【应急响应篇】应急响应之日志排查方法,Windows篇

已于 2023-07-31 17:19:54 修改
阅读量1.1k 收藏 1
点赞数 2
分类专栏: # 网络安全面试 文章标签: windows 数据库
于 2023-05-18 16:19:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gherbirthday0916/article/details/130742228
版权
本文介绍了Windows应急响应中日志排查的方法,包括日志文件位置、日志分类、常用事件ID和分析手段。重点讲解了系统日志、安全性日志和应用程序日志,以及如何通过内置筛选器、PowerShell和第三方工具进行日志分析。
摘要由CSDN通过智能技术生成

【应急响应篇】应急响应之日志排查方法,Windows篇

1.Windows系统的日志文件位置

在 Windows 系统中,日志文件包括:系统日志、安全性日志及应用程序日志,对于应急响应工程师来说这三类日志需要熟练掌握

Windows 2000 专业版/Windows XP/Windows Server 2003(注意日志文件的后缀名是 evt)系统中:

系统日志的位置为 C:\WINDOWS\System32\config\SysEvent.evt
安全性日志的位置为 C:\WINDOWS\System32\config\SecEvent.evt
应用程序日志的位置为 C:\WINN
了解本专栏 订阅专栏 解锁全文 超级会员免费看
世界尽头与你
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
应急响应应急响应日志排查方法,Linux
大河之犬的博客
05-18 998
目录下,有 catalina.out、catalina.YYYY-MM- DD.log、localhost.YYYY-MM-DD.log、localhost_access_log.YYYY-MM-DD.txt、host-manager.YYYY-MM-DD.log、manager.YYYY-MM-DD.log 等几类日志。除了可对 Windows 和 Linux 系统日志进行分析,还可对 Web 日志、中间件日志数据库日志、FTP 日志等进行分析。在默认情况下,WebLogic 有三种日志,分别是。
应急响应windows日志排查
越努力 越自由
07-08 6887
windows日志分类 系统日志 记录操作系统组件产生的事件,主要包括操作系统驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等事件。系统日志中记录的时间类型由Windows NT/2K操作系统预先定义。 默认位置:%SystemRoot%\System32\Winevt\Logs\System.evtx 应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如...
Windows应急响应-排查方式
最新发布
rumil的博客
08-05 1117
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。常见的应急响应事件分类:常见的应急响应事件可分为四类,如下。
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
热门推荐
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
windows server 2003 系统日志排查
weixin_33912453的博客
01-28 134
客户财务服务器经常性报5719错误 Event Type:ErrorEvent Source:NETLOGONEvent Category:NoneEvent ID:5719Date:2013-01-28Time:5:57:08User:N/AComputer:server3 Description:This computer was not able...
应急响应-日志分析
懂进攻知防守
11-22 1245
日志概述在Windows系统中,日志文件包括:系统日志、安全性日志、应用程序日志:如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。系统:1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 包含如下工具 windows日志分析工具 包含如下文档 Windows 日志记录配置.docx [应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应...
最全Linux 应急响应-溯源-系统日志排查
Cwillchris的博客
08-04 1032
黑客入侵系统后一般会将系统日志清空,以达到清理痕迹的作用,如果日志被黑客清空我们就无法通过日志来分析黑客入侵系统后都做了哪些事情,在很多情况下黑客在清理日志的时候都会忽略内存中的日志。将本次登录的命令写入命令历史文件中,命令不是使用了就立即写入到文件中的,会现在缓存中,用户退出登录时会自动写入文件,-w 命令可以立即写入,-c 命令可以清除当前缓存中的命令。创建),但若失败(例如在系统启动早期"/var"尚未挂载),则转而保存在 /run/log/journal 目录中(将会被自动按需创建)。...
《网络安全自学教程》- Windows应急响应排查思路
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
大多数日志文件的后缀名是_VIM学习笔记 语法高亮度-日志文件(Syntax-Logfile)
weixin_39864387的博客
11-22 825
在系统排错过程中,常常需要日志文件里大海捞针。面对数量巨大的繁杂信息,如何快速准确地找到线索,就显得格外重要了。利用语法高亮度(Syntax),可以突出显示重要的信息,比如:包含“Error”和“Fail”等关键词的报错信息;日期、网址、文件名等对象;数字、字符串、操作符等元素。定义语法高亮度首先,定义需要着重显示的文本内容:匹配指定的关键字:syn 匹配特定模式的字符串:syn 然后,定义如何...
网络日志分析的重要性
李晨光原创IT博客
11-11 1296
网络安全中最富挑战性的工作是网络日志分析。这种工作过程通过对各种日志文件进行严密监控和分析来识别出入侵或入侵的企图,该过程还包含归一化的日志安全事件进行关联分析。这需要进行检查的网络日志文件有许多不同的类型,但是设备(包括交换机、防火墙、路由器等)。 尽管分析日志文件是一件单调乏味且容易让人疲劳的工作,但是在《Unix/Linux网络日志分析和流量监控》一书中给出的技术和有趣的案例,可以帮助你在短时间内从日志文件中获取大量有价值的经验。 这本日志分析图书从日志文件的作用和特征讲起逐步深入到日志文件分析的
Windows
m0_71326960的博客
01-15 599
Windows渗透测试,Windows信息收集
windows日志知识
blackson的专栏
09-01 2764
一、前言Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等.当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流光启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下
Windows日志分析(上)
weixin_43200882的博客
10-20 3496
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。多年来,微软不断提高其审计设施的效率和有效性。现代 Windows 系统可以以最小的系统影响记录大量信息。一般来说企业会选择一种工具来获取日志,这个工具叫做即安全,信息和事件管理。
Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache.hve,Windows文件访问时间不更新原理
wangyuxiang946的博客
04-03 1万+
Windows敏感目录,文件痕迹排查 一、根据时间查找 Forfiles 1、访问时间不更新问题 二、最近打开的文件 Recent 三、临时目录 Temp 四、预读取文件 Prefetch 五、程序执行情况 Amcache.hve 六、浏览器分析 七、webshell
windows日志怎么打开/查看
猿小白的博客
04-28 4441
目录一、方法1二、方法2三、方法3 (推荐)
应急响应实战笔记——日志分析:① Windows 日志分析
君逍遥o
03-27 3196
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

世界尽头与你

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值