zoukankan      html  css  js  c++  java
  • 如何查看Windows事件日志

    我们都知道,电脑的任何活动都会留下痕迹的,这也是为什么我们能进行计算机取证。今天就给大家分享一个简单的方法,告诉你如何查看电脑的登录情况。

    1. 右键“我的电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。

    2. 在「事件查看器」窗口,展开Windows日志,选择“安全”,登录日志就显示出来了。

    3. 接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。

    png?

    4. 筛选「事件ID」。在窗口的右栏里有筛选器,我们可以根据自己的情况有目的地筛选日志记录。

    需要筛选的事件ID是“4624”,这个ID表示成功登陆。

    5. 查看某一条登陆记录的详细信息。点击「详细信息」查看「友好视图」,如下图:

    这两个视图里包含了许多的信息!每一条信息都有其特定含义,而我在今天这篇文章里要分享的是「Logon Type」,即登录类型,通过登录类型我们知道此次登录是在什么状态下登录的。

    如上图中显示的 “LogonType 5” 是什么意思呢?我们来看一张表。

    在这张表中不同数字对应不同类型的登录,而LogonType 5代表的就是电脑的后台服务以我的账户登录过。

    此外,我在自己的电脑中还发现了许多2、3的登录类型,“2”表示我用键盘和鼠标登录,而“3”意味着有人曾经用远程登录过我的电脑。

  • 相关阅读:
    Linux下C编程入门(1)
    Git 常用命令速查表
    Git Cheat Sheet 中文版
    Linux 在一个命令行上执行多个命令
    一个奇怪的错误的警示
    模块化编程实例(一)
    含有指针变量的结构体的指针的应用
    iOS 开发加密做法
    关于设置shadowPath的重要性
    关于设置shadowPath的重要性
  • 原文地址:https://www.cnblogs.com/yimian/p/8422454.html
Copyright © 2011-2022 走看看