Windows系统日志分析_windows系统事件日志

大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元售后保障童叟无欺

Windows操作系统的日志分析

Windows日志简介

Windows操作系统在其运行的生命周期中会记录其大量的日志信息，这些日志信息包括：Windows事件日志，Windows服务器角色日志，FTP日志，邮件服务日志，MS SQL Server数据库日志等。主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息。用户可以通过它来检查错误发生的原因，处理应急事件，提供溯源，这些日志信息在取证和溯源中扮演着重要的角色。

Windows日志事件类型

在这里插入图片描述

Windows操作系统日志分析

Windows事件日志中记录的信息中，关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。这里的事件ID与操作系统的版本有关。以下列举出常见的事件ID（操作系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本）。

Windows系统日志分为两大类：Windows日志、应用程序和服务日志。Windows日志记录事件数据超过20MB时，默认系统将优先覆盖过期的日志记录。应用程序和服务日志最大为 1MB 。Windows系统使用自带的事件查看器来查看分析所有的Windows系统日志。
一、打开事件查看器：控制面板→管理工具中找到事件查看器，或者在【开始】→【运行】→输入 eventvwr.msc 打开。

二、筛选日志进行分析
如果想要查看账户登录事件，在右边点击筛选当前日志，在事件ID填入4624和4625，4624 登录成功
4625 登录失败。