在windows系統(tǒng)中，我們經(jīng)常會用事件查看器來查看和管理應(yīng)用程序、安全、系統(tǒng)的日志。但服務(wù)器運(yùn)行過程中會產(chǎn)生大量的日志，如何在這么多的日志文件中篩選到與我們遇到的問題相關(guān)的日志信息呢？方法之一是通過事件ID來查找，以下是篩選方法和常見的安全事件和系統(tǒng)日志的ID及含義。

如何篩選？

以下是Windows事件查看器中常見的安全事件ID：

4624 - 成功登錄事件，表示用戶成功登錄系統(tǒng)。

4625 - 登錄失敗事件，表示用戶嘗試但未能成功登錄系統(tǒng)。

4634 - 注銷事件，表示用戶注銷系統(tǒng)。

4647 - 用戶注銷事件，表示用戶通過重新啟動或關(guān)閉計(jì)算機(jī)來注銷系統(tǒng)。

4720 - 創(chuàng)建用戶事件，表示新用戶帳戶已創(chuàng)建。

4722 - 啟用用戶帳戶事件，表示禁用的用戶帳戶已被啟用。

4723 - 更改用戶密碼事件，表示用戶密碼已更改。

4724 - 創(chuàng)建安全組事件，表示新安全組已創(chuàng)建。

4728 - 成功授權(quán)事件，表示用戶獲得了指定對象的權(quán)限。

4738 - 設(shè)置用戶密碼事件，表示用戶密碼已更改或重置。

以下是Windows事件查看器中常見的系統(tǒng)事件ID：

1074 - 通過這個(gè)事件ID查看計(jì)算機(jī)的開機(jī)、關(guān)機(jī)、重啟的時(shí)間以及原因和注釋。

6005 - 表示計(jì)算機(jī)日志服務(wù)已啟動，如果出現(xiàn)了事件ID為6005，則表示這天正常啟動了系統(tǒng)。

6006 - 系統(tǒng)關(guān)閉

6008 - 非正常關(guān)機(jī)

6009 - 系統(tǒng)已經(jīng)重新啟動

6013 - 系統(tǒng)已經(jīng)重新啟動，原因是操作系統(tǒng)版本升級

7036 - 服務(wù)狀態(tài)更改

7040 - 啟動或停止監(jiān)視者通知

7045 - 安裝服務(wù)

104 - 這個(gè)時(shí)間ID記錄所有審計(jì)日志清除事件，當(dāng)有日志被清除時(shí)，出現(xiàn)此事件ID。