windows日志

Windows日志说明

使用powershell,查看不为空的日志

Get-WinEvent -ListLog *| where-object {$_.IsEnabled -eq "True" -and $_.RecordCount -gt "0"} | sort-object -property LogName | format-table LogName -autosize -wrap

Application.evtx: 记录了与应用程序相关的事件，例如应用程序错误、警告和信息性消息。
HardwareEvents.evtx: 记录了与硬件相关的事件，如设备安装、驱动程序加载等。
Internet Explorer.evtx: 记录了Internet Explorer浏览器的事件，如启动、关闭、错误等。
Key Management Service.evtx: 记录了与密钥管理服务相关的事件，如密钥激活、许可证更新等。
Microsoft-Client-Licensing-Platform%4Admin.evtx: 记录了客户端许可证平台相关的管理员事件。
Microsoft-Windows-AAD%4Operational.evtx: 记录了Azure Active Directory (AAD) 的操作事件，可用于监视和管理 Azure Active Directory。
Microsoft-Windows-All-User-Install-Agent%4Admin.evtx: 记录了所有用户安装代理相关的管理员事件。
Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx: 记录了程序兼容性助手相关的事件，用于检测和解决程序兼容性问题。
Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx: 记录了程序兼容性故障排除器相关的事件，用于解决程序兼容性问题。
Microsoft-Windows-Application-Experience%4Program-Inventory.evtx: 记录了程序清单相关的事件，用于追踪已安装的应用程序。
Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx: 记录了程序遥测相关的事件，用于收集和分析应用程序的使用数据。
Microsoft-Windows-Application-Experience%4Steps-Recorder.evtx: 记录了步骤录制器相关的事件，用于记录用户操作步骤。
Microsoft-Windows-AppModel-Runtime%4Admin.evtx: 记录了应用程序模型运行时相关的管理员事件。
Microsoft-Windows-AppReadiness%4Admin.evtx: 记录了应用程序准备相关的管理员事件。
Microsoft-Windows-AppReadiness%4Operational.evtx: 记录了应用程序准备相关的操作事件。
Microsoft-Windows-AppXDeployment%4Operational.evtx: 记录了应用程序部署相关的操作事件。
Microsoft-Windows-AppXDeploymentServer%4Operational.evtx: 记录了应用程序部署服务器相关的操作事件。
Microsoft-Windows-AppXDeploymentServer%4Restricted.evtx: 记录了受限制的应用程序部署服务器相关的事件。
Microsoft-Windows-AppxPackaging%4Operational.evtx: 记录了应用程序包装相关的操作事件。
Microsoft-Windows-Audio%4CaptureMonitor.evtx: 记录了音频捕获监视器相关的事件。
Microsoft-Windows-Audio%4Operational.evtx: 记录了与音频系统相关的操作事件，例如音频设备的配置和状态变化。
Microsoft-Windows-Audio%4PlaybackManager.evtx: 记录了音频播放管理器相关的事件，如音频播放的开始、停止等。
Microsoft-Windows-Authentication User Interface%4Operational.evtx: 记录了身份验证用户界面相关的操作事件，如用户登录、注销等。
Microsoft-Windows-BackgroundTaskInfrastructure%4Operational.evtx: 记录了后台任务基础结构相关的操作事件，如后台任务的启动、停止等。
Microsoft-Windows-Biometrics%4Operational.evtx: 记录了生物识别相关的操作事件，如指纹识别、面部识别等。
Microsoft-Windows-Bits-Client%4Operational.evtx: 记录了后台智能传输服务（BITS）客户端相关的操作事件，如下载任务的开始、停止等。
Microsoft-Windows-CodeIntegrity%4Operational.evtx: 记录了代码完整性相关的操作事件，用于验证和监视系统文件的完整性。
Microsoft-Windows-Containers-Wcifs%4Operational.evtx: 记录了Windows容器WCIFS相关的操作事件，用于容器文件系统的管理。
Microsoft-Windows-CoreSystem-SmsRouter-Events%4Operational.evtx: 记录了核心系统短信路由器事件，用于短信服务的管理和监控。
Microsoft-Windows-Crypto-DPAPI%4BackUpKeySvc.evtx: 记录了DPAPI（数据保护应用程序接口）备份密钥服务相关的操作事件，用于数据保护密钥的备份和恢复。
Microsoft-Windows-Crypto-DPAPI%4Operational.evtx: 记录了DPAPI相关的操作事件，用于数据的加密和解密。
Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx: 记录了企业设备管理诊断提供程序的管理员事件，用于企业设备的诊断和管理。
Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Operational.evtx: 记录了企业设备管理诊断提供程序的操作事件，用于监视企业设备的状态和行为。
Microsoft-Windows-DeviceSetupManager%4Admin.evtx: 记录了设备设置管理器的管理员事件，用于管理设备的安装和配置。
Microsoft-Windows-DeviceSetupManager%4Operational.evtx: 记录了设备设置管理器的操作事件，用于监视设备的安装和配置过程。
Microsoft-Windows-Dhcp-Client%4Admin.evtx: 记录了DHCP客户端的管理员事件，用于管理DHCP客户端的配置和状态。
Microsoft-Windows-Dhcpv6-Client%4Admin.evtx: 记录了DHCPv6客户端的管理员事件，用于管理IPv6网络的配置和状态。
Microsoft-Windows-Diagnosis-DPS%4Operational.evtx: 记录了诊断性能扫描（DPS）的操作事件，用于系统性能的诊断和优化。
Microsoft-Windows-Diagnosis-PCW%4Operational.evtx: 记录了性能控制工作集（PCW）的操作事件，用于性能优化和调整。
Microsoft-Windows-Diagnosis-PLA%4Operational.evtx: 记录了性能日志和警报（PLA）的操作事件，用于系统性能的监控和报警。
Microsoft-Windows-Diagnosis-Scheduled%4Operational.evtx: 记录了计划性诊断的操作事件，用于定期诊断系统的状态和性能。
Microsoft-Windows-Diagnosis-Scripted%4Admin.evtx: 记录了脚本化诊断的管理员事件，用于编写和执行系统诊断脚本。
microsoft-windows-diagnosis-scripted%4operational.evtx: 记录了脚本化诊断的操作事件，用于监视和分析脚本执行的结果。
Microsoft-Windows-Diagnostics-Performance%4Operational.evtx: 记录了性能诊断的操作事件，用于分析系统性能和优化。
Microsoft-Windows-DiskDiagnosticDataCollector%4Operational.evtx: 记录了磁盘诊断数据收集器的操作事件，用于检测和报告磁盘问题。
Microsoft-Windows-FileHistory-Core%4WHC.evtx: 记录了文件历史核心事件，用于文件备份和恢复。
Microsoft-Windows-GroupPolicy%4Operational.evtx: 记录了组策略的操作事件，用于管理组策略的配置和应用。
Microsoft-Windows-HelloForBusiness%4Operational.evtx: 记录了Windows Hello for Business相关的操作事件，用于身份验证和访问控制。
Microsoft-Windows-HotspotAuth%4Operational.evtx: 记录了热点认证相关的操作事件，用于无线网络的身份验证和访问控制。
Microsoft-Windows-IKE%4Operational.evtx: 记录了Internet Key Exchange（IKE）相关的操作事件，用于IPsec VPN的建立和管理。
Microsoft-Windows-International%4Operational.evtx: 记录了国际设置相关的操作事件，用于管理系统的语言和区域设置。
Microsoft-Windows-Kernel-Boot%4Operational.evtx: 记录了系统启动过程中内核相关的操作事件，如启动阶段、启动驱动程序加载等。
Microsoft-Windows-Kernel-EventTracing%4Admin.evtx: 记录了内核事件跟踪相关的管理员事件，用于配置和管理内核事件跟踪。
Microsoft-Windows-Kernel-PnP%4Configuration.evtx: 记录了内核即插即用配置相关的操作事件，用于设备的配置和管理。
Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx: 记录了内核功率管理和热管理相关的操作事件，用于监视和管理系统的功耗和温度。
Microsoft-Windows-Kernel-ShimEngine%4Operational.evtx: 记录了内核Shim引擎相关的操作事件，用于应用程序的兼容性修复。
Microsoft-Windows-Kernel-StoreMgr%4Operational.evtx: 记录了内核存储管理器相关的操作事件，用于管理系统存储资源。
Microsoft-Windows-Kernel-WHEA%4Errors.evtx: 记录了Windows硬件错误体系架构（WHEA）的错误事件，用于监视和报告硬件错误。
Microsoft-Windows-Kernel-WHEA%4Operational.evtx: 记录了Windows硬件错误体系架构（WHEA）的操作事件，用于监视系统硬件的状态和健康状况。
Microsoft-Windows-Known Folders API Service.evtx: 记录了已知文件夹API服务相关的操作事件，用于管理已知文件夹的访问和配置。
Microsoft-Windows-LanguagePackSetup%4Operational.evtx: 记录了语言包安装和配置过程中的操作事件，用于多语言支持的管理。
Microsoft-Windows-LiveId%4Operational.evtx: 记录了Live ID相关的操作事件，用于身份验证和访问控制。
Microsoft-Windows-MUI%4Admin.evtx: 记录了多语言用户界面相关的管理员事件，用于管理多语言支持的配置和更新。
Microsoft-Windows-MUI%4Operational.evtx: 记录了多语言用户界面相关的操作事件，用于监视多语言支持的使用和性能。
Microsoft-Windows-NCSI%4Operational.evtx: 记录了网络连接状态指示器（NCSI）的操作事件，用于检测和报告网络连接状态。
Microsoft-Windows-NetworkProfile%4Operational.evtx: 记录了网络配置文件相关的操作事件，用于管理和监视网络配置。
Microsoft-Windows-Ntfs%4Operational.evtx: 记录了NTFS文件系统的操作事件，用于监视和管理文件系统的操作。
Microsoft-Windows-Ntfs%4WHC.evtx: 记录了NTFS文件系统的核心事件，用于文件系统的备份和恢复。
Microsoft-Windows-Partition%4Diagnostic.evtx: 记录了分区诊断相关的操作事件，用于检测和修复分区问题。
Microsoft-Windows-PowerShell%4Admin.evtx: 记录了PowerShell的管理员事件，用于管理和监视PowerShell脚本的执行。
Microsoft-Windows-PowerShell%4Operational.evtx: 记录了PowerShell的操作事件，用于监视PowerShell脚本的执行和结果。
Microsoft-Windows-PriResources-Deployment%4Operational.evtx: 记录了资源投影映射相关的操作事件，用于应用程序资源的管理和部署。
Microsoft-Windows-Program-Compatibility-Assistant%4CompatAfterUpgrade.evtx: 记录了程序兼容性助手在升级后的操作事件，用于解决升级后的程序兼容性问题。
Microsoft-Windows-Provisioning-Diagnostics-Provider%4Admin.evtx: 记录了配置诊断提供程序的管理员事件，用于管理系统配置的诊断。
Microsoft-Windows-Provisioning-Diagnostics-Provider%4AutoPilot.evtx: 记录了AutoPilot配置诊断提供程序的操作事件，用于自动配置Windows Autopilot。
Microsoft-Windows-Provisioning-Diagnostics-Provider%4ManagementService.evtx: 记录了管理服务配置诊断提供程序的操作事件，用于管理系统配置和服务。
Microsoft-Windows-PushNotification-Platform%4Admin.evtx: 记录了推送通知平台相关的管理员事件，用于管理和监视推送通知的发送和接收。
Microsoft-Windows-PushNotification-Platform%4Operational.evtx: 记录了推送通知平台相关的操作事件，用于监视推送通知的发送和接收。
Microsoft-Windows-ReadyBoost%4Operational.evtx: 记录了ReadyBoost缓存相关的操作事件，用于缓存管理和性能优化。
Microsoft-Windows-Regsvr32%4Operational.evtx: 记录了Regsvr32注册表服务相关的操作事件，用于注册和注销DLL文件。
Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx: 记录了资源耗尽检测器的操作事件，用于监视系统资源使用情况并检测资源耗尽情况。
Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx: 记录了资源耗尽解析器的操作事件，用于解决资源耗尽问题并恢复系统功能。
Microsoft-Windows-RestartManager%4Operational.evtx: 记录了重启管理器的操作事件，用于管理应用程序和服务的重启操作。
Microsoft-Windows-Security-LessPrivilegedAppContainer%4Operational.evtx: 记录了安全性较低的应用容器相关的操作事件，用于监视和管理应用程序的权限和访问控制。
Microsoft-Windows-Security-Mitigations%4KernelMode.evtx: 记录了内核模式下的安全性缓解相关的操作事件，用于保护系统免受内核模式攻击。
Microsoft-Windows-Security-Mitigations%4UserMode.evtx: 记录了用户模式下的安全性缓解相关的操作事件，用于保护系统免受用户模式攻击。
Microsoft-Windows-Security-SPP-UX-Notifications%4ActionCenter.evtx: 记录了软件保护平台用户体验通知相关的操作事件，用于通知用户有关软件许可证和激活的信息。
Microsoft-Windows-SettingSync%4Debug.evtx: 记录了设置同步的调试信息，用于故障排除和性能优化。
Microsoft-Windows-SettingSync%4Operational.evtx: 记录了设置同步的操作事件，用于同步用户设置和首选项。
Microsoft-Windows-Shell-ConnectedAccountState%4ActionCenter.evtx: 记录了连接帐户状态的操作事件，用于通知用户有关连接帐户状态的信息。
Microsoft-Windows-Shell-Core%4ActionCenter.evtx: 记录了Shell核心操作中与操作中心相关的事件，用于管理和显示系统通知。
Microsoft-Windows-Shell-Core%4AppDefaults.evtx: 记录了Shell核心操作中应用程序默认设置相关的事件，用于管理和配置应用程序的默认行为。
Microsoft-Windows-Shell-Core%4LogonTasksChannel.evtx: 记录了Shell核心操作中登录任务通道相关的事件，用于在用户登录时执行任务。
Microsoft-Windows-Shell-Core%4Operational.evtx: 记录了Shell核心操作的操作事件，用于监视和管理Shell的操作。
Microsoft-Windows-ShellCommon-StartLayoutPopulation%4Operational.evtx: 记录了Shell公共开始布局填充的操作事件，用于配置开始菜单和任务栏。
Microsoft-Windows-SmbClient%4Audit.evtx: 记录了SMB客户端的审计事件，用于监视和审计SMB客户端的操作。
Microsoft-Windows-SmbClient%4Connectivity.evtx: 记录了SMB客户端的连接性事件，用于监视和管理SMB客户端的连接。
Microsoft-Windows-SMBClient%4Operational.evtx: 记录了SMB客户端的操作事件，用于监视和管理SMB客户端的操作。
Microsoft-Windows-SmbClient%4Security.evtx: 记录了SMB客户端的安全事件，用于监视和管理SMB客户端的安全性。
Microsoft-Windows-SMBServer%4Audit.evtx: 记录了SMB服务器的审计事件，用于监视和审计SMB服务器的操作。
Microsoft-Windows-SMBServer%4Connectivity.evtx: 记录了SMB服务器的连接性事件，用于监视和管理SMB服务器的连接。
Microsoft-Windows-SMBServer%4Operational.evtx: 记录了SMB服务器的操作事件，用于监视和管理SMB服务器的操作。
Microsoft-Windows-SMBServer%4Security.evtx: 记录了SMB服务器的安全事件，用于监视和管理SMB服务器的安全性。
Microsoft-Windows-SMBWitnessClient%4Admin.evtx: 记录了SMB见证客户端的管理员事件，用于配置和管理SMB见证客户端。
Microsoft-Windows-SMBWitnessClient%4Informational.evtx: 记录了SMB见证客户端的信息事件，用于监视和管理SMB见证客户端的操作。
Microsoft-Windows-StateRepository%4Operational.evtx: 记录了状态存储库的操作事件，用于管理系统状态和配置。
Microsoft-Windows-StateRepository%4Restricted.evtx: 记录了状态存储库的限制事件，用于限制对状态存储库的访问。
Microsoft-Windows-Storage-ClassPnP%4Operational.evtx: 记录了存储设备即插即用相关的操作事件，用于管理存储设备的插拔和配置。
Microsoft-Windows-Storage-Storport%4Health.evtx: 记录了存储端口相关的健康事件，用于监视存储端口的健康状态。
Microsoft-Windows-Storage-Storport%4Operational.evtx: 记录了存储端口相关的操作事件，用于监视存储端口的操作和性能。
Microsoft-Windows-StorageSpaces-ManagementAgent%4WHC.evtx: 记录了存储空间管理代理的核心事件，用于存储空间的管理和监视。
Microsoft-Windows-Store%4Operational.evtx: 记录了商店应用程序的操作事件，用于监视和管理Windows商店的应用程序。
Microsoft-Windows-TaskScheduler%4Maintenance.evtx: 记录了任务计划程序的维护事件，用于管理和监视系统中预定任务的执行。
Microsoft-Windows-TerminalServices-LocalSessionManager%4Admin.evtx: 记录了本地会话管理器的管理员事件，用于管理本地终端服务会话。
Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx: 记录了本地会话管理器的操作事件，用于监视和管理本地终端服务会话的操作。
Microsoft-Windows-Time-Service%4Operational.evtx: 记录了时间服务的操作事件，用于监视和管理系统时间同步和时钟设置。
Microsoft-Windows-TWinUI%4Operational.evtx: 记录了TWinUI操作事件，用于监视和管理Windows应用程序的用户界面。
Microsoft-Windows-TZSync%4Operational.evtx: 记录了时区同步的操作事件，用于同步系统时区设置。
Microsoft-Windows-UniversalTelemetryClient%4Operational.evtx: 记录了通用遥测客户端的操作事件，用于收集和传输系统数据以进行分析。
Microsoft-Windows-User Device Registration%4Admin.evtx: 记录了用户设备注册的管理员事件，用于管理和配置用户设备的注册。
Microsoft-Windows-User Profile Service%4Operational.evtx: 记录了用户配置文件服务的操作事件，用于管理和配置用户配置文件。
Microsoft-Windows-UserPnp%4ActionCenter.evtx: 记录了用户即插即用设备的操作事件，用于监视和管理用户设备的连接和配置。
Microsoft-Windows-UserPnp%4DeviceInstall.evtx: 记录了设备安装的操作事件，用于监视和管理系统中设备的安装过程。
Microsoft-Windows-VolumeSnapshot-Driver%4Operational.evtx: 记录了卷快照驱动程序的操作事件，用于管理和监视系统卷的快照。
Microsoft-Windows-VPN%4Operational.evtx: 记录了VPN的操作事件，用于监视和管理虚拟专用网络的连接和配置。
Microsoft-Windows-Wcmsvc%4Operational.evtx: 记录了连接管理器的操作事件，用于管理和配置系统中的网络连接。
Microsoft-Windows-WebAuthN%4Operational.evtx: 记录了Web身份验证的操作事件，用于监视和管理Web身份验证过程。
Microsoft-Windows-WER-PayloadHealth%4Operational.evtx: 记录了Windows错误报告负载健康的操作事件，用于监视和管理错误报告负载的健康状态。
Microsoft-Windows-WFP%4Operational.evtx: 记录了Windows过滤平台的操作事件，用于监视和管理系统中的网络流量过滤。
Microsoft-Windows-Win32k%4Operational.evtx: 记录了Win32k系统的操作事件，用于监视和管理Win32k子系统的操作。
Microsoft-Windows-Windows Defender%4Operational.evtx: 记录了Windows Defender的操作事件，用于监视和管理系统中的防病毒活动。
Microsoft-Windows-Windows Defender%4WHC.evtx: 记录了Windows Defender的行为历史记录和配置信息。
Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx: 记录了Windows高级安全防火墙的连接安全事件，用于监视和管理网络连接的安全性。
Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx: 记录了Windows高级安全防火墙的防火墙事件，用于监视和管理网络流量的防火墙规则。
Microsoft-Windows-Windows Firewall With Advanced Security%4FirewallDiagnostics.evtx: 记录了Windows高级安全防火墙的防火墙诊断信息，用于故障排除和性能优化。
Microsoft-Windows-WindowsBackup%4ActionCenter.evtx: 记录了Windows备份的操作事件，用于监视和管理系统备份和还原。
Microsoft-Windows-WindowsSystemAssessmentTool%4Operational.evtx: 记录了Windows系统评估工具的操作事件，用于评估系统性能和配置。
Microsoft-Windows-WindowsUpdateClient%4Operational.evtx: 记录了Windows更新客户端的操作事件，用于监视和管理系统更新。
Microsoft-Windows-WinINet-Config%4ProxyConfigChanged.evtx: 记录了WinINet配置的代理配置更改事件，用于监视和管理网络代理设置的更改。
Microsoft-Windows-Winlogon%4Operational.evtx: 记录了Winlogon的操作事件，用于监视和管理用户登录和注销过程。
Microsoft-Windows-WinRM%4Operational.evtx: 记录了Windows远程管理的操作事件，用于管理和监视远程管理服务。
Microsoft-Windows-WMI-Activity%4Operational.evtx: 记录了WMI活动的操作事件，用于监视和管理Windows管理规范的操作。
Microsoft-Windows-WorkFolders%4WHC.evtx: 记录了工作文件夹的行为历史记录和配置信息。
Microsoft-Windows-WPD-ClassInstaller%4Operational.evtx: 记录了Windows便携式设备（WPD）类安装程序的操作事件，用于管理和配置便携式设备的安装和连接。
Parameters.evtx: 记录了系统参数的配置信息。
PDW Component Failures.evtx: 记录了PDW组件故障的事件。
Security.evtx: 记录了安全相关的事件，如登录尝试、权限更改等。
Setup.evtx: 记录
State.evtx: 记录了系统状态的事件，可能包括系统服务的状态变化、配置更改等。
System.evtx: 记录了系统级别的事件，如系统启动、关机、硬件故障等。
Windows PowerShell.evtx: 记录了与 Windows PowerShell 相关的事件，如脚本执行、命令运行等，用于监视和管理 PowerShell 的操作。

远程桌面相关日志

Microsoft-Windows-RemoteDesktopServices-RdpCoreTS%4Admin.evtx: 记录了远程桌面服务核心组件的管理员事件，可能包括配置更改、连接和断开连接的事件等。
Microsoft-Windows-RemoteDesktopServices-RdpCoreTS%4Operational.evtx: 记录了远程桌面服务核心组件的操作事件，例如远程会话的建立、终止以及连接状态的变化等。
Microsoft-Windows-SmartCard-DeviceEnum%4Operational.evtx: 记录了智能卡设备枚举的操作事件，用于监视和管理智能卡设备的连接和配置。
Microsoft-Windows-TerminalServices-PnPDevices%4Admin.evtx: 记录了终端服务即插即用设备的管理员事件，用于管理和配置终端服务中的即插即用设备。
Microsoft-Windows-TerminalServices-PnPDevices%4Operational.evtx: 记录了终端服务即插即用设备的操作事件，用于监视和管理终端服务中的即插即用设备的连接和配置。
Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Admin.evtx: 记录了远程连接管理器的管理员事件，可能涉及连接配置更改、连接和断开连接等操作。
Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx: 记录了远程连接管理器的操作事件，用于监视和管理远程桌面服务的连接、断开连接以及会话管理等操作。
Microsoft-Windows-TerminalServices-ServerUSBDevices%4Admin.evtx: 记录了终端服务服务器USB设备的管理员事件，用于管理和配置终端服务中的USB设备。
Microsoft-Windows-TerminalServices-ServerUSBDevices%4Operational.evtx: 记录了终端服务服务器USB设备的操作事件，用于监视和管理终端服务中USB设备的连接和配置。

Intel 相关事件：

Intel-GFX-Info%4Application.evtx：记录了与 Intel 显卡相关的应用程序信息。
Intel-GFX-Info%4System.evtx：记录了与 Intel 显卡相关的系统信息。
IntelAudioServiceLog.evtx：记录了 Intel 音频服务的日志。
Lenovo SIF（System Interface Foundation）事件：
Lenovo-Sif-Companion%4Operational.evtx：Lenovo SIF 的配套操作事件。
Lenovo-Sif-Core%4Operational.evtx：Lenovo SIF 的核心操作事件。
Lenovo-Sif-Device%4Operational.evtx：Lenovo SIF 的设备操作事件。
Lenovo-Sif-Settings%4Operational.evtx：Lenovo SIF 的设置操作事件。

Windows 应用管理事件：

Microsoft-Windows-AllJoyn%4Operational.evtx：记录了 AllJoyn 服务的操作事件。
Microsoft-Windows-AppHost%4Admin.evtx：记录了应用程序托管服务的管理员事件。
Microsoft-Windows-AppID%4Operational.evtx：记录了应用标识服务的操作事件。
Microsoft-Windows-ApplicabilityEngine%4Operational.evtx：记录了应用适用性引擎的操作事件。
Microsoft-Windows-Application Server-Applications%4Admin.evtx：记录了应用服务器应用程序的管理员事件。
Microsoft-Windows-Application Server-Applications%4Operational.evtx：记录了应用服务器应用程序的操作事件。

安全和策略事件：

Microsoft-Windows-AppLocker%4EXE and DLL.evtx：记录了 AppLocker 对 EXE 和 DLL 文件的操作事件。
Microsoft-Windows-AppLocker%4MSI and Script.evtx：记录了 AppLocker 对 MSI 和脚本文件的操作事件。
Microsoft-Windows-AppLocker%4Packaged app-Deployment.evtx：记录了 AppLocker 对打包应用的部署事件。
Microsoft-Windows-AppLocker%4Packaged app-Execution.evtx：记录了 AppLocker 对打包应用的执行事件。
Microsoft-Windows-BitLocker%4BitLocker Management.evtx：记录了 BitLocker 管理事件。

证书和安全事件：

Microsoft-Windows-CertificateServicesClient-Lifecycle-System%4Operational.evtx：记录了证书服务客户端的系统生命周期事件。
Microsoft-Windows-CertificateServicesClient-Lifecycle-User%4Operational.evtx：记录了证书服务客户端的用户生命周期事件。

容器和云服务事件：

Microsoft-Windows-CloudStore%4Operational.evtx：记录了云存储服务的操作事件。
Microsoft-Windows-Containers-BindFlt%4Operational.evtx：记录了容器绑定过滤器的操作事件。
Microsoft-Windows-Containers-Wcnfs%4Operational.evtx：记录了容器 WCNFS 的操作事件。

兼容性评估和系统维护事件：

Microsoft-Windows-Compat-Appraiser%4Operational.evtx：记录了兼容性评估器的操作事件。
Microsoft-Windows-Cleanmgr%4Diagnostic.evtx：磁盘清理管理器的诊断事件。

文件恢复事件：

Microsoft-Windows-CorruptedFileRecovery-Client%4Operational.evtx：记录了损坏文件恢复客户端的操作事件。
Microsoft-Windows-CorruptedFileRecovery-Server%4Operational.evtx：记录了损坏文件恢复服务器的操作事件。