事件查看器登陆类型

1.知识要点1.1.Windwos账号体系分为用户与组，用户的权限通过加入不同的组来授权用户：组：1.2.账号SID安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。

在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST 的帐号。

1.3.账号安全设置通过本地安全策略可设置账号的策略，包括密码复杂度、长度、有效期、锁定策略等：设置方法：“开始”->“运行”输入secpol.msc，立即启用：gpupdate /force1.4.账号数据库SAM文件sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。

可通过工具提取数据，密码是加密存放，可通过工具进行破解。

1.5.文件系统NTFS (New Technology File System)，是WindowsNT 环境的文件系统。

新技术文件系统是Windows NT家族(如，Windows 2000、Windows XP、Windows Vista、Windows 7和windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统，4096簇环境下)。

NTFS取代了老式的FAT文件系统。

在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。

许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。

访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。

与FAT32文件系统下对文件夹或文件进行访问相比，安全性要高得多。

另外，在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面临的非法访问，通过采取相应的措施，将这种安全隐患减到最低。

Windows系统的系统日志和事件查看方法Windows操作系统是目前全球最流行的操作系统之一，为了能够及时了解系统的运行状况和相关事件，Windows系统提供了系统日志和事件查看功能。

通过系统日志和事件查看，用户可以获取系统的操作日志、错误日志以及重要事件的详细信息。

下面将详细介绍Windows 系统的系统日志和事件查看方法。

一、打开事件查看器要查看系统日志和事件，首先需要打开事件查看器。

有两种方法可以打开事件查看器：通过控制面板和通过运行命令。

方法一：通过控制面板1. 打开“控制面板”。

2. 在控制面板中，找到并点击“管理工具”。

3. 在“管理工具”中，双击打开“事件查看器”。

方法二：通过运行命令1. 按下“Windows + R”组合键打开“运行”窗口。

2. 在“运行”窗口中，输入“eventvwr.msc”并点击“确定”按钮。

无论是通过控制面板还是通过运行命令，都能够打开事件查看器。

二、查看系统日志在事件查看器中，系统日志用于记录与操作系统和硬件相关的事件和错误。

通过查看系统日志，可以了解系统的运行情况和存在的问题。

1. 在事件查看器中，展开左侧面板的“Windows日志”文件夹。

2. 在“Windows日志”文件夹中，选择“系统”日志。

系统日志将显示系统启动、停机、硬件错误等事件及其相关详细信息。

三、查看应用程序日志除了系统日志，应用程序日志用于记录与应用程序相关的事件和错误。

通过查看应用程序日志，可以了解应用程序的运行情况和可能存在的问题。

1. 在事件查看器中，展开左侧面板的“Windows日志”文件夹。

2. 在“Windows日志”文件夹中，选择“应用程序”日志。

应用程序日志将显示与应用程序相关的事件、错误及其详细信息。

四、查看安全日志安全日志用于记录系统的安全事件，如用户登录、访问权限等。

通过查看安全日志，可以了解系统的安全状况和潜在的威胁。

1. 在事件查看器中，展开左侧面板的“Windows日志”文件夹。

事件查看器日志详解●帐号登录事件(事件编号与描述)672 身份验证服务（AS）票证得到成功发行与验证。

673 票证授权服务（TGS）票证得到授权。

TGS是一份由Kerberos 5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。

674 安全主体重建AS票证或TGS票证。

675 预身份验证失败。

这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。

676 身份验证票证请求失败。

这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。

677 TGS票证无法得到授权。

这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。

678 指定帐号成功映射到一个域帐号。

681 登录失败。

域帐号尝试进行登录。

这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。

682 用户重新连接到一个已经断开连接的终端服务器会话上。

683 用户在没有注销的情况下与终端服务器会话断开连接。

●帐号管理事件624 一个用户帐号被创建。

627 一个用户密码被修改。

628 一个用户密码被设置。

630 一个用户密码被删除。

631 一个全局组被创建。

632 一个成员被添加到特定全局组中。

633 一个成员从特定全局组中被删除。

634 一个全局组被删除。

635 一个新的本地组被创建。

636 一个成员被添加到本地组中。

637 一个成员从本地组中被删除。

638 一个本地组被删除。

639 一个本地组帐号被修改。

641 一个全局组帐号被修改。

642 一个用户帐号被修改。

643 一个域策略被修改。

644 一个用户帐号被自动锁定。

645 一个计算机帐号被创建。

646 一个计算机帐号被修改。

647 一个计算机帐号被删除。

648 一个禁用安全特性的本地安全组被创建。

Windows系统专家教你如何设置和管理系统日志在使用Windows操作系统时，系统日志是非常重要的一部分。

它记录了系统的运行状态、错误信息以及其他相关信息，能够帮助用户诊断和解决系统问题。

本文将向大家介绍如何设置和管理Windows系统日志，以帮助您更好地监控和维护您的计算机。

一、什么是系统日志系统日志是Windows操作系统中的一个重要组成部分，用于记录操作系统和应用程序的事件和错误信息。

它包含了以下三个主要日志类型：1. 应用程序日志（Application log）：记录应用程序的事件和错误信息，如软件的安装和卸载、应用程序崩溃等。

2. 安全日志（Security log）：记录安全事件和审计信息，如用户登录和注销、账户访问权限等。

3. 系统日志（System log）：记录与操作系统相关的事件和错误信息，如设备驱动程序错误、系统崩溃等。

二、设置系统日志在Windows系统中，您可以根据实际需求设置系统日志的属性和策略。

下面是设置系统日志的步骤：1. 打开“事件查看器”（Event Viewer）：点击“开始”菜单，然后在搜索栏中输入“事件查看器”，并打开该程序。

2. 选择日志类型：在左侧面板中，展开“Windows日志”文件夹，可以看到应用程序日志、安全日志和系统日志三个选项。

3. 添加或删除日志事件：在选中的日志类型下，右键点击空白区域，选择“属性”或“清除日志”选项来设置日志属性或删除日志事件。

4. 配置事件筛选器：点击相应日志类型下的“事件筛选器”菜单，可以根据关键词、事件ID等条件来过滤和筛选所需的日志事件。

5. 设置日志存档：点击相应日志类型下的“存档日志”菜单，可以设置日志事件的存储位置和保留策略，以便将来查看和分析。

三、管理系统日志除了设置系统日志的属性，管理系统日志也是非常重要的一项任务。

下面是一些管理系统日志的技巧：1. 定期查看日志：定期浏览系统日志，注意查找和分析其中的错误和警告信息，及时采取措施解决相关问题。

1.知识要点1.1.Windwos账号体系分为用户与组，用户的权限通过加入不同的组来授权用户：组：1.2.账号SID安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。

在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。

1.3.账号安全设置通过本地安全策略可设置账号的策略，包括密码复杂度、长度、有效期、锁定策略等：设置方法：“开始”->“运行”输入secpol.msc，立即启用：gpupdate /force1.4.账号数据库SAM文件sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。

可通过工具提取数据，密码是加密存放，可通过工具进行破解。

1.5.文件系统NTFS (New Technology File System)，是WindowsNT 环境的文件系统。

新技术文件系统是Windows NT家族(如，Windows 2000、Windows XP、Windows Vista、Windows 7和windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统，4096簇环境下)。

NTFS取代了老式的FAT文件系统。

在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。

许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。

访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。

与FAT32文件系统下对文件夹或文件进行访问相比，安全性要高得多。

另外，在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面临的非法访问，通过采取相应的措施，将这种安全隐患减到最低。

Windows系统如何设置系统日志记录Windows系统是广泛使用的操作系统之一，通过设置系统日志记录，可以方便地跟踪和监控系统的运行状况以及故障排查。

本文将介绍如何在Windows系统中设置系统日志记录的步骤和方法。

一、打开“事件查看器”在Windows系统中，可以通过“事件查看器”来查看和管理系统的事件日志。

首先，点击“开始”按钮，然后在搜索栏中输入“事件查看器”。

在搜索结果中，点击“事件查看器”以打开该应用程序。

二、查看系统日志在事件查看器的左侧面板中，可以看到各个日志类别，其中包括系统、安全、应用程序等。

点击“系统”即可查看系统日志。

系统日志会记录系统的重要事件和错误信息，对于故障排查和系统性能监测非常有用。

三、设置系统日志记录1. 创建自定义视图可以根据需要创建自定义视图，以便更方便地查看系统日志中的特定类型事件。

在事件查看器窗口中，右键点击“自定义视图”文件夹，然后选择“创建自定义视图”。

根据需要选择过滤条件，并为自定义视图命名，点击“确定”创建自定义视图。

2. 配置事件日志大小和保留策略可以设置事件日志的大小和保留策略，以确保系统日志不会占用过多的磁盘空间。

在事件查看器窗口中，右键点击“系统”或其他日志类别，然后选择“属性”。

在属性对话框中，点击“日志大小”选项卡，可以设置日志的最大大小。

在“日志保留策略”选项卡中，可以设置日志的保留时间。

3. 配置事件订阅可以将系统日志导出到其他计算机或外部存储设备上进行集中管理和分析。

在事件查看器窗口中，右键点击“订阅”。

按照向导的步骤，选择事件日志的来源和目标，并设置订阅的详细信息。

四、启用高级审核策略除了系统日志记录，还可以启用Windows系统的高级审核策略来详细记录系统的安全事件。

通过配置高级审核策略，可以监控用户登录、文件和文件夹访问、特权使用等安全相关的事件。

要启用高级审核策略，可以按照以下步骤操作：1. 打开本地安全策略管理器点击“开始”按钮，然后在搜索栏中输入“本地安全策略”。

windows事件id及解释大全Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”；或者右键我的电脑-管理-系统工具-事件查看器。

在事件查看器中右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入下列事件ID即可。

日志路径：C:\Windows\System32\winevt\Logs查看日志：Security.evtx、System.evtx、Application.evtx常用安全事件ID:系统：1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。

6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。

104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。

安全：4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。

4625，这个事件ID表示登陆失败的用户。

4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。

4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

————————————————EVENT_ID安全事件信息1100-----事件记录服务已关闭1101-----审计事件已被运输中断。

1102-----审核日志已清除1104-----安全日志现已满1105-----事件日志自动备份1108-----事件日志记录服务遇到错误4608-----Windows正在启动4609-----Windows正在关闭4610-----本地安全机构已加载身份验证包4611-----已向本地安全机构注册了受信任的登录进程4612-----为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。

4614-----安全帐户管理器已加载通知包。

Windows事件查看器事件代码详解2000 无效的像素格式。

2001 指定的驱动程序无效。

2002 窗口样式或类别属性对此操作无效。

2003 不支持请求的图元操作。

2004 不支持请求的变换操作。

2005 不支持请求的剪切操作。

2010 指定的颜色管理模块无效。

2011 制定的颜色文件配置无效。

2012 找不到指定的标识。

2013 找不到所需的标识。

2014 指定的标识已经存在。

2015 指定的颜色文件配置与任何设备都不相关。

2016 找不到该指定的颜色文件配置2017 指定的颜色空间无效。

2018 图像颜色管理没有启动。

2019 在删除该颜色传输时有一个错误。

2020 该指定的颜色传输无效。

2021 该指定的变换与位图的颜色空间不匹配。

2022 该指定的命名颜色索引在配置文件中不存在。

2102 没有安装工作站驱动程序。

2103 无法定位服务器。

2104 发生内部错误，网络无法访问共享内存段。

2105 网络资源不足。

2106 工作站不支持该操作。

2107 设备没有连接。

2108 网络连接已成功，但需要提示用户输入一个不同于原始指定的密码。

2109 使用默认凭据成功连接网络。

2114 没有启动服务器服务。

2115 队列空。

2116 设备或目录不存在。

2117 无法在重定向的资源上执行此操作。

2118 名称已经共享。

2119 服务器目前无法提供所需的资源。

2121 额外请求的项目超过允许的上限。

2122 对等服务只支持两个同时操作的用户。

2123 API 返回的缓冲区太小。

2127 远程 API 错误。

2131 打开或读取配置文件时出错。

2136 发生一般网络错误。

2137 工作站服务的状态不一致。

重新启动工作站服务之前，请先重新启动计算机。

2138 工作站服务没有启动。

2139 所需信息不可用。

2140 发生 Windows 2000 内部错误。

2141 服务器没有配置事务处理。

2142 远程服务器不支持请求的 API。