admin 管理员组

文章数量: 887007

计算机系统日志作用

系统日志是记录系统中硬件、软件中的系统问题信息,同时还可以监视系统中发生的事件

用户可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹

Windows日志分类

Windows系统日志(包括应用程序、安全、安装程序和转发的事件)

服务器角色日志

应用程序日志

服务日志

事件日志基本信息

该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息

事件类型及描述

事件类型
错误出现问题可能会影响触发事件的应用程序或组件外部的功能
警告出现问题可能会影响服务器或导致更严重的问题
信息应用程序或组件发送了改变
关键出现故障导致触发事件的应用程序或组件无法自动恢复
审核成功用户权限成功
审核失败用户权限失败

安全性日志

通过日志审核功能,可以快速检测黑客的渗透和攻击,防止非法用户的再次入侵

主要通过以下事件策略审核:

  1. 对策略的审核
  2. 对登陆成功或失败的审核
  3. 对访问对象的审核
  4. 对进程跟踪的审核
  5. 对账户管理的审核
  6. 对特权使用的审核
  7. 对目录服务访问的审核

常规日志分析

查看系统日志方法

【开始】-【运行】-输入eventvwr.msc

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pOdz5uIo-1642739079996)(images/image-20220118111644755.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lbvHIkhw-1642739079999)(images/image-20220118111800290.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PUYh6VqV-1642739080001)(images/image-20220118111917893.png)]

事件类型分类

Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种

1、信息(Information)

信息事件指应用程序、驱动程序或服务的成功操作的事件

2、警告(Warning)

警告事件指不是直接的、主要的,但是会导致将来问题发送的问题

例如:当磁盘空间不足或未找到打印机时,都会记录一个“告警”事件

3、错误(Error)

错误事件指用户应该知道的重要的问题

错误事件通常指功能和数据的丢失

例如:如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件

4、成功审核(Success audit)

成功的审核安全访问尝试

主要是指安全性日志,这里记录着用户登陆/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登陆等事件,例如所有的成功登陆系统都会被记录为“成功审核”事件

5、失败审核(Failure audit)

失败的审核安全登陆尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为“失败审核”事件记录下来

常用事件ID

事件ID说明
1102清理审计日志
4624账号登录成功
4625账号登录失败
4768Kerberos身份验证(TGT请求)
4769Kerberos服务票证请求
4776NTLM身份验证
4672授予特殊权限
4720创建用户
4726删除用户
4728将成员添加到启用安全的全局组中
4729将成员从安全的全局组中移除
4732将成员添加到启用安全的本地组中
4733将成员从启用安全的本地组中移除
4756将成员添加到启用安全的通用组中
4757将成员从启用安全的通用组中移除
4719系统审计策略修改

登陆类型以及描述

登陆类型描述
2交互式登陆(用户从控制台登陆)
3网络(例如:通过net use,访问共享网络)
4批处理(为批处理程序保留)
5服务启动(服务登录)
6不支持
7解锁(带密码保护的屏幕保护程序的无人值班工作站)
8网络明文(IIS服务器登陆验证)
10远程交互(终端服务、远程桌面、远程辅助)
11缓存域证书登录

本文标签: 日志 Windows