事件监视器服务是Windows的免费(供个人使用)程序,用于监视重要的系统事件,例如文件删除或注册表更改。
顾名思义,当您单击提供的install.bat批处理文件时,将安装服务,该文件在创建后即开始运行。
还有一个uninstall.bat文件,您可以利用该文件将服务从以前安装的操作系统中再次删除。
下载档案为32位和64位版本的Windows提供了安装程序,并且从Windows Vista一直到Windows 10都具有常规兼容性。
在运行安装程序之前,您可能需要检查在服务目录中找到的config.ini文件,因为该文件定义了正在监视和记录的内容以及未定义的内容。
默认情况下,该服务配置为监视所有受支持的事件和操作系统的位置,您可以通过将行中的“ y”替换为“ n”来进行更改。
事件监视器服务监视以下事件和位置:
文件创建
文件删除
PE图像掉落
加载的驱动程序
流程创作
流程终止
加载的DLL
登记处
您还可以进一步更改日志存储的默认路径,并为服务不希望监视的文件夹和注册表位置添加排除项。
如果不更改路径,则需要将整个EMSvc文件夹复制到c:根目录,右键单击安装程序文件,然后从选项中选择以管理员身份运行以成功安装服务。
更改路径后,您可以从系统上的任何其他目录安装它,并定义日志文件的存储位置。
检查“日志”>“日期”文件夹,以确保服务正确监视事件。在那里,您应该为每个受监视事件调整一个日志文件,您可以在任何纯文本查看器,编辑器或专用日志文件阅读器中打开这些文件。
注意:没有选项可以轻松停止监视。您可以使用服务管理器停止该服务。点击Windows键,键入services.msc,然后按Enter。找到名为EMS的服务,右键单击它,然后从上下文菜单中选择“停止”或“禁用”。或者,右键单击uninstall.bat文件,然后选择“以管理员身份运行”,以从系统中完全删除该服务。
日志文件的大小可以快速增长,具体取决于计算机的使用方式。
事件记录
日志按日期和时间列出了每个事件,并提供了有关实际事件的详细信息,例如,创建新文件的过程,该文件的完整路径和名称,或Registry操作的类型,以及导致该过程的过程。它,以及从Windows注册表中创建,更改或删除的密钥。
结束语
事件监视器服务没有用户界面,但作为后台服务运行,这意味着它支持标准用户帐户和多用户环境。
日志甚至在家用系统上也很有用,例如,分析系统上的软件安装或恶意软件攻击。
如果您希望使用接口监视程序,请尝试使用注册表警报监视Windows注册表,并使用File Watcher Simple监视特定文件夹中的文件更改。