精华内容
下载资源
问答
  • Windows事件查看器介绍

    千次阅读 2019-12-11 21:28:04
    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。 打开后,定位到windows日志栏下,可以看到有三种类型的...

    介绍

    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。

    打开后,定位到windows日志栏下,可以看到有三种类型的日志,分别是应用程序日志、安全日志和系统日志,如下图。

     

    应用程序日志

    应用程序日志记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序。

    安全日志

    安全日志记录了一些用户登录事件、文件的创建打开删除事件等。

    系统日志

    系统日志记录了windows系统组件的一些事件,例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志,文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。

    所有的用户都可以查看应用程序日志和系统日志,只有管理员才能查看安全日志。

    日志级别

    事件查看器包含了5种级别,分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看,例如以下的信息级别。

     

    错误:指重大问题,包括数据丢失,功能损失等。例如服务启动期间无法加载。

    警告:潜在问题,例如磁盘空间低,则会记录一个警告。

    信息:描述程序和服务是否操作成功的事件,例如网络驱动成功加载。

    成功审核:接受审核且取得成功的安全访问尝试,例如用户成功登录系统。

    失败审核:接受审核且取得失败的安全访问尝试,例如用户尝试访问网络驱动但失败。

    同时事件查看器也提供了相应的查找、筛选等功能,例如我们需要关注错误类型的事件,则可以直接进行筛选,如下图。

     

    随后我们便可以看筛选出来的事件,看常规说明、来源等信息,以及选中事件右键查看详细的属性信息等,来判断是否是恶意的攻击事件。

    同时,我们也可以将事件的id和事件的来源去网上搜索相关信息,或者通过https://support.microsoft.comhttp://www.eventid.net 去搜索。


                                                                           公众号推荐:aFa攻防实验室

                               分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                             

    展开全文
  • windows查看windows事件日志

    千次阅读 2019-03-27 14:53:07
    事件查看器常用ID 当我们需要查找win10的开机历史记录的时候该怎么查看呢。其实很简单的。这里为大家分享下win10查看开机历史记录的两种方法,希望能帮到有需要的朋友。 方法一 打开控制面板,点击【系统和安全】...

    转自:http://www.xitongtiandi.net/wenzhang/win10/26570.html    感恩

    目录

    方法一

    方法二

     事件查看器常用ID


    当我们需要查找win10的开机历史记录的时候该怎么查看呢。其实很简单的。这里为大家分享下win10查看开机历史记录的两种方法,希望能帮到有需要的朋友。

    方法一

    打开控制面板,点击【系统和安全】

     

    win10查看开机历史记录的两种方法

     

    找到管理工具,并点击

    win10查看开机历史记录的两种方法

     

    打开【事件查看器】

    win10查看开机历史记录的两种方法

     

    展开【Windows日志】,点击【系统】

     

    win10查看开机历史记录的两种方法

     

    点击【筛选当前日志】

     

    win10查看开机历史记录的两种方法

     

    输入事件ID:30 ,帅选所有的开机历史记录。

     

    win10查看开机历史记录的两种方法


    方法二

    也可通过运行w+r,输入eventvwr.msc,快速启动事件查看器。

     

    win10查看开机历史记录的两种方法


     事件查看器常用ID

    转自:https://www.cnblogs.com/croso/p/5310266.html    感恩

    ID

    类型

    来   源

    代 表 的 意 义 举 例 解 释

    2信息Serial在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式(fifo)。将使用该方式。
    17错误W32Time时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS 查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751)
    20警告Print已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e
    26信息Application Popup弹出应用程序: Rsaupd.exe - 无法找到组件: 没有找到 MFC71.DLL,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。
    29错误W32Time时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间,但是,没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。 NtpClient 没有准确时间的时间源。
    35信息W32Time时间服务现在用时间源 time.windows.com (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步 系统时间。
    115信息SRService系统还原监视在所有驱动器上启用。
    116信息SRService系统还原监视在所有驱动器上禁用。
    1001信息Save Dump计算机已经从检测错误后重新启动。检测错误: 0x4a4b4d53 (0xc000000e, 0x01d04bf0, 0x00000010, 0x0000029a)。 已将转储的数据保存在: C:\WINDOWS\Minidump\Mini052809-01.dmp。
    1005警告Dhcp您的计算机检测到网络地址为 00A21C2EFEC4 的网卡的 IP 地址 192.168.1.2 已在网络上使用。 计算机会自动获取另一个地址。
    3260信息Workstation此计算机成功加入到 workgroup 'WORKGROUP'。
    4202信息Tcpip系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开, 而且网卡的网络配置已经释放。如果 网卡没有断开,这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。
    4226警告TcpipTCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。
    4377信息NtServicePackWindows XP Hotfix KB873339 was installed.
    6005信息EventLog事件日志服务已启动。(开机)
    6006信息EventLog事件日志服务已停止。(关机)
    6009信息EventLog按ctrl、alt、delete键(非正常)关机
    6011信息EventLog此机器的 NetBIOS 名称和 DNS 主机名从 MACHINENAME 更改为 AA。
    7000错误Service Control Manager由于下列错误,npkcrypt 服务启动失败:
    7031错误Service Control ManagerEset Service 服务意外地终止,这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行: 重新启动服务。
    7035信息Service Control Managerxxx服务成功发送一个开始控件。
    7036信息Service Control Managerxxx服务处于运行或停止等状态。
    8033信息BROWSER由于主浏览器已经停止,浏览器在 \Device\NetBT_Tcpip_{163DE7AB-92AE-499F-8340-B6358A4597CE} 网络上进行强制性的选举。
    10000错误DCOM无法启动 DCOM 服务器: {80EE4902-33A8-11D1-A213-0080C88593A5}。 错误:
    15007信息HTTP成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。
    60054信息Setup安装程序成功地完成了安装 Windows 内部版本 2600。
    64002信息Windows File Protection试图在被保护的系统文件 c:\windows\system32\quartz.dll 上进行文件替换。 为了维护系统稳定,这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497。
    64008警告Windows File Protection无法验证受保护的 c:\windows\system32\quartz.dll 系统文件,原因是 Windows 文件保护中断。 请过一会儿使用 SFC 工具验证该文件的完整性。
    展开全文
  • 如何查看Windows事件日志

    万次阅读 2018-02-06 15:06:00
    我们都知道,电脑的任何活动都会留下...或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。 2. 在「事件查看器」窗口,展开Windows日志,选择“安全”,登录日志就显示出来了。 ...

    我们都知道,电脑的任何活动都会留下痕迹的,这也是为什么我们能进行计算机取证。今天就给大家分享一个简单的方法,告诉你如何查看电脑的登录情况。

    1. 右键“我的电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。

    2. 在「事件查看器」窗口,展开Windows日志,选择“安全”,登录日志就显示出来了。

     

    3. 接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。

    png?

     

     

     

    4. 筛选「事件ID」。在窗口的右栏里有筛选器,我们可以根据自己的情况有目的地筛选日志记录。

     

     

    需要筛选的事件ID是“4624”,这个ID表示成功登陆。

     

     

    5. 查看某一条登陆记录的详细信息。点击「详细信息」查看「友好视图」,如下图:

     

     

    这两个视图里包含了许多的信息!每一条信息都有其特定含义,而我在今天这篇文章里要分享的是「Logon Type」,即登录类型,通过登录类型我们知道此次登录是在什么状态下登录的。

     

     

     

    如上图中显示的 “LogonType 5” 是什么意思呢?我们来看一张表。

     

     

    在这张表中不同数字对应不同类型的登录,而LogonType 5代表的就是电脑的后台服务以我的账户登录过。

    此外,我在自己的电脑中还发现了许多2、3的登录类型,“2”表示我用键盘和鼠标登录,而“3”意味着有人曾经用远程登录过我的电脑。

    转载于:https://www.cnblogs.com/yimian/p/8422454.html

    展开全文
  • Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。 ...

    windows安全事件id汇总

    Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。
    日志路径:C:\Windows\System32\winevt\Logs
    查看日志:Security.evtx、System.evtx、Application.evtx

    常用安全事件ID:
    系统:
    1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
    6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
    104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。
    安全:
    4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
    4625,这个事件ID表示登陆失败的用户。
    4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
    4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

    安全事件ID汇总备查:

    
    EVENT_ID	           安全事件信息
    1100	-----      事件记录服务已关闭
    1101	-----      审计事件已被运输中断。
    1102	-----      审核日志已清除
    1104	-----      安全日志现已满
    1105	-----      事件日志自动备份
    1108	-----      事件日志记录服务遇到错误
    4608	-----      Windows正在启动
    4609	-----      Windows正在关闭
    4610	-----      本地安全机构已加载身份验证包
    4611	-----      已向本地安全机构注册了受信任的登录进程
    4612	-----      为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
    4614	-----      安全帐户管理器已加载通知包。
    4615	-----      LPC端口使用无效
    4616	-----      系统时间已更改。
    4618	-----      已发生受监视的安全事件模式
    4621	-----      管理员从CrashOnAuditFail恢复了系统
    4622	-----      本地安全机构已加载安全包。
    4624	-----      帐户已成功登录
    4625	-----      帐户无法登录
    4626	-----      用户/设备声明信息
    4627	-----      集团会员信息。
    4634	-----      帐户已注销
    4646	-----      IKE DoS防护模式已启动
    4647	-----      用户启动了注销
    4648	-----      使用显式凭据尝试登录
    4649	-----      检测到重播攻击
    4650	-----      建立了IPsec主模式安全关联
    4651	-----      建立了IPsec主模式安全关联
    4652	-----      IPsec主模式协商失败
    4653	-----      IPsec主模式协商失败
    4654	-----      IPsec快速模式协商失败
    4655	-----      IPsec主模式安全关联已结束
    4656	-----      请求了对象的句柄
    4657	-----      注册表值已修改
    4658	-----      对象的句柄已关闭
    4659	-----      请求删除对象的句柄
    4660	-----      对象已删除
    4661	-----      请求了对象的句柄
    4662	-----      对对象执行了操作
    4663	-----      尝试访问对象
    4664	-----      试图创建一个硬链接
    4665	-----      尝试创建应用程序客户端上下文。
    4666	-----      应用程序尝试了一个操作
    4667	-----      应用程序客户端上下文已删除
    4668	-----      应用程序已初始化
    4670	-----      对象的权限已更改
    4671	-----      应用程序试图通过TBS访问被阻止的序号
    4672	-----      分配给新登录的特权
    4673	-----      特权服务被召唤
    4674	-----      尝试对特权对象执行操作
    4675	-----      SID被过滤掉了
    4688	-----      已经创建了一个新流程
    4689	-----      一个过程已经退出
    4690	-----      尝试复制对象的句柄
    4691	-----      请求间接访问对象
    4692	-----      尝试备份数据保护主密钥
    4693	-----      尝试恢复数据保护主密钥
    4694	-----      试图保护可审计的受保护数据
    4695	-----      尝试不受保护的可审计受保护数据
    4696	-----      主要令牌已分配给进程
    4697	-----      系统中安装了一项服务
    4698	-----      已创建计划任务
    4699	-----      计划任务已删除
    4700	-----      已启用计划任务
    4701	-----      计划任务已禁用
    4702	-----      计划任务已更新
    4703	-----      令牌权已经调整
    4704	-----      已分配用户权限
    4705	-----      用户权限已被删除
    4706	-----      为域创建了新的信任
    4707	-----      已删除对域的信任
    4709	-----      IPsec服务已启动
    4710	-----      IPsec服务已禁用
    4711	-----      PAStore引擎(1%)
    4712	-----      IPsec服务遇到了潜在的严重故障
    4713	-----      Kerberos策略已更改
    4714	-----      加密数据恢复策略已更改
    4715	-----      对象的审核策略(SACL)已更改
    4716	-----      可信域信息已被修改
    4717	-----      系统安全访问权限已授予帐户
    4718	-----      系统安全访问已从帐户中删除
    4719	-----      系统审核策略已更改
    4720	-----      已创建用户帐户
    4722	-----      用户帐户已启用
    4723	-----      尝试更改帐户的密码
    4724	-----      尝试重置帐户密码
    4725	-----      用户帐户已被禁用
    4726	-----      用户帐户已删除
    4727	-----      已创建启用安全性的全局组
    4728	-----      已将成员添加到启用安全性的全局组中
    4729	-----      成员已从启用安全性的全局组中删除
    4730	-----      已删除启用安全性的全局组
    4731	-----      已创建启用安全性的本地组
    4732	-----      已将成员添加到启用安全性的本地组
    4733	-----      成员已从启用安全性的本地组中删除
    4734	-----      已删除已启用安全性的本地组
    4735	-----      已启用安全性的本地组已更改
    4737	-----      启用安全性的全局组已更改
    4738	-----      用户帐户已更改
    4739	-----      域策略已更改
    4740	-----      用户帐户已被锁定
    4741	-----      已创建计算机帐户
    4742	-----      计算机帐户已更改
    4743	-----      计算机帐户已删除
    4744	-----      已创建禁用安全性的本地组
    4745	-----      已禁用安全性的本地组已更改
    4746	-----      已将成员添加到已禁用安全性的本地组
    4747	-----      已从安全性已禁用的本地组中删除成员
    4748	-----      已删除安全性已禁用的本地组
    4749	-----      已创建一个禁用安全性的全局组
    4750	-----      已禁用安全性的全局组已更改
    4751	-----      已将成员添加到已禁用安全性的全局组中
    4752	-----      成员已从禁用安全性的全局组中删除
    4753	-----      已删除安全性已禁用的全局组
    4754	-----      已创建启用安全性的通用组
    4755	-----      启用安全性的通用组已更改
    4756	-----      已将成员添加到启用安全性的通用组中
    4757	-----      成员已从启用安全性的通用组中删除
    4758	-----      已删除启用安全性的通用组
    4759	-----      创建了一个安全禁用的通用组
    4760	-----      安全性已禁用的通用组已更改
    4761	-----      已将成员添加到已禁用安全性的通用组中
    4762	-----      成员已从禁用安全性的通用组中删除
    4763	-----      已删除安全性已禁用的通用组
    4764	-----      组类型已更改
    4765	-----      SID历史记录已添加到帐户中
    4766	-----      尝试将SID历史记录添加到帐户失败
    4767	-----      用户帐户已解锁
    4768	-----      请求了Kerberos身份验证票证(TGT)
    4769	-----      请求了Kerberos服务票证
    4770	-----      更新了Kerberos服务票证
    4771	-----      Kerberos预身份验证失败
    4772	-----      Kerberos身份验证票证请求失败
    4773	-----      Kerberos服务票证请求失败
    4774	-----      已映射帐户以进行登录
    4775	-----      无法映射帐户以进行登录
    4776	-----      域控制器尝试验证帐户的凭据
    4777	-----      域控制器无法验证帐户的凭据
    4778	-----      会话重新连接到Window Station
    4779	-----      会话已与Window   Station断开连接
    4780	-----      ACL是在作为管理员组成员的帐户上设置的
    4781	-----      帐户名称已更改
    4782	-----      密码哈希帐户被访问
    4783	-----      创建了一个基本应用程序组
    4784	-----      基本应用程序组已更改
    4785	-----      成员已添加到基本应用程序组
    4786	-----      成员已从基本应用程序组中删除
    4787	-----      非成员已添加到基本应用程序组
    4788	-----      从基本应用程序组中删除了非成员。
    4789	-----      基本应用程序组已删除
    4790	-----      已创建LDAP查询组
    4791	-----      基本应用程序组已更改
    4792	-----      LDAP查询组已删除
    4793	-----      密码策略检查API已被调用
    4794	-----      尝试设置目录服务还原模式管理员密码
    4797	-----      试图查询帐户是否存在空白密码
    4798	-----      枚举了用户的本地组成员身份。
    4799	-----      已枚举启用安全性的本地组成员身份
    4800	-----      工作站已锁定
    4801	-----      工作站已解锁
    4802	-----      屏幕保护程序被调用
    4803	-----      屏幕保护程序被解雇了
    4816	-----      RPC在解密传入消息时检测到完整性违规
    4817	-----      对象的审核设置已更改。
    4818	-----      建议的中央访问策略不授予与当前中央访问策略相同的访问权限
    4819	-----      计算机上的中央访问策略已更改
    4820	-----      Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
    4821	-----      Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
    4822	-----      NTLM身份验证失败,因为该帐户是受保护用户组的成员
    4823	-----      NTLM身份验证失败,因为需要访问控制限制
    4824	-----      使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员
    4825	-----      用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote
                       Desktop Users组或Administrators组的成员时才允许用户进行连接
    4826	-----      加载引导配置数据
    4830	-----      SID历史记录已从帐户中删除
    4864	-----      检测到名称空间冲突
    4865	-----      添加了受信任的林信息条目
    4866	-----      已删除受信任的林信息条目
    4867	-----      已修改受信任的林信息条目
    4868	-----      证书管理器拒绝了挂起的证书请求
    4869	-----      证书服务收到重新提交的证书请求
    4870	-----      证书服务撤销了证书
    4871	-----      证书服务收到发布证书吊销列表(CRL)的请求
    4872	-----      证书服务发布证书吊销列表(CRL)
    4873	-----      证书申请延期已更改
    4874	-----      一个或多个证书请求属性已更改。
    4875	-----      证书服务收到关闭请求
    4876	-----      证书服务备份已启动
    4877	-----      证书服务备份已完成
    4878	-----      证书服务还原已开始
    4879	-----      证书服务恢复已完成
    4880	-----      证书服务已启动
    4881	-----      证书服务已停止
    4882	-----      证书服务的安全权限已更改
    4883	-----      证书服务检索到存档密钥
    4884	-----      证书服务将证书导入其数据库
    4885	-----      证书服务的审核筛选器已更改
    4886	-----      证书服务收到证书请求
    4887	-----      证书服务批准了证书请求并颁发了证书
    4888	-----      证书服务拒绝了证书请求
    4889	-----      证书服务将证书请求的状态设置为挂起
    4890	-----      证书服务的证书管理器设置已更改。
    4891	-----      证书服务中的配置条目已更改
    4892	-----      证书服务的属性已更改
    4893	-----      证书服务存档密钥
    4894	-----      证书服务导入并存档了一个密钥
    4895	-----      证书服务将CA证书发布到Active Directory域服务
    4896	-----      已从证书数据库中删除一行或多行
    4897	-----      启用角色分离
    4898	-----      证书服务加载了一个模板
    4899	-----      证书服务模板已更新
    4900	-----      证书服务模板安全性已更新
    4902	-----      已创建每用户审核策略表
    4904	-----      尝试注册安全事件源
    4905	-----      尝试取消注册安全事件源
    4906	-----      CrashOnAuditFail值已更改
    4907	-----      对象的审核设置已更改
    4908	-----      特殊组登录表已修改
    4909	-----      TBS的本地策略设置已更改
    4910	-----      TBS的组策略设置已更改
    4911	-----      对象的资源属性已更改
    4912	-----      每用户审核策略已更改
    4913	-----      对象的中央访问策略已更改
    4928	-----      建立了Active  Directory副本源命名上下文
    4929	-----      已删除Active  Directory副本源命名上下文
    4930	-----      已修改Active  Directory副本源命名上下文
    4931	-----      已修改Active  Directory副本目标命名上下文
    4932	-----      已开始同步Active  Directory命名上下文的副本
    4933	-----      Active  Directory命名上下文的副本的同步已结束
    4934	-----      已复制Active  Directory对象的属性
    4935	-----      复制失败开始
    4936	-----      复制失败结束
    4937	-----      从副本中删除了一个延迟对象
    4944	-----      Windows防火墙启动时,以下策略处于活动状态
    4945	-----      Windows防火墙启动时列出了规则
    4946	-----      已对Windows防火墙例外列表进行了更改。增加了一条规则
    4947	-----      已对Windows防火墙例外列表进行了更改。规则被修改了
    4948	-----      已对Windows防火墙例外列表进行了更改。规则已删除
    4949	-----      Windows防火墙设置已恢复为默认值
    4950	-----      Windows防火墙设置已更改
    4951	-----      规则已被忽略,因为Windows防火墙无法识别其主要版本号
    4952	-----      已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号
    4953	-----      Windows防火墙已忽略规则,因为它无法解析规则
    4954	-----      Windows防火墙组策略设置已更改。已应用新设置
    4956	-----      Windows防火墙已更改活动配置文件
    4957	-----      Windows防火墙未应用以下规则
    4958	-----      Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目
    4960	-----      IPsec丢弃了未通过完整性检查的入站数据包
    4961	-----      IPsec丢弃了重放检查失败的入站数据包
    4962	-----      IPsec丢弃了重放检查失败的入站数据包
    4963	-----      IPsec丢弃了应该受到保护的入站明文数据包
    4964	-----      特殊组已分配给新登录
    4965	-----      IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。
    4976	-----      在主模式协商期间,IPsec收到无效的协商数据包。
    4977	-----      在快速模式协商期间,IPsec收到无效的协商数据包。
    4978	-----      在扩展模式协商期间,IPsec收到无效的协商数据包。
    4979	-----      建立了IPsec主模式和扩展模式安全关联。
    4980	-----      建立了IPsec主模式和扩展模式安全关联
    4981	-----      建立了IPsec主模式和扩展模式安全关联
    4982	-----      建立了IPsec主模式和扩展模式安全关联
    4983	-----      IPsec扩展模式协商失败
    4984	-----      IPsec扩展模式协商失败
    4985	-----      交易状态已发生变化
    5024	-----      Windows防火墙服务已成功启动
    5025	-----      Windows防火墙服务已停止
    5027	-----      Windows防火墙服务无法从本地存储中检索安全策略
    5028	-----      Windows防火墙服务无法解析新的安全策略。
    5029	-----      Windows防火墙服务无法初始化驱动程序
    5030	-----      Windows防火墙服务无法启动
    5031	-----      Windows防火墙服务阻止应用程序接受网络上的传入连接。
    5032	-----      Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
    5033	-----      Windows防火墙驱动程序已成功启动
    5034	-----      Windows防火墙驱动程序已停止
    5035	-----      Windows防火墙驱动程序无法启动
    5037	-----      Windows防火墙驱动程序检测到严重的运行时错 终止
    5038	-----      代码完整性确定文件的图像哈希无效
    5039	-----      注册表项已虚拟化。
    5040	-----      已对IPsec设置进行了更改。添加了身份验证集。
    5041	-----      已对IPsec设置进行了更改。身份验证集已修改
    5042	-----      已对IPsec设置进行了更改。身份验证集已删除
    5043	-----      已对IPsec设置进行了更改。添加了连接安全规则
    5044	-----      已对IPsec设置进行了更改。连接安全规则已修改
    5045	-----      已对IPsec设置进行了更改。连接安全规则已删除
    5046	-----      已对IPsec设置进行了更改。添加了加密集
    5047	-----      已对IPsec设置进行了更改。加密集已被修改
    5048	-----      已对IPsec设置进行了更改。加密集已删除
    5049	-----      IPsec安全关联已删除
    5050	-----      尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE
    5051	-----      文件已虚拟化
    5056	-----      进行了密码自检
    5057	-----      加密原语操作失败
    5058	-----      密钥文件操作
    5059	-----      密钥迁移操作
    5060	-----      验证操作失败
    5061	-----      加密操作
    5062	-----      进行了内核模式加密自检
    5063	-----      尝试了加密提供程序操作
    5064	-----      尝试了加密上下文操作
    5065	-----      尝试了加密上下文修改
    5066	-----      尝试了加密功能操作
    5067	-----      尝试了加密功能修改
    5068	-----      尝试了加密函数提供程序操作
    5069	-----      尝试了加密函数属性操作
    5070	-----      尝试了加密函数属性操作
    5071	-----      Microsoft密钥分发服务拒绝密钥访问
    5120	-----      OCSP响应程序服务已启动
    5121	-----      OCSP响应程序服务已停止
    5122	-----      OCSP响应程序服务中的配置条目已更改
    5123	-----      OCSP响应程序服务中的配置条目已更改
    5124	-----      在OCSP  Responder Service上更新了安全设置
    5125	-----      请求已提交给OCSP  Responder Service
    5126	-----      签名证书由OCSP  Responder Service自动更新
    5127	-----      OCSP吊销提供商成功更新了吊销信息
    5136	-----      目录服务对象已修改
    5137	-----      已创建目录服务对象
    5138	-----      目录服务对象已取消删除
    5139	-----      已移动目录服务对象
    5140	-----      访问了网络共享对象
    5141	-----      目录服务对象已删除
    5142	-----      添加了网络共享对象。
    5143	-----      网络共享对象已被修改
    5144	-----      网络共享对象已删除。
    5145	-----      检查网络共享对象以查看是否可以向客户端授予所需的访问权限
    5146	-----      Windows筛选平台已阻止数据包
    5147	-----      限制性更强的Windows筛选平台筛选器阻止了数据包
    5148	-----      Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
    5149	-----      DoS攻击已经消退,正常处理正在恢复。
    5150	-----      Windows筛选平台已阻止数据包。
    5151	-----      限制性更强的Windows筛选平台筛选器阻止了数据包。
    5152	-----      Windows筛选平台阻止了数据包
    5153	-----      限制性更强的Windows筛选平台筛选器阻止了数据包
    5154	-----      Windows过滤平台允许应用程序或服务在端口上侦听传入连接
    5155	-----      Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
    5156	-----      Windows筛选平台允许连接
    5157	-----      Windows筛选平台已阻止连接
    5158	-----      Windows筛选平台允许绑定到本地端口
    5159	-----      Windows筛选平台已阻止绑定到本地端口
    5168	-----      SMB  / SMB2的Spn检查失败。
    5169	-----      目录服务对象已修改
    5170	-----      在后台清理任务期间修改了目录服务对象
    5376	-----      已备份凭据管理器凭据
    5377	-----      Credential  Manager凭据已从备份还原
    5378	-----      策略不允许请求的凭据委派
    5440	-----      Windows筛选平台基本筛选引擎启动时出现以下callout
    5441	-----      Windows筛选平台基本筛选引擎启动时存在以下筛选器
    5442	-----      Windows筛选平台基本筛选引擎启动时,存在以下提供程序
    5443	-----      Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文
    5444	-----      Windows筛选平台基本筛选引擎启动时,存在以下子层
    5446	-----      Windows筛选平台标注已更改
    5447	-----      Windows筛选平台筛选器已更改
    5448	-----      Windows筛选平台提供程序已更改
    5449	-----      Windows筛选平台提供程序上下文已更改
    5450	-----      Windows筛选平台子层已更改
    5451	-----      建立了IPsec快速模式安全关联
    5452	-----      IPsec快速模式安全关联已结束
    5453	-----      与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP  IPsec密钥模块(IKEEXT)服务
    5456	-----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略
    5457	-----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略
    5458	-----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略的本地缓存副本
    5459	-----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略的本地缓存副本
    5460	-----      PAStore引擎在计算机上应用了本地注册表存储IPsec策略
    5461	-----      PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
    5462	-----      PAStore引擎无法在计算机上应用某些活动IPsec策略规则
    5463	-----      PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
    5464	-----      PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
    5465	-----      PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件
    5466	-----      PAStore引擎轮询Active  Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory
    IPsec策略的缓存副本
    5467	-----      PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改
    5468	-----      PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改
    5471	-----      PAStore引擎在计算机上加载了本地存储IPsec策略
    5472	-----      PAStore引擎无法在计算机上加载本地存储IPsec策略
    5473	-----      PAStore引擎在计算机上加载了目录存储IPsec策略
    5474	-----      PAStore引擎无法在计算机上加载目录存储IPsec策略
    5477	-----      PAStore引擎无法添加快速模式过滤器
    5478	-----      IPsec服务已成功启动
    5479	-----      IPsec服务已成功关闭
    5480	-----      IPsec服务无法获取计算机上的完整网络接口列表
    5483	-----      IPsec服务无法初始化RPC服务器。无法启动IPsec服务
    5484	-----      IPsec服务遇到严重故障并已关闭
    5485	-----      IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
    5632	-----      已请求对无线网络进行身份验证
    5633	-----      已请求对有线网络进行身份验证
    5712	-----      尝试了远程过程调用(RPC)
    5888	-----      COM +目录中的对象已被修改
    5889	-----      从COM +目录中删除了一个对象
    5890	-----      一个对象已添加到COM +目录中
    6144	-----      组策略对象中的安全策略已成功应用
    6145	-----      处理组策略对象中的安全策略时发生一个或多个错误
    6272	-----      网络策略服务器授予用户访问权限
    6273	-----      网络策略服务器拒绝访问用户
    6274	-----      网络策略服务器放弃了对用户的请求
    6275	-----      网络策略服务器放弃了用户的记帐请求
    6276	-----      网络策略服务器隔离了用户
    6277	-----      网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期
    6278	-----      网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
    6279	-----      由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户
    6280	-----      网络策略服务器解锁了用户帐户
    6281	-----      代码完整性确定图像文件的页面哈希值无效...
    6400	-----      BranchCache:在发现内容可用性时收到格式错误的响应。
    6401	-----      BranchCache:从对等方收到无效数据。数据被丢弃。
    6402	-----      BranchCache:提供数据的托管缓存的消息格式不正确。
    6403	-----      BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。
    6404	-----      BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。
    6405	-----      BranchCache:发生了事件ID%1的%2个实例。
    6406	-----1注册到Windows防火墙以控制以下过滤:
    6408	-----      已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
    6409	-----      BranchCache:无法解析服务连接点对象
    6410	-----      代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
    6416	-----      系统识别出新的外部设备。
    6417	-----      FIPS模式加密自检成功
    6418	-----      FIPS模式加密自检失败
    6419	-----      发出了禁用设备的请求
    6420	-----      设备已禁用
    6421	-----      已发出请求以启用设备
    6422	-----      设备已启用
    6423	-----      系统策略禁止安装此设备
    6424	-----      在事先被政策禁止之后,允许安装此设备
    8191	-----      最高系统定义的审计消息值
    
    展开全文
  • windows查看网络常用cmd命令

    万次阅读 2018-05-17 19:24:55
    一、ping 主要是测试本机TCP/IP协议配置正确性与当前网络现状. ping命令的基本使用格式是: ping IP地址/主机名/域名 [-t] [-a] [-n count] [-l size]-t:连续对IP地址/主机名/域名执行Ping命令,直到被用户以...
  • windows系统事件查看器7035是什么意思呢?windows事件查看器有一个事件ID,这个事件ID由不同的数字表示,比如7035、7036、6005、6006等等,不同的数字代表不同的含义。大部分用户不知道事件查看器ID表示什么含义,...
  • Windows事件查看器_ID一览表

    千次阅读 2017-11-15 21:59:00
    事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。 事件ID:517 审核日志...
  • windows终端事件日志监控指南

    千次阅读 2019-08-22 17:30:29
    windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,...
  • Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有: 4634 - 帐户被注销  4647 - 用户发起注销  4624 - 帐户已成功登录(可以查看  4625 - 帐户登...
  • Windows日志

    千次阅读 多人点赞 2019-05-29 16:29:26
    文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和...
  • Windows事件ID及解释大全

    万次阅读 2019-12-10 21:23:40
    仍然无法找到网络路径,请与网络管理员联系。   52 由于网络上有重名,没有连接。请到 “ 控制面板 ” 中的 “ 系统 ” 更改计算机名,然后重试。   53 找不到网络路径。   54 网络很忙。   55 ...
  • Windows 系统网络安全设置

    千次阅读 2019-12-26 21:56:30
    通过使用事件查看器中的事件日志,用户可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。...
  • windows 用户基本查看命令

    万次阅读 2019-08-15 23:41:42
    “net user”命令,该命令可以查看、添加、修改用户账户信息,其语法格式为 net user [UserName [Password | *] [options]] [/domain] net user [UserName {Password | *} /add [options] [/domain] net user ...
  • Windows事件ID详细

    万次阅读 2018-07-23 02:49:08
    51 Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。如果 Windows 仍然无法找到网络路径,请与网络管理员联系。  52 由于网络上有重名,没有连接。请到“控制面板”中的“系统”更改...
  • Windows事件ID大全

    万次阅读 2019-04-25 09:07:26
    事件查看器常见ID代码解释 ID 类型 来 源 代 表 的 意 义 举 例 解 释 2 信息 Serial 在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式...
  • windows C++ 网络编程

    万次阅读 多人点赞 2019-06-10 21:16:24
    应用程序通过socket向网络发出请求或者回应。 sockets(套接字)编程有三种,流式套接字(SOCK_STREAM),数据报套接字(SOCK_DGRAM),原始套接字(SOCK_RAW);前两种较常用。基于TCP的socket编程是采用的流式套接...
  • 事件查看器 在 Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过 使用事件查看器中的事件日志,...
  • Windows 的应急事件分类-

    千次阅读 2018-09-06 17:57:38
    Windows 的应急事件分类  --转载自先知社区白河愁大佬 (感谢)  URL:https://xz.aliyun.com/t/2524 Windows 系统的应急事件,按照处理的方式,可...
  • windows系统日志查看

    万次阅读 2019-05-29 09:06:16
    或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。 2、接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。 3、事件id...
  • windows网络诊断基本命令

    千次阅读 2017-05-03 16:18:07
    windows下网咯诊断基本命令: 1、ipconfig命令,显示TCP/IP配置 ipconfig/all 显示所有配置信息 ipconfig/release 释放ip地址 ipconfig/renew 重新获得一个ip地址,会向DHCP服务器发出新请求 ipconfig/flushdns...
  • Windows 事件查看器(收集)

    千次阅读 2012-05-14 23:17:30
    事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”...
  • windows服务器日志分析之查看日志

    千次阅读 2021-02-19 15:15:01
    Windows server 2008 R2如何查看应用程序日志 很多情况下。我们都需要查看服务器日志,针对我们这边服务器的...唤出"事件查看器"程序窗口,选择左侧"事件查看器(本地)→Windows 日志"文件夹 其他 找到自己所需要的
  • Windows服务与网络端口

    千次阅读 2018-08-09 19:33:56
    转:...Windows 的服务概述和网络端口要求 适用于: Windows Server version 1803Windows Server Datacenter CoreWin...
  • Windows安全日志事件

    千次阅读 2018-07-04 19:14:16
    每一个失败的尝试登录本地计算机...登录类型:这是一个有价值的信息,因为它告诉你用户登录:登录类型 描述 2 互动(键盘和屏幕的登录系统) 3 网络(即连接到共享文件夹从其他地方在这台电脑上网络) 4 批处理(即计划任...
  • Windows事件日志快速分析

    千次阅读 2020-06-05 23:58:51
    我每月都要给各种不同的客户做系统巡检,其中Windows事件日志检查是比较耗时的事情。它会记录许多的信息,特别是针对系统安全方面、系统故障排除方面有重要线索。我们可以通过一些事件关键字与信息,制作各种不同的...
  • LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的工具。此工具将在登录相关事件中找到的主机名(或IP地址)和帐户名相关联,并将其显示为图形。这样,可以查看在哪个帐户中尝试登录...
  • Windows网络重置后wifi功能丢失解决方案

    千次阅读 热门讨论 2021-06-06 00:23:54
    事件 网络重置后wifi功能丢失。原因:服务项被关闭 起因 因为手机数据可以登录github,但是电脑wifi不可以。 尝试重置网络配置 起因操作流程 windows系统——>网络和Internet——>网络重置
  • 随着电力行业对网络的依赖程度越来越高,网络攻击对企业的安全运营造成巨大的威胁。电力系统与现代社会生产生活紧密相连,一旦出现断电,后果将不堪设想。对电力行业的攻击类型分为勒索病毒、DDoS攻击、APT攻击、...
  • Syslog和Windows事件日志收集

    千次阅读 2018-08-09 15:25:18
    Syslog和Windows事件日志收集EventLog Analyzer从分布式Windows设备收集事件日志,或从分布式Linux和UNIX设备、交换机和路由器(Cisco)收集syslog。事件日志报表为实时生成,以显示整个网络中的重要系统信息。 无需...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 183,075
精华内容 73,230
关键字:

windows查看网络事件