本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ，第3.2.3节，（美）　Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips　著 姚　军　简于涵　刘　晖　等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.2.3　Windows事件日志

Microsoft在很久以前就决定要创造自己的日志生成和收集系统。这一系统被称作事件日志（Event Log）。该系统经过了多年的发展，几乎和Windows出现得一样早。现在的事件日志有一些高级特性。事件日志主要用于收集和查看两类日志：

• Windows日志
• 应用程序日志

Windows日志至少包括应用程序、安全和系统。最重要的是安全日志。这是登录、注销、资源访问（共享、文件等）记录的地方。应用程序日志不言自明。应用程序可以写入该日志，传递状态、错误和其他值得记录的项目。
我们来简单地看一下事件日志。你可以这样启动查看器：控制面板→系统和安全→管理工具→查看事件日志。这将打开事件查看器。图3.1展示了查看器。

在窗口的左侧窗格是各种日志消息类型。中间是你所选择的日志消息（例中是安全日志）。在中间的日志消息下方是日志消息的细节。如果双击日志消息，将得到类似图3.2的弹出式消息。

图3.2展示了你所选择的日志消息细节。根据日志消息类型，你将看到如下内容：
事件ID（图3.2中是4624）。
账户名称
域
资源（文件或者目录访问时）
状态（请求成功与否）
内建的日志查看器所能显示的内容已经很好了，但是你可以使用http://eventid.net/更深入地了解事件的含义。如果你有事件ID，可以用这个网站获取该事件的更多细节。图3.3是该网页关于事件ID4624的片断。
你可以看到，这里的内容比图3.2中实际日志的细节更多。

第8章和第15章讨论了Windows事件查看器这种宝贵资源的易管理性。