windows系统日志查看
1. 右键“个人电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。缓存
二、接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。安全
三、事件id(其余具体事件id须要时可自行百度)网络
| 事件 ID | 事件类型session |
描述dom |
|
|---|---|---|---|
| 4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616ide |
系统事件this |
本地系统进程,例如系统启动,关闭和系统时间的改变。spa |
|
| 4612设计 |
清除的审计日志日志 |
全部审计日志清除事件 |
|
| 4624 |
成功用户登陆 |
全部用户登陆事件 |
|
| 4625 |
登陆失败 |
全部用户登陆失败事件 |
|
| 4634 |
成功用户退出 |
全部用户退出事件 |
|
| 4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664 |
对象访问 |
当访问一给定的对象(文件,目录等) 访问的类型(例如读,写,删除) ,访问是否成功或失败,谁实施了这一行为 |
|
| 4719 |
审计政策改变 |
审计政策的改变 |
|
| 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740 |
用户账号改变 |
用户账号的改变,像用户账号建立,删除,改变密码等等 |
|
| 4727 to 4737, 4739 to 4762 |
用户组改变 |
对一个用户组的全部改变,例如添加或移除一个全局组或本地组,从全局组或本地添加或移除成员等等 |
|
| 4768, 4776 |
成功用户账号验证 |
当一个域用户账号在域控制器认证时,生成用户账号成功登陆事件。 |
|
| 4771, 4777 |
失败用户账号验证 |
失败用户账号登陆事件,当一个域用户账号在域控制器认证时 ,生成不成功用户账号登陆事件。 |
|
| 4778, 4779 |
主机会话状态 |
会话从新链接或断开 |
四、以登录为例查看上表得知登录事件id事4624,筛选出来。
点击其中一个,查看详细信息,两种视图,本身选择,能够看见下图,登录还有各类类型。
其登录的各类类型详解以下:
| 类型ID | 登陆方式 | 描述信息 |
| 2 | Interactive | A user logged on to this computer at the console |
| 3 | Network | A user or computer logged on to this computer from the network |
| 4 | Batch | Batch logon type is used by batch servers, where processes might run on behalf of a user without the user’s direct intervention |
| 5 | Service | A service was started by the Service Control Manager |
| 7 | Unlock | This workstation was unlocked |
| 8 | NetworkCleartext | A user logged on to a network and the user password was passed to the authentication package in its unhashed (plain text) form. It is possible that the unhashed password was passed across the network, for example, when IIS performed basic authentication |
| 9 | NewCredentials | A caller (process, thread, or program) cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but it uses different credentials for other network connections. |
| 10 | RemoteInteractive | A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection. |
| 11 | CachedInteractive | A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials |
登陆类型2:交互式登陆(Interactive): 就是指用户在计算机的控制台上进行的登陆,也就是在本地键盘上进行的登陆。
登陆类型3:网络(Network): 最多见的是访问网络共享文件夹或打印机。另外大多数状况下经过网络登陆IIS时也被记为这种类型,但基本验证方式的IIS登陆是个例外,它将被记为类型8。
登陆类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先建立一个新的登陆会话以便它能在此计划任务所配置的用户帐户下运行,当这种登陆出现时,Windows在日志中记为类型4,对于其它类型的工做任务系统,依赖于它的设计,也能够在开始工做时产生类型4的登陆事件,类型4登陆一般代表某计划任务启动,但也多是一个恶意用户经过计划任务来猜想用户密码,这种尝试将产生一个类型4的登陆失败事件,可是这种失败登陆也多是因为计划任务的用户密码没能同步更改形成的,好比用户密码更改了,而忘记了在计划任务中进行更改。
登陆类型5:服务(Service) :与计划任务相似,每种服务都被配置在某个特定的用户帐户下运行,当一个服务开始时,Windows首先为这个特定的用户建立一个登陆会话,这将被记为类型5,失败的类型5一般代表用户的密码已变而这里没获得更新。
登陆类型7:解锁(Unlock) :不少公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定须要键入用户名和密码。此时产生的日志类型就是Type 7。
登陆类型8:网络明文(NetworkCleartext) :一般发生在IIS 的 ASP登陆。不推荐。
登陆类型9:新凭证(NewCredentials) :一般发生在RunAS方式运行某程序时的登陆验证。
登陆类型10:远程交互(RemoteInteractive) :经过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登陆相区别,注意XP以前的版本不支持这种登陆类型,好比Windows2000仍然会把终端服务登陆记为类型2。
登陆类型11:缓存交互(CachedInteractive) :在本身网络以外以域用户登陆而没法登陆域控制器时使用缓存登陆。默认状况下,Windows缓存了最近10次交互式域登陆的凭证HASH,若是之后当你以一个域用户登陆而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。