Windows日志分析工具_Windows7激活工具-Windows系列-PHP中文网

Windows日志分析工具_Windows7激活工具

雪夜

发布： 2025-09-04 08:11:18

原创

338人浏览过

大家好，很高兴再次见到大家，我是你们的朋友全栈君。

Windows 系统主要记录以下三类日志以记录系统事件：应用程序日志、系统日志和安全日志。

Windows 系统的日志文件路径如下：

系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx，主要记录操作系统组件产生的事件，包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。
应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx，主要记录由应用程序或系统程序产生的事件，关注程序运行方面的事件。
安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx，记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账户管理、策略变更、系统事件等。安全日志在调查取证中非常常用，默认情况下是关闭的，管理员可以通过组策略或在注册表中设置审核策略来启用安全日志，以便在日志满后使系统停止响应。

手动分析日志时，可以通过以下步骤找到日志文件：

日志文件位置：可以通过控制面板→管理工具→事件查看器，或者使用快捷键 Win + R 并输入
```
eventvwr.msc
```
登录后复制
来访问。

Windows日志分析工具_Windows7激活工具

Windows日志分析工具_Windows7激活工具

Windows日志分析工具_Windows7激活工具

例如，筛选系统日志时，以下 EVENT ID 表示不同状态的机器情况：

查看 EVENT ID 6009：

Windows日志分析工具_Windows7激活工具

也可以查看 EVENT ID 6005-6009：

Windows日志分析工具_Windows7激活工具

LuckyCola工具库

LuckyCola工具库是您工作学习的智能助手，提供一系列AI驱动的工具，旨在为您的生活带来便利与高效。

使用 Log Parser 等工具进行日志分析：

Log Parser 是微软公司提供的一款日志分析工具，可以对文本格式的日志文件、XML 文件和 CSV 文件，以及 Windows 操作系统上的事件日志、注册表、文件系统等进行处理分析。分析结果可以保存为自定义格式的文本、SQL 或各种图表。

使用 Log Parser 的基本命令格式为：

LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”

登录后复制

输入源经过 SQL 语句处理后，可以输出所需的格式。输入源的格式如 EVT（事件）、Registry（注册表）等，每种输入源有固定的字段值，可以使用

logparser –h –i:EVT

登录后复制

查看（以 EVT 为例）。

Windows日志分析工具_Windows7激活工具

例如，筛选所有登录成功的事件：

LogParser.exe -i:EVT –o:DATAGRID  “SELECT *  FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624”

登录后复制

Event Log Explorer：下载地址为 https://www.php.cn/link/da56d057fe13171851e819d9be266cf5 Log Explorer 是一款非常实用的 Windows 日志分析工具，可以查看、监控和分析事件记录，包括安全、系统、应用程序和其他 Microsoft Windows 的记录。其强大的过滤功能可以快速筛选出有价值的信息。

Windows日志分析工具_Windows7激活工具