精华内容
下载资源
问答
  • 2021-12-09 13:24:25

    基础知识

    打开方式:eventview或命令行工具wevtutil

    事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。

    使用事件查看器可以执行以下任务:

    • 查看来自多个事件日志的事件

    • 将有用的事件筛选器另存为可以重新使用的自定义视图

    • 计划要运行以响应事件的任务

    • 创建和管理事件订阅,通过指定事件订阅,可以从远程计算机收集事件并将其保存在本地。

    事件日志

    事件日志分两个类型:windows日志、应用程序和服务日志。

    Windows日志

    存储来自旧版本应用程序的事件以及适用于整个系统的事件。分五类:

    应用程序日志

    • 包含程序记录的事件,程序开发人员决定记录哪些事件。例如:数据库程序记录文件错误。

    安全日志

    • 包含如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开、删除对象。
    • 可以知道在安全日志中记录什么事件。如,启用登录审核,则会将对系统的登录尝试记录在安全日志中。

    安装程序日志

    • 保护与应用程序安装有关的事件。

    系统日志

    • 包含windows系统组件记录的事件。如,启动过程中加载驱动程序、其它系统组件失败。
    • 系统组件记录的事件类型由windows预先确定。

    转发事件日志

    • 存储从远程计算机收集的事件。要从远程计算机收集事件,必须创建事件订阅。

    应用程序和服务日志

    存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。

    应用程序日志分四类:管理日志、操作日志、分析日志、调试日志。

    分析日志和调试日志默认处于隐藏和禁用状态,需要显示和启用。

    管理事件

    • 为用户、技术人员使用,指示发生的问题及技术人员可以采取的解决方案。

    操作事件

    • 为专业人士使用,用于分析和诊断发生的问题或事件,不那么友好,需要更多解释。

    分析事件

    • 大量发生,描述程序的操作并指示用户需要干预的无法处理的问题。

    调试事件

    • 开发人员在调试时使用。

    事件属性

    完整属性参阅Windows事件日志软件开发工具包(SDK)中的事件使用者的事实表示主题,部分基本属性:

    • 记录该条事件的软件,可以是程序名(SQL Server),也可以是系统或程序的组件名(Elnkii表示EtherLink2)。

    事件ID

    • 事件类型的编号。

    级别

    • 事件严重等级:信息、警告、错误、严重,在安全日志中还可能出现:审核成功、审核失败。

    用户

    • 导致事件的行为来源的用户。如果是服务器进程,则此位置为客户ID。

    操作代码

    • 事件发生时,表示应用程序正在执行的活动或代码位置的数字。

    日志

    • 已记录事件的日志名称

    任务类别

    • 表示事件发生者的子组件或活动

    关键字

    • 用于筛选或搜索的标记。

    计算机

    • 发生事件的计算机名称。

    日期和事件

    • 记录时的日期和时间

    还可以增加事件查看器显示的属性,可以增加的有:

    • 进程ID
    • 线程ID
    • 处理器ID
    • 会话ID
    • 内核时间
    • 用户时间:CPU时间单位形式
    • 处理器时间:用户模式指令已执行时间,CPU ticks形式。
    • 相关性ID:在进程中与事件有关的一个标识,用于指定事件间关系
    • 相对相关性ID:进程中涉及事件的相关活动。

    自定义视图

    筛选显示的事件,创建筛选器。

    Create and Manage Custom Views | Microsoft Docs

    事件订阅

    用于收集多台远程计算机的事件并将副本存储在本地。

    事件信息

    每条事件记录都包含一个URL,可以查看事件的联机帮助信息。

    这个RUL可以自定义。

    单机“事件日志联机帮助”时,会发送:产品名称、产品版本、事件ID、事件源、区域设置ID(计算机区域设置的标识号)。

    欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

    更多相关内容
  • windows系统事件查看器7035是什么意思呢?windows事件查看器有一个事件ID,这个事件ID由不同的数字表示,比如7035、7036、6005、6006等等,不同的数字代表不同的含义。大部分用户不知道事件查看器ID表示什么含义,...

    windows系统事件查看器7035是什么意思呢?windows事件查看器有一个事件ID,这个事件ID由不同的数字表示,比如7035、7036、6005、6006等等,不同的数字代表不同的含义。大部分用户不知道事件查看器ID表示什么含义,这边系统城小编为大家整理分享windows事件查看器常见的事件ID所代表的含义。

    一、Windows事件查看器打开方法:

    方法一:右键计算机/此电脑/我的电脑—管理—事件查看器

    方法二:win8/win10还可以按windows+Q组合键打开搜索,搜索事件查看器

    说明:查看事件ID对应的含义,很简单,点击某个事件,即可在下面查看到对应的含义解释。

    fcee91ccb0ccdde8037dba7e87d37c70.png

    二、Windows事件查看器常见ID代码含义如下:

    ID

    类型

    来   源

    代 表 的 意 义 举 例 解 释

    2

    信息

    Serial

    在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式(fifo)。将使用该方式。

    17

    错误

    W32Time

    时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS 查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751)

    20

    警告

    Print

    已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon

    PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP,

    CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE,

    CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e

    26

    信息

    Application Popup

    弹出应用程序: Rsaupd.exe - 无法找到组件: 没有找到 MFC71.DLL,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。

    29

    错误

    W32Time

    时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间,但是,没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。 NtpClient 没有准确时间的时间源。

    35

    信息

    W32Time

    时间服务现在用时间源 time.windows.com

    (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步 系统时间。

    115

    信息

    SRService

    系统还原监视在所有驱动器上启用。

    116

    信息

    SRService

    系统还原监视在所有驱动器上禁用。

    1001

    信息

    Save Dump

    计算机已经从检测错误后重新启动。检测错误: 0x4a4b4d53 (0xc000000e, 0x01d04bf0, 0x00000010, 0x0000029a)。 已将转储的数据保存在: C:\WINDOWS\Minidump\Mini052809-01.dmp。

    1005

    警告

    Dhcp

    您的计算机检测到网络地址为 00A21C2EFEC4 的网卡的 IP 地址 192.168.1.2 已在网络上使用。 计算机会自动获取另一个地址。

    3260

    信息

    Workstation

    此计算机成功加入到 workgroup 'WORKGROUP'。

    4202

    信息

    Tcpip

    系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开, 而且网卡的网络配置已经释放。如果 网卡没有断开,这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。

    4226

    警告

    Tcpip

    TCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。

    4377

    信息

    NtServicePack

    Windows XP Hotfix KB873339 was installed.

    6005

    信息

    EventLog

    事件日志服务已启动。(开机)

    6006

    信息

    EventLog

    事件日志服务已停止。(关机)

    6009

    信息

    EventLog

    按ctrl、alt、delete键(非正常)关机

    6011

    信息

    EventLog

    此机器的 NetBIOS 名称和 DNS 主机名从 MACHINENAME 更改为 AA。

    7000

    错误

    Service Control Manager

    由于下列错误,npkcrypt 服务启动失败:

    7031

    错误

    Service Control Manager

    Eset Service 服务意外地终止,这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行: 重新启动服务。

    7035

    信息

    Service Control Manager

    xxx服务成功发送一个开始控件。

    7036

    信息

    Service Control Manager

    xxx服务处于运行或停止等状态。

    8033

    信息

    BROWSER

    由于主浏览器已经停止,浏览器在 \Device\NetBT_Tcpip_{163DE7AB-92AE-499F-8340-B6358A4597CE} 网络上进行强制性的选举。

    10000

    错误

    DCOM

    无法启动 DCOM 服务器:

    {80EE4902-33A8-11D1-A213-0080C88593A5}。 错误:

    15007

    信息

    HTTP

    成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。

    60054

    信息

    Setup

    安装程序成功地完成了安装 Windows 内部版本 2600。

    64002

    信息

    Windows File Protection

    试图在被保护的系统文件 c:\windows\system32\quartz.dll 上进行文件替换。 为了维护系统稳定,这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497。

    64008

    警告

    Windows File Protection

    无法验证受保护的 c:\windows\system32\quartz.dll 系统文件,原因是 Windows 文件保护中断。 请过一会儿使用 SFC 工具验证该文件的完整性。

    展开全文
  • 微软在Windows XP/7、8等操作系统中都集成有事件查看器,它可以完成许多特殊的工作,比如审核系统事件和存放系统、安全及应用程序日志等等,而系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些...

    微软在Windows XP/7、8等操作系统中都集成有事件查看器,它可以完成许多特殊的工作,比如审核系统事件和存放系统、安全及应用程序日志等等,而系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误,用户不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因,所以我有时间就需要用到事件查看器来解决一些电脑疑难问题,对于电脑高手以及维护人员经常会用到。那么对于一般的电脑爱好者朋友来说,事件查看器怎么打开,又如何查看使用呢?接下来电脑百事网小编格子来详细介绍下。

    e576817a0a34447df9a213accb0f58e2.png

    事件查看器怎么打开 Win7事件查看器使用方法

    事件查看器怎么打开呢?其实很简单,以下小编为大家介绍两种常用方法:

    方法一:首先在电脑桌面上的计算机(我的电脑)上邮件,然后选择--“管理”-之后里边即可看到-“事件查看器”了,如下图所示:

    bcdf13c4621f16ebb8da10becbc66413.png

    事件查看器打开方法一

    方法二:打开开始菜单,然后在搜素框中,搜素“事件查看器”即可,如下图所示,适合Win7系统。

    a1c7a7deae34e596b841bffea923da60.png

    事件查看器打开方法二

    打开了时间查看器,那么接下来我们又能用它做什么,怎么查看器怎使用呢?

    在事件查看器中,一共有三个日志,分别为:应用程序、安全性、系统,要是开机或者系统使用过程中出现错误的提示,应该利用事件查看器来查看“系统”日志,在里面会看到用×标注的错误日志,双击它就能查看事件发生的时间、事件的详细描述。查到导致系统发生问题的事件后,然后就可以复制日志里面的关键字,利用搜索引擎来搜索,找到解决方法,由于里边全是中文描述,并且归类很详细,因此很容易学会使用。

    f5942ad18510490161274820027fad13.png

    Win7事件查看器使用方法(点击图片查看大图)

    编后语:尽管事件查看器对于一些的电脑爱好者朋友很少用到,不过在遇到一些特殊的电脑问题的时候,往往一般很难找到问题的原因,比如磁盘有坏道,某程序出了奇怪的问题,这种情况下,我们就可以通过计算机事件查看器,来找到一些有用的故障信息,从而准确判断电脑问题,希望大家能够学以致用。

    展开全文
  • Windows事件查看器介绍

    千次阅读 2019-12-11 21:28:04
    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。 打开后,定位到windows日志栏下,可以看到有三种类型的...

    介绍

    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。

    打开后,定位到windows日志栏下,可以看到有三种类型的日志,分别是应用程序日志、安全日志和系统日志,如下图。

     

    应用程序日志

    应用程序日志记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序。

    安全日志

    安全日志记录了一些用户登录事件、文件的创建打开删除事件等。

    系统日志

    系统日志记录了windows系统组件的一些事件,例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志,文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。

    所有的用户都可以查看应用程序日志和系统日志,只有管理员才能查看安全日志。

    日志级别

    事件查看器包含了5种级别,分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看,例如以下的信息级别。

     

    错误:指重大问题,包括数据丢失,功能损失等。例如服务启动期间无法加载。

    警告:潜在问题,例如磁盘空间低,则会记录一个警告。

    信息:描述程序和服务是否操作成功的事件,例如网络驱动成功加载。

    成功审核:接受审核且取得成功的安全访问尝试,例如用户成功登录系统。

    失败审核:接受审核且取得失败的安全访问尝试,例如用户尝试访问网络驱动但失败。

    同时事件查看器也提供了相应的查找、筛选等功能,例如我们需要关注错误类型的事件,则可以直接进行筛选,如下图。

     

    随后我们便可以看筛选出来的事件,看常规说明、来源等信息,以及选中事件右键查看详细的属性信息等,来判断是否是恶意的攻击事件。

    同时,我们也可以将事件的id和事件的来源去网上搜索相关信息,或者通过https://support.microsoft.comhttp://www.eventid.net 去搜索。


                                                                           公众号推荐:aFa攻防实验室

                               分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                             

    展开全文
  • windows事件查看器

    千次阅读 2019-02-22 15:19:59
    打开方式:右键左下角的windows ,然后按v  或者 Windows+R 后 输入eventvwr.msc 也行 主要看:Windows 日志——系统,这里会有一些你程序出现问题的日志,其他地方并没有太大作用 右键最近一个日志,并点击...
  • Windows事件查看器_ID一览表

    千次阅读 2017-11-15 21:59:00
    事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。 事件ID:517 审核日志...
  • 4月26日在twitter上看到Orange师傅发布了个windows事件查看器的 .Net 反序列化漏洞,感觉有点意思,故抽空简单做个复现与分析。 0x02. 漏洞复现 测试环境:Windows 11,ARM版 作者给的payload: ysoserial.exe -o...
  • Windows系统下,某些程序在出现异常crash闪退后,无提示信息,导致无法定位及反馈问题,此时可以使用Windows自带的事件查看器,查看crash程序的信息记录。 问题解决: 事件查看器的使用方法如下: 1.开始菜单-...
  • Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。 ...
  • WIN10事件查看器,ID1000,ID1001 問題

    千次阅读 2021-08-11 13:20:51
    以下是事件查看器中的错误信息:错误应用程序名称: Overwatch.exe,版本: 1.0.2.27174,时间戳: 0x56c53044错误模块名称: Overwatch.exe,版本: 1.0.2.27174,时间戳: 0x56c53044异常代码: 0xc0000005错误偏移量: 0x...
  • 事件查看器window日志As any geek knows, one of the first things that you do when troubleshooting a Windows problem is look into Event Viewer’s Application or System logs, which typically are rich with...
  • Windows每一代的系统,都有自带的照片查看器,但是有使用win7系统的用户,就遇到了这样的一个问题,Windows照片查看器无法打开图片,也不知道是什么原因。这篇文章就是PE吧给大家带来的解决方法,希望能帮助到大家。...
  • (在【事件查看器】 ⇒【应用程序和服务日志】 ⇒ 【windows powershell 】中, 可以查看到,某一个exe程序被调用执行) 把Chrome浏览器删除了。 以下只是一个例子,与Chrome浏览器 被删除的程序没有特别对应...
  • 这里给大家分享其中一种利用事件查看器,查看补丁是否安装成功的办法。 1、win+r调出运行,输入eventvwr运行事件查看器。 2、打开Windows日志->setup(也有叫“设置”的),可以看到右边窗口,根据时间(一般是重启...
  • win7系统使用久了,好多网友反馈说win7系统图片打开方式没有windows照片查看器的问题,非常不方便。有什么办法可以永久解决win7系统图片打开方式没有windows照片查看器的问题,面对win7系统图片打开方式没有windows...
  • windows查看windows事件日志

    千次阅读 2019-03-27 14:53:07
    事件查看器常用ID 当我们需要查找win10的开机历史记录的时候该怎么查看呢。其实很简单的。这里为大家分享下win10查看开机历史记录的两种方法,希望能帮到有需要的朋友。 方法一 打开控制面板,点击【系统和安全】...
  • 来源:数据安全与取证(ID:Cflab_net)安全原创:Wendyspa出于工做须要,除了本身的Mac笔记本,Wendy还配了一个Windows台式机。笔记本随身携带倒没什么,但最近总以为每次上班打开Windows台式机后跟前一天...事件正...
  • Windows Registry Editor Version 5.00 ; Change Extension's File Type [HKEY_CURRENT_USER\Software\Classes\.jpg] @="PhotoViewer.FileAssoc.Tiff" ; Change Extension's File Type [HKEY_CURRENT_USER\...
  • 起因:回到工位发现自己电脑没锁屏,突然想找到查看windows登录记录的方法 参考: ... ... ... 操作方法: ...打开事件查看器 事件查看器->windows日志->安全 右侧选择筛选当前日志 筛选事件ID
  • LibTools-Viewer1.0 windows lib dll库函数查看器

    千次下载 热门讨论 2015-05-22 14:05:02
    LibTools-Viewer1.0 windows lib dll库函数查看器,只能查看函数名
  • Windows7 Windows8 gif 照片查看器 gif补丁

    热门讨论 2013-02-21 03:22:48
    gif照片查看器,单文件,小巧,内存占用低。另附传说中的系统照片查看器的gif补丁。新春免币
  • Windows系统的【Windows照片查看器】没有了 有时候想用【Windows照片查看器】打开图片的时候发现在打开方式里找不到这个功能时候,可能是系统没有这个功能,需要重新安装。献上一段注册表代码。复制到你的xxx.txt...
  • windows 照片查看器无法打开图片,显示空白或提示:windows 照片查看器无法打开图片,因为照片查看器不支持此文件格式,或者你没有照片查看器的最新更新。 1、排查磁盘空间和内存 空间不足会造成图片无法打开...
  • Windows10查看图片,使用windows10 的照片查看器打开图片,图片是黑底的,并且打开方式中没有Windows图片查看器,如下图: 解决办法: 将下面代码复制到文本文件中,将文本文件.txt后缀改为.reg,双击修改后的....
  • 一、windows照片查看器无法显示图片的原因 Windows 因为计算机的可用内存不足导致无法显示图片,大部分的原因是因为软件的配置没选对,软件识别不了照片的颜色,所以一直识别加载,导致内存不足,无法显示图片。 ...
  • 我的系统是 Windows Server 2008 R2 企业版,每天都能在事件查看器中看到来源:DNS Client Events 事件 ID:1014 的警告记录,具体摘取部分记录如下:2012/8/27 8:57:11 在没有配置的 DNS 服务器响应之后,名称 msg....
  • Windows照片查看器无法显示此图片

    千次阅读 2021-05-11 13:16:52
    解决手机截图发送到电脑上不显示的问题。...问题:Windows照片查看器无法显示此图片,因为计算机上的可用内存可能不足。 解决办法:(http://www.360doc.com/content/20/1222/09/40200652_952802550.shtml)
  • 事件查看器:一堆WindowsUpdateFailure3

    千次阅读 2019-03-19 09:51:52
    查看事件一堆堆WindowsUpdateFailure3的错 而且是循环的在跑跑跑。。。 问了朋友说是Update失败,一直在循环更新,然后循环失败导致,让我禁用Windows Update,但是报错,虽然禁用了还是未释放资源,最后...
  • Windows图片查看器是系统内置的图片查看工具。可能因为未知原因或人为失误,我们把桌面右键的Windows图片查看器弄丢了。 在或者刚装的Windows10系统上面看不到图片查看器。该怎么找回图片查看器呢?下面介绍下图片...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 575,766
精华内容 230,306
关键字:

windows7事件查看器事件3