首页技术总结正文内容

windows日志总结

技术总结

更新时间：2024-12-23 02:12:27 3

admin 管理员组

文章数量: 887021

本文首发于奇安信攻防社区：https://forum.butian/share/355

windows日志总结

开启审核策略

运行 secpol.msc 可以打开本地安全策略，依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的，不开启策略的话，windows就不会记录某些事件，比如登录事件，进程创建事件等等。

我们可以挨个手动修改审核策略的属性，将审核操作选上成功和失败。

当然有简单方法：将下面脚本另存为bat，然后管理员运行就可以打开全部策略了。

echo [version] >1.inf 
echo signature="$CHICAGO$" >>1.inf 
echo [Event Audit] >>1.inf 
echo AuditSystemEvents=3 >>1.inf 
echo AuditObjectAccess=3 >>1.inf 
echo AuditPrivilegeUse=3 >>1.inf 
echo AuditPolicyChange=3 >>1.inf 
echo AuditAccountManage=3 >>1.inf 
echo AuditProcessTracking=3 >>1.inf 
echo AuditDSAccess=3 >>1.inf 
echo AuditAccountLogon=3 >>1.inf 
echo AuditLogonEvents=3 >>1.inf 
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet 
del 1.*
pause

Windows系统日志

Windows系统日志简介

Windows操作系统在其运行的生命周期中会记录其大量的日志信息，这些日志信息包括：Windows事件日志（Event Log），Windows服务器系统的IIS日志，FTP日志，Exchange Server邮件服务，MS SQL Server数据库日志等。处理应急事件时，客户提出需要为其提供溯源，这些日志信息在取证和溯源中扮演着重要的角色。

Windows事件日志文件实际上是以特定的数据结构的方式存储内容，其中包括有关系统，安全，应用程序的记录。每个记录事件的数据结构中包含了9个元素（可以理解成数据库中的字段）：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证，了解计算机上上发生的具体行为。

Windows系统中自带了一个叫做事件查看器的工具，它可以用来查看分析所有的Windows系统日志。运行 eventvwr 可以快速打开事件查看器。使用该工具可以看到系统日志被分为了两大类：Windows日志和应用程序和服务日志。

系统内置的三个核心日志文件（System，Security和Application）默认大小均为20480KB（20MB），记录事件数据超过20MB时，默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB，超过最大限制也优先覆盖过期的日志记录。

windows日志类型

系统日志

系统日志包含 Windows 系统组件记录的事件。例如，在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由 Windows 预先确定。

默认位置：%SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志

应用程序日志包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。

默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则对系统的登录尝试将记录在安全日志中。

默认位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

应用程序及服务日志

Microsoft

Microsoft文件夹下包含了200多个微软内置的事件日志分类，只有部分类型默认启用记录功能，如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。

默认位置：%SystemRoot%\System32\Winevt\Logs目录下Microsoft-Windows开头的文件名

本文标签：日志 Windows

版权声明：本文标题：windows日志总结内容由网友自发贡献，该文观点仅代表作者本人，转载请联系作者并注明出处：http://www.freenas.com.cn/jishu/1728604324h1255560.html，本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，一经查实，本站将立刻删除。