在运行中输入:eventvwr.msc,即可打开事件日志。
登录类型 | 描述 |
2 | 互动(键盘和屏幕的登录系统) |
3 | 网络(即连接到共享文件夹从其他地方在这台电脑上网络) |
4 | 批处理(即计划任务) |
5 | 服务(服务启动 ) |
7 | 解锁密码保护屏幕保护程序(即unnattended工作站) |
8 | NetworkCleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到IIS) |
9 | NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件 |
10 | 终端服务,远程桌面或远程协助 |
11 | Cachedinteractive(与缓存域登录凭证时登录一台笔记本电脑等远程网络 |
常见的Windows事件ID说明
Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下举出的事件ID的操纵系统为Vista/win7/win8/win10/server2008/server2012之后的版本
事件ID | 说明 |
1102 | 清理审计日志 |
4624 | 账号成功登陆 |
4625 | 账号登录失败 |
4768 | kerberos身份验证(TGT请求) |
4769 | kerberos服务票证请求 |
4776 | NTLM身份验证 |
4720 | 创建用户 |
4726 | 删除用户 |
4728 | 将成员添加到启用安全的全局组中 |
4729 | 将成员从安全的全剧组中移除 |
4732 | 将成员添加到启用安全的本地组中 |
4733 | 将成员从启用安全的本地组中移除 |
4756 | 将成员添加到启用安全的通用组中 |
4757 | 将成员从启用安全的通用组中移除 |
4719 | 系统审计策略修改 |