Window事件日志简介
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用
户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
- 在“开始”菜单上,依次指向“所有程序”、“管理工具”,然后单击“事件查看器”
- 按 “Window+R”,输入 ”eventvwr.msc“ 也可以直接进入“事件查看器”
系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日
志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志
中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以
从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置:**%SystemRoot%\System32\Winevt\Logs\Application.evtx**
安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、
策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员
可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置:**%SystemRoot%\System32\Winevt\Logs\Security.evtx**
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。 安全日志记录着事件审计信
息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更
有帮助。
审核策略与事件查看器
开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略
事件日志分析
事件id说明4624登陆成功4625登陆失败4634注销成功4647用户启动的注销4672使用超级用户(如管理员)进行登录4720创建用户4725删除用户账户4729已从启用了安全性的全局组中删除某个成员4733已从启用了安全性的本地组中删除某个成员
创建用户
创建
查找
结果
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式
登录类型描述说明2交互式登录(Interactive)用户在本地进行登录。3网络(Network)最常见的情况就是连接到共享文件夹或共享打印机时4批处理(Batch)通常表明某计划任务启动5服务(Service)每种服务都被配置在某个特定的用户账号下运行7解锁(Unlock)屏保解锁8网络明文(NetworkCleartext)登录的密码在网络上是通过明文传输的,如FTP9新凭证(NewCredentials)使用带/Netonly参数的RUNAS命令运行一个程序10远程交互,(RemoteInteractive)通过终端服务、远程桌面或远程协助访问计算机11缓存交互(CachedInteractive)以一个域用户登录而又没有域控制器可用
版权归原作者 羔羊~ 所有, 如有侵权,请联系我们删除。