文章总结： 本文详细介绍Windows事件查看器的使用方法，包括三种打开方式（图形化、运行命令、搜索启动）及核心安全事件ID的含义，如4624登录成功、4625登录失败、4720账户创建等。文章提供了安全日志分析技巧，建议重点关注关键事件ID、结合时间维度排查、导出日志备份。该指南有助于管理员监控系统安全、追踪异常行为，具有较强实用性。 综合评分： 82 文章分类： 安全运营,终端安全,安全工具,安全建设,安全意识

Windows事件查看器实用指南：安全日志查看与故障排查

耶度 耶度

野猪与安全

2026年3月11日 18:13 广东

#

在 Windows 操作系统中，事件查看器是一款不可或缺的系统管理工具，它如同系统的“日志记录仪”，全程监控系统运行状态、记录各类操作事件，尤其在排查系统故障、追踪安全隐患时发挥着核心作用。其中，安全日志作为重中之重，能够详细记录用户登录行为、账户权限变更、日志操作等关键安全事件，帮助管理员快速识别未授权访问、暴力破解等异常情况。本文将从入门操作到高级应用，详细讲解事件查看器的打开方法、核心安全事件 ID 含义及日志分析技巧，助力大家轻松掌握系统安全监控能力。

一、事件查看器的三种打开方法

事件查看器的打开方式灵活多样，可根据个人操作习惯选择，以下三种方法覆盖图形化操作、快捷命令、搜索启动三种场景，兼顾新手与进阶用户需求。

方法一：通过「此电脑」图形化操作（新手首选）

该方法无需记忆命令，全程通过界面点击完成，适合不熟悉系统命令的用户：

1. 在桌面空白处或文件资源管理器中，找到「此电脑」图标，右键单击该图标，在弹出的右键菜单中选择「管理」选项（若未找到「此电脑」，可通过桌面个性化设置调出）。
2. 弹出「计算机管理」窗口后，在左侧导航栏的「系统工具」分类下，找到「事件查看器」选项并点击，即可展开事件查看器的详细菜单。
3. 在事件查看器左侧导航栏中，找到「Windows 日志」并点击展开，在下拉菜单中选择「安全性」，此时右侧窗口将显示系统所有的安全事件记录。
4. 如需查看某一事件的详细信息，只需双击该事件，即可弹出「事件属性」窗口，其中包含事件发生时间、操作主体、事件详情等关键信息。

方法二：通过运行命令快速启动（进阶首选）

该方法操作便捷、启动速度快，适合熟悉系统快捷键的用户，只需两步即可直接打开事件查看器：

1. 按下键盘上的 Win + R 组合键，快速调出「运行」对话框（Win 键即键盘上带有 Windows 图标的按键）。
2. 在「运行」对话框的输入框中，输入命令“eventvwr.msc”或简化输入“eventvwr”，输入完成后按下回车键，即可直接打开事件查看器主界面，无需经过中间步骤。

方法三：通过开始菜单搜索启动（通用方法）

该方法适用于所有用户，无需记忆路径或命令，通过系统搜索即可快速定位并打开：

1. 点击任务栏左侧的「开始」按钮，或直接按下 Win 键，调出开始菜单。
2. 在开始菜单顶部的搜索框中，输入「事件查看器」，系统将实时搜索相关应用，点击搜索结果中带有“应用”标识的「事件查看器」，即可完成启动。

二、核心安全事件ID详解

事件查看器中的安全日志包含大量事件记录，每个事件都对应一个唯一的 ID（事件 ID），通过筛选事件 ID，可快速定位特定类型的安全事件，提高排查效率。

需要注意的是，安全日志的默认存储路径为：C:\Windows\System32\winevt\Logs\Security.evtx，同目录下还存储着系统日志（System.evtx）和应用程序日志（Application.evtx），便于统一管理和备份。

筛选事件的方法十分简单：右键单击「安全性」日志，在弹出的菜单中选择「筛选当前日志」，在弹出的筛选器窗口中，输入对应的事件 ID，即可筛选出目标事件。以下按“系统运行”和“安全防护”两大类，详解最常用的事件 ID 含义及应用场景。

（一）系统运行相关事件 ID

• 1074：核心用于追踪系统启停记录，可查看计算机的开机、关机、重启的具体时间，同时会记录操作的原因（如用户手动重启、系统更新触发重启）及相关注释，是排查系统异常启停的关键依据。
• 6005：表示系统日志服务已成功启动，该事件 ID 出现时，说明系统在对应时间点正常启动，无启动故障，可作为系统正常运行的参考指标。
• 104：记录所有审计日志的清除操作，无论是恶意清除还是误操作清除，都会生成该事件。这是监控日志完整性的核心 ID，一旦发现该事件，需高度警惕，可能存在恶意人员试图清除操作痕迹、掩盖非法行为的情况。

温馨提示：当检测到 104 事件时，建议立即查看系统登录记录，排查是否存在未授权访问行为，同时检查日志备份情况，避免关键日志丢失。

（二）安全防护相关事件 ID

• 4624：记录用户成功登录系统的所有行为，筛选该 ID 可查看登录用户、登录时间、登录方式（本地登录、远程登录等）、登录 IP 等详细信息，用于追踪合法登录轨迹，排查异常登录行为。
• 4625：记录用户登录失败的事件，会详细标注登录失败的原因，如密码错误、账户锁定、权限不足等。该 ID 是监控暴力破解、非法登录尝试的核心指标，对系统安全防护至关重要。
• 4720/4722/4723/4724/4725/4726/4738/4740：这一组事件 ID 主要用于监控用户账户的全生命周期操作，包括账户创建、启用、密码修改、密码重置、账户禁用、账户删除、账户信息变更、账户锁定等，可全面掌握账户权限的变动情况，防范非法账户操作。
• 4727/4737/4739/4762：主要记录用户组的相关操作，包括用户组创建、组权限变更、组内成员添加/删除等，用于监控用户组权限的变动，避免未授权权限提升。

温馨提示：若短时间内出现大量 4625 事件，说明系统可能正遭受暴力破解攻击，建议立即启用账户锁定策略（限制错误登录次数），检查防火墙规则，阻止可疑IP访问，同时及时修改管理员密码，提升账户安全性。

三、常用安全事件ID汇总表（备查）

为方便大家快速查阅和使用，以下汇总了 Windows 系统中常用的安全事件 ID 及对应事件说明，涵盖系统运行、账户管理、安全防护等多个场景，可直接对照使用。

| 事件ID | 安全事件说明 | | — | — | | 1100 | 事件记录服务已关闭 | | 1102 | 审核日志已清除 | | 1104 | 安全日志现已满 | | 4608 | Windows 正在启动 | | 4609 | Windows 正在关闭 | | 4624 | 帐户已成功登录 | | 4625 | 帐户无法登录 | | 4634 | 帐户已注销 | | 4688 | 已经创建了一个新流程 | | 4689 | 一个过程已经退出 | | 4720 | 已创建用户帐户 | | 4722 | 用户帐户已启用 | | 4723 | 尝试更改帐户的密码 | | 4724 | 尝试重置帐户密码 | | 4725 | 用户帐户已被禁用 | | 4726 | 用户帐户已删除 | | 4738 | 用户帐户已更改 | | 4740 | 用户帐户已被锁定 | | 4800 | 工作站已锁定 | | 4801 | 工作站已解锁 | | 5024 | Windows 防火墙服务已成功启动 | | 5025 | Windows 防火墙服务已停止 | | 5140 | 访问了网络共享对象 | | 5145 | 检查网络共享对象以查看是否可以向客户端授予所需的访问权限 |

注：以上为最常用的安全事件 ID，如需完整 ID 列表，可通过事件查看器的「筛选当前日志」功能，查看系统所有事件 ID 及说明。

四、安全日志分析实用技巧

掌握事件 ID 含义后，合理运用分析技巧，可快速定位安全隐患和系统故障，提升排查效率，以下是 3 个实用技巧，适用于日常系统管理和安全监控。

技巧一：聚焦关键事件ID，精准排查异常

日常监控中，无需逐一查看所有日志，重点关注核心事件ID即可：优先监控4625（登录失败）、104（日志清除）、4740（账户锁定）、4624（成功登录）等ID，这些ID直接关联系统安全核心场景。例如，大量4625事件可能是暴力破解，104事件可能是恶意清除痕迹，发现后需立即采取防护措施。

技巧二：结合时间维度，缩小排查范围

当系统出现异常（如账户被盗、系统故障）时，可通过筛选日志的时间范围，快速定位异常发生的具体时间段。例如，怀疑某一天有未授权登录，可在事件查看器中筛选该天的 4624 和 4625 事件，查看登录记录，锁定异常登录的时间和 IP。

技巧三：导出日志，便于深度分析和备份

若需要对日志进行离线分析、长期备份，或分享给技术支持人员排查问题，可将日志导出为EVTX格式文件（系统默认日志格式）。操作方法：右键单击「安全性」日志，选择「另存为」，在弹出的窗口中选择保存路径和文件名称，保存类型选择「事件文件（*.evtx）」，即可完成导出，后续可使用事件查看器或专业日志分析工具打开查看。

五、总结

Windows 事件查看器是系统安全监控和故障排查的核心工具，掌握其打开方法、核心事件 ID 含义及分析技巧，能有效提升系统管理效率，及时发现和防范安全隐患。日常使用中，建议定期查看关键事件 ID，做好日志备份，形成常态化监控习惯，确保系统运行安全稳定。对于新手而言，可先从熟悉常用事件 ID 入手，逐步掌握日志分析技巧，逐步提升系统管理能力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全 耶度 耶度《Windows事件查看器实用指南：安全日志查看与故障排查》