最简单的方法右键开始,点击事件查看器。
效果如下。
之后研究一下系统日志的格式。
Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种。五种事件类型分为:
- 信息(Information)
信息事件指应用程序、驱动程序或服务的成功操作的事件。 - 警告(Warning)
警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。 - 错误(Error)
错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。 - 成功审核(Success audit)
成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。 - 失败审核(Failure audit)
失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
事件ID | 说明 |
---|---|
1102 | 清理审计日志 |
4624 | 账号成功登录 |
4625 | 账号登录失败 |
4768 | Kerberos身份验证(TGT请求) |
4769 | Kerberos服务票证请求 |
4776 | NTLM身份验证 |
4672 | 授予特殊权限 |
4720 | 创建用户 |
4726 | 删除用户 |
4728 | 将成员添加到启用安全的全局组中 |
4729 | 将成员从安全的全局组中移除 |
4732 | 将成员添加到启用安全的本地组中 |
4733 | 将成员从启用安全的本地组中移除 |
4756 | 将成员添加到启用安全的通用组中 |
4757 | 将成员从启用安全的通用组中移除 |
4719 | 系统审计策略修改 |
最简单常用的两个日志:
事件ID | 说明 |
---|---|
6005 | 事件日志服务已启动 |
6006 | 事件日志服务已停止 |
可以用这两个日志来查看系统的开机时间和关机时间。