事件查看器

ID 类型 来 源 代 表 的 意 义 举 例 解 释 2 信息 Serial 在验证 \Device\Serial1 是否确实是串行口时，系统检测到先进先出方式(fifo)。将使用该方式。 17 错误 W32Time 时间提供程序 NtpClient: 在 DNS 查询手动配置的对等机器 'time.windows.com,0x1' 时发生一个错误。 NtpClient 将在 15 分钟内重试 NDS 查询。 错误为: 套接字操作尝试一个无法连接的主机。 (0x80072751) 20 警告 Print 已经添加或更新 Windows NT x86 Version-3 的打印机驱动程序 Canon PIXMA iP1000。文件:- CNMDR6e.DLL, CNMUI6e.DLL, CNMCP6e.DLL, CNMMH6e.HLP, CNMD56e.DLL, CNMUR6e.DLL, CNMSR6e.DLL, CNMIN6e.INI, CNMPI6e.DLL, CNMSM6e.EXE, CNMSS6e.SMR, CNMSD6e.EXE, CNMSQ6e.EXE, CNMSH6e.HLP, CNMSH6e 26 信息 Application Popup 弹出应用程序: Rsaupd.exe - 无法找到组件: 没有找到 MFC71.DLL，因此这个应用程序未能启动

一、Windows事件日志简介 Windows系统日志是记录系统中 硬件 、 软件 和 系统问题 的信息，同时还可以 监视系统 中发生的事件。用户可以通过它来 检查错误发生的原因 ，或者寻找受到攻击时 攻击者留下的痕迹 。 Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件，主要包括 驱动程序 、 系统组件 和 应用软件的崩溃 以及 数据丢失错误 等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 默认位置：%SystemRoot%\System32\Winevt\Logs\System.evtx 应用程序日志 包含由 应用程序或系统程序记录的事件 ，主要记录 程序运行方面 的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。 默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx 安全日志 记录系统的 安全审计事件 ，包含各种类型的 登录日志 、 对象访问日志 、 进程追踪日志 、 特权使用 、 帐号管理 、 策略变更 、 系统事件 。安全日志也是调查取证中最常用到的日志。默认设置下