事件監視器服務是Windows的免費(供個人使用)程序，用于監視重要的系統事件，例如文件刪除或注冊表更改。

顧名思義，當您單擊提供的install.bat批處理文件時，將安裝服務，該文件在創建后即開始運行。

還有一個uninstall.bat文件，您可以利用該文件將服務從以前安裝的操作系統中再次刪除。

下載檔案為32位和64位版本的Windows提供了安裝程序，并且從Windows Vista一直到Windows 10都具有常規兼容性。

在運行安裝程序之前，您可能需要檢查在服務目錄中找到的config.ini文件，因為該文件定義了正在監視和記錄的內容以及未定義的內容。

默認情況下，該服務配置為監視所有受支持的事件和操作系統的位置，您可以通過將行中的“ y”替換為“ n”來進行更改。

事件監視器服務監視以下事件和位置：

文件創建

文件刪除

PE圖像掉落

加載的驅動程序

流程創作

流程終止

加載的DLL

登記處

您還可以進一步更改日志存儲的默認路徑，并為服務不希望監視的文件夾和注冊表位置添加排除項。

如果不更改路徑，則需要將整個EMSvc文件夾復制到c：根目錄，右鍵單擊安裝程序文件，然后從選項中選擇以管理員身份運行以成功安裝服務。

更改路徑后，您可以從系統上的任何其他目錄安裝它，并定義日志文件的存儲位置。

檢查“日志”>“日期”文件夾，以確保服務正確監視事件。在那里，您應該為每個受監視事件調整一個日志文件，您可以在任何純文本查看器，編輯器或專用日志文件閱讀器中打開這些文件。

注意：沒有選項可以輕松停止監視。您可以使用服務管理器停止該服務。點擊Windows鍵，鍵入services.msc，然后按Enter。找到名為EMS的服務，右鍵單擊它，然后從上下文菜單中選擇“停止”或“禁用”。或者，右鍵單擊uninstall.bat文件，然后選擇“以管理員身份運行”，以從系統中完全刪除該服務。

日志文件的大小可以快速增長，具體取決于計算機的使用方式。

事件記錄

日志按日期和時間列出了每個事件，并提供了有關實際事件的詳細信息，例如，創建新文件的過程，該文件的完整路徑和名稱，或Registry操作的類型，以及導致該過程的過程。它，以及從Windows注冊表中創建，更改或刪除的密鑰。

結束語

事件監視器服務沒有用戶界面，但作為后臺服務運行，這意味著它支持標準用戶帳戶和多用戶環境。

日志甚至在家用系統上也很有用，例如，分析系統上的軟件安裝或惡意軟件攻擊。

如果您希望使用接口監視程序，請嘗試使用注冊表警報監視Windows注冊表，并使用File Watcher Simple監視特定文件夾中的文件更改。