Windows 事件日志是 Windows 操作系统中的一个重要组件,它记录了系统、应用程序和安全相关的活动。通过这些日志,管理员可以监控系统的健康状况、诊断问题以及检测潜在的安全威胁。

01 定义与功能

事件日志为操作系统及关联的应用程序提供一种标准化、集中式记录重要软件及硬件信息的方法。这些事件包括有关 Windows 组件和已安装应用程序的信息、警告和错误消息。

事件日志可以为 IT 运维、开发运维和安全运维团队提供丰富的信息,帮助他们了解系统发生了什么,例如:

  • 系统崩溃
  • 恶意活动发生
  • 基础设施故障

02 版本与存储

版本划分

版本适用系统文件扩展名
第一版(V1)Windows Vista 以前的系统.evt
第二版(V2)Windows Vista 及其后续系统.evtx

存储路径

  • V1 版本%SystemRoot%\System32\config
  • V2 版本%SystemRoot%\System32\winevt\Logs

03 日志类型与差异

V1 版本

事件日志类别主要包括:

  • 系统(System)
  • 安全(Security)
  • 应用程序(Application)
  • 自定义日志

三个类别日志文件默认大小均为 512KB,当日志超过 512KB 时,系统默认覆盖超过 7 天的日志记录。

V2 版本

事件日志分为两大类:

  • Windows 日志:包含系统、安全、应用程序、Setup、转发事件等核心日志
  • 应用程序及服务日志:包含各应用程序和服务专属的详细日志

核心日志文件默认大小均为 20480KB,其他日志文件最大默认为 1024KB。当日志数据超过默认值时,系统默认先覆盖过期的日志记录。

04 事件日志类别

事件日志按级别(Level)和关键字(Keywords)进行分类,常见级别包括:

级别说明
信息(Information)记录应用程序、驱动程序或服务成功操作的事件
警告(Warning)不一定重要但将来可能导致问题的事件
错误(Error)记录重要的问题,可能导致功能丢失
严重(Critical)记录发生故障的组件的严重错误,需立即处理
审核成功(Audit Success)安全日志专属,记录成功的审核访问尝试
审核失败(Audit Failure)安全日志专属,记录失败的审核访问尝试

05 事件日志查看工具

工具访问方式特点
事件查看器(Event Viewer)控制面板 > 管理工具 > 事件查看器最常用的 GUI 工具,直观易操作
wevtutil命令行执行 wevtutil命令行查询和导出事件日志数据
PowerShellGet-WinEvent cmdlet支持复杂过滤和远程计算机查询
Log Parser微软官方工具支持类 SQL 语法查询多种日志格式

06 常见的事件 ID

不同的事件 ID 代表特定的系统行为,以下列出运维中最常关注的事件 ID。

注:不同 Windows 版本可能具有不同的事件 ID,建议参考微软官方文档获取准确信息。

系统日志(System Log)常见事件 ID

事件 ID说明
6005事件日志服务已启动(系统启动)
6006事件日志服务已停止(系统关机)
6008系统意外关机
7034服务意外终止
7036服务状态变化(启动或停止)
7045新服务安装到系统

应用程序日志(Application Log)常见事件 ID

事件 ID说明
1000应用程序错误(应用崩溃)
1001应用程序故障报告(Windows Error Reporting)
1002应用程序挂起

安全日志(Security Log)常见事件 ID

事件 ID说明
4624账户登录成功
4625账户登录失败
4634账户注销
4648使用显式凭据尝试登录
4672分配了特殊权限(管理员登录)
4688创建新进程
4698创建计划任务
4719系统审核策略已更改
4720创建用户账户
4722启用用户账户
4723尝试更改账户密码
4724尝试重置账户密码
4725禁用用户账户
4726删除用户账户
4728成员已添加到安全组
4732成员已添加到本地安全组
4740用户账户被锁定
4776域控制器尝试验证账户凭据
4798枚举了用户的本地组成员身份
4799枚举了安全本地组的成员身份