查看系统日志是了解操作系统运行状态、诊断问题以及进行安全审计的重要手段,下面将详细介绍如何查看系统日志:
1、Windows系统
(图片来源网络,侵权删除)
事件查看器:Windows系统内置了“事件查看器”工具,用于查看和管理事件日志,打开“事件查看器”的方法有多种,例如通过“开始”菜单搜索“事件查看器”,或使用快捷键Win+R打开运行框,输入eventvwr.msc命令并回车,在事件查看器中,可以浏览应用程序、安全和系统日志,这些日志分别记录了应用程序错误、安全事件(如登录失败)和系统组件产生的事件。
2、Linux系统
日志文件:Linux系统的日志通常存储在/var/log目录下,包括syslog、auth.log等文件,可以使用cat、less、tail等命令查看这些日志文件的内容,使用tail f /var/log/syslog命令可以实时查看系统日志的新增内容。
journalctl工具:对于使用systemd作为初始化系统的Linux发行版,可以使用journalctl命令查看系统日志,journalctl提供了丰富的查询和过滤选项,可以方便地检索特定时间范围、特定服务或特定关键字的日志条目。
3、macOS系统
Console应用:macOS系统提供了一个名为“Console”的应用,用于查看和管理系统日志,可以在“应用程序”文件夹的“实用工具”子文件夹中找到Console应用,在Console中,可以查看各种系统日志,包括系统日志、用户日志、安装日志等。
(图片来源网络,侵权删除)
以下是一些常见的系统日志事件ID及其含义:
| 事件ID | 说明 |
| 1074 | 计算机开机、关机、重启的时间、原因、注释 |
| 1102 | 清理审计事件日志 |
| 4624 | 登陆成功 |
| 4625 | 登陆失败 |
| 4632 | 成员已添加到启用安全性的本地组 |
| 4634 | 注销用户 |
| 4648 | 试图使用显式凭据登录到用户帐户 |
| 4657 | 注册表值被修改 |
| 4662 | 尝试访问对象 |
| 4663 | 尝试访问对象 |
| 4672 | 超级管理员(administrator)被赋予特权(被赋予特权) |
| 4698 | 计划任务已创建 |
| 4699 | 计划任务已删除 |
| 4700 | 启用计划任务 |
| 4701 | 禁用计划任务 |
| 4702 | 更新计划任务 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 成员已添加到启用安全性的全局组 |
| 4748 | 用户帐户锁定 |
| 4769 | 超级管理员(administrator)登录 |
| 4771 | 用户帐户被启用 |
| 4779 | 用户帐户被禁用 |
| 4848 | 注册表值被修改 |
| 4878 | 成员从本地组中删除 |
| 4898 | 注册表值被修改 |
| 4906 | 非正常关机(ctrl+alt+del关机) |
| 4970 | 非正常关机(意外关机) |
| 4971 | 非正常关机(电源故障) |
| 4972 | 非正常关机(系统崩溃) |
| 6005 | 表示日志服务已经启动(表明系统正常启动) |
| 6006 | 如果在某天没看到6006事件,说明出现异常关机事件(如果6006没有出现,说明那天有出现异常关机事件) |
(图片来源网络,侵权删除)
