Есть ли исчерпывающий список того, что журналы Windows или может войти?

Question

Я знаю, что есть журнал событий, но на этом он не останавливается. Существуют журналы для исполняемых файлов MSI, журналы устройств, настройки и установки, журналы производительности и так далее. Это, вероятно, довольно длинный список; Однако, где я могу найти такой исчерпывающий список того, что журналы Windows?

По предпочтению было бы удобно иметь список, который идет дальше, чем просто то, что включено по умолчанию; чтобы узнать, что делает каждый регистратор, какие из них не включены по умолчанию, какие из них (не могут быть отключены), ...

Вы знаете какой-нибудь такой список? Кто-нибудь готовит такой список?

Answer 1

Централизованные журналы

• %WINDIR%\System32\config или %WINDIR%\System32\winevt\Logs
  Содержит большинство журналов событий, доступных из средства просмотра событий.

• %WINDIR%\Logs
  Содержит много текстовых файлов журнала.

Microsoft Security Essentials

• %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
  Журналы времени выполнения

• %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
  Журналы установки

Временная установка и журналы Защитника Windows

• %WINDIR\Temp\*.log
  Содержит информацию об установках MSI, а также о запуске / сканировании Защитника Windows.

• %AppData%\Local\Temp\*.log
  Содержит информацию об установках MSI, запущенных в контексте текущего пользователя.

Журналы установки Windows

• %AppData%\Local\Microsoft\Websetup (Windows 8)
  Содержит сведения о фазе веб-настройки Windows 8.

• %AppData%\setupapi.log (Windows XP и более ранние версии)
  Содержит информацию об изменениях устройства и драйвера и важных системных изменениях, таких как установка пакетов обновления и исправлений.

• %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
  Содержит информацию о действиях по настройке, ошибках, структуре, SID и устройствах ранней настройки. При откате установки эти файлы будут содержать информацию об откате.

• %WINDIR%\PANTHER\*.log,xml
  Содержит информацию о действиях по настройке, ошибках, структуре, идентификаторах безопасности и последующих устройствах настройки.

• %WINDIR%\INF\setupapi.dev.log
  Содержит информацию об устройствах Plug and Play и установках драйверов.

• %WINDIR%\INF\setupapi.app.log
  Содержит информацию об установках приложений.

• %WINDIR%\Performance\Winsat\winsat.log
  Содержит результаты теста производительности.

Служба времени Windows

• Чтобы включить ведение журнала службы времени Windows:

  w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
  

• Чтобы отключить ведение журнала службы времени Windows, выполните:

  w32tm /debug /disable
  

Центр обновления Windows

• %WINDIR%\WindowsUpdate.log
  Содержит все события, связанные с Центром обновления Windows

• %WINDIR%\SoftwareDistribution\ReportingEvents.log
  Содержит события, связанные с отчетами о состоянии обновления программного обеспечения.

Средство обслуживания образов развертывания и управления ими (DISM)

• %WINDIR%\Logs\DISM\dism.log
  Содержит информацию о событиях, которые происходят при взаимодействии с образом Windows.

Обслуживание на основе компонентов (CBS)

• %WINDIR%\Logs\CBS\CBS.log
  Содержит информацию о событиях, которые происходят при взаимодействии с компонентами и функциями Windows.

Answer 2

Я думаю, что вы просите невозможного. В журнале событий Windows имеется множество разделов журнала, к которым обращаются как приложения, так и службы, отличные от Windows, и отличаются от одной версии Windows к другой. Кроме того, существует множество других параметров ведения журнала, включая текстовые (например, .log) файлы и внутреннюю базу данных Windows.

Список будет обширным и разнообразным, и будет зависеть от конкретной операционной системы и того, как он настроен.

Answer 3

Бежать

wevtutil el

в командной строке.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>