Windows中如何查看日志（如查看远程登陆的IP地址）以及常用日志ID

概述 在Windows中可以使用 事件查看器 来查看相关日志，并结合日志ID进行日志筛选。常见的日志有：

• 4634 - 帐户被注销
• 4647 - 用户发起注销
• 4624 - 帐户已成功登录（可以查看
• 4625 - 帐户登录失败
• 4648 - 试图使用明确的凭证登录（可以用以查看远程登陆的相关信息，比如远程登陆的IP地址等）

一、使用事件查看器查看日志信息 参考链接：https://blog.csdn.net/joelcat/article/details/80757175

下面以查看远程连接的日志为例展示事件查看器的使用。 1.1 在搜索框中搜索 “事件查看器”，双击打开。（事件查看器的位置在C:\WINDOWS\system32，名字为eventvwr.msc）

1.2 展开左侧的 “Windows 日志” 然后双击 “安全”。（其他的日志可能需要选择其他选项）

1.3 点击最右边”操作” 栏中的 “筛选当前日志…”

1.4 在弹出的窗口选择记录时间 (Logged), 和输入事件ID : 4648, 我这里是想查看过去七天的远程到本机的记录

1.5 选中一条过滤出来的记录, 然后 点击 下方的 “详情”, 其中 “EventData” 下的 “IpAddress” 即为远程过来的IP地址，127.0.0.1表示是本地登陆，‘TargetUserName’是本电脑的名字。