背景

Windows日志里的事件分析有助于在系统出现异常时分析出异常原因，利于针对问题做出系统的修复和预防。今天阿祥就整理出Windows常见的事件，分析这些事件的具体原因，希望对系统运维工程师们有一定的帮助！

具体事件ID

1、事件ID 1116

作用：意为反恶意软件平台检测到恶意软件或其他可能不需要的软件

检测源：如：

①用户：用户已启动

②系统：系统启动

③实时：实时组件已启动

④IOAV：已启动 IE 下载和 Outlook Express 附件

⑤NIS：网络检查系统

⑥IEPROTECT：IE - IExtensionValidation;这可以防止恶意网页控件。

⑦提前启动反恶意软件 (ELAM) 。这包括启动序列检测到的恶意软件。

⑧远程证明

此类问题处理：

无需执行任何操作。Microsoft Defender防病毒可以暂停并对此威胁执行例行操作。如果要手动删除威胁，请在“Microsoft Defender防病毒”界面中选择“清理计算机”

2、事件ID 4624

作用：意为账户登录成功，虽然平时没啥用。但在系统被无故抢占登录，或者被操作时，可以通过这个事件，跟踪谁在何时访问了系统。留意异常时的访问情况，检查未经授权的活动。

3、事件ID 4625

作用：和4624相反，这是登录失败的事件。可以检查登录失败的原因，也可用于检查是否有暴力破解攻击

4、事件ID 4672

作用：意为被授予特殊权限的用户登录，在运维工作中对于发现非权限提升权限的操作来说非常重要，可通过它发现是否有攻击者正在获得更高级访问权限

5、事件ID 4732

作用：意为用户被添加到本地安全组，这个事件用于检查是否存在非授权的提权操作

6、事件ID 5156

含义：记录了windows操作系统中的一种网络流量。具体来说，当windows操作系统中的网络流量通过防火墙时，就会生成一条windows安全日志5156事件。这条事件包括：事件发生的时间、源地址和目标地址、协议类型网络流量使用的协议类型、源目业务口、源网络地址类型和目标网络地址类型、防火墙规则防火墙匹配的规则

作用：

1. 监控网络流量

通过日志记录的网络流量的源和目标地址、协议类型、端口等关键信息，可以帮助管理员了解网络流量的情况，从而更好地监控网络。

2. 发现网络攻击

根据日志记录量，判断是否有网络攻击流量，发现网络攻击的迹象，从而及时采取安全加固措施，保护系统的安全性。

3. 优化防火墙规则

可以了解防火墙对网络流量的判断和处理情况，从而确认是否需要优化防火墙规则，提高防火墙的效率和安全性。

4. 辅助安全审计

用于安全审计，帮助管理员了解系统当前的安全状况，及时发现和修复安全问题，从而保障系统的安全性和稳定性。

7、事件ID 7045 

作用：帮助管理员了解系统中哪些服务在启动时出现了哪些问题

具体记录：

①服务名称指服务的名称，例如“windows Update”。

②服务类型指服务的类型，例如“文件夹同步服务”。

③服务路径指服务的路径，例如“C\windows\System32\svchost.exe -k netsvcs”。

④服务状态指服务的状态，例如“已启动”。

⑤服务控制管理器指服务的控制管理器，例如“Services”。

⑥服务启动类型指服务的启动类型，例如“自动”。

⑦服务依赖关系指服务所依赖的其他服务，例如“RPC服务”。

具体含义：

1.服务启动失败如果某个服务在启动时失败，windows日志ID7045会记录下来。了解服务启动失败的原因，从而采取相应的措施进行修复。

2.服务启动缓慢如果某个服务在启动时缓慢，windows日志ID7045也会记录下来。了解服务启动缓慢的原因，从而采取相应的措施进行优化。

3.服务依赖关系windows日志ID7045还会记录服务的依赖关系。了解服务之间的依赖关系，从而更好地管理系统。

遇到服务启动问题的具体修复：

如果管理员发现系统中出现了windows日志ID7045记录的服务启动问题，可以采取以下措施进行修复

1.检查服务启动类型管理员可以通过查看服务的启动类型，了解服务是自动启动还是手动启动。如果服务的启动类型为手动，可以将其改为自动启动；如果服务的启动类型为禁用，可以将其改为手动启动。

2.检查服务路径管理员可以通过查看服务的路径，了解服务所在的位置。如果服务所在的位置发生了变化，可以将其更改为正确的路径。

不想错过文章内容？读完请点一下“在看”，加个“关注”，您的支持是我创作的动力

期待您的一键三连支持（点赞、在看、分享~）