介紹

很多病毒木馬操作一般都會在事件查看器中留下痕跡，windows中的事件查看器包括關于硬件、軟件、系統、安全事件等問題的信息。直接運行輸入eventvwr即可打開。

打開后，定位到windows日志欄下，可以看到有三種類型的日志，分別是應用程序日志、安全日志和系統日志，如下圖。

?

應用程序日志

應用程序日志記錄了系統程序運行時的事件，例如錯誤、崩潰等情況，包括安裝的程序及系統自帶的程序。

安全日志

安全日志記錄了一些用戶登錄事件、文件的創建打開刪除事件等。

系統日志

系統日志記錄了windows系統組件的一些事件，例如啟動過程中加載的驅動程序失敗。當計算機為域控制器時還包括目錄服務日志，文件復制服務日志。當計算機為dns服務器時還包括dns服務器日志。

所有的用戶都可以查看應用程序日志和系統日志，只有管理員才能查看安全日志。

日志級別

事件查看器包含了5種級別，分別是錯誤、警告、信息、成功審核、失敗審核。可根據圖標和常規信息查看，例如以下的信息級別。

?

錯誤：指重大問題，包括數據丟失，功能損失等。例如服務啟動期間無法加載。

警告：潛在問題，例如磁盤空間低，則會記錄一個警告。

信息：描述程序和服務是否操作成功的事件，例如網絡驅動成功加載。

成功審核：接受審核且取得成功的安全訪問嘗試，例如用戶成功登錄系統。

失敗審核：接受審核且取得失敗的安全訪問嘗試，例如用戶嘗試訪問網絡驅動但失敗。

同時事件查看器也提供了相應的查找、篩選等功能，例如我們需要關注錯誤類型的事件，則可以直接進行篩選，如下圖。

?

隨后我們便可以看篩選出來的事件，看常規說明、來源等信息，以及選中事件右鍵查看詳細的屬性信息等，來判斷是否是惡意的攻擊事件。

同時，我們也可以將事件的id和事件的來源去網上搜索相關信息，或者通過https://support.microsoft.com 和 http://www.eventid.net 去搜索。
?

總結

以上是生活随笔為你收集整理的Windows事件查看器介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。