Windows事件日志解析

点击蓝字·关注我们

Windows事件日志解析

        接上期内容，在初步了解windows事件日志的原理及存储方式后，这期介绍事件日志如何查看及事件日志如何分析。

壹

windows事件日志如何查看

     通常一些商业的分析软件可以直接加载分析事件日志文件，并且解析内容也比较全面，在这里介绍第三方免费及系统自带的事件日志查看器。第三方免费工具，推荐“Event Log Explorer”（非商业用途免费），界面简洁，自带检索及过滤功能。

      Windows系统也自带相应的日志查看器，直接运行eventvwr.exe 或者在WIN+R组合键运行窗中输入eventvwr.exe 点确定即可。当然系统自带的日志查看器也可以加载非本机事件日志文件，但建议在win10系统下进行加载，以获得更好的兼容性（对.evtx文件）。

贰

windows事件日志如何分析

        Windows事件日志中信息要素较多，包括事件级别、记录时间、事件来源、时间ID、事件描述、涉及用户、计算机、操作代码等。其中时间ID与操作系统版本有关，即第一版和第二版的事件日志。以win10系统为例，分析计算机的开关机时间，了解到开机时间的事件ID为6005，关机时间的事件ID为6006，保存于“系统日志”中，运用查看器中的筛选功能，输入ID号，点击确定后，即可快速筛选出与该ID相关的事件。

       事件ID数值及其代表意义相关内容较多，这里就不进行列举，感兴趣可以自行搜索。此外windows操作系统在默认情况下，无法删除特定类型的日志记录，仅提供清除所有日志记录功能。

叁

  结语

    以上就是本期windows事件日志分析的内容，希望对大家能有所帮助。

电话｜0771-4829118

地址｜广西南宁高新区滨河路5号中盟科技园4号楼16层