今天要来分析各日志档的内容跟类型的判别,也来看一点Event ID(事件识别码)查一点小事件,Win+R输入eventvwr.msc执行Event Viewer就开始罗。
首先,事件检视器的概观有个系统管理摘要,从这里我们可以看到,事件可以被分为6大类:
接下来,跟前面登录档一样,我们来研究一下各日志档的意义~我们先看Windows纪录,5大日志档都在C:\Windows\System32\winevt\Logs
里。
至於应用程序及服务记录档有些零零散散的档案,一些大型重要程序或Windows相关服务可能会在这里留下纪录来,而不是可能具有系统范围影响的事件。
值得注意的是Microsoft->Windows目录下有详细的程序分类目录分别指向个程序的日志档,Micosoft Office Altet里会记录office询问是否储存变更或是文件中的警告提示资讯等等。
接着我们来试一下自订筛选,这跟Process Monitor一样,设定filter的技能是很重要的,不然被记录档淹没我们会很难找出问题,说到事件纪录档,我们就以大家最常举例的开关机纪录当作范例。
首先我们从右侧面板点选建立自订检视器,纪录时间可以自己选择,开关机的纪录没有意外发生的话会是资讯类别,他属於系统的纪录所以勾选系统日志档。
事件代码这里打上6006,他是事件纪录终止的纪录,就等於关机的纪录,因为事件会记录到关机前一刻,如下图。
然後打上名称跟描述,预设位置会出现在自订检视的资料夹中。
选完就出现关机纪录的列表罗~~
下面可以看到事件来自哪个纪录档,操作的使用者跟电脑名,纪录的时间就是关机时间,我们刚刚筛选的就是事件识别码,关键字的传统应该是翻译问题,原本要指local,本机的意思。
要查看开机事件就把筛选的事件识别码改成6005,因为事件纪录服务会从一开机就开始记录。
事件ID选7001代表使用者登录的纪录,虽然这个中文翻译怪怪的,但笔者目前也找不到怎麽把事件检视器换成英文,如果看不懂去网路上查就可以找到原文了,像这则讯息就是:
User Logon Notification for Customer Experience Improvement Program.
点进详细资料可以看到这件事是由System帐号处理的,对应的SID是S-1-5-18,他发送这则通知告诉系统,S-1-5-21也就是一般使用者已经登录。
如果是登出通知,事件ID就是7002。
好,以上就是今天的内容,我们介绍事件跟日志档的分类,也试着用筛选器找出开关机和登出登入的事件纪录了,明天我们来看一些常见的事件,对这些纪录多了解一些。
参考资料:
https://www.dummies.com/computers/operating-systems/windows-10/how-to-use-event-viewer-in-windows-10/
https://iter01.com/355100.html
https://codertw.com/%E7%A8%8B%E5%BC%8F%E8%AA%9E%E8%A8%80/444383/
https://social.technet.microsoft.com/Forums/en-US/03f0ad3d-4a52-49cb-ac4b-cac84cb03d0b/event-log-list-of-evtx-files-content-meanning?forum=win10itprogeneral
https://www.manageengine.com/tw/network-monitoring/Eventlog_Tutorial_Part_I.html
https://www.tenforums.com/tutorials/78335-read-shutdown-logs-event-viewer-windows.html
http://deusexmachina.uk/evdoco/event.php?event=525
本文目标 IEEE-754 规范对於工程发展的重要性 认识浮点数 使用演算法改善浮点数运算时带来的误...
嵌套 Nesting 当你在编辑一个 html 档案时,巢状结构的架构可以让你快速了解,每个区块里面...
前几天说了很多建置系统的方法但是对於监控系统没有太多的说明,今天就来一个 CloudWatch 传送...
既然讲到运算符号,也讲完了运算的优先顺序,那就来说说运算的简写吧 一般我们写运算时会写:"...
当想要比较两人的强弱时 通常比较过去结果很容易受到各因素干扰 如果可以直接量化两人的表现 就可以直接...