如何查询服务器事件代码
1. server error怎么解决
摘要 1、打开服务器日志日志。如果服务器是物理服务器,请打开“控制面板”→“管理工具”→“事件查看器”→“服务器日志”。
2. 系统日志事件代码分别代表啥意思
作为一个服务器维护者,我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志,而是系统的管理日志。在windows 2003系统中,在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器,不过一般我们是打开计算机管理,他包含了这个时间查看器,方便管理,在运行中输入“compmgmt.msc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器 一般可以查看四类日志,他们分别是“应用程序”,“internet explorer”,“安全性”和“系统”。
如图
[attachment=1584]
对于“登陆/注销”来说我们重点关注 “应用程序”和“系统”这2类,“登陆/注销”这种行为一般发生在系统用户和数据库用户,下面以一个例子来具体说明。
比如,我以administrator身份登陆3389端口的远程终端,那么日志记录一般为4条,同时发生。
这个审核是默认开启的,如果想修改可以在运行中输入gpedit.msc打开组策略,在计算机配置-windows设置-安全设置-本地策略-审核策略,即可看到对系统登陆时间的审核。
[attachment=1585]
此类日志保存在“安全性”这一类中
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2010-2-4
事件: 20:52:37
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: administrator
源工作站: TAGggg-DDD3333
错误代码: 0x0
这个日志是记录尝试登陆的用户,比如你在登陆窗口测试用户名和密码的话,这里都会记载下载,如果你发现有不是系统用户的记录,那么肯定是有人在猜你的用户名了
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期: 2010-2-4
事件: 20:52:37
用户: NT AUTHORITY\SYSTEM
计算机: TAGggg-DDD3333
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名: TAGggg-DDD3333$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
登录 GUID: -
凭据被使用的用户:
目标用户名: administrator
目标域: TAGggg-DDD3333
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 3224
源网络地址: 142.97.167.96
源端口: 53637
如果登陆成功,那么将在这里记载,如果被人拿到了3389的账号和密码,那么这里将记载ip和方式,很明显这里是使用凭据登陆的。
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期: 2010-2-4
事件: 20:52:37
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
登录成功:
用户名: administrator
域: TAGggg-DDD3333
登录 ID: (0x0,0x3B5BA)
登录类型: 10
登录进程: User32
身份验证数据包: Negotiate
工作站名: TAGggg-DDD3333
登录 GUID: -
调用方用户名: TAGggg-DDD3333$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 3224
传递服务: -
源网络地址: 142.97.167.96
源端口: 53637
这条日志最为重要,他有3个地方说明了登陆方式是远程连接登陆桌面的,第一个地方是登录方式为10,这种方式是远程交互(RemoteInteractive),说明是通过终端服务、远程桌面或远程协助登陆的;第二个地方就是:登录进程: User32 ,说明是调用了user32.exe进程来登陆的。 第三个地址我们在关注一下调用方进程ID,打开任务管理器,可以看到3224的进程是winlogen.exe,这3点都说明了这个日志是远程连接日志
[attachment=1586]
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 576
日期: 2010-2-4
事件: 20:52:37
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
指派给新登录的特殊权限:
用户名:
域:
登录 ID: (0x0,0x3B5BA)
特权: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
这个日志是说明给予登陆用户的权限。
好了,上面就是远程登陆的日志了。下面介绍关于mssql的登陆日志。我将mssql的登陆日志分为3类:普通用户登陆,SA登陆和系统用户登陆。
需要开启sql server和windows身份验证,审核全部。点击mssql实例,右击属性,在“安全性”选项卡中选择即可
[attachment=1587]
我们重点关注SA和系统用户的登陆。
mssql的系统用户的登陆日志也保存在“安全性”这类日志中,它的日志和远程登陆相似,主要区别在第三个日志,比如
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期: 2010-2-4
事件: 21:50:34
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
登录成功:
用户名: administrator
域: TAGggg-DDD3333
登录 ID: (0x0,0x48EF44)
登录类型: 5
登录进程: Advapi
身份验证数据包: Negotiate
工作站名: TAGggg-DDD3333
登录 GUID: -
调用方用户名: TAGggg-DDD3333$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 444
传递服务: -
源网络地址: -
源端口: -
可以看到这个日志的源网络地址和源端口为空。登录类型为5,了解过windows登陆类型的知道这是以服务的方式来登陆的,登录进程为Advapi ,是因mssql调用了LogonUser(管理员)(API call to LogonUser)”,从而产生了登录事件,调用方进程ID为444即serverices.exe的进程,在看到这个日志的最开始你可能会以为被入侵了,其实不然,当然每个情况不一样,要具体分析,因为像黑洞的远程登陆日志应当也是这样,他也是采用服务来登陆系统。我上面的这个mssql日志比较特殊,因为我是调用administrator来启动mssql的,而不是system,所以第一眼看到这个日志感觉可能中招了的想法是正确的,请仔细勘察。
MSSQL的用户登陆日志都保存在“应用程序”中,普通网站所用数据库用户的登陆,一般为
复制代码
事件类型: 信息
事件来源: MSSQLSERVER
事件种类: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:41:06
用户: N/A
计算机: TAGggg-DDD3333
描述:
18454:
用户 'dbxxxxx' 登录成功。连接: 非信任。
在系统用登陆mssql是在这里也会有记载
复制代码
事件类型: 信息
事件来源: MSSQLSERVER
事件种类: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:42:37
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
18453:
用户 TAGggg-DDD3333\administrator' 登录成功。连接: 信任。
可能同时还伴随会产生这样一个日志
复制代码
描述:
8128:
使用 'xplog70.dll' 版本 '2000.80.2039' 来执行扩展存储过程 'xp_msver'。
一个返回有关服务器的实际内部版本号的信息以及服务器环境的有关信息的扩展存储
下面说SA的日志。
sa登陆成功日志:
事件类型: 信息
复制代码
事件来源: MSSQLSERVER
事件种类: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:21
用户: N/A
计算机: TAGggg-DDD3333
描述:
18454:
用户 'sa' 登录成功。连接: 非信任。
如果看到这样的日志那么你的小心了,SA密码已经被人拿去了。
如果执行游览文件功能,那么会产生这样的日志
复制代码
事件类型: 信息
事件来源: MSSQLSERVER
事件种类: (2)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:45
用户: N/A
计算机: TAGggg-DDD3333
描述:
8128:
使用 'xpstar.dll' 版本 '2000.80.2039' 来执行扩展存储过程 'xp_dirtree'。
3. HTML5网页怎样获得服务器的更新 服务器发送事件
Server-Sent 事件 - 单向消息传递Server-Sent 事件指的是网页自动获取来自服务器的更新。以前也可能做到这一点,前提是网页不得不询问是否有可用的更新。通过服务器发送事件,更新能够自动到达。例子:Facebook/Twitter 更新、估价更新、新的博文、赛事结果等。浏览器支持所有主流浏览器均支持服务器发送事件,除了 Internet Explorer。接收Server-Sent 事件通知EventSource 对象用于接收服务器发送事件通知:实例var source=new EventSource("demo_sse.php"); source.onmessage=function(event) { document.getElementById("result").innerHTML+=event.data + "
"; }; 例子解释:创建一个新的 EventSource 对象,然后规定发送更新的页面的 URL(本例中是 "demo_sse.php")每接收到一次更新,就会发生 onmessage 事件当onmessage 事件发生时,把已接收的数据推入 id 为 "result" 的元素中检测Server-Sent 事件支持在上面的 TIY 实例中,我们编写了一段额外的代码来检测服务器发送事件的浏览器支持情况:if(typeof(EventSource)!=="undefined") { // Yes! Server-sent events support! // Some code..... } else { // Sorry! No server-sent events support.. } 服务器端代码实例为了让上面的例子可以运行,您还需要能够发送数据更新的服务器(比如 PHP 和 ASP)。服务器端事件流的语法是非常简单的。把 "Content-Type" 报头设置为 "text/event-stream"。现在,您可以开始发送事件流了。
4. 在C#中,根据某个字段查询数据库,并将数据库其他字段返回,怎么写事件代码
string connectionString = "Data Source=[ip地址];Initial Catalog=[数据库];User ID=[账号];password=[密码]";
SqlConnection conn = null;
SqlDataAdapter adap = null;
conn = new SqlConnection(connectionString);
conn.Open();
adap = new SqlDataAdapter("select * from t_purchase_user where user_name='"+username+"'", conn);
DataSet ds = new DataSet();
adap.Fill(ds);
return ds;
conn.Close();
5. win2008服务器日志事件 怎么查询远程登陆
Windows Server 2008查看远程桌面登录日志: 控制面板->查看事件日志->事件查看器(本地)->Windows日志->安全, 在右侧的列表会显示出全部安全信息,然后可以查找 事件ID为4776的条目, 点击开后,“源工作站:“后边的就是登陆本机的windows 客户端的主机名。 每次查看都需要搜索比较麻烦,可以设置自动记录到文件的方式创建登陆日志: 建立一个存放日志和监控程序的目录,如在C盘下建立一个RDP目录 在其目录下建立一个名为RDPlog.txt的文本文件和一个名为RDPlog.bat的批处理文件 RDPlog.bat是执行记录的脚本,RDPlog.txt是登录日志。RDPlog.bat内容为: date /t >>RDPlog.txt time /t >>RDPlog.txt netstat -n -p tcp find ":3389">>RDPlog.txt start Explorer 进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中、切换到“环境”页下,启用“用户登录时启用下列程序”在程序路径和文件名处填写:C:\RDP\rdplog.bat;并在起始于填写:C:\RDP\ 完成以上的配置步骤后,当再次登录服务器时就会记录当前登录者的时间和IP。 这样每次登录时都会有一个DOS的黑窗口一闪而过,隐藏窗口的方式: 1、仍旧在原来的目录下新建一个名为RDPLog.vbs脚本文件,内容如下: Set shell = Wscript.Createobject("wscript.shell") Call shell.run("C:\RDP\RDPLog.bat" 0) 2、进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中切换到“环境”页下,启用“用户登录时启用下列程序” 3、在程序路径和文件名处填写:wscript C:\RDP\RDPLog.vbs;并在起始于填写:C:\RDP\ 提醒位:想每次登陆都记录访问着的时间和IP,每次退出远程桌面时,都必须选择“注销”用户退出
6. 服务器里的事件查看器事件503怎么处理
出现此错误是因为通过传输控制协议/Internet 协议 (TCP/IP) 的 NetBIOS 被禁用。为解决此行为,你必须执行下列步骤来启用通过 TCP/IP 的 NetBIOS: 打开设备管理器。 在查看菜单中,单击选中“显示隐藏的设备”复选框。 双击“非即插即用驱动程序”。 双击 NetBIOS over Tcpip。 在设备用法框中,单击“使用这个设备 (启用)”。当你重新启动系统时,服务器的重启可能需要较长的时间。如果出现此行为,请转到下面的注册表项:HKey_Local_Machine/System/CurrentControlSet/Services/Netlogon/DependOnService双击 DependOnService 并在多字符串编辑器中添加下面的值(如果它尚不存在):LanmanServer 或者是你安装了Microsoft Exchange。也会导致这个错误的发生。
7. 金税盘事件代码410091怎么解决
咨询记录 · 回答于2021-12-03
8. ibm system x3650 如何查看服务器错误日志
查看IBM服务器事件日志,在不重启服务器不影响运行的前提下,提供以下三种方法:
1、服务器未挂起且已连接到网络(使用操作系统控制的网络端口)
· 运行 DSA Portable 以查看诊断事件日志(需要 IPMI 驱动程序),或创建可发送给 IBM 服务和支持人员的输出文件(使用 ftp 或本地副本)。
· 使用 IPMItool 查看系统事件日志(需要 IPMI 驱动程序)。
使用 IMM 的 Web 浏览器界面在本地查看系统
2、服务器未挂起且未连接到网络(使用操作系统控制的网络端口)
· 运行 Portable DSA 以查看诊断事件日志(需要 IPMI 驱动程序),或创建可发送给 IBM 服务和支持人员的输出文件(使用本地副本)。
· 使用 IPMItool 查看系统事件日志(需要 IPMI 驱动程序)。
使用 IMM 的 Web 浏览器界面在本地查看系统事件日志(需要 RNDIS USB LAN 驱动程序)。
3、集成管理模块 (IMM) 已连接到网络并且已应用交流电源 - 服务器状态可能为挂起、未挂起或关闭
· 使用 IPMItool 在网络上通过 IMM 外部 IP 地址来查看系统事件日志。
· 使用 IMM 的 Web 浏览器界面查看系统事件日志。在 Web 浏览器中,输入 IMM 的 IP 地址,转至 Event Log 页面。
PS.重启服务器查看事件日志的方法
重新启动服务器并按 F2 以启动 DSA Preboot,查看诊断事件日志(请参阅运行 DSA Preboot 诊断程序,以获取更多信息)。
此外,还可以重新启动服务器并按 F1 键来启动 Setup Utility,以查看 POST 事件日志或系统事件日志。
参考资料:http://www.cdchengguan.com/show.php?id=911(查看IBM服务器事件日志的方法)
9. 如何使用java读取某个服务器上的系统事件也就是event的详细信息并输出到控制台
用JNI的,写WMI——— WMI 请微软