none
windows 日志查看器怎么看 RRS feed

  • 问题

  • 问下windows的操作日志怎么看(比如谁什么时候操作了什么文件,操作了什么),里面的事件ID怎么看,有没有详细事件ID所对应动作比如 删除文件ID是xxx,创建文件ID是XXX
    2020年10月12日 3:26

答案

  • 如果您需要在文件服务器上追踪文件的删除和创建,您需要做一些设置。

    1. 首先需要启用审核对象访问策略。

    打开“本地安全策略”> 展开“本地策略”>选择“审核策略”>双击“审核对象访问”>勾选“成功”和“失败”>点击“应用”并确定

    2. 在相应的文件/文件夹上编辑审核条目

    找到要在其中追踪文件/子文件夹的创建和删除的文件夹,右键单击它 >“属性”>转到“安全”>单击“高级”>单击“审核”> 选择“添加”>单击“选择主体”>在对象名称中输入“Everyone”,点击“检查名称”>点击“确定”>勾选“创建文件/写入数据”、“创建文件夹/附加数据”、“删除子文件夹和文件”>点击“确定”(如果看不到这些选项,可以点击“显示高级权限”)

    3. 在事件查看器中查看“审核日志”

    打开事件查看器 > 展开“Windows日志”>选择“安全”日志 >筛选ID465646604663

    Thanks,
    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 dision99 2020年10月14日 6:28
    2020年10月13日 5:03

全部回复

  • 您好,

    日志查看器中的日志主要包含两大类,一类是Windows日志,还有一类是应用与服务日志。

    Windows日志中主要有应用,安全和系统日志。应用与服务日志中有针对具体某一项服务或是应用相关的日志。

    日志有五种事件类型:错误(error)、警告(warning)、信息(information)、成功审核(Success Audit)、失败审核(Failure Audit)。

    错误 - 指示严重问题(如数据丢失或功能丢失)的事件。例如,如果服务在启动期间无法加载,则会记录一个Error事件。

    警告 - 指示潜在风险,表示将来可能发生问题。例如,当磁盘空间不足时,将记录警告事件。如果应用程序可以从事件中恢复而不会丢失功能或数据,则通常可以将事件分类为警告事件。

    信息 - 描述应用程序,驱动程序或服务成功运行的事件。例如,当网络驱动程序成功加载时,就记录一个信息事件。

    成功审核 - 记录已成功审核的安全访问尝试的事件。例如,用户成功登录系统的尝试被记录为成功审核事件。

    失败审核 - 记录失败的经过审核的安全访问尝试的事件。例如,如果用户尝试访问网络驱动器而失败,则该尝试将记录为失败审核事件。

    如果您在Windows系统中遇到了一些问题,则您可以通过在日志查看器中查看error或者warning事件。

    您可以选中一条日志,日志记录的信息会显示在下方。什么时间谁有什么操作。

    Windows中有很多事件ID。不可能全部列出。但是您可以参考以下帖子中的几个链接,列举了一些事件ID.

    https://answers.microsoft.com/en-us/windows/forum/windows8_1-desktop/is-there-a-list-of-windows-events-with-their-event/ac8236f3-0741-4f50-91a4-d65be7a7169d

    如果您想了解某个确切的事件ID及其描述,请访问下面的网站。

    http://eventid.net/

    希望以上信息对您有所帮助。

    Thanks,
    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月12日 7:49
  • 主要就是想知道删除文件,创建文件的事件ID 
    2020年10月13日 2:05
  • 如果您需要在文件服务器上追踪文件的删除和创建,您需要做一些设置。

    1. 首先需要启用审核对象访问策略。

    打开“本地安全策略”> 展开“本地策略”>选择“审核策略”>双击“审核对象访问”>勾选“成功”和“失败”>点击“应用”并确定

    2. 在相应的文件/文件夹上编辑审核条目

    找到要在其中追踪文件/子文件夹的创建和删除的文件夹,右键单击它 >“属性”>转到“安全”>单击“高级”>单击“审核”> 选择“添加”>单击“选择主体”>在对象名称中输入“Everyone”,点击“检查名称”>点击“确定”>勾选“创建文件/写入数据”、“创建文件夹/附加数据”、“删除子文件夹和文件”>点击“确定”(如果看不到这些选项,可以点击“显示高级权限”)

    3. 在事件查看器中查看“审核日志”

    打开事件查看器 > 展开“Windows日志”>选择“安全”日志 >筛选ID465646604663

    Thanks,
    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 dision99 2020年10月14日 6:28
    2020年10月13日 5:03
  • 好的明白了,谢谢,还有个问题就是关于日志文件的存档设置,其中有个选项时启用日志记录>日志大小20M>日志满时将其存档,不覆盖事件,选了这个的话是不是日志文件大于20M后就存档然后再生成一个新的日志文件?那存档的日志文件的文件名和路径是在什么位置?

    2020年10月14日 1:51
  • 您好,

    选了这项的话,当日志文件大于20M后,旧的日志文件会被存档,以“Archive + <Event log name> + <Date> + <Time>.evtx”的格式保存在C:\Windows\System32\winevt\Logs文件夹下,新日志也是在这个路径下,但是文件名称是系统默认的。

    如果回复对您有帮助,请您将有用回复标记为答案,谢谢。

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月14日 3:08
  • 了解了谢谢
    2020年10月14日 6:29