windows日志和审核
windows事件日志简介
Windows事件日志记录着 Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。
Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件1D、来源、任务类别、描述、数据等信息。
Windows事件日志共有五种事件级别,所有的事件必须只能拥有其中的一种事件级别。
1.信息( Information)
信息事件指应用程序、驱动程序或服务的成功操作的事件。
2.警告( Warning)
警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或末找到打印机时,都会记录一个“警告”事件。
3.错误(Error)
错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
4.成功审核( Success audit)
成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件。
5.失败审核( Failure audit)
失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
Windows日志文件
从1993年的 Windows N3.1起,微软就开始使用事件日志来记录各种事件的信息。在N的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/win2000/XP/Server2003中,日志文件的扩展名一直是evt,存储位置为“% systemroot% \System32 config”。从Windows Vista和 Server2008开始,日志文件的文件名、结构和存储位置发生了巨大改变,文件扩展名改为evx(XML格式),存储位置改为“% systemroot% \System32\ WinEt\logs”。
1.系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件崩溃以及数据。
默认位置
NT/Win2000/XP/Server 2003
C: WINDOWS\system32\config\SysEvent Evt
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C: WINDOWS\system32\winet \Logs\ System. evtx
2.应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。
默认位置
NT/Win2000/XP/Server 2003
C:\WINDOWS\system32\config \AppEvent Evt
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32 winet \Logs \ Application. evtx
3.安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置
NT/Win2000/XP/Server 2003
C:\ WINDOWS\system32\ config SecEvent Evt
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C: WINDOWS\system32\ winet \Logs\ Security. evtx
虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
windows事件日志分析
在 Windows7和 Windows Server2008R2中各种与安全和审核有关事件—用户登录与注销
■场景
判断哪个用户尝试进行登录
分析被控制的用户的使用情况
■事件ID
4624-登录成功
4625登录失败
4634/4647-注销成功
4672使用超级用户(如管理员)进行登录
在 Windows7和 Windows Server2008R中的各种与安全和审核有关事件——追踪硬件变动
■场景
分析哪些硬件设备什么时间安装到系统中
■事件ID
20001-即插即用驱动安装( System日志)
20003-即插即用驱动安装( System日志)
4663-移动设备访问成功( Security日志)
4656-移动设备访问失败( Security日志)
在 Windows7和 Windows Server2008R2中的各种与安全和审核有关事件—无线网络位置
■场景
分析系统访问过哪些关联的无线网络、VPN等
■事件ID
10000-网络已连接
10001-网络已断开连接
筛选日志是分析事件日志最常用的功能,可以根据事件1D、事件级别、事件来源、用户、计算机等属性进行搜索和过滤。
windows安全审计实战
操作系统带有日志功能,系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后,可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看与安全相关的日志文件的内容,来分析、查找系统和应用程序故障以及各类安全事件,发现黑客的入侵和入侵后的行为。
配置审计策略
1.选择【开始】=>【管理工具】→【本地安全策略】菜单,打开“本地安全设置”窗口。
2.选择【安全设置】-【本地策略】=>【审核策略】,双击右侧的“审核对象访问”,在打对话框中选中“成功”和“失败”。
3.单击确定按钮关闭窗口,配置结果如所示。
配置访问文件夹的权限
1.新建文件夹“C:\test”。
2.右击文件夹“C:\test”,选择【属性】菜单,在打开的“审计属性”对话框中选择“安全”标签
注销后,用lisi身份登录,在新建的test文件夹下,创建两个txt文件,并删除其中一个。
然后注销,以管理员身份登录,在事件查看器,查找lisi,可以看到。
windows日志和审核相关推荐
- Windows 日志安全审核
Windows Logon Type的含义 我只是把主要的内容整理了一下备查. Logon type 2 Interactive 本地交互登录.最常见的登录方式. Logon type 3 Netw ...
- 用Syslog 记录UNIX和Windows日志的方法
用Syslog 记录UNIX和Windows日志的方法 在比较大规模的网络应用或者对安全有一定要求的应用中,通常需要对系统的日志进行记录分类并审核,默认情况下,每个系统会在本地硬盘上记录自己的日志,这 ...
- 将Windows日志转换为Syslog
无论是Unix.Linux.FreeBSD.Ubuntu,还是路由器.交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在.在RFC 3164中定义了syslog是一种日志协议,sysl ...
- Windows日志分析(中)
Windows日志分析宝典|事件响应指南(中) 前排提示: 使用手机预览的时候, 横屏预览更佳~ 在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供 ...
- Windows日志浅析
Windows日志从Windows2000版本后共包括9种审计策略,共分为:帐户登录.登录.对象访问.目录服务访问.进程追踪.特权使用.帐户管理.策略变更.系统事件9大类. 1) 帐户登录:其实是对登 ...
- Windows应急响应 -Windows日志排查,系统日志,Web应用日志,
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows日志分析 ...
- Windows日志分析(上)
Windows日志分析(上) 在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源.用户名.计算机.事件类型和级别等详细信息,并显示应用程序和系统 ...
- 关于Windows日志
什么是日志? 简单来说,日志就是计算机系统.设备.软件等在某种情况下记录的信息.比如说:防火墙将记录ACL通过和拒绝的消息,磁盘存储系统在故障发生或者在某些系统认为将会发生故障的情况下生成日志信息. ...
- windows日志分析-Log Parser等工具使用
Windows 主要有以下三类日志记录系统事件:应用程序日志.系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件 ...
最新文章
- 高职扩招有计算机专业吗,高职扩招计算机专业
- 【R语言】迫松分布估计--判断是否符合迫松分布
- 《嵌入式Linux软硬件开发详解——基于S5PV210处理器》——2.2 DDR2 SDRAM芯片
- 复制单级文件夹【应用】
- Net中的Request和Response对象的理解
- c++中的异常---3(系统标准异常库,编写自己异常类)
- 如何改变控件内的字体颜色?
- python递归排序_Python归并排序(递归实现)
- 【邀请函】第十届中国电子政务高峰论坛即将开幕
- dos 初始化 mysql数据库_DOS下的MySQL数据库基本操作
- 【Rayeager PX2分享】OpenCV入门之图像显示
- RK3288_Android7.1在HAL层audio音频通路小结
- PolyCluster: Minimum Fragment Disagreement Clustering for Polyploid Phasing 多聚类:用于多倍体的最小碎片不一致聚类...
- Golang Fyne项目实战(含源码)
- magento 开发 -- 入门深入理解第五章 – Magento资源配置
- Direct2D (9) : 显示图像
- 数字图像与机器视觉基础补充(2)--颜色转换+分割车牌
- Altium Designer14安装教程及注意事项
- python获取当前时间的函数_Python日期与时间
- Revit二次开发之职业精神篇
热门文章
- 持续领先,九州云位列中国边缘云解决方案市场TOP2
- python写五子棋游戏下载大全_用Python写五子棋游戏
- 安可目录入围产品名单(安可目录入围产品名单 服务器)
- 期货策略matlab,code 一个利用MATLAB编写的螺纹钢期货高频交易套利策略 联合开发网 - pudn.com...
- 内网渗透神器(Mimikatz)——使用教程
- Andorid实例--仿外卖APP(未完成)
- 耳机插入电脑为啥没声音,解决方案
- UTF8字符编码转换工具
- 克服三分钟热度的状况 训练自己养成习惯不半途而废
- latex 出现Missing { inserted