介绍
windows系统日志,记载了本地计算机的很多信息,比如账号登录和退出,ftp连接等。
打开界面
路径是:控制面板\系统和安全\管理工具
win10可以搜索管理,然后直接打开。
再选择《事件查看器》,打开的就是日志分析界面
主要信息
根据“管理事件的摘要”,日志信息主要包括:事件类型、事件ID、来源、日志、事件。
1、事件类型
也被称为级别,有五个值:
- 关键
- 错误
- 警告
- 信息
- 审核成功
本地查看时从上到下对应的日志数越多,关键的日志数为0
2、事件ID
事件ID对应发生的事情,https://zhuanlan.zhihu.com/p/366530900提供了部分事件发生代表的事情。
3、来源
即触发日志的应用,比如WindowsUpdateClient。其安装windows的更新时触发日志。
日志信息
日志名称(M):系统
来源(S):WindowsUpdateClient
事件ID(E):19
级别(L):SYSTEM
操作代码(o):安装
记录时间(D):2022/5/17 18:14:08
任务类别(Y):Windows 更新代理
关键字(k):成功,安装
计算机(R):DESKTOP-N3RIVLB
操作
右侧提供了一系列的操作方法,筛选、查找、删除、另存为等。