在運行中輸入:eventvwr.msc,即可打開事件日志。
| 登錄類型 | 描述 |
| 2 | 互動(鍵盤和屏幕的登錄系統) |
| 3 | 網絡(即連接到共享文件夾從其他地方在這台電腦上網絡) |
| 4 | 批處理(即計划任務) |
| 5 | 服務(服務啟動 ) |
| 7 | 解鎖密碼保護屏幕保護程序(即unnattended工作站) |
| 8 | NetworkCleartext(登錄憑據發送明文。通常表示與“基本身份驗證”登錄到IIS) |
| 9 | NewCredentials如RunAs或映射網絡驅動器替代憑證。這個登錄類型似乎並沒有出現在任何事件 |
| 10 | 終端服務,遠程桌面或遠程協助 |
| 11 | Cachedinteractive(與緩存域登錄憑證時登錄一台筆記本電腦等遠程網絡 |
常見的Windows事件ID說明
Windows事件日志中記錄的信息中,關鍵的要素包含事件級別、記錄時間、事件來源描述、涉及的用戶、計算機、操作代碼及任務類別等。其中事件的ID與操作系統的版本有關,以下舉出的事件ID的操縱系統為Vista/win7/win8/win10/server2008/server2012之后的版本
| 事件ID | 說明 |
| 1102 | 清理審計日志 |
| 4624 | 賬號成功登陸 |
| 4625 | 賬號登錄失敗 |
| 4768 | kerberos身份驗證(TGT請求) |
| 4769 | kerberos服務票證請求 |
| 4776 | NTLM身份驗證 |
| 4720 | 創建用戶 |
| 4726 | 刪除用戶 |
| 4728 | 將成員添加到啟用安全的全局組中 |
| 4729 | 將成員從安全的全劇組中移除 |
| 4732 | 將成員添加到啟用安全的本地組中 |
| 4733 | 將成員從啟用安全的本地組中移除 |
| 4756 | 將成員添加到啟用安全的通用組中 |
| 4757 | 將成員從啟用安全的通用組中移除 |
| 4719 | 系統審計策略修改 |