Windows應急日志常用的幾個事件ID

Windows應急日志常用的幾個事件ID
點擊站內沒有搜索到，可能搜索姿勢不對，發一下吧，應急時可能會用到，根據日志時間點判斷入侵

日志路徑：C:\Windows\System32\winevt\Logs
查看日志：Security.evtx、System.evtx、Application.evtx
如何查看：右鍵我的電腦-管理-系統工具-事件查看器，或者eventvwr查看事件查看器

打開Windows系統的事件查看器，右鍵單擊系統或安全日志，選擇篩選當前日志，在篩選器中輸入下列事件ID即可。

系統：
1074，通過這個事件ID查看計算機的開機、關機、重啟的時間以及原因和注釋。
6005，表示計算機日志服務已啟動，如果出現了事件ID為6005，則表示這天正常啟動了系統。
104，這個時間ID記錄所有審計日志清除事件，當有日志被清除時，出現此事件ID。

安全：
4624，這個事件ID表示成功登陸的用戶，用來篩選該系統的用戶登陸成功情況。
4625，這個事件ID表示登陸失敗的用戶。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示當用戶帳號發生創建，刪除，改變密碼時的事件記錄。
4727,4737,4739,4762,事件ID表示當用戶組發生添加、刪除時或組內添加成員時生成該事件。