系统日志
Windows系统日志
包括“Windows事件日志、服务器角色日志、FTP日志(21)、邮件日志服务等”
打开方式
- 文件打开
在C:\Windows\System32\winevt\Logs
目录下存在诸多日志文件,安全日志为Security.evtx
Windows 2000 / Server2003 / Windows XP 安全日志默认位置在
:\WINDOWS\System32\config\SecEvent.Evt
- eventvwr
通过WIN+R键调出运行界面后,在界面中执行eventvwr
分类
结构组成
常见属性
登录类型
Windows官网:
事件ID
4720需要重点关注!
登录失败4625——子状态码
系统正常启动场景分析
其中,【事件ID 4608】表示Windows正在启动。之后伴随着一条特殊的登陆成功记录,为什么说特殊呢?因为这一条【事件ID 4624】登陆成功记录中的登陆类型为:
Linux系统日志
大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslogd,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。
Linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息,这些信息对管理员了解系统的运行状态是非常有用的,所以应该把它们写到日志文件中去。
完成这个过程的程序就是syslog。syslog可以根据日志的类别和优先级将日志保存到不同的文件中。
例如,为了方便查阅,可以把内核信息与其他信息分开,单独保存到一个独立的日志文件中。默认配置下,日志文件通常都保存在“/var/log”目录下。
个人认为lastlog与wtmp较为重要,可通过
lastlog``last
访问查看
btmp可通过lastb
打开