Windows&&linux系统日志分析

最新推荐文章于 2024-01-17 21:11:10 发布
最新推荐文章于 2024-01-17 21:11:10 发布
阅读量771 收藏 4
点赞数
分类专栏: 个人用 网安 文章标签: linux windows 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l4kjih3gfe2dcba1/article/details/124794871
版权

系统日志

Windows系统日志

包括“Windows事件日志、服务器角色日志、FTP日志(21)、邮件日志服务等”

打开方式

  1. 文件打开

C:\Windows\System32\winevt\Logs目录下存在诸多日志文件,安全日志为Security.evtx

Windows 2000 / Server2003 / Windows XP 安全日志默认位置在:\WINDOWS\System32\config\SecEvent.Evt

  1. eventvwr
    通过WIN+R键调出运行界面后,在界面中执行eventvwr

分类

在这里插入图片描述
在这里插入图片描述

结构组成

在这里插入图片描述
在这里插入图片描述

常见属性

在这里插入图片描述

登录类型

在这里插入图片描述

Windows官网:
在这里插入图片描述

事件ID

在这里插入图片描述
4720需要重点关注!

登录失败4625——子状态码

在这里插入图片描述

系统正常启动场景分析

在这里插入图片描述
其中,【事件ID 4608】表示Windows正在启动。之后伴随着一条特殊的登陆成功记录,为什么说特殊呢?因为这一条【事件ID 4624】登陆成功记录中的登陆类型为:
在这里插入图片描述

Linux系统日志

大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslogd,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。
Linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息,这些信息对管理员了解系统的运行状态是非常有用的,所以应该把它们写到日志文件中去。
完成这个过程的程序就是syslog。syslog可以根据日志的类别和优先级将日志保存到不同的文件中。
例如,为了方便查阅,可以把内核信息与其他信息分开,单独保存到一个独立的日志文件中。默认配置下,日志文件通常都保存在“/var/log”目录下。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

个人认为lastlog与wtmp较为重要,可通过lastlog``last访问查看
btmp可通过lastb打开

winnower-sliff
关注
专栏目录
Linux日志分析
名猿妮的博客
07-29 1149
简介 系统日志是由一个名为 rsyslog的服务管理的,默认的日志守护进程为 rsyslog , rsyslog 是 syslog 的升级版本。 日志类型 类型 说明 auth 用户认证时产生的日志,如login命令、su命令。 authpriv 与 auth 类似,但是只能被特定用户查看。 console 针对系统控制台的消息。 cron 系统定期执行计划任务时产生的日志。 daemon 某些守护进程产生的日志。 ftp FTP服务。 kern 系统内核消息。 local0.local.
LINUX日志分析
最新发布
weixin_53303772的博客
01-25 1178
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 Linux系统下所有的日志信息都保存在/var/log/目录下,目录配置文件在/etc/rsyslog.conf。 日志文件 说明 /var/log/cron 记录了系统定时任务相关的日志 /var/log/cups 记录打印信息的日志 /var/log/dmesg
log目录
sdd220的博客
08-08 1018
查看log日志文件可以便捷的定位错误,找出问题加以解决。 /var/log目录下都是日志文件 1、/var/log/messages 包含了整个系统日志文件信息 2、/var/log/dmesg包含内核缓冲信息,用来帮助用户了解系统的启动信息 /var/log/auth.log — 包含系统授权信息,包括用户登录和使用的权限机制等。 /var/log/boot.log — 包含系统启动时
Windows/Linux日志分析
m0_49025459的博客
01-06 1962
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志系统日志和安全日志。如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入事件ID即可。
linuxwindows下实现日志写入文件功能
weixin_34301132的博客
08-04 419
最近在做在dos命令下执行php的功能,为了使执行后的结果方便记录,于是需要加一个生成日志的功能。很简单,一起来学习一下吧。windows为了满足日志文件是按日期生成的。第一步:设置当前时间的命令(2016/08/04 周四)。第二步:转化当前时间日期为标准格式(2016/08/04)。第三步:将/转为-(2016-08-04),为什么会有第三部命令呢,因为windows获取...
linux日志windows乱码,windows下解压linux、unix平台TAR包的乱码问题
weixin_39947501的博客
05-02 217
作者:张宇,北亚硬盘数据恢复中心,转载请联系作者,如果实在不想联系作者,至少请保留版权,谢谢。这篇文章的部分观点是我的个人看法,可能会有错误,希望大家指正。WINDOWSLINUX/UNIX对文件系统字符集的处理方式是不相同的。WINDOWS文件系统驱动层本身就有对字符集转换、处理的模块,无论从操作系统上下达的是什么字符集,最后要统一转换到不同文件系统的字符处理模块上,比如存储在NTFS上的文件...
【每天学习一点新知识】Windows日志分析
RexHa的博客
03-24 7850
日志日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
Windows取证篇】Window日志分析基础知识(一)
蘇小沐的电子数据取证博客
01-17 4516
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
Linux系统日志通常存储在/var/log目录下,包括auth.log(认证日志)、syslog(系统日志)、messages(消息日志)等。分析这些日志文件可以帮助识别异常进程、网络连接、文件系统活动等。例如,`/var/log/auth.log`...
Quectel_WCDMA&LTE_Linux_USB_Driver_User_Guide_V1.8.pdf
02-16
3. 调试工具:利用`dmesg`、`usbmon`等工具进行驱动的调试和日志分析。 六、故障排查与维护 在使用过程中,可能会遇到网络连接问题、模块识别问题等。此时,可以查看系统日志、检查硬件连接、更新驱动程序或者与...
splunk-8.2.0-Windows&Linux.rar
05-31
这个“splunk-8.2.0-Windows&Linux.rar”压缩包包含了适用于WindowsLinux系统的版本,让用户能够跨平台地利用Splunk的强大功能。 **1. Splunk核心功能** - **数据收集**:Splunk可以从各种来源接收数据,包括...
sysklogd-1.4.1.rar_linux 日志_linux 日志_sysklogd-1.4.1_系统日志 windo
09-21
Linux操作系统中,系统日志扮演着至关重要的角色...总结来说,sysklogd是Linux系统日志管理的关键组件,通过分析和使用"sysklogd-1.4.1"中的资源,我们可以深入理解日志系统的工作原理,提升系统监控和故障排查能力。
linux文件系统日志分析
abjava1的博客
10-25 660
目录 一、文件系统 1、inode和block概述 2、 inode表结构 2.1 包含文件的元信息 2.2查看inode的方法 2.3 Linux系统文件三个主要的时间属性 2.4目录文件结构 2.5 用户通过文件名打开文件时,系统内部的过程 3、inode的大小 4、inode的特殊作用 5、软链接与硬链接 5.1软链接 5.2硬链接 二、日志 1、日志的功能 2、日志文件的分类 3、系统日志介绍 3.1 sysklogd 系统日志服务 3.2 rsyslog 系统
应急响应基础(三)——Windows日志分析
橘子女侠
11-23 9269
Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志系统日志和安全日志系统日志 Windows系统组件产生的事件,主要包括...
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
热门推荐
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
windows 7 日志分析
XYZCG的博客
09-27 479
一般而言,在启动服务器后,一个叫做winlogon.exe的进程会先以NTAUTHORITY\SYSTEM(帐户域\帐户权限)登录,然后进入要求用户键入ctrl+alt+del并输入帐密的登录界面,此时,winlogon.exe检查并验证用户的输入,通常的做法是将用户键入的密码以某种哈希算法生成密文,将其与SAM数据库文件中的密文进行比对,如果一致则该账户通过验证并登录,然后赋予相应的权限。展开Windows日志,点击安全项目,此时在中间的窗口会列出自系统安装以来,记录的所有安全事件。
Windows安全日志分析
安全狐
11-16 1万+
Windows日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
qq_51577576的博客
04-13 3050
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志 在应急响应过程中,提取日志进行日志分析是必须的。 这里简单介绍一下windows日志,以及采用evtx提取安全日志和事件查看器提取安全日志
Secret-Key Encryption Lab网安实验
l4kjih3gfe2dcba1的博客
07-30 9109
Secret-Key Encryption Lab网安实验 实验站点 文章目录Secret-Key Encryption Lab网安实验Task 1: Frequency Analysis Against Monoalphabetic Substitution CipherTask 2: Encryption using Different Ciphers and ModesTask 3: Encryption Mode – ECB vs. CBC-aes-128-ecb-aes-128-cbcTask 4
LinuxWindows系统日志分析在网络安全中的应用
"这篇资源是关于HW防守系列的第二篇,主要聚焦于日志分析,特别是Linux系统日志分析。作者以CTF(网络安全竞赛)解题的角度分享了日志分析的方法,虽然...而WindowsLinux由于其广泛使用,系统日志分析显得尤为重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

winnower-sliff

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值