Question

事件查看器怎么确定看了什么东西

Answer 1

问：事件查看器怎么确定看了什么东西

问：能查到事件ID我想查具体看了什么内容

答：亲，在事件查看器中，每个事件都会有一个唯一的事件ID，您可以通过该ID来查找具体的事件。如果您想查看具体的内容，可以按照以下步骤进行操作： 1. 在事件查看器中找到相应的事件，并记录下该事件的事件ID。 2. 打开Windows PowerShell或命令提示符，输入以下命令： `Get-WinEvent -FilterHashtable @{logname='日志类型'; ID='事件ID'}` 其中，日志类型可以替换为您想要查找的日志类型，如“System”、“Application”等；事件ID则替换为您记录下的事件ID。 3. 执行以上命令后，会输出该事件的详细信息，包括事件类型、日期、时间、事件来源和事件说明等。您可以根据输出的信息来查看具体的内容。 需要注意的是，某些事件可能不会详细记录具体的内容，而仅仅提供了一些基本信息。如果您需要更加详细的信息，可以尝试查找其他相关的日志或记录。

问：在哪儿打开第二步

答：亲，以下是在Windows操作系统中打开Windows PowerShell的方法： 1. 使用快捷键Win+X打开“高级用户菜单”，并选择“Windows PowerShell”。（在Windows 7/8中是“命令提示符”） 2. 在Windows 10操作系统中，可以通过在任务栏右键单击Windows图标，选择“Windows PowerShell”或“Windows PowerShell(管理员)”来打开命令提示符或Windows PowerShell。 3. 在Windows 7/8操作系统中，可以通过单击“开始”按钮，在“搜索程序和文件”框中输入“cmd”或“powershell”，并回车来打开命令提示符或Windows PowerShell。 4. 在Windows 10操作系统中，还可以通过在“运行”框中输入“powershell”来打开Windows PowerShell。 需要注意的是，打开Windows PowerShell时需要以管理员权限运行，否则可能会受到限制或出现错误。

问：显示不出来

答：亲，如果在Windows操作系统中无法打开Windows PowerShell或命令提示符，可以尝试以下方法进行排查： 1. 检查操作系统版本：Windows PowerShell是在Windows Vista及以上版本中引入的，如果你使用的是Windows XP或更早版本的操作系统，则无法使用该工具。 2. 确认权限：在Windows 10操作系统中，需要以管理员权限运行Windows PowerShell或命令提示符，在任务栏右键单击Windows图标，选择“Windows PowerShell(管理员)”或“命令提示符(管理员)”来打开。 3. 检查系统文件：可能是操作系统的某些系统文件受到了损坏或破坏，导致无法启动Windows PowerShell或命令提示符。可以在Windows PowerShell窗口中输入“sfc /scannow”命令来检查和修复系统文件。 4. 尝试重启计算机：有时候只需要重启计算机，就可以解决Windows PowerShell或命令提示符无法打开的问题。 如果以上方法都无法解决问题，可以尝试重新安装操作系统或联系技术支持人员进行协助。

问：想知道别人浏览了什么文件

答：亲，如果你想知道别人浏览了什么文件，可以通过Windows操作系统的事件查看器来查看相关的事件日志。具体步骤如下： 1. 打开事件查看器：在Windows操作系统中，可以通过在“运行”框中输入“eventvwr.msc”来打开事件查看器。 2. 选择相应的日志类型：在事件查看器中，可以选择多个类型的日志来查看。如果想查看文件访问记录，可以选择“安全性”日志。 3. 筛选事件：在右侧窗口中，可以使用筛选器来筛选特定的事件。可以根据事件ID、日期、时间、操作类型等条件进行筛选。一般文件访问记录的事件ID为4663，可以通过该ID来筛选相关的事件。 4. 查看事件详情：在事件列表中，选中要查看的事件，可以查看该事件的详细信息，包括文件路径、访问者、访问时间、访问类型等。 需要注意的是，只有在启用了文件访问审核功能的情况下，才能够通过事件查看器来查看文件访问记录。如果没有启用该功能，就无法记录文件的访问记录。另外，在某些情况下，可能需要管理员权限才能查看某些事件日志。