前言
网上搜出来的事件ID大多对我没啥作用,因此干脆自己整理了一份,小伙伴们应急的时候或许会起到作用,欢迎各位网友一起补充。
按下快捷键"win+R",在弹出的运行对话框中输入 “eventvwr.msc”,打开自带的事件查看器
注意:当前环境为"window 10 1903"
【官方】Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件
————————————————————————————————————————
系统system:
1074,查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示日志服务已启动,用来判断正常开机进入系统。
6006,表示日志服务已停止,用来判断系统关机。
6009,表示非正常关机, 按ctrl、alt、delete键关机。
41,表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时,出现此事件ID。
4199,当发生TCP/IP地址冲突的时候,出现此事件ID,用来排查用户IP网络的问题。
35,36,37,记录时间客户端状态信息,35表示更改时间源,36表示时间同步失败,37表示时间同步正常
134,当出现时间同步源DNS解析失败时会出现此事件ID。
7045,服务创建成功
7030,服务创建失败
—————————————————————————————————————————
安全Security
4624,表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,表示登陆失败的用户,用来判断RDP爆破的情况。
4672,表示授予了特殊权限
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,表示当用户组发生添加、删除时或组内添加成员时生成该事件。
——————————————————————————————————————————
设置Setup
1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装、错误失败、提示重启” 。事件ID3,更新错误或失败是重点查看对象
1680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
