在运行中输入:eventvwr.msc,即可打开事件日志。
| 登录类型 |
描述 |
| 2 |
互动(键盘和屏幕的登录系统) |
| 3 |
网络(即连接到共享文件夹从其他地方在这台电脑上网络) |
| 4 |
批处理(即计划任务) |
| 5 |
服务(服务启动 ) |
| 7 |
解锁密码保护屏幕保护程序(即unnattended工作站) |
| 8 |
NetworkCleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到IIS) |
| 9 |
NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件 |
| 10 |
终端服务,远程桌面或远程协助 |
| 11 |
Cachedinteractive(与缓存域登录凭证时登录一台笔记本电脑等远程网络 |
常见的Windows事件ID说明
Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下举出的事件ID的操纵系统为Vista/win7/win8/win10/server2008/server2012之后的版本
| 事件ID |
说明 |
| 1102 |
清理审计日志 |
| 4624 |
账号成功登陆 |
| 4625 |
账号登录失败 |
| 4768 |
kerberos身份验证(TGT请求) |
| 4769 |
kerberos服务票证请求 |
| 4776 |
NTLM身份验证 |
| 4720 |
创建用户 |
| 4726 |
删除用户 |
| 4728 |
将成员添加到启用安全的全局组中 |
| 4729 |
将成员从安全的全剧组中移除 |
| 4732 |
将成员添加到启用安全的本地组中 |
| 4733 |
将成员从启用安全的本地组中移除 |
| 4756 |
将成员添加到启用安全的通用组中 |
| 4757 |
将成员从启用安全的通用组中移除 |
| 4719 |
系统审计策略修改 |
经验首页