| Windows操作系统 | 您所在的位置:网站首页 › hmc 命令行查看服务事件 › Windows操作系统 |
|
基础知识
打开方式:eventview或命令行工具wevtutil 事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。 使用事件查看器可以执行以下任务: 查看来自多个事件日志的事件 将有用的事件筛选器另存为可以重新使用的自定义视图 计划要运行以响应事件的任务 创建和管理事件订阅,通过指定事件订阅,可以从远程计算机收集事件并将其保存在本地。 事件日志事件日志分两个类型:windows日志、应用程序和服务日志。 Windows日志存储来自旧版本应用程序的事件以及适用于整个系统的事件。分五类: 应用程序日志 包含程序记录的事件,程序开发人员决定记录哪些事件。例如:数据库程序记录文件错误。安全日志 包含如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开、删除对象。可以知道在安全日志中记录什么事件。如,启用登录审核,则会将对系统的登录尝试记录在安全日志中。安装程序日志 保护与应用程序安装有关的事件。系统日志 包含windows系统组件记录的事件。如,启动过程中加载驱动程序、其它系统组件失败。系统组件记录的事件类型由windows预先确定。转发事件日志 存储从远程计算机收集的事件。要从远程计算机收集事件,必须创建事件订阅。 应用程序和服务日志存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。 应用程序日志分四类:管理日志、操作日志、分析日志、调试日志。 分析日志和调试日志默认处于隐藏和禁用状态,需要显示和启用。 管理事件 为用户、技术人员使用,指示发生的问题及技术人员可以采取的解决方案。操作事件 为专业人士使用,用于分析和诊断发生的问题或事件,不那么友好,需要更多解释。分析事件 大量发生,描述程序的操作并指示用户需要干预的无法处理的问题。调试事件 开发人员在调试时使用。 事件属性完整属性参阅Windows事件日志软件开发工具包(SDK)中的事件使用者的事实表示主题,部分基本属性: 源 记录该条事件的软件,可以是程序名(SQL Server),也可以是系统或程序的组件名(Elnkii表示EtherLink2)。事件ID 事件类型的编号。级别 事件严重等级:信息、警告、错误、严重,在安全日志中还可能出现:审核成功、审核失败。用户 导致事件的行为来源的用户。如果是服务器进程,则此位置为客户ID。操作代码 事件发生时,表示应用程序正在执行的活动或代码位置的数字。日志 已记录事件的日志名称任务类别 表示事件发生者的子组件或活动关键字 用于筛选或搜索的标记。计算机 发生事件的计算机名称。日期和事件 记录时的日期和时间还可以增加事件查看器显示的属性,可以增加的有: 进程ID线程ID处理器ID会话ID内核时间用户时间:CPU时间单位形式处理器时间:用户模式指令已执行时间,CPU ticks形式。相关性ID:在进程中与事件有关的一个标识,用于指定事件间关系相对相关性ID:进程中涉及事件的相关活动。 自定义视图筛选显示的事件,创建筛选器。 Create and Manage Custom Views | Microsoft Docs 事件订阅用于收集多台远程计算机的事件并将副本存储在本地。 事件信息每条事件记录都包含一个URL,可以查看事件的联机帮助信息。 这个RUL可以自定义。 单机“事件日志联机帮助”时,会发送:产品名称、产品版本、事件ID、事件源、区域设置ID(计算机区域设置的标识号)。 欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |