急，我是菜鸟，有高手路过来指点一下

这个你得下载那中纪录软件看吧。

操作系统可以将发生的某些事情记录到系统日志中，而通过使用事件查看器我们就可以查看系统日志中的所有记录。本来这个功能是为了方便维护以及保证安全而设置的，我们就是利用了其中监视用户登录的功能。

要使用该功能，你的操作系统必须是Windows 2000/XP professional /2003，而且需要打开Event Log服务。同时，你还必须以管理员的帐户登录才能对其进行设置和查看。下文我们会以Windows XP Professional SP2为例向你介绍如何使用事件查看器。

我们的目的有两个，监视系统的开关机情况以及用户的登录情况。首先我们可以考虑一下，关于开关机，有什么比较的方法能够监视？要知道，我们既然要记录系统日志，那么相应的Event Log服务就必须在操作系统运行的时候正常运行，也就是说，Event Log这个服务启动的时候就是系统启动的时候，而该服务关闭的时候就是系统关闭的时候。我们只要能通过事件查看器得知Event Log服务启动和关闭的时间，那么操作系统什么时候启动和关闭的就会知道了。

至于具体是哪个用户登录，我们要启用审核策略，利用该策略我们可以对成功或失败的登录审核，而每个使用自己帐户登录系统的用户，这一登录过程不管是成功还是失败，都会根据审核策略的设置被记录到系统日志中。

因为网上很多操作系统优化的文章中都介绍了禁用某些不需要的服务来加快系统的运行速度，因此在进行设置前，首先保证你的Event Log服务没有被禁用。在运行中输入“Services.msc”并回车，打开服务设置窗口，在右侧的面板中找到并双击“Event Log”这个服务，查看运行方式下拉列表是否被选择了“自动”，如果没有选择，请你将其设置为自动，而如果该服务当前还没有运行起来，请点击下面的“启动”按钮。

因为系统对服务的监控默认就在进行，因此我们现在只需要设置审核策略（注意，该内容不适合Windows XP Home Edition）。在运行中输入“gpedit.msc”打开组策略编辑器，在左侧的树形列表中展开到“计算机配置-Windows设置-安全设置-本地策略-审核策略”，然后在右侧面板中找到并双击“审核