您可以从计算机上保存的日志中了解到的信息摘要 – Windows 11
本文推荐给以下人群:
- 想知道自己的计算机上保存了哪些日志的人
在这里,我们将总结您可以从标准 Windows 功能保存的历史记录和日志中了解到的信息。
本文介绍的日志都是常见的日志。
事实上,您的计算机上存储的日志非常多,本文无法一一介绍。
目录
日志可让您检查计算机启动(登录)和关闭(注销)的日期和时间
首先,它是一个日志,显示计算机启动(登录)和关闭(注销)的日期和时间。
具有以下事件 ID 的日志保存在事件查看器的“Windows 日志”的“系统”部分中。
| 酱 | 事件ID | 内容(你能理解的内容) |
| 电源故障排除程序 | 1 | 进入睡眠状态的日期和时间以及从睡眠状态唤醒的日期和时间 |
| 通用内核 | 12 | Windows 启动日期和时间 |
| 通用内核 | 13 | 关机开始日期和时间 |
| 内核电源 | 42 | 它何时以及为何入睡? |
| 事件日志 | 6005 | 事件日志服务启动的日期和时间*1 |
| 事件日志 | 6006 | 事件日志服务结束的日期和时间*2 |
| 事件日志 | 6008 | 意外关闭日期和时间,例如强制终止 |
| 事件日志 | 6009 | Windows 启动时启动的操作系统的详细信息 *3 |
| 登录系统 | 7001 | 登录 Windows 的时间 |
| 登录系统 | 7002 | 您从 Windows 注销的时间 |
与计算机启动和关闭相关的事件 ID
通过检查这些内容,您可以查看计算机的启动时间和分钟以及关闭时间。
有关更多详细信息,请查看“如何在 Windows 11 中检查电脑启动和关闭的日期和时间”。
相关文章
如何检查电脑启动和关闭 Windows 11 的日期和时间
如何从事件查看器检查Windows 11中PC启动和关闭的日期和时间,如果事件查看器中未保存日志该怎么办,以及命令过程...
允许您检查哪些应用程序(软件)启动以及启动时间的日志。
接下来,我们将介绍日志,让您可以检查启动了哪些应用程序(软件)以及何时启动。
为了检查该日志,您必须提前启用“进程跟踪审核”并保存操作历史记录,例如启动和关闭应用程序和软件的历史记录(日志)。
请在此处查看详细说明。
允许您检查哪些应用程序(软件)启动以及启动时间的日志。
具有以下事件 ID 的日志保存在事件查看器的“Windows 日志”的“安全”部分中。
ログの名前: Security
ソース: Microsoft-Windows-Security-Auditing
日付: 2022/02/22 20:11:53
イベント ID: 4688
タスクのカテゴリ: Process Creation
レベル: 情報
キーワード: 成功の監査
ユーザー: N/A
コンピューター: MSI
説明:
新しいプロセスが作成されました。
作成元サブジェクト:
セキュリティ ID: MSIXXXXXXXXXX
アカウント名: XXXXXXXXXX
アカウント ドメイン: MSI
ログオン ID: 0x29CF884B
ターゲット サブジェクト:
セキュリティ ID: NULL SID
アカウント名: -
アカウント ドメイン: -
ログオン ID: 0x0
プロセス情報:
新しいプロセス ID: 0xac0
新しいプロセス名: C:Program Files (x86)Microsoft OfficerootOffice16POWERPNT.EXE
トークン昇格の種類: TokenElevationTypeLimited (3)
必須ラベル: Mandatory LabelMedium Mandatory Level
作成元プロセス ID: 0x1c48
作成元プロセス名: C:Windowsexplorer.exe
プロセスのコマンド ライン:
トークン昇格の種類は、ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類を示します。
種類 1 は、特権が削除されていない、またはグループが無効にされていない、フル トークンです。フル トークンは、ユーザー アカウント制御が無効の場合、またはユーザーが組み込みの管理者アカウントまたはサービス アカウントである場合にのみ使用されます。
種類 2 は、特権が削除されていない、またはグループが無効にされていない、昇格されたトークンです。昇格されたトークンは、ユーザー アカウント制御が有効であり、ユーザーが管理者として実行してプログラムを起動することを選択する場合に使用されます。昇格されたトークンは、アプリケーションが常に管理者特権を要求するか、または常に最高の特権を要求するように構成され、ユーザーが管理者グループのメンバーである場合にも使用されます。
種類 3 は、管理者特権が削除され、管理グループが無効にされた、制限されたトークンです。制限されたトークンは、ユーザー アカウント制御が有効で、アプリケーションが管理者特権を要求せず、ユーザーが管理者として実行してプログラムを起動しない場合に使用されます。这是启动 POWERPNT.EXE (PowerPoint) 时创建的日志。
通过检查这些内容,您可以了解谁在何时启动了哪个应用程序(软件)。
更详细的信息请查看《如何在Windows 11中查看应用程序和软件启动和终止的历史记录》。
我们还介绍了启动 Google Chrome 时的日志和启动 Microsoft Edge 时的日志,因此请查看。
相关文章
如何检查启动和关闭应用程序和软件Windows 11的历史记录
如何启用将应用程序和软件的启动和终止记录为历史记录(日志)的功能,以及如何使用实际保存的历史记录(日志)来查看计算机的使用历史记录...
允许您检查连接到哪个 Wi-Fi 以及何时连接的日志。
以下是与 Wi-fi 连接相关的日志。
通过检查此日志,您可以检查您何时以及连接了哪个 Wi-Fi。
这也是“允许您检查哪些应用程序(软件)启动以及启动时间的日志。'',必须提前启用日志采集。
单击此处获取详细说明。
允许您检查连接到哪个 Wi-Fi 以及何时连接的日志。
在事件查看器中Microsoft>Windows>WLAN-自动配置>操作与 Wi-Fi 连接相关的日志保存在 .
当 PC 连接到 Wi-Fi 时,会创建如下所示的日志。
| 事件ID | 日志标题 | 内容 |
| 8000 | WLAN自动配置服务是 您已开始连接到无线网络。 |
哪个SSID对应什么连接模式(自动/手动) 您是否尝试过连接 Wi-Fi? |
| 11000 | 无线网络协会 它已经开始了。 |
发起网络连接尝试 |
| 11001 | 无线网络协会 成功的。 |
网络连接尝试成功/失败 |
| 11010 | 推出无线安全。 | 开始构建无线安全 |
| 11005 | 成功的无线安全。 | 成功构建无线安全 |
| 8001 | WLAN自动配置服务 您已成功连接到无线网络。 |
连接成功/失败日志 哪个SSID对应什么连接模式(自动/手动) 你连接了吗? |
连接 Wi-fi 时记录
相反,如果您断开连接,则会创建如下所示的日志。
| 事件ID | 日志标题 | 内容 |
| 11004 | 无线安全已停止。 | 断开 Wi-Fi 之前的处理 |
| 8003 | WLAN自动配置服务 您已成功断开与无线网络的连接。 |
哪个 SSID 被断开、何时以及如何断开? |
Wi-Fi 断开时记录
更详细的信息,请查看“如何在连接 Wi-Fi 时检查日志 - Windows 11”,其中有详细说明。
相关文章
如何查看Wi-Fi连接时的日志 – Windows11
本页详细介绍了如何在连接 Wi-Fi 时检查日志。
允许您检查打印历史记录的日志
以下是一个令人惊讶的未知检查日志的方法,可以让您检查打印历史记录。
检查打印历史记录的方法有两种:在事件查看器中检查日志以及从打印机设置(打印机队列)检查打印历史记录。对于不太熟悉计算机操作的用户,我们建议从打印机设置(打印机队列)检查打印历史记录。
您可以滚动
| 来自事件查看器 如何查看打印日志 |
从打印机设置(打印机队列) 如何查看打印历史记录 |
|
| 观看方便 | 很难看到 | 容易看到 |
| 打印时间 | 可以确认 | 可以确认 |
| 打印的打印机 | 可以确认 | 可以确认 |
| 打印页数 | 可以确认 | 可以确认 |
| 打印文件名 | 无法确认 | 可以确认 |
| 已用磁盘空间 | 少量使用 | 使用大量空间 |
如何使用事件查看器检查日志与如何从打印机设置(打印机队列)检查打印历史记录之间的差异
您需要提前启用“设置打印后保留文档”。
单击此处获取详细说明。
如何从打印机设置(打印机队列)检查打印历史记录
更详细的信息请参见《如何查看打印日志(历史记录)- Windows 11》中的详细说明。
相关文章
如何查看打印日志(历史记录) – Windows11
在本文中,我们将详细说明两种方法:如何使用 Windows 事件查看器检查打印日志(历史记录),以及如何从打印机设置(打印机队列)检查打印历史记录。
日志可让您检查 USB 设备的使用历史记录
接下来是如何检查容易出现问题的 USB 设备的使用历史记录。
在Windows的初始设置中,USB连接和断开时的日志被禁用(不保存)。
为了检查 USB 使用历史记录,您必须首先启用 USB 插入和拔出时的日志保存功能。
单击此处获取详细说明。
日志可让您检查 USB 设备的使用历史记录
可以在事件查看器中查看 USB 设备的使用历史记录。Microsoft>Windows>DriverFrameworks-UserMode>操作将会被拯救。
当您将 USB 插入 PC 时,将会创建如下所示的日志。
| 酱 | 事件ID | 任务类别 |
| DriverFrameworks-用户模式 | 2003年 | 加载驱动程序以控制新发现的设备。 |
| DriverFrameworks-用户模式 | 2010年 | 加载驱动程序以控制新发现的设备。 |
| DriverFrameworks-用户模式 | 2004年 | 加载驱动程序以控制新发现的设备。 |
| DriverFrameworks-用户模式 | 2006年 | 加载驱动程序以控制新发现的设备。 |
| DriverFrameworks-用户模式 | 2100 | 对特定设备的 Pnp 或电源管理操作。 |
| DriverFrameworks-用户模式 | 2105 | 对特定设备的 Pnp 或电源管理操作。 |
| DriverFrameworks-用户模式 | 2106 | 对特定设备的 Pnp 或电源管理操作。 |
| DriverFrameworks-用户模式 | 2101 | 对特定设备的 Pnp 或电源管理操作。 |
| DriverFrameworks-用户模式 | 2100 | 对特定设备的 Pnp 或电源管理操作。 |
| DriverFrameworks-用户模式 | 2102 | 对特定设备的 Pnp 或电源管理操作。 |
USB插入PC时记录的日志
另一方面,如果您从 PC 上拔下 USB 设备,则会创建如下所示的日志。
| 酱 | 事件ID | 任务类别 |
| DriverFrameworks-用户模式 | 1008 | 驱动程序主机进程的关闭。 |
| DriverFrameworks-用户模式 | 2901 | 驱动程序主机进程的关闭。 |
| DriverFrameworks-用户模式 | 2900 | 驱动程序主机进程的关闭。 |
| DriverFrameworks-用户模式 | 1006 | 驱动程序主机进程的关闭。 |
| DriverFrameworks-用户模式 | 2102 | 对特定设备的 Pnp 或电源管理操作。 |
| DriverFrameworks-用户模式 | 2100 | 对特定设备的 Pnp 或电源管理操作。 |
从 PC 拔出 USB 时记录的日志
更详细的信息,请查看“如何检查USB插入和拔出时的日志 - Windows 11”,其中有详细说明。
相关文章
如何查看USB插入/拔出时的日志 – Windows11
我们将详细说明如何在将 USB 连接到 PC 时检查日志。
允许您检查 VPN 连接历史记录的日志
可以在事件查看器中查看启动或结束 VPN 连接的日志(历史记录)。Windows 日志 > 应用程序“或者”Windows 日志 > 系统” 保存在日志中。
过滤应用程序日志
这些日志可用于审核 VPN 连接的历史记录并隔离 VPN 连接无法正常工作的情况。
当您建立 VPN 连接时,将在应用程序日志中创建以下日志。
您可以滚动
| 酱 | 事件ID | 解释 |
| 拉斯客户端 | 20221 | 您使用哪个配置文件来启动 VPN 连接? 用于 VPN 连接的用户 ID VPN 类型(L2TP、iPsec 等) 有关 VPN 连接的其他信息 |
| 拉斯客户端 | 20222 | 您向哪个 IP 地址(服务器)发起 VPN 连接? VPN使用的端口号 使用 VPN 的设备类型 |
| 拉斯客户端 | 20223 | VPN 连接成功到哪个 IP 地址(服务器)? VPN使用的端口号 VPN 使用的设备类型 |
| 拉斯客户端 | 20224 | VPN 连接已建立的通知 |
| 拉斯客户端 | 20225 | 目的服务器分配的IP地址 用于 VPN 连接的拨入用户名 |
连接 VPN 时创建的应用程序日志
更详细的信息,请查看“如何检查连接 VPN 时的日志 - Windows 11”,其中有详细说明。
相关文章
如何查看连接VPN时的日志 – Windows11
本文介绍了如何在Windows 11上高效检查VPN连接日志。我们主要关注“事件查看器”的过滤功能和使用“批处理文件”批量提取,初学者...
点击此处查看与Windows 11相关的其他文章,请查看。
