Windows應急日誌經常使用的幾個事件ID

Windows應急日誌經常使用的幾個事件ID點擊站內沒有搜索到，可能搜索姿式不對，發一下吧，應急時可能會用到，根據日誌時間點判斷入侵日誌路徑：C:\Windows\System32\winevt\Logs查看日誌：Security.evtx、System.evtx、Application.evtx如何查看：右鍵個人電腦-管理-系統工具-事件查看器，或者eventvwr查看事件查看器打開Windows系統的事件查看器，右鍵單擊系統或安全日誌，選擇篩選當前日誌，在篩選器中輸入下列事件ID便可。系統：1074，經過這個事件ID查看計算機的開機、關機、重啓的時間以及緣由和註釋。6005，表示計算機日誌服務已啓動，若是出現了事件ID爲6005，則表示這天正常啓動了系統。104，這個時間ID記錄全部審計日誌清除事件，當有日誌被清除時，出現此事件ID。安全：4624，這個事件ID表示成功登錄的用戶，用來篩選該系統的用戶登錄成功狀況。4625，這個事件ID表示登錄失敗的用戶。4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示當用戶賬號發生建立，刪除，改變密碼時的事件記錄。4727,4737,4739,4762,事件ID表示當用戶組發生添加、刪除時或組內添加成員時生成該事件。