none
有关Windows系统事件查看器的问题 RRS feed

  • 问题

  • 1月22日,服务器日志被清除(Server 2012),请教以下问题:

     1、<用户暂缺>,是什么原因导致的?

    2、<登录ID>  代表什么信息?

    3、被清除的日志能不能找回来?

    日志名称:          Security
    来源:            Microsoft-Windows-Eventlog
    日期:            2018/1/22 18:31:40
    事件 ID:         1102
    任务类别:          日志清除
    级别:            信息
    关键字:           审核成功
    用户:            暂缺
    计算机:           Deppon-760-Data
    描述:
    审核日志已被清除。
    主题:
    安全 ID: S-1-5-21-1621058206-124552292-3167124136-500
    帐户名称: Administrator
    域名: DEPPON-760-DATA
    登录 ID: 0x8e977
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
        <EventID>1102</EventID>
        <Version>0</Version>
        <Level>4</Level>
        <Task>104</Task>
        <Opcode>0</Opcode>
        <Keywords>0x4020000000000000</Keywords>
        <TimeCreated SystemTime="2018-01-22T10:31:40.609129400Z" />
        <EventRecordID>23350</EventRecordID>
        <Correlation />
        <Execution ProcessID="780" ThreadID="4772" />
        <Channel>Security</Channel>
        <Computer>Deppon-760-Data</Computer>
        <Security />
      </System>
      <UserData>
        <LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
          <SubjectUserSid>S-1-5-21-1621058206-124552292-3167124136-500</SubjectUserSid>
          <SubjectUserName>Administrator</SubjectUserName>
          <SubjectDomainName>DEPPON-760-DATA</SubjectDomainName>
          <SubjectLogonId>0x8e977</SubjectLogonId>
        </LogFileCleared>
      </UserData>
    </Event>

    2018年1月24日 7:57

全部回复

  • 你好,

    事件描述是“审核日志被清除”,还提供了触发该事件的用户信息,包括用户的SID、登录ID。你可以在安全日志中用登录ID找出他的登录事件。登录事件的事件id是4624,找出登录事件里包含相同登录id的登录事件。

    请查看以下路径的日志,包含你旧的日志。

    C:\Windows\System32\winevt\Logs system.evtx security.evtx

    更多关于Event 1102的信息,你可以参考下面的链接:

    https://docs.microsoft.com/zh-cn/windows/device-security/auditing/event-1102

    请注意你的上传的事件日志里包含的隐私信息

    Best Regards,
    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com




    2018年1月25日 9:18
    版主
  • 你好,

    请问回复的信息对你是否有用。如果你需要进一步的帮助,请告诉我们。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月26日 9:33
    版主
  • 你好,

    请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月29日 6:26
    版主