DHCP服务与DNS服务在这方面有些不同。通过上一章的学习，我们知道DNS服务器在控制台中就可以查到相应的事件记录，而在DHCP服务中却没有相应的事件记录。但并不是说DHCP服务就没有事件记录，它有，只是相对DNS服务来说更加简单，也更加隐蔽，事件的查看需要在资源管理器中打开相应的日志文件，相对来说比较麻烦。而且日志记录也没有DNS服务那么详细。本节就要介绍DHCP服务的审核日志方面的知识。

　　一 DHCP审核日志概述

　　运行Windows Server 2003的DHCP服务器包含几个提供了增强审核能力的日志功能和服务器参数。您可以指定以下功能。

　　 DHCP服务器存储审核日志文件的目录路径。在默认情况下，DHCP审核日志位于％windir％\System32\Dhcp。

　　 DHCP服务创建和存储的所有审核日志文件可采用的磁盘空间总容量的最大限制（以兆字节MB计算）。

　　 磁盘检查间隔用于确定在检查服务器上可用磁盘空间之前DHCP服务器向日志文件写多少次审核日志事件。

　　 服务器磁盘空间的最小容量（以兆字节MB计算）要求它在磁盘检查期间用来确定服务器是否有足够的空间继续审核日志。

　　当然我们可以有选择地启用或禁用每个DHCP服务器上的审核日志功能。方法是在相应的DHCP服务器上单击鼠标右键，在弹出菜单中选择【属性】命令，在打开的对话框中选择"常规"选项卡，如图8-79所示。如果选择了"启用DHCP审核记录"复选项则同时会启用以上事件审核，否则则同时关闭。

　　只有DHCP服务器存储审核日志文件的目录路径才能使用DHCP控制台进行修改。方法是在如图79所示的对话框中选择"高级"选项卡，如图80所示。单击"审核日志路径"栏后的【浏览】按钮可以重新修改路径。

　　二 审核日志的工作原理

　　本节中介绍的审核日志行为仅适用于Windows 2000 DHCP和Windows Server 2003 DHCP。它淘汰了之前在早期Windows NT Server版本中使用的DHCP日志行为，后者不执行审核检查并且仅使用名为Dhcpsrv.log的单个日志文件记录服务事件。

　　DHCP服务器日志的格式结构以及所维护的审核记录的报告级别Windows NT Server提供的早期DHCP服务器版本中的相同。

　　1．命名审核日志文件

　　DHCP服务器的服务基于本周当天的审核文件名称，它是通过检查服务器上的当前日期和时间确定的。如图81所示。

　　2．启动日审核日志

　　当DHCP服务器启动或新的一天开始（此时计算机上的本地时间为中午12:00）时，服务器会在审核日志文件中写入头信息来表明记录已开始，如图82所示。然后，根据审核日志文件是否为新的或现有的文件，决定执行下列操作。

　　（1）如果文件已经存在而且超过一天没有修改了，则覆盖此文件。

　　（2）如果文件已经存在但是在以前的24小时内被修改过，则不覆盖此文件。另外，新的日志活动附加在现有文件的尾部。

　　3．磁盘检查

　　审核日志开始后，DHCP服务器定期执行磁盘检查，以确保服务器磁盘空间的可用性以及当前审核日志文件不会变得太长或日志文件增长不会太快。

　　只要有下列任何情况发生，DHCP服务器就执行完全的磁盘检查。

　　 记录了一系列服务器事件。

　　 服务器计算机上的日期更改。

　　在默认情况下，DHCP服务器每隔50个事件写入审核日志时进行定期的磁盘空间检查。当DHCP服务器计算机按照其本地设置的时钟到达中午12:00时，它还有检测到日期的更改。每次完成磁盘检查时，此服务器确定磁盘空间是否已满。只要下面的某个条件成立，则认为磁盘已满。
　　 服务器计算机上的磁盘空间低于DHCP审核日志的最小容量要求。

　　在默认情况下，如果服务器磁盘上剩余的磁盘空间容量低于20 MB，则停用审核日志。

　　 当前审核日志文件大于最大分配空间或当前存储在服务器上所有审核日志的合计大小的七分之一。

　　检查磁盘时，DHCP服务器将当前审核日志文件的确切大小（以MB计算）与通过除以当前值所获得的值相比较，以获得覆盖和放弃旧的日志文件之前服务器允许同时存储的最大日志文件数量。在默认情况下，服务器允许存储的最大日志文件数量是7，每周每天一个文件。假定设置了默认值，当前审核日志文件能达到的最大大小为1 MB。

　　在任何一种情况下，如果磁盘已满，则DHCP服务器会关闭当前文件并忽略对日志审核事件的其他请求，直至上午12:00或磁盘状态好转且有可用空间为止。

　　即使由于磁盘已满而忽略了审核记录事件，DHCP服务器仍会每隔50个事件（或当前设置的间隔）继续进行磁盘检查以确定磁盘状态是否有所好转。如果后续的磁盘检查工作已确定拥有所需的服务器磁盘空间数量，则DHCP服务器重新打开当前日志文件并恢复日志。

　　4．结束每日审核日志

　　在服务器计算机上的当地时间中午12:00，DHCP服务器关闭现有日志并移动到用于本周后一天的日志文件。例如，如果工作日在中午12:00时从星期三变为星期四，名为"DhcpSrvLog-Wed"的日志文件将被关闭，而名为"DhcpSrvLog-Thu"的文件将被打开用于记录事件。