มีรายการครบถ้วนสมบูรณ์ของสิ่งที่ Windows บันทึกหรือสามารถเข้าสู่ระบบ?

ฉันรู้ว่ามีบันทึกเหตุการณ์ แต่นั่นไม่ใช่ที่จะหยุด มีบันทึกสำหรับไฟล์เรียกทำงาน MSI, บันทึกอุปกรณ์, การตั้งค่าและการติดตั้ง, บันทึกประสิทธิภาพและอื่น ๆ อาจเป็นรายการที่ค่อนข้างยาว อย่างไรก็ตามฉันจะหารายการบันทึก Windows แบบใดได้บ้าง

โดยการตั้งค่ามันจะมีประโยชน์ที่จะมีรายการที่ไปไกลกว่าเพียงแค่สิ่งที่อยู่ในค่าเริ่มต้น; เพื่อทราบว่าตัวบันทึกแต่ละตัวทำอะไรซึ่งคนที่ไม่ได้อยู่ตามค่าเริ่มต้นคนที่สามารถ ('t) ถูกเปิดใช้ ...

คุณรู้จักรายการดังกล่าวบ้างไหม? ใครที่สร้างรายการแบบนี้?

ตำแหน่งบันทึกส่วนกลาง

• %WINDIR%\System32\configหรือ%WINDIR%\System32\winevt\Logs
  มีบันทึกเหตุการณ์ส่วนใหญ่ที่สามารถเข้าถึงได้จากตัวแสดงเหตุการณ์

• %WINDIR%\Logs
  มีไฟล์บันทึกที่เป็นข้อความจำนวนมาก

Microsoft Security Essentials

• %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
  บันทึกการใช้งานจริง

• %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
  บันทึกการติดตั้ง

การติดตั้งชั่วคราวและบันทึกของ Windows Defender

• %WINDIR\Temp\*.log
  มีข้อมูลเกี่ยวกับการติดตั้ง MSI รวมถึงการเริ่ม / สแกน Windows Defender

• %AppData%\Local\Temp\*.log
  มีข้อมูลเกี่ยวกับการติดตั้ง MSI ในบริบทของผู้ใช้ปัจจุบัน

บันทึกการติดตั้ง Windows

• %AppData%\Local\Microsoft\Websetup(Windows 8) มี
  รายละเอียดเกี่ยวกับขั้นตอนการตั้งค่าเว็บของ Windows 8

• %AppData%\setupapi.log(Windows XP และรุ่นก่อนหน้า) มี
  ข้อมูลเกี่ยวกับการเปลี่ยนแปลงอุปกรณ์และไดรเวอร์และการเปลี่ยนแปลงระบบที่สำคัญเช่นการติดตั้ง Service Pack และโปรแกรมแก้ไขด่วน

• %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
  มีข้อมูลเกี่ยวกับการดำเนินการตั้งค่าข้อผิดพลาดโครงสร้าง SID และอุปกรณ์ตั้งค่าก่อนหน้า เมื่อการติดตั้งย้อนกลับไฟล์เหล่านี้จะมีข้อมูลย้อนกลับ

• %WINDIR%\PANTHER\*.log,xml
  มีข้อมูลเกี่ยวกับการดำเนินการตั้งค่าข้อผิดพลาดโครงสร้าง SID และอุปกรณ์ติดตั้งในภายหลัง

• %WINDIR%\INF\setupapi.dev.log
  มีข้อมูลเกี่ยวกับอุปกรณ์ Plug and Play และการติดตั้งไดรเวอร์

• %WINDIR%\INF\setupapi.app.log
  มีข้อมูลเกี่ยวกับการติดตั้งแอพพลิเคชั่น

• %WINDIR%\Performance\Winsat\winsat.log
  มีผลการทดสอบประสิทธิภาพ

บริการ Windows Time

• วิธีเปิดใช้งานการบันทึกบริการ Windows Time:

  w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
  

• หากต้องการปิดใช้งานการบันทึกการทำงานของบริการ Windows Time:

  w32tm /debug /disable
  

Windows Update

• %WINDIR%\WindowsUpdate.log
  มีกิจกรรมทั้งหมดที่เกี่ยวข้องกับ Windows Update

• %WINDIR%\SoftwareDistribution\ReportingEvents.log
  มีเหตุการณ์ที่เกี่ยวข้องกับรายงานสถานะการอัพเดตซอฟต์แวร์

เครื่องมือการบริการและการจัดการการปรับใช้อิมเมจ (DISM)

• %WINDIR%\Logs\DISM\dism.log
  มีข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นเมื่อโต้ตอบกับอิมเมจ Windows

การบริการตามส่วนประกอบ (CBS)

• %WINDIR%\Logs\CBS\CBS.log
  มีข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นเมื่อโต้ตอบกับส่วนประกอบและคุณสมบัติของ Windows

ฉันคิดว่าคุณกำลังขอสิ่งที่เป็นไปไม่ได้ มีส่วนบันทึกจำนวนมากภายในบันทึกเหตุการณ์ Windows ซึ่งเข้าถึงได้โดย Windows และแอปพลิเคชันและบริการที่ไม่ใช่ของ Windows และมีความแตกต่างจากรุ่น Windows รุ่นหนึ่งไปยังรุ่นถัดไป ด้านบนของที่มีหลายตัวเลือกการบันทึกอื่น ๆ รวมทั้งข้อความ (เช่น .log) ไฟล์และในฐานข้อมูลภายในของ Windows

รายการจะมีมากมายและหลากหลายและขึ้นอยู่กับระบบปฏิบัติการเฉพาะที่คุณมีและวิธีการกำหนดค่า

วิ่ง

wevtutil el

ที่พรอมต์คำสั่ง

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>