Windows事件日志简要解析

2023年11月29日发(作者：)

Windows事件日志简要解析

简介：

Windows系统内置三个核心日志文件：System、Security、Application，默认大小

均为20480kB也就是20MB，记录数据超过20MB时会覆盖过期的日志记录；其

他的应用程序以及服务日志默认大小均为1MB，超过这个大小一样的处理方法。

日志类型：

事件类型 注释

警告（Warning） 警告事件不是直接的、主要的，但是会导致将来问题的发

错误（Error） 指用户应该知晓的重要问题

成功审核（Success 主要指安全性日志，记录用户的登录/注销、对象访问、特

Audit）

失败审核（Failure 失败的审核安全登录尝试

Audit）

事件日志文件类型：

类别 类型 描述 文件名

Windows

日志

系统 包含系统进程，设备磁盘活动

等。事件记录了设备驱动无法正

常启动或停止，硬件失败，重复

IP地址，系统进程的启动，停

止及暂停等行为。

包含安全性相关的事件，如用户

权限变更，登录及注销，文件及

文件夹访问，打印等信息。

包含操作系统安装的应用程序软

件相关的事件。事件包括了错

误、警告及任何应用程序需要报

告的信息，应用程序开发人员可

以决定记录哪些信息。

Microsoft文件夹下包含了200

多个微软内置的事件日志分类，及服务日应文件

只有部分类型默认启用记录功

能，如远程桌面客户端连接、无

生

权使用、账户管理、策略更改、详细跟踪、目录服务访

问、账户登录事件

信息（Information） 指应用程序、驱动程序、或服务的成功操作事件

Windows

日志

Windows

日志

安全

应用程序

应用程序详见日志存储目录对

志

Microsoft

类别 类型 描述 文件名

线网络、有线网路、设备安装等

相关日志。

微软Office应用程序（包括应用程序

Word/Excel/PowerPoint等）的

各种警告信息，其中包含用户对志

文档操作过程中出现的各种行

为，记录有文件名、路径等信

息。

及服务日

Microsoft

Office

Alters

应用程序

及服务日日志信息

志

应用程序

及服务日息，默认未启用

志

Windows Windows

Windows自带的Powershell的

PowerShell

Internet

Explore

IE浏览器应用程序的日志信

日志文件存放位置：%SystemRoot%System32winevtLogs

常见的事件ID对应表：

适用于Win8/Win10/Server2023/Server2023 以及以后版本

事件ID 说明

1102

4624

4625

4672

4720

4726

4728

4729

这五类事件中最重要的是成功审核(Success Audit)，所有系统登录成功都会被标记

为成功审核。每个成功登录事件都会标记一个登录类型。

登录

类型 描述

2

3

4

5

7

8

9

10

11

交互式登录(用户从控制台登录)

网络(通过net、use访问共享网络)

批处理

服务启动，由服务控制管理器启动

解锁(带密码保护的屏幕保护程序的无人值班工作站)

网络明文（IIS服务器登录验证）

新凭据登录 （呼叫方为出站连接克隆了其当前令牌和指定的新凭据。 新登

录会话具有相同的本地标识，但对其他网络连接使用不同的凭据。）

终端服务，远程桌面，远程辅助

使用存储在计算机本地的网络凭据登录到此计算机的用户。 未联系域控制

器以验证凭据。

事件日志(Evtx) 是一种二进制格式的文件：

Evtx 文件结构包括三部分：文件头、数据块、结尾空值。

文件头部4096字节。文件头部签名：45 6C 66 46 69 6C 65 00（ElfFilex00）。

文件头部结构如下：

偏移 长度 值 描述

0 8 ElfFilex00

8 8

16 8

24 8

32 4 128

36 2 1

38 2 3

40 2 4096

42 2

44 76

120 4

124 4

文件签名

第一个数据块

最后一个数据块

下一个记录标识符

头大小

次版本号

主版本号

数据块的偏移量

数据块的数量

空值

文件标志

偏移 长度 值 描述

128 3968

值 标识符 描述

0x0001

0x0002

偏移长度 值 描述

量

0 8 ElfChnkx00

8 8

16 8

24 8

32 8

40 4 128

44 4

48 4

52 4

56 64

120 4

124 4

空值

已更新

已填充

标签

第一个事件记录编号

最后一个事件编号

第一个事件记录标识符

最后一个事件标识符

指针数据偏移量

最后一个事件记录数据偏移量

自由空间偏移

事件记录校验和（CRC32）

空值

未知

校验和（头部前120字节和第128字节到512字

节）

数据块里有多条事件记录，一条事件记录对应一条日志信息。一条事件记录由以下

部分组成：

偏移量 长度 值 描述

0 4 "x2ax2ax00x00"

4 4

8 8

16 8

24

4

事件块大小

事件记录标识符

事件记录写入时间

时为了修改后的日志文件能够正常显示，我们还需要修改多个标志位和重新计算校

验和。