精华内容
下载资源
问答
  • windows事件查看器删除
    千次阅读
    2021-12-09 13:24:25

    基础知识

    打开方式:eventview或命令行工具wevtutil

    事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。

    使用事件查看器可以执行以下任务:

    • 查看来自多个事件日志的事件

    • 将有用的事件筛选器另存为可以重新使用的自定义视图

    • 计划要运行以响应事件的任务

    • 创建和管理事件订阅,通过指定事件订阅,可以从远程计算机收集事件并将其保存在本地。

    事件日志

    事件日志分两个类型:windows日志、应用程序和服务日志。

    Windows日志

    存储来自旧版本应用程序的事件以及适用于整个系统的事件。分五类:

    应用程序日志

    • 包含程序记录的事件,程序开发人员决定记录哪些事件。例如:数据库程序记录文件错误。

    安全日志

    • 包含如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开、删除对象。
    • 可以知道在安全日志中记录什么事件。如,启用登录审核,则会将对系统的登录尝试记录在安全日志中。

    安装程序日志

    • 保护与应用程序安装有关的事件。

    系统日志

    • 包含windows系统组件记录的事件。如,启动过程中加载驱动程序、其它系统组件失败。
    • 系统组件记录的事件类型由windows预先确定。

    转发事件日志

    • 存储从远程计算机收集的事件。要从远程计算机收集事件,必须创建事件订阅。

    应用程序和服务日志

    存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。

    应用程序日志分四类:管理日志、操作日志、分析日志、调试日志。

    分析日志和调试日志默认处于隐藏和禁用状态,需要显示和启用。

    管理事件

    • 为用户、技术人员使用,指示发生的问题及技术人员可以采取的解决方案。

    操作事件

    • 为专业人士使用,用于分析和诊断发生的问题或事件,不那么友好,需要更多解释。

    分析事件

    • 大量发生,描述程序的操作并指示用户需要干预的无法处理的问题。

    调试事件

    • 开发人员在调试时使用。

    事件属性

    完整属性参阅Windows事件日志软件开发工具包(SDK)中的事件使用者的事实表示主题,部分基本属性:

    • 记录该条事件的软件,可以是程序名(SQL Server),也可以是系统或程序的组件名(Elnkii表示EtherLink2)。

    事件ID

    • 事件类型的编号。

    级别

    • 事件严重等级:信息、警告、错误、严重,在安全日志中还可能出现:审核成功、审核失败。

    用户

    • 导致事件的行为来源的用户。如果是服务器进程,则此位置为客户ID。

    操作代码

    • 事件发生时,表示应用程序正在执行的活动或代码位置的数字。

    日志

    • 已记录事件的日志名称

    任务类别

    • 表示事件发生者的子组件或活动

    关键字

    • 用于筛选或搜索的标记。

    计算机

    • 发生事件的计算机名称。

    日期和事件

    • 记录时的日期和时间

    还可以增加事件查看器显示的属性,可以增加的有:

    • 进程ID
    • 线程ID
    • 处理器ID
    • 会话ID
    • 内核时间
    • 用户时间:CPU时间单位形式
    • 处理器时间:用户模式指令已执行时间,CPU ticks形式。
    • 相关性ID:在进程中与事件有关的一个标识,用于指定事件间关系
    • 相对相关性ID:进程中涉及事件的相关活动。

    自定义视图

    筛选显示的事件,创建筛选器。

    Create and Manage Custom Views | Microsoft Docs

    事件订阅

    用于收集多台远程计算机的事件并将副本存储在本地。

    事件信息

    每条事件记录都包含一个URL,可以查看事件的联机帮助信息。

    这个RUL可以自定义。

    单机“事件日志联机帮助”时,会发送:产品名称、产品版本、事件ID、事件源、区域设置ID(计算机区域设置的标识号)。

    欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

    更多相关内容
  • Eventlogedit-evt--常规从Windows事件查看器日志(EVT)文件中删除单独的行支持:Windows XP和Windows 2003我的帖子有关详细信息:稍后,我将它们翻译成英文。笔记: WinXP和Win7,ObjectTypeNumber = 0x1c ...
  • Windows事件查看器介绍

    千次阅读 2019-12-11 21:28:04
    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。 打开后,定位到windows日志栏下,可以看到有三种类型的...

    介绍

    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。

    打开后,定位到windows日志栏下,可以看到有三种类型的日志,分别是应用程序日志、安全日志和系统日志,如下图。

     

    应用程序日志

    应用程序日志记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序。

    安全日志

    安全日志记录了一些用户登录事件、文件的创建打开删除事件等。

    系统日志

    系统日志记录了windows系统组件的一些事件,例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志,文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。

    所有的用户都可以查看应用程序日志和系统日志,只有管理员才能查看安全日志。

    日志级别

    事件查看器包含了5种级别,分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看,例如以下的信息级别。

     

    错误:指重大问题,包括数据丢失,功能损失等。例如服务启动期间无法加载。

    警告:潜在问题,例如磁盘空间低,则会记录一个警告。

    信息:描述程序和服务是否操作成功的事件,例如网络驱动成功加载。

    成功审核:接受审核且取得成功的安全访问尝试,例如用户成功登录系统。

    失败审核:接受审核且取得失败的安全访问尝试,例如用户尝试访问网络驱动但失败。

    同时事件查看器也提供了相应的查找、筛选等功能,例如我们需要关注错误类型的事件,则可以直接进行筛选,如下图。

     

    随后我们便可以看筛选出来的事件,看常规说明、来源等信息,以及选中事件右键查看详细的属性信息等,来判断是否是恶意的攻击事件。

    同时,我们也可以将事件的id和事件的来源去网上搜索相关信息,或者通过https://support.microsoft.comhttp://www.eventid.net 去搜索。


                                                                           公众号推荐:aFa攻防实验室

                               分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                             

    展开全文
  • 删除win10事件查看器中的所有日志.BAT
  • 实用文案 0 操作成功完成 1 函数不正确 2 系统找不到指定的文件 3 系统找不到...11 试图加载格式不正确的程序 12 访问码无效 13 数据无效 14 存储空间不足无法完成此操作 15 系统找不到指定的驱动 16 无法删除目录 17
  • Windows图片查看器是系统内置的图片查看工具。可能因为未知原因或人为失误,我们把桌面右键的Windows图片查看器弄丢了。 在或者刚装的Windows10系统上面看不到图片查看器。该怎么找回图片查看器呢? 下载这个文件...
  • Windows事件查看器_ID一览表

    千次阅读 2017-11-15 21:59:00
    事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。 事件ID:517 审核日志...

    事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。

    事件ID:517 审核日志已经清除 
    事件ID:528 登陆成功 可以显示客户端连接ip地址 
    事件ID:683 会话从 winstation 中断连接 可以查看客户端计算机名 
    事件ID:624 创建了用户帐户 
    事件ID:626 启用了用户帐户 
    事件ID:627 用户密码已更改 
    事件ID:628 设置了用户密码

    Windows Server 2003安全事件ID分析 
    根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。

    一、帐户登录事件

    下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

    672:已成功颁发和验证身份验证服务 (AS) 票证。

    673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。

    674:安全主体已更新 AS 票证或 TGS 票证。

    675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。

    676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

    677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

    678:帐户已成功映射到域帐户。

    681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

    682:用户已重新连接至已断开的终端服务器会话。

    683:用户未注销就断开终端服务器会话。

    二、帐户管理事件

    下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

    624:用户帐户已创建。

    627:用户密码已更改。

    628:用户密码已设置。

    630:用户帐户已删除。

    631:全局组已创建。

    632:成员已添加至全局组。

    633:成员已从全局组删除。

    634:全局组已删除。

    635:已新建本地组。

    636:成员已添加至本地组。

    637:成员已从本地组删除。

    638:本地组已删除。

    639:本地组帐户已更改。

    641:全局组帐户已更改。

    642:用户帐户已更改。

    643:域策略已修改。

    644:用户帐户被自动锁定。

    645:计算机帐户已创建。

    646:计算机帐户已更改。

    647:计算机帐户已删除。

    648:禁用安全的本地安全组已创建。

    注意:

    从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。

    649:禁用安全的本地安全组已更改。

    650:成员已添加至禁用安全的本地安全组。

    651:成员已从禁用安全的本地安全组删除。

    652:禁用安全的本地组已删除。

    653:禁用安全的全局组已创建。

    654:禁用安全的全局组已更改。

    655:成员已添加至禁用安全的全局组。

    656:成员已从禁用安全的全局组删除。

    657:禁用安全的全局组已删除。

    658:启用安全的通用组已创建。

    659:启用安全的通用组已更改。

    660:成员已添加至启用安全的通用组。

    661:成员已从启用安全的通用组删除。

    662:启用安全的通用组已删除。

    663:禁用安全的通用组已创建。

    664:禁用安全的通用组已更改。

    665:成员已添加至禁用安全的通用组。

    666:成员已从禁用安全的通用组删除。

    667:禁用安全的通用组已删除。

    668:组类型已更改。

    684:管理组成员的安全描述符已设置。

    注意:

    在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。

    685:帐户名称已更改。

    三、目录服务访问事件

    下面显示了由”审核目录服务访问”安全模板设置所生成的安全事件。

    566:发生了一般对象操作。

    四、登录事件ID

    528:用户成功登录到计算机。

    529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。

    530:登录失败。试图在允许的时间外登录。

    531:登录失败。试图使用禁用的帐户登录。

    532:登录失败。试图使用已过期的帐户登录。

    533:登录失败。不允许登录到指定计算机的用户试图登录。

    534:登录失败。用户试图使用不允许的密码类型登录。

    535:登录失败。指定帐户的密码已过期。

    536:登录失败。Net Logon 服务没有启动。

    537:登录失败。由于其他原因登录尝试失败。

    注意:

    在某些情况下,登录失败的原因可能是未知的。

    538:用户的注销过程已完成。

    539:登录失败。试图登录时,该帐户已锁定。

    540:用户成功登录到网络。

    541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。

    542:数据频道已终止。

    543:主要模式已终止。

    注意:

    如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。

    544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。

    545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。

    546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。

    547:在 IKE 握手过程中,出现错误。

    548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。

    549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。

    550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。

    551:用户已启动注销过程。

    552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。

    682:用户已重新连接至已断开的终端服务器会话。

    683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。

    五、对象访问事件

    下面显示了由”审核对象访问”安全模板设置所生成的安全事件。

    560:访问权限已授予现有的对象。

    562:指向对象的句柄已关闭。

    563:试图打开一个对象并打算将其删除。

    注意:

    当在 Createfile() 中指定了 FILE_Delete_ON_CLOSE 标记时,此事件可以用于文件系统。

    564:受保护对象已删除。

    565:访问权限已授予现有的对象类型。

    567:使用了与句柄关联的权限。

    注意:

    创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。

    568:试图创建与正在审核的文件的硬链接。

    569:授权管理器中的资源管理器试图创建客户端上下文。

    570:客户端试图访问对象。

    注意:

    在此对象上发生的每个尝试操作都将生成一个事件。

    571:客户端上下文由授权管理器应用程序删除。

    572:Administrator Manager(管理员管理器)初始化此应用程序。

    772:证书管理器已拒绝挂起的证书申请。

    773:证书服务已收到重新提交的证书申请。

    774:证书服务已吊销证书。

    775:证书服务已收到发行证书吊销列表 (CRL) 的请求。

    776:证书服务已发行 CRL。

    777:已制定证书申请扩展。

    778:已更改多个证书申请属性。

    779:证书服务已收到关机请求。

    780:已开始证书服务备份。

    781:已完成证书服务备份。

    782:已开始证书服务还原。

    783:已完成证书服务还原。

    784:证书服务已开始。

    785:证书服务已停止。

    786:已更改证书服务的安全权限。

    787:证书服务已检索存档密钥。

    788:证书服务已将证书导入其数据库中。

    789:证书服务审核筛选已更改。

    790:证书服务已收到证书申请。

    791:证书服务已批准证书申请并已颁发证书。

    792:证书服务已拒绝证书申请。

    793:证书服务将证书申请状态设为挂起。

    794:证书服务的证书管理器设置已更改。

    795:证书服务中的配置项已更改。

    796:证书服务的属性已更改。

    797:证书服务已将密钥存档。

    798:证书服务导入密钥并将其存档。

    799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。

    800:已从证书数据库删除一行或多行。

    801:角色分离已启用。

    六、审核策略更改事件

    下面显示了由”审核策略更改”安全模板设置所生成的安全事件。

    608:已分配用户权限。

    609:用户权限已删除。

    610:与其他域的信任关系已创建。

    611:与其他域的信任关系已删除。

    612:审核策略已更改。

    613:Internet 协议安全 (IPSec) 策略代理已启动。

    614:IPSec 策略代理已禁用。

    615:IPSec 策略代理已更改。

    616:IPSec 策略代理遇到一个可能很严重的故障。

    617:Kerberos v5 策略已更改。

    618:加密数据恢复策略已更改。

    620:与其他域的信任关系已修改。

    621:已授予帐户系统访问权限。

    622:已删除帐户的系统访问权限。

    623:按用户设置审核策略。

    625:按用户刷新审核策略。

    768:检测到两个林的名称空间元素之间有冲突。

    注意:

    当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。

    769:已添加受信任的林信息。

    注意:

    当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删 除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。

    770:已删除受信任的林信息。

    注意:

    请参见事件 769 的事件描述。

    771:已修改受信任的林信息。

    注意:

    请参见事件 769 的事件描述。

    805:事件日志服务读取会话的安全日志配置。

    七、特权使用事件

    下面显示了由”审核特权使用”安全模板设置所生成的安全事件。

    576:指定的特权已添加到用户的访问令牌中。

    注意:

    当用户登录时生成此事件。

    577:用户试图执行需要特权的系统服务操作。

    578:特权用于已经打开的受保护对象的句柄。

    八、详细的跟踪事件

    下面显示了由”审核过程跟踪”安全模板设置所生成的安全事件。

    592:已创建新进程。

    593:进程已退出。

    594:对象句柄已复制。

    595:已获取对象的间接访问权。

    596:数据保护主密钥已备份。

    注意:

    主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。

    597:数据保护主密钥已从恢复服务器恢复。

    598:审核过的数据已受保护。

    599:审核过的数据未受保护。

    600:已分配给进程主令牌。

    601:用户试图安装服务。

    602:已创建计划程序任务。

    九、审核系统事件

    下面显示了由”审核系统事件”安全模板设置所生成的系统事件。

    512:Windows 正在启动。

    513:Windows 正在关机。

    514:本地安全机制机构已加载身份验证数据包。

    515:受信任的登录过程已经在本地安全机构注册。

    516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。

    517:审核日志已清除。

    518:安全帐户管理器已加载通知数据包。

    519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。










    本文转自 OH51888 51CTO博客,原文链接:http://blog.51cto.com/rozbo/1240900,如需转载请自行联系原作者
    展开全文
  • win7事件查看器事件idThe Event Viewer allows you to diagnose system and application problems in Windows. It has been enhanced in Windows 7; however, it still does not provide much information about the...
    win7事件查看器事件id

    win7事件查看器事件id

    00_event_log_explorer

    The Event Viewer allows you to diagnose system and application problems in Windows. It has been enhanced in Windows 7; however, it still does not provide much information about the events in the interface.

    使用事件查看器可以诊断Windows中的系统和应用程序问题。 Windows 7已对其进行了增强。 但是,它仍然没有提供有关接口事件的太多信息。

    You can find out more information about an event by looking up its Event ID in a database containing a list of Event IDs and their descriptions. When using the default Windows Event Viewer, you would have to search for the Event ID on the internet to try to find more information about it.

    您可以通过在包含事件ID及其说明列表的数据库中查找事件ID来找到有关事件的更多信息。 使用默认的Windows事件查看器时,您将必须在Internet上搜索事件ID才能查找有关它的更多信息。

    We found a tool that is free for personal use, called Event Log Explorer, that is a replacement for the default Windows Event Viewer. It displays the same amount of information as the Event Viewer, but it provides a quick and easy method for looking up Event IDs on the internet. A simple right-click on an event allows you to look up the Event ID in the EventID.Net database or the Microsoft Knowledge Base.

    我们找到了一个免费的个人使用工具,称为“事件日志资源管理器”,该工具替代了默认的Windows事件查看器。 它显示与事件查看器相同的信息量,但是它提供了一种快速简便的方法来在Internet上查找事件ID。 只需在事件上单击鼠标右键,便可以在EventID.Net数据库或Microsoft知识库中查找事件ID。

    To install Event Log Explorer, extract the .zip file and double-click the .exe file. Follow the instructions in the setup wizard.

    要安装事件日志资源管理器,请解压缩.zip文件,然后双击.exe文件。 请按照安装向导中的说明进行操作。

    If you didn’t choose to launch Event Log Explorer at the end of the setup wizard, start the program from the desktop or the start menu.

    如果未选择在安装向导的末尾启动“事件日志资源管理器”,请从桌面或开始菜单启动程序。

    If the User Account Control dialog box displays, click Yes to continue.

    如果显示“用户帐户控制”对话框,请单击“是”继续。

    NOTE: You may not see this dialog box, depending on your User Account Control settings.

    注意:根据您的“ 用户帐户控制”设置 ,您可能看不到此对话框。

    01_uac_dialog_for_event_log_exp_program

    A dialog box displays saying you are running in evaluation mode. The evaluation expires 30 days after you install it; however, you can get a free license key. Click the Get FREE License Now link.

    将显示一个对话框,说明您正在评估模式下运行。 该评估版在安装后30天到期; 但是,您可以获得免费的许可证密钥。 单击立即获取免费许可证链接。

    02_clicking_get_free_license_now

    A web page opens in your default browser. Fill out the form to receive your free license key. Once you see a web page containing the seven-line key, select the seven lines between, but not including, the BEGIN KEY and END KEY lines and copy them.

    在您的默认浏览器中将打开一个网页。 填写表格以获取免费的许可证密钥。 一旦看到包含七行键的网页,请选择BEGIN KEY和END KEY行之间的七行,但不包括它们,然后复制它们。

    To enter the license key before starting the program, go back to the Event Log Explorer dialog box. Select the Enter license key radio button and click OK.

    要在启动程序之前输入许可证密钥,请返回“事件日志浏览器”对话框。 选择输入许可证密钥单选按钮,然后单击确定。

    03_closing_evaluation_mode_dialog

    On the Registration Key dialog box, paste the copied key into the edit box and click OK.

    在“注册密钥”对话框中,将复制的密钥粘贴到编辑框中,然后单击“确定”。

    04_entering_registration_key

    The following dialog box displays, even if the program is not open. Click OK to close it.

    即使未打开程序,也会显示以下对话框。 单击确定将其关闭。

    05_restart_program_info_dialog

    If you didn’t select to enter the license key before starting the program, you can do so within the program by selecting Enter registration key from the Help menu.

    如果在启动程序之前未选择输入许可证密钥,则可以在程序内通过从“帮助”菜单中选择“输入注册密钥”来进行输入。

    06_selecting_enter_registration_key

    When Event Log Explorer opens, click the plus sign next to the item in the Computer Tree to expand the list.

    当事件日志资源管理器打开时,单击“计算机树”中该项目旁边的加号以展开列表。

    07_expanding_a_computer

    There are two methods for viewing multiple event logs, tabs and multiple document interface (MDI). To change the view, select Preferences from the File menu.

    有两种查看多个事件日志的方法,选项卡和多个文档界面(MDI)。 若要更改视图,请从“文件”菜单中选择“首选项”。

    08_selecting_preferences

    On the Preferences dialog box, make sure General is selected in the tree on the left. Select Multiple document interface or Tabbed document interface in the User interface box. Click OK to save your changes.

    在“首选项”对话框中,确保在左侧的树中选择了“常规”。 在用户界面框中选择多文档界面或选项卡式文档界面。 单击确定保存更改。

    09_selecting_multiple_document_interface

    The Multiple document interface looks like the following image. Each document is a separate window within the application.

    多重文档界面如下图所示。 每个文档是应用程序内的单独窗口。

    10_mdi_interface

    You can also choose whether to open a log by single-clicking or double-clicking on it by selecting an option on the General screen on the Preferences dialog box.

    您还可以通过在“首选项”对话框的“常规”屏幕上选择一个选项来选择是通过单击还是双击来打开日志。

    11_single_click_to_open_items

    One of the most useful features of Event Log Explorer that makes it more useful than the default Windows Event Log Viewer is the ability to easily look up event IDs in two different databases online. To do this, right-click on an event in the right pane and select Lookup in Knowledge Bases from the popup menu. Two options display on a submenu. Select an option depending on whether you want to look up the event ID in the EventID.Net database or the Microsoft Knowledge Base.

    与默认的Windows Event Log Viewer相比,Event Log Explorer最有用的功能之一就是能够轻松地在线查找两个不同数据库中的事件ID。 为此,请右键单击右窗格中的事件,然后从弹出菜单中选择“在知识库中查找”。 子菜单上显示两个选项。 根据要在EventID.Net数据库还是Microsoft知识库中查找事件ID,选择一个选项。

    12_look_up_in_eventid_net_database

    For example, the following image shows Event ID 1000 displayed on the EventID.Net website.

    例如,下图显示了EventID.Net网站上显示的事件ID 1000。

    13_event_id_1000_in_eventid_net_db

    You can also filter the logs. To do this, click Filter on the toolbar.

    您还可以过滤日志。 为此,请单击工具栏上的“筛选器”。

    NOTE: You can also select Filter from the View menu or press Ctrl + L.

    注意:您也可以从“视图”菜单中选择“过滤器”或按Ctrl +L。

    14_clicking_filter

    Use the Filter dialog box to specify which logs to apply the filter to and to select and enter your filter criteria. Click OK to accept your changes and view your filtered list on the Event Log Explorer main window.

    使用“过滤器”对话框可以指定要应用过滤器的日志,并选择并输入过滤条件。 单击“确定”接受更改,然后在“事件日志资源管理器”主窗口中查看过滤的列表。

    15_filter_dialog

    You can also backup event logs. To do this, select Save Log As | Save Event Log from the File menu. Enter a name for the backup file and select .evt or evtx as the file type. Use .evt for event log backup files you want to be able to open in Windows XP or earlier. The .evtx extension applies to event log backup files to be opened in Windows 7 or Vista.

    您还可以备份事件日志。 为此,请选择“另存为” | 从文件菜单中保存事件日志。 输入备份文件的名称,然后选择.evt或evtx作为文件类型。 将.evt用于您希望能够在Windows XP或更早版本中打开的事件日志备份文件。 .evtx扩展名适用于要在Windows 7或Vista中打开的事件日志备份文件。

    16_saving_logs

    If you want to view event log information outside of the Event Log Explorer, you can export logs as other formats. To export the currently open log, select Export Log from the File menu.

    如果要在事件日志资源管理器之外查看事件日志信息,则可以将日志导出为其他格式。 要导出当前打开的日志,请从“文件”菜单中选择“导出日志”。

    17_exporting_a_log

    The Export Log dialog box displays. Select the format for the exported log file from the Export to box and whether you want to export all or just selected events from the Export scope box. You can also specify to export event descriptions and data, if desired. To automatically close the Export Log dialog box when the export is finished, select the Close this dialog when export is done. Click Export to start the exporting process.

    显示“导出日志”对话框。 从“导出到”框中选择导出日志文件的格式,然后从“导出范围”框中选择导出所有事件还是仅导出选定的事件。 如果需要,还可以指定导出事件描述和数据。 要在导出完成后自动关闭“导出日志”对话框,请选择“导出完成后关闭此对话框”。 单击导出开始导出过程。

    18_export_log_dialog

    If you want to view event logs from other computers accessible from your current computer, click Add Computer on the toolbar.

    如果要从当前计算机可访问的其他计算机查看事件日志,请单击工具栏上的“添加计算机”。

    NOTE: You can also select Add Computer from the Tree menu.

    注意:您还可以从树菜单中选择添加计算机。

    19_clicking_add_computer

    Select the Another computer option and use the … button to select a computer in your network. Enter a description, select a group, and click OK to connect to the computer.

    选择另一台计算机选项,然后使用…按钮在网络中选择一台计算机。 输入描述,选择一个组,然后单击“确定”以连接到计算机。

    20_select_computer_dialog

    To change properties for the currently selected event log, select Log Properties from the File menu.

    若要更改当前所选事件日志的属性,请从“文件”菜单中选择“日志属性”。

    NOTE: You can also right-click on an event log in the tree on the left and select Properties from the popup menu.

    注意:您也可以右键单击左侧树中的事件日志,然后从弹出菜单中选择“属性”。

    21_selecting_log_properties

    The Log Properties dialog box displays. The event log that these properties apply to displays on the title bar of the dialog box.

    显示“日志属性”对话框。 这些属性适用的事件日志显示在对话框的标题栏上。

    We have previously discussed how to change the maximum size for logs. You can do the same thing in Event Log Explorer. Enter a size in the Maximum log size edit box or use the arrows to select a size. The same three options are available for what to do when the maximum log size is reached. However, there is one extra option. You can have Event Log Explorer backup the log automatically when the maximum size is reached. For more information about automatically backing up log files, click the More info link to open the corresponding help topic. The help file describes where the files are saved and the file naming convention used.

    前面我们讨论了如何更改日志的最大大小 。 您可以在事件日志资源管理器中执行相同的操作。 在“最大日志大小”编辑框中输入大小,或使用箭头选择大小。 当达到最大日志大小时,可以使用相同的三个选项进行操作。 但是,还有一个额外的选择。 当达到最大大小时,可以使事件日志资源管理器自动备份日志。 有关自动备份日志文件的更多信息,请单击“更多信息”链接以打开相应的帮助主题。 帮助文件描述了文件的保存位置以及使用的文件命名约定。

    NOTE: Make sure you don’t let too many backed up log files collect too long, as they will take up a lot of space on your computer’s hard drive over time. Monitor the files and move them to another drive or delete them from time to time.

    注意:确保不要让太多的备份日志文件收集的时间过长,因为随着时间的推移,它们会占用计算机硬盘驱动器上的大量空间。 监视文件并将它们移动到另一个驱动器或不时删除它们。

    22_backup_log_automatically

    To close Event Log Explorer, select Exit from the File menu to close Event Log Explorer. The following dialog box displays making sure you really want to quit. If you don’t want to see this dialog box every time you close Event Log Explorer, select the Don’t ask me again check box. Click Yes to continue closing the program.

    若要关闭事件日志资源管理器,请从“文件”菜单中选择“退出”以关闭事件日志资源管理器。 将显示以下对话框,确保您确实要退出。 如果不想每次关闭事件日志浏览器时都看到此对话框,请选中“不再询问我”复选框。 单击“是”继续关闭程序。

    23_do_you_really_want_to_quit

    Event Log Explorer saves your workspace to a file so when you open the program the next time, the same tabs (or documents) open and other settings you have changed remain the same. If you made changes to the current workspace in Event Log Explorer, the following dialog box displays. If you haven’t saved your workspace yet, the file name is listed as Untitled.ELX. If you want to save your workspace changes, click Yes.

    事件日志资源管理器将您的工作空间保存到文件中,因此当您下次打开该程序时,将打开相同的选项卡(或文档),并且您更改的其他设置保持不变。 如果您在“事件日志资源管理器”中对当前工作空间进行了更改,则会显示以下对话框。 如果尚未保存工作区,则文件名将列为Untitled.ELX。 如果要保存工作区更改,请单击“是”。

    Again, the Don’t ask me again option is available. If you select that option for saving changes to your workspace, any changes you make while in Event Log Explorer next time are automatically saved.

    同样,“不再询问我”选项可用。 如果选择该选项将更改保存到工作区,则下次在“事件日志资源管理器”中所做的任何更改都会自动保存。

    24_save_changes_to_settings_file

    If you selected to save your workspace changes, and this is the first time saving your workspace, the Save Workspace As dialog box displays. Navigate to a location where you want to save your workspace settings, enter a name for your workspace in the File name edit box, and click Save. You can have multiple workspaces in Event Log Explorer.

    如果选择保存工作区更改,并且这是第一次保存工作区,则会显示“将工作区另存为”对话框。 导航到要保存工作空间设置的位置,在“文件名”编辑框中输入工作空间的名称,然后单击“保存”。 您可以在事件日志资源管理器中拥有多个工作空间。

    25_saving_workspace

    Event Log Explorer is a useful tool to add to your software toolbox. The only limitation of the free version is that it does not allow you to connect to more than three computers. If that is not a problem for you, it should fulfill your needs.

    事件日志资源管理器是添加到软件工具箱中的有用工具。 免费版本的唯一限制是它不允许您连接多于三台计算机。 如果这对您来说不是问题,那么它应该可以满足您的需求。

    Download Event Log Explorer from http://www.eventlogxp.com/.

    http://www.eventlogxp.com/下载事件日志资源管理器。

    翻译自: https://www.howtogeek.com/77645/look-up-event-ids-from-the-event-viewer-using-a-free-tool/

    win7事件查看器事件id

    展开全文
  • windows2003的日志文件放在哪里?Windows日志文件默认位置是“%systemroot%\system32\config安全日志文件:%systemroot%\system32\config \SecEvent.EVT系统日志文件:%systemroot%\system32\config \SysEvent.EVT...
  • Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。 ...
  • Windows 图片查看器

    2013-04-26 20:02:49
    基本功能:预览(打开图片)、上一张、下一张、另存为、删除 放大,缩小,顺时针旋转、逆时针旋转
  • Windows系统事件查看器出现crypt32错误

    千次阅读 2021-05-25 23:12:57
    要解决此问题, 必须连接到 Internet 或关闭更新根证书组件。如果是某些专用网络无法连接...2. 单击 添加/删除 Windows 组件; 3. 找到 更新根证书,单击去掉 更新根证书 前的对勾, 然后再继续。 4、重启计算机。 ...
  • (在【事件查看器】 ⇒【应用程序和服务日志】 ⇒ 【windows powershell 】中, 可以查看到,某一个exe程序被调用执行) 把Chrome浏览器删除了。 以下只是一个例子,与Chrome浏览器 被删除的程序没有特别对应...
  • wevtutil.exe cl "Application" wevtutil.exe cl "HardwareEvents" wevtutil.exe cl "Internet Explorer" wevtutil.exe cl "Key Management Service" ...wevtutil.exe cl "Microsoft-Windows-SmartCard-...
  • Windows中,如果使用了“较准颜色”向导进行系统显示颜色的较准,则可能会导致使用照片查看器查看照片时加载很慢。如果不进行颜色的较准那可能会导致照片查看器在查看照片时颜色不正常,比如发黄。 如果使用了“较...
  • 概述在Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有:4634 - 帐户被注销4647 - 用户发起注销4624 - 帐户已成功登录(可以查看4625 - 帐户登录失败4648 - 试图使用明确的...
  • 假如你误删了Windows 10内置应用,那你麻烦了! 如果你不想重装系统,请往下看...如题,笔者是为了解决Windows 10图片查看器模糊问题,按网上的方法先进行了卸载。但是在Microsoft Store中反复尝试安装都以失败告终。
  • Win7系统经常会用Windows照片查看器查看图片,但是有位用户查看图片的时候出现提示“windows照片查看器无法打开此图片”,为什么会出现这样的问题呢?这是因为此文件可能已损坏、损毁或过大。所有导致图片无法查看,...
  • Windows 事件查看器(收集)

    千次阅读 2012-05-14 23:17:30
    事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”...
  • 修改自http://www.codeweblog.com/使用批处理清除事件查看器所有windows-eventlog日志的代码/ @ECHO OFF TITLE 清除所有事件查看器里看到的EventLog日志,中途提示出错不用关注 ECHO. ECHO. FOR /F %I IN ...
  • Windows Server 2019或2016 .NET Framework移除、 IIS卸载后,服务器管理器、控制面板部分功能、事件查看器等都无法正常开启。 解决: 打开CMD,输入DISM指令安装.NET Framework,命令如下: dism /online /...
  • Windows Registry Editor Version 5.00 ; Change Extension's File Type [HKEY_CURRENT_USER\Software\Classes\.jpg] @="PhotoViewer.FileAssoc.Tiff" ; Change Extension's File Type [HKEY_CURRENT_USER\...
  • 事件查看器Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过 使用事件查看器中的事件日志,...
  • win10 的问题,  现在默认的照片查看方式是...下面给大家讲一下怎么改回原来的照片查看器,告别这个垃圾app   win+R 输入 regedit    打开注册表   依次打开   计算机\HKEY_LOCAL_MACHINE\SOFT...
  • 本java程序页面高度模仿美图看看,实现了照片查看器基本的功能,略缩图、文件树、查看大图、删除、复制重命名等
  • windows批量查看删除进程

    千次阅读 2021-12-03 17:46:43
    事件来由:刚开始在windows 中使用nginx 的时候,改完conf配置后双击nginx.exe 启动每次都会生成两个nginx进程服务,资源管理中生成大量nginx.exe 的服务,造成配置不生效。(改完配置后应通过 nginx.exe -s reload...
  • Windows事件ID及解释大全

    万次阅读 2019-12-10 21:23:40
    企图将驱动合并或替代为驱动上目录是上一个替代的目标的驱动。   150 系统跟踪信息未在 CONFIG.SYS 文件中指定,或不允许跟踪。 151 为 DosMuxSemWait 指定的信号灯事件数量不正确。   152 ...
  • windows日志查看与清理

    万次阅读 2019-10-15 13:55:58
    一、日志查看 二、日志清除        本次我们来讲讲常见服务的日志记录位置;阅读常见服务产生的日志;掌握系统日志、服务日志和计划任务日志的清理方法,在这之前我们先了解一些一些前置知识点...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 285,301
精华内容 114,120
热门标签
关键字:

windows事件查看器删除