| Windows应急日志常用的几个事件ID 点击站内没有搜索到,可能搜索姿势不对,发一下吧,应急时可能会用到,根据日志时间点判断入侵 日志路径:C:WindowsSystem32winevtLogs 查看日志:Security.evtx、System.evtx、Application.evtx 如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器 打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。 系统: 1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。 6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。 104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。 安全: 4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。 4625,这个事件ID表示登陆失败的用户。 4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。 4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。 |