Windows日志

  在计算机领域,日志文件(logfile)是一个记录了发生在运行中的操作系统或其他软件中的事件的文件,或者记录了在网络聊天软件的用户之间发送的消息。日志记录(Logging)是指保存日志的行为。最简单的做法是将日志写入单个存放日志的文件。
1、Windows日志
应用程序日志
安全日志
系统日志
Scheduler服务日志
FTP日志
WWW日志
DNS服务器日志
这些日志的种类会根据你的系统开启的服务的不同而有所不同,我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。(百度百科)
通过 事件查看器 查看(简单打开方法:windows+R,输入:eventvwr回车)
通过Powershell(管理员权限)
常用命令
查看所有日志:
Get-WinEvent
查看 应用程序日志 :
Get-WinEvent -FilterHashtable @{logname="Application";}
2、Windows需要了解的日志及其作用与位置
系统日志: 存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误,不但可以了解到某项功能配置或运行成功的信息,还可了解到系统的某些功能运行失败,或变得不稳定的原因。
安全日志: 存放了审核事件是否成功的信息。通过查看这些信息,可以了解到这些安全审核结果为成功还是失败。
应用程序日志: 存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误,可以了解到哪些应用程序成功运行,产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。
 
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config
(%systemroot%不懂可以查windows变量)
安全日志文件:   %systemroot%\system32\config\SecEvent.EVT
系统日志文件:   %systemroot%\system32\config\SysEvent.EVT
应用程序日志文件: %systemroot%\system32\config\AppEvent.EVT
DNS日志:     %systemroot%\system32\config\DnsEvent.EVT
FTP日志默认位置:   %systemroot%\system32\logfiles\msftpsvc1\
WWW日志默认位置:  %systemroot%\system32\logfiles\w3svc1\
(FTP日志和WWW服务日志,默认每天一个日志)
Scheduler计划任务服务日志默认位置:%systemroot%\Tasks\schedlgu.txt(由于系统屏蔽的原因,只能在命令行下查看)
FTP 和WWW服务日志详解:
FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为 ex (年份) (月份) (日期)
例如:
  ex180226,(2018年2月23日产生的日志)
这个由于对IIS并不了解还没有尝试
这些位置不一定能找到你想要找的日志,可以按照下面的注册表中的日志路径去查找日志的位置
以上日志在注册表里的键:
应用程序日志、安全日志、系统日志、DNS日志,这些log文件在注册表中的
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
3、windows日志分析
在Windows日志中记录了很多的操作事件,为了方便管理,每种类型的事件都有一个惟一的编号,这就是事件ID。
例如:
0 代表操作成功完成
具体可Google或百度 windows事件ID

posted on 2018-02-26 14:06  Kn0w_N0ThInG  阅读(2054)  评论(0编辑  收藏  举报

导航