在Windows
系统中,日志包括:系统日志、安全性日志及应用程序日志。
在Windows Server 2003之前日志的位置为:
系统日志:C:\WINDOWS\System32\config\SysEvent.evt
安全性日志:C:\WINDOWS\System32\config\SecEvent.evt
应用程序日志:C:\WINDOWS\System32\config\AppEvent.evt
在Windows Vista以上的版本中
系统日志为:%SystemRoot\System32\Winevt\Logs\System.evtx
安全性日志为:%SystemRoot\System32\Winevt\Logs\Security.evtx
应用程序日志为:%SystemRoot\System32\Winevt\Logs\Application.evtx
除此之外,在Windows Vista以上的版本中还存在其他日志,这些日志存储在
%SystemRoot%\System32\Winevt\Logs
在运行窗口中输入eventvwr
打开事件查看器,查看相关的日志
日志常用ID
事件ID (旧版本) | 事件ID (新版本) | 描述 | 事件日志 |
---|---|---|---|
528 | 4624 | 成功的用户登录事件 | 安全性日志 |
529 | 4625 | 登录失败的用户尝试事件 | 安全性日志 |
680 | 4776 | 帐户已被成功验证事件 | 安全性日志 |
624 | 4720 | 帐户被创建事件 | 安全性日志 |
636 | 4732 | 添加用户到启用安全性的本地组中 | 安全性日志 |
632 | 4728 | 添加用户到启用安全性的全局组中 | 安全性日志 |
日志分析
通过内置筛选器进行筛选
通过第三方工具进行分析