El registrar eventos proporciona una manera estándar y centralizada para el sistema operativo y aplicaciones asociadas graben información importante del software y hardware. Microsoft describe un evento como cualquier ocurrencia significativa en el sistema o programa el cual requiere ser notificado al usuario, o ser añadida una entrada en el registro. Los eventos son recolectados y almacenados por el “Event Log Service” o por su traducción al español; Servicio de Registro de Eventos. Este almacena eventos desde diversas fuentes en una única colección denominada registro de eventos.

Los registros de eventos proporcionan información histórica la cual puede ayudar a solucionar problemas de seguridad y del sistema, como también para rastrear acciones del usuario y utilización de los recursos del sistema. Sin embargo, lo grabado en estos registros depende principalmente de las aplicaciones involucradas y los ajustes del sistema. Como ejemplo, los registros de eventos de seguridad están deshabilitados por defecto en algunos sistemas Windows. Si existen, los registros de eventos pueden ser una increíble ayuda para una investigación forense, proporcionando un contexto local o de red, el cual es difícil de replicar con otros artefactos.

Fuentes:

https://technet.microsoft.com/en-us/library/cc749408(v=ws.11).aspx
https://support.microsoft.com/en-us/help/308427/how-to-view-and-manage-e...