Widows Log Files (windows日志文件)

最新推荐文章于 2022-05-24 13:29:22 发布
最新推荐文章于 2022-05-24 13:29:22 发布
阅读量5.1k 收藏 1
点赞数
分类专栏: Windows

1.1 计划任务服务
Schedlgu.txt为计划任务服务的日志文件,可以在下面的键值指定该文件的路径
Key: HKLM/SOFTWARE/Microsoft/SchedulingAgent
Value: LogPath (REG_SZ)
Default value: %SystemRoot%/SchedLgU.txt (W2K, WXP),

%SystemRoot/Tasks/SchedLgU.txt (W2K3)
表1 计划任务服务

文件名字  服务或程序 Windows版本 描述 
%systemroot%/SchedLgU.txt Task Scheduler service W2K, WXP Logfile of

running scheduled jobs  
%systemroot%/tasks/SchedLgU.txt Task Scheduler service W2K3 Logfile of

running scheduled jobs  
IPSEC Services / IPSEC Policy Agent service

PolicyAgent服务的日志文件存放在oakley.log中,默认为空。为了启用日志纪录

,需要改变下面的注册表项为1
Key: HKLM/SYSTEM/CurrentControlSet/Services/PolicyAgent/Oakley
Value: EnableLogging (REG_DWORD)
处于windows2000中的IPSEC Services也支持下面的注册表项,当被设置为1的时

候,支持附加的日志纪录在ipsecpa.log文件中
Key: HKLM/SYSTEM/CurrentControlSet/Services/PolicyAgent
Value: Debug (REG_DWORD)

表2 IPSEC Services / IPSEC Policy Agent service
文件名 服务或程序 Windows版本 描述 
%systemroot%/Debug/oakley.log IPSec Services service W2K, WXP, W2K3 Log

of the IPSec Services service 
%systemroot%/Debug/ipsecpa.log IPSEC Policy Agent service W2K Log of

the IPSEC Policy Agent service 
DNS Client service
DNS Client service默认没有设置日志纪录。可以通过在%systemroot%/system32

目录下手动添加dnsrslvr.log文件,用来纪录事件日志
:/WINDOWS/system32/>echo "" > dnsrslvr.log
在Windows XP和windows server2003中,必须明显指定给 NETWORK SERVICE 账户

的写权限
C:/WINDOWS/system32/>cacls dnsrslvr.log /E /G "NETWORK SERVICE":W
表3DNS Client service

文件名 服务或程序  Windows版本 描述 
%systemroot%/system32/dnsrslvr.log Dnscache service W2K, WXP, W2K3

DnsCache service debug log 
1.4. DHCP Client service
为了启用DHCP Client service的日志纪录,需要手动在%systemroot%/system32

目录下创建asyncreg.log文件
C:/WINDOWS/system32/>echo "" > asyncreg.log
在Windows XP和windows server2003中,必须明显指定给 NETWORK SERVICE 账户

的写权限
C:/WINDOWS/system32/>cacls asyncreg.log /E /G "NETWORK SERVICE":W
表 4. DHCP Client service
文件名 服务或程序 Windows版本 描述 
%systemroot%/system32/asyncreg.log Dhcp Client service W2K, WXP, W2K3

Dhcp Client service debug log 
1.5. Windows Time service
微软知识库中#816043号文章记述了Windows Time service,支持普通文本日志。

你需要在注册表下列键值添加日志文件的名字
Key: HKLM/SYSTEM/CurrentControlSet/Services/W32Time/Config
Value: FileLogName (REG_SZ)
表5. Windows Time service
文件名 服务或程序 Windows版本 描述 
W32time.log (user-configurable filename) Windows Time service W2K, WXP,

W2K3 Windows Time service debug log 
.6. Cluster service
表 6. Cluster service
文件名 服务或程序 Windows版本 描述 
%systemroot%/Cluster/cluster.log 
%systemroot%/system32/LogFiles/Cluster/clcfgsrv.log 
%systemroot%/system32/LogFiles/Cluster/clusocm.log 
%systemroot%/system32/LogFiles/Cluster/cluscomp.log 
 Cluster Service service W2K3 Cluster Service service log files 
%systemroot%/clusocm.log Cluster optional component W2K Cluster

optional component log 
1.7. Windows Image Acquisition (WIA) service
表 7. Windows Image Acquisition (WIA) service
文件名 服务或程序  Windows版本 描述 
%systemroot%/wiadebug.log 
%systemroot/Sti_Trace.log 
%systemroot%/wiaservc.log 
 Windows Image Acquisition (WIA) service WXP WIA service error log 
2. Windows setup
表8  Windows setup

文件名 服务或程序 Windows版本 描述 
%systemroot%/setupact.log Windows setup W2K, WXP, W2K3 Windows installation log 
%systemroot%/setuperr.log Windows setup W2K, WXP, W2K3 Windows Installation errors log 
%systemroot%/repair/setup.log Windows setup W2K, WXP, W2K3 Windows Installation log 
%systemroot%/setupapi.log Windows setup W2K, WXP, W2K3 .inf files installation log 
%systemroot%/updspapi.log update.exe W2K, WXP, W2K3 .inf files installation log 
%systemroot%/comsetup.log COM+ W2K, WXP, W2K3 COM+ setup log 
%systemroot%/Debug/NetSetup.log Windows W2K, WXP, W2K3 Windows domain configuration change log 
%systemroot%/Debug/Configure Your Server.log 
%systemroot%/Debug/cysui.log 
%systemroot%/Debug/cysui.XXX.log 
 Configure Your Server wizard W2K3 Log of administrative actions realized using the Configure Your Server wizard 
%systemroot%/Wsdu.log Unattended installation WXP, W2K3 Dynamic update log 
3. Software updates
表 9. Software updates

Filename Service or program Windows version Description 
%systemroot%/Windows Update.log Windows Update W2K, WXP, W2K3 Detailed list of software update managed by Windows Update 
%systemroot%/WindowsUpdate.log Automatic Updates service WXP, W2K3   
%systemroot%/svcpack.log update.exe W2K, WXP, W2K3 Service Pack installation log 
%systemroot%/spuninst.log update.exe W2K, WXP, W2K3 Service Pack installation log 
%systemroot%/KBXXXXXX.log update.exe W2K, WXP, W2K3 Software update installation log 
%systemroot%/KBXXXXXXUninst.log update.exe W2K, WXP, W2K3 Software update uninstallation log 
%systemroot%/UpdateRollupPackage.log update.exe W2K, WXP, W2K3 Update Rollup Package installation log 
%systemroot%/spslprm.log update.exe W2K, WXP, W2K3 Software update slipstreaming log 
%systemroot%/cabbuild.log update.exe W2K, WXP, W2K3 Software update log 
%systemroot%/spupdsvc.log spupdsvc.exe W2K, WXP, W2K3 Software update log 
%systemroot%/system32/spupdsvc.log spupdsvc.exe W2K Software update log 
%systemroot%/system32/spupdw2k.log spupdsvc.exe W2K Software update log 
%systemroot%/Xpsp1hfm.log update.exe WXP Windows XP pre-SP1 hotfixes log 
%systemroot%/system32/CatRoot2/dberr.txt Catalog file registrations WXP, W2K3 Catalog file registrations log

4. Active Directory domain controllers
4.1. Domain Controller promotion (dcpromo.exe)
4.2. Security Account Manager (SAM)
4.3. Local Security Authority (LSA)
4.4. Netlogon
4.5. File Replication Service
4.1. Domain Controller promotion (dcpromo.exe)
The dcpromo.exe program is used to promote or demote an Active Directory domain controller. When dcpromo is used, log files are generated.

Table 10. Domain Controller promotion

Filename Service or program Windows version Description 
%systemroot%/Debug/DCPROMO.LOG 
%systemroot%/Debug/dcpromoui.log 
%systemroot%/Debug/dcpromoui.XXX.log 
 dcpromo.exe W2K, W2K3 dcpromo.exe log 
%systemroot%/Debug/dcpromohelp.log dcphelp.exe W2K, W2K3 dcphelp.exe log  
%systemroot%/Debug/csv.log csvde.exe W2K, W2K3 csvde.exe log

4.2. Security Account Manager (SAM)
When the SamLogLevel registry value is present and set to 1, the SAM creates a sam.log file:

Key: HKLM/SYSTEM/CurrentControlSet/Control/Lsa
Value: SamLogLevel (REG_DWORD)

The sam.log file is used to log account lockout related events.

Table 11. Security Account Manager

Filename Service or program Windows version Description 
%systemroot%/debug/sam.log SAM WXP, W2K3 SAM log file

4.3. Local Security Authority (LSA)
In Windows Server 2003, both the Kerberos authentication package and KDC service can be configured to log debug information, in a file named lsass.log.

To enabled logging in a file, the LogToFile registry value must be set to 1:

Key: HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Kerberos/Parameters
Value: LogToFile (REG_DWORD)
Content: 1 (to enable logging)

Then, the KerbDebugLevel registry value must be added and configured to specify what kind of Kerberos events must be logged:

Key: HKLM/SYSTEM/CurrentControlSet/Control/Lsa/Kerberos/Parameters
Value: KerbDebugLevel (REG_DWORD)

The following list gives the common debug values that must be used to build a binary mask specified in KerbDebugLevel:

Errors: 0x00000001
Warnings: 0x00000002
Tracing: 0x00000004
API tracing: 0x00000008
Credential related tracing: 0x00000010
Security Context tracing: 0x00000020
Logon Session tracing: 0x00000040
Logon tracing: 0x00000100
KDC tracing: 0x00000200
Detailed Security Context tracing: 0x00000400
Time related tracing: 0x00000800
User related tracing: 0x00001000
Leak related tracing: 0x00002000
WinSock related tracing: 0x00004000
SPN cache tracing: 0x00008000
S4U Errors: 0x00010000
S4U tracing: 0x00020000
Loopback tracing: 0x00080000
Ticket renewal tracing: 0x00100000
User to User tracing: 0x00200000
Locks tracing: 0x01000000

In the Troubleshooting Kerberos errors document, Microsoft recommends to set the KerbDebugLevel value to 0xc0000043 for typical debugging work.

In Windows Server 2003, the KDC service can also be configured to log debugging information, by adding the KdcDebugLevel registry value:

Key: HKLM/SYSTEM/CurrentControlSet/Services/Kdc
Value: KdcDebugLevel (REG_DWORD)

The common debug values for KdcDebugLevel are: 
Errors: 0x00000001
Warnings: 0x00000002
Tracing: 0x00000004
API tracing: 0x00000008
Credential related tracing: 0x00000010
Security Context tracing: 0x00000020
Logon Session tracing: 0x00000040
Logon tracing: 0x00000100
KDC tracing: 0x00000200
Detailed Security Context tracing: 0x00000400
Time related tracing: 0x00000800
User related tracing: 0x00001000
Leak related tracing: 0x00002000
WinSock related tracing: 0x00004000
SPN cache tracing: 0x00008000
S4U Errors: 0x00010000
S4U tracing: 0x00020000
Loopback tracing: 0x00080000
Ticket renewal tracing: 0x00100000
User to User tracing: 0x00200000
Locks tracing: 0x01000000
Use Extended Errors: 0x10000000

The KdcExtraLogLevel registry value can be added for extra KDC logging:

Key: HKLM/SYSTEM/CurrentControlSet/Services/Kdc
Value: KdcExtraLogLevel (REG_DWORD)
Default value: 0x2

The following extra log levels are defined:

Audit SPN unknown errors: 0x1
Log detailed PKINIT1 errors: 0x2
Log all KDC errors with KLIN information: 0x4

Table 12. Local Security Authority

Filename Service or program Windows version Description 
%systemroot%/system32/lsass.log LSA W2K3 Kerberos authentication package debugging 
%systemroot%/system32/lsass.log KDC service W2K3 KDC service debugging

4.4. Netlogon
The Netlogon service can be configured to log debugging information to a log file, named netlogon.log.

As documented in the #109626, the DbFlag registry value can be added and set to a binary mask (typically, 0x2080FFFF for Windows 2000 and Windows Server 2003):

Key: HKLM/SYSTEM/CurrentControlSet/Services/Netlogon/Parameters
Value: DbFlag (REG_DWORD)

Table 13. Netlogon

Filename Service or program Windows version Description 
%systemroot%/Debug/Netlogon.log Netlogon service W2K, W2K3 Netlogon service debug log

4.5. File Replication Service
Table 14. File Replication Service

Filename Service or program Windows version Description 
%systemroot%/Debug/NtFrsApi.log File Replication Service service W2K, W2K3 File Replication Service events during promotion and demotion 
%systemroot%/Debug/NtFrs_xxxx.log File Replication Service service W2K, W2K3 File Replication Service log

5. Group Policy
Table 15. Group Policy

Filename Service or program Windows version Description 
%systemroot%/Debug/UserMode/gpedit.log Group Policy Object Editor W2K, WXP, W2K3 Group Policy Object Editor (Core-specific entries) 
%systemroot%/Debug/UserMode/gptext.log Group Policy Object Editor W2K, WXP, W2K3 Group Policy Object Editor (CSE-specific entries) 
%systemroot%/security/logs/winlogon.log Group Policy W2K, WXP, W2K3 Group Policy Security CSE log 
%systemroot%/debug/usermode/fdeploy.log Group Policy W2K, WXP, W2K3 Group Policy Folder Redirection CSE log 
%systemroot%/debug/usermode/appmgmt.log Group Policy W2K, WXP, W2K3 Software Installation CSE log 
%systemroot%/security/logs/scepol.log Security Configuration Engine W2K, WXP, W2K3 LSA API log used by GPO 
%systemroot%/security/logs/scesetup.log Security Configuration Engine W2K, WXP, W2K3 Security settings implemented during setup log

6. Internet Information Services (IIS)
During the installation of IIS 5.0, IIS 5.1 and IIS 6, events are logged in the iis5.log or iis6.log.

By default, Internet services (HTTP, FTP, SMTP, NNTP) log requests in files stored under the LogFiles directory.

Table 16. Internet Information Services (IIS)

Filename Service or program Windows version Description 
%systemroot%/iis5.log IIS 5 W2K IIS 5.0 installation log 
%systemroot%/iis6.log IIS 5.1, IIS 6 WXP, W2K3 IIS 5.1 and IIS 6.0 installation log 
%systemroot%/system32/LogFiles/W3SVCX/ IIS HTTP service W2K, WXP, W2K3 IIS HTTP service access log 
%systemroot%/system32/LogFiles/MSFTPSVCX/ IIS FTP service W2K, WXP, W2K3 IIS FTP service access log 
%systemroot%/system32/LogFiles/HTTPERR/httperrX.log http.sys driver WXP SP2, W2K3 http.sys driver error log

7. Routing and Remote Access service
Tracing for the RRAS service is typically enabled using netsh (set tracing command in the ras context). For each RRAS component that supports tracing, a registry key is stored under the Tracing key:

Key: HKLM/SOFTWARE/Microsoft/Tracing

For each component, file logging is enabled when the EnableFileTracing registry value is set to 1 and when a tracing mask is specified in the FIleTracingMask value.

Log files are named after the name of registry keys under the Tracing key. For instance, the NETSHELL.LOG file contains tracing for the NETSHELL component.

Table 17. Routing and Remote Access service

Filename Service or program Windows version Description 
%systemroot%/tracing/BAP.LOG 
%systemroot%/tracing/conftsp.LOG 
%systemroot%/tracing/EAPOL.LOG 
%systemroot%/tracing/IASACCT.LOG 
%systemroot%/tracing/IASNAP.LOG 
%systemroot%/tracing/IASRAD.LOG 
%systemroot%/tracing/IASSAM.LOG 
%systemroot%/tracing/IASSDO.LOG 
%systemroot%/tracing/IASSVCS.LOG 
%systemroot%/tracing/IGMPv2.LOG 
%systemroot%/tracing/IPMGM.LOG 
%systemroot%/tracing/IPNATHLP.LOG 
%systemroot%/tracing/IPRouterManager.LOG 
%systemroot%/tracing/KMDDSP.LOG 
%systemroot%/tracing/NDPTSP.LOG 
%systemroot%/tracing/NETMAN.LOG 
%systemroot%/tracing/NETSHELL.LOG 
%systemroot%/tracing/PPP.LOG 
%systemroot%/tracing/RASBACP.LOG 
%systemroot%/tracing/RASCCP.LOG 
%systemroot%/tracing/RASCHAP.LOG 
%systemroot%/tracing/RASDLG.LOG 
%systemroot%/tracing/RASEAP.LOG 
%systemroot%/tracing/RASIPCP.LOG 
%systemroot%/tracing/RASIPHLP.LOG 
%systemroot%/tracing/RASMAN.LOG 
%systemroot%/tracing/RASPAP.LOG 
%systemroot%/tracing/RASSPAP.LOG 
%systemroot%/tracing/RASTAPI.LOG 
%systemroot%/tracing/RASTLS.LOG 
%systemroot%/tracing/Router.LOG 
%systemroot%/tracing/RTM.LOG 
%systemroot%/tracing/tapi32.LOG 
%systemroot%/tracing/tapisrv.LOG 
%systemroot%/tracing/Wlpolicy.LOG 
%systemroot%/tracing/WZCTrace.LOG 
 RRAS service W2K, WXP, W2K3 Routing and Remote Access service tracing files

8. WMI (Windows Management Instrumentation)
The WMI framework manage several log files. The Logging Directory registry value specifiy the directory where these files are stored:

Key: HKLM/SOFTWARE/Microsoft/WBEM/CIMOM
Value: Logging Directory (REG_SZ)
Default value: %SystemRoot%/system32/WBEM/Logs

The Logging registry value can be set to 0 (logging disabled), 1 (errors only) or 2 (verbose logging):

Key: HKLM/SOFTWARE/Microsoft/WBEM/CIMOM
Value: Logging (REG_DWORD)

These registry values can be modified in the Logging tab of the WMI Control MMC snapin.

Table 18. WMI (Windows Management Instrumentation)

Filename Service or program Windows version Description 
%systemroot%/system32/wbem/logs/setup.log WMI W2K, WXP, W2K3 MOF files compilation log 
%systemroot%/system32/wbem/logs/WinMgmt.log WMI W2K, WXP, W2K3 WinMgmt.exe log 
%systemroot%/system32/wbem/logs/wbemcore.log WMI W2K, WXP, W2K3 WMI error messages log 
%systemroot%/system32/wbem/logs/FrameWork.log WMI W2K, WXP, W2K3 Trace information and error messages for the provider framework and the Win32 Provider. 
%systemroot%/system32/wbem/logs/wbemess.log WMI W2K, WXP, W2K3 Log entries related to events 
%systemroot%/system32/wbem/logs/wbemprox.log WMI W2K, WXP, W2K3 Trace information for the WMI proxy server 
%systemroot%/system32/wbem/logs/Mofcomp.log WMI W2K, WXP, W2K3 Compilation details from the MOF compiler 
%systemroot%/system32/wbem/logs/wmiadap.log WMI W2K, WXP, W2K3 Error messages related to the AutoDiscoveryAutoPurge (ADAP) process 
%systemroot%/system32/wbem/logs/wmiprov.log WMI W2K, WXP, W2K3 Management data and events from WMI-enabled Windows Driver Model (WDM) drivers 
%systemroot%/system32/wbem/logs/ntevt.log WMI W2K, W2K3 Trace messages from the Event Log Provider 
%systemroot%/system32/wbem/logs/Dsprovider.log WMI W2K, WXP, W2K3 Trace information and error messages for the Directory Services Provider 
%systemroot%/system32/wbem/logs/WMIC.LOG WMI WXP, W2K3 wmic.exe errors log

9. Miscellanous
Table 19. Miscellanous

Filename Service or program Windows version Description 
%systemroot%/Debug/PASSWD.LOG Security Accounts Manager (SAM) service W2K, WXP, W2K3 Log file for the SamChangePasswordUser2 API (used by the Change Password dialog box available after the Control-Alt-Delete sequence) 
%systemroot%/Debug/UserMode/userenv.log Winlogon W2K, WXP, W2K3 User environment settings debugging 
%systemroot%/system32/LogFiles/Shutdown/ShutDown_XXX.xml System State Data Feature WXP, W2K3 System shutdown log 
%systemroot%/Pfirewall.log Windows firewall WXP, W2K3 Windows firewall log 
%systemroot%/DtcInstall.log Distributed Transaction Coordinator service W2K3 MS DTC service installation log 
%systemroot%/tsoc.log Terminal Services W2K, WXP, W2K3 Terminal Services installation log 
 

原文:http://www.hsc.fr/ressources/articles/win_log_files/index.html.en#id2510490

DoveFeng
关注
专栏目录
Windows日志分析(上)
weixin_43200882的博客
10-20 3512
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。多年来,微软不断提高其审计设施的效率和有效性。现代 Windows 系统可以以最小的系统影响记录大量信息。一般来说企业会选择一种工具来获取日志,这个工具叫做即安全,信息和事件管理。
Windows日志】记录系统事件的日志
最新发布
第一天
10-14 2万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
Windows 常见log位置
远有青山
06-08 8124
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。  安全日志文件:%systemroot%\system32\config\SecEvent.EVT  系统日志文件:%systemroot%\system32\config\SysEvent.EVT  应用程序日志文件:%sys
服务器c盘logs文件夹,Win10系统Logs文件夹有什么作用?Logs文件夹可以删除吗?
weixin_32797441的博客
08-09 3471
Windows系统中一般都会有一个Logs文件夹,它能够记载系统运行的一些记录,我们可以使用记事本将它打开。最近,有Win10系统的用户,在查看电脑的时候发现有一个Logs文件夹,不知道Logs文件夹有什么用,能不能删除。那Logs文件夹到底能不能删除呢?今天,小编就和大家说一下Win10系统Logs文件夹有什么作用,Logs文件夹可以删除吗。步骤如下:一、Logs文件夹有什么用?Logs文件夹是...
zip文件的contenttype是什么?_Windows $LogFile 文件
weixin_39727863的博客
12-05 979
很久之前写的一篇没什么用的文章, 过去只是把它存储在自己的文档备份里面. 我把它分享出来, 目的只是希望对检索到的人有所帮助或启发. 写的很乱, 能看懂就看, 看不懂就算, 也不要问我什么了, 已经不再从事相关的领域.推荐阅读关于NTFS的一篇文章: http://www.ntfs.com/transaction.htm1. 什么是$LogFile?NTFS日志通过记录或记录任何改变重要文件系...
windows日志分析-Log Parser等工具使用
李安北的博客
05-24 9769
Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx 包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。 安全日志:%SystemRoot%\Syste
windows服务器日志文件定期清理,运维编排场景系列-----定时清理Windows服务器日志...
weixin_34549315的博客
08-10 1331
本文介绍在运维编排OOS的控制台,通过OOS服务下的定时运维功能,定时执行一个功能性模版,实现某些需定时管理服务器或定时管理其它服务的需求。应用背景运行中的实例内部运行了很多服务程序,随时间的推移系统会产生大量的日志文件或一些垃圾文件。其中产生的某些日志文件可能并无实际作用,时间久了产生越来越多的日志文件会占用实例中很大的存储空间,所以需要定期清理无用的日志文件,优化实例存储空间。前提条件实例状态...
Windows系统日志分析工具-- Log Parser
qq_38205354的博客
01-12 7979
可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客 写完才看见。吐了 0x01 基本设置 事件ID及常见场景 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 系统: 1074,通过这个事件ID查看计算机的开机、关...
log文件过大,大文件查看工具
10-19
在IT行业中,日志文件log files)是系统和应用程序记录事件的重要手段,它们记录了程序运行时的各种信息,如错误、警告、调试信息等。然而,随着系统运行时间的增长,这些日志文件可能会变得非常庞大,导致常规...
3分钟教会你Graylog收集Windows主机日志
liqiuman180688的博客
12-13 5900
写 · 在 · 前 · 面 运维七点整,晚七点为大家提供运维相关资讯,在这里关注运维、关注新技术、关注中小企业运维痛点,结合多年的客户服务经验,跟大家一起交流分享在管理、应用、数据库、监控、安全、日志、自动化、成本控制等运维知识。 Graylog是一个开源的完整的日志管理工具,以往公司的Linux操作系统上,都带有rsyslog服务,我们可以使用syslog协议将系统日志发送值graylog上...
WIN32 写入log文件
MikeDai的博客
03-27 944
创建log目录及其文件:void CLog::CreateLog() { int err; CString path = DefaultPath(); path.Append(LogPath); CString name; SYSTEMTIME systime; GetLocalTime(&systime); name.Format(_T(
渗透学习总结-Windows基础
cainiao17441898的博客
10-28 3310
文章目录Windows账户和组账户**组**WindowsLog日志)系统 Windows账户和组 这里比较常用就不细说了。简要的概括下。 账户 默认账户: Administrator-默认的超级管理员 系统超级管理员账户,具有最高权限。在域中和计算机中具有不受限制的权限,可以管理本地或域中的任何计算机,如创建账户、创建组、实施安全策略等。 不被锁定,不能删除,可以重命名 Guest-默认来宾账户 默认被禁用,不能删除,可重命名 权限有限,不能修改系统设置和安装程序,只能读取计算机系统信息
IIS的HTTPERR错误日志引起C盘占用率过高解决方法
kikyoar
07-23 1007
有客户反应他的win服务器win2003系统C磁盘占用快到100%,而且cpu使用率很高,但自己本省并没有用掉这个多磁盘,我们查找原因后发现是IIS的HTTPERR的错误日志的问题,现在说下解决方法: 解决方案 1) 从 IIS 管理器右键单击 Internet Information Server (IIS) 管理器级别根目录上并转到属性。 选中要启用直接编辑元数据库框。 单击确定。 在记
利用MS-SAMR协议修改/还原用户密码
谢公子的博客
08-06 3653
在实战中,我们经常会碰到这么一种场景。拿到域控的权限了,把域内所有用户哈希都导出来了。为了找靶标,需要登录指定用户的机器或其他web系统,但是指定用户的hash未能解除明文密码,而RDP和web又不支持hash登录,这时,渗透陷入了困境。有的朋友可能会说,既然都有域控的权限了,那可以把指定用户的密码修改为我们已知的密码再利用,但是这种方法不可行,第一是演习规则中禁止修改用户密码,第二是用户如果发现自己的密码被修改了的话,就肯定知道被入侵了,立马会进行溯源,会打草惊蛇。 针对这种情况,我们有以下两种解决方案
win10开机出现D\WINDOWS\System32\Logfiles\Srt\SrtTrail.tx
aagdkgk5的博客
08-25 1万+
有可能是c盘和d盘都被做过系统盘,此时无论怎么重装c盘都没用,需要改启动位置改成c盘 此时可以: 1.点击高级选项-命令行提示符或进pe进命令行提示符 2. (1)输入“C:”,按回车键,转到C:盘。(注:不包含双引号,下同) (2)输入“cd Windows”,转到C:\Windows。 (3)输入“cd system32”,转到C:\Windows\system32。 (4)输入“bcdedit /v”,显示如下: Windows 启动管理器 标识符 {9dea862c-5c
我的计算机加密,安装加密系统后,打开我的电脑速度变慢
weixin_34921054的博客
07-28 1535
安装加密系统后,打开我的电脑速度变慢适用版本:企业版安装加密软件有,有的用户打开“我的电脑”响应会变慢,这主要是由于WIA服务引起的。当扫描涉密后,日志文件 \windows\sti_trace.log 会被加密,系统下次启动时,如果是离线状态或者WIA服务的启动先于secWall用户自动登陆时,由于不能正常读取加密文件 sti_trace.log,系统将进行长时间的扫描和停滞。解决方案有两个,一...
windows10自动更新后C:\WINDOWS\System32\Logfiles\Srt\SrtTrail.txt问题
热门推荐
u013927115的博客
08-31 5万+
电脑类型:先说我的电脑,是联想拯救者。 操作系统:Windows10系统64位。 事发情况;我的电脑是在8月28号晚上关机的时候自动更新的。29号白天用着还没问题,可是29号晚上吃完晚饭回来之后,点了两下电脑,突然就死机了。使用电源按钮重启后,一直在自动修复,但是却修复不好。 尝试解决:百度了各种情况,有说用U盘作为启动盘启动的(当时不具备条件),有说使用安全模式启动(已经不能进入安全启动...
关于查杀木马
prahs的专栏
05-11 1177
背景今天在yuange的微博中看到一些关于查杀木马的技巧,原文“这些都是些实战经验,还有dlllist过滤0x10000000地址查木马,vc默认模块地址0x10000000,微软为了加快加载地址不冲突自己的模块都错开分配好了的,而绝大多数木马开发者不懂这些,简单工具就过滤90%以上木马。再配合我的独门绝技打开Dnsrslvr.log记录DNS,基本上简单的手工就可以查出起码95%以上木马。”其中提
Windows驱动开发之日志打印
Sagittarius_Warrior的博客
04-21 9848
在WDF框架中,有一个“trace.h”头文件,在驱动的入口函数中,会用到 // // Initialize WDF WPP tracing. // WPP_INIT_TRACING( DriverObject, RegistryPath ); // // TraceEvents function is mapped to DoTraceMess
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值