标签：例如 查看器 Windows 事件 审核 日志 系统日志

介绍

很多病毒木马操作一般都会在事件查看器中留下痕迹，windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。

打开后，定位到windows日志栏下，可以看到有三种类型的日志，分别是应用程序日志、安全日志和系统日志，如下图。

应用程序日志

应用程序日志记录了系统程序运行时的事件，例如错误、崩溃等情况，包括安装的程序及系统自带的程序。

安全日志

安全日志记录了一些用户登录事件、文件的创建打开删除事件等。

系统日志

系统日志记录了windows系统组件的一些事件，例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志，文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。

所有的用户都可以查看应用程序日志和系统日志，只有管理员才能查看安全日志。

日志级别

事件查看器包含了5种级别，分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看，例如以下的信息级别。

错误：指重大问题，包括数据丢失，功能损失等。例如服务启动期间无法加载。

警告：潜在问题，例如磁盘空间低，则会记录一个警告。

信息：描述程序和服务是否操作成功的事件，例如网络驱动成功加载。

成功审核：接受审核且取得成功的安全访问尝试，例如用户成功登录系统。

失败审核：接受审核且取得失败的安全访问尝试，例如用户尝试访问网络驱动但失败。

同时事件查看器也提供了相应的查找、筛选等功能，例如我们需要关注错误类型的事件，则可以直接进行筛选，如下图。

随后我们便可以看筛选出来的事件，看常规说明、来源等信息，以及选中事件右键查看详细的属性信息等，来判断是否是恶意的攻击事件。

同时，我们也可以将事件的id和事件的来源去网上搜索相关信息，或者通过https://support.microsoft.com 和 http://www.eventid.net 去搜索。
 

标签：例如,查看器,Windows,事件,审核,日志,系统日志
来源： https://blog.csdn.net/sj349781478/article/details/122758105

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。