windows之家1.Win10系统日志怎么查看
工具:
win10
方法如下:
1、在Win10系统里右键开始菜单,选择事件查看器,如下图所示。
2、在事件查看器里点击Windows日志,如下图所示。
3、在这里可以按分类点击查看日志,在日志查看器的左边有应用程序日志,安全日志,设置日志,系统日志等等,系统错误一般都在系统选项里,应用程序错误在应用程序选项里,如下图所示。
4、可以选择某一条系统日志点击右键,选择事件熟悉查看更详细的内容,如下图所示。
5、在打开的事件属性里,可以查看到详细的信息,点击复制可以把系统日志拷贝出去,如下图所示。
6、在事件查看器的右边栏可以对日志进行快捷键操作,如下图所示。
2.追踪Windows系统登录时间的三种方法是什?追踪Windows
1、巧用策略,记录上次登录时间 在多人共同使用同一台计算机的情况下,我们经常会碰到这样一种现象,那就是当自己临时离开计算机的这段时间内,有其他用户偷偷利用自己的账号登录系统,查看自己的操作记录以及其他访问痕迹。
为了弄清楚究竟是谁在偷偷关注自己的操作隐私,我们可以利用Windows Vista系统的组策略设置功能,来自动追踪显示上一次登录系统的时间,同时我们还能顺便查看到究竟是哪个账号偷偷登录了本地计算机系统,下面就是该方法的具体实现步骤 首先打开Windows Vista系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中输入“gpedit。 msc”字符串命令,单击“确定”按钮后,进入对应系统的组策略控制台窗口; 其次在该控制台窗口的左侧显示窗格中点选“计算机配置”节点选项,再从该节点下面逐一点选“管理模板”/“Windows组件” /“Windows登录选项”项目,同时从“Windows登录选项”项目的右侧显示窗格中找到目标组策略“在用户登录期间显示有关以前登录的信息”,之后用鼠标双击目标组策略选项,打开选项设置对话框; 检查该对话框中的“已启动”选项是否处于选中状态,如果发现它还没有被选中时,我们只要将它重新选中,再单击“确定”按钮保存好上述设置操作,如此一来本地Windows Vista系统就具有自动记录上次登录系统时间的功能了。
完成上面的设置操作后,如果有非法攻击者趁我们不在计算机现场的时候,偷偷利用我们的账号登录计算机时,Windows Vista系统就会自动将非法攻击者登录系统的时间记忆保存下来,下次我们打开计算机输入登录系统的密码时,系统屏幕上就会出现上一次登录系统的具体时间了,同时我们还能看到具体是哪个用户账号执行登录操作的,此时我们可以根据这些状态信息,寻找具体的非法攻击者,确保计算机系统日后不会被继续攻击。 2、巧用脚本,记录本次登录时间 有的时候,我们希望Windows系统能够自动将用户本次登录系统的时间记忆下来,然后对照自己实际的登录时间,如果它们两者之间有明显差别的话,那就说明在自己离开计算机的那一段时间,肯定有人偷偷访问过本地计算机系统了。
要记录本次登录时间,我们可以自己动手创建一个系统启动脚本,让其自动显示、保存本次系统登录时间,之后想办法让Windows系统在启动成功后自动执行那个启动脚本就可以了,下面就是具体的实现步骤: 首先打开记事本之类的文本编辑程序,在其中输入下面的命令行代码: @echo off date /t >> d:\time。 log time /t >> d:\time。
log 在确认上面的命令行代码输入无误后,依次单击文本编辑窗口中的“文件”/“保存”命令,将上面的命令代码保存为扩展名为bat的批处理文件,假设在这里我们将该文件取名为“time。bat”,用鼠标双击该批处理文件,系统当前的时间就会被记录保存到“d:\time。
log”文件中了; 其次为了让系统在登录成功的时候自动执行“time。bat”文件,我们需要将该文件设置为系统启动脚本。
在进行这种设置操作时,我们可以依次单击本地系统的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit。 msc”,单击回车键后,打开对应系统的组策略控制台窗口; 在该控制台窗口的左侧显示区域中,用鼠标逐一点选“计算机配置”/“Windows设置”/“脚本(启动/关机)”节点选项,在对应“脚本(启动/关机)”节点选项的右侧显示区域中,双击“启动”项目,打开启动属性设置窗口; 单击该设置窗口中的“添加”按钮,从其后出现的文件选择对话框中,选中“time。
bat”文件并单击“确定”按钮,将其导入到启动脚本列表框中,最后再单击“确定”按钮保存好上述设置操作,如此一来Windows系统日后每次启动成功后,都会自动执行“time。bat”批处理文件,而该文件恰好可以将系统启动成功那一刻的时间、日期自动记录保存到“d:\time。
log”文件中,到时我们只要查看“d:\time。log”文件,就能看到本次登录系统的具体时间了。
3、巧用日志,记录每次登录时间 Windows系统具有强大的日志记录功能,善于使用该功能,我们可以让其自动记忆每一次登录系统的具体时间,哪怕是非法攻击者登录本地系统失败了,Windows系统日志也能将其记录下来。 在使用日志功能记录每次登录系统时间时,我们需要按照如下步骤进行操作: 首先要对系统登录事件进行审核。
在默认状态下,Windows系统不会对系统登录事件进行日志保存操作,只有对该事件进行审核之后,其日志功能才会自动追踪、记忆系统登录事件;在审核系统登录事件时,我们可以依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,执行字符串命令 “secpol。 msc”,打开对应系统的本地安全策略窗口; 其次在该窗口的左侧位置处依次展开“安全设置”/“本地策略”/“审核策略”分支选项,从目标分支下面双击“审核登录事件”选项,打开设置对话框,选中其中的“成功”、“失败”选项,再单击“确定”按钮保存好上述设置操作;完成上面的设置操作后,Windows系统日后就能自动记录每次登录系统的时间了; 如果想。
3.WINDOWS文件夹里的时间日志在哪找?
Windows日志文件默认位置是“%systemroot%\system32\config 安全日志文件:%systemroot%\system32\config \SecEvent。
EVT 系统日志文件:%systemroot%\system32\config \SysEvent。 EVT 应用程序日志文件:%systemroot%\system32\config \AppEvent。
EVT FTP连接日志和HTTPD事务日志:%systemroot% \system32\LogFiles\ 如何查看日志文件 在Windows系统中查看日志文件很简单。 点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。
查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。
4.如何打开EVTX文件
步骤1:在win10搜索栏搜索“事件查看器”,或者按win+r输入eventvwr.msc回车
步骤2:在“事件查看器”的右侧选择“打开保存的日志”
步骤3:选中你要打开的日志文件,点击“打开”即可
5.如何在Win10系统下开启文件历史记录功能
我们从开始 - 控制面板 - 文件历史记录,打开文件历史记录后,显示的是如下图片,显示文件历史记录已关闭,且“启用”图标为灰色,无法启用。
如何才能启用Windows8、Windows10系统的文件历史记录呢?
Windows8、Windows10系统启用文件历史记录的方法
我们在文件历史记录窗口,左键点击:选择一个网络位置;
3
在打开的选择驱动器窗口,我们再左键点击:添加网络位置(A);
4
在选择文件夹窗口,我们左键双击计算机图标 - WIN- 7C1MCKUI5N2;
5
在选择文件夹窗口,左键双击:Users(用户)文件夹图标;
6
在选择文件夹窗口的Users文件夹下,左键点击:GONG(用户名),再点击选择文件夹;
7
在选择驱动器窗口,我们左键点击:添加网络位置(A),再点
6.日志怎样记录文件的
以WINDOWS2000为例! Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同。
当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。
日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT 系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT 应用程序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志 Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。
其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent FTP和WWW日志详解: FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例: #Software: Microsoft Internet Information Services 5.0 (微软IIS5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录) 0318 127.0.0.1 [1]PASS – 530 (登录失败) 032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06 127.0.0.1 [1]PASS – 530 (登录失败) 032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录) 0322 127.0.0.1 [1]PASS – 530 (登录失败) 0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录) 0324 127.0.0.1 [1]PASS – 230 (登录成功) 0321 127.0.0.1 [1]MKD nt 550 (新建目录失败) 0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序) 从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。
WWW日志 WWW服务同FTP服务一样,产生的日志也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。 既使你删掉FTP和WWW日志,但是还是会在系统日志和安全日志里记录下来,但是较好的是只显示了你的机器名,并没有你的IP,例如上面几个探测之后,系统日志 将会产生下面的记录: 一眼就能看出2000年10月23日,16点17分,系统因为某些事件出现警告,双击头一个,打开它的属性: 属性里记录了出现警告的原因,是因为有人试图用administator用户名登录,出现一个错误,来源是FTP服务。
同时安全记录里写将同时记下:(Ekin:此图不是此次示例的。
转载请注明出处windows之家 » 如何查看win10登录日志文件