我们来讲windows日志，windows日志主要有三部分，就是分别是系统日志，还有应用程序日志，还有安全日志。系统日志是记录了操作系统逐渐产生的事件，主要包括系统操作驱动程序，还有系统组件和应用程序的崩溃以及数据丢失错误等的事件。系统日志中记录的事情由windows这个操作系统预先定义，它的默认位置是在这里。Sitdown。它你的系统盘的下面的system32日志，下面的一个文件，它的后缀是evt，然后应用程序预知是包含了应用程序和系统程序记录的事件，主要记录程序运行方面的事件。

例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件，如某些应用程序出现崩溃，那么我们可以从程序事件中找到相应的记录。记录的日志路径也是跟上面差不多，它是记录的是特定的某一些应用程序的日志，还有重要的一个日志就是安全日志，它记录的是系统安全的审计，包括很多种类型的登录，还有对象的访问，还有进程的追踪，还有特权的使用，权限的变更，还有这是，账号的管理，还有策略一些敏感的策略的变更，还有系统的重要事件。

安全日志也是调查取证中，最常用到的日志默认设置是安全日志是关闭的，管理员可以使用主策略来启动，或者是这类表中的审核表，然后它的默认位置的话也是这里，它默认是储存在这里，但是你也可以改到其他地方。然后怎么查看，我们可以在计算机管理 Windows日志下面查看它还有一个功能是筛选的功能，然后我现在打开看一下，管理，然后事件查看器，下面有windows日志，然后下面有应用程序的日志，还有安全日志， sister，系统的日志，还有这个是安装的日志，下面还有其他的主要是应用程序，安全和系统。

但是在这三个当中最主要就是安全，因为它的一些审核都在这里，记录着哪个权限，他做了什么，然后我们可以在右边查找这里，可以查找，还有筛选，哪一天的什么时候的应用程序安全和系统审核成功审核有没有过，然后还有日志的登录类别，有几种，有一些常见的，三就是网络登录服务，还有一些明文登录，还有身份变更，它都可以根据类别。还有这个例子是远程桌面爆破的日志，就是有大部分的审核失败，而且是在同一时间之内，大部分审核失败很明显，有黑客在远程登录。