Czy istnieje wyczerpująca lista dzienników systemu Windows lub dzienników?

21

Wiem, że istnieje dziennik zdarzeń, ale nie na tym się kończy. Istnieją dzienniki plików wykonywalnych MSI, dzienniki urządzeń, ustawienia i instalacji, dzienniki wydajności i tak dalej. To prawdopodobnie dość długa lista; Gdzie jednak mogę znaleźć tak wyczerpującą listę dzienników systemu Windows?

Najlepiej byłoby mieć listę, która wykracza poza to, co jest domyślnie włączone; aby wiedzieć, co robi każdy rejestrator, które nie są domyślnie włączone, które można (t) wyłączyć ...

Czy znasz taką listę? Czy ktoś jest gotowy na zbudowanie takiej listy?

windows  logging  tracking  events  minidumps 
Tamara Wijsman
źródło
1
Oprócz każdej odpowiedzi można użyć programu PowerShell do zapisywania własnych zdarzeń w dzienniku zdarzeń, dzięki czemu każdy utworzony skrypt lub wewnętrzna aplikacja Windows może zapisywać w dzienniku zdarzeń. Ważne jest, aby pamiętać, że „ Windows ” w większości przypadków nie rejestruje danych, ale rejestracja własnych zdarzeń zależy od indywidualnej aplikacji.
MDMoore313,

Odpowiedzi:

19

Scentralizowane lokalizacje dziennika

  • %WINDIR%\System32\configlub %WINDIR%\System32\winevt\Logs
    Zawiera większość dzienników zdarzeń dostępnych z Podglądu zdarzeń.

  • %WINDIR%\Logs
    Zawiera wiele tekstowych plików dziennika.

Microsoft Security Essentials

  • %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
    Dzienniki wykonawcze

  • %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
    Dzienniki instalacji

Tymczasowa instalacja i dzienniki Windows Defender

  • %WINDIR\Temp\*.log
    Zawiera informacje o instalacjach MSI, a także o uruchamianiu / skanowaniu Windows Defender.

  • %AppData%\Local\Temp\*.log
    Zawiera informacje o instalacjach MSI uruchomionych w kontekście bieżącego użytkownika.

Dzienniki instalacji systemu Windows

  • %AppData%\Local\Microsoft\Websetup(Windows 8)
    Zawiera szczegółowe informacje na temat fazy konfiguracji sieci w systemie Windows 8.

  • %AppData%\setupapi.log(Windows XP i wcześniejsze)
    Zawiera informacje o zmianach urządzeń i sterowników oraz ważnych zmianach systemowych, takich jak instalacja dodatków Service Pack i poprawek.

  • %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
    Zawiera informacje o działaniach konfiguracyjnych, błędach, strukturze, identyfikatorach SID i urządzeniach do wczesnej konfiguracji. Po przywróceniu instalacji pliki te będą zawierać informacje o wycofaniu.

  • %WINDIR%\PANTHER\*.log,xml
    Zawiera informacje o działaniach konfiguracyjnych, błędach, strukturze, identyfikatorach SID i późniejszych urządzeniach konfiguracyjnych.

  • %WINDIR%\INF\setupapi.dev.log
    Zawiera informacje na temat instalacji urządzeń Plug and Play i sterowników.

  • %WINDIR%\INF\setupapi.app.log
    Zawiera informacje o instalacjach aplikacji.

  • %WINDIR%\Performance\Winsat\winsat.log
    Zawiera wyniki testu wydajności.

Usługa czasu systemu Windows

  • Aby włączyć rejestrowanie usługi Czas systemu Windows:

    w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760

  • Aby wyłączyć rejestrowanie uruchamiania usługi czasu systemu Windows:

    w32tm /debug /disable

Aktualizacja systemu Windows

  • %WINDIR%\WindowsUpdate.log
    Zawiera wszystkie zdarzenia związane z Windows Update

  • %WINDIR%\SoftwareDistribution\ReportingEvents.log
    Zawiera zdarzenia związane z raportami stanu aktualizacji oprogramowania.

Narzędzie do wdrażania i zarządzania obrazami wdrażania (DISM)

  • %WINDIR%\Logs\DISM\dism.log
    Zawiera informacje o zdarzeniach, które mają miejsce podczas interakcji z obrazem systemu Windows.

Obsługa oparta na komponentach (CBS)

  • %WINDIR%\Logs\CBS\CBS.log
    Zawiera informacje o zdarzeniach, które mają miejsce podczas interakcji ze składnikami i funkcjami systemu Windows.
Oliver Salzburg
źródło
1
+1 Moglibyśmy stworzyć taką listę, ponieważ wątpię, czy taka istnieje.
Tamara Wijsman
-1

Myślę, że prosisz o niemożliwe. W dzienniku zdarzeń systemu Windows znajduje się wiele sekcji dziennika, do których dostęp mają zarówno aplikacje Windows, jak i aplikacje inne niż Windows, i różni się w zależności od wersji systemu Windows. Ponadto istnieje wiele innych opcji rejestrowania, w tym pliki tekstowe (np. Log) oraz wewnętrzna baza danych systemu Windows .

Lista byłaby rozległa i zróżnicowana i zależałaby od konkretnego systemu operacyjnego i jego konfiguracji.

CJM
źródło
1
@TomWijsman - Zamień na „niemożliwe” na „mało prawdopodobne, trudne do zrozumienia”. A Windows Server jest częścią rodziny Windows, którą zawarłeś w swoich tagach.
CJM
Zgadzam się, chociaż zebranie podstawowej listy powinno być dobrym początkiem do posiadania najbardziej trywialnych dzienników do obejrzenia. Najprawdopodobniej, gdy używasz czegoś bardzo konkretnego, na przykład w systemie Windows Server, będziesz mieć dziennik zdarzeń lub bardziej szczegółowe dzienniki do obejrzenia; o czym najprawdopodobniej wspomniano w dokumentacji.
Tamara Wijsman,
-2

Biegać 

wevtutil el

w wierszu polecenia.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>
Richard Lando
źródło
2
Witamy! Co powiesz na rozwinięcie twojej odpowiedzi? Jak to pomaga odpowiedzieć na pytanie? Dlaczego ktoś miałby to uruchomić? Dlaczego to nie tylko standardowe elementy dziennika zdarzeń?
ᴇcʜιᴇ007
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.