.exe的進程,在看到這個日誌的最開始你可能會以為被入侵了,其實不然,當然每個情況不一樣,要具體分析,因為像黑洞的遠程登陸日誌應當也是這樣,他也是採用服務來登陸系統。我上面的這個mssql日誌比較特殊,因為我是調用administrator來啟動mssql的,而不是system,所以第一眼看到這個日誌感覺可能中招了的想法是正確的,請仔細勘察。
MSSQL的用戶登陸日誌都保存在「應用程序」中,普通網站所用資料庫用戶的登陸,一般為
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:41:06
用戶: N/A
計算機: TAGggg-DDD3333
描述:
18454:
用戶 'dbxxxxx' 登錄成功。連接: 非信任。
在系統用登陸mssql是在這里也會有記載
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:42:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
18453:
用戶 TAGggg-DDD3333\administrator' 登錄成功。連接: 信任。
可能同時還伴隨會產生這樣一個日誌
復制代碼
描述:
8128:
使用 'xplog70.dll' 版本 '2000.80.2039' 來執行擴展存儲過程 'xp_msver'。
一個返回有關伺服器的實際內部版本號的信息以及伺服器環境的有關信息的擴展存儲
下面說SA的日誌。
sa登陸成功日誌:
事件類型: 信息
復制代碼
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:21
用戶: N/A
計算機: TAGggg-DDD3333
描述:
18454:
用戶 'sa' 登錄成功。連接: 非信任。
如果看到這樣的日誌那麼你的小心了,SA密碼已經被人拿去了。
如果執行游覽文件功能,那麼會產生這樣的日誌
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (2)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:45
用戶: N/A
計算機: TAGggg-DDD3333
描述:
8128:
使用 'xpstar.dll' 版本 '2000.80.2039' 來執行擴展存儲過程 'xp_dirtree'。
3. HTML5網頁怎樣獲得伺服器的更新 伺服器發送事件
Server-Sent 事件 - 單向消息傳遞Server-Sent 事件指的是網頁自動獲取來自伺服器的更新。以前也可能做到這一點,前提是網頁不得不詢問是否有可用的更新。通過伺服器發送事件,更新能夠自動到達。例子:Facebook/Twitter 更新、估價更新、新的博文、賽事結果等。瀏覽器支持所有主流瀏覽器均支持伺服器發送事件,除了 Internet Explorer。接收Server-Sent 事件通知EventSource 對象用於接收伺服器發送事件通知:實例var source=new EventSource("demo_sse.php"); source.onmessage=function(event) { document.getElementById("result").innerHTML+=event.data + "
"; }; 例子解釋:創建一個新的 EventSource 對象,然後規定發送更新的頁面的 URL(本例中是 "demo_sse.php")每接收到一次更新,就會發生 onmessage 事件當onmessage 事件發生時,把已接收的數據推入 id 為 "result" 的元素中檢測Server-Sent 事件支持在上面的 TIY 實例中,我們編寫了一段額外的代碼來檢測伺服器發送事件的瀏覽器支持情況:if(typeof(EventSource)!=="undefined") { // Yes! Server-sent events support! // Some code..... } else { // Sorry! No server-sent events support.. } 伺服器端代碼實例為了讓上面的例子可以運行,您還需要能夠發送數據更新的伺服器(比如 PHP 和 ASP)。伺服器端事件流的語法是非常簡單的。把 "Content-Type" 報頭設置為 "text/event-stream"。現在,您可以開始發送事件流了。
4. 在C#中,根據某個欄位查詢資料庫,並將資料庫其他欄位返回,怎麼寫事件代碼
string connectionString = "Data Source=[ip地址];Initial Catalog=[資料庫];User ID=[賬號];password=[密碼]";
SqlConnection conn = null;
SqlDataAdapter adap = null;
conn = new SqlConnection(connectionString);
conn.Open();
adap = new SqlDataAdapter("select * from t_purchase_user where user_name='"+username+"'", conn);
DataSet ds = new DataSet();
adap.Fill(ds);
return ds;
conn.Close();
5. win2008伺服器日誌事件 怎麼查詢遠程登陸
Windows Server 2008查看遠程桌面登錄日誌: 控制面板->查看事件日誌->事件查看器(本地)->Windows日誌->安全, 在右側的列表會顯示出全部安全信息,然後可以查找 事件ID為4776的條目, 點擊開後,「源工作站:「後邊的就是登陸本機的windows 客戶端的主機名。 每次查看都需要搜索比較麻煩,可以設置自動記錄到文件的方式創建登陸日誌: 建立一個存放日誌和監控程序的目錄,如在C盤下建立一個RDP目錄 在其目錄下建立一個名為RDPlog.txt的文本文件和一個名為RDPlog.bat的批處理文件 RDPlog.bat是執行記錄的腳本,RDPlog.txt是登錄日誌。RDPlog.bat內容為: date /t >>RDPlog.txt time /t >>RDPlog.txt netstat -n -p tcp find ":3389">>RDPlog.txt start Explorer 進入系統管理工具中的「終端伺服器配置」,進入到默認RDP-Tcp屬性中、切換到「環境」頁下,啟用「用戶登錄時啟用下列程序」在程序路徑和文件名處填寫:C:\RDP\rdplog.bat;並在起始於填寫:C:\RDP\ 完成以上的配置步驟後,當再次登錄伺服器時就會記錄當前登錄者的時間和IP。 這樣每次登錄時都會有一個DOS的黑窗口一閃而過,隱藏窗口的方式: 1、仍舊在原來的目錄下新建一個名為RDPLog.vbs腳本文件,內容如下: Set shell = Wscript.Createobject("wscript.shell") Call shell.run("C:\RDP\RDPLog.bat" 0) 2、進入系統管理工具中的「終端伺服器配置」,進入到默認RDP-Tcp屬性中切換到「環境」頁下,啟用「用戶登錄時啟用下列程序」 3、在程序路徑和文件名處填寫:wscript C:\RDP\RDPLog.vbs;並在起始於填寫:C:\RDP\ 提醒位:想每次登陸都記錄訪問著的時間和IP,每次退出遠程桌面時,都必須選擇「注銷」用戶退出
6. 伺服器里的事件查看器事件503怎麼處理
出現此錯誤是因為通過傳輸控制協議/Internet 協議 (TCP/IP) 的 NetBIOS 被禁用。為解決此行為,你必須執行下列步驟來啟用通過 TCP/IP 的 NetBIOS: 打開設備管理器。 在查看菜單中,單擊選中「顯示隱藏的設備」復選框。 雙擊「非即插即用驅動程序」。 雙擊 NetBIOS over Tcpip。 在設備用法框中,單擊「使用這個設備 (啟用)」。當你重新啟動系統時,伺服器的重啟可能需要較長的時間。如果出現此行為,請轉到下面的注冊表項:HKey_Local_Machine/System/CurrentControlSet/Services/Netlogon/DependOnService雙擊 DependOnService 並在多字元串編輯器中添加下面的值(如果它尚不存在):LanmanServer 或者是你安裝了Microsoft Exchange。也會導致這個錯誤的發生。
7. 金稅盤事件代碼410091怎麼解決
咨詢記錄 · 回答於2021-12-03
8. ibm system x3650 如何查看伺服器錯誤日誌
查看IBM伺服器事件日誌,在不重啟伺服器不影響運行的前提下,提供以下三種方法:
1、伺服器未掛起且已連接到網路(使用操作系統控制的網路埠)
· 運行 DSA Portable 以查看診斷事件日誌(需要 IPMI 驅動程序),或創建可發送給 IBM 服務和支持人員的輸出文件(使用 ftp 或本地副本)。
· 使用 IPMItool 查看系統事件日誌(需要 IPMI 驅動程序)。
使用 IMM 的 Web 瀏覽器界面在本地查看系統
2、伺服器未掛起且未連接到網路(使用操作系統控制的網路埠)
· 運行 Portable DSA 以查看診斷事件日誌(需要 IPMI 驅動程序),或創建可發送給 IBM 服務和支持人員的輸出文件(使用本地副本)。
· 使用 IPMItool 查看系統事件日誌(需要 IPMI 驅動程序)。
使用 IMM 的 Web 瀏覽器界面在本地查看系統事件日誌(需要 RNDIS USB LAN 驅動程序)。
3、集成管理模塊 (IMM) 已連接到網路並且已應用交流電源 - 伺服器狀態可能為掛起、未掛起或關閉
· 使用 IPMItool 在網路上通過 IMM 外部 IP 地址來查看系統事件日誌。
· 使用 IMM 的 Web 瀏覽器界面查看系統事件日誌。在 Web 瀏覽器中,輸入 IMM 的 IP 地址,轉至 Event Log 頁面。
PS.重啟伺服器查看事件日誌的方法
重新啟動伺服器並按 F2 以啟動 DSA Preboot,查看診斷事件日誌(請參閱運行 DSA Preboot 診斷程序,以獲取更多信息)。
此外,還可以重新啟動伺服器並按 F1 鍵來啟動 Setup Utility,以查看 POST 事件日誌或系統事件日誌。
參考資料:http://www.cdchengguan.com/show.php?id=911(查看IBM伺服器事件日誌的方法)
9. 如何使用java讀取某個伺服器上的系統事件也就是event的詳細信息並輸出到控制台
用JNI的,寫WMI——— WMI 請微軟