Windows系统日志查看管理

作者 : 开心源码 本文共680个字,预计阅读时间需要2分钟 发布时间: 2022-05-12 共173人阅读

Windows系统日志简介

Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。解决应急事件时,用户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。

Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应使用程序的记录。每个记录事件的数据结构中包含了9个元素(可以了解成数据库中的字段):日期/时间、事件类型、使用户、计算机、事件ID、来源、类别、形容、数据等信息。应急响应工程师可以根据日志取证,理解计算机上上发生的具体行为。

查看系统日志方法,Windows系统中自带了一个叫做事件查看器的工具,它可以使用来查看分析所有的Windows系统日志。打开事件查看器方法:开始->运行->输入eventvwr->回车的方式快速打开该工具。用该工具可以看到系统日志被分为了两大类:Windows日志和应使用程序和服务日志。早期版本中Windows日志只有,应使用程序,安全,系统和Setup,新的版本中添加了设置及转发事件日志(默认禁使用)。

系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应使用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

Windows系统日志查看管理

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » Windows系统日志查看管理

发表回复