今天要来分析各日志档的内容跟类型的判别，也来看一点Event ID(事件识别码)查一点小事件，Win+R输入eventvwr.msc执行Event Viewer就开始罗。

事件分类

首先，事件检视器的概观有个系统管理摘要，从这里我们可以看到，事件可以被分为6大类：

1. 重大：不常出现，像是蓝屏当机(BSOD)这种，系统崩溃或是意外关闭的严重问题会记录在这里，如果常常出现不能放着不管。
2. 错误：可能需要处理的问题，不正常的运作，例如资料丢失或功能损失，服务在启动期间无法载入等等，可能是预定的程序无法执行或启动，在背景平常可能不会发现这个错误。
3. 警告：不一定重要的事件，但是放着放着可能会出现，例如一些日志档的大小限制到达上限，可能会盖掉一些纪录，或是应用程序操作的风险等等。
4. 资讯：一些普通的纪录，像是记录应用程序或驱动程序、服务有没有操作成功之类的，或是一些配置的更改成功或失败。
5. 稽核成功：接受Windows的安全性稽核而後取得成功的访问纪录。
6. 稽核失败：就是一样接受稽核但是失败访问不到的纪录。

各日志档的内容

接下来，跟前面登录档一样，我们来研究一下各日志档的意义~我们先看Windows纪录，5大日志档都在C:\Windows\System32\winevt\Logs里。

• 应用程序：各应用程序报告的问题，通常是执行方面的事件，错误警告或资讯都有可能出现，应用程序的开发人员可以决定要记录哪些事件报告出来，如果是应用程序崩溃之类的问题应该可以在这里找到详细一点的纪录。
• 安全性：纪录稽核成功或失败的事件，成功会出现钥匙，失败会出现锁，像是Windows的帐户登入有没有成功，使用者许可权变更，还有一些档案资料夹的访问，有没有提权之类的纪录。
• Setup：网域控制器的内容，也会记录应用程序的安装事件，或像Windwos更新这里也会产生相关纪录。
• 系统：纪录Windows系统跟服务遇到的问题跟报告，例如开机遇到一些驱动程序不能载入之类的事件等等。
• Forwarded Events：转送的事件，由其他电脑转送过来的事件纪录档。

至於应用程序及服务记录档有些零零散散的档案，一些大型重要程序或Windows相关服务可能会在这里留下纪录来，而不是可能具有系统范围影响的事件。

值得注意的是Microsoft->Windows目录下有详细的程序分类目录分别指向个程序的日志档，Micosoft Office Altet里会记录office询问是否储存变更或是文件中的警告提示资讯等等。

筛选查看开关机纪录事件

接着我们来试一下自订筛选，这跟Process Monitor一样，设定filter的技能是很重要的，不然被记录档淹没我们会很难找出问题，说到事件纪录档，我们就以大家最常举例的开关机纪录当作范例。
首先我们从右侧面板点选建立自订检视器，纪录时间可以自己选择，开关机的纪录没有意外发生的话会是资讯类别，他属於系统的纪录所以勾选系统日志档。

事件代码这里打上6006，他是事件纪录终止的纪录，就等於关机的纪录，因为事件会记录到关机前一刻，如下图。

然後打上名称跟描述，预设位置会出现在自订检视的资料夹中。

选完就出现关机纪录的列表罗~~

下面可以看到事件来自哪个纪录档，操作的使用者跟电脑名，纪录的时间就是关机时间，我们刚刚筛选的就是事件识别码，关键字的传统应该是翻译问题，原本要指local，本机的意思。

要查看开机事件就把筛选的事件识别码改成6005，因为事件纪录服务会从一开机就开始记录。

事件ID选7001代表使用者登录的纪录，虽然这个中文翻译怪怪的，但笔者目前也找不到怎麽把事件检视器换成英文，如果看不懂去网路上查就可以找到原文了，像这则讯息就是：

User Logon Notification for Customer Experience Improvement Program.

点进详细资料可以看到这件事是由System帐号处理的，对应的SID是S-1-5-18，他发送这则通知告诉系统，S-1-5-21也就是一般使用者已经登录。

如果是登出通知，事件ID就是7002。

好，以上就是今天的内容，我们介绍事件跟日志档的分类，也试着用筛选器找出开关机和登出登入的事件纪录了，明天我们来看一些常见的事件，对这些纪录多了解一些。

参考资料：
https://www.dummies.com/computers/operating-systems/windows-10/how-to-use-event-viewer-in-windows-10/
https://iter01.com/355100.html
https://codertw.com/%E7%A8%8B%E5%BC%8F%E8%AA%9E%E8%A8%80/444383/
https://social.technet.microsoft.com/Forums/en-US/03f0ad3d-4a52-49cb-ac4b-cac84cb03d0b/event-log-list-of-evtx-files-content-meanning?forum=win10itprogeneral
https://www.manageengine.com/tw/network-monitoring/Eventlog_Tutorial_Part_I.html
https://www.tenforums.com/tutorials/78335-read-shutdown-logs-event-viewer-windows.html
http://deusexmachina.uk/evdoco/event.php?event=525