Windows事件查看器与日志ID筛选技巧
在Windows系统中,我们可以通过事件查看器来查看相关的日志信息。例如,当我们想要了解远程连接的日志时,可以按照以下步骤操作:
-
在搜索框中搜索“事件查看器”,双击打开。(事件查看器的位置在C:\WINDOWS\system32,名字为eventvwr.msc)
-
点击最右边”操作”栏中的“删选当前日志…”
-
在弹出的窗口中选择记录时间(Logged),并输入事件ID:4648,这样我们就可以查看过去七天内的远程到本机的记录。
Windows事件查看器与日志ID筛选技巧
-
选中一条过滤出来的记录,然后点击下方的“详情”,其中“EventData”下的“IpAddress”即为远程过来的IP地址,127.0.0.1表示是本地登陆,‘TargetUserName’是本电脑的名字。
此外,我们还可以利用其他常见的事件ID来审计目录服务访问、登录事件、对象访问和政策变化等情况。这些日志ID可以帮助我们更好地理解和分析系统活动,从而确保系统的安全和稳定。
本文主题词:windows事件查看器日志怎么看,windows事件查看器事件id,win10事件查看器事件id,windows事件查看器,事件查看器日志可以保存多久,win10事件查看器事件id107,windows事件查看器怎么看,windows2003事件查看器,事件查看器日志大小怎么设置,windows事件查看器有什么用
