本文主旨:了解Windows事件日志的相关信息,以便于后续进行Windows日志分析。
事件日志简介
事件日志记录[1]为 (的应用程序和操作系统) 记录重要软件和硬件事件提供了一种标准的集中式方法。
事件日志记录服务记录来自各种源的事件,并将其存储在名为 事件日志的单个集合中。
事件日志存放位置
- 在Windows NT/win2000/XP/Server2003中,事件存放位置为:C:\Windows\System32\config\
• 系统日志:C:\Windows\System32\config\SysEvent.evt
• 安全性日志: C:\Windows\System32\config\SecEvent.evt
• 应用程序日志: C:\Windows\System32\config\AppEvnet.evt
- 在Windows Vista和Server2008之后,事件存放位置为:%SystemRoot[2]\System32\winevt\Logs\
• 系统日志为: %SystemRoot%\System32\winevt\Logs\System.evtx
• 安全性日志为: %SystemRoot%\System32\winevt\Logs\Security.evtx
• 应用程序日志为: %SystemRoot%\System32\winevt\Logs\Application.evtx
事件日志类型
| 事件类型[3] | 说明 |
|---|---|
| 错误 | 指示重大问题(例如数据丢失或功能丢失)的事件。 例如,如果服务在启动期间无法加载,则会记录 Error 事件。 |
| 警告 | 事件不一定重要,但可能表示将来可能出现的问题。 例如,当磁盘空间不足时,会记录警告事件。 如果应用程序可以在不丢失功能或数据的情况下从事件中恢复,它通常可将事件分类为警告事件。 |
| 信息 | 描述应用程序、驱动程序或服务的成功操作的事件。 例如,当网络驱动程序成功加载时,可能适合记录信息事件。 请注意,桌面应用程序通常不适合在每次启动时记录事件。 |
| 审核成功 | 记录成功审核的安全访问尝试的事件。 例如,用户成功尝试登录到系统会记录为成功审核事件。 |
| 审核失败 | 记录失败的审核安全访问尝试的事件。 例如,如果用户尝试访问网络驱动器但失败,该尝试将记录为失败审核事件。 |
常见日志事件ID[4]
| ID | 描述 |
|---|---|
| 登录相关事件: | |
| 4624 | 用户成功登录 |
| 4625 | 登录尝试失败 |
| 4634 | 用户注销 |
| 4647 | 用户启动的注销 |
| 4672 | 分配了管理员等特殊权限 |
| 帐户管理相关事件: | |
| 4720 | 创建一个新用户帐户 |
| 4722 | 用户帐户被启用 |
| 4723 | 用户改变密码 |
| 4725 | 用户帐户被禁用 |
| 4740 | 用户帐户被锁定 |
| 策略更改相关事件: | |
| 4738 | 用户帐户属性更改 |
| 4719 | 系统审计策略更改 |
| 4902 | 审计策略更改 |
| 访问控制相关事件: | |
| 4656 | 对对象的访问尝试 |
| 4657 | 对注册表项进行改动 |
| 4663 | 对文件或其他对象的访问尝试 |
| 4673 | 对受限功能的访问尝试 |
| 系统/服务相关事件: | |
| 6005 | 事件日志服务已启动 |
| 6006 | 事件日志服务即将关闭 |
| 6008 | 不正常的系统关机 |
| 6013 | 系统运行时间 |
| 其他重要事件: | |
| 104 | 事件日志被清除 |
| 1074 | 用户或进程启动了系统关机或重启的操作 |
常用日志分析工具
- eventtvwr:windows自带日志查看工具
- Log Parser:微软出品日志分析工具,使用sql语句查询,也有整合的图形化工具[5]
- FullEventLogView:图形化查看日志界面,简便易用
- Event Log Explorer:增强型Windows事件日志查看工具
