1. 全栈程序员必看首页

Windows日志分析工具_Windows7激活工具

全栈程序员-站长 未分类 阅读 7

Windows日志分析工具_Windows7激活工具Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。安全日志:%SystemRoot%\Syste

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志

系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。

安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

1.手工日志分析

1.日志文件位置
控制面板→ 管理工具 → 事件查看器
或者win + R:eventvwr.msc
在这里插入图片描述
2.EVENT ID含义
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,常见如下
在这里插入图片描述

4624 登录成功
4625 登录失败
4634 注销成功
4647 用户启动的注销
4672 使用超级用户登录(管理员)进行登录
4720 创建用户
4776 成功/失败的账户认证

https://blog.csdn.net/weixin_33695450/article/details/92324221
https://www.csdn.net/tags/NtDaYg0sMjM4OS1ibG9n.html

3.eventlog事件快速筛选
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
成功完成筛选

筛选系统日志

6006,6005,6009就表示不同状态的机器的情况
6005 信息 EventLog 事件日志服务已启动
6006 信息 EventLog 事件日志服务已停止
6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机

查看下6009
在这里插入图片描述
在这里插入图片描述
当然也可以一直查看6005-6009
在这里插入图片描述

2.Log Parser等工具使用日志分析

Log Parser下载
使用教程:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示。

1.Log Parser的使用
安装的目录再C:\Program Files (x86)\Log Parser 2.2

LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”

我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的格式。
输入源是某一种固定的格式,比如EVT(事件),Registry(注册表)等,对于每一种输入源,它所涵盖的字段值是固定的,可以使用logparser –h –i:EVT查出(这里以EVT为例)
在这里插入图片描述

登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  “SELECT *  FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624

待定…

2.Event Log Explorer
下载地址:https://event-log-explorer.en.softonic.com/
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
在这里插入图片描述
参考:https://blog.csdn.net/lza20001103/article/details/124637558?spm=1001.2014.3001.5502

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/197525.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • Python IDE —— PyCharm的基本介绍「建议收藏」

    Python IDE —— PyCharm的基本介绍「建议收藏」

    Python IDE —— PyCharm的基本介绍「建议收藏」本文由Markdown语法编辑器编辑完成。PyCharm的介绍:PyCharm是一款Python的IDE的编辑工具,它是由Jetbrains出品的产品。之前我在做Web项目,前端撰写JavaScript代码时,就是用的他们公司出品的前端开发神器WebStorm。因此,也一直对他们的产品很感兴趣,而且,如果是同一个公司的产品,在很多设置上都是相同的,也可以减少一些学习成本。PyCharm的官网地址

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月28日
    4
  • 自学 6 个月 Java 找到了一份 15K 的工作,师弟的方式值得推荐给大家

    自学 6 个月 Java 找到了一份 15K 的工作,师弟的方式值得推荐给大家

    自学 6 个月 Java 找到了一份 15K 的工作,师弟的方式值得推荐给大家我有一个大学校友,他是去年8月份才开始正式学习Java的,之前在一家私企工作了5年,工资一个月只有不到6000块,日子过得很苦逼,毕竟郑州的房贷压力也不小,公司就那么大,除非领导离职,否则根本看不到晋升的希望。他刚26岁,正值青春年华,我就劝他不如改学Java,他之前学PHP的,虽然做起来项目很快,但发展前景确实不怎么乐观。我身边的很多朋友在北京做Java开发,差不多能拿到2到3万的月薪,师弟听了非常羡慕,感觉超出了他的认知范围,就下定决心开始学习Java,一共学了大

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月22日
    46
  • selenium谷歌浏览器驱动配置「建议收藏」

    selenium谷歌浏览器驱动配置「建议收藏」

    selenium谷歌浏览器驱动配置「建议收藏」selenium驱动配置

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月10日
    32
  • PIT,BL,AP,CP,CSC

    PIT,BL,AP,CP,CSC

    PIT,BL,AP,CP,CSC使用ODIN刷机的时候,要选择ROM文件,以下是5件套各部分的说明:PIT:分区信息,如果没有更换ROM,一般不需要刷,也不需要勾选re-partition选项BL:bootloader,引导信息AP或者PDA:安卓内核数据CP或者PHONE:基带数据CSC:厂家定制信息,即包括不同销售地区不同的信息,也包括厂家定制的一些APP,还包括合约机绑定的APP。

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月21日
    15
  • 图像处理算法工程师——1必备技能总结——2面试题大全[通俗易懂]

    图像处理算法工程师——1必备技能总结——2面试题大全[通俗易懂]

    图像处理算法工程师——1必备技能总结——2面试题大全[通俗易懂]图像算法工程师三重境界:一、传统图像算法工程师:主要涉及图形处理,包括形态学、图像质量、相机成像之3A算法、去雾处理、颜色空间转换、滤镜等,主要在安防公司或者机器视觉领域,包括缺陷检测;二、现代图像算法工程师:涉及模式识别,主要表现的经验为Adaboost、SVM的研究与应用,特征选取与提取,包括智能驾驶的研究与应用、行人检测、人脸识别;三、人工智能时代图像算法工程师:…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月17日
    57
  • C++中double转string函数

    C++中double转string函数

    C++中double转string函数使用 stringStream 类 stringDouble doubled nbsp nbsp nbsp Need include nbsp nbsp nbsp usingnamespa nbsp nbsp nbsp stringstr nbsp nbsp nbsp stringstream nbsp nbsp nbsp ssd nbsp nbsp nbsp ssstr nbsp nbsp nbsp returnstr 返回的

    全栈程序员-站长的头像 全栈程序员-站长
    2025年8月8日
    3

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号