2023年11月29日发(作者:)

Windows中如何查看⽇志(如查看远程登陆的IP地址)以及常

⽤⽇志ID

【时间】2018.12.12

【题⽬】Windows中如何查看⽇志(如查看远程登陆的IP地址)以及常⽤⽇志ID

概述

在Windows中可以使⽤ 事件查看器 来查看相关⽇志,并结合⽇志ID进⾏⽇志筛选。常见的⽇志有:

4634 - 帐户被注销

4647 - ⽤户发起注销

4624 - 帐户已成功登录

4625 - 帐户登录失败

4648 - 试图使⽤明确的凭证登录(可以⽤以查看远程登陆的相关信息,⽐如远程登陆的IP地址等)

⼀、使⽤事件查看器查看⽇志信息

参考链接:

下⾯以查看远程连接的⽇志为例展⽰事件查看器的使⽤。

1.1 在搜索框中搜索事件查看器,双击打开。(事件查看器的位置在C:WINDOWSsystem32,名字为

1.2 展开左侧的 “Windows ⽇志然后双击安全。(其他的⽇志可能需要选择其他选项)

1.3 点击最右边操作栏中的删选当前⽇志…”

1.4 在弹出的窗⼝选择记录时间 (Logged), 和输⼊事件ID : , 我这⾥是想查看过去七天的远程到本机的记录

4648

1.5 选中⼀条过滤出来的记录, 然后 点击 下⽅的 “详情”, 其中 “EventData” 下的 “IpAddress” 即为远程过来的IP地址,127.0.0.1

表⽰是本地登陆,‘TargetUserName’是本电脑的名字。

⼆、常⽤的⽇志ID

参考链接:

审计⽬录服务访问

4934 - Active Directory 对象的属性被复制

4625 - 帐户登录失败

4648 - 试图使⽤明确的凭证登录

4706 - 创建到域的新信任

4707 - 到域的信任已经删除

审计系统事件

5024 - Windows防⽕墙服务已成功启动