在此电脑上右击,点击管理。 打开事件查看器下拉菜单,再打开Windows日志下拉菜单,点击系统。 点击右边的“筛选当前日志”,事件来源选择eventlog,ID输入以下几种:
1074,查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示日志服务已启动,用来判断正常开机进入系统。
6006,表示日志服务已停止,用来判断系统关机。
6009,表示非正常关机, 按ctrl、alt、delete键关机。
41,表示系统在未先正常关机的情况下重新启动。 当出现意外断电关机、系统崩溃时,出现此事件ID。
4199,当发生TCP/IP地址冲突的时候,出现此事件ID,用来排查用户IP网络的问题。
35,36,37,记录时间客户端状态信息,35表示更改时间源,36表示时间同步失败,37表示时间同步正常
134,当出现时间同步源DNS解析失败时会出现此事件ID。
安全日志事件
4624 成功的账号登录
4625 登录尝试失败
4634 用户注销
4648 使用明显凭证的登录尝试
4672 分配专用权限的用户登录
4720 创建用户帐户
4728 向安全组中添加成员
4732 向本地组中添加成员
4740 用户帐户被锁定
系统日志事件
6005 事件日志服务已启动(开机)
6006 事件日志服务已停止(关机)
6008 不正常关机的日志
7001 服务依赖关系失败,无法启动服务
7009 服务超时(在启动设置的时间内未能启动)
7011 服务响应失败(未在预期时间内响应请求)
应用程序日志事件
1000 应用程序错误(负责记录应用程序崩溃事件)
1001 应用程序挂起(记录程序悬停或响应超时)
1002 应用程序响应停止
DC(域控制器)特定事件:
4741 创建计算机帐户
4767 用户账户解锁
4781 更改帐户名称
