Windows 系统通过事件查看器(Event Viewer)记录各类系统、安全与应用程序日志。每个日志条目都包含一个“事件ID”(Event ID),用于标识特定类型的事件。本文档整理了部分常见事件ID及其含义,便于快速查阅。
| 事件ID | 日志类型 | 说明 |
|---|---|---|
| 4624 | 安全 | 账户成功登录 |
| 4625 | 安全 | 账户登录失败 |
| 4634 | 安全 | 账户注销 |
| 4648 | 安全 | 使用显式凭据尝试登录(如 RunAs) |
| 4720 | 安全 | 创建用户账户 |
| 4726 | 安全 | 删除用户账户 |
| 6005 | 系统 | 事件日志服务已启动(系统开机) |
| 6006 | 系统 | 事件日志服务已停止(系统关机) |
| 1074 | 系统 | 系统即将重启或关机(由用户或程序触发) |
| 7031 | 系统 | 某服务意外终止 |
| 7034 | 系统 | 某服务意外终止多次,未自动恢复 |
| 1001 | 应用程序 | Windows 错误报告(如程序崩溃) |
| 1000 | 应用程序 | 应用程序错误(例如 .exe 崩溃) |
1. 按下 Win + R,输入 eventvwr.msc 并回车。
2. 在“事件查看器”中展开“Windows 日志”,选择“系统”、“安全”或“应用程序”。
3. 右侧可看到每条日志的“事件ID”。
并非所有事件ID都表示错误。有些是信息性日志(如 6005 表示系统启动)。请结合上下文和发生频率判断是否需要处理。