Windows日志简介

Windows事件日志中记录的信息中，关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关，以下列举出的事件ID的操纵系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本，一般情况下通过事件ID和时间段进行过滤分析

事件ID 说明

1102 清理审计日志

4624 账号成功登录

4625 账号登录失败

4768 Kerberos身份验证（TGT请求）

4769 Kerberos服务票证请求

4776 NTLM身份验证

4672 授予特殊权限

4720 创建用户

4726 删除用户

4728 将成员添加到启用安全的全局组中

4729 将成员从安全的全局组中移除

4732 将成员添加到启用安全的本地组中

4733 将成员从启用安全的本地组中移除

4756 将成员添加到启用安全的通用组中

4757 将成员从启用安全的通用组中移除

4719 系统审计策略修改

一般情况，.log后缀的日志用记事本可以打开分析，如果用记事本打不开或者打开后有乱码，这种情况别乱删，要分析的话，运行eventvwr.msc分析就行

常见的系统日志相关目录如下，这些目录不要轻易乱动、不要乱删

C:\Windows\Logs

C:\Windows\System32\sysprep\Panther

C:\Windows\System32\winevt\Logs

C:\Windows\system32\logfiles

备份注册表位置C:\Windows\System32\config\RegBack

注册表位置C:\Windows\System32\config\