那么选择登录，我们要去分析日志，那么我们就用这个命令加 R win加r windows键加二键，然后去输入这个命令，我们就可以去调出来事件查看器，通过事件查看器，我们就要去分析，分析他有到底有没有对我们进行登录，没有对我们进行爆破，那么我们怎么去通过事件查看器，去查看有没有对我们进行登录和和爆破，那么我把这个图放大之后给大家讲一下，主要是怕大家看不清，其他倒是没什么。

好，进来这个事件查看器以后，我们去看安全日志，有一些系统的它这里是security，它是个英文版的，那么我们去筛选当前的日志，筛选的那些日志，然后我们可以时间是可以自定义的，我们就可以自定义为一个区间，5月19号往后的所有的时间都可以，或者我们就默认任何时间也是ok的，那么我们这里关于windows事件日志，我们去查看它是否登录成功，是否有爆破，我们就去查看4624和4625，那么以逗号的形式去分割开就可以了。

那么关键字，我们可以去进行选择是审核成功和审核失败，审核成功。他登录上来的时候，他检查这个账号密码是不是正确的，他不是自己去创建一个test的 Test的账号吗？那么他是知道自己的账号和密码的对不对？如果他成功的登录了以后，那么就一定是有审核成功的一个字样。

也就是我们的一个关键字，如果它有爆破行为，什么是爆破行为？就是他不知道这一台电脑的这个账号和密码，那么他就会不停的去试，本来我们假设我们真正的连接的账号密码是账号是ABC密码是123，但是你用账号ABC密码是456，你就会失败。那这个时候我们也可以去看到，你有可能在对我们进行一个爆破，瞬间很多的还有用户，用户和计算机通常是默认，除非什么？除非当前的这台计算机它只有一个用户，但是这个对于我们的服务器来说是不太可能的，而且权限控制这一块相对来说是比较严格的，不同的用户是具备不同的权限的。所以说这个地方的话，我们通常是默认的一个状态。那么我们通过这个去进行查看以后，查看到什么呀，查看到4624，5月12号的时候在某某几点几分，是不是就登录成功了，这个是我自己电脑上面的一个截图给大家去讲。实际的截图在哪里？实际截图在这里，实际节奏是在这里。

这个比较模糊的同时在这里这个应该是该看见。5月19号4624登陆成功。你看从这里其实从10其实从11分的时候，他就一直在审核在登录，它是它会产生很多的日志和咱们很多资质，并且登录的域是哪一个登录的账号是哪一个都会给你展示出来，这个是客户的电脑的ID为了保密的话，我给他进行了脱密，进行透明，这里我是可以看得到，登录的ID的那在这个图上面应该是可以看得更清楚，很清楚给大家看。