¿Existe una lista exhaustiva de lo que Windows registra o puede registrar?

21

Sé que existe el registro de eventos, pero no es donde se detiene. Hay registros para ejecutables de MSI, registros de dispositivos, configuración e instalación, registros de rendimiento, etc. Probablemente sea una lista bastante larga; sin embargo, ¿dónde puedo encontrar una lista tan exhaustiva de lo que registra Windows?

Por preferencia, sería útil tener una lista que vaya más allá de lo que está activado por defecto; para saber qué hace cada registrador, cuáles no están activados de forma predeterminada, cuáles no (...) se pueden desactivar, ...

¿Conoces alguna de esas listas? ¿Alguien dispuesto a construir tal lista?

windows logging tracking events minidumps Tamara Wijsman
fuente
1
Además de cualquier respuesta, se puede usar powershell para escribir sus propios eventos en el registro de eventos, de modo que cualquier script creado o aplicación interna de Windows puede escribir en el registro de eventos. Es importante recordar que ' Windows ' no está haciendo el registro en la mayoría de los casos, pero depende de la aplicación individual registrar sus propios eventos.
MDMoore313

Respuestas:

19

Ubicaciones de registro centralizadas

  • %WINDIR%\System32\configo %WINDIR%\System32\winevt\Logs
    Contener la mayoría de los registros de eventos accesibles desde el Visor de eventos.

  • %WINDIR%\Logs
    Contiene muchos archivos de registro textuales.

Microsoft Security Essentials

  • %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
    Registros de tiempo de ejecución

  • %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
    Registros de instalación

Instalación temporal y registros de Windows Defender

  • %WINDIR\Temp\*.log
    Contiene información sobre las instalaciones de MSI, así como sobre el inicio / escaneo de Windows Defender.

  • %AppData%\Local\Temp\*.log
    Contiene información sobre las instalaciones de MSI ejecutadas en el contexto del usuario actual.

Registros de instalación de Windows

  • %AppData%\Local\Microsoft\Websetup(Windows 8)
    Contiene detalles sobre la fase de configuración web de Windows 8.

  • %AppData%\setupapi.log(Windows XP y versiones anteriores)
    Contiene información sobre los cambios de dispositivo y controlador y cambios importantes del sistema, como la instalación de paquetes de servicio y revisiones.

  • %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
    Contiene información sobre acciones de configuración, errores, estructura, SID y dispositivos de configuración temprana. Cuando se revierte la instalación, estos archivos contendrán información de reversión.

  • %WINDIR%\PANTHER\*.log,xml
    Contiene información sobre acciones de configuración, errores, estructura, SID y dispositivos de configuración posteriores.

  • %WINDIR%\INF\setupapi.dev.log
    Contiene información sobre dispositivos Plug and Play e instalaciones de controladores.

  • %WINDIR%\INF\setupapi.app.log
    Contiene información sobre las instalaciones de aplicaciones.

  • %WINDIR%\Performance\Winsat\winsat.log
    Contiene resultados de pruebas de rendimiento.

Servicio de hora de Windows

  • Para habilitar el registro del Servicio de hora de Windows:

    w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760

  • Para deshabilitar el registro del Servicio de hora de Windows, ejecute:

    w32tm /debug /disable

actualizacion de Windows

  • %WINDIR%\WindowsUpdate.log
    Contiene todos los eventos relacionados con Windows Update

  • %WINDIR%\SoftwareDistribution\ReportingEvents.log
    Contiene eventos relacionados con informes de estado de actualización de software.

Servicio de imagen de implementación y herramienta de administración (DISM)

  • %WINDIR%\Logs\DISM\dism.log
    Contiene información sobre eventos que suceden al interactuar con la imagen de Windows.

Servicio basado en componentes (CBS)

  • %WINDIR%\Logs\CBS\CBS.log
    Contiene información sobre eventos que suceden al interactuar con componentes y características de Windows.
Oliver Salzburg
fuente
1
+1 Podríamos construir una lista así porque dudo que exista.
Tamara Wijsman
-1

Creo que estás pidiendo lo imposible. Existen numerosas secciones de registro dentro del Registro de eventos de Windows, a las que acceden tanto las aplicaciones y servicios de Windows como los que no son de Windows, y difiere de una versión de Windows a la siguiente. Además de eso, hay muchas otras opciones de registro, incluidos los archivos de texto (por ejemplo, registro) y en la Base de datos interna de Windows .

La lista sería amplia y variada, y dependería del sistema operativo particular que tenga y de cómo esté configurado.

CJM
fuente
1
@TomWijsman - Sustituya "imposible" por "Poco probable, difícil de comprender". Y Windows Server es parte de la familia de Windows que incluyó en sus etiquetas.
CJM
De acuerdo, aunque reunir una lista básica ya debería ser un buen comienzo para tener los registros más triviales para mirar. Lo más probable es que cuando esté usando algo muy específico, como en Windows Server, tendrá que ver el registro de eventos o registros más específicos; que probablemente se menciona en la documentación.
Tamara Wijsman
-2

correr 

wevtutil el

en el símbolo del sistema.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>
Richard Lando
fuente
2
¡Bienvenido! ¿Qué tal un poco de expansión en su respuesta? ¿Cómo ayuda esto a responder la pregunta? ¿Por qué alguien lo correría? ¿Cómo es que esto no es solo el registro de eventos estándar?
Ƭᴇcʜιᴇ007