Questions tagged «event-log»

事件日志是Windows系统中的一组日志,Windows系统,系统组件和许多应用程序默认使用这些日志来记录事件。


4
Windows是否记录已运行/调用的程序?
在Windows中,是否有日志记录运行/调用了哪些程序? 在浏览互联网,查看无广告,没有鼠标点击,按键或运行其他插件/附加组件/脚本的静态页面时,我只是看到一个自发的CMD.exe控制台弹出,然后立即关闭,速度足够快,无法在窗口中看到任何东西-我也没有明显的触发。 我想知道是否有某种Windows日志显示了已运行/调用/激活了哪些程序?我想看看此控制台窗口闪烁时幕后发生的事情,并希望确定这不是流氓。 作为参考,我正在运行Windows 7 Ultimate x64。

6
通过检测USB设备的连接来启动计划任务
我知道已经讨论过,由于Win 7中自动运行(或自动播放?)的限制,无法在连接时从USB驱动器启动应用程序,但是可以创建具有事件类型触发器的计划任务。当连接驱动器或其他任何USB设备时,肯定会发生一个事件。 是否有人丝毫不建议我使用哪个事件ID?或者至少是什么类型的事件?在事件查看器中可以在哪里找到事件?

3
使用0x8024200D升级到Windows 10 Pro,版本1511,10586错误
我在论坛上看到过一些有这个问题的人,但似乎没有人有解决方案。Windows说我应该重启,因为我有一个待更新的更新(这是10586)。在重新启动期间,没有任何迹象表明正在安装任何更新或未能安装。一旦我重新登录Windows,我就被告知安装更新时出现问题。 在事件日志中我可以看到: 安装失败:Windows无法安装以下更新,错误为0x8024200D:升级到Windows 10 Pro,版本1511,10586。 有人知道什么是错的或如何解决这个问题?

4
OS X Lion中的详细启动会在哪里生成日志文件?
在以详细模式启动计算机(启动时为cmd + v)后,我想查看生成的日志消息,以调试我收到的错误(error)。该错误仅在启动过程中在机器重启之前短暂地显示在屏幕上。结果,没有时间正确阅读它。 OS X是否为启动消息提供了单独的日志文件,还是将它们埋在kernel.log和system.log文件中?如果它们埋在这些文件中,是否有一种快速的方法可以跳到控制台查看器中的系统引导位置?


4
如何使用事件查看器确认用户过滤的登录时间?
我需要记录我的开始和结束时间。有时我会忘记这样做,并且有一个聪明的主意,那就是检查安全事件日志将使我能够追溯地确定自己的时间。 不幸的是,日志比我想象的要大得多,甚至需要一段时间才能显示在事件查看器中。另外,我尝试按日期和用户ID过滤日志,但到目前为止没有任何结果。 假设我的想法可行,那么任何人都可以逐步完成我需要做的事情以检索所需的信息吗? 更新: 我按照@surfasb的说明进行操作,并指出我只能看到登录名,但是其中一些是系统级(即非人类)登录名。我只想查看我的“实际”登录信息(在工作日只有两次或三个这样的事件),而没有其他所有信息。 我尝试使用domain\username和仅将Windows用户名放在字段中,如下所示,username但这只是过滤掉所有内容。你能帮忙吗?


4
Windows 10 ShellExperienceHost崩溃
我最近将Windows 10分区从HDD克隆到了SSD。 我无法打开“开始”菜单,“通知”或任何使用ShellExperienceHost的东西。右键单击任务栏中的应用程序时,其中包括计算器应用程序,Edge浏览器和Metro样式右键单击菜单之类的东西。 每次尝试打开其中之一时,事件日志中都会出现错误: Faulting application name: ShellExperienceHost.exe, version: 10.0.10240.16515, time stamp: 0x55fa599a Faulting module name: Windows.UI.Xaml.dll, version: 10.0.10240.16548, time stamp: 0x56133a14 Exception code: 0xc0000409 Fault offset: 0x0000000000533ad2 Faulting process id: 0x39ac Faulting application start time: 0x01d18ad380a6bb12 Faulting application path: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Faulting module path: C:\Windows\System32\Windows.UI.Xaml.dll Report Id: 61c0dd6c-b61f-42e5-9130-ecfa1fa87cac Faulting package …


3
为什么我的Windows 10重新启动?
我确实运行了我的夜间计算,当我来到我的计算机时,它重新启动:-(我想找到原因,如果这是由于我的计算过程崩溃或一些系统更新。我试图调查事件日志查看器,Windows日志 - >系统,但我找不到原因: 计算机必须在6:50左右重新启动。之前的最后一条消息是来自WindowsUpdateClient的6:03: “安装成功:Windows成功安装了以下更新:适用于XAML的Microsoft Advertising SDK” 。然后有这些消息(全部在6:51:13): 内核一般: “操作系统在系统时间2016 - 07 - 02T04:51:13.490451600Z开始。” 内核引导: “最后一次关闭的成功状态是错误的。最后一次启动的成功状态是真的。” 内核引导: “引导类型为0x0。” 内核引导: “启动菜单策略为0x1。” 内核引导: “这个系统上有0x1个启动选项。” 内核引导: “bootmgr花了0毫秒等待用户输入。” 我如何找出重启的原因?有可能是因为更新,但更新和重启之间有50分钟的cca。我想确定重启的原因。

1
登录Windows 10后审核失败5061
登录到Windows 10 Build 10547,我很快就看到一个消息框弹出。 登录成功后,没有时间阅读它。 在事件日志中,我看到: Audit failure 5061 with a task category of System Integrity The event directly previous is fetching a key from C:\ProgramData\Microsoft\Crypto\SystemKeys\ 它说密钥类型是用户密钥。 在5061审核失败内,包含以下信息: Cryptographic operation. Subject: Security ID: SYSTEM Account Name: WIN-SOA3U4S9MJA$ Account Domain: WORKGROUP Logon ID: 0x3E7 Cryptographic Parameters: Provider Name: Microsoft Software Key …

2
Windows中的文件审核
我相信除了在“本地安全策略”中启用“文件审核”之外,没有其他方法可以检查已复制或访问文件或文件夹的Windows系统(例如Win 7)。 现在,我已启用策略(“安全性设置”>“审核策略”>“审核对象访问(成功,失败)”;我的问题是现在如何知道是否有人复制/查看/修改了文件/文件夹?

1
我的电脑解锁了吗?
尽管中午记得将其锁定并且此后未使用过,但我还是在中午醒来发现我的计算机已解锁。我检查了安全日志,并从11:16 AM看到了“登录”事件。唯一的事情是,那时我睡着了,没有其他可以访问我的计算机的人知道我的密码。为了安全起见,我正在运行病毒扫描,但是到目前为止,它没有发现任何东西。会发生什么事? 事件日志条目的文本如下。 顺便说一句,我检查有是围绕我想起昨晚锁我的电脑的时候了“注销”事件。 日志条目: Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 1/29/2014 11:16:10 AM Event ID: 4624 Task Category: Logon Level: Information Keywords: Audit Success User: N/A Computer: FLARNDT Description: An account was successfully logged on. Subject: Security ID: SYSTEM Account Name: FLARNDT$ Account Domain: WORKGROUP Logon ID: 0x3E7 Logon …

1
检测Windows域控制器中的用户登录
我正在尝试在Windows DC(Win Server 2012)中检测用户登录事件,但我遇到以下问题: 事件 4624 不太确定,因为它可能会自动生成。例如当 组策略会自动刷新 。 本地计算机可能已缓存用户的凭据,因此DC未检测到用户登录。 我的主要目标是检测用户何时从工作时间以外访问他的计算机,即用户在22点到7点之间有活动。此外,我唯一的数据源是域控制器中生成的.evtx文件。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.