windows安全事件查看及安全事件id汇总

Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”；或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入下列事件ID即可。 日志路径：C:WindowsSystem32winevtLogs 查看日志：Security.evtx、System.evtx、Application.evtx

常用安全事件ID: 系统： 1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。 6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。 104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。 安全： 4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。 4625，这个事件ID表示登陆失败的用户。 4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。 4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

安全事件ID汇总备查：

EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 ----- 事件日志记录服务遇到错误 4608 ----- Windows正在启动 4609 ----- Windows正在关闭 4610 ----- 本地安全机构已加载身份验证包 4611 ----- 已向本地安全机构注册了受信任的登录进程 4612 ----- 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。 4614 ----- 安全帐户管理器已加载通知包。 4615 ----- LPC端口使用无效 4616 ----- 系统时间已更改。 4618 ----- 已发生受监视的安全事件模式 4621 ----- 管理员从CrashOnAuditFail恢复了系统 4622 ----- 本地安全机构已加载安全包。 4624 ----- 帐户已成功登录 4625 ----- 帐户无法登录 4626 ----- 用户/设备