Explicación detallada de los registros del sistema de Windows
1/5 Leer paso a paso
1. ¿Qué es un archivo de registro?
Un archivo de registro es un archivo especial en el sistema Windows. Todo lo que sucede en el sistema, como el inicio, la ejecución y el cierre de varios servicios del sistema. Los registros de Windows incluyen aplicaciones, seguridad, sistema y otras partes. Su ruta de almacenamiento es "systemrootsystem32config". Los nombres de archivo correspondientes al registro de la aplicación, el registro de seguridad y el registro del sistema son AppEvent.evt, SecEvent.evt y SysEvent.evt. Estos archivos están protegidos por el servicio de registro de eventos y no se pueden eliminar, pero sí se pueden borrar.
2/5
Cómo ver archivos de registro Ver archivos de registro en Windows es muy fácil. Haga clic en "Comenzar a configurar el Visor de eventos de las herramientas administrativas del panel de control" y los tipos de registros contenidos en la máquina se enumeran en la columna izquierda de la ventana del Visor de eventos, como aplicación, seguridad, sistema, etc. Ver un determinado registro también es muy sencillo. Seleccione un determinado tipo de registro, como una aplicación, en la columna de la izquierda y luego enumere todos los registros de ese tipo de registro en la columna de la derecha. y aparecerán las "Propiedades del evento". Un cuadro de diálogo muestra la información detallada del registro, para que podamos comprender con precisión lo que está sucediendo en el sistema. De esta forma podremos saber claramente qué está pasando en el sistema, si afecta al normal funcionamiento de Windows, y detectar y eliminar a tiempo los problemas cuando se produzcan.
3/5
3. Proteger los archivos de registro de Windows
Los archivos de registro son muy importantes para nosotros, por lo que no podemos ignorar su protección, para evitar algunos. " Si ocurren "elementos criminales", limpiaremos los archivos de registro.
1. Modifique el directorio de almacenamiento del archivo de registro
La ruta predeterminada del archivo de registro de Windows es "systemrootsystem32config". Podemos cambiar su directorio de almacenamiento modificando el registro para mejorar el registro. Proteja. Haga clic en "Iniciar ejecución", ingrese "Regedit" en el cuadro de diálogo, presione Entrar y aparecerá el editor de registro. Expanda "HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog". respectivamente Registros de aplicaciones, registros de seguridad, registros del sistema. Tomé el registro de la aplicación como ejemplo y lo moví al directorio "d:\cce". Seleccione la subclave "Aplicación", busque la clave "Archivo" en la columna de la derecha, su valor clave es la ruta del archivo de registro de la aplicación "SystemRootsystem32configAppEvent.Evt", cámbielo a "d:\cceAppEvent.Evt" y luego cambie es "d:\cceAppEvent.Evt". Luego cree un nuevo directorio "CCE" en la unidad D, copie "AppEvent.Evt" al directorio y reinicie el sistema para completar la modificación del directorio de almacenamiento del archivo de registro de la aplicación. Los métodos para modificar otros tipos de rutas de archivos de registro son los mismos, pero los subelementos de la operación son diferentes.
4/5
2. Establecer permisos de acceso a archivos
Después de modificar el directorio de almacenamiento del archivo de registro, el registro aún se puede borrar, siempre que Windows lo utilice. el formato del sistema de archivos NTFS, puede modificar los siguientes permisos de acceso al archivo de registro para evitar que esto suceda.
Haga clic derecho en el directorio CCE en la unidad D, seleccione "Propiedades", cambie a la pestaña "Seguridad" y desmarque la opción "Permitir que los permisos heredables de los padres se propaguen a objetos". Primero, desmarque la opción "Permitir que los permisos heredables del objeto principal se propaguen a este objeto".
A continuación, seleccione la cuenta "Todos" en el cuadro de lista de cuentas y otorgue sólo permiso de "Lectura" y luego haga clic en el botón "Agregar" para agregar la cuenta "Sistema" a la lista. Luego haga clic en el botón "Agregar", agregue la cuenta "Sistema" al cuadro de lista de cuentas y otorgue todos los permisos excepto "Control total" y "Modificar", y finalmente haga clic en el botón "Aceptar". Finalmente haga clic en el botón "Aceptar". De esta manera, cuando el usuario borra el registro de Windows, aparece un cuadro de diálogo de error.
5/5
IV. Análisis de muestra del registro de Windows
Muchos eventos operativos se registran en los registros de Windows para facilitar a los usuarios su gestión. A cada tipo se le asigna un número único, que es el ID del evento. Ver registros de conmutación normales
En los sistemas Windows, podemos ver los registros de inicio y apagado de la computadora a través del registro del sistema del visor de eventos. Esto se debe a que el servicio de registro registrará el registro cuando la computadora se inicie o se apague. abajo.Dejar un registro. Aquí presentaremos dos ID de evento "6006 y 6005". 6005 indica que el servicio de registro de eventos se ha iniciado. Si el ID del evento de un día determinado es 6005 en el visor de eventos, significa que el sistema Windows se inició normalmente ese día. 6006 significa que el servicio de registro de eventos se detuvo. Si no se encuentra en el visor de eventos, significa que el servicio de registro de eventos se detuvo. Si no se encuentra ningún evento con el número de ID de evento 6006 en el visor de eventos, significa que la computadora no se apagó correctamente ese día. Puede deberse a razones del sistema o directamente a un corte de energía, lo que impide la operación de apagado normal. de ser realizado. 2. Verifique la información de advertencia de configuración de DHCP
En redes más grandes, generalmente se usa un servidor DHCP para configurar la información de la dirección IP del cliente. Si el cliente no puede encontrar el servidor DHCP, usará automáticamente la IP interna. La dirección se configura en el cliente y se genera un evento con el número de ID de evento 1007 en el registro de Windows. Si el usuario encuentra un evento con este número en el registro, significa que la máquina no puede obtener información del servidor DHCP. En este momento, es necesario verificar si la máquina tiene una falla de red o un problema con el servidor DHCP.