大家好,很高兴再次见到大家,我是你们的朋友全栈君。
Windows 系统主要记录以下三类日志以记录系统事件:应用程序日志、系统日志和安全日志。
Windows 系统的日志文件路径如下:
系统日志:%SystemRoot%System32WinevtLogsSystem.evtx,主要记录操作系统组件产生的事件,包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。应用程序日志:%SystemRoot%System32WinevtLogsApplication.evtx,主要记录由应用程序或系统程序产生的事件,关注程序运行方面的事件。安全日志:%SystemRoot%System32WinevtLogsSecurity.evtx,记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账户管理、策略变更、系统事件等。安全日志在调查取证中非常常用,默认情况下是关闭的,管理员可以通过组策略或在注册表中设置审核策略来启用安全日志,以便在日志满后使系统停止响应。
手动分析日志时,可以通过以下步骤找到日志文件:
日志文件位置:可以通过控制面板→管理工具→事件查看器,或者使用快捷键 Win + R 并输入
eventvwr.msc
来访问。
EVENT ID含义:在Windows事件日志分析中,不同的EVENT ID代表了不同的意义,常见的有:
4624:登录成功4625:登录失败4634:注销成功4647:用户启动的注销4672:使用超级用户登录(管理员)进行登录4720:创建用户4776:成功/失败的账户认证eventlog事件快速筛选:可以快速筛选特定的事件日志。
例如,筛选系统日志时,以下 EVENT ID 表示不同状态的机器情况:
6005:信息 EventLog 事件日志服务已启动6006:信息 EventLog 事件日志服务已停止6009:信息 EventLog 按 ctrl、alt、delete 键(非正常)关机
查看 EVENT ID 6009:
也可以查看 EVENT ID 6005-6009:
Devin
世界上第一位AI软件工程师,可以独立完成各种开发任务。
242 查看详情 
使用 Log Parser 等工具进行日志分析:
Log Parser 是微软公司提供的一款日志分析工具,可以对文本格式的日志文件、XML 文件和 CSV 文件,以及 Windows 操作系统上的事件日志、注册表、文件系统等进行处理分析。分析结果可以保存为自定义格式的文本、SQL 或各种图表。
Log Parser 的使用:安装目录在 C:Program Files (x86)Log Parser 2.2。
使用 Log Parser 的基本命令格式为:
LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”
输入源经过 SQL 语句处理后,可以输出所需的格式。输入源的格式如 EVT(事件)、Registry(注册表)等,每种输入源有固定的字段值,可以使用
logparser –h –i:EVT
查看(以 EVT 为例)。
例如,筛选所有登录成功的事件:
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM C:WindowsSystem32winevtLogsSecurity.evtx where EventID=4624”
Event Log Explorer:下载地址为 https://www.php.cn/link/da56d057fe13171851e819d9be266cf5 Log Explorer 是一款非常实用的 Windows 日志分析工具,可以查看、监控和分析事件记录,包括安全、系统、应用程序和其他 Microsoft Windows 的记录。其强大的过滤功能可以快速筛选出有价值的信息。
参考资料:
https://www.php.cn/link/ce651728d53387a4dc56052bc6d035ddhttps://www.php.cn/link/9f3fedf17034316a32b96e87686c44d9https://www.php.cn/link/cbccf404f52466bc599c6fb168c1f9f8
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请发送邮件至举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://www.php.cn/link/f1543ed948fae345d291eea0a5968985 原文链接:https://www.php.cn/link/c8377ad2a50fb65de28b11cfc628d75c
以上就是Windows日志分析工具_Windows7激活工具的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/781950.html
微信扫一扫 
支付宝扫一扫 
