1、Window事件日志简介

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。

系统日志

记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows操作系统预先定义。

默认位置：

%SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

系统和应用程序日志存储着故障排除信息，对于系统管理员更为有用。安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么，对于调查人员而言，更有帮助。

2、审核策略与事件查看器

WindowsServer系统的审核功能在默认状态下并没有启用，建议开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。

设置：开始→管理工具→本地安全策略→本地策略→审核策略，参考配置操作

查看系统日志方法：

在“开始”菜单上，依次指向“所有程序”、“管理工具”，然后单击“事件查看器或”按"Window+R"，输入”eventvwr.msc“也可以直接进入“事件查看器”

3、事件日志分析

Windows事件日志文件本质上是数据库，其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。

信息：信息事件指应用程序、驱动程序或服务的成功操作的事件。

错误：错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。

警告：警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。

失败审核：失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。

对于Windows事件日志分析，不同的EVENTID代表了不同的意义，摘录一些常见的安全事件的说明：

每个成功登录的事件都会标记一个登录类型，不同登录类型代表不同的方式

4、日志分析工具

4.1、LogParser

LogParser（是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、ActiveDirectory。它可以像使用SQL语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。

4.2、EventLogExplorer

EventLogExplorer是一款非常好用的Windows日志分析工具。可用于查看，监视和分析跟事件记录，包括安全，系统，应用程序和其他微软Windows的记录被记载的事件，其强大的过滤功能可以快速的过滤出有价值的信息。