Esiste un elenco completo di ciò che Windows registra o può registrare?


21

So che c'è il registro degli eventi, ma non è lì che si ferma. Vi sono registri per eseguibili MSI, registri dispositivi, installazione e installazione, registri delle prestazioni e così via. Probabilmente è una lista abbastanza lunga; tuttavia, dove posso trovare un elenco esaustivo di ciò che registra Windows?

Di preferenza sarebbe utile avere una lista che va oltre ciò che è attivo di default; per sapere cosa fa ogni logger, quali non sono attivi per impostazione predefinita, quali possono ('t) essere girati, ...

Conosci qualche lista del genere? Qualcuno per la costruzione di una tale lista?


1
Oltre a qualsiasi risposta, è possibile utilizzare PowerShell per scrivere i propri eventi nel registro eventi, quindi qualsiasi script creato o applicazione Windows interna può scrivere nel registro eventi. È importante ricordare che finestre 'non sta facendo il logging nella maggior parte dei casi, ma dipende dalla singola applicazione per fare il log dei propri eventi.
MDMoore313

Risposte:


19

Posizioni di registro centralizzate

  • %WINDIR%\System32\config o %WINDIR%\System32\winevt\Logs
    Contiene la maggior parte dei registri eventi accessibili dal Visualizzatore eventi.

  • %WINDIR%\Logs
    Contiene molti file di log testuali.

Microsoft Security Essentials

  • %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
    Registri di runtime

  • %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
    Registri di installazione

Registri di installazione temporanea e di Windows Defender

  • %WINDIR\Temp\*.log
    Contiene informazioni sulle installazioni MSI e sull'avvio / scansione di Windows Defender.

  • %AppData%\Local\Temp\*.log
    Contiene informazioni sulle installazioni MSI eseguite nel contesto dell'utente corrente.

Registri di installazione di Windows

  • %AppData%\Local\Microsoft\Websetup (Windows 8)
    Contiene dettagli sulla fase di configurazione Web di Windows 8.

  • %AppData%\setupapi.log (Windows XP e versioni precedenti)
    Contiene informazioni sulle modifiche del dispositivo e del driver e importanti modifiche al sistema, come l'installazione di service pack e hotfix.

  • %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
    Contiene informazioni su azioni di configurazione, errori, struttura, SID e dispositivi di configurazione iniziali. Quando l'installazione viene ripristinata, questi file conterranno le informazioni di rollback.

  • %WINDIR%\PANTHER\*.log,xml
    Contiene informazioni su azioni di configurazione, errori, struttura, SID e dispositivi di configurazione successivi.

  • %WINDIR%\INF\setupapi.dev.log
    Contiene informazioni sui dispositivi Plug and Play e le installazioni dei driver.

  • %WINDIR%\INF\setupapi.app.log
    Contiene informazioni sulle installazioni di applicazioni.

  • %WINDIR%\Performance\Winsat\winsat.log
    Contiene i risultati dei test delle prestazioni.

Servizio Ora di Windows

  • A abilitare registrazione del servizio ora di Windows:

    w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
    
  • A disattivare la registrazione del servizio Ora di Windows viene eseguita:

    w32tm /debug /disable
    

aggiornamento Windows

  • %WINDIR%\WindowsUpdate.log
    Contiene tutti gli eventi relativi a Windows Update

  • %WINDIR%\SoftwareDistribution\ReportingEvents.log
    Contiene eventi relativi ai report di stato degli aggiornamenti software.

Strumento di gestione e gestione delle immagini di distribuzione (DISM)

  • %WINDIR%\Logs\DISM\dism.log
    Contiene informazioni sugli eventi che si verificano durante l'interazione con l'immagine di Windows.

Assistenza basata su componenti (CBS)

  • %WINDIR%\Logs\CBS\CBS.log
    Contiene informazioni sugli eventi che si verificano durante l'interazione con componenti e funzionalità di Windows.

1
+1 Potremmo costruire una lista del genere perché dubito che esista.
Tom Wijsman

-1

Penso che tu stia chiedendo l'impossibile. Esistono numerose sezioni di registro nel registro eventi di Windows, a cui si accede da applicazioni e servizi Windows e non Windows, e differiscono da una versione Windows alla successiva. Inoltre, ci sono numerose altre opzioni di registrazione, inclusi file di testo (ad esempio .log) e in Database interno di Windows .

La lista sarebbe ampia e varia e dipenderebbe dal particolare sistema operativo che hai e da come è configurato.


1
@ TomWijsman - Sostituire "impossibile" con "Improbabile, difficile da comprendere". E Windows Server fa parte della famiglia Windows che hai incluso nei tuoi tag.
CJM

D'accordo, anche se riunire una lista di base dovrebbe già essere un buon inizio per avere i registri più banali da guardare. Molto probabilmente quando usi qualcosa di molto specifico, come su Windows Server, avrai il registro degli eventi o più log specifici da esaminare; che è molto probabilmente menzionato nella documentazione.
Tom Wijsman

-2

Correre

wevtutil el

al prompt dei comandi.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>

2
Benvenuto! Che ne dici di una espansione sulla tua risposta? In che modo questo aiuta a rispondere alla domanda? Perché qualcuno dovrebbe eseguirlo? In che modo non si tratta solo delle cose del registro eventi standard?
Ƭᴇcʜιᴇ007
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.