精华内容
下载资源
问答
  • Windows事件查看器介绍

    千次阅读 2019-12-11 21:28:04
    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。 打开后,定位到windows日志栏下,可以看到有三种类型的...

    介绍

    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。

    打开后,定位到windows日志栏下,可以看到有三种类型的日志,分别是应用程序日志、安全日志和系统日志,如下图。

     

    应用程序日志

    应用程序日志记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序。

    安全日志

    安全日志记录了一些用户登录事件、文件的创建打开删除事件等。

    系统日志

    系统日志记录了windows系统组件的一些事件,例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志,文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。

    所有的用户都可以查看应用程序日志和系统日志,只有管理员才能查看安全日志。

    日志级别

    事件查看器包含了5种级别,分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看,例如以下的信息级别。

     

    错误:指重大问题,包括数据丢失,功能损失等。例如服务启动期间无法加载。

    警告:潜在问题,例如磁盘空间低,则会记录一个警告。

    信息:描述程序和服务是否操作成功的事件,例如网络驱动成功加载。

    成功审核:接受审核且取得成功的安全访问尝试,例如用户成功登录系统。

    失败审核:接受审核且取得失败的安全访问尝试,例如用户尝试访问网络驱动但失败。

    同时事件查看器也提供了相应的查找、筛选等功能,例如我们需要关注错误类型的事件,则可以直接进行筛选,如下图。

     

    随后我们便可以看筛选出来的事件,看常规说明、来源等信息,以及选中事件右键查看详细的属性信息等,来判断是否是恶意的攻击事件。

    同时,我们也可以将事件的id和事件的来源去网上搜索相关信息,或者通过https://support.microsoft.comhttp://www.eventid.net 去搜索。


                                                                           公众号推荐:aFa攻防实验室

                               分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                             

    展开全文
  • 删除win10事件查看器中的所有日志.BAT
  • 实用文案 0 操作成功完成 1 函数不正确 2 系统找不到指定的文件 3 系统找不到...11 试图加载格式不正确的程序 12 访问码无效 13 数据无效 14 存储空间不足无法完成此操作 15 系统找不到指定的驱动 16 无法删除目录 17
  • Windows 事件查看器(收集)

    千次阅读 2012-05-14 23:17:30
    事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”...

    事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视

    Windows 的安全事件

    提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”对话框中

    手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。

    1. 应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序

    日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么

    我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    2. 安全性日志

    记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其

    他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员

    可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响

    应。

    3. 系统日志

    包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系

    统日志中,默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件:6006,

    如果你在某一天的事件查看器中没有发现ID为6006的事件,那么说明计算机在当天未正常关机,双击打开

    “事件属性”窗口,如果看到手描述为“事件日志服务已停止”,说明这里的“时间”是指计算机正常关

    机的时间。

    如果机子被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系

    统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自

    动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。

    小日志包含大信息

    朋友们可千万别轻视这些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔细分析,肯定可

    以在这里找到很多有用的信息,这样会有助于你解决系统错误。

    1.信息:描述了应用程序、驱动程序或服务的成功操作的事件,例如当网络驱动程序加载成功时,将会

    记录一个“信息”事件,图1所示的是趋势科技防毒精灵专业版被成功删除的事件,从这里可以看到事件

    头包括日期、时间、用户、计算机机、事件ID、来源、类型、类别等信息,在“描述”列表框中则列出了

    相应的说明和查看更多信息的链接地址,从这个链接地可以指向Microsoft的“统一资源定位器”(URL)地

    址。大部分情况下,这一类的事件内容没有必要去逐项查看,除非你有某些特别的需要。

    2. 成功审核:成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问

    、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系

    统都会被记录为“成功审核”事件


    3. 失败审核:失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审

    核事件记录下来。

    4. 警告:虽然不是很重要,但是将来有可能导致问题的事件,这种情况下应该检查问题所在。例如,当

    磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    5.错误:重要的问题,例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来,这种情况下有

    必要检查系统。例如,图3所示的错误事件是服务器没有在限定的时间内用DCOM注册,点击描述中的链接

    会自动转到相应的帮助页面,根据提示进行相应的操作即可,如果你有兴趣的话,可以好好研究这里的内

    容,相信假以时日,你会成为一个DIYer的。

    定期释放多余的日志

    事实上,大部分时间记录下来的系统事件,都是一些流水账,随着时间的增加,系统日志的个头也会不断

    膨胀,当达到事先设置的日志大小后,会停止记录新的事件,因此我们需要定期释放多余的日志。

    选中需要清除的日志,然后从“操作”菜单中选择“清除所有事件”,此时会弹出图4所示的对话框询问

    是需要将当前日志保存下来,选择“是”会在清除之前将日志保存下来,选择“否”将永久丢弃当前事件

    记录,并开始记录新的事件。假如你觉得如果操作太繁琐的话,可以在活动日志的“属性”对话框中,选

    择“不改写事件 (手动清除日志)”,可以看到默认设置的“最大日志文件大小”只有512KB

    ,我们可以根据实际情况重新设置这个值,以后当日志达到一定的大小或出现提示日志已满的信息时,系

    统会自动清除日志;或者选择“按需要改写事件”,这样可以确保在日志写满时也能够将所有的新事件写

    入日志,当然如此一来的话,新日志会自动覆盖旧日志。

    不过,需要说明的,用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除

    或改写事件日志。或者,你也可以进入\WINDOWS\ SYSTEM32\config\文件夹,其中以*.evt作为扩展名的

    文件就是所谓的日志文件,AppEvent.evt即“应用程序”日志,SysEvent.evt即“系统”日志,

    SecEvent.evt即“安全性”日志,直接在这里删除相应的文件就可以了,不过如果你使用的是 NTFS格式

    的系统,在删除日志文件之前必须首先关闭事件检查器服务才行。

    除了使用“事件查看器”管理事件日志外,我们也可以使用命令行工具来创建和查询事件日志,以及使程

    序与特殊的日志事件关联,例如“Eventcreate.exe”可创建自定义的事件日志,“Eventquery.vbs”可

    从一个或多个事件日志中列出事件和事件属性,“Eventtriggers.exe”可创建事件触发器,这样当特定

    事件日志发生时将自动执行相应的程序,从而弥补了事件查看器无法实时跟踪可疑事件的不足,感兴趣的

    朋友们不妨试试


    由于最近需要查找SQL SERVER的问题,所以需要使用到windows 事件查看器。其中有些代码含义需要弄清楚,所以从网上收集了一些。以作记录:

    ID

    类型

       

    代 表 的 意 义 举 例 解 释

    2

    信息

    Serial

    在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式(fifo)。将使用该方式。

    17

    错误

    W32Time

    时间提供程序 NtpClient:  DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS查询。 错误为套接字操作尝试一个无法连接的主机。 (0x80072751)

    20

    警告

    Print

    已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e

    26

    信息

    Application Popup

    弹出应用程序: Rsaupd.exe - 无法找到组件没有找到 MFC71.DLL,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。

    29

    错误

    W32Time

    时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间,但是,没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。NtpClient 没有准确时间的时间源。

    35

    信息

    W32Time

    时间服务现在用时间源 time.windows.com (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步 系统时间。

    115

    信息

    SRService

    系统还原监视在所有驱动器上启用。

    116

    信息

    SRService

    系统还原监视在所有驱动器上禁用。

    1001

    信息

    Save Dump

    计算机已经从检测错误后重新启动。检测错误: 0x4a4b4d53 (0xc000000e, 0x01d04bf0, 0x00000010, 0x0000029a)。 已将转储的数据保存在: C:\WINDOWS\Minidump\Mini052809-01.dmp

    1005

    警告

    Dhcp

    您的计算机检测到网络地址为 00E04C47978D 的网卡的 IP 地址 192.168.1.100 已在网络上使用。 计算机会自动获取另一个地址。

    3260

    信息

    Workstation

    此计算机成功加入到 workgroup 'WORKGROUP'

    4202

    信息

    Tcpip

    系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开, 而且网卡的网络配置已经释放。如果 网卡没有断开,这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。

    4226

    警告

    Tcpip

    TCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。

    4377

    信息

    NtServicePack

    Windows XP Hotfix KB873339 was installed.

    6005

    信息

    EventLog

    事件日志服务已启动。(开机)

    6006

    信息

    EventLog

    事件日志服务已停止。(关机)

    6009

    信息

    EventLog

    ctrlaltdelete(非正常)关机

    6011

    信息

    EventLog

    此机器的 NetBIOS 名称和 DNS 主机名从MACHINENAME 更改为 AA

    7000

    错误

    Service Control Manager

    由于下列错误,npkcrypt 服务启动失败:

    7031

    错误

    Service Control Manager

    Eset Service 服务意外地终止,这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行:重新启动服务。

    7035

    信息

    Service Control Manager

    xxx服务成功发送一个开始控件。

    7036

    信息

    Service Control Manager

    xxx服务处于运行或停止等状态。

    8033

    信息

    BROWSER

    由于主浏览器已经停止,浏览器在\Device\NetBT_Tcpip_{163DE7AB-92AE-499F-8340-B6358A4597CE} 网络上进行强制性的选举。

    10000

    错误

    DCOM

    无法启动 DCOM 服务器: {80EE4902-33A8-11D1-A213-0080C88593A5}。 错误:

    15007

    信息

    HTTP

    成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。

    60054

    信息

    Setup

    安装程序成功地完成了安装 Windows 内部版本2600

    64002

    信息

    Windows File Protection

    试图在被保护的系统文件c:\windows\system32\quartz.dll 上进行文件替换。 为了维护系统稳定,这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497

    64008

    警告

    Windows File Protection

    无法验证受保护的c:\windows\system32\quartz.dll 系统文件,原因是 Windows 文件保护中断。 请过一会儿使用SFC 工具验证该文件的完整性。


    展开全文
  • Windows事件查看器_ID一览表

    千次阅读 2017-11-15 21:59:00
    事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。 事件ID:517 审核日志...

    事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。

    事件ID:517 审核日志已经清除 
    事件ID:528 登陆成功 可以显示客户端连接ip地址 
    事件ID:683 会话从 winstation 中断连接 可以查看客户端计算机名 
    事件ID:624 创建了用户帐户 
    事件ID:626 启用了用户帐户 
    事件ID:627 用户密码已更改 
    事件ID:628 设置了用户密码

    Windows Server 2003安全事件ID分析 
    根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。

    一、帐户登录事件

    下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

    672:已成功颁发和验证身份验证服务 (AS) 票证。

    673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。

    674:安全主体已更新 AS 票证或 TGS 票证。

    675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。

    676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

    677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

    678:帐户已成功映射到域帐户。

    681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

    682:用户已重新连接至已断开的终端服务器会话。

    683:用户未注销就断开终端服务器会话。

    二、帐户管理事件

    下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

    624:用户帐户已创建。

    627:用户密码已更改。

    628:用户密码已设置。

    630:用户帐户已删除。

    631:全局组已创建。

    632:成员已添加至全局组。

    633:成员已从全局组删除。

    634:全局组已删除。

    635:已新建本地组。

    636:成员已添加至本地组。

    637:成员已从本地组删除。

    638:本地组已删除。

    639:本地组帐户已更改。

    641:全局组帐户已更改。

    642:用户帐户已更改。

    643:域策略已修改。

    644:用户帐户被自动锁定。

    645:计算机帐户已创建。

    646:计算机帐户已更改。

    647:计算机帐户已删除。

    648:禁用安全的本地安全组已创建。

    注意:

    从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。

    649:禁用安全的本地安全组已更改。

    650:成员已添加至禁用安全的本地安全组。

    651:成员已从禁用安全的本地安全组删除。

    652:禁用安全的本地组已删除。

    653:禁用安全的全局组已创建。

    654:禁用安全的全局组已更改。

    655:成员已添加至禁用安全的全局组。

    656:成员已从禁用安全的全局组删除。

    657:禁用安全的全局组已删除。

    658:启用安全的通用组已创建。

    659:启用安全的通用组已更改。

    660:成员已添加至启用安全的通用组。

    661:成员已从启用安全的通用组删除。

    662:启用安全的通用组已删除。

    663:禁用安全的通用组已创建。

    664:禁用安全的通用组已更改。

    665:成员已添加至禁用安全的通用组。

    666:成员已从禁用安全的通用组删除。

    667:禁用安全的通用组已删除。

    668:组类型已更改。

    684:管理组成员的安全描述符已设置。

    注意:

    在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。

    685:帐户名称已更改。

    三、目录服务访问事件

    下面显示了由”审核目录服务访问”安全模板设置所生成的安全事件。

    566:发生了一般对象操作。

    四、登录事件ID

    528:用户成功登录到计算机。

    529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。

    530:登录失败。试图在允许的时间外登录。

    531:登录失败。试图使用禁用的帐户登录。

    532:登录失败。试图使用已过期的帐户登录。

    533:登录失败。不允许登录到指定计算机的用户试图登录。

    534:登录失败。用户试图使用不允许的密码类型登录。

    535:登录失败。指定帐户的密码已过期。

    536:登录失败。Net Logon 服务没有启动。

    537:登录失败。由于其他原因登录尝试失败。

    注意:

    在某些情况下,登录失败的原因可能是未知的。

    538:用户的注销过程已完成。

    539:登录失败。试图登录时,该帐户已锁定。

    540:用户成功登录到网络。

    541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。

    542:数据频道已终止。

    543:主要模式已终止。

    注意:

    如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。

    544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。

    545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。

    546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。

    547:在 IKE 握手过程中,出现错误。

    548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。

    549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。

    550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。

    551:用户已启动注销过程。

    552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。

    682:用户已重新连接至已断开的终端服务器会话。

    683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。

    五、对象访问事件

    下面显示了由”审核对象访问”安全模板设置所生成的安全事件。

    560:访问权限已授予现有的对象。

    562:指向对象的句柄已关闭。

    563:试图打开一个对象并打算将其删除。

    注意:

    当在 Createfile() 中指定了 FILE_Delete_ON_CLOSE 标记时,此事件可以用于文件系统。

    564:受保护对象已删除。

    565:访问权限已授予现有的对象类型。

    567:使用了与句柄关联的权限。

    注意:

    创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。

    568:试图创建与正在审核的文件的硬链接。

    569:授权管理器中的资源管理器试图创建客户端上下文。

    570:客户端试图访问对象。

    注意:

    在此对象上发生的每个尝试操作都将生成一个事件。

    571:客户端上下文由授权管理器应用程序删除。

    572:Administrator Manager(管理员管理器)初始化此应用程序。

    772:证书管理器已拒绝挂起的证书申请。

    773:证书服务已收到重新提交的证书申请。

    774:证书服务已吊销证书。

    775:证书服务已收到发行证书吊销列表 (CRL) 的请求。

    776:证书服务已发行 CRL。

    777:已制定证书申请扩展。

    778:已更改多个证书申请属性。

    779:证书服务已收到关机请求。

    780:已开始证书服务备份。

    781:已完成证书服务备份。

    782:已开始证书服务还原。

    783:已完成证书服务还原。

    784:证书服务已开始。

    785:证书服务已停止。

    786:已更改证书服务的安全权限。

    787:证书服务已检索存档密钥。

    788:证书服务已将证书导入其数据库中。

    789:证书服务审核筛选已更改。

    790:证书服务已收到证书申请。

    791:证书服务已批准证书申请并已颁发证书。

    792:证书服务已拒绝证书申请。

    793:证书服务将证书申请状态设为挂起。

    794:证书服务的证书管理器设置已更改。

    795:证书服务中的配置项已更改。

    796:证书服务的属性已更改。

    797:证书服务已将密钥存档。

    798:证书服务导入密钥并将其存档。

    799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。

    800:已从证书数据库删除一行或多行。

    801:角色分离已启用。

    六、审核策略更改事件

    下面显示了由”审核策略更改”安全模板设置所生成的安全事件。

    608:已分配用户权限。

    609:用户权限已删除。

    610:与其他域的信任关系已创建。

    611:与其他域的信任关系已删除。

    612:审核策略已更改。

    613:Internet 协议安全 (IPSec) 策略代理已启动。

    614:IPSec 策略代理已禁用。

    615:IPSec 策略代理已更改。

    616:IPSec 策略代理遇到一个可能很严重的故障。

    617:Kerberos v5 策略已更改。

    618:加密数据恢复策略已更改。

    620:与其他域的信任关系已修改。

    621:已授予帐户系统访问权限。

    622:已删除帐户的系统访问权限。

    623:按用户设置审核策略。

    625:按用户刷新审核策略。

    768:检测到两个林的名称空间元素之间有冲突。

    注意:

    当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。

    769:已添加受信任的林信息。

    注意:

    当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删 除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。

    770:已删除受信任的林信息。

    注意:

    请参见事件 769 的事件描述。

    771:已修改受信任的林信息。

    注意:

    请参见事件 769 的事件描述。

    805:事件日志服务读取会话的安全日志配置。

    七、特权使用事件

    下面显示了由”审核特权使用”安全模板设置所生成的安全事件。

    576:指定的特权已添加到用户的访问令牌中。

    注意:

    当用户登录时生成此事件。

    577:用户试图执行需要特权的系统服务操作。

    578:特权用于已经打开的受保护对象的句柄。

    八、详细的跟踪事件

    下面显示了由”审核过程跟踪”安全模板设置所生成的安全事件。

    592:已创建新进程。

    593:进程已退出。

    594:对象句柄已复制。

    595:已获取对象的间接访问权。

    596:数据保护主密钥已备份。

    注意:

    主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。

    597:数据保护主密钥已从恢复服务器恢复。

    598:审核过的数据已受保护。

    599:审核过的数据未受保护。

    600:已分配给进程主令牌。

    601:用户试图安装服务。

    602:已创建计划程序任务。

    九、审核系统事件

    下面显示了由”审核系统事件”安全模板设置所生成的系统事件。

    512:Windows 正在启动。

    513:Windows 正在关机。

    514:本地安全机制机构已加载身份验证数据包。

    515:受信任的登录过程已经在本地安全机构注册。

    516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。

    517:审核日志已清除。

    518:安全帐户管理器已加载通知数据包。

    519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。










    本文转自 OH51888 51CTO博客,原文链接:http://blog.51cto.com/rozbo/1240900,如需转载请自行联系原作者
    展开全文
  • Windows事件查看器日志(EVT)文件中删除单独的行 支持:Windows XP和Windows 2003 我的帖子有关详细信息: 稍后,我将它们翻译成英文。 笔记: WinXP和Win7,ObjectTypeNumber = 0x1c evtDeleteRecordofFile....
  • windows事件查看器的错误

    千次阅读 2007-07-07 20:12:00
    [推荐]修复事件查看器在系统启动过程中报告日志文件遭到破坏1.先禁用事件日志服务,接着重新启动系统。2.从%systemroot%/system32/config 目录中删除受损日志文件appevent.evt、secevent.evt、sysevent.evt 。...

    [推荐]修复事件查看器在系统启动过程中报告日志文件遭到破坏

    1.先禁用事件日志服务,接着重新启动系统。

    2.从%systemroot%/system32/config 目录中删除受损日志文件appevent.evt、secevent.evt、sysevent.evt 。(secevent.evt、sysevent.evt可能是并存或者只有一个),这样,现有的事件数据将会全部丢失,但是新的日志文件将在事件日志服务重新启动时创建并开始收集新的事件数据。

    3.restart 事件日志服务,并且重新启动系统。

    OK!此时事件日志文件修复完毕!开机将不会出现错误报告!

     

    在系统启动时至少有一个服务器或驱动程序产生错误。详细信息请用事件查看器查看事件日志。

    关于这个问题一直都没有查出原因了,也算是一种失败吧.目前来说,只能是眼不见,心不烦了.也不想去深究了.

    因此推荐下面这个方法,效果还不错.只要是看不见了,心里就舒服多了.

    server2003/xp/2000 每次弹出服务控制管理器“系统启动时至少有一个服务或驱动程序产生错误”解决方法。

    解决方法:

    把以下注册表用记事本编辑,保存为**.reg ,直接点击导入即可。
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Windows]
    "NoPopUpsOnBoot"=dword:00000001
    如果导入失败,请进程手动操作。找到[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Windows]
    右键新建dword值,命名为NoPopUpsOnBoot,设其值为“1”
    以上方法来源于网上搜集
    展开全文
  • 事件查看器Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过 使用事件查看器中的事件日志,...
  • Windows 图片查看器

    2013-04-26 20:02:49
    基本功能:预览(打开图片)、上一张、下一张、另存为、删除 放大,缩小,顺时针旋转、逆时针旋转
  • 修改自http://www.codeweblog.com/使用批处理清除事件查看器所有windows-eventlog日志的代码/ @ECHO OFF TITLE 清除所有事件查看器里看到的EventLog日志,中途提示出错不用关注 ECHO. ECHO. FOR /F %I IN ...
  • Windows照片查看器无法显示此图片,因为计算机上的可用内存可能不足,赶紧下载安装,小巧无广告,功能实用。
  • 今天终于解决了,通过查看系统“事件查看器”发现是Windows Installer出现了错误,实际上是GoogleVoiceAndVideoSetup.exe在后台下载了一个msi包并通过MSI的接口安装: F:\Win7Data\Local\Google\Update\Download\{...
  • Windows图片查看器是系统内置的图片查看工具。可能因为未知原因或人为失误,我们把桌面右键的Windows图片查看器弄丢了。 在或者刚装的Windows10系统上面看不到图片查看器。该怎么找回图片查看器呢?下面介绍下图片...
  • (在【事件查看器】 ⇒【应用程序和服务日志】 ⇒ 【windows powershell 】中, 可以查看到,某一个exe程序被调用执行) 把Chrome浏览器删除了。 以下只是一个例子,与Chrome浏览器 被删除的程序没有特别对应...
  • 事件查看器

    千次阅读 2004-10-07 01:29:00
    事件查看器概述在事件查看器中使用事件日志,您可收集到关于硬件、软件和系统问题的信息,并可监视 Windows 2000 的安全事件。 Windows 2000 以三种日志方式记录事件: 应用程序日志 应用程序日志包含由应用程序...
  • 删除事件查看器中多余的日志分类

    千次阅读 2009-04-16 16:36:00
    用vs2008开发“Windows 服务”程序,安装后在“事件查看器”中生成一个新的事件日志分类“MyNewLog”,卸载服务后,打开事件查看器,发现“MyNewLog”的事件日志分类没有删除。 具体删除过程如下: 1、在“开始”--...
  • 删除win7事件查看器中的所有日志

    千次阅读 2010-06-22 16:45:00
    删除win7事件查看器中的所有日志
  • Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。 ...
  • wevtutil.exe cl "Application" wevtutil.exe cl "HardwareEvents" wevtutil.exe cl "Internet Explorer" wevtutil.exe cl "Key Management Service" ...wevtutil.exe cl "Microsoft-Windows-SmartCard-...
  • win10找回旧版Windows照片查看器解决方案
  • 事件查看器使用分析

    千次阅读 2012-07-05 10:10:19
    如果你已经用上了Windows XP,那么是否意识到不管你是否愿意,操作系统每天都在后台默默无闻地记录下所有的一举一动,相当于忠实的史官“铁笔写春秋”,这就是可以在“控制面板→管理工具”中找到的“事件查看器”,...
  • 事件查看器ID 1041

    千次阅读 2015-08-03 12:33:41
    事件查看器ID 1041 事件类型: 错误 事件来源: Userenv 事件种类: 无 事件 ID: 1041 日期: 2010-3-14 事件: 15:48:04 用户: NT AUTHORITY\SYSTEM 计算机: LENOVO-S8K 描述: Windows 不能为 {7B...
  • 大咖揭秘Java人都栽在了哪?...解决 Windows 照片查看器无法显示此图片,因为计算机上的可用内存可能不足 解决 Windows 照片查看器无法显示此图片,因为计算机上的可用内存可能不足 问题描述 ...
  • 事件查看器事件ID部分说明

    千次阅读 2014-08-20 14:25:00
    事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。事件ID:517 审核日志...
  • win server 2003 事件查看器中的事件ID

    千次阅读 2013-10-01 11:45:40
    PS:最近管理服务器, 要查看事件处理器,特记下ID,以方便日后查看! 一、帐户登录事件  下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。  672:已成功颁发和验证身份验证服务 (AS) 票证...
  • 事件查看器你用好了吗?

    千次阅读 2006-05-05 09:28:00
    如果你已经用上了Windows XP,那么是否意识到不管你是否愿意,操作系统每天都在后台默默无闻地记录下所有的一举一动,相当于忠实的史官“铁笔写春秋”,这就是可以在“控制面板→管理工具”中找到的“事件查看器”,...
  • 因为在这里,除了可以学到关于事件查看器的基本知识,还会了解如何利用事件查看器里的蛛丝马迹发现并解决系统故障。事件查看器?好陌生的名字!它有什么用啊?不要着急,我们现在就会告诉你这个东东有什么有用的或者...
  • 事件查看器出现Netlogon5723错误

    千次阅读 2018-10-14 18:10:42
    问题描述:  当AD复制时,可能出现复制错误。 有关解决复制问题的其它信息,请参见 Microsoft Knowledge Base 文章 Q104204...(可以通过服务器管理器查看计算机帐户。) 计算机帐户会有一个默认密码,BDC...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 257,970
精华内容 103,188
关键字:

windows事件查看器删除