精华内容
下载资源
问答
  • windows系统怎么查看日志
    千次阅读
    2022-06-02 10:38:33

    系统日志是用于记录系统中硬件、软件和系统问题、监视系统中发生事件的信息。分为系统日志、应用程序日志和安全日志。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
    Windows系统日志可以通过右击计算机-管理-事件查看器,或者在【开始】→【运行】→输入 eventvwr.msc 也可以直接进入“事件查看器”进行查询。
    Windows日志常用事件ID
    1074,查看计算机的开机、关机、重启的时间以及原因和注释。
    6005,表示日志服务已启动,用来判断正常开机进⼊系统。
    6006,表示日志服务已停用
    6009,表示非正常关机
    41,  表示系统在未先正常关机的情况下重新启动。
    4199,当发生TCP/IP地址冲突的时候,会出现此事件ID。
    35,36,37,记录时间客户端状态信息,35表⽰更改时间源,36表示时间同步失败,37表示时间同步正常
    7045,服务创建成功
    7030,服务创建失败
    4624,成功登陆的用户
    4625,表示登陆失败的用户
    4672,表示授予了特殊权限
    4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
    4727,4737,4739,4762,表示当用户组发生添加、删除时或组内添加成员时生成该事件。
     

    更多相关内容
  • 如果利用系统日志的“另存为”功能手工备份,则比较麻烦,而且输出的日志难以实现格式化输出,微软的resource kit工具包中有一个免费的查看本地或远程日志的小工具dumpel.exe,利用它可以把日志存为文本文件以备后需...
  • windows系统日志自动备份工具加文档
  • 可实现在Windows操作系统下使用tail查看日志命令的工具,将其下载解压后,tail.exe放置C:\Windows\System32路径下,双击打开则可使用
  • 查看windows系统日志方法

    千次阅读 2021-05-25 08:01:07
    Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有:4634 - 帐户被注销4647 - 用户发起注销4624 - 帐户已成功登录(可以查看4625 - 帐户登录失败4648 - 试图使用明确的凭证...

    在Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有:

    4634 - 帐户被注销

    4647 - 用户发起注销

    4624 - 帐户已成功登录(可以查看

    4625 - 帐户登录失败

    4648 - 试图使用明确的凭证登录(可以用以查看远程登陆的相关信息,比如远程登陆的IP地址等)

    一、使用事件查看器查看日志信息

    下面以查看远程连接的日志为例展示事件查看器的使用。

    1.1 在搜索框中搜索 “事件查看器”,双击打开。(事件查看器的位置在C:\WINDOWS\system32,名字为eventvwr.msc)

    1.2 展开左侧的 “Windows 日志” 然后双击 “安全”。(其他的日志可能需要选择其他选项)

    1.3 点击最右边”操作” 栏中的 “删选当前日志…”

    1.4 在弹出的窗口选择记录时间 (Logged), 和输入事件ID : 4648, 我这里是想查看过去七天的远程到本机的记录

    1.5 选中一条过滤出来的记录, 然后 点击 下方的 “详细信息”, 其中 “EventData” 下的 “IpAddress” 即为远程过来的IP地址,127.0.0.1表示是本地登陆,‘TargetUserName’是本电脑的名字。

    二、常用的日志ID

    审计目录服务访问

    4934 - Active Directory 对象的属性被复制

    4935 -复制失败开始

    4936 -复制失败结束

    5136 -目录服务对象已修改

    5137 -目录服务对象已创建

    5138 -目录服务对象已删除

    5139 -目录服务对象已经移动

    5141 -目录服务对象已删除

    4932 -命名上下文的AD的副本同步已经开始

    4933 -命名上下文的AD的副本同步已经结束

    审计登录事件

    4634 - 帐户被注销

    4647 - 用户发起注销

    4624 - 帐户已成功登录

    4625 - 帐户登录失败

    4648 - 试图使用明确的凭证登录

    4675 - SID被过滤

    4649 - 发现重放攻击

    4778 -会话被重新连接到Window Station

    4779 -会话断开连接到Window Station

    4800 – 工作站被锁定

    4801 - 工作站被解锁

    4802 - 屏幕保护程序启用

    4803 -屏幕保护程序被禁用

    5378 所要求的凭证代表是政策所不允许的

    5632 要求对无线网络进行验证

    5633 要求对有线网络进行验证

    审计对象访问

    5140 - 网络共享对象被访问

    4664 - 试图创建一个硬链接

    4985 - 交易状态已经改变

    5051 - 文件已被虚拟化

    5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接

    4698 -计划任务已创建

    4699 -计划任务已删除

    4700 -计划任务已启用

    4701 -计划任务已停用

    4702 -计划任务已更新

    4657 -注册表值被修改

    5039 -注册表项被虚拟化

    4660 -对象已删除

    4663 -试图访问一个对象

    审计政策变化

    4715 - 对象上的审计政策(SACL)已经更改

    4719 - 系统审计政策已经更改

    4902 - Per-user审核政策表已经创建

    4906 - CrashOnAuditFail值已经变化

    4907 - 对象的审计设置已经更改

    4706 - 创建到域的新信任

    4707 - 到域的信任已经删除

    4713 - Kerberos政策已更改

    4716 - 信任域信息已经修改

    4717 - 系统安全访问授予帐户

    4718 - 系统安全访问从帐户移除

    4864 - 名字空间碰撞被删除

    4865 - 信任森林信息条目已添加

    4866 - 信任森林信息条目已删除

    4867 - 信任森林信息条目已取消

    4704 - 用户权限已分配

    4705 - 用户权限已移除

    4714 - 加密数据复原政策已取消

    4944 - 当开启Windows Firewall时下列政策启用

    4945 - 当开启Windows Firewall时列入一个规则

    4946 - 对Windows防火墙例外列表进行了修改,添加规则

    4947 - 对Windows防火墙例外列表进行了修改,规则已修改

    4948 - 对Windows防火墙例外列表进行了修改,规则已删除

    4949 - Windows防火墙设置已恢复到默认值

    4950 - Windows防火墙设置已更改

    4951 - 因为主要版本号码不被Windows防火墙承认,规则已被忽视

    4952 - 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分

    4953 - 因为Windows防火墙不能解析规则,规则被忽略

    4954 - Windows防火墙组政策设置已经更改,将使用新设置

    4956 - Windows防火墙已经更改主动资料

    4957 - Windows防火墙不适用于以下规则

    4958 - 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则:

    6144 - 组策略对象中的安全政策已经成功运用

    6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误

    4670 - 对象的权限已更改

    审计特权使用

    4672 - 给新登录分配特权

    4673 - 要求特权服务

    4674 - 试图对特权对象尝试操作

    审计系统事件

    5024 - Windows防火墙服务已成功启动

    5025 - Windows防火墙服务已经被停止

    5027 - Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策

    5028 - Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策

    5029 - Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策

    5030 - Windows防火墙服务无法启动

    5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序

    5033 - Windows防火墙驱动程序已成功启动

    5034 - Windows防火墙驱动程序已经停止

    5035 - Windows防火墙驱动程序未能启动

    5037 - Windows防火墙驱动程序检测到关键运行错误,终止。

    4608 -Windows正在启动

    4609 - Windows正在关机

    4616 - 系统时间被改变

    4621 - 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录

    4697 - 系统中安装服务器

    4618 - 监测安全事件样式已经发生

    展开全文
  • 起因:回到工位发现自己电脑没锁屏,突然想找到查看windows登录记录的方法 参考: http://www.cflab.net/News/1522379153901 https://blog.csdn.net/C_chuxin/article/details/84974207 ... 操作方法: ...

    起因:回到工位发现自己电脑没锁屏,突然想找到查看windows登录记录的方法

    参考:

    http://www.cflab.net/News/1522379153901

    https://blog.csdn.net/C_chuxin/article/details/84974207

    https://www.akunblog.com/archives/275.html

    操作方法:

    打开事件查看器

    事件查看器->windows日志->安全

    右侧选择筛选当前日志

    筛选事件ID

    • 4624 - 帐户已成功登录
    • 4625 - 帐户登录失败
    • 4634 - 帐户被注销
    • 4647 - 用户发起注销
    • 4648 - 试图使用明确的凭证登录(可以查看远程登陆的相关信息,比如IP地址等)

    发现筛选事件ID为4624时,并不是所有的日志都是用户登录行为

    TargetUserName为SYSTEM的,LogonType为5的不是用户的登陆行为

    TargetUserName为本机微软账户的,LogonType为7的通常所说的用户登陆

    LogonType的具体释义:

    或者可以筛选事件ID为4648的事件,都是用户手动登录系统的事件

    事件ID为4634的事件,为用户锁屏注销的事件

    筛选事件ID46344648,则可以看到连贯的注销和登录记录

     

     

    展开全文
  • Windows操作系统日志分析

    千次阅读 2020-09-12 16:08:14
    Windows操作系统的日志分析 Windows日志简介 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP日志,邮件...Windows操作系统日志分析 Wi

    Windows操作系统的日志分析

    Windows日志简介

    Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP日志,邮件服务日志,MS SQL Server数据库日志等。主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息。用户可以通过它来检查错误发生的原因,处理应急事件,提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。

    Windows日志事件类型

    在这里插入图片描述

    Windows操作系统日志分析

    Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。这里的事件ID与操作系统的版本有关。以下列举出常见的事件ID(操作系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本)。

    在这里插入图片描述
    Windows系统日志分为两大类:Windows日志、应用程序和服务日志。Windows日志记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。应用程序 和 服 务 日 志 最 大 为 1MB 。Windows系统使用自带的事件查看器来查看分析所有的Windows系统日志。
    一、打开事件查看器:控制面板→管理工具 中找到事件查看器,或者在【开始】→【运行】→输 入 eventvwr.msc 打开。
    在这里插入图片描述
    二、筛选日志进行分析
    如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功
    4625 登录失败。

    在这里插入图片描述

    展开全文
  • Windows系统服务器系统日志在哪里查看? 服务器日志是什么? 服务器日志(server log)是一个或多个由服务器自动创建和维护的日志文件,其中包含其所执行活动的列表 简单来说,服务器的日记就是记录网站被访问的...
  • MFC 获取windows系统日志

    热门讨论 2014-03-03 16:46:07
    API获取windows系统日志,以及MFC的基本DEMO
  • windows系统日志查看

    万次阅读 多人点赞 2019-05-29 09:06:16
    或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。 2、接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。 3、事件id...
  • Windows10系统查看蓝屏日志的方法

    千次阅读 2021-08-12 02:01:28
    比如常见的蓝屏故障,而很多用户在遇到蓝屏之后,经常记不住蓝屏显示的错误代码,导致不知道怎么解决,其实我们可以查看蓝屏日志就可以知道了,接下来小编就给大家讲解一下Windows10系统查看蓝屏日志的方法吧。...
  • 查看系统的运行日志,地球人都知道可以通过事件查看器检查。可能很多新手 看到几万条记录会慌掉,看完本篇教程,就再也不用慌了。第一步:打开 事件查看器,安全日志(这个地球人都知道!找到桌面的计算机图标,右击...
  • Windows系统下开发不可缺少的利器,实时查看日志利器。
  • windows服务器日志查看工具

    千次阅读 2021-08-08 07:39:27
    windows服务器日志查看工具 内容精选换一换本节操作指导用户查看Windows弹性云服务器的登录日志。本节操作以2012操作系统云服务器为例。登录弹性云服务器。选择“开始 > 管理工具 > 事件查看器 ”。打开“ ...
  • windows操作系统日志类型

    千次阅读 2022-01-10 19:08:44
    Windows日志特指Windows操作系统中...在Windows系统查看日志文件很简单。点击“ 开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看
  • windows系统日志清理bat,win 10可用;右击,管理员运行,之后可用win+r键,运行eventvwr,查看效果。
  • windows系统日志分析

    千次阅读 2021-07-29 00:12:21
    一、Windows日志文件的保护日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。1. 修改日志文件存放目录Windows日志文件默认路径是“%systemroot%system32config...
  • 首先查看硬件状态,设备是否为正常登录状态,硬件指示灯是否正常,可以查看一下Windows系统日志。以Windows Server 2012 R2进行分析。问题分析:Windows 事件查看器显示有关操作系统、其他应用程序以及数据库服务器的...
  • Windows系统日志分析

    万次阅读 2021-07-30 22:37:28
    系统日志:System.evtx (系统组件等日志) 应用程序日志: Application.evtx (应用程序等日志) 安全日志:Security.evtx(系统登录等日志) win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr...
  • windows日志审计

    千次阅读 2022-05-17 16:05:12
    运行 eventvwr 命令,打开事件查看器,查windows 日志,分析windows 日志时,主要是查看安全日志,分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。 Windows日志 分析windows日志,...
  • 您好,请知:使用Nxlog将Windows日志以syslog形式发送至日志Syslog服务器nxlog下载地址:https://download.csdn.net/download/c1052981766/10299741下载之后进行安装;查看服务:修改配置文件:C:\Program Files (x86)\...
  • windows 查看开机关机日志

    千次阅读 2021-11-10 18:35:07
    windows 查看开机关机日志 控制面板 管理工具 事件查看器 6005、6006、6008 6005:开机 6006:关机 6008:非正常关机(如:断电、电源键)
  • 虽然不需要重装系统,但是时不时的卡机会给我们日常工作学习带来极大不便。今天我们就来探讨一下造成Windows7卡机的原因以及解决办法。各类原因以及解决方法一、开机进入桌面后,鼠标长时间保持忙碌状态,只有强制...
  • windows日志文件查看与清理

    千次阅读 2021-09-12 19:12:50
    日志查看 (1) 启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。 (2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,...
  • 系统日志查看位置(Windows+Linux)

    千次阅读 2021-08-06 05:50:04
    一、Windows系统日志:事件查看Windows系统日志都是在“事件查看器”下面的。具体步骤如下:我的电脑 - 右键单击 - 管理 - 计算机管理 - 系统工具 - 事件查看器 - Windows日志;注意:如果你认为直接这样看Windows...
  • Windows查看ios手机日志

    千次阅读 2022-03-01 23:53:43
    Windows下载安装如下工具 爱思助手下载地址:https://www.i4.cn Notepad++下载地址:https://notepad-plus.en.softonic.com USB数据线连接手机 弹窗确认点击信任 爱思助手相关操作 工具箱->实时日志 ...
  • Windows系统日志分析工具-- Log Parser

    千次阅读 2022-01-12 15:21:43
    对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)...
  • 闲聊Windows系统日志

    千次阅读 2018-12-29 21:24:10
    * 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止...不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows系统日志不了解,在解读时经常摸不着头脑,所以就认真的分析了e...
  • Windows server 2008 查看系统日志

    千次阅读 2019-10-23 07:22:49
    有时候我们的服务器会因为某些原因重启或者关机,这时候我们可以从系统日志中看下,看能否找到原因。
  • 基础知识 打开方式:eventview或命令行工具wevtutil 事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。...事件日志分两个类型:windows日志、应用程序和服务日志

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 349,398
精华内容 139,759
热门标签
关键字:

windows系统怎么查看日志