激活Userenv.log和winlogon.log分析系统故障
客户机登陆域慢的原因可能会有许多,关于登陆域的问题,有1个log可以用来排错,Userenv.log,它位于%windir%\Debug\UserMode文件夹下面,需要在客户端上面增加一个注册表键值激活USERENV日志。
激活Userenv.log日志
启动注册表编辑器:
在 HKEY_LOCAL_MACHINE\Software\Microsoft\windowsNT\currentVersion\Winlogon
创建DWORD值:UserenvDebugLevel
键值:0x00000000(表示禁用)
0x00000001(记录普通消息)
0x00000002(记录详细消息)
0x00010000(产生日志文件)
0x00020000(记录最详细的消息)
通常使用 0x00010002
默认值是 记录普通消息|产生日志文件 (0x00010001)。
注意:要禁用日志,请选择 禁用 值为 0X00000000)。
您也可以将这些值组合起来。例如,将 记录详细消息 0x00000002 和 产生日志文件 0x00010000 组合起来,便可得到 0x00010002。因此,如果您将 UserEnvDebugLevel 的值设置为 0x00010002,将同时打开 产生日志文件 和 记录详细消息。将这些值组合起来与使用 OR 语句具有相同的效果:
0x00010000 OR 0x00000002 = 0x00010002
注意:如果设置了 UserEnvDebugLevel = 0x00030002,则会在 Userenv.log 文件中记录最为详细的信息。
该日志文件会被写入 %Systemroot%\Debug\UserMode\Userenv.log 文件中。如果 Userenv.log 已存在并且大于 300 KB,则现有文件将重命名为 Userenv.bak,同时创建一个新的日志文件。Userenv.log,它位于%windir%\Debug\UserMode文件夹下面
userenv格式说明
Userenv(178.17c) 13:48:51:089 MyRegUnLoadKey:Failed to unmount hive 000005
Userenv(178.17c):日志文件中的每一条表项都以USERENV开始。(178.17c)表示进程名代码.线程名代码。
13:47:51:表示处理时间
MyRegUnLoadKey:表示处理名称
Faild to unmount hiv 000005:表示处理事件简述。
激活winlogon日志
启动注册表编辑器:
在HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
创建DWORD值:ExtensionDebugLevel
键值:2
Winlogon.log位于%Systemroot%\Security\Logs文件夹下面
