|
查看系统的运行日志,地球人都知道可以通过事件查看器检查。可能很多新手 看到几万条记录会慌掉,看完本篇教程,就再也不用慌了。 第一步:打开 事件查看器,安全日志(这个地球人都知道!找到桌面的 计算机图标,右击选择 管理 ,然后依次点击 诊断 -> 事件查看器-> Windows日志 -> 系统)
选择:筛选当前日志。6005和6006分别是开机和关机事件。1074为系统重启的事件ID。
可以输入1074,6005,6006点击确定查询。
Windows常用事件ID 安全日志事件 事件ID 说明 4624 成功的账号登录 4625 登录尝试失败 4634 用户注销 4648 使用明显凭证的登录尝试 4672 分配专用权限的用户登录 4720 创建用户帐户 4728 向安全组中添加成员 4732 向本地组中添加成员 4740 用户帐户被锁定
系统日志事件 事件ID 说明 6005 事件日志服务已启动(开机) 6006 事件日志服务已停止(关机) 6008 不正常关机的日志 7001 服务依赖关系失败,无法启动服务 7009 服务超时(在启动设置的时间内未能启动) 7011 服务响应失败(未在预期时间内响应请求)
应用程序日志事件 事件ID 说明 1000 应用程序错误(负责记录应用程序崩溃事件) 1001 应用程序挂起(记录程序悬停或响应超时) 1002 应用程序响应停止 DC(域控制器)特定事件:
事件ID 说明 4741 创建计算机帐户 4767 用户账户解锁 4781 更改帐户名称 请记住,事件 ID 只有当它与其他信息(如源、消息、涉及的用户账户等)结合起来时才最有用。同时,由于各种操作系统版本(Windows Server 2003、2008、2012、2016、2019,Windows 7、8、10、11)之间存在差异,部分事件 ID 可能会发生变化。此外,第三方应用程序和服务可以定义它们自己的事件 ID。因此,针对特定的事件 ID 解读,最好以实际环境中它发生的上下文为准。
| 
发表于 2024-11-9 16:35:39