在windows系统中,我们经常会用事件查看器来查看和管理应用程序、安全、系统的日志。但服务器运行过程中会产生大量的日志,如何在这么多的日志文件中筛选到与我们遇到的问题相关的日志信息呢?方法之一是通过事件ID来查找,以下是筛选方法和常见的安全事件和系统日志的ID及含义。
如何筛选?
以下是Windows事件查看器中常见的安全事件ID:
4624 - 成功登录事件,表示用户成功登录系统。
4625 - 登录失败事件,表示用户尝试但未能成功登录系统。
4634 - 注销事件,表示用户注销系统。
4647 - 用户注销事件,表示用户通过重新启动或关闭计算机来注销系统。
4720 - 创建用户事件,表示新用户帐户已创建。
4722 - 启用用户帐户事件,表示禁用的用户帐户已被启用。
4723 - 更改用户密码事件,表示用户密码已更改。
4724 - 创建安全组事件,表示新安全组已创建。
4728 - 成功授权事件,表示用户获得了指定对象的权限。
4738 - 设置用户密码事件,表示用户密码已更改或重置。
以下是Windows事件查看器中常见的系统事件ID:
1074 - 通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005 - 表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
6006 - 系统关闭
6008 - 非正常关机
6009 - 系统已经重新启动
6013 - 系统已经重新启动,原因是操作系统版本升级
7036 - 服务状态更改
7040 - 启动或停止监视者通知
7045 - 安装服务
104 - 这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。
