我知道有事件日志,但那还不够。还有 MSI 可执行文件日志、设备日志、设置和安装日志、性能日志等等。这可能是一个很长的列表;但是,我在哪里可以找到如此详尽的 Windows 日志列表?
最好有一个列表,不仅仅是默认开启的记录器,以便知道每个记录器的功能、哪些记录器默认没有开启、哪些记录器不能关闭,......
你知道这样的清单吗?有人想建立这样的清单吗?
答案1
集中日志位置
%WINDIR%\System32\config或%WINDIR%\System32\winevt\Logs
包含可从事件查看器访问的大多数事件日志。%WINDIR%\Logs
包含大量文本日志文件。
微软安全必备
%PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
运行时日志%PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
安装日志
临时安装和 Windows Defender 日志
%WINDIR\Temp\*.log
包含有关 MSI 安装以及 Windows Defender 启动/扫描的信息。%AppData%\Local\Temp\*.log
包含在当前用户上下文中运行的 MSI 安装的信息。
Windows 安装日志
%AppData%\Local\Microsoft\Websetup(Windows 8)
包含有关 Windows 8 的 Web 设置阶段的详细信息。%AppData%\setupapi.log(Windows XP 及更早版本)
包含有关设备和驱动程序更改以及重要系统更改的信息,例如服务包和修补程序的安装。%SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
包含有关安装操作、错误、结构、SID 和早期安装设备的信息。当安装回滚时,这些文件将包含回滚信息。%WINDIR%\PANTHER\*.log,xml
包含有关安装操作、错误、结构、SID 和后续安装设备的信息。%WINDIR%\INF\setupapi.dev.log
包含有关即插即用设备和驱动程序安装的信息。%WINDIR%\INF\setupapi.app.log
包含有关应用程序安装的信息。%WINDIR%\Performance\Winsat\winsat.log
包含性能测试结果。
Windows 时间服务
到使能够Windows 时间服务的日志记录:
w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760到禁用Windows 时间服务运行的日志记录:
w32tm /debug /disable
Windows更新
%WINDIR%\WindowsUpdate.log
包含与 Windows 更新相关的所有事件%WINDIR%\SoftwareDistribution\ReportingEvents.log
包含与软件更新状态报告相关的事件。
部署映像服务和管理工具 (DISM)
%WINDIR%\Logs\DISM\dism.log
包含与 Windows 映像交互时发生的事件的相关信息。
基于组件的服务 (CBS)
%WINDIR%\Logs\CBS\CBS.log
包含与 Windows 组件和功能交互时发生的事件的信息。
答案2
我认为您是在要求不可能的事情。Windows 事件日志中有许多日志部分,可供 Windows 和非 Windows 应用程序和服务访问,并且不同 Windows 版本之间存在差异。除此之外,还有许多其他日志选项,包括文本(例如 .log)文件和Windows 内部数据库。
该列表将会非常庞大且多种多样,并且取决于您所使用的特定操作系统及其配置方式。
答案3
Windows 事件日志是一个神话中的独角兽,没有完整的列表,也没有办法弄清楚哪台机器将记录什么,我发现最接近的是运行:
auditpol /backup /file:c:\SYSTEM_AUDITPOLICY.csv
答案4
跑步
wevtutil el
在命令提示符下。
C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.
Usage:
wevtutil { el | enum-logs }
Example:
The following example lists the names of all logs.
wevtutil el
C:\Users\rvlan500\Desktop>