windows系统:
在Windows 2000 专业版/Windows XP/Windows Server 2003(注意日志文件的后缀名是evt): 系统中:系统日志的位置为C:\WINDOWS\System32\config\SysEvent.evt; 安全性日志的位置为C:\WINDOWS\System32\config\SecEvent.evt; 应用程序日志的位置为C:\WINNT\System32\config\AppEvent.evt。 在Windows Vista/Windows 7/Windows 8/Windows 10/Windows Server2008及以上版本系统中: 系统日志的位置为%SystemRoot%\System32\Winevt\Logs\System.evtx; 安全性日志的位置为%SystemRoot%\System32\Winevt\Logs\Security.evtx; 应用程序日志的位置为%SystemRoot%\System32\Winevt\Logs\Application.evtx。
系统日志一般由各种驱动出现的重大问题,操作系统的多种组件在运行中出现的重大问题
安全性日志记录了各种安全相关的日志,如登录与退出系统的成功或不成功的信息
应用程序日志主要记录各种应用程序所产生的的各类事件
常用事件id
4624 成功登录 4625 失败登录 4776 成功/失败的账户认证 4720 创建用户 4732 添加用户到启用安全性的本地组中 4728 添加用户到启用安全性的全局组中 7030 服务创建错误 7040 IPSEC服务的启动类型已从禁用更改为自动启动 7045 服务创建
登录行为的数字代表登录类型
登录相关日志事件ID对应的描述(可以记一下,hw面试常问)
常用软件Log Parser的操作
使用举例:
查看登录成功的所有事件:
使用【LogParser.exe-i:EVT-o:DATAGRID"SELECT * FROM C:\Security.evtx where EventID=4624"】命令,可查看事件ID为4624,即登录成功的所有事件
指定登录时间范围的事件:
使用【LogParser.exe-i:EVT-o:DATAGRID"SELECT * FROM C:\Security.evtx where TimeGenerated>'2018-01-01 23:59:59' and TimeGenerated<'2019-06-01 23:59:59' andEventID=4625"】命令,
可查看从2018年1月1日23时59分59秒到2019年6月1日23时59分59秒,事件ID为4625,即登录失败的所有事件