今天要來分析各日誌檔的內容跟類型的判別，也來看一點Event ID(事件識別碼)查一點小事件，Win+R輸入eventvwr.msc執行Event Viewer就開始囉。

事件分類

首先，事件檢視器的概觀有個系統管理摘要，從這裡我們可以看到，事件可以被分為6大類：

1. 重大：不常出現，像是藍屏當機(BSOD)這種，系統崩潰或是意外關閉的嚴重問題會記錄在這裡，如果常常出現不能放著不管。
2. 錯誤：可能需要處理的問題，不正常的運作，例如資料丟失或功能損失，服務在啟動期間無法載入等等，可能是預定的程序無法執行或啟動，在背景平常可能不會發現這個錯誤。
3. 警告：不一定重要的事件，但是放著放著可能會出現，例如一些日誌檔的大小限制到達上限，可能會蓋掉一些紀錄，或是應用程式操作的風險等等。
4. 資訊：一些普通的紀錄，像是記錄應用程式或驅動程式、服務有沒有操作成功之類的，或是一些配置的更改成功或失敗。
5. 稽核成功：接受Windows的安全性稽核而後取得成功的訪問紀錄。
6. 稽核失敗：就是一樣接受稽核但是失敗訪問不到的紀錄。

各日誌檔的內容

接下來，跟前面登錄檔一樣，我們來研究一下各日誌檔的意義~我們先看Windows紀錄，5大日誌檔都在C:\Windows\System32\winevt\Logs裡。

• 應用程式：各應用程式報告的問題，通常是執行方面的事件，錯誤警告或資訊都有可能出現，應用程式的開發人員可以決定要記錄哪些事件報告出來，如果是應用程式崩潰之類的問題應該可以在這裡找到詳細一點的紀錄。
• 安全性：紀錄稽核成功或失敗的事件，成功會出現鑰匙，失敗會出現鎖，像是Windows的帳戶登入有沒有成功，使用者許可權變更，還有一些檔案資料夾的訪問，有沒有提權之類的紀錄。
• Setup：網域控制器的內容，也會記錄應用程式的安裝事件，或像Windwos更新這裡也會產生相關紀錄。
• 系統：紀錄Windows系統跟服務遇到的問題跟報告，例如開機遇到一些驅動程式不能載入之類的事件等等。
• Forwarded Events：轉送的事件，由其他電腦轉送過來的事件紀錄檔。

至於應用程式及服務記錄檔有些零零散散的檔案，一些大型重要程式或Windows相關服務可能會在這裡留下紀錄來，而不是可能具有系統範圍影響的事件。

值得注意的是Microsoft->Windows目錄下有詳細的程序分類目錄分別指向個程序的日誌檔，Micosoft Office Altet裡會記錄office詢問是否儲存變更或是文件中的警告提示資訊等等。

篩選查看開關機紀錄事件

接著我們來試一下自訂篩選，這跟Process Monitor一樣，設定filter的技能是很重要的，不然被記錄檔淹沒我們會很難找出問題，說到事件紀錄檔，我們就以大家最常舉例的開關機紀錄當作範例。
首先我們從右側面板點選建立自訂檢視器，紀錄時間可以自己選擇，開關機的紀錄沒有意外發生的話會是資訊類別，他屬於系統的紀錄所以勾選系統日誌檔。

事件代碼這裡打上6006，他是事件紀錄終止的紀錄，就等於關機的紀錄，因為事件會記錄到關機前一刻，如下圖。

然後打上名稱跟描述，預設位置會出現在自訂檢視的資料夾中。

選完就出現關機紀錄的列表囉~~

下面可以看到事件來自哪個紀錄檔，操作的使用者跟電腦名，紀錄的時間就是關機時間，我們剛剛篩選的就是事件識別碼，關鍵字的傳統應該是翻譯問題，原本要指local，本機的意思。

要查看開機事件就把篩選的事件識別碼改成6005，因為事件紀錄服務會從一開機就開始記錄。

事件ID選7001代表使用者登錄的紀錄，雖然這個中文翻譯怪怪的，但筆者目前也找不到怎麼把事件檢視器換成英文，如果看不懂去網路上查就可以找到原文了，像這則訊息就是：

User Logon Notification for Customer Experience Improvement Program.

點進詳細資料可以看到這件事是由System帳號處理的，對應的SID是S-1-5-18，他發送這則通知告訴系統，S-1-5-21也就是一般使用者已經登錄。

如果是登出通知，事件ID就是7002。

好，以上就是今天的內容，我們介紹事件跟日誌檔的分類，也試著用篩選器找出開關機和登出登入的事件紀錄了，明天我們來看一些常見的事件，對這些紀錄多了解一些。

參考資料：
https://www.dummies.com/computers/operating-systems/windows-10/how-to-use-event-viewer-in-windows-10/
https://iter01.com/355100.html
https://codertw.com/%E7%A8%8B%E5%BC%8F%E8%AA%9E%E8%A8%80/444383/
https://social.technet.microsoft.com/Forums/en-US/03f0ad3d-4a52-49cb-ac4b-cac84cb03d0b/event-log-list-of-evtx-files-content-meanning?forum=win10itprogeneral
https://www.manageengine.com/tw/network-monitoring/Eventlog_Tutorial_Part_I.html
https://www.tenforums.com/tutorials/78335-read-shutdown-logs-event-viewer-windows.html
http://deusexmachina.uk/evdoco/event.php?event=525