มีรายการครบถ้วนสมบูรณ์ของสิ่งที่ Windows บันทึกหรือสามารถเข้าสู่ระบบ?


21

ฉันรู้ว่ามีบันทึกเหตุการณ์ แต่นั่นไม่ใช่ที่จะหยุด มีบันทึกสำหรับไฟล์เรียกทำงาน MSI, บันทึกอุปกรณ์, การตั้งค่าและการติดตั้ง, บันทึกประสิทธิภาพและอื่น ๆ อาจเป็นรายการที่ค่อนข้างยาว อย่างไรก็ตามฉันจะหารายการบันทึก Windows แบบใดได้บ้าง

โดยการตั้งค่ามันจะมีประโยชน์ที่จะมีรายการที่ไปไกลกว่าเพียงแค่สิ่งที่อยู่ในค่าเริ่มต้น; เพื่อทราบว่าตัวบันทึกแต่ละตัวทำอะไรซึ่งคนที่ไม่ได้อยู่ตามค่าเริ่มต้นคนที่สามารถ ('t) ถูกเปิดใช้ ...

คุณรู้จักรายการดังกล่าวบ้างไหม? ใครที่สร้างรายการแบบนี้?


1
นอกจากคำตอบใด ๆ ผู้ใช้สามารถใช้ PowerShell เพื่อเขียนกิจกรรมของตนเองลงในบันทึกเหตุการณ์ดังนั้นสคริปต์ที่สร้างขึ้นหรือแอปพลิเคชัน Windows ในบ้านสามารถเขียนลงในบันทึกเหตุการณ์ได้ สิ่งสำคัญคือต้องจำไว้ว่า ' Windows ' ไม่ได้ทำการบันทึกในกรณีส่วนใหญ่ แต่ขึ้นอยู่กับแต่ละแอปพลิเคชันเพื่อบันทึกกิจกรรมของตนเอง
MDMoore313

คำตอบ:


19

ตำแหน่งบันทึกส่วนกลาง

  • %WINDIR%\System32\configหรือ%WINDIR%\System32\winevt\Logs
    มีบันทึกเหตุการณ์ส่วนใหญ่ที่สามารถเข้าถึงได้จากตัวแสดงเหตุการณ์

  • %WINDIR%\Logs
    มีไฟล์บันทึกที่เป็นข้อความจำนวนมาก

Microsoft Security Essentials

  • %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
    บันทึกการใช้งานจริง

  • %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
    บันทึกการติดตั้ง

การติดตั้งชั่วคราวและบันทึกของ Windows Defender

  • %WINDIR\Temp\*.log
    มีข้อมูลเกี่ยวกับการติดตั้ง MSI รวมถึงการเริ่ม / สแกน Windows Defender

  • %AppData%\Local\Temp\*.log
    มีข้อมูลเกี่ยวกับการติดตั้ง MSI ในบริบทของผู้ใช้ปัจจุบัน

บันทึกการติดตั้ง Windows

  • %AppData%\Local\Microsoft\Websetup(Windows 8) มี
    รายละเอียดเกี่ยวกับขั้นตอนการตั้งค่าเว็บของ Windows 8

  • %AppData%\setupapi.log(Windows XP และรุ่นก่อนหน้า) มี
    ข้อมูลเกี่ยวกับการเปลี่ยนแปลงอุปกรณ์และไดรเวอร์และการเปลี่ยนแปลงระบบที่สำคัญเช่นการติดตั้ง Service Pack และโปรแกรมแก้ไขด่วน

  • %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
    มีข้อมูลเกี่ยวกับการดำเนินการตั้งค่าข้อผิดพลาดโครงสร้าง SID และอุปกรณ์ตั้งค่าก่อนหน้า เมื่อการติดตั้งย้อนกลับไฟล์เหล่านี้จะมีข้อมูลย้อนกลับ

  • %WINDIR%\PANTHER\*.log,xml
    มีข้อมูลเกี่ยวกับการดำเนินการตั้งค่าข้อผิดพลาดโครงสร้าง SID และอุปกรณ์ติดตั้งในภายหลัง

  • %WINDIR%\INF\setupapi.dev.log
    มีข้อมูลเกี่ยวกับอุปกรณ์ Plug and Play และการติดตั้งไดรเวอร์

  • %WINDIR%\INF\setupapi.app.log
    มีข้อมูลเกี่ยวกับการติดตั้งแอพพลิเคชั่น

  • %WINDIR%\Performance\Winsat\winsat.log
    มีผลการทดสอบประสิทธิภาพ

บริการ Windows Time

  • วิธีเปิดใช้งานการบันทึกบริการ Windows Time:

    w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
    
  • หากต้องการปิดใช้งานการบันทึกการทำงานของบริการ Windows Time:

    w32tm /debug /disable
    

Windows Update

  • %WINDIR%\WindowsUpdate.log
    มีกิจกรรมทั้งหมดที่เกี่ยวข้องกับ Windows Update

  • %WINDIR%\SoftwareDistribution\ReportingEvents.log
    มีเหตุการณ์ที่เกี่ยวข้องกับรายงานสถานะการอัพเดตซอฟต์แวร์

เครื่องมือการบริการและการจัดการการปรับใช้อิมเมจ (DISM)

  • %WINDIR%\Logs\DISM\dism.log
    มีข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นเมื่อโต้ตอบกับอิมเมจ Windows

การบริการตามส่วนประกอบ (CBS)

  • %WINDIR%\Logs\CBS\CBS.log
    มีข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นเมื่อโต้ตอบกับส่วนประกอบและคุณสมบัติของ Windows

1
+1 เราสามารถสร้างรายการดังกล่าวเพราะฉันสงสัยว่ามี
Tamara Wijsman

-1

ฉันคิดว่าคุณกำลังขอสิ่งที่เป็นไปไม่ได้ มีส่วนบันทึกจำนวนมากภายในบันทึกเหตุการณ์ Windows ซึ่งเข้าถึงได้โดย Windows และแอปพลิเคชันและบริการที่ไม่ใช่ของ Windows และมีความแตกต่างจากรุ่น Windows รุ่นหนึ่งไปยังรุ่นถัดไป ด้านบนของที่มีหลายตัวเลือกการบันทึกอื่น ๆ รวมทั้งข้อความ (เช่น .log) ไฟล์และในฐานข้อมูลภายในของ Windows

รายการจะมีมากมายและหลากหลายและขึ้นอยู่กับระบบปฏิบัติการเฉพาะที่คุณมีและวิธีการกำหนดค่า


1
@TomWijsman - แทนที่ 'เป็นไปไม่ได้' สำหรับ 'ไม่น่าจะยากที่จะเข้าใจ' และ Windows Server เป็นส่วนหนึ่งของตระกูล Windows ที่คุณรวมไว้ในแท็กของคุณ
CJM

เห็นด้วยแม้ว่าการรวมรายการพื้นฐานควรเป็นการเริ่มต้นที่ดีที่จะมีบันทึกที่ดูน่าสนใจมากที่สุดอยู่แล้ว เป็นไปได้มากที่สุดเมื่อคุณใช้บางอย่างที่เฉพาะเจาะจงเช่นบน Windows Server คุณจะมีบันทึกเหตุการณ์หรือบันทึกที่เฉพาะเจาะจงมากขึ้นเพื่อดู; ซึ่งมีการกล่าวถึงมากที่สุดในเอกสารประกอบ
Tamara Wijsman

-2

วิ่ง

wevtutil el

ที่พรอมต์คำสั่ง

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>

2
ยินดีต้อนรับ! วิธีการเกี่ยวกับการขยายตัวในคำตอบของคุณ? สิ่งนี้ช่วยตอบคำถามได้อย่างไร ทำไมบางคนถึงเรียกใช้ สิ่งนี้ไม่ได้เป็นเพียงสิ่งที่บันทึกเหตุการณ์มาตรฐานเท่านั้น?
Ƭᴇcʜιᴇ007
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.