Есть ли исчерпывающий список того, что журналы Windows или может войти?

Централизованные журналы

• %WINDIR%\System32\config или же %WINDIR%\System32\winevt\Logs
  Содержит большинство журналов событий, доступных из средства просмотра событий.

• %WINDIR%\Logs
  Содержит много текстовых файлов журнала.

Microsoft Security Essentials

• %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
  Журналы времени выполнения

• %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
  Журналы установки

Временная установка и журналы Защитника Windows

• %WINDIR\Temp\*.log
  Содержит информацию об установках MSI, а также о запуске / сканировании Защитника Windows.

• %AppData%\Local\Temp\*.log
  Содержит информацию об установках MSI, запущенных в контексте текущего пользователя.

Журналы установки Windows

• %AppData%\Local\Microsoft\Websetup (Windows 8)
  Содержит сведения о фазе веб-настройки Windows 8.

• %AppData%\setupapi.log (Windows XP и более ранние версии)
  Содержит информацию об изменениях устройства и драйвера и важных системных изменениях, таких как установка пакетов обновления и исправлений.

• %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
  Содержит информацию о действиях по настройке, ошибках, структуре, идентификаторах безопасности и устройствах ранней настройки. При откате установки эти файлы будут содержать информацию об откате.

• %WINDIR%\PANTHER\*.log,xml
  Содержит информацию о действиях по настройке, ошибках, структуре, SID и последующих установочных устройствах.

• %WINDIR%\INF\setupapi.dev.log
  Содержит информацию об устройствах Plug and Play и установках драйверов.

• %WINDIR%\INF\setupapi.app.log
  Содержит информацию об установках приложений.

• %WINDIR%\Performance\Winsat\winsat.log
  Содержит результаты теста производительности.

Служба времени Windows

• Чтобы включить ведение журнала службы времени Windows:

  w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
  

• Чтобы отключить ведение журнала службы времени Windows, выполните:

  w32tm /debug /disable
  

Центр обновления Windows

• %WINDIR%\WindowsUpdate.log
  Содержит все события, связанные с Центром обновления Windows

• %WINDIR%\SoftwareDistribution\ReportingEvents.log
  Содержит события, связанные с отчетами о состоянии обновления программного обеспечения.

Средство обслуживания образов развертывания и средства управления (DISM)

• %WINDIR%\Logs\DISM\dism.log
  Содержит информацию о событиях, которые происходят при взаимодействии с образом Windows.

Обслуживание на основе компонентов (CBS)

• %WINDIR%\Logs\CBS\CBS.log
  Содержит информацию о событиях, которые происходят при взаимодействии с компонентами и функциями Windows.

Я думаю, что вы просите невозможного. В журнале событий Windows имеется множество разделов журнала, к которым обращаются как приложения, так и службы, отличные от Windows, и отличаются от одной версии Windows к другой. Кроме того, существует множество других параметров ведения журнала, включая текстовые (например,.log) файлы и внутреннюю базу данных Windows.

Список будет обширным и разнообразным, и будет зависеть от конкретной операционной системы и того, как он настроен.

Журналы событий Windows — это мифический единорог, полного списка не существует, и нет способа выяснить, какая машина и что будет регистрировать. Самое близкое, что я нашел, это запуск:

      auditpol /backup /file:c:\SYSTEM_AUDITPOLICY.csv   

Бежать

wevtutil el

в командной строке.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>