Windows事件日志

点击蓝字 关注我们

    windows操作系统在运行过程中会产生大量的日志信息，其中windows事件日志是电子数据取证中重要的一环，这期文章就对windows事件日志进行介绍。

1、什么是事件日志

        事件日志为操作系统及关联的应用程序提供一种标准化、集中式低记录重要软件及硬件信息的方法。事件日志可以为取证人员提供丰富信息，在信息中可以告诉你，系统在运行期间发生了什么，发生的时间，涉及的用户，涉及的操作系统，访问的资源信息等。

2、windows事件日志特征

     Windows事件日志最早可追溯到windows NT3.1上，并且一直沿用至今。在经历了windows历代版本的变迁，事件日志也有不小的改动，基本可分两大版本：

   第一版（V1），是以Vista系统以前为代表，默认使用.evt的文件扩展名；

    第二版（V2），是以vista系统及以后的系统为代表，默认使用.evtx的文件扩展名。

第一版（V1）事件日志默认存储路径“%System Root%\System32\config”; 第二版（V2）事件日志默认存储路径“%SystemRoot%\System32\winver\Logs”。

3、windows事件日志差异

    V1版本事件日志类别主要包括系统（System）、安全性（security）、应用程序（Application）、自定义日志。这3个类别日志文件默认大小均为512KB，如当前系统存储日志数据大于512kb时，则系统默认覆盖超过7天的日志记录。

     V2版本事件日志分为“windows日志”和“应用程序及服务日志”两大类。“windows日志”内容主要为V1版本中所提到的类别，而“应用程序及服务日志”则是V2版本中新增加的内容，主要包含系统内置的各种应用程序及服务产生的日志。

       V2版本系统系统内置的3个核心日志文件（System、Security、Application）默认大小均为20480kb，其他日志文件最大默认为1028kb，当日志数据超过默认值时，系统默认有先覆盖过期的日志记录。

        以上是本期对windows事件日志的简要介绍，希望对大家有所帮助。下期内容将给大家带来windows事件日志的解析，敬请关注。

电话｜0771-4829118

地址｜广西南宁高新区滨河路5号中盟科技园4号楼16层