Java教程

Windows事件查看器介绍

本文主要是介绍Windows事件查看器介绍,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

介绍

很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。

打开后,定位到windows日志栏下,可以看到有三种类型的日志,分别是应用程序日志、安全日志和系统日志,如下图。

 

应用程序日志

应用程序日志记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序。

安全日志

安全日志记录了一些用户登录事件、文件的创建打开删除事件等。

系统日志

系统日志记录了windows系统组件的一些事件,例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志,文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。

所有的用户都可以查看应用程序日志和系统日志,只有管理员才能查看安全日志。

日志级别

事件查看器包含了5种级别,分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看,例如以下的信息级别。

 

错误:指重大问题,包括数据丢失,功能损失等。例如服务启动期间无法加载。

警告:潜在问题,例如磁盘空间低,则会记录一个警告。

信息:描述程序和服务是否操作成功的事件,例如网络驱动成功加载。

成功审核:接受审核且取得成功的安全访问尝试,例如用户成功登录系统。

失败审核:接受审核且取得失败的安全访问尝试,例如用户尝试访问网络驱动但失败。

同时事件查看器也提供了相应的查找、筛选等功能,例如我们需要关注错误类型的事件,则可以直接进行筛选,如下图。

 

随后我们便可以看筛选出来的事件,看常规说明、来源等信息,以及选中事件右键查看详细的属性信息等,来判断是否是恶意的攻击事件。

同时,我们也可以将事件的id和事件的来源去网上搜索相关信息,或者通过https://support.microsoft.com 和 http://www.eventid.net 去搜索。
 

这篇关于Windows事件查看器介绍的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!