windows7有三个默认的事件日志分别是

windows7有三个默认的事件日志分别是应用程序日志、系统日志和安全日志。根据查询相关资料信息显示：Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件，用户可以使用应用程序日志、系统日志和安全日志来检查错误发生的原因，寻找受到攻击时攻击者留下的痕迹。

记录 *** 作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日

志中记录的时间类型由Windows NT/2000 *** 作系统预先定义。

默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志

中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以

从程序事件日志中找到相应的记录，也许会有助于你解决问题。

默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、

策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员

可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

系统和应用程序日志存储着故障排除信息，对于系统管理员更为有用。 安全日志记录着事件审计信

息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么，对于调查人员而言，更有帮助。

审核策略与事件查看器

开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略

---