Windows操作系统的日志分析

Windows操作系统的日志分析

Windows日志简介

Windows操作系统在其运行的生命周期中会记录其大量的日志信息，这些日志信息包括：Windows事件日志，Windows服务器角色日志，FTP日志，邮件服务日志，MS SQL Server数据库日志等。主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息。用户可以通过它来检查错误发生的原因，处理应急事件，提供溯源，这些日志信息在取证和溯源中扮演着重要的角色。

Windows日志事件类型

Windows操作系统日志分析

Windows事件日志中记录的信息中，关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。这里的事件ID与操作系统的版本有关。以下列举出常见的事件ID（操作系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本）。

Windows系统日志分为两大类：Windows日志、应用程序和服务日志。Windows日志记录事件数据超过20MB时，默认系统将优先覆盖过期的日志记录。应用程序 和 服 务 日 志 最 大 为 1MB 。Windows系统使用自带的事件查看器来查看分析所有的Windows系统日志。

一、打开事件查看器：控制面板→管理工具 中找到事件查看器，或者在【开始】→【运行】→输 入 eventvwr.msc 打开。

二、筛选日志进行分析

如果想要查看账户登录事件，在右边点击筛选当前日志，在事件ID填入4624和4625，4624 登录成功

4625 登录失败。