今天要来研究一些常见的事件，来看看有那些东西会被系统纪录下来，他们的意义又是什麽。

笔者查了查发现不知道要挑什麽讲，於是最後决定来把重新开机当作范例找系统中的记录，这对电脑来说一件重大程序，前前後後会有很多步骤被记录下来，同一秒内被写入十几则都有可能，所以我们会挑一些是较为重要的记录来讲。

实作就是笔者把电脑重新开机，从关闭进到桌面中间历程是从中午12点整到12点43秒，先後会记录的重大事件包括下列这些：

关机的事件

没想到第一个出现的是6013事件，这个只能说是刚刚好，通常在系统重新启动会发生这个事件，纪录他总共运行了多久，不过仔细一查才发现，6013会在每日中午12点整纪录一次，即使你没有重新开机。

接着纪录使用者按下重新开机的事件，这是指定的所以不在排程计画中，就是RuntimeBlock.exe照使用者的指示启动「重新启动」这个动作。

安全中心显示使用者初始登出，似乎是分步骤式，工作类别就是Logoff。

往下是事件纪录服务中止的1100事件，表示他要停止纪录了。

上次提到的6006事件，跟1100几乎是同时，纪录档服务也中止了。

再来7002表示使用者完整登出。

1532事件表示关闭使用者设定档。

接者有一连串的事件在关闭网路协定DHCPv4和DHCPv6，其中DHCPv4会等待DHCPv6关闭才可以关闭，事件ID有50104、50105、51047、51057、50106、50037等等。

Kernel-Power会发出109事件表示进入关机阶段。

Kernel-General发出事件13记录系统完全关闭的时间。

开机的事件

然後终於来到系统开机的时刻了，大致上会跟刚刚关机的时候相反，Kernel-General发出事件12记录系统开机的时间。

後面由Kernal-Boot记录各种检测，事件ID包括153、18、32、20、238、25、27、30。

事件4826说明载入开机设定。

4608纪录系统正在启动。

1531说明载入使用者设定。

6009记录下系统资讯，检测Windows产品名称、版本、内部版本号、操作系统类型等等。

再来就是事件纪录档的启动，事件6005。

事件6013再出现一次，似乎是每次开机中会出现一次。

7001表示登入成功。

1025事件表示信赖平台模组布件成功可以使用。

中间还有各种帐户登录，程序启用，权限指派，状态检查，影体变更等等列不完的事件，像是防火墙开起，网路协定启用，密码编译的启用，TPM布建过程等等，总之，我们用一次开关机可以知道，Windows日志会记录这些在系统中的大大小小的事件，这对开发人员有很大的好处，可以确认各项log中缺少哪一项缩小要检查的范围，事件检视器除了错误跟警告，在资讯类别中会提出的纪录就类似这些。

Microsoft Office Alerts

写到最近开始有点累了，不过还是先坚持一下，至少让每天文章有一定的量，所以下面我们来补充关於Microsoft Office Alerts的部分，他的日志档一样放在%SystemRoot%\System32\Winevt\Logs下，名叫OAlerts.evtx，虽然叫做Alter，但在事件记录的等级以资讯类为主，事件ID基本上都是300，他主要是记录Microsoft Office产品的一些提醒，像是我们还没存档就关闭文件会出现使否储存变更的提醒。

里面的P1数值的开头会代表Office软件类型，对应的列表如下：

• 1开头：Microsoft Excel
• 2开头：Microsoft Word
• 3开头：Microsoft Outlook
• 4开头：Microsoft PowerPoint
• 5开头：Microsoft Access
• 11开头：Microsoft Publisher

P2数值表示Office软件的版本号，P3，P4不一定会有。

当我们打开Word打开PDF档也会出现警告，这里的P1就比较特殊，会显示0。

像是PowerPoint出现限制字体错误也会记录下来。

如果我们尝试用Word开起.xlsx档可能会发生无法开启的情况，关於这些提示敬告都会被记录在这份日志档中。

甚至是取代完成出现的提示，也会被记录。

从小事到大事，通通被日志档记下来，我们观察日志的活动会发现系统无时无刻所做的事，如果我希望识别一段时间内的使用者活动，可以去各种日志下找到可能识别使用者跟他有互动的文件，这样的应用是非常广泛的，同时也表示很难做到过水无痕，笔者参考资料最後一点的作者Matt B也表示：

Event logs have been a great source of data for a long time to help understand what is going on with a system.

学会看日志对专业的开发人员是很重要的，今天就先到这边，下一篇我们来看看怎麽去读.evtx文件，用文字编辑器打开他看看他的结构，这是一个辛苦但是有意义，或许也很有趣的过程，日志档常常牵涉资安，里面是有可取之处的。

参考资料：
http://www.windows5.online/windows/ruanjian/fwq/gyfwq/201702/61011.html
https://social.technet.microsoft.com/Forums/ie/en-US/2c45e6af-8ec4-4fdd-8cf2-87e96fd80a73/restart?forum=winserverManagement
https://www.datamutz.com/dm-blog/windows-event-logs-tracking-file-edits-and-deletions
https://bromiley.medium.com/oalerts-the-microsoft-office-event-log-ad164e1eec0f