Windows系统日志记录系统中硬件、软件和系统问题的信息，同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因，或者寻找收到攻击时攻击者留下的痕迹（但日志也有可能被攻击者删除或伪造）

Windows日志分类：

应用程序日志、系统日志、安全日志

系统日志

记录着操作系统组件发生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

bat脚本中读取一个命令运行的返回值，并且执行相关的操作。使用for /f语法即可。

方法：

以下bat脚本在任务管理器中查找名称为python2.exe，且进程启动参数中包含了aaa字符的进程：

for /f "tokens=2" %%i in ('tasklist^|findstr /i python2.exe')

do ( 

    for /f "delims=|" %%j in ('wmic process where "ProcessId=%%i" get CommandLine^|findstr /i aaa')

部署方法：

(一)   在主域控制器的F盘，新建一个目录，命名为“软件安装共享”，设置共享后，并确保user组用户具有读取，执行权限。（最好在“软件安装共享”的安全属性配置向下继承）

(二)   打开主域控制器上的“Active Directory用户与计算机”右键“testx.com”属性，选择“组策略”“编辑”，进入“组策略编辑器”

(三)   注意：将用户liyuan加入到Domain Administrators 安全组、Enterprise Administrators 安全组或 Group Policy Creator Owners 安全组。

故障现象

用户卸载VMware tools后，经过一系列骚操作，导致数据存储中虚拟机目录下有.vmx~和.vmx.lck锁定文件而且.vmx无法注册到虚拟机；

解决办法

1、先尝试对虚拟机进行快照，迁移等操作，看看是直接报错还是会出现在不通esxi主机节点上来回漂移的现象。如果出现来回漂移，那最好先关闭集群中的HA和DRS，以防止将其他vm发生死锁；如果不是来回漂移，就不用关闭了；

日常工作我们经常会遇到将虚拟机从单机版的VMware Workstatrion中迁移到Esxi平台，现提供2个方法以供参考：

方法一：

打开esxi的存储文件浏览器，直接把VMware workstation中的虚拟机（先修改虚拟机硬件兼容性版本为VM8.0）存储目录直接上传到esxi存储中，再打开其中的vmx配置文件即可。

方法二：

选定需要迁移的虚拟机，在VMware workstation中选择菜单栏“文件”，选择“导出为ovf虚拟机模板”，把虚拟机导出为ovf或ova虚拟机模板，再到esxi中选择部署ovf模板即可。

一，SYSVOL复制方式为DFSR，netlogon sysvol恢复方式

1，故障拓扑

故障描述：

域内有两台DC，辅DC无法同步SYSVOL。辅DC降级后，退域，再加入域，再升级为域控制器，依然无法同步SYSVOL。

使用NET SHARE命令对两台DC进行诊断：

主DC结果：

共享名       资源                            注解