今天要來研究一些常見的事件，來看看有那些東西會被系統紀錄下來，他們的意義又是什麼。

筆者查了查發現不知道要挑什麼講，於是最後決定來把重新開機當作範例找系統中的記錄，這對電腦來說一件重大程序，前前後後會有很多步驟被記錄下來，同一秒內被寫入十幾則都有可能，所以我們會挑一些是較為重要的記錄來講。

實作就是筆者把電腦重新開機，從關閉進到桌面中間歷程是從中午12點整到12點43秒，先後會記錄的重大事件包括下列這些：

關機的事件

沒想到第一個出現的是6013事件，這個只能說是剛剛好，通常在系統重新啟動會發生這個事件，紀錄他總共運行了多久，不過仔細一查才發現，6013會在每日中午12點整紀錄一次，即使你沒有重新開機。

接著紀錄使用者按下重新開機的事件，這是指定的所以不在排程計畫中，就是RuntimeBlock.exe照使用者的指示啟動「重新啟動」這個動作。

安全中心顯示使用者初始登出，似乎是分步驟式，工作類別就是Logoff。

往下是事件紀錄服務中止的1100事件，表示他要停止紀錄了。

上次提到的6006事件，跟1100幾乎是同時，紀錄檔服務也中止了。

再來7002表示使用者完整登出。

1532事件表示關閉使用者設定檔。

接者有一連串的事件在關閉網路協定DHCPv4和DHCPv6，其中DHCPv4會等待DHCPv6關閉才可以關閉，事件ID有50104、50105、51047、51057、50106、50037等等。

Kernel-Power會發出109事件表示進入關機階段。

Kernel-General發出事件13記錄系統完全關閉的時間。

開機的事件

然後終於來到系統開機的時刻了，大致上會跟剛剛關機的時候相反，Kernel-General發出事件12記錄系統開機的時間。

後面由Kernal-Boot記錄各種檢測，事件ID包括153、18、32、20、238、25、27、30。

事件4826說明載入開機設定。

4608紀錄系統正在啟動。

1531說明載入使用者設定。

6009記錄下系統資訊，檢測Windows產品名稱、版本、內部版本號、操作系統類型等等。

再來就是事件紀錄檔的啟動，事件6005。

事件6013再出現一次，似乎是每次開機中會出現一次。

7001表示登入成功。

1025事件表示信賴平台模組佈件成功可以使用。

中間還有各種帳戶登錄，程序啟用，權限指派，狀態檢查，影體變更等等列不完的事件，像是防火牆開起，網路協定啟用，密碼編譯的啟用，TPM佈建過程等等，總之，我們用一次開關機可以知道，Windows日誌會記錄這些在系統中的大大小小的事件，這對開發人員有很大的好處，可以確認各項log中缺少哪一項縮小要檢查的範圍，事件檢視器除了錯誤跟警告，在資訊類別中會提出的紀錄就類似這些。

Microsoft Office Alerts

寫到最近開始有點累了，不過還是先堅持一下，至少讓每天文章有一定的量，所以下面我們來補充關於Microsoft Office Alerts的部分，他的日誌檔一樣放在%SystemRoot%\System32\Winevt\Logs下，名叫OAlerts.evtx，雖然叫做Alter，但在事件記錄的等級以資訊類為主，事件ID基本上都是300，他主要是記錄Microsoft Office產品的一些提醒，像是我們還沒存檔就關閉文件會出現使否儲存變更的提醒。

裡面的P1數值的開頭會代表Office軟體類型，對應的列表如下：

• 1開頭：Microsoft Excel
• 2開頭：Microsoft Word
• 3開頭：Microsoft Outlook
• 4開頭：Microsoft PowerPoint
• 5開頭：Microsoft Access
• 11開頭：Microsoft Publisher

P2數值表示Office軟體的版本號，P3，P4不一定會有。

當我們打開Word打開PDF檔也會出現警告，這裡的P1就比較特殊，會顯示0。

像是PowerPoint出現限制字體錯誤也會記錄下來。

如果我們嘗試用Word開起.xlsx檔可能會發生無法開啟的情況，關於這些提示敬告都會被記錄在這份日誌檔中。

甚至是取代完成出現的提示，也會被記錄。

從小事到大事，通通被日誌檔記下來，我們觀察日誌的活動會發現系統無時無刻所做的事，如果我希望識別一段時間內的使用者活動，可以去各種日誌下找到可能識別使用者跟他有互動的文件，這樣的應用是非常廣泛的，同時也表示很難做到過水無痕，筆者參考資料最後一點的作者Matt B也表示：

Event logs have been a great source of data for a long time to help understand what is going on with a system.

學會看日誌對專業的開發人員是很重要的，今天就先到這邊，下一篇我們來看看怎麼去讀.evtx文件，用文字編輯器打開他看看他的結構，這是一個辛苦但是有意義，或許也很有趣的過程，日誌檔常常牽涉資安，裡面是有可取之處的。

參考資料：
http://www.windows5.online/windows/ruanjian/fwq/gyfwq/201702/61011.html
https://social.technet.microsoft.com/Forums/ie/en-US/2c45e6af-8ec4-4fdd-8cf2-87e96fd80a73/restart?forum=winserverManagement
https://www.datamutz.com/dm-blog/windows-event-logs-tracking-file-edits-and-deletions
https://bromiley.medium.com/oalerts-the-microsoft-office-event-log-ad164e1eec0f