服务器事件查看

事件查看器详细介绍




事件查看器能看些什么

事件查看器相当于一本厚厚的系统日志，可以查看关于硬件、软件和系统问题的信息，也可以监视

Windows 的安全事件

提示：除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外，也可以在“运行”对话框中

手工键入“％SystemRoot％＼system32＼eventvwr．msc /s”打开事件查看器窗口。

1． 应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序

日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么

我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

2． 安全性日志

记录了诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其

他对象，系统管理员可以指定在安全性日志中记录什么事件。默认设置下，安全性日志是关闭的，管理员

可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响

应。

3． 系统日志

包含Windows XP的系统组件记录的事件，例如在启动过程中加载驱动程序或其他系统组件失败将记录在系

统日志中，默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件：6006，

如果你在某一天的事件查看器中没有发现ID为6006的事件，那么说明计算机在当天未正常关机，双击打开

“事件属性”窗口，如果看到手描述为“事件日志服务已停止”，说明这里的“时间”是指计算机正常关

机的时间。

如果机子被配置为域控制器，那么还将包括目录服务日志、文件复制服务日志；如果机子被配置为域名系

统（DNS）服务器，那么还将记录DNS服务器日志。当启动Windows时，“事件日志”服务(EventLog)会自

动启动，所有用户都可以查看应用程序和系统日志，但只有管理员才能访问安全性日志。

小日志包含大信息

朋友们可千万别轻视这些枯燥的日志，其中可包含了很多非常有用的信息呢，如果你能仔细分析，肯定可

以在这里找到很多有用的信息，这样会有助于你解决系统错误。

1．信息：描述了应用程序、驱动程序或服务的成功操作的事件，例如当网络驱动程序加载成功时，将会

记录一个“信息”事件，图1所示的是趋势科技防毒精灵专业版被成功删除的事件，从这里可以看到事件

头包括日期、时间、用户、计算机机、事件ID、来源、类型、类别等信息，在“描述”列表框中则列出了

相应的说明和查看更多信息的链接地址，从这个链接地可以指向Microsoft的“统一资源定位器”(URL)地

址。大部分情况下，这一类的事件内容没有必要去逐项查看，除非你有某些特别的需要。

2． 成功审核：成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问

、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系

统都会被记录为“成功审核”事件


3． 失败审核：失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审

核事件记录下来。

4． 警告：虽然不是很重要，但是将来有可能导致问题的事件，这种情况下应该检查问题所在。例如，当

磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

5．错误：重要的问题，例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来，这种情况下有

必要检查系统。例如，图3所示的错误事件是服务器没有在限定的时间内用DCOM注册，点击描述中的链接

会自动转到相应的帮助页面，根据提示进行相应的操作即可，如果你有兴趣的话，可以好好研究这里的内

容，相信假以时日，你会成为一个DIYer的。

定期释放多余的日志

事实上，大部分时间记录下来的系统事件，都是一些流水账，随着时间的增加，系统日志的个头也会不断

膨胀，当达到事先设置的日志大小后，会停止记录新的事件，因此我们需要定期释放多余的日志。

选中需要清除的日志，然后从“操作”菜单中选择“清除所有事件”，此时会弹出图4所示的对话框询问

是需要将当前日志保存下来，选择“是”会在清除之前将日志保存下来，选择“否”将永久丢弃当前事件

记录，并开始记录新的事件。假如你觉得如果操作太繁琐的话，可以在活动日志的“属性”对话框中，选

择“不改写事件 (手动清除日志)”，可以看到默认设置的“最大日志文件大小”只有512KB

，我们可以根据实际情况重新设置这个值，以后当日志达到一定的大小或出现提示日志已满的信息时，系

统会自动清除日志；或者选择“按需要改写事件”，这样可以确保在日志写满时也能够将所有的新事件写

入日志，当然如此一来的话，新日志会自动覆盖旧日志。

不过，需要说明的，用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除

或改写事件日志。或者，你也可以进入\WINDOWS\ SYSTEM32\config\文件夹，其中以*.evt作为扩展名的

文件就是所谓的日志文件，AppEvent.evt即“应用程序”日志，SysEvent.evt即“系统”日志，

SecEvent.evt即“安全性”日志，直接在这里删除相应的文件就可以了，不过如果你使用的是 NTFS格式

的系统，在删除日志文件之前必须首先关闭事件检查器服务才行。

除了使用“事件查看器”管理事件日志外，我们也可以使用命令行工具来创建和查询事件日志，以及使程

序与特殊的日志事件关联，例如“Eventcreate.exe”可创建自定义的事件日志，“Eventquery.vbs”可

从一个或多个事件日志中列出事件和事件属性，“Eventtriggers.exe”可创建事件触发器，这样当特定

事件日志发生时将自动执行相应的程序，从而弥补了事件查看器无法实时跟踪可疑事件的不足，感兴趣的

朋友们不妨试试。


---------------------------------------
审核WINDOWS安全日志

安 全日志是非常重要的系统记录器，不论是自己的操作还是别人远程恶意的操作都可以通过安全日志来体现出来，虽然现在的杀软已经反间谍软件已经很成熟了，但这 并不代表你的系统就固若金汤，如果别人在你不注意的情况下悄悄的进入了你的电脑，而杀软却没有反应，如果揪出真凶呢？那么就要从安全日志下手了 .

登录类型

登录类型2:交互式登录(INTERACTIVE)
本地键盘上的登录,基于网络上的KVM登录也是这种类型!

登录类型3:网络(NETWORK)
当你从网络上访问一台PC时WINDOWS记为类型3,常见的是通过网络连接到共享文件夹或共享打印机!

登录类型4:批处理(BATCH)
运行计划任务是产生的记录类型..也可能是HACKER通过它来猜测用户密码!

登录类型5:服务(SERVICE)
一个服务开始时,WINDOWS为这个特定的用户创造的一个登录会话,记为类型5!

登录类型7:解锁(UNLOOK)
解除锁定的PC密码,比如对屏保密码的解除操作!

登录类型8:网络明文(NETWORKCLEARTEXT)
网络明文传输!

登录类型9:新凭证(NEWCREDENTIALS)

登录类型10:远程交互(REMOTEINTERACTIVE)
通过终端服务,远程桌面,或远程协约访问PC时,WINDOWS记为类垀?10!

登录类型11:缓存交互(CACHEDINTERACTIVE)
安全事件日志中的事件编号与描述
........................................................................................
帐号登录事件
........................
(事件编号与描述)
672 身份验证服务（AS）票证得到成功发行与验证。
673 票证授权服务（TGS）票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。
674 安全主体重建AS票证或TGS票证。
675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。
676 身份验证票证请求失败。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
677 TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
678 指定帐号成功映射到一个域帐号。
681 登录失败。域帐号尝试进行登录。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。
http://clin003.com/
帐号管理事件
......................
624 一个用户帐号被创建。
627 一个用户密码被修改。
628 一个用户密码被设置。
630 一个用户密码被删除。
631 一个全局组被创建。
632 一个成员被添加到特定全局组中。
633 一个成员从特定全局组中被删除。
634 一个全局组被删除。
635 一个新的本地组被创建。
636 一个成员被添加到本地组中。
637 一个成员从本地组中被删除。
638 一个本地组被删除。
639 一个本地组帐号被修改。
641 一个全局组帐号被修改。
642 一个用户帐号被修改。
643 一个域策略被修改。
644 一个用户帐号被自动锁定。
645 一个计算机帐号被创建。
646 一个计算机帐号被修改。
647 一个计算机帐号被删除。
648 一个禁用安全特性的本地安全组被创建。说明：正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。
649 一个禁用安全特性的本地安全组被修改。
650 一个成员被添加到一个禁用安全特性的本地安全组中。
651 一个成员从一个禁用安全特性的本地安全组中被删除。
652 一个禁用安全特性的本地组被删除。
653 一个禁用安全特性的全局组被创建。
654 一个禁用安全特性的全局组被修改。
655 一个成员被添加到一个禁用安全特性的全局组中。
656 一个成员从一个禁用安全特性的全局组中被删除。
657 一个禁用安全特性的全局组被删除。
658 一个启用安全特性的通用组被创建。
659 一个启用安全特性的通用组被修改。
660 一个成员被添加到一个启用安全特性的通用组中。
661 一个成员从一个启用安全特性的通用组中被删除。
662 一个启用安全特性的通用组被删除。
663 一个禁用安全特性的通用组被创建。
664 一个禁用安全特性的通用组被修改。
665 一个成员被添加到一个禁用安全特性的通用组中。
666 一个成员从一个禁用安全特性的通用组中被删除。
667 一个禁用安全特性的通用组被删除。
668 一个组类型被修改。
684 管理组成员的安全描述符被设置。说明：在域控制器上，一个后台线程每60秒将对管理组中的所有成员（如域管理员、企业管理员和架构管理员）进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。
685 一个帐号名称被修改。

审核登录事件
......................
528 用户成功登录到计算机上。
529 癀?录失败：试图使用未知用户名或带有错误密码的已知用户名进行登录。
530 登录失败：试图在允许时间范围以外进行登录。
531 登录失败：试图通过禁用帐号进行登录。
532 登录失败：试图通过过期帐号进行登录。
533 登录失败：试图通过不允许在特定计算机上进行登录的用户帐号进行登录。
534 登录失败：用户试图通过不允许使用的密码类型进行登录。
535 登录失败：针对指定帐号的密码已经过期。
536 登录失败：网络登录服务未被激活。
537 登录失败：由于其它原因导致登录失败。说明：在某些情况下，登录失败原因可能无法确定。
538 针对某一用户的注销操作完成。
539 登录失败：登录帐号在登录时刻已被锁定。
540 用户成功登录到网络。
541 本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换（IKE）身份验证操作已经完成（建立一条安全关联），或者快速模式已经建立一条数据通道。
542 数据通道被中断。
543 主模式被中断。说明：这种事件可能在安全关联时间限制到期（缺省值为8小时）、策略修改或对等客户中断时发生。
544 由于对等客户未能提供合法证书或签署未通过验证导致主模式身份骀?证失败。
545 由于Kerberos失败或密码不合法导致主模式身份验证失败。
546 由于对等客户发送非法了非法提议，IKE 安全关联建立没有成功。收到一个包含非法数据的数据包。
547 IKE握手过程中发生错误。
548 登录失败：来自信任域的安全标识符（SID）与客户端的帐号域SID不匹配。
549 登录失败：在跨域身份验证过程中，所有同非信任名称空间相对应的SID均已被过滤掉。
550 能够指示可能发生拒绝服务（DoS）攻击的通知消息。
551 用户发起注销操作。
552 用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。
682 用户重新连接到一个已经断开连接的终端服务器会话上。
683 用户在没有注销的情况下与终端服务器会话断开连接。说明：这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。

对象访问事件
......................
560 访问由一个已经存在的对象提供授权。
562 一个对象访问句柄被关闭。
563 试图打开并删除一个对象。说明：当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时，这种事件将被文件系统所使用。
564 一个保护对象被删除。
565 访问由一种已经存在的对象类型提供授权。
567 一种与句柄相关联的权限被使用。说明：一个授予特定权限（读取、写入等）的句柄被创建。当使用这个句柄时，至多针对所用到的每种权限产生一次审核。
568 试图针对正在进行审核的文件创建硬连接。
569 身份验证管理器中的资源管理器试图创建客户端上下文。
570 客户端试图访问一个对象。说明：针对对象的每次操作尝试都将产生一个事件。
571 客户端上下文被身份验证管理器应用程序删除。
572 管理员管理器初始化应用程序。
772 证书管理器拒绝了挂起的证书申请。
773 证书服务收到重新提交的证书申请。
774 证书服务吊销了证书。
775 证书服务收到发行证书吊销列表(CRL) 的请求。
776 证书服务发行了证书吊销列表(CRL)。
777 更改了证书申请扩展。
778 更改了多个证书申请属性。
779 证书服务收到关机请求。
780 已开始证书服务备份。
781 已完成证书服务备份。
782 已开始证书服务还原。
783 已完成证书服务还原。
784 证书服务已经开始。
785 证书服务已经停止。
786 证书服务更改的安全权限。
787 证书服务检索了存档密钥。
788 证书服务尀?证书导入数据库中。
789 证书服务更改的审核筛选。
790 证书服务收到证书申请。
791 证书服务批准了证书申请并颁发了证书。
792 证书服务拒绝证书申请。
793 证书服务将证书申请状态设为挂起。
794 证书服务更改的证书管理器设置
795 证书服务更改的配置项。
796 证书服务更改属性。
797 证书服务存档了密钥。
798 证书服务导入和存档了密钥。
799 证书服务将证书发行机构（CA）证书发行到Active Directory。
800 从证书数据库删除一行或多行。
801 角色分隔被启用。

审核策略更改事件
.............................
608 用户权限已被分配。
609 用户权限已被删除。
610 与另一个域的信任关系已被创建。
611 与另一个域的信任关系已被删除。
612 审核策略已被更改。
613 Internet协议安全性（IPSec）策略代理已经启动。
614 IPSec策略代理已被禁用。
615 IPSec策略代理已被更改。
616 IPSec策略代理遇到一个潜在的严重问题。
617 Kerberos 5.0版策略已被更改。
618 经过加密的数据恢复策略已更改。
620 与另一个域的信任关系已被修改。
621 系统访问权限已被授予帐号。
622 系统访问权限已从帐号中删除。
623 审核策略以对等用户为单位进行设置。
625 审核策略以对等用户为单位进行刷新。
768 检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明：当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时，它将 无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称 和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
769 添加了受信任的森林信息。说明：这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消 息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录，生成的所有事件消息都将被分配一个相同且唯一标识符（称作操作编号）。这种方式使 您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于 “TopLevelName”类型的记录便是非法的。
770 删除了受信任的森林信息。说明：查看编号为769的事件描述。
771 修改了受信任的森林信息。说明：查看编号为769的事件描述。
805 事件日志服务读取针对会话的安权限使用事件

权限使用事件
.......................
576 特定权限已被添加到用户访问令牌中。说明：这种事件将在用户登录时产生。
577 用户试图执行受到权限保护的系统服务操作。
578 在已经处于打开状态的受保护对象句柄上使用权限。

详细跟踪事件
......................
592 已经创建新的过程。
593 已经退出某过程。
594 对象的句柄被重复
595 已经取得对象的间接访问权。
596 数据保护主密钥备份。说明：主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统（EFS）所使用。这种主密钥将在每次创建新增主密钥时予以备份。（缺省设置为90天。）密钥备份操作通常由域控制器执行。
597 数据保护主密钥已由恢复服务器恢复完毕。
598 审核数据已得到保护。
599 审核数据保护已取消。
600 分派给进程一个主令牌。
601 用户尝试安装服务。
602 一个计划作业已被创建。

面向审核系统事件的系统事件消息
..........................................................
512 正在启动 Windows。
513 Windows 正在关机。
514 本地安全机制机构已加载身份验证数据包。
515 受信任的登录过程已经在本地安全机制机构注册。
516 用来列队审核消息的内部资源已经用完，从而导致部分审核数据丢失。
517 审核日志已经清除。
518 安全帐户管理器已经加载通知数据包。
519 一个过程正在试图通过无效本地过程调用（LPC）端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。
520 系统时间已更改。说明：这种审核操作通常成对出现

多看看这些东西有助于对系统的了解


---------------------------------------
ASP 错误代码



ASP 错误代码（测试网页的时候很有用)
ASP 错误代码 说明
ASP 0100 内存不足
ASP 0101 意外错误
ASP 0102 需要字符串输入
ASP 0103 需要数字输入
ASP 0104 不允许此项操作
ASP 0105 下标越界
ASP 0106 类型不匹配
ASP 0107 堆栈溢出
ASP 0108 创建对象失败
ASP 0109 找不到成员
ASP 0110 未知名称
ASP 0111 未知接口
ASP 0112 缺少参数
ASP 0113 脚本超时
ASP 0114 非自由线程对象
ASP 0115 意外错误
ASP 0116 丢失脚本关闭分隔符
ASP 0117 丢失脚本关闭标记
ASP 0118 丢失对象关闭标记
ASP 0119 丢失 Classid 或 Progid 特性
ASP 0120 无效的 Runat 特性
ASP 0121 对象标记中包含无效作用域
ASP 0122 对象标记中包含无效作用域
ASP 0123 丢失 Id 特性
ASP 0124 丢失 Language 特性
ASP 0125 丢失特性的关闭符
ASP 0126 找不到包含文件
ASP 0127 丢失了 HTML 注释的关闭符
ASP 0128 丢失 File 或 Virtual 特性
ASP 0129 未知的脚本语言
ASP 0130 无效的 File 特性
ASP 0131 不允许的父路径
ASP 0132 编译错误
ASP 0133 无效的 ClassID 特性
ASP 0134 无效的 ProgID 特性
ASP 0135 循环包含
ASP 0136 无效对象实例名称
ASP 0137 无效全局脚本
ASP 0138 嵌套的 Script 块
ASP 0139 嵌套的 Object
ASP 0140 Page 命令无序
ASP 0141 Page 命令重复
ASP 0142 线程令牌错误
ASP 0143 无效的应用程序名
ASP 0144 初始化错误
ASP 0145 新建应用程序失败
ASP 0146 新建会话失败
ASP 0147 500 服务器错误
ASP 0148 服务器太忙
ASP 0149 应用程序正在重新启动
ASP 0150 应用程序目录错误
ASP 0151 更改通知错误
ASP 0152 安全错误
ASP 0153 线程错误
ASP 0154 写入 HTTP 头错误
ASP 0155 写入页内容错误
ASP 0156 标头错误
ASP 0157 缓冲已打开
ASP 0158 丢失 URL
ASP 0159 缓冲已关闭
ASP 0160 日志记录失败
ASP 0161 数据类型错误
ASP 0162 不能修改 Cookie
ASP 0163 逗号的使用不正确
ASP 0164 无效的超时值
ASP 0165 SessionID 错误
ASP 0166 未初始化的对象
ASP 0167 会话初始化错误
ASP 0168 不允许的对象使用方式
ASP 0169 丢失对象信息
ASP 0170 删除会话错误
ASP 0171 缺少路径
ASP 0172 无效路径
ASP 0173 无效 Path 字符
ASP 0174 无效 Path 字符
ASP 0175 不允许的 Path 字符
ASP 0176 找不到路径
ASP 0177 Server.CreateObject 失败
ASP 0178 Server.CreateObject 访问错误
ASP 0179 应用程序初始化错误
ASP 0180 不允许的对象使用方式
ASP 0181 无效线程模型
ASP 0182 丢失对象信息
ASP 0183 空 Cookie 关键字
ASP 0184 丢失 Cookie 名称
ASP 0185 丢失默认属性
ASP 0186 解析证书时出错
ASP 0187 对象添加冲突
ASP 0188 不允许的对象使用方式
ASP 0189 不允许的对象使用方式
ASP 0190 意外错误
ASP 0191 意外错误
ASP 0192 意外错误
ASP 0193 OnStartPage 失败
ASP 0194 OnEndPage 失败
ASP 0195 无效服务器方法调用
ASP 0196 不能启动进程外组件
ASP 0197 不允许的对象使用方式
ASP 0198 服务器正在关闭
ASP 0199 不允许的对象使用方式
ASP 0200 'Expires' 特性越界
ASP 0201 无效的默认脚本语言
ASP 0202 丢失代码页
ASP 0203 无效代码页
ASP 0204 CodePage 值无效
ASP 0205 更改通知
ASP 0206 不能调用 BinaryRead
ASP 0207 不能使用 Request.Form
ASP 0208 不能使用一般 Request 集合
ASP 0209 TRANSACTION 属性值非法
ASP 0210 方法未实现
ASP 0211 对象越界
ASP 0212 不能清除缓冲区
ASP 0214 无效路径参数
ASP 0215 ENABLESESSIONSTATE 属性值非法
ASP 0216 MSDTC 服务不在运行
ASP 0217 对象标记中包含无效作用域
ASP 0218 丢失 LCID
ASP 0219 无效的 LCID
ASP 0220 不允许 GLOBAL.ASA 请求
ASP 0221 无效的 @ 命令指令
ASP 0222 无效 TypeLib 规格
ASP 0223 未找到 TypeLib
ASP 0224 无法加载 TypeLib
ASP 0225 无法包装 TypeLibs
ASP 0226 不能修改 StaticObjects
ASP 0227 Server.Execute 失败
ASP 0228 Server.Execute 错误
ASP 0229 Server.Transfer 失败
ASP 0230 Server.Transfer 错误
ASP 0231 Server.Execute 错误
ASP 0232 无效的 Cookie 规格
ASP 0233 无法加载 cookie 脚本源
ASP 0234 无效的包含指令
ASP 0235 Server.Transfer 错误
ASP 0236 无效的 Cookie 规格
ASP 0237 无效的 Cookie 规格
ASP 0238 丢失特性值
ASP 0239 无法处理文件
ASP 0240 脚本引擎异常
ASP 0241 CreateObject 异常
ASP 0242 查询 OnStartPage 接口异常
ASP 0243 Global.asa 中包含无效的 METADATA 标记
ASP 0244 无法启用会话状态
ASP 0245 代码页值的混合使用
ASP 0246 并发用户太多。请稍后重试。
ASP 0247 无效的 BinaryRead 参数。
ASP 0248 脚本未经事务处理。此 ASP 文件必须经过事务处理以使用 ObjectContext 对象。
ASP 0249 不能在 Request 上使用 IStream。使用 Request.Form 集合或 Request.BinaryRead 后不能在 Request 对象上使用 IStream。
ASP 0250 无效默认代码页。指定的应用程序默认代码页无效。
ASP 0251 超过响应缓冲区限制。此 ASP 页的执行造成响应缓冲区超过其配置限制。

参考
有关如何诊断更常见的 ASP 0115 错误的其他信息，请单击下面的文章编号，查看 Microsoft 知识库中的相应文章：
281674 HOWTO:诊断 IIS 中的 ASP 0115 错误
有关错误信息的另一个列表，请单击下面的文章编号，查看 Microsoft 知识库中的相应文章：
180751 INFO:Error Messages Shared Between VBCE and VBScript



---------------------------------------
启动时DCOM出错的解决 应用程序-特定权限设置未将COM 服务器应用程序

事件查看器，里面有个DCOM错误：

应用程序-特定 权限设置未将 COM 服务器应用程序(CLSID 为

{0C0A3666-30C9-11D0-8F20-00805F2CD064}

)的 本地 激活 权限授予用户 xxx\IWAM_xxxx-91EB569A3 SID (S-

1-5-21-776561741-1292428093-1417001333-1010)。可以使用组件服务管理工具修改此安全权限。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。


搜索了一下，采用如下的方法：

点击“开始”-“控制面板”-“管理工具”-“组件服务”-“计算机”-“我的电脑”-“DCOM”选项，

选择其下的“IIS ADMIN SERVICE”，右健选择“属性”，找到“安全”，在“启动和激活权限”中编辑“自定义”，添加

帐号“IWAM_*****”， 该账号可以用户帐户中找到

给该帐号赋予“本地启动”和“本地激活”的权限，重新启动IIS.

（点“开始”-“运行”-“CMD”，点确定，然后运行IISRESET）



有可能DCOM配置时属性选项不见了
建议:
保证以下几个服务处于启动状态

Remote Procedure Call (RPC)
COM+ Event System
DCOM Server Process Launcher
Distributed Transaction Coordinator


运行:msdtc -uninstall 重启机器--->运行:msdtc -install 重启机器 , 我的就是这样弄好的 ~可以试下



---------------------------------------
时间服务有86400 秒没有与系统时间同步，因为没有一个时间服务提供程序提供可用的时间戳

程序代码


事件类型: 警告
事件来源: W32Time
事件种类: 无
事件 ID: 36
日期: 2006-12-19
事件: 13:29:51
用户: N/A
计算机: 3nbfi8b33e3
描述:
时间服务有 86400 秒没有与系统时间同步，因为没有一个时间服务提供程序 提供可用的时间戳。时间服务将不再是同步的，也不能为其它客户端提供 时间或者更新系统时钟。请查看事件查看器中显示的系统事件，以确认没 有发生更严重的问题。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。


86400秒正好是24小时，
如果没有关闭“自动与internet时间同步的选项”的话，系统会每阁一个星期就是7天自动进行一次时间同步，
不知道为什么，dns老是解析“time.windows.com”造成解析出错，这个时候就会提示这个警告，
这个警告只是告诉我们是同步一次出错延时24小时了，
所以这个警告不会对我们的系统造成任何影响，除非你的程序需要很准确的时间

解决方案：设置--控制面板--管理工具--服务--启动windows time服务,并设置为自动,重启,就可以同步时间了




---------------------------------------
RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接


事件类型: 错误
事件来源: TermDD
事件种类: 无
事件 ID: 50
日期: 2008-4-30
事件: 6:35:09
用户: N/A
计算机:

描述:
RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 00 00 08 00 02 00 56 00 ......V.
0008: 00 00 00 00 32 00 0a c0 ....2..À
0010: 00 00 00 00 32 00 0a c0 ....2..À
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
0028: 0b 00 00 00 0d 0a 0d 0a ........

——————————————————————————————————————————————————

如果你的服务器有如下错误：

“RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接。”
可能的有2种：
1：你试试能否能继续远程登陆，有可能你的远程登陆组件出现问题。
2：有人攻击你，使用暴力破解的方法登陆你的系统，导致系统拒绝服务。

一句话注意防贼！！


解决方法：
设置组策略=====》管理摸板=====》wndows组件====》终端服务！！

新的补充（比较狠的解决方法，呵呵。）：
事件类型: 错误
事件来源: TermDD
描述:
RDP 的 "DATA ENCRYPTION" 协议组件在协议流中检测到一个错误并且中断了客户机。


经过网上查找资料及分析，原来是注册表中的“Certificate”子键被损坏，才导致用户无法与终端服务

进行正常通信。

分析：Certificate子键负责终端服务通信中数据信息的认证和加密，它一旦被损坏，终端服务的协议组

件就会检测到错误，中断客户机与终端服务器之间的通信。导致Certificate子键损坏的原因很多，如管

理员安装和卸载某些系统软件、对终端服务参数的不合理配置等。这时我们需要重置该键值中的内容，

才能修复终端服务。


解决办法：进入注册表编辑器窗口，展开

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters”，
找到名为“Certificate”的子键，将它删除，重新启动Windows 2003 Server服务器，系统就会重新生

成“Certificate”子键，这样客户端就能正常连接到终端服务器了.



服务器还可以远程控制, 有人攻击了 ~~~~~~~~~~~~Fucking world!




---------------------------------------
提供服务的进程在与 World Wide Web Publishing 服务通信时遇到致命错误

事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 1011
日期: 2007-7-2
事件: 15:30:31
用户: N/A
计算机: WWW
描述:
为应用程序池 'AppPool-BBS' 提供服务的进程在与 World Wide Web Publishing 服务通信时遇到致命错误。进程 ID 为 '2052'。数据字段包含错误号。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 6d 00 07 80 m..

经查证: 原因为同事删除了user用户组对system32目录的访问权限,更正后完好!





---------------------------------------
错误: 应用程序池 '' 的模板永久性缓存初始化失败，这是由下列错误所导致..


事件类型: 错误
事件来源: Active Server Pages
事件种类: 无
事件 ID: 5
日期: 2008-5-27
事件: 8:00:15
用户: N/A
计算机: CHINA
描述:
错误: 应用程序池 '' 的模板永久性缓存初始化失败，这是由下列错误所导致: 无法创建应用程序池的磁盘缓存子目录。数据可能包含额外的错误代码。。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 05 00 00 00 ....
http://clin003.com/
_____________________________________________________________________________________

原因:

IIS运行权限的问题

解决方法：

更改IIS运行时用的两个帐户:IIS_WPG 和 NETWORK SERVICE ）对应应用程序池用到的相关目录的NTFS权

限，将IIS_WPG帐户设置为读取与执行、列出文件夹目录、读取，而

NETWORK SERVICE 则需要完全控制权限。

要配置的相关目录有以下几个：

%systemroot%\Help\IISHelp\Common
%systemroot%\System32\Inetsrv\ASP Compiled Templates
%systemroot%\IIS Temporary Compressed Files

完成后，重启IIS Admin服务，即可解决此问题。

附：%systemroot%通常指C:\Windows。







---------------------------------------
Unable to read local eventlog (reason: 传递给系统调用的数据区域太小。).




事件类型: 错误
事件来源: SQLSERVERAGENT
事件种类: Alert Engine
事件 ID: 318
日期: 2008-6-26
事件: 9:25:10
用户: N/A
计算机: WD1026
描述:
Unable to read local eventlog (reason: 传递给系统调用的数据区域太小。).

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。







微软的解释
--------------------
When you set Dr. Watson as the default debugger, a SQLSERVERAGENT error with Event id: 318 may
appear in Event Viewer immediately after an application generates an "unhandled exception" error.
-------------------
你可以这样做：
1.关闭华生医生
2.MS SQL Server企业管理器 -> 管理 -> SQL Server代理 -> 警报， 删除所有的警报(选中所有的警报，右键，删除)， 就OK了。
---------------------


这是微软建议：
You can ignore the SQL Server Agent error Event id: 318. The error occurs because of another application
failure that is running on the same computer where SQL Server is running. To prevent the error,
troubleshoot and resolve the application error that is raised by the other application

具体什么问题造成的希望有人能给指点个明路



---------------------------------------

无法读取 System Overview 日志或警报配置的 Log File Folder 数值。 将使用默认数值。








事件类型: 警告
事件来源: SysmonLog
事件种类: 无
事件 ID: 2006
日期: 2008-8-20
事件: 11:44:47
用户: N/A
计算机: CHINA
描述:
无法读取 System Overview 日志或警报配置的 Log File Folder 数值。 将使用默认数值。 返回的错误代码在数据中。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 02 00 00 00 ....

_______________________________________________________________________

事件类型: 警告
事件来源: SysmonLog
事件种类: 无
事件 ID: 2036
日期: 2008-8-20
事件: 14:12:09
用户: N/A
计算机: CHINATEXT
描述:
无法为 System Overview 日志配置创建 C:\PerfLogs 文件夹。 这个日志不会被启动。 返回的错误是: 拒绝访问。
。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 05 00 00 00 ....
_____________________________________________________________________


事件类型: 警告
事件来源: SysmonLog
事件种类: 无
事件 ID: 2004
日期: 2008-8-20
事件: 14:18:39
用户: N/A
计算机: CHINATEXT
描述:
服务无法为 System Overview 打开日志文件 C:\PerfLogs\System_Overview.blg 并且会被停止。 请检查日志文件夹是否存在及其拼写和权限，并确认没有其他日志 或应用程序正在写此日志文件。您可以使用配置程序重新输入此日 志文件名。不会启动这个日志。 返回的错误是 拒绝访问。
。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:0000: 05 00 00 00 ....

____________________________________________________________________________________

1.

SysmonLog（效 能记录日志及警示服务）的进程名是smlogsvc.exe。它可以严格监视硬盘、内存、 CPU甚至于软件在系统中的运行，并通过记录下的日志数据分析机器软硬件资源的具体情况。开始-运行services.msc,查看 Performance Logs and Alerts 这个服务可以设为禁用即可。

2.系统盘下创建新文件夹 :PerfLogs

给予network server 读写权限. System Overview 正常启动.







另外,System Overview 启动后,再停止,还是会出现错误报告.不过基本问题已经解决,无大碍.







事件类型: 审核失败 事件来源: Security 事件 ID: 680 事件 ID: 529 事件 ID: 560



事件类型: 审核失败
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2007-12-27
事件: 3:00:00
用户: NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: cnc1
源工作站: CHINA
错误代码: 0xC000006A


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。



事件类型: 审核失败
事件类型: 审核失败
事件种类: 登录/注销
事件 ID: 529
日期: 2007-12-27
事件: 3:00:00
用户: NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
原因: 用户名未知或密码错误
用户名: cnc1(最高管理员账户)
域: CHINATEXT
登录类型: 4
登录进程: Advapi
身份验证数据包: Negotiate
工作站名称: CHINA
调用方用户名: CHINA$
调用方域: CHINA
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 1444
传递服务: -
源网络地址: -
源端口: -


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

事件类型: 审核失败
事件来源: Security
事件种类: 对象访问
事件 ID: 560
日期: 2007-12-27
事件: 3:21:38
用户: CHINA\yunjin
计算机: CHINA
描述:
打开的对象:
对象服务器: PlugPlayManager
对象类型: Security
对象名称: PlugPlaySecurityObject
句柄 ID: -
操作 ID: {0,139564720}
进程 ID: 828
图像文件名: C:\WINDOWS\system32\services.exe
主要用户名: CHINA$
主要域: CHINA
主要登录 ID: (0x0,0x3E7)
客户端用户名: yunjin
客户端域: CHINATEXT
客户端登录 ID: (0x0,0x83F7F75)
访问次数: (0x0,0x83F7F75)
特权: 指定的访问权未知(bit 0)

受限 Sid 计数: -
访问掩码: 0


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

以上事件好像是 没两个小时出现一次~~~~不知道是什么原因造成的

请高手帮忙解释下原因和解决办法~~

务必情高人帮忙解释一下~~以上事件是 什么意思~`







------------------------------------------




应用程序事件 事件类型: 警告 事件来源: ASP.NET 2.0.50727.0 事件 ID: 1309 事件 ID: 1310

事件类型: 警告
事件来源: ASP.NET 2.0.50727.0
事件种类: Web 事件
事件 ID: 1309
日期: 2007-12-27
事件: 9:19:22
用户: N/A
计算机: CHINA
描述:
事件代码: 3005
事件消息: 发生了未处理的异常。
事件时间: 2007-12-27 9:19:22
事件时间(UTC): 2007-12-27 1:19:22
事件 ID: 266b5f1d131d4cb4a53a5bb9d189a782
事件序列: 9403
事件匹配项: 6
事件详细信息代码: 0

应用程序信息:
应用程序域: /LM/W3SVC/449516905/Root-1-128431912144375000
信任级别: Full
应用程序虚拟路径: /
应用程序路径: G:\w2k8.cn\
计算机名: CHINA

进程信息:
进程 ID: 5436
进程名: w3wp.exe
帐户名: NT AUTHORITY\NETWORK SERVICE

异常信息:
异常类型: HttpException
异常消息: 无法使用前导 .. 在顶级目录上退出。

请求信息:
请求 URL: http://www.w2k8.cn/display_s/ny.aspx?id=870&lx=5
请求路径: /display_s/ny.aspx
用户主机地址: 66.249.70.131
用户:
是否已经过身份验证: False
身份验证类型:
线程帐户名: NT AUTHORITY\NETWORK SERVICE

线程信息:
线程 ID: 6
线程帐户名: NT AUTHORITY\NETWORK SERVICE
是否正在模拟: False
堆栈跟踪: 在 System.Web.Util.UrlPath.ReduceVirtualPath(String path)
在 System.Web.Util.UrlPath.Reduce(String path)
在 System.Web.Util.UrlPath.Combine(String appPath, String basepath, String relative)
在 System.Web.HttpResponse.ApplyAppPathModifier(String virtualPath)
在 System.Web.UI.HtmlControls.HtmlForm.GetActionAttribute()
在 System.Web.UI.HtmlControls.HtmlForm.RenderAttributes(HtmlTextWriter writer)
在 System.Web.UI.HtmlControls.HtmlControl.RenderBeginTag(HtmlTextWriter writer)
在 System.Web.UI.HtmlControls.HtmlForm.Render(HtmlTextWriter output)
在 System.Web.UI.Adapters.ControlAdapter.Render(HtmlTextWriter writer)
在 FormRewriterControlAdapter.Render(HtmlTextWriter writer)
在 System.Web.UI.Control.RenderControlInternal(HtmlTextWriter writer, ControlAdapter adapter)
在 System.Web.UI.Control.RenderControl(HtmlTextWriter writer, ControlAdapter adapter)
在 System.Web.UI.HtmlControls.HtmlForm.RenderControl(HtmlTextWriter writer)
在 ASP.display_s_ny_aspx.__Render__control1(HtmlTextWriter __w, Control parameterContainer) 位置 g:\w2k8.cn\display_s\ny.aspx:行号 7
在 System.Web.UI.Control.RenderChildrenInternal(HtmlTextWriter writer, ICollection children)
在 System.Web.UI.Control.RenderChildren(HtmlTextWriter writer)
在 System.Web.UI.Page.Render(HtmlTextWriter writer)
在 System.Web.UI.Control.RenderControlInternal(HtmlTextWriter writer, ControlAdapter adapter)
在 System.Web.UI.Control.RenderControl(HtmlTextWriter writer, ControlAdapter adapter)
在 System.Web.UI.Control.RenderControl(HtmlTextWriter writer)
在 System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)


自定义事件详细信息:

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。



事件类型: 警告
事件来源: ASP.NET 2.0.50727.0
事件种类: Web 事件
事件 ID: 1310
日期: 2007-12-27
事件: 8:57:47
用户: N/A
计算机: CHINA
描述:
事件代码: 3006
事件消息: 发生了分析器错误。
事件时间: 2007-12-27 8:57:47
事件时间(UTC): 2007-12-27 0:57:47
事件 ID: 5c2299c90c054e71863d278f8fe938a3
事件序列: 39239
事件匹配项: 1
事件详细信息代码: 0

应用程序信息:
应用程序域: /LM/W3SVC/449516905/Root-1-128431872119218750
信任级别: Full
应用程序虚拟路径: /
应用程序路径: G:\w2k8.cn\
计算机名: CHINA

进程信息:
进程 ID: 9808
进程名: w3wp.exe
帐户名: NT AUTHORITY\NETWORK SERVICE

异常信息:
异常类型: HttpParseException
异常消息: 指令包含重复的“enableeventvalidation”属性。

请求信息:
请求 URL: http://www.w2k8.cn/office_im_s/z_Commodity.aspx
请求路径: /office_im_s/z_Commodity.aspx
用户主机地址: 222.172.219.221
用户:
是否已经过身份验证: False
身份验证类型:
线程帐户名: NT AUTHORITY\NETWORK SERVICE

线程信息:
线程 ID: 9
线程帐户名: NT AUTHORITY\NETWORK SERVICE
是否正在模拟: False
堆栈跟踪: 在 System.Web.UI.TemplateParser.ParseString(String text, VirtualPath virtualPath, Encoding fileEncoding)
在 System.Web.UI.TemplateParser.ParseFile(String physicalPath, VirtualPath virtualPath)
在 System.Web.UI.TemplateParser.ParseInternal()
在 System.Web.UI.TemplateParser.Parse()
在 System.Web.Compilation.BaseTemplateBuildProvider.get_CodeCompilerType()
在 System.Web.Compilation.BuildProvider.GetCompilerTypeFromBuildProvider(BuildProvider buildProvider)
在 System.Web.Compilation.BuildProvidersCompiler.ProcessBuildProviders()
在 System.Web.Compilation.BuildProvidersCompiler.PerformBuild()
在 System.Web.Compilation.BuildManager.CompileWebFile(VirtualPath virtualPath)
在 System.Web.Compilation.BuildManager.GetVPathBuildResultInternal(VirtualPath virtualPath, Boolean noBuild, Boolean allowCrossApp, Boolean allowBuildInPrecompile)
在 System.Web.Compilation.BuildManager.GetVPathBuildResultWithNoAssert(HttpContext context, VirtualPath virtualPath, Boolean noBuild, Boolean allowCrossApp, Boolean allowBuildInPrecompile)
在 System.Web.Compilation.BuildManager.GetVirtualPathObjectFactory(VirtualPath virtualPath, HttpContext context, Boolean allowCrossApp, Boolean noAssert)
在 System.Web.Compilation.BuildManager.CreateInstanceFromVirtualPath(VirtualPath virtualPath, Type requiredBaseType, HttpContext context, Boolean allowCrossApp, Boolean noAssert)
在 System.Web.UI.PageHandlerFactory.GetHandlerHelper(HttpContext context, String requestType, VirtualPath virtualPath, String physicalPath)
在 System.Web.UI.PageHandlerFactory.System.Web.IHttpHandlerFactory2.GetHandler(HttpContext context, String requestType, VirtualPath virtualPath, String physicalPath)
在 System.Web.HttpApplication.MapHttpHandler(HttpContext context, String requestType, VirtualPath path, String pathTranslated, Boolean useAppConfig)
在 System.Web.HttpApplication.MapHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
在 System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

http://clin003.com/
自定义事件详细信息:

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。



以上事件每天都有很多 是什么原因造成的,高手帮忙解释一下上面事件的具体意思

---------------------------------------
事件类型: 错误 事件来源: SQLSERVERAGENT 事件种类: Alert Engine


事件类型: 错误
事件来源: SQLSERVERAGENT
事件种类: Alert Engine
事件 ID: 318
日期: 2007-12-27
事件: 9:13:54
用户: N/A
计算机: CHINATEXT
描述:
Unable to read local eventlog (reason: 传递给系统调用的数据区域太小。).

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

求解~~~~~~~`上面意思 哪里的原因造成的~~~~~~~

---------------------------------------

事件类型: 错误 事件来源: ASP.NET 2.0.50727.0 事件 ID: 1088 错误: 0x80070005 拒绝访问


事件类型: 错误
事件来源: ASP.NET 2.0.50727.0
事件种类: 无
事件 ID: 1088
日期: 2007-12-25
事件: 15:34:54
用户: N/A
计算机: CHINA
描述:
由于无法创建应用程序域，因此未能执行请求。错误: 0x80070005 拒绝访问。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。



有这样的错误,`不明白~







---------------------------------------

错误 事件来源: Service Control Manager 事件 ID: 7001 事件来源: TermServDevices 事件 ID: 1114

事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7001
日期: 2007-12-25
事件: 10:55:29
用户: N/A
计算机: CHINA
描述:
与 Computer Browser 服务相依的 Server 服务因下列错误而无法启动:
无法启动服务，原因可能是已被禁用或与其相关联的设备没有启动。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
____________________________________________________________________________________________________

Server 服务,在服务器上应该都是禁用的~`





事件类型: 警告
事件来源: TermServDevices
事件种类: 无
事件 ID: 1114
日期: 2007-12-25
事件: 8:41:07
用户: N/A
计算机: CHINA
描述:
跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元，确认后台打印程序服务是否在运行。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 00 00 00 00 bc 02 00 00 ....¼... 服务器上什么程序回去和打印程序通讯>~~>>.??不 正常吧~












---------------------------------------

事件类型: 警告 事件来源: rdpdr 事件来源: HTTP 事件 ID: 54


事件类型: 警告
事件来源: rdpdr
事件种类: 无
事件 ID: 54
日期: 2007-12-24
事件: 9:51:37
用户: N/A
计算机: CHINA
描述:
事件 ID ( 54 )的描述(在资源( rdpdr )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述；查看帮助和支持以了解详细信息。下列信息是事件的一部分: \Device\RdpDrDvMgr.
数据:
0000: 00 00 00 00 01 00 54 00 ......T.
0008: 00 00 00 00 36 00 04 80 ....6..€
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........



事件类型: 警告
事件来源: HTTP
事件种类: 无
事件 ID: 54
日期: 2007-12-23
事件: 1:27:42
用户: N/A
计算机: CHINA
描述:
事件 ID ( 54 )的描述(在资源( HTTP )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。您可能可以使用 /AUXSOURCE= 标识来检索词描述；查看帮助和支持以了解详细信息。下列信息是事件的一部分: \Device\Http\AppPool.
数据:
0000: 00 00 00 00 01 00 52 00 ......R.
0008: 00 00 00 00 36 00 04 80 ....6..€
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........

这是怎么回事呀 什么意思~~~










---------------------------------------

事件类型: 错误 事件来源: SQLSERVERAGENT 事件种类: Alert Engine 事件 ID: 318


事件类型: 错误
事件来源: SQLSERVERAGENT
事件种类: Alert Engine
事件 ID: 318
日期: 2008-1-11
事件: 14:57:03
用户: N/A
计算机: CHINA
描述:
Unable to read local eventlog (reason: 传递给系统调用的数据区域太小。).

有关更

多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。



_____________________________________________________________________

318错误影响不大，一般是其它程序出问题了!

_____________________________________________________________________

微软的解释
--------------------
When you set Dr. Watson as the default debugger, a

SQLSERVERAGENT error with Event id: 318 may
appear in Event Viewer immediately after an application

generates an "unhandled exception" error.
-------------------
你可以这样做：
1.关闭华生医生
2.MS SQL Server企业管理器 -> 管理 -> SQL

Server代理 -> 警报， 删除所有的警报(选中所有的警报，右键，删

除)， 就OK了。
---------------------


这是微软建议：
You can ignore the SQL Server Agent error Event id: 318.

The error occurs because of another application
failure that is running on the same computer where SQL

Server is running. To prevent the error,
troubleshoot and resolve the application error that is raised

by the other application.







---------------------------------------

事件 ID: 7005 描述:LoadUserProfile 调用因下列错误而宣告失败: 拒绝访问。

事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7005
日期: 2008-4-14
事件: 10:42:14
用户: N/A
计算机: FFF-G7OUQ7494H1
描述:
LoadUserProfile 调用因下列错误而宣告失败:
拒绝访问。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。




---------------------------------------

事件类型: 警告SuperSocket 事件来源: MSSQLServer事件 ID: 19011信息: (SpnRegister) : Error 1355。


事件类型: 警告
事件来源: MSSQLServer
事件种类: (8)
事件 ID: 19011
日期: 2008-8-19
事件: 12:09:50
用户: N/A
计算机: CHINA
描述:
SuperSocket 信息: (SpnRegister) : Error 1355。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。



_______________________________________________________________________________

原因
通常，出现这条信息的原因是 SQL Server 服务帐户正以不具有注册 SPN 的必要权限的域用户身份运行。此外，该错误也可能与服务器是 Active Directory 目前不支持的群集服务器或故障转移虚拟服务器有关。
________________
查看数据库登录用户访问的数据库是否正确.




---------------------------------------

事件类型: 错误 事件来源: W3CTRS 事件 ID: 2003 刷新 W3SVC 计数器的时间太长，改用旧计数器


事件类型: 错误
事件来源: W3CTRS
事件种类: 无
事件 ID: 2001
日期: 2008-8-19
事件: 9:30:25
用户: N/A
计算机: CHINATEXT
描述:
刷新 W3SVC 计数器耗时太长，正在使用旧的计数器来代替。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

事件类型: 错误
事件来源: W3CTRS
事件种类: 无
事件 ID: 2003
日期: 2008-8-16
事件: 15:11:16
用户: N/A
计算机: CHINA
描述:
刷新 W3SVC 计数器的时间太长，改用旧计数器。这是过去 12:00:00 (小时、分钟、秒)内的第二个消息。时间限制过期之前，不会为此客户端会话记录旧计数器消息。
有关此消息的其他特定信息，请访问 Microsoft 联机支持站点，位于: http://go.microsoft.com/fwlink?linkid=538.

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。



________________________________________________________________________________

服务器打完补丁后可能会出现这个.

1. 单击 开始 ， 单击 运行 , 类型 cmd然后单击 确定 。
2. 类型 unlodctrServiceName然后按 Enter。

注意 Servicename 表示影响服务的名称。
3. 类型 lodctrIniFile然后按 Enter。

注意 Inifile 表示您要加载驱动程序 .ini 文件的名称。 例如, 如果要加载 W3svc 驱动程序, 必须键入 w3ctrs.ini.

另;在%SystemRoot%\System32 文件夹中编辑一个bat文件，
复制以下

unlodctr w3svc
unlodctr msftpsvc
unlodctr asp
unlodctr inetinfo
lodctr w3ctrs.ini
lodctr ftpctrs.ini
lodctr axperf.ini
lodctr infoctrs.ini

运行,重启。

原理是先卸载并重新加载 IIS 性能动态链接库 (DLL)。




---------------------------------------

http://clin003.com/