Event Log Location

%SystemRoot%\System32\winevt\Logs\

三種主要取得 Event Log 的方法：

1. Event Viewer (GUI-based application)
2. Wevtutil.exe (command-line tool)
3. Get-WinEvent (PowerShell cmdlet)

常使用的 Log

• Security.evtx
• System.evtx
• Application.evtx
• Windows PowerShell.evtx
• Microsoft-TerminalServices-LocalSessionmanager%3Operational.evtx

特殊狀況Log

• MSExchange Management.evtx
• IIS Log
• FireWall Log

Log 說明

• System.evtx

  在 System 中有主機運作的相關訊息。

• Security.evtx

  在 Security Log 中有主機的 Login/Logout 資訊，還有其他 Security 相關的 log。

• Application.evtx

  Application log

• Windows PowerShell.evtx

  在 Windows PowerShell 中有 PowerShell 執行的相關訊息。

  %SystemRoot%\System32\winevt\ Logs\Microsoft-Windows-PowerShell%4Operational.evtx

  windows rdp

• Microsoft-TerminalServices-LocalSessionmanager%3Operational.evtx

  MSExchange Management log 記錄了 Exchange 的操控行為，如果需調查的主機是 Exchange Server，此 Log 可能會有一些弱點被利用的資訊。

• MSExchange Management.evtx

  如果有 Exchange 可以參考這個 Log

Windows Defender Firewall log

在Windows Defender Firewall 中設定 win + r 執行 wf.msc 開啟defender firewall

%systemroot%\system32\LogFiles\Firewall\pfirewall.log

參考網站

• how-to-track-firewall-activity-with-the-windows-firewall-log

查詢稽核原則

Auditpol /get /category:*

設定稽核原則

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

IIS Log 位置

%SystemDrive%\inetpub\logs\LogFiles