Windows事件查看器介绍

介绍

很多病毒木马操作一般都会在事件查看器中留下痕迹，windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。

打开后，定位到windows日志栏下，可以看到有三种类型的日志，分别是应用程序日志、安全日志和系统日志，如下图。

 

应用程序日志

应用程序日志记录了系统程序运行时的事件，例如错误、崩溃等情况，包括安装的程序及系统自带的程序。

安全日志

安全日志记录了一些用户登录事件、文件的创建打开删除事件等。

系统日志

系统日志记录了windows系统组件的一些事件，例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志，文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。

所有的用户都可以查看应用程序日志和系统日志，只有管理员才能查看安全日志。

日志级别

事件查看器包含了5种级别，分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看，例如以下的信息级别。

 

错误：指重大问题，包括数据丢失，功能损失等。例如服务启动期间无法加载。

警告：潜在问题，例如磁盘空间低，则会记录一个警告。

信息：描述程序和服务是否操作成功的事件，例如网络驱动成功加载。

成功审核：接受审核且取得成功的安全访问尝试，例如用户成功登录系统。

失败审核：接受审核且取得失败的安全访问尝试，例如用户尝试访问网络驱动但失败。

同时事件查看器也提供了相应的查找、筛选等功能，例如我们需要关注错误类型的事件，则可以直接进行筛选，如下图。

 

随后我们便可以看筛选出来的事件，看常规说明、来源等信息，以及选中事件右键查看详细的属性信息等，来判断是否是恶意的攻击事件。

同时，我们也可以将事件的id和事件的来源去网上搜索相关信息，或者通过https://support.microsoft.com 和 http://www.eventid.net 去搜索。
 

标签：例如,查看器,Windows,事件,审核,日志,系统日志
来源： https://blog.csdn.net/sj349781478/article/details/122758105