如何查看系统的安全日志？

方法一：通过事件查看器查看安全日志

• 步骤：
  1. 打开“事件查看器”：
     • 按下Win + R键，输入eventvwr.msc ，然后按回车。
  2. 在左侧导航栏中展开“Windows 日志”。
  3. 点击“安全”，查看所有安全相关事件。
  4. 可以根据需要筛选特定类型的事件（如成功登录、失败登录等）。
  5. 双击某个事件以查看详细信息，包括事件ID、时间、用户和操作描述。

方法二：通过 PowerShell 查看安全日志

• 步骤：
  1. 打开“PowerShell”：
     • 按下Win + X键，选择“Windows PowerShell”。
  2. 输入以下命令以列出最近的安全事件：
      

     Get-WinEvent -LogName Security | Format-Table TimeCreated, ID, Message -AutoSize
  3. 如果需要查找特定类型的事件，可以使用过滤器。例如，查找登录事件（事件ID为4624）：
      

     Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Format-Table TimeCreated, Message -AutoSize

方法三：通过命令提示符查看安全日志

• 步骤：
  1. 打开“命令提示符”：
     • 按下Win + R键，输入cmd，然后按回车。
  2. 输入以下命令以导出安全日志到文件：

     wevtutil qe Security /f:text > security_log.txt 
     

  3. 打开生成的security_log.txt 文件，查看安全日志内容。

方法四：通过第三方工具查看安全日志

• 推荐工具：
  1. Event Log Explorer：
     • 提供友好的界面来查看和分析事件日志。
  2. SolarWinds Event Log Forwarder：
     • 支持集中管理和分析多台计算机的安全日志。
• 步骤：
  1. 下载并安装上述工具之一。
  2. 打开工具并连接到目标计算机。
  3. 导航到安全日志部分，查看详细的事件记录。

方法五：设置安全日志的保留策略

• 步骤：
  1. 打开“事件查看器” -> “Windows 日志” -> “安全”。
  2. 右键单击“安全”，选择“属性”。
  3. 在“常规”选项卡中，设置日志的最大大小和覆盖旧事件的策略。
  4. 点击“确定”保存更改。