精华内容
下载资源
问答
  • Windows事件查看器介绍

    千次阅读 2019-12-11 21:28:04
    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。 打开后,定位到windows日志栏下,可以看到有三种类型的...

    介绍

    很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。

    打开后,定位到windows日志栏下,可以看到有三种类型的日志,分别是应用程序日志、安全日志和系统日志,如下图。

     

    应用程序日志

    应用程序日志记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序。

    安全日志

    安全日志记录了一些用户登录事件、文件的创建打开删除事件等。

    系统日志

    系统日志记录了windows系统组件的一些事件,例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志,文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。

    所有的用户都可以查看应用程序日志和系统日志,只有管理员才能查看安全日志。

    日志级别

    事件查看器包含了5种级别,分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看,例如以下的信息级别。

     

    错误:指重大问题,包括数据丢失,功能损失等。例如服务启动期间无法加载。

    警告:潜在问题,例如磁盘空间低,则会记录一个警告。

    信息:描述程序和服务是否操作成功的事件,例如网络驱动成功加载。

    成功审核:接受审核且取得成功的安全访问尝试,例如用户成功登录系统。

    失败审核:接受审核且取得失败的安全访问尝试,例如用户尝试访问网络驱动但失败。

    同时事件查看器也提供了相应的查找、筛选等功能,例如我们需要关注错误类型的事件,则可以直接进行筛选,如下图。

     

    随后我们便可以看筛选出来的事件,看常规说明、来源等信息,以及选中事件右键查看详细的属性信息等,来判断是否是恶意的攻击事件。

    同时,我们也可以将事件的id和事件的来源去网上搜索相关信息,或者通过https://support.microsoft.comhttp://www.eventid.net 去搜索。


                                                                           公众号推荐:aFa攻防实验室

                               分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                             

    展开全文
  • windows事件查看器

    千次阅读 2019-02-22 15:19:59
    打开方式:右键左下角的windows ,然后按v  或者 Windows+R 后 输入eventvwr.msc 也行 主要看:Windows 日志——系统,这里会有一些你程序出现问题的日志,其他地方并没有太大作用 右键最近一个日志,并点击...

    打开方式:右键左下角的windows ,然后按v

                            或者 Windows+R 后 输入eventvwr.msc 也行

    主要看:Windows 日志——系统,这里会有一些你程序出现问题的日志,其他地方并没有太大作用

    右键最近一个日志,并点击事物属性,如下图出错原因

    这个就是我Tor Browser 连接不上的原因

     

    问题:

    windows日志里面应用程序与系统里面有什么区别?

    ——系统日志更能反映电脑下载软件出了什么问题,而应用程序反映电脑本身系统的问题(自己分析的,可能不太准确)

     

    额外补充:

    1安全传输层协议(TLS——Transport Layer Security,缩写TLS)用于在两个通信应用程序之间提供保密性和数据完整性。

    该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)

    2Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。

     

    展开全文
  • Windows 事件查看器(收集)

    千次阅读 2012-05-14 23:17:30
    事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”...

    事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视

    Windows 的安全事件

    提示:除了可以在“控制面板→管理工具”中找到“事件查看器”的踪影外,也可以在“运行”对话框中

    手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。

    1. 应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序

    日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么

    我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    2. 安全性日志

    记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其

    他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员

    可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响

    应。

    3. 系统日志

    包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系

    统日志中,默认情况下Windows会将系统事件记录到系统日志之中。这里有一个非常重要的事件:6006,

    如果你在某一天的事件查看器中没有发现ID为6006的事件,那么说明计算机在当天未正常关机,双击打开

    “事件属性”窗口,如果看到手描述为“事件日志服务已停止”,说明这里的“时间”是指计算机正常关

    机的时间。

    如果机子被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系

    统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自

    动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。

    小日志包含大信息

    朋友们可千万别轻视这些枯燥的日志,其中可包含了很多非常有用的信息呢,如果你能仔细分析,肯定可

    以在这里找到很多有用的信息,这样会有助于你解决系统错误。

    1.信息:描述了应用程序、驱动程序或服务的成功操作的事件,例如当网络驱动程序加载成功时,将会

    记录一个“信息”事件,图1所示的是趋势科技防毒精灵专业版被成功删除的事件,从这里可以看到事件

    头包括日期、时间、用户、计算机机、事件ID、来源、类型、类别等信息,在“描述”列表框中则列出了

    相应的说明和查看更多信息的链接地址,从这个链接地可以指向Microsoft的“统一资源定位器”(URL)地

    址。大部分情况下,这一类的事件内容没有必要去逐项查看,除非你有某些特别的需要。

    2. 成功审核:成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问

    、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系

    统都会被记录为“成功审核”事件


    3. 失败审核:失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审

    核事件记录下来。

    4. 警告:虽然不是很重要,但是将来有可能导致问题的事件,这种情况下应该检查问题所在。例如,当

    磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    5.错误:重要的问题,例如数据丢失或功能丧失都会以“错误”事件的形式被记录下来,这种情况下有

    必要检查系统。例如,图3所示的错误事件是服务器没有在限定的时间内用DCOM注册,点击描述中的链接

    会自动转到相应的帮助页面,根据提示进行相应的操作即可,如果你有兴趣的话,可以好好研究这里的内

    容,相信假以时日,你会成为一个DIYer的。

    定期释放多余的日志

    事实上,大部分时间记录下来的系统事件,都是一些流水账,随着时间的增加,系统日志的个头也会不断

    膨胀,当达到事先设置的日志大小后,会停止记录新的事件,因此我们需要定期释放多余的日志。

    选中需要清除的日志,然后从“操作”菜单中选择“清除所有事件”,此时会弹出图4所示的对话框询问

    是需要将当前日志保存下来,选择“是”会在清除之前将日志保存下来,选择“否”将永久丢弃当前事件

    记录,并开始记录新的事件。假如你觉得如果操作太繁琐的话,可以在活动日志的“属性”对话框中,选

    择“不改写事件 (手动清除日志)”,可以看到默认设置的“最大日志文件大小”只有512KB

    ,我们可以根据实际情况重新设置这个值,以后当日志达到一定的大小或出现提示日志已满的信息时,系

    统会自动清除日志;或者选择“按需要改写事件”,这样可以确保在日志写满时也能够将所有的新事件写

    入日志,当然如此一来的话,新日志会自动覆盖旧日志。

    不过,需要说明的,用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除

    或改写事件日志。或者,你也可以进入\WINDOWS\ SYSTEM32\config\文件夹,其中以*.evt作为扩展名的

    文件就是所谓的日志文件,AppEvent.evt即“应用程序”日志,SysEvent.evt即“系统”日志,

    SecEvent.evt即“安全性”日志,直接在这里删除相应的文件就可以了,不过如果你使用的是 NTFS格式

    的系统,在删除日志文件之前必须首先关闭事件检查器服务才行。

    除了使用“事件查看器”管理事件日志外,我们也可以使用命令行工具来创建和查询事件日志,以及使程

    序与特殊的日志事件关联,例如“Eventcreate.exe”可创建自定义的事件日志,“Eventquery.vbs”可

    从一个或多个事件日志中列出事件和事件属性,“Eventtriggers.exe”可创建事件触发器,这样当特定

    事件日志发生时将自动执行相应的程序,从而弥补了事件查看器无法实时跟踪可疑事件的不足,感兴趣的

    朋友们不妨试试


    由于最近需要查找SQL SERVER的问题,所以需要使用到windows 事件查看器。其中有些代码含义需要弄清楚,所以从网上收集了一些。以作记录:

    ID

    类型

       

    代 表 的 意 义 举 例 解 释

    2

    信息

    Serial

    在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式(fifo)。将使用该方式。

    17

    错误

    W32Time

    时间提供程序 NtpClient:  DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS查询。 错误为套接字操作尝试一个无法连接的主机。 (0x80072751)

    20

    警告

    Print

    已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e

    26

    信息

    Application Popup

    弹出应用程序: Rsaupd.exe - 无法找到组件没有找到 MFC71.DLL,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。

    29

    错误

    W32Time

    时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间,但是,没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。NtpClient 没有准确时间的时间源。

    35

    信息

    W32Time

    时间服务现在用时间源 time.windows.com (ntp.m|0x1|192.168.1.208:123->207.46.197.32:123) 同步 系统时间。

    115

    信息

    SRService

    系统还原监视在所有驱动器上启用。

    116

    信息

    SRService

    系统还原监视在所有驱动器上禁用。

    1001

    信息

    Save Dump

    计算机已经从检测错误后重新启动。检测错误: 0x4a4b4d53 (0xc000000e, 0x01d04bf0, 0x00000010, 0x0000029a)。 已将转储的数据保存在: C:\WINDOWS\Minidump\Mini052809-01.dmp

    1005

    警告

    Dhcp

    您的计算机检测到网络地址为 00E04C47978D 的网卡的 IP 地址 192.168.1.100 已在网络上使用。 计算机会自动获取另一个地址。

    3260

    信息

    Workstation

    此计算机成功加入到 workgroup 'WORKGROUP'

    4202

    信息

    Tcpip

    系统检测到网卡 Realtek...Family PCI Fast Ethernet NIC - 数据包计划程序微型端口 与网络断开, 而且网卡的网络配置已经释放。如果 网卡没有断开,这可能意味着它出现故障。 请与您的供应商联系以获得更新的驱动程序。

    4226

    警告

    Tcpip

    TCP/IP 已经达到并发 TCP 连接尝试次数的安全限制。

    4377

    信息

    NtServicePack

    Windows XP Hotfix KB873339 was installed.

    6005

    信息

    EventLog

    事件日志服务已启动。(开机)

    6006

    信息

    EventLog

    事件日志服务已停止。(关机)

    6009

    信息

    EventLog

    ctrlaltdelete(非正常)关机

    6011

    信息

    EventLog

    此机器的 NetBIOS 名称和 DNS 主机名从MACHINENAME 更改为 AA

    7000

    错误

    Service Control Manager

    由于下列错误,npkcrypt 服务启动失败:

    7031

    错误

    Service Control Manager

    Eset Service 服务意外地终止,这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行:重新启动服务。

    7035

    信息

    Service Control Manager

    xxx服务成功发送一个开始控件。

    7036

    信息

    Service Control Manager

    xxx服务处于运行或停止等状态。

    8033

    信息

    BROWSER

    由于主浏览器已经停止,浏览器在\Device\NetBT_Tcpip_{163DE7AB-92AE-499F-8340-B6358A4597CE} 网络上进行强制性的选举。

    10000

    错误

    DCOM

    无法启动 DCOM 服务器: {80EE4902-33A8-11D1-A213-0080C88593A5}。 错误:

    15007

    信息

    HTTP

    成功地添加了由 URL 前缀 http://*:2869/ 标识的命名空间的保留。

    60054

    信息

    Setup

    安装程序成功地完成了安装 Windows 内部版本2600

    64002

    信息

    Windows File Protection

    试图在被保护的系统文件c:\windows\system32\quartz.dll 上进行文件替换。 为了维护系统稳定,这个文件被还原成原始版本。 系统文件的文件版本是 6.5.2600.3497

    64008

    警告

    Windows File Protection

    无法验证受保护的c:\windows\system32\quartz.dll 系统文件,原因是 Windows 文件保护中断。 请过一会儿使用SFC 工具验证该文件的完整性。


    展开全文
  • 这里给大家分享其中一种利用事件查看器,查看补丁是否安装成功的办法。 1、win+r调出运行,输入eventvwr运行事件查看器。 2、打开Windows日志->setup(也有叫“设置”的),可以看到右边窗口,根据时间(一般是重启...

    windows补丁安装完成之后无论成功与否都会有补丁的安装记录,如何确认是否安装成功呢?这里给大家分享其中一种利用事件查看器,查看补丁是否安装成功的办法。

    1、win+r调出运行,输入eventvwr运行事件查看器。

    2、打开Windows日志->setup(也有叫“设置”的),可以看到右边窗口,根据时间(一般是重启的时间)查找相关日志。


    展开全文
  • WINDOWS事件查看器中,服务器启动后有报错: 错误应用程序名称: httpd.exe,版本: 2.4.17.0,时间戳: 0x561e1e32 错误模块名称: ntdll.dll,版本: 6.1.7601.18798,时间戳: 0x5507b3e0 异常代码: 0xc0000005 错误...
  • Windows事件查看器_ID一览表

    千次阅读 2017-11-15 21:59:00
    事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系。 事件ID:517 审核日志...
  • 事件查看器Windows XP 中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过 使用事件查看器中的事件日志,...
  • windows事件查看器的错误

    千次阅读 2007-07-07 20:12:00
    [推荐]修复事件查看器在系统启动过程中报告日志文件遭到破坏1.先禁用事件日志服务,接着重新启动系统。2.从%systemroot%/system32/config 目录中删除受损日志文件appevent.evt、secevent.evt、sysevent.evt 。...
  • 解决 Windows 照片查看器无法显示此图片,因为计算机上的可用内存可能不足解决 Windows 照片查看器无法显示此图片,因为计算机上的可用内存可能不足问题问题分析解决办法一解决办法二 解决 Windows 照片查看器无法...
  • Windows Event LogPurposeThe Windows Event Log API defines the schema that you use to write an instrumentation manifest. An instrumentation manifest identifies your event provider and the events that ...
  • 如何根据Windows事件查看器信息去解决实际碰到的问题,以下是我根据网上的讨论和实践,总结出来的一些经验。事件查看器中看到不断出现下面的错误日志。事件类型:错误事件来源:TermServDevices事件种类:无事件 ID:...
  • 删除win7事件查看器中的所有日志

    千次阅读 2010-06-22 16:45:00
    删除win7事件查看器中的所有日志
  • 查看Windows事件日志

    千次阅读 2013-07-09 19:32:00
    启动Windows事件查看器,点击“开始|设置|控制面板|管理工具”菜单,选择事件查看器,将弹出如图7.9所示的事件查看器窗口。   (点击查看大图)图7.9 Windows事件查看器窗口 事件查看器在...
  • "1"是菜单栏,这里包含了事件查看器的基本功能。 "2"是查看选择区,可以根据自己的需要选择要查看的日志。 "3"是事件的统计区,所有符合条件的事件都会在这里显示出来。 "4"是事件的信息显示区,这里可以看到某个...
  • 事件查看器ID 1041

    千次阅读 2015-08-03 12:33:41
    事件查看器ID 1041 事件类型: 错误 事件来源: Userenv 事件种类: 无 事件 ID: 1041 日期: 2010-3-14 事件: 15:48:04 用户: NT AUTHORITY\SYSTEM 计算机: LENOVO-S8K 描述: Windows 不能为 {7B...
  • windows查看windows事件日志

    千次阅读 2019-03-27 14:53:07
    事件查看器常用ID 当我们需要查找win10的开机历史记录的时候该怎么查看呢。其实很简单的。这里为大家分享下win10查看开机历史记录的两种方法,希望能帮到有需要的朋友。 方法一 打开控制面板,点击【系统和安全】...
  • Windows系统的【Windows照片查看器】没有了 有时候想用【Windows照片查看器】打开图片的时候发现在打开方式里找不到这个功能时候,可能是系统没有这个功能,需要重新安装。献上一段注册表代码。复制到你的xxx.txt...
  • MMC 事件查看器无法打开

    千次阅读 2011-09-29 22:16:33
    问:我的一台服务器是win2008 sp2的,现在无法打开事件查看器。打开时报错mmc无法创建管理单元。此单元可能没有正确安装。clsid:fx:{b05566ad-fe9c-4363-be05-7a4cbb7cb510},请问该如何解决呢    方法一: 1)
  • 如何查看Windows事件日志

    千次阅读 2018-02-06 15:06:00
    我们都知道,电脑的任何活动都会留下...或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。 2. 在「事件查看器」窗口,展开Windows日志,选择“安全”,登录日志就显示出来了。 ...
  • 事件查看器:一堆WindowsUpdateFailure3

    千次阅读 2019-03-19 09:51:52
    查看事件一堆堆WindowsUpdateFailure3的错 而且是循环的在跑跑跑。。。 问了朋友说是Update失败,一直在循环更新,然后循环失败导致,让我禁用Windows Update,但是报错,虽然禁用了还是未释放资源,最后...
  • dpi是dots per inch(每英寸所打印的点数)的...用Windows自带图片查看器查看图片的dpi分辨率大小方法: 选中图片-【右键】-【属性】-【详细信息】,在【图像】信息处可以看到该图片的水平dpi分辨率和垂直dpi分辨率。
  • 无法在Windows资源管理查看此FTP站点(Windows 7) 无法在Windows资源管理查看此FTP站点的英文释义:This ftp site cannot be viewed in windows explorer, 在Windows 7解决方法:打开注册表,进行如下...
  • Windows Registry Editor Version 5.00 ; Change Extension's File Type [HKEY_CURRENT_USER\Software\Classes\.jpg] @="PhotoViewer.FileAssoc.Tiff" ; Change Extension's File Type [HKEY_CURRENT_USER\...
  • windows 照片查看器无法打开图片,显示空白或提示:windows 照片查看器无法打开图片,因为照片查看器不支持此文件格式,或者你没有照片查看器的最新更新。 1、排查磁盘空间和内存 空间不足会造成图片无法打开...
  • 电脑的Windows图片查看器找不到怎么办在打开图片的时候默认是 画图,我们想要用windows图片器打开,但是更多应用里面没有这一选项,1、那么按下Windows徽标键+R键,打开运行命令窗口,输入“regedit”命令。...
  • 今天终于解决了,通过查看系统“事件查看器”发现是Windows Installer出现了错误,实际上是GoogleVoiceAndVideoSetup.exe在后台下载了一个msi包并通过MSI的接口安装: F:\Win7Data\Local\Google\Update\Download\{...
  • win server 2003 事件查看器中的事件ID

    千次阅读 2013-10-01 11:45:40
    PS:最近管理服务器, 要查看事件处理器,特记下ID,以方便日后查看! 一、帐户登录事件  下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。  672:已成功颁发和验证身份验证服务 (AS) 票证...
  • Windows图片查看器是系统内置的图片查看工具。可能因为未知原因或人为失误,我们把桌面右键的Windows图片查看器弄丢了。 在或者刚装的Windows10系统上面看不到图片查看器。该怎么找回图片查看器呢?下面介绍下图片...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 509,798
精华内容 203,919
关键字:

windows7事件查看器事件3