Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下列举出的事件ID的操纵系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本,一般情况下通过事件ID和时间段进行过滤分析
事件ID 说明
1102 清理审计日志
4624 账号成功登录
4625 账号登录失败
4768 Kerberos身份验证(TGT请求)
4769 Kerberos服务票证请求
4776 NTLM身份验证
4672 授予特殊权限
4720 创建用户
4726 删除用户
4728 将成员添加到启用安全的全局组中
4729 将成员从安全的全局组中移除
4732 将成员添加到启用安全的本地组中
4733 将成员从启用安全的本地组中移除
4756 将成员添加到启用安全的通用组中
4757 将成员从启用安全的通用组中移除
4719 系统审计策略修改
一般情况,.log后缀的日志用记事本可以打开分析,如果用记事本打不开或者打开后有乱码,这种情况别乱删,要分析的话,运行eventvwr.msc分析就行
常见的系统日志相关目录如下,这些目录不要轻易乱动、不要乱删
C:\Windows\Logs
C:\Windows\System32\sysprep\Panther
C:\Windows\System32\winevt\Logs
C:\Windows\system32\logfiles
备份注册表位置C:\Windows\System32\config\RegBack
注册表位置C:\Windows\System32\config\
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。