Windows事件查看器介绍
介紹
很多病毒木馬操作一般都會在事件查看器中留下痕跡,windows中的事件查看器包括關于硬件、軟件、系統、安全事件等問題的信息。直接運行輸入eventvwr即可打開。
打開后,定位到windows日志欄下,可以看到有三種類型的日志,分別是應用程序日志、安全日志和系統日志,如下圖。
?
應用程序日志
應用程序日志記錄了系統程序運行時的事件,例如錯誤、崩潰等情況,包括安裝的程序及系統自帶的程序。
安全日志
安全日志記錄了一些用戶登錄事件、文件的創建打開刪除事件等。
系統日志
系統日志記錄了windows系統組件的一些事件,例如啟動過程中加載的驅動程序失敗。當計算機為域控制器時還包括目錄服務日志,文件復制服務日志。當計算機為dns服務器時還包括dns服務器日志。
所有的用戶都可以查看應用程序日志和系統日志,只有管理員才能查看安全日志。
日志級別
事件查看器包含了5種級別,分別是錯誤、警告、信息、成功審核、失敗審核。可根據圖標和常規信息查看,例如以下的信息級別。
?
錯誤:指重大問題,包括數據丟失,功能損失等。例如服務啟動期間無法加載。
警告:潛在問題,例如磁盤空間低,則會記錄一個警告。
信息:描述程序和服務是否操作成功的事件,例如網絡驅動成功加載。
成功審核:接受審核且取得成功的安全訪問嘗試,例如用戶成功登錄系統。
失敗審核:接受審核且取得失敗的安全訪問嘗試,例如用戶嘗試訪問網絡驅動但失敗。
同時事件查看器也提供了相應的查找、篩選等功能,例如我們需要關注錯誤類型的事件,則可以直接進行篩選,如下圖。
?
隨后我們便可以看篩選出來的事件,看常規說明、來源等信息,以及選中事件右鍵查看詳細的屬性信息等,來判斷是否是惡意的攻擊事件。
同時,我們也可以將事件的id和事件的來源去網上搜索相關信息,或者通過https://support.microsoft.com 和 http://www.eventid.net 去搜索。
?
總結
以上是生活随笔為你收集整理的Windows事件查看器介绍的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 日历2019日历备注_如何在Window
- 下一篇: nginx实现ip端口转发_window