服務器是否被黑，可以通過 查看 系統事件查看器 分析。應朋友 JieYang 的要求，特別編寫本篇教程。

查看系統的運行日志，地球人都知道可以通過事件查看器檢查?？赡芎芏嘈率?看到幾萬條記錄會慌掉，看完本篇教程，就再也不用慌了。

第一步：打開 事件查看器，安全日志（這個地球人都知道！找到桌面的?計算機圖標，右擊選擇?管理?，然后依次點擊?診斷?->?事件查看器->?Windows日志?->?安全）。就可以看到系統 幾萬條 安全相關的日志，比如系統登錄日志、網站用戶日志(假如使用IIS)、各項服務啟動的用戶日志….

不用慌，右擊?安全，選擇：篩選當前日志。

第二步：打開篩選窗口，輸入?4624,4625，然后點擊?確定

第三步：世界終于清靜了，只有幾十條了，挨個分析吧。比如打開第一條，切換到詳細信息標簽，向下拉箭頭，可以看到 遠程登錄 者的 用戶 IP和端口，記錄下來，繼續分析下一條。

第四步：根據整理的IP地址，到IP138查詢下 IP 所在地區，如果不是您的所在地，服務器就可能被入侵了。圖中的IP顯示 山東臨沂電信，是鄙人所在的地區，是安全的。

為什么第二步輸入：4624、4625，輸入其他的不行嗎？

4624、4625 是 Windows 2008 定義的 消息類型編號，4624 代表 登錄成功，4625代表登錄失敗。

以下為常見的消息類型編號：

4934 - Active Directory 對象的屬性被復制

4935 -復制失敗開始

4936 -復制失敗結束

5136 -目錄服務對象已修改

5137 -目錄服務對象已創建

5138 -目錄服務對象已刪除

5139 -目錄服務對象已經移動

5141 -目錄服務對象已刪除

4932 -命名上下文的AD的副本同步已經開始

4933 -命名上下文的AD的副本同步已經結束

審計登錄事件

4634 - 帳戶被注銷

4647 - 用戶發起注銷

4624 - 帳戶已成功登錄

4625 - 帳戶登錄失敗

4648 - 試圖使用明確的憑證登錄

4675 - SID被過濾

4649 - 發現重放攻擊

4778 -會話被重新連接到Window Station

4779 -會話斷開連接到Window Station

4800 – 工作站被鎖定

4801 - 工作站被解鎖

4802 - 屏幕保護程序啟用

4803 -屏幕保護程序被禁用

5378 所要求的憑證代表是政策所不允許的

5632 要求對無線網絡進行驗證

5633 要求對有線網絡進行驗證

審計對象訪問

5140 - 網絡共享對象被訪問

4664 - 試圖創建一個硬鏈接

4985 - 交易狀態已經改變

5051 - 文件已被虛擬化

5031 - Windows防火墻服務阻止一個應用程序接收網絡中的入站連接

4698 -計劃任務已創建

4699 -計劃任務已刪除

4700 -計劃任務已啟用

4701 -計劃任務已停用

4702 -計劃任務已更新

4657 -注冊表值被修改

5039 -注冊表項被虛擬化

4660 -對象已刪除

4663 -試圖訪問一個對象

審計政策變化

4715 - 對象上的審計政策(SACL)已經更改

4719 - 系統審計政策已經更改

4902 - Per-user審核政策表已經創建

4906 - CrashOnAuditFail值已經變化

4907 - 對象的審計設置已經更改

4706 - 創建到域的新信任

4707 - 到域的信任已經刪除

4713 - Kerberos政策已更改

4716 - 信任域信息已經修改

4717 - 系統安全訪問授予帳戶

4718 - 系統安全訪問從帳戶移除

4864 - 名字空間碰撞被刪除

4865 - 信任森林信息條目已添加

4866 - 信任森林信息條目已刪除

4867 - 信任森林信息條目已取消

4704 - 用戶權限已分配

4705 - 用戶權限已移除

4714 - 加密數據復原政策已取消

4944 - 當開啟Windows Firewall時下列政策啟用

4945 - 當開啟Windows Firewall時列入一個規則

4946 - 對Windows防火墻例外列表進行了修改，添加規則

4947 - 對Windows防火墻例外列表進行了修改，規則已修改

4948 - 對Windows防火墻例外列表進行了修改，規則已刪除

4949 - Windows防火墻設置已恢復到默認值

4950 - Windows防火墻設置已更改

4951 - 因為主要版本號碼不被Windows防火墻承認，規則已被忽視

4952 - 因為主要版本號碼不被Windows防火墻承認，部分規則已被忽視，將執行規則的其余部分

4953 - 因為Windows防火墻不能解析規則，規則被忽略

4954 - Windows防火墻組政策設置已經更改，將使用新設置

4956 - Windows防火墻已經更改主動資料

4957 - Windows防火墻不適用于以下規則

4958 - 因為該規則涉及的條目沒有被配置，Windows防火墻將不適用以下規則：

6144 - 組策略對象中的安全政策已經成功運用

6145 - 當處理組策略對象中的安全政策時發生一個或者多個錯誤

4670 - 對象的權限已更改

審計特權使用

4672 - 給新登錄分配特權

4673 - 要求特權服務

4674 - 試圖對特權對象嘗試操作

審計系統事件

5024 - Windows防火墻服務已成功啟動

5025 - Windows防火墻服務已經被停止

5027 - Windows防火墻服務無法從本地存儲檢索安全政策，該服務將繼續執行目前的政策

5028 - Windows防火墻服務無法解析的新的安全政策，這項服務將繼續執行目前的政策

5029 - Windows防火墻服務無法初始化的驅動程序，這項服務將繼續執行目前的政策

5030 - Windows防火墻服務無法啟動

5032 - Windows防火墻無法通知用戶它阻止了接收入站連接的應用程序

5033 - Windows防火墻驅動程序已成功啟動

5034 - Windows防火墻驅動程序已經停止

5035 - Windows防火墻驅動程序未能啟動

5037 - Windows防火墻驅動程序檢測到關鍵運行錯誤，終止。

4608 -Windows正在啟動

4609 - Windows正在關機

4616 - 系統時間被改變

4621 - 管理員從CrashOnAuditFail回收系統，非管理員的用戶現在可以登錄，有些審計活動可能沒有被記錄

4697 - 系統中安裝服務器

4618 - 監測安全事件樣式已經發生

總結

以上是生活随笔為你收集整理的如何查看Windows 2008 R2服务器系统登录日志的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。