香港VPS在Windows系統中，我們經常會用事件查看器來查看和管理應用程序、安全、系統的日志。但服務器運行過程中會產生大量的日志，如何在這么多的日志文件中篩選到與我們遇到的問題相關的日志信息呢？方法之一是通過事件ID來查找，以下是篩選方法和常見的安全事件和系統日志的ID及含義。

如何篩選？

以下是Windows事件查看器中常見的安全事件ID：

4624 – 成功登錄事件，表示用戶成功登錄系統。

4625 – 登錄失敗事件，表示用戶嘗試但未能成功登錄系統。

4634 – 注銷事件，表示用戶注銷系統。

4647 – 用戶注銷事件，表示用戶通過重新啟動或關閉計算機來注銷系統。

4720 – 創建用戶事件，表示新用戶帳戶已創建。

4722 – 啟用用戶帳戶事件，表示禁用的用戶帳戶已被啟用。

4723 – 更改用戶密碼事件，表示用戶密碼已更改。

4724 – 創建安全組事件，表示新安全組已創建。

4728 – 成功授權事件，表示用戶獲得了指定對象的權限。

4738 – 設置用戶密碼事件，表示用戶密碼已更改或重置。

以下是Windows事件查看器中常見的系統事件ID：

1074 – 通過這個事件ID查看計算機的開機、關機、重啟的時間以及原因和注釋。

6005 – 表示計算機日志服務已啟動，如果出現了事件ID為6005，則表示這天正常啟動了系統。

6006 – 系統關閉

6008 – 非正常關機

6009 – 系統已經重新啟動

6013 – 系統已經重新啟動，原因是操作系統版本升級

7036 – 服務狀態更改

7040 – 啟動或停止監視者通知

7045 – 安裝服務

104 – 這個時間ID記錄所有審計日志清除事件，當有日志被清除時，出現此事件ID。