日志的类型及内容

• 系统日志：
  • 记录范围：主要涵盖Windows系统中各个组件在运行时产生的各类事件，包括系统的启动与关闭、驱动程序的加载与运行、操作系统组件的运行状态，以及应用软件在运行过程中出现的重大问题等。
    
  • 举例：如系统启动时某个驱动程序未能正确加载，就会在系统日志中生成相应的错误记录；或者系统在运行过程中出现蓝屏死机，相关的错误信息也会记录在此日志中。
    
  
  
• 安全日志：
  • 记录范围：主要记录与系统安全相关的事件，如用户的登录与退出系统的遥或失败信息，对系统中各种重要资源（如文件、文件夹、注册表等）进行的创建、删除、更改等操作。
    
  • 举例：若有人尝试遥错误的密码登录系统，安全日志会记录该登录失败的尝试，包括登录的时间、用户名、遥的IP地址等信息；当有程序试图修改系统关键文件时，也会在安全日志中留下记录。
    
  
  
• 应用程序日志：
  • 记录范围：用于记录各种应用程序所产生的各类事件。
    不同的应用程序会根据自身的设计和功能，将相关的运行信息、错误信息等记录在此日志中。
    
  • 举例：如果系统中安装的数据库管理系统在运行过程中出现数据库连接错误，或者遭受了SQL注入攻击，应用程序日志中会有相应的详细记录，包括错误代码、错误发生的时间、涉及的数据库对象等信息。
    
  
  
• WindowsPowerShell日志：
  • 记录范围：当执行任何PowerShell命令或脚本时，无论是在本地还是通过远程处理，Windows都会将事件写入以下三个日志文件：WindowsPowerShell.evtx、microsoft-windows-powershell/operational.evtx、microsoft-windows-powershell/analytic.etl。
    
  • 举例：若在PowerShell中执行了一个获取系统服务列表的命令，相关的操作信息，如命令的执行时间、执行的具体命令内容等，会被记录在这些日志中。
    
  
  
• Windows远程管理日志：
  • 记录范围：记录了Windows远程管理服务的所有操作，包括远程连接的建立、远程命令的执行等情况。
    
  • 举例：当通过远程桌面连接到另一台计算机时，远程管理日志会记录连接的时间、连接的源IP地址、执行的操作等信息。