Windows应急日志经常使用的几个事件ID

Windows应急日志经常使用的几个事件ID点击站内没有搜索到，可能搜索姿式不对，发一下吧，应急时可能会用到，根据日志时间点判断入侵日志路径：C:\Windows\System32\winevt\Logs查看日志：Security.evtx、System.evtx、Application.evtx如何查看：右键个人电脑-管理-系统工具-事件查看器，或者eventvwr查看事件查看器打开Windows系统的事件查看器，右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入下列事件ID便可。系统：1074，经过这个事件ID查看计算机的开机、关机、重启的时间以及缘由和注释。6005，表示计算机日志服务已启动，若是出现了事件ID为6005，则表示这天正常启动了系统。104，这个时间ID记录全部审计日志清除事件，当有日志被清除时，出现此事件ID。安全：4624，这个事件ID表示成功登录的用户，用来筛选该系统的用户登录成功状况。4625，这个事件ID表示登录失败的用户。4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户账号发生建立，删除，改变密码时的事件记录。4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。