Windows事件日志记录着Windows系统中发生的各类事件。通过事件日志，可以监控用户对系统的使用情况，掌握计算机在特定时间发生了什么事件，此外也可以了解用户的各种操作行为。因此，它可以为调查提供很多关键信息。

打击计算机网络犯罪的关键，是如何在计算机系统中提取和分析计算机犯罪分子留在计算机中的“痕迹”，使之成为能够追踪并抓获犯罪嫌疑人的重要手段和方法。遇到入侵的相关安全事件时，往往会需要分析Windows事件日志，提取出计算机犯罪案件的重要证据或线索。因此，高效分析Windows事件日志在电子数据取证调查过程中扮演越来越重要的作用。

2017年5月，由公安第三研究所主办的CCFC峰会上，来自厦门兴百邦翰林学院的徐志强先生在研习会上带来了Windows事件日志取证的主题分享。本期公众号，小编有幸获得了授权，就Windows事件日志进行探讨。

一 Windows事件日志简介

Windows事件日志文件本质上是数据库，其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。

Windows事件日志共有五种事件类型，所有的事件必须只能拥有其中的一种事件类型。

1．信息（Information）

信息事件指应用程序、驱动程序或服务的成功操作的事件。

2．警告（Warning）

警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

3． 错误（Error）

错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。

4． 成功审核（Success audit）

成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件

5．失败审核（Failure audit）

失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。

早在1993年的Windows NT3.1，微软就开始使用事件日志来记录各种事件的信息。在NT的进化过程中，事件日志的文件名和文件存放位置一直保持不变，在Windows NT/Win2000/XP/Server 2003中， 日志文件的扩展名一直是evt，存储位置为“%systemroot%\System32\config”。 从Windows Vista和Server 2008开始，日志文件的文件名、结构和存储位置发生了巨大改变， 文件扩展名改为evtx (XML格式) ，存储位置改为“%systemroot%\System32\WinEvt\logs”。

1.系统日志

记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据。

默认位置：

NT/Win2000/XP/Server 2003

C:\WINDOWS\system32\config\SysEvent.Evt

Vista/Win7/Win8//Win10/Server 2008/Server 2012

C:\WINDOWS\system32\winevt\Logs\System.evtx

2.应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件。

默认位置：

NT/Win2000/XP/Server 2003

C:\WINDOWS\system32\config\AppEvent.Evt

Vista/Win7/Win8//Win10/Server 2008/Server 2012

C:\WINDOWS\system32\winevt\Logs\Application.evtx

3.安全日志

记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认位置：

NT/Win2000/XP/Server 2003

C:\WINDOWS\system32\config\SecEvent.Evt

Vista/Win7/Win8//Win10/Server 2008/Server 2012

C:\WINDOWS\system32\winevt\Logs\Security.evtx

虽然几乎所有事件记录在调查过程中都或多或少带来帮助，但是大多数的调查取证中，安全日志中找到线索的可能性最大。

系统和应用程序日志存储着故障排除信息，对于系统管理员更为有用。 安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么，对于调查人员而言，更有帮助。

二 事件日志分析

对于Windows事件日志分析，我们可以根据自己的需要，根据EVENT ID迅速取出我们关心的信息。不同的EVENT ID代表了不同的意义，这些我们可以在网上很容易查到，小编在微软的官方网站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的说明”，这篇文章介绍了在 Windows Vista 和 Windows Server 2008 中的各种与安全和审核有关事件，还提供了有关如何解释这些事件的信息。该文档原文的链接地址为https://support.microsoft.com/en-us/help/947226/description-of-security-events-in-windows-vista-and-in-windows-server-2008，翻译后的地址为https://support.microsoft.com/zh-cn/help/947226/description-of-security-events-in-windows-vista-and-in-windows-server-2008。

三 事件日志分析技巧

除了使用“事件日志查看器”外，我们也可以使用其他日志工具查询事件日志。以下列举了一些我们经常用到的日志获取和分析工具：

四 案例分享