基础知识
打开方式:eventview或命令行工具wevtutil
事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。
使用事件查看器可以执行以下任务:
-
查看来自多个事件日志的事件
-
将有用的事件筛选器另存为可以重新使用的自定义视图
-
计划要运行以响应事件的任务
-
创建和管理事件订阅,通过指定事件订阅,可以从远程计算机收集事件并将其保存在本地。
事件日志
事件日志分两个类型:windows日志、应用程序和服务日志。
Windows日志
存储来自旧版本应用程序的事件以及适用于整个系统的事件。分五类:
应用程序日志
- 包含程序记录的事件,程序开发人员决定记录哪些事件。例如:数据库程序记录文件错误。
安全日志
- 包含如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开、删除对象。
- 可以知道在安全日志中记录什么事件。如,启用登录审核,则会将对系统的登录尝试记录在安全日志中。
安装程序日志
- 保护与应用程序安装有关的事件。
系统日志
- 包含windows系统组件记录的事件。如,启动过程中加载驱动程序、其它系统组件失败。
- 系统组件记录的事件类型由windows预先确定。
转发事件日志
- 存储从远程计算机收集的事件。要从远程计算机收集事件,必须创建事件订阅。
应用程序和服务日志
存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。
应用程序日志分四类:管理日志、操作日志、分析日志、调试日志。
分析日志和调试日志默认处于隐藏和禁用状态,需要显示和启用。
管理事件
- 为用户、技术人员使用,指示发生的问题及技术人员可以采取的解决方案。
操作事件
- 为专业人士使用,用于分析和诊断发生的问题或事件,不那么友好,需要更多解释。
分析事件
- 大量发生,描述程序的操作并指示用户需要干预的无法处理的问题。
调试事件
- 开发人员在调试时使用。
事件属性
完整属性参阅Windows事件日志软件开发工具包(SDK)中的事件使用者的事实表示主题,部分基本属性:
源
- 记录该条事件的软件,可以是程序名(SQL Server),也可以是系统或程序的组件名(Elnkii表示EtherLink2)。
事件ID
- 事件类型的编号。
级别
- 事件严重等级:信息、警告、错误、严重,在安全日志中还可能出现:审核成功、审核失败。
用户
- 导致事件的行为来源的用户。如果是服务器进程,则此位置为客户ID。
操作代码
- 事件发生时,表示应用程序正在执行的活动或代码位置的数字。
日志
- 已记录事件的日志名称
任务类别
- 表示事件发生者的子组件或活动
关键字
- 用于筛选或搜索的标记。
计算机
- 发生事件的计算机名称。
日期和事件
- 记录时的日期和时间
还可以增加事件查看器显示的属性,可以增加的有:
- 进程ID
- 线程ID
- 处理器ID
- 会话ID
- 内核时间
- 用户时间:CPU时间单位形式
- 处理器时间:用户模式指令已执行时间,CPU ticks形式。
- 相关性ID:在进程中与事件有关的一个标识,用于指定事件间关系
- 相对相关性ID:进程中涉及事件的相关活动。
自定义视图
筛选显示的事件,创建筛选器。
Create and Manage Custom Views | Microsoft Docs
事件订阅
用于收集多台远程计算机的事件并将副本存储在本地。
事件信息
每条事件记录都包含一个URL,可以查看事件的联机帮助信息。
这个RUL可以自定义。
单机“事件日志联机帮助”时,会发送:产品名称、产品版本、事件ID、事件源、区域设置ID(计算机区域设置的标识号)。
欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。
1660
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
