windows 日志文件详解

Windows系统中的系统日志查看与分析Windows操作系统提供了一个系统日志功能，用于记录操作系统和应用程序的活动和事件。

系统日志是管理员和技术支持人员用来诊断系统问题和监视系统性能的重要工具。

本文将介绍在Windows系统中如何查看和分析系统日志。

一、查看系统日志在Windows系统中，可以通过事件查看器来查看系统日志。

以下是查看系统日志的方法：1. 打开事件查看器在Windows操作系统的开始菜单中，搜索并打开“事件查看器”。

2. 导航至系统日志在事件查看器左侧的导航栏中，展开“Windows日志”，然后选择“系统”。

3. 检查日志系统日志中列出了操作系统的各种事件和错误。

可以根据事件级别（如错误、警告、信息）和日期范围进行筛选和排序。

二、分析系统日志系统日志中的事件提供了有关系统的重要信息和警告。

以下是分析系统日志的一些常见方法：1. 查找错误和警告在系统日志中，查找错误（红色叉号）和警告（黄色感叹号）的事件。

这些事件表示可能存在的问题或潜在的系统错误。

2. 查看事件详细信息双击一个事件，以查看其详细信息。

可以获得有关事件的时间戳、源、类别和描述等信息。

此外，还可以查看事件的特定属性和数据。

3. 使用筛选器事件查看器提供了筛选器功能，可以根据关键字、事件ID和事件级别等条件来筛选事件。

这有助于快速找到与特定问题相关的事件。

4. 导出日志有时，需要将系统日志导出并共享给其他技术支持人员。

可以使用事件查看器的导出功能将日志保存为文件，供后续分析和分享。

三、常见的系统日志事件以下是一些常见的系统日志事件及其含义：1. 硬件故障事件这些事件通常与硬件设备（如磁盘驱动器、内存）有关，表示硬件故障或错误。

2. 系统错误事件这些事件表示操作系统遇到了错误或异常情况。

例如，系统崩溃、蓝屏或无响应等。

3. 应用程序错误事件这些事件与特定应用程序有关，表示应用程序遇到了错误或异常情况。

4. 安全事件安全事件包括登录失败、文件访问权限等与系统安全相关的事件。

Windows⽇志 在计算机领域，⽇志⽂件（logfile）是⼀个记录了发⽣在运⾏中的操作系统或其他软件中的事件的⽂件，或者记录了在⽹络聊天软件的⽤户之间发送的消息。

⽇志记录（Logging）是指保存⽇志的⾏为。

最简单的做法是将⽇志写⼊单个存放⽇志的⽂件。

1、Windows⽇志应⽤程序⽇志安全⽇志系统⽇志Scheduler服务⽇志FTP⽇志WWW⽇志DNS服务器⽇志这些⽇志的种类会根据你的系统开启的服务的不同⽽有所不同，我们在系统上进⾏⼀些操作时，这些⽇志⽂件通常会记录下我们操作的⼀些相关内容，这些内容对系统安全⼯作⼈员相当有⽤。

⽐如说有⼈对系统进⾏了IPC探测，系统就会在安全⽇志⾥迅速地记下探测者探测时所⽤的IP、时间、⽤户名等，⽤FTP探测后，就会在FTP⽇志中记下IP、时间、探测所⽤的⽤户名等。

（百度百科）通过事件查看器查看（简单打开⽅法：windows+R，输⼊：eventvwr回车）通过Powershell(管理员权限)常⽤命令查看所有⽇志：Get-WinEvent查看应⽤程序⽇志：Get-WinEvent -FilterHashtable @{logname="Application";}2、Windows需要了解的⽇志及其作⽤与位置系统⽇志: 存放了Windows操作系统产⽣的信息、警告或错误。

通过查看这些信息、警告或错误，不但可以了解到某项功能配置或运⾏成功的信息，还可了解到系统的某些功能运⾏失败，或变得不稳定的原因。

安全⽇志: 存放了审核事件是否成功的信息。

通过查看这些信息，可以了解到这些安全审核结果为成功还是失败。

应⽤程序⽇志: 存放应⽤程序产⽣的信息、警告或错误。

通过查看这些信息、警告或错误，可以了解到哪些应⽤程序成功运⾏，产⽣了哪些错误或者潜在错误。

程序开发⼈员可以利⽤这些资源来改善应⽤程序。

应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志默认位置：%systemroot%\system32\config（%systemroot%不懂可以查windows变量）安全⽇志⽂件： %systemroot%\system32\config\SecEvent.EVT系统⽇志⽂件： %systemroot%\system32\config\SysEvent.EVT应⽤程序⽇志⽂件： %systemroot%\system32\config\AppEvent.EVTDNS⽇志： %systemroot%\system32\config\DnsEvent.EVTFTP⽇志默认位置： %systemroot%\system32\logfiles\msftpsvc1\WWW⽇志默认位置： %systemroot%\system32\logfiles\w3svc1\（FTP⽇志和WWW服务⽇志，默认每天⼀个⽇志）Scheduler计划任务服务⽇志默认位置：%systemroot%\Tasks\schedlgu.txt（由于系统屏蔽的原因，只能在命令⾏下查看）FTP 和WWW服务⽇志详解：FTP⽇志和WWW⽇志默认情况，每天⽣成⼀个⽇志⽂件，包含了该⽇的⼀切记录，⽂件名通常为 ex （年份）（⽉份）（⽇期）例如： ex180226，（2018年2⽉23⽇产⽣的⽇志）这个由于对IIS并不了解还没有尝试这些位置不⼀定能找到你想要找的⽇志，可以按照下⾯的注册表中的⽇志路径去查找⽇志的位置以上⽇志在注册表⾥的键：应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志，这些log⽂件在注册表中的HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\EventlogSchedluler服务⽇志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent3、windows⽇志分析在Windows⽇志中记录了很多的操作事件，为了⽅便管理，每种类型的事件都有⼀个惟⼀的编号，这就是事件ID。

系统日志手册系统日志是一份记录系统运行情况和故障的文件，它包含各种信息，包括硬件、软件和网络方面的问题。

作为系统管理员，了解和分析日志信息可以帮助您更好地了解系统运行状态并有效地应对故障。

本手册将为您介绍系统日志的基本概念、格式和内容，并提供一些实用的技巧和工具，旨在帮助您更有效地管理和分析系统日志。

一、什么是系统日志系统日志是操作系统和应用程序自动生成的一个文件，用来记录系统的各种事件、错误和警告信息。

日志事件可被分为三个主要类别：信息、警告和错误。

信息事件用于报告系统工作和状态信息，警告事件用于标识可能影响系统性能和可用性的问题，错误事件则指明产生了错误且需要立即检查和纠正。

系统日志可以帮助管理员快速识别并解决各种问题，包括应用程序错误、系统配置错误、硬件问题等等。

可以有效地提高系统的可用性和可维护性。

二、系统日志的格式系统日志的格式因操作系统和应用程序的不同而异，但通常会包含以下元素：1. 时间戳：记录事件发生的日期和时间。

2. 日志级别：记录事件的级别，分为信息、警告和错误三种。

3. 事件源：记录事件发生的应用程序或系统组件。

4. 事件 ID：事件 ID 是事件的唯一标识符，可用于查找和过滤相关事件。

5. 事件描述：详细描述事件的发生和详细信息，提供有用的上下文。

6. 操作员：记录执行操作的用户。

三、系统日志的内容系统日志包含了各种信息，以下是对常用日志消息的描述：1. 安全事件日志安全事件日志是记录审核和安全性方面的事件，包括成功或失败的登录尝试、安全组和用户管理操作等等。

这些日志非常重要，可以帮助您监控是否有恶意攻击、未经授权的访问等安全问题。

2. 应用程序事件日志应用程序事件日志记录应用程序初始化、运行时和关闭等各种事件。

其中包括应用程序崩溃、异常、错误信息等，是分析应用程序问题的关键信息来源。

3. 系统事件日志系统事件日志提供了有关系统资源、设备服务和底层操作系统的事件记录，包括停止和启动服务、硬件或软件故障，系统资源耗尽等。

Windows系统中的系统日志和错误报告分析在Windows操作系统中，系统日志和错误报告是非常重要的工具，它们可以记录和提供有关系统运行状况的详细信息，帮助用户分析和解决各种问题。

本文将详细介绍Windows系统中的系统日志和错误报告，并解释如何分析它们以便有效地定位和解决故障。

一、系统日志系统日志是一种记录和存储系统事件的功能，它包含了系统启动、关机、硬件故障、驱动程序问题、应用程序错误等多种类型的事件。

通过查看系统日志，用户可以及时发现并解决潜在的问题，提高系统的稳定性和可靠性。

Windows系统中的系统日志分为三类：应用程序日志、安全日志和系统日志。

应用程序日志存储与应用程序相关的事件和错误信息，安全日志用于记录安全相关的事件，而系统日志则包含与操作系统本身有关的事件和错误。

要查看系统日志，用户可以按下Win键+R键，打开运行对话框，输入eventvwr.msc命令，然后在事件查看器中选择相应的日志类型。

通过筛选和查找功能，用户可以根据日志的事件ID、级别和来源等信息找到特定的日志记录。

二、错误报告错误报告是一种Windows系统自动生成的记录故障信息的工具，它可以收集有关应用程序和系统崩溃的详细数据，并发送给Microsoft进行分析和提供解决方案。

错误报告能够帮助用户追踪和解决应用程序或系统崩溃的原因。

当应用程序或系统崩溃时，Windows系统会自动弹出错误报告对话框，用户可以选择发送错误报告给Microsoft或不发送。

如果用户选择发送错误报告，相关的错误信息将被记录并匿名上传，用于改进Windows系统的稳定性和性能。

用户也可以主动查看错误报告，方法是打开控制面板并选择“问题报告和解决”选项。

在问题报告和解决窗口中，用户可以查看已发送的错误报告以及与之相关的解决方案。

三、系统日志和错误报告的分析系统日志和错误报告的分析是解决Windows系统问题的重要步骤。

通过仔细分析日志和错误报告，用户可以找到问题的源头，并采取相应的措施进行修复或优化。

Windows事件日志详解--登陆类型windows 安全日志时，经常发现登录类型的值不同。

有2，3，5，8等。

最常见的类型是2 (交互式)和3 (网络)。

下面详细列出了可能的登录类型值登录类型2：交互式登录（Interactive）这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录。

登录类型3：网络（Network）当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。

另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。

成功的网络登录:用户名:域:登录ID: (0x2,0xFC38EC05)登录类型: 3登录过程: NtLmSsp身份验证数据包: NTLM工作站名: 098B11CAF05E4A0登录GUID: -调用方用户名: -调用方域: -调用方登录ID: -调用方进程ID: -传递服务: -源网络地址: 192.168.197.35源端口: 0调用方进程名称: %16登录类型4：批处理（Batch）当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。

登录类型5：服务（Service）与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。

电脑系统日志的查看与分析在我们日常使用电脑的过程中，电脑系统会默默地记录下各种操作和事件，这些记录被称为系统日志。

系统日志就像是电脑的“日记”，它详细地记载了电脑运行的点点滴滴。

通过查看和分析系统日志，我们可以了解电脑的运行状况、发现潜在的问题，并采取相应的措施来解决它们。

接下来，让我们一起深入了解电脑系统日志的查看与分析。

一、什么是电脑系统日志电脑系统日志是一个记录系统活动和事件的文件或数据库。

它包含了关于操作系统、应用程序、硬件设备以及用户操作等方面的信息。

系统日志的类型多种多样，常见的有系统日志、应用程序日志、安全日志等。

系统日志通常记录了系统的启动和关闭时间、系统错误和警告信息、硬件设备的连接和断开情况等。

应用程序日志则记录了特定应用程序的运行情况，如软件的安装、更新、错误和异常等。

安全日志主要关注与系统安全相关的事件，如用户登录和注销、权限更改、文件访问等。

二、为什么要查看和分析系统日志1、故障排查当电脑出现故障或异常时，系统日志可以提供重要的线索。

例如，如果电脑频繁死机或蓝屏，通过查看系统日志中的错误代码和相关信息，我们可以初步判断问题的所在，是硬件故障、驱动程序问题还是系统文件损坏等。

2、安全监控系统日志可以帮助我们监测是否有未经授权的访问、恶意软件的活动或其他安全威胁。

通过分析安全日志中的登录记录和权限更改信息，我们可以及时发现异常情况并采取措施加以防范。

3、性能优化了解系统的资源使用情况和性能瓶颈对于优化电脑性能至关重要。

系统日志可以提供有关 CPU 使用率、内存占用、磁盘 I/O 等方面的信息，帮助我们找出性能不佳的原因，并进行相应的调整和优化。

4、合规性要求在一些企业和组织中，出于合规性的要求，需要对电脑系统的活动进行记录和审计。

系统日志可以作为证据，证明系统的操作符合相关的法规和政策。

三、如何查看电脑系统日志不同的操作系统查看系统日志的方法略有不同。

以下是常见操作系统的查看方法：1、 Windows 系统在 Windows 系统中，我们可以通过以下步骤查看系统日志：（1）按下“Win ＋R”组合键，打开“运行”对话框，输入“eventvwrmsc”并回车。

Windows事件日志简要解析简介：Windows系统内置三个核心日志文件：System、Security、Application，默认大小均为20480kB也就是20MB，记录数据超过20MB时会覆盖过期的日志记录；其他的应用程序以及服务日志默认大小均为1MB，超过这个大小一样的处理方法。

日志类型：事件类型注释信息（Information）指应用程序、驱动程序、或服务的成功操作事件警告（Warning）警告事件不是直接的、主要的，但是会导致将来问题的发生错误（Error）指用户应该知晓的重要问题成功审核（Success Audit）主要指安全性日志，记录用户的登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录事件失败审核（FailureAudit）失败的审核安全登录尝试事件日志文件类型：类别类型描述文件名Windows 日志系统包含系统进程，设备磁盘活动等。

事件记录了设备驱动无法正常启动或停止，硬件失败，重复IP地址，系统进程的启动，停止及暂停等行为。

System.evtxWindows 日志安全包含安全性相关的事件，如用户权限变更，登录及注销，文件及文件夹访问，打印等信息。

Security.evtxWindows 日志应用程序包含操作系统安装的应用程序软件相关的事件。

事件包括了错误、警告及任何应用程序需要报告的信息，应用程序开发人员可以决定记录哪些信息。

Application.evtx应用程序及服务日志Microsoft Microsoft文件夹下包含了200多个微软内置的事件日志分类，只有部分类型默认启用记录功能，如远程桌面客户端连接、无详见日志存储目录对应文件类别类型描述文件名线网络、有线网路、设备安装等相关日志。

应用程序及服务日志MicrosoftOfficeAlters微软Office应用程序（包括Word/Excel/PowerPoint等）的各种警告信息，其中包含用户对文档操作过程中出现的各种行为，记录有文件名、路径等信息。

window安全日志分析今日服务器遭受入侵，入侵路径回溯：被入侵服务器—>跳板机—>办公网某主机。

因此整理记录windows被入侵相关信息。

本文只研究windows安全登录相关日志，介绍三种事件类型（登录，注销，尝试登陆）。

通过此日志可查看windows主机是否通过3389远程服务爆破进入。

注：windows日志有存储大小限制，有被覆盖的可能.可修改，请自行百度。

1.1 windows日志位置我的电脑右键管理：刷选windows安全日志事件ID:4000-4700,登录相关1.2 三种登录事件详解1.2.1 事件4648（尝试登陆）事件4648描述：此事件发生在日志所在windows主机，表明日志所在windows主机尝试连接远程主机,无论连接成功与否,这里都会记录。

网络地址端口：经测试发现只有同一局域网(且同一C段)才会记录目标服务器ip端口。

1.2.2 事件4624（登陆成功）事件4624描述:表示日志所在win主机被成功连接“使用者"：指明本地系统上请求登录的帐户。

这通常是一个服务（例如Server 服务）或本地进程（例如Winlogon。

exe 或Services.exe).“登录类型”：指明发生的登录种类。

最常见的类型是 2 （交互式）和3 （网络)。

（登陆类型3:例如连接共享文件，打印机等；登陆类型7：解锁；登陆类型10：例如远程桌面等参考连接：http://blog。

sina。

/s/blog_5c39a08901012uu5。

html）“新登录”：指明新登录是为哪个帐户创建的，即登录的帐户。

“网络信息”：指明远程登录请求来自哪里.“工作站名”并非总是可用，而且在某些情况下可能会留为空白.1.2.3 事件4634（注销）1.3 日志分析工具log_parser_lizard工具介绍:一个Log Parser的图形版，功能强大（可能需要安全相关依赖，我一开始安装了Log Parser) 使用参考连接: http://blog。

了解电脑的系统日志系统日志是电脑操作系统中一个非常重要的组成部分，它记录了诸如系统故障、错误、安装卸载软件等重要信息，帮助用户和技术人员了解电脑的运行状况。

在本文中，我们将深入探讨系统日志的定义、作用以及如何查看和分析这些日志的方法。

一、系统日志的定义与作用系统日志，也被称为事件日志，是电脑操作系统中用来记录系统的运行状态、事件和错误的日志文件。

它包含了计算机操作系统和软件应用程序的重要信息，为用户和技术人员提供了关于系统运行情况的重要参考。

系统日志的作用主要有以下几个方面：1. 问题诊断与排除：系统日志可以记录电脑在运行过程中遇到的错误、故障和异常情况，帮助用户定位问题和解决故障。

2. 安全审计与监控：系统日志可以追踪用户在电脑上的操作行为，记录登录、注销、权限变更等安全事件，有助于发现和防范潜在的安全威胁。

3. 性能优化与调试：系统日志可以记录电脑的运行状况、资源使用情况等性能相关信息，帮助用户和技术人员分析和优化电脑的性能。

二、查看系统日志的方法在Windows操作系统中，我们可以通过以下几种方法来查看系统日志：1. 事件查看器：打开“事件查看器”应用程序，可以查看系统、应用程序和安全等不同类型的事件日志。

其中，系统日志记录了系统启动、硬件故障、驱动程序问题等系统级的事件信息。

2. 控制面板：打开控制面板，选择“管理工具”，然后点击“事件查看器”选项，即可进入系统日志的管理界面。

3. 命令行：在命令行中输入“eventvwr.exe”，按回车键，可以直接打开事件查看器应用程序。

三、分析系统日志的方法系统日志中的信息并不是直接呈现出来的，需要通过分析和解读来获取有用的信息。

以下是一些分析系统日志的方法：1. 定位错误：在系统日志中搜索特定的错误代码、关键字等，以定位导致系统故障的原因，并根据错误信息采取相应的故障排除措施。

2. 时间顺序分析：将系统日志按时间顺序排列，观察事件的发生顺序和时间间隔，有助于分析事件之间的关系和可能的因果关系。

Windows 系统日志文件的保护、备份和分析Windows系统以它的易用性倍受网管员的青睐，国内相当部分的大型网站都是用Windows 2000/XP系统建立的。

Windows系统使用的人多了，研究它安全的人也多了。

在此我要提醒一下网管们，虽然你补上了所有的安全补丁，但是谁又知道新的漏洞何时又会被发现呢？所以也应该做好系统日志的保护工作。

作为黑客，他们也是最关心系统日志的，一旦他们入侵成功，要做的第一件事就是删除你的日志文件，使你在被入侵后无法追踪黑客行为，以及检查黑客所做的操作行为。

日志文件就像飞机中的“黑匣子”一样重要，因为里面保存着黑客入侵行为的所有罪证。

日志的移位与保护Windows 2000的系统日志文件包括：应用程序日志、安全日志、系统日志、DNS服务日志，以及FTP连接日志和HTTPD日志等。

在默认情况下日志文件大小为512KB，日志保存的默认的位置如下：安全日志文件：%systemroot%\system32\config \SecEvent.EVT系统日志文件：%systemroot%\system32\config \SysEvent.EVT应用程序日志文件：%systemroot%\system32\config \AppEvent.EVTFTP连接日志和HTTPD事务日志：%systemroot% \system32\LogFiles\，下面还有子文件夹，分别对应该FTP和Web服务的日志，其对应的后缀名为.Log。

在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志，笔者看了好多文章介绍对事件日志移位能做到很好的保护。

移位虽是一种保护方法，但只要在命令行输入dirc:\*.evt/s（如系统安装在D盘，则盘符为D），一下就可查找到事件日志位置。

日志移位要通过修改注册表来完成，我们找到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog位置，下面的Application、Security、System几个子键，分别对应“应用程序日志”、“安全日志”、“系统日志”。

日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows 的稳定和安全性，起着非常重要的作用。

但许多用户不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。

一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件，它记录着Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。

Windows日志包括应用程序、安全、系统等几个部分，它的存放路径是“%systemroot%system32config”，应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。

这些文件受到“Event Log（事件记录）”服务的保护不能被删除，但可以被清空。

二、如何查看日志文件 在Windows系统中查看日志文件很简单。

点击“开始→设置→控制面板→管理工具→事件查看器”，在事件查看器窗口左栏中列出本机包含的日志类型，如应用程序、安全、系统等。

查看某个日志记录也很简单，在左栏中选中某个类型的日志，如应用程序，接着在右栏中列出该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话框，显示出该记录的详细信息，这样我们就能准确的掌握系统中到底发生了什么事情，是否影响Windows的正常运行，一旦出现问题，即时查找排除。

三、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。

1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。

点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

Windows系统日志分析简介Windows系统日志是操作系统记录和存储系统活动的重要组成部分。

通过分析Windows系统日志，可以帮助管理员和分析师监控系统的运行状况，检测并处理潜在的问题。

本文将介绍Windows系统日志的基本概念和常见分类，并提供一些常用的日志分析工具和技术。

Windows系统日志分类Windows系统日志主要包括以下几类：1.应用程序日志（Application log）：记录应用程序的运行情况，如程序崩溃、错误信息等。

2.安全日志（Security log）：记录系统的安全事件和用户访问情况，如登录、权限变更等。

3.系统日志（System log）：记录系统的运行状态和错误信息，如蓝屏、服务启停等。

4.设备管理日志（Device management log）：记录设备的管理操作和状态，如驱动安装、硬件故障等。

日志分析工具下面列举了一些常用的Windows系统日志分析工具：1.Event Viewer：Windows自带的系统日志查看工具，可查看和分析本地和远程计算机的日志。

2.Microsoft Message Analyzer：一款强大的网络分析工具，可以对日志文件进行分析和解析，帮助排查网络问题。

3.Splunk：一款主流的日志分析平台，支持实时数据分析和可视化展示，并提供各种插件和API接口，便于与其他工具集成。

4.ELK Stack：由Elasticsearch、Logstash和Kibana三个开源组件组成的日志管理和分析平台，可实现海量数据的存储、搜索和可视化分析。

日志分析技术在进行Windows系统日志分析时，可以采用以下一些常用的技术：1.关键字搜索：根据关键字对日志进行搜索，可以快速定位相关信息。

例如，搜索关键字。

windows系统的各种常见日志文件的保存目录路径说明常用的www、错误等日志windows系统在运行过程中，经常会有一些错误或者一些服务运行时记录的运行记录，做为系统运维人员，是经常要去分析这些日志的。

以保护你的系统更加安全和持续的稳定运行。

为了保证系统的正常运行，运维人员经常要分析的一些windows系统日志常用的在以下都会列出来，并且会列出生成规则和日志存放的路径。

默认位置:%systemroot%\system32\config,默认文件大小512KB小.1,安全日志文件:C/C++ Code复制内容到剪贴板1%systemroot%\system32\config\SecEvent.EVT2,系统日志文件:C/C++ Code复制内容到剪贴板1%systemroot%\system32\config\SysEvent.EVT3,应用程序日志文件:C/C++ Code复制内容到剪贴板1%systemroot%\system32\config\AppEvent.EVTInternet信息服务日志1,FTP日志默认位置:C/C++ Code复制内容到剪贴板1%systemroot%\system32\logfiles\msftpsvc1\ \\默认每天一个日志2,WWW日志默认位置:C/C++ Code复制内容到剪贴板1%systemroot%\system32\logfiles\w3svc1\ \\默认每天一个日志Scheduler服务日志默认位置:%systemroot%\schedlgu.txt日志在注册表里的键1,应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: C/C++ Code复制内容到剪贴板1HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog2,Schedluler服务日志在注册表中:C/C++ Code复制内容到剪贴板1HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent。

Windows⽇志浅析Windows⽇志浅析(转载)⼀、概述Windows⽇志从Windows2000版本后共包括9种审计策略，Windows NT只有7种共分为：帐户登录、登录、对象访问、⽬录服务访问、进程追踪、特权使⽤、帐户管理、策略变更、系统事件9⼤类。

其中帐户登录其实是对登录⽤户的认证事件，据⼤神Randy⾃⼰说，称其为“认证事件“更为合适。

登录事件记录的是⽤户登录到哪台PC的事件。

对象访问记录的是⽤户对Windows对象的访问事件，这⾥对象包括注册表、服务、打印机、⽂件/⽂件夹等。

⽬录服务访问就是对AD中所有对象的访问事件。

进程追踪则为主机执⾏的程序事件，不管是由⽤户⾃⼰执⾏还是系统⾃动执⾏的。

特权使⽤指⽤户使⽤分配的特权的事件，这⾥特权指在本地安全策略中分配给⽤户的权限。

帐户管理则包含了本地帐户、⽤户组、DC中域⽤户、域⽤户组等对象的管理、密码设置等事件。

策略变更指本地安全策略或DC上信任关系变化的事件。

系统事件则涉及到⼀些安全事件的杂项，如系统的启动和关闭、系统事件修改等等。

每个windows⽇志都由两部分组成：头字段和描述字段。

头字段是相对内容和格式都固定的部分，包括的信息有：事件的id、⽇期和时间、事件的结果（成功还是失败）、事件的来源和类别。

由于安全⽇志所有的来源都记为“source”，因此意义不⼤。

⽽类别就是（⼀）中提到的9种类别。

这⾥的⽤户字段⽤处也不是很⼤，因为很多事件简单地记为“STSTEM”为⽤户，所以真正要看是什么⽤户触发了该条⽇志还是要看描述字段⾥⾯是否有相应的实际⽤户（这些在随后的⽇志分析中会涉及到）。

很多时候我们需要详细分析描述字段中的信息，这部分出现的信息也会随具体的事件⽽不同，但是其形式都是为⼀系列组合信息，每个组合信息是⼀个内容固定的描述信息（类似占位符的作⽤），以及后⾯的动态信息。

举个例⼦来说：ID680事件的描述字段包括：“Logon account: Administrator”。

常用的windows系统日志的类型Windows系统日志是一种重要的系统监控和故障诊断工具，它可以记录并保存有关系统和应用程序的信息，包括错误、警告、信息和安全事件等。

这些日志的分类与存储方式井然有序，并且有助于管理员找到事件的原因。

下面将介绍常用的Windows系统日志类型。

一、应用程序日志应用程序日志是记录应用程序事件的日志。

当应用程序发生错误或其他异常时，它会用此日志记录详细信息，例如错误信息、警告信息、性能信息以及其他有用的信息，以帮助管理员迅速的排除故障。

二、安全日志安全日志是记录计算机安全事件的日志。

当出现安全事件时，例如撞库、病毒入侵，Windows会记录这些事件，包括攻击者如何入侵系统、攻击者的ip、攻击类型等等，以帮助管理员解决安全问题并制定安全策略。

三、系统日志系统日志是记录系统事件的日志。

当系统出现问题时，例如系统崩溃、磁盘故障、病毒感染、硬件故障等等，Windows会自动生成这些事件，以帮助管理员了解事件发生的原因，及时排除故障。

四、DNS日志DNS日志是记录DNS服务器运作情况的日志。

当处理DNS查询的请求时，DNS服务器会将查询请求、相应的应答以及各种错误信息记录在DNS日志中。

这些记录通常由系统管理员用于故障排查和性能分析。

五、远程桌面服务日志远程桌面服务日志是记录远程桌面服务相关事件的日志。

当Windows远程桌面服务出现问题时，它可以记录故障现象，例如用户远程连接失败的原因，以帮助管理员快速诊断并解决问题。

总之，以上是常用的Windows系统日志类型，每种日志都有特定的格式和内容，它们的重要性不言而喻，可以帮助管理员更好地维护和管理计算机。

在实际维护工作中，管理员应该及时查看和收集相关日志信息，以便及时诊断并解决问题。

window安全日志分析今日服务器遭受入侵，入侵路径回溯：被入侵服务器->跳板机->办公网某主机。

因此整理记录windows被入侵相关信息。

本文只研究windows安全登录相关日志，介绍三种事件类型（登录，注销，尝试登陆）。

通过此日志可查看windows主机是否通过3389远程服务爆破进入。

注：windows日志有存储大小限制，有被覆盖的可能。

可修改，请自行百度。

1.1 windows日志位置我的电脑右键管理：刷选windows安全日志事件ID：4000-4700，登录相关1.2 三种登录事件详解1.2.1 事件4648（尝试登陆）事件4648描述：此事件发生在日志所在windows主机，表明日志所在windows主机尝试连接远程主机，无论连接成功与否，这里都会记录。

网络地址端口：经测试发现只有同一局域网（且同一C段）才会记录目标服务器ip端口。

1.2.2 事件4624（登陆成功）事件4624描述：表示日志所在win主机被成功连接“使用者”：指明本地系统上请求登录的帐户。

这通常是一个服务(例如Server 服务)或本地进程(例如Winlogon.exe 或Services.exe)。

“登录类型”：指明发生的登录种类。

最常见的类型是2 (交互式)和3 (网络)。

（登陆类型3：例如连接共享文件，打印机等；登陆类型7：解锁；登陆类型10：例如远程桌面等参考连接：/s/blog_5c39a08901012uu5.html）“新登录”：指明新登录是为哪个帐户创建的，即登录的帐户。

“网络信息”：指明远程登录请求来自哪里。

“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

1.2.3 事件4634（注销）1.3 日志分析工具log_parser_lizard工具介绍：一个Log Parser的图形版，功能强大（可能需要安全相关依赖，我一开始安装了Log Parser）使用参考连接: /post/2012/03/26/Useful-tool-Log-Parser-Lizard-GUI.aspx下载地址：https:///lizardlabsdataUS/LogParserLizardSetup.msi获取15天免费key，需要注册邮箱：https:///forms/d/e/1FAIpQLSeB09sSTV_kxMpHcWpxp5CFBFh_fE8SRRKm2E F0v3Chsk_3fA/viewform工具界面：执行查询：我这里把相关安全日志单独copy一份，下面是我执行的语句：相应字段：执行结果：strings难以查看，导出excel后，使用python处理了一下：#! /usr/bin/python# _*_ coding:utf-8 _*_import xlrdimport xlwtimport timeworkbook = xlrd.open_workbook('zhangsan.xlsx')sheet = workbook.sheets()[0]nrows = sheet.nrowsncols = sheet.ncolsworkbook1 = xlwt.Workbook()sheet1 = workbook1.add_sheet('my sheet')sheet1.write(0, 0, u'时间')sheet1.write(0, 1, u'事件ID')sheet1.write(0, 2, u'事件类型')sheet1.write(0, 3, u'描述')for i in range(1, nrows):row = sheet.row_values(i)timegenerated = xlrd.xldate_as_tuple(row[0], 0)timegenerated = '{}/{}/{} {}:{}:{}'.format(timegenerated[0], timegenerated[1], timegenerated[2], timegenerated[3], timegenerated[4], timegenerated[5])eventid = int(row[1])string = str(row[2]).split('|')if eventid == 4648:event_type = u'尝试登录'account_name01 = string[1]account_domain01 = string[2]account_name02 = string[5]account_domain02 = string[6]destination_servername01 = string[8]ip_addr01 = string[12]result = u'使用者：{}:{}，凭证：{}:{}，目标服务器：{}，网络信息：{}'.format(account_name01, account_domain01, account_name02, account_domain02,destination_servername01,ip_addr01)elif eventid == 4624:event_type = u'登录成功'account_name11 = string[1]account_domain11 = string[2]account_name12 = string[5]account_domain12 = string[6]login_type11 = string[8]workstation11 = string[11]ip_addr11 = string[18]result = u'使用者：{}:{}，登录用户：{}:{}，登录类型：{}，网络信息：{}:{}'.format(account_name11, account_domain11, account_name12, account_domain12, login_type11,workstation11, ip_addr11)elif eventid == 4634:event_type = u'注销'account_name21 = string[1]account_domain21 = string[2]login_type21 = string[4]result = u'使用者：{}:{}，登录类型：{}'.format(account_name21, account_domain21, login_type21)else:result = string# print i, timegenerated, eventid, resultsheet1.write(i, 0, timegenerated)sheet1.write(i, 1, eventid)sheet1.write(i, 2, event_type)sheet1.write(i, 3, result)workbook1.save('zhanghang.xls')最终处理结果如下：希望此文可以给关注windows主机的同学提供一些新的思路。

Windows痕迹清除之⽇志⽂件⼀、⽂件存储位置系统⽇志 C:\Windows\System32\Winevt\Logs\System.evtx安全⽇志 C:\Windows\System32\Winevt\Logs\Security.evtx应⽤⽇志 C:\Windows\System32\Winevt\Logs\Application.evtx⼆、全部清除1、打开事件查看器删除通过win+r输⼊eventvwr打开事件查看器，在右边的操作⼀栏中，选择Clear Log...2、powershell命令删除PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}".PowerShell -Command "& {Get-WinEvent -ListLog Application,System,Security -Force | % {Wevtutil.exe cl $_.Logname}}"3、cmd命令删除wevtutil clear-log Applicationwevtutil clear-log Securitywevtutil clear-log System三、定向清除1、停⽌⽇志服务⾸先利⽤powershell命令找出⽇志记录服务（eventlog）对应的进程PID，Get-WmiObject或Get-CimInstance命令都可以：Get-WmiObject -Class win32_service -Filter "name = 'eventlog'"或者Get-CimInstance -ClassName win32_service -Filter "name = 'eventlog'"procexp.exe（Process Explorer）找出PID=840的进程：选择该scvhost.exe，点选右键->属性->线程,找出服务为eventlog的线程PID,为876、884、1424、1428、1432，依次选择Kill这些线程。