Windows 主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志

系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx
记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx
包含由应用程序或系统程序记录的事件，主要记录程序运行程序方面的事件。

安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx
记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略

Windows 主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志

系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx
记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx
包含由应用程序或系统程序记录的事件，主要记录程序运行程序方面的事件。

安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx
记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略