總結了一些常見的日誌分析中需要搜尋的內容 

在linux/unix上尋找的關鍵詞 

1.成功的使用者登入                “Accepted password,” “Accepted publickey,” “session opened” 
2.失敗的使用者登入                “authentication failure”,"invalid user","Failed password" 
3.使用者登出                       “session closed” 
4.使用者賬戶更改或刪除             “password changed,” “new user/account,” “delete user/account”,account removed 
5.sudo操作                       “sudo: … COMMAND=…,” “FAILED su” 
6.服務失敗                        “failed” 或 “failure” 

windows常見事件ID搜尋 
1.使用者登入/登出事件              成功登陸528,540；失敗登陸529-537,539；登出538,551 
2.使用者賬戶更改                   建立624；啟用626；更改642；禁用629；刪除630 
3.密碼更改                       修改為原密碼：628；修改為其他：627 
4.服務啟動或者停止               7035,7036 
5.物件拒絕訪問（如果啟用審計）    560,567 

還有那些大家可以補充。