Windows的日志

Windows日志文件的类型

推荐查文件后缀名的网站：https://fileinfo.com/

1. .log : .log文件是一种文本文件，用于记录系统或应用程序的事件和信息。它通常包含事件的时间戳和相关的文本信息。log文件可以由操作系统或应用程序创建，用于记录系统事件、安装程序日志或其他需要记录的信息。
2. .etl : 即”Microsoft Event Trace Log File”,ETL文件是一个由Microsoft Tracelog创建的日志文件，Microsoft Tracelog是一个程序，用于创建使用Microsoft操作系统内核生成的事件的日志。它包含了在跟踪会话期间生成的跟踪消息，例如磁盘访问或页面错误。ETL文件用于跟踪操作系统的高频率事件，以记录其性能。
3. .evtx : 即”Event Log File”,EVTX文件是一种Windows事件日志文件，用于记录Windows操作系统和应用程序生成的事件。它是一种二进制格式的日志文件，包含了事件的时间戳、事件ID、事件级别、事件源、事件消息等信息。EVTX文件可以通过Windows事件查看器或其他工具进行分析和查询。

在 Windows 10 中，操作系统日志采用.evtx 格式，如系统日志（system.evtx）、安全性日志（security.evtx）和应用程序日志（application.evtx）等都存储在C:\Windows\System32\winevt\Logs目录下。这些日志文件包含了系统或应用程序的操作信息，如系统警告、错误、信息事件等，对于系统管理员进行故障排查和系统监控非常重要。可以使用事件查看器（Event Viewer）来查看、导出和管理这些.evtx 日志文件。

事件日志操作

• 按win+X，选择事件查看器，即可打开事件查看器。
• 也可以win+R，输入eventvwr.msc，即可打开事件查看器。

出来就像这样

常见的Windows日志文件夹及其分类说明和路径：

• Windows 日志文件夹：
  路径：C:\Windows\System32\winevt\Logs
  分类说明：该文件夹存储了Windows事件日志文件，其中包括以下几种主要类型：
  应用程序日志 (Application)：记录了与安装的应用程序相关的事件和错误。
  安全日志 (Security)：记录了安全审计和安全事件，如用户登录和资源访问。
  系统日志 (System)：记录了与操作系统本身相关的事件和错误，如启动、关机、驱动程序加载等。
  设备管理器日志 (HardwareEvents)：记录了与硬件设备相关的事件，如设备驱动程序安装和卸载。
  Internet Explorer 日志 (Internet Explorer)：记录了Internet Explorer浏览器的事件和错误。
  Windows PowerShell 日志 (Windows PowerShell)：记录了Windows PowerShell脚本执行的事件和错误。

• IIS(Internet Infomation Services) 日志文件夹：
  路径：默认情况下，IIS日志文件存储在目录下。
  分类说明：该文件夹存储了Internet信息服务（IIS）的访问日志和错误日志，用于跟踪Web服务器的访问情况和性能指标。

• 事件查看器订阅文件夹：
  路径：C:\Windows\System32\winevt\Logs
  分类说明：该文件夹存储了事件查看器订阅的日志文件，可以根据订阅配置将特定类型的事件日志保存到指定的位置。

• Sysinternals 日志文件夹：
  路径：Sysinternals工具通常不会将日志存储在特定的文件夹中，而是提供了自定义日志记录功能，可以将日志保存到指定的文件或目录中。