Existe-t-il une liste exhaustive de ce que Windows enregistre ou peut enregistrer?

21

Je sais qu'il y a le journal des événements, mais ce n'est pas là qu'il s'arrête. Il existe des journaux pour les exécutables MSI, les journaux des périphériques, la configuration et l'installation, les journaux de performances, etc. C'est probablement une liste assez longue; cependant, où puis-je trouver une liste aussi exhaustive des journaux Windows?

De préférence, il serait pratique d'avoir une liste qui va plus loin que ce qui est activé par défaut; pour savoir ce que fait chaque enregistreur, lesquels ne sont pas activés par défaut, lesquels ne peuvent pas être désactivés, ...

Connaissez-vous une telle liste? Quelqu'un pour construire une telle liste?

windows logging tracking events minidumps Tamara Wijsman
la source
1
En plus de toute réponse, on peut utiliser powershell pour écrire leurs propres événements dans le journal des événements, afin que tout script créé ou application Windows interne puisse écrire dans le journal des événements. Il est important de se rappeler que « Windows » ne fait pas la journalisation dans la plupart des cas, mais c'est à l'application individuelle de consigner ses propres événements.
MDMoore313

Réponses:

19

Emplacements des journaux centralisés

  • %WINDIR%\System32\configou %WINDIR%\System32\winevt\Logs
    Contenir la plupart des journaux d'événements accessibles à partir de l'Observateur d'événements.

  • %WINDIR%\Logs
    Contient de nombreux fichiers journaux textuels.

Microsoft Security Essentials

  • %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
    Journaux d'exécution

  • %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
    Journaux d'installation

Installation temporaire et journaux de Windows Defender

  • %WINDIR\Temp\*.log
    Contient des informations sur les installations MSI ainsi que sur le démarrage / l'analyse de Windows Defender.

  • %AppData%\Local\Temp\*.log
    Contient des informations sur les installations MSI exécutées dans le contexte de l'utilisateur actuel.

Journaux d'installation de Windows

  • %AppData%\Local\Microsoft\Websetup(Windows 8)
    Contient des détails sur la phase de configuration Web de Windows 8.

  • %AppData%\setupapi.log(Windows XP et versions antérieures)
    Contient des informations sur les modifications de périphérique et de pilote et les modifications importantes du système, telles que l'installation des Service Packs et des correctifs.

  • %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
    Contient des informations sur les actions de configuration, les erreurs, la structure, les SID et les premiers périphériques de configuration. Lorsque l'installation est annulée, ces fichiers contiennent des informations sur la restauration.

  • %WINDIR%\PANTHER\*.log,xml
    Contient des informations sur les actions de configuration, les erreurs, la structure, les SID et les périphériques de configuration ultérieurs.

  • %WINDIR%\INF\setupapi.dev.log
    Contient des informations sur les périphériques Plug-and-Play et les installations de pilotes.

  • %WINDIR%\INF\setupapi.app.log
    Contient des informations sur les installations d'applications.

  • %WINDIR%\Performance\Winsat\winsat.log
    Contient les résultats des tests de performances.

Service de temps Windows

  • Pour activer la journalisation du service de temps Windows:

    w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760

  • Pour désactiver la journalisation de l'exécution du service de temps Windows:

    w32tm /debug /disable

Windows Update

  • %WINDIR%\WindowsUpdate.log
    Contient tous les événements liés à Windows Update

  • %WINDIR%\SoftwareDistribution\ReportingEvents.log
    Contient les événements liés aux rapports d'état des mises à jour logicielles.

Outil de gestion et de service de déploiement d'images (DISM)

  • %WINDIR%\Logs\DISM\dism.log
    Contient des informations sur les événements qui se produisent lors de l'interaction avec l'image Windows.

Maintenance basée sur les composants (CBS)

  • %WINDIR%\Logs\CBS\CBS.log
    Contient des informations sur les événements qui se produisent lors de l'interaction avec les composants et fonctionnalités de Windows.
Oliver Salzburg
la source
1
+1 Nous pourrions constituer une telle liste car je doute qu'il en existe une.
Tamara Wijsman
-1

Je pense que vous demandez l'impossible. Il existe de nombreuses sections de journal dans le journal des événements Windows, accessibles par les applications et services Windows et non Windows, et il diffère d'une version Windows à l'autre. En plus de cela, il existe de nombreuses autres options de journalisation, y compris des fichiers texte (par exemple .log) et dans la base de données interne de Windows .

La liste serait vaste et variée, et dépendrait du système d'exploitation particulier que vous avez et de la façon dont il est configuré.

CJM
la source
1
@ TomWijsman - Remplacez «impossible» par «Peu probable, difficile à comprendre». Et Windows Server fait partie de la famille Windows que vous avez incluse dans vos balises.
CJM
D'accord, même si la création d'une liste de base devrait déjà être un bon début pour avoir les journaux les plus triviaux à consulter. Très probablement, lorsque vous utilisez quelque chose de très spécifique, comme sur Windows Server, vous aurez le journal des événements ou des journaux plus spécifiques à consulter; qui est très probablement mentionné dans la documentation.
Tamara Wijsman
-2

Courir 

wevtutil el

à l'invite de commande.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>
Richard Lando
la source
2
Bienvenue! Que diriez-vous d'une extension de votre réponse? Comment cela aide-t-il à répondre à la question? Pourquoi quelqu'un l'exécuterait-il? Comment est-ce que ce n'est pas seulement le contenu standard du journal des événements?
Ƭᴇcʜιᴇ007