随着数位化的普及，云端计算已经成为一种普遍的技术，并给企业带来了更多的效率和弹性。并且随着业务扩产，许多企业选择横向扩展服务器的主机，并且可能同时分布在地端与云端。主机愈来愈多之后。如何集中管理日誌成为每间企业需要克服的问题。

首先，我们可以先从日誌开始了解，日誌之于电脑，就好比日记之于人类。让我们来回忆一下平常我们在写日记的时候有什麽关键内容是我们一定会写进去的吧！通常会有日期、并且记录了我们在那个日期的时候做了什麽事情对吧！电脑的日誌其实也是一样，日誌记录了谁（使用者）在什麽时间进行了什麽操作。

示意圖

接下来我们来看一下要怎麽找到我们电脑中的日誌吧！我们这边以Microsoft Windows 10作业系统的日誌为例，Windows作业系统管理Log日誌的元件为事件检视器。在事件检视器当我们可以看到以事件为单位的Windows纪录。其中还分为四种类型，分别为应用程式、安全性、Setup和系统：

• 应用程式事件：描述各个应用程式(如驱动程式、服务)的资讯或错误讯息
• 安全性事件：用户活动(如登入成功/失败事件)
• Setup(设定)事件：网域控制器的内容，也会记录应用程式的安装事件
• 系统事件：Windows系统跟服务遇到问题的报告

Windows Log示意圖

乍看之下，一条日誌数据当中有非常多的内容，比如Provider Name, EventID, Version, Task, TimeCreated SystemTime……等栏位。其中最重要的栏位就是EventID（事件ID），就是图中<EventID>4624</EventID>的部分，单看这个4624，我们可能看不懂它所代表的意思，可以参考下图是常见的EventID，需要查询其他EventID也可至微软网站中查询。

 稽核審計中常見的EventID

现在我们已经简单得认识了日誌和其内容，让我们来设想一下，如果我们需要管理的主机很多怎麽办？让我们在下一篇文章《构建值得信赖的云上环境二部曲--日誌解决方案》