Windows事件監(jiān)視器服務審查

事件監(jiān)視器服務是Windows的免費(供個人使用)程序，用于監(jiān)視重要的系統(tǒng)事件，例如文件刪除或注冊表更改。

顧名思義，當您單擊提供的install.bat批處理文件時，將安裝服務，該文件在創(chuàng)建后即開始運行。

還有一個uninstall.bat文件，您可以利用該文件將服務從以前安裝的操作系統(tǒng)中再次刪除。

下載檔案為32位和64位版本的Windows提供了安裝程序，并且從Windows Vista一直到Windows 10都具有常規(guī)兼容性。

在運行安裝程序之前，您可能需要檢查在服務目錄中找到的config.ini文件，因為該文件定義了正在監(jiān)視和記錄的內(nèi)容以及未定義的內(nèi)容。

默認情況下，該服務配置為監(jiān)視所有受支持的事件和操作系統(tǒng)的位置，您可以通過將行中的“ y”替換為“ n”來進行更改。

事件監(jiān)視器服務監(jiān)視以下事件和位置：

文件創(chuàng)建

文件刪除

PE圖像掉落

加載的驅(qū)動程序

流程創(chuàng)作

流程終止

加載的DLL

登記處

您還可以進一步更改日志存儲的默認路徑，并為服務不希望監(jiān)視的文件夾和注冊表位置添加排除項。

如果不更改路徑，則需要將整個EMSvc文件夾復制到c：根目錄，右鍵單擊安裝程序文件，然后從選項中選擇以管理員身份運行以成功安裝服務。

更改路徑后，您可以從系統(tǒng)上的任何其他目錄安裝它，并定義日志文件的存儲位置。

檢查“日志”>“日期”文件夾，以確保服務正確監(jiān)視事件。在那里，您應該為每個受監(jiān)視事件調(diào)整一個日志文件，您可以在任何純文本查看器，編輯器或?qū)Ｓ萌罩疚募喿x器中打開這些文件。

注意：沒有選項可以輕松停止監(jiān)視。您可以使用服務管理器停止該服務。點擊Windows鍵，鍵入services.msc，然后按Enter。找到名為EMS的服務，右鍵單擊它，然后從上下文菜單中選擇“停止”或“禁用”?；蛘?，右鍵單擊uninstall.bat文件，然后選擇“以管理員身份運行”，以從系統(tǒng)中完全刪除該服務。

日志文件的大小可以快速增長，具體取決于計算機的使用方式。

事件記錄

日志按日期和時間列出了每個事件，并提供了有關實際事件的詳細信息，例如，創(chuàng)建新文件的過程，該文件的完整路徑和名稱，或Registry操作的類型，以及導致該過程的過程。它，以及從Windows注冊表中創(chuàng)建，更改或刪除的密鑰。

結(jié)束語

事件監(jiān)視器服務沒有用戶界面，但作為后臺服務運行，這意味著它支持標準用戶帳戶和多用戶環(huán)境。

日志甚至在家用系統(tǒng)上也很有用，例如，分析系統(tǒng)上的軟件安裝或惡意軟件攻擊。

如果您希望使用接口監(jiān)視程序，請嘗試使用注冊表警報監(jiān)視Windows注冊表，并使用File Watcher Simple監(jiān)視特定文件夾中的文件更改。