【全面解析 Windows 日志:提高系统安全性的关键】


前言

Windows 操作系统是目前使用最为广泛的操作系统之一,它提供了强大的日志记录功能,可以帮助用户了解系统的运行状况、诊断故障以及追踪安全事件等。Windows 日志是一种记录系统、应用程序和安全事件的文件,它包含了有关系统活动的详细信息,如登录尝试、系统错误、应用程序崩溃等。
通过分析 Windows 日志,用户可以了解系统的运行状况,及时发现并解决问题,提高系统的安全性和稳定性。本文将介绍 Windows 日志的基本概念、日志类型、日志查看工具以及日志分析方法等内容,帮助用户更好地利用 Windows 日志来诊断和解决问题。

一、windows日志简介

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。它包含了有关系统活动的详细信息,如登录尝试、系统错误、应用程序崩溃等。我们可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志

  • 应用程序日志位置:
    C:\Windows\System32\winevt\Logs\System.evtx
  • 系统日志位置:
    C:\Windows\System32\winevt\Logs\Application.evtx
  • 安全日志位置:
    C:\Windows\System32\winevt\Logs\Security.evtx

二、事件日志分析

事件类型:

Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。
Windows事件日志共有五种事件类型,所有的事件必须只能拥有其中的一种事件类型。

登录类型:

登录类型描述说明
2交互式登录(Interactive)用户在本地进行登录。
3网络(Network)最常见的情况就是连接到共享文件夹或共享打印机时.
4批处理(Batch)通常表明某计划任务启动。
5服务(Service)每种服务都被配置在某个特定的用户账号下运行。
7解锁(Unlock)屏保解锁。
8网络明文(NetworkCleartext)登录的密码在网络上是通过明文传输的,如FTP。
9新凭证(NewCredentials)使用带/Netonly参数的RUNAS命令运行一个程序。
10远程交互(Remotelnteractive)通过终端服务、远程桌面或远程协助访问计算机。
11缓存交互(Cachedinteractive)以一个域用户登录而又没有域控制器可用。

登录类型2:交互式登录(Interactive):就是指用户在计算机的控制别台上进行的登录,也就是在本地键盘上进行的登录。

登录类型3:网络(Network):最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。

登录类型4:批处理(Batch):当Windows运行一个计划任务时,"计划任务服务"将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来清测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。

登录类型5:服务(Service):与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。

登录类型7:解锁(Unlock):很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type7。

登录类型8:网络明文(NetworkCleartext):通常发生在IIS的ASP登录。不推荐。

登录类型9:新凭证(NewCredentials):通常发生在RunAS方式运行某程序时的登录验证。

登录类型10:远程交互(Remotelnteractive):通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。

登录类型11:缓存交互(Cachedinteractive):在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。

事件日志查看器

筛选日志是分析事件日志最常用的功能,我们可以根据事件ID、事件级别、事件来源、用户、计算机等属性进行搜索和过滤。

常见的日志分析

事件ID说明
4624登录成功
4625登录失败
4634注销成功
4647用户启动的注销
4648试图使用显式凭据登录。
4672使用超级用户(如管理员)进行登录
4720创建用户
4774帐户已登录映射。
4775无法映射的登录帐户。
4776计算机试图验证的帐户凭据。
4777域控制器无法验证帐户的凭据
4778到窗口站重新连接会话。
4779从窗口站,会话已断开连接。
6005表示计算机日志服务已启动,如果在事件查看器中发现某日的事件D号为6005,就说明这天正常启动了windows系统。
6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事牛ID为6006的事件,就表示计算机在这天没关机或没有正常关机

三、日志分析攻击

Log Parser 2.2下载地址:

https://www.microsoft.com/en-us/download/details.aspx?id=24659

使用教程:

https://www.jb51.net/hack/384430.html

总结

Windows 日志是提高系统安全性的关键,通过分析 Windows 日志,可以了解系统的运行状况、检测安全威胁和故障、调查事件等。为了保证日志的安全性,应该采取相应的安全措施,如存储在安全的位置、定期备份、访问控制等。同时,应该建立日志分析策略,使用自动化工具,提高日志分析的效率和准确性。

  • 27
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
### 回答1: 《深入解析Windows操作系统第六版》是一本涵盖了Windows操作系统的深入理解和详细解析的图书。该书从多个角度对Windows操作系统进行了全面介绍,对于想要深入了解Windows操作系统的读者来说具有重要的参考价值。 该书首先从Windows操作系统的发展历史和原理入手,介绍了Windows系统的起源、架构和内核,为读者打下了扎实的基础。同时,该书还详细解析Windows系统的各个组成部分,包括进程管理、文件系统、网络和安全等。通过深入剖析这些关键组件,读者可以更加全面地了解Windows系统的运行机制和关键技术,为日常使用和故障排除提供了有力的指导。 此外,《深入解析Windows操作系统第六版》还特别关注了最新的Windows版本,包括Windows 10的新功能和改进。对于正在或准备使用Windows 10的读者来说,了解最新的特性和功能是必不可少的,这本书为读者提供了最新的信息和技巧。 总之,无论是对于计算机专业人士还是对于普通用户,都可以从《深入解析Windows操作系统第六版》中获得宝贵的知识和深入理解。无论是了解Windows系统的基本原理还是学习高级技巧和故障排除,该书都为读者提供了全面而可靠的指导,确保读者能够更好地使用和管理Windows操作系统。 ### 回答2: 《深入解析Windows操作系统第六版》是一本详尽介绍Windows操作系统的书籍。以300字回答,简要概述如下: 《深入解析Windows操作系统第六版》这本书是为那些对Windows操作系统感兴趣的读者而写的。本书按照系统的各个方面进行了深入的剖析,涵盖了从操作系统基础知识到高级特性的内容。 首先,本书从Windows操作系统的基本架构和组成部分开始介绍,包括核心系统、用户界面、设备和驱动程序等,以帮助读者全面了解操作系统的构成和工作原理。 其次,本书对Windows的进程管理、内存管理和文件系统关键功能进行了详细讲解和分析。读者可以深入了解操作系统是如何管理进程和内存资源,并了解不同文件系统的特点和优劣。 此外,本书还介绍了Windows操作系统的网络功能、安全性和性能优化等方面的知识,帮助读者更好地理解现代操作系统的各项功能和特性。 本书采用通俗易懂的语言,结合大量的实例和图表,使读者能够更加深入地理解和应用所学的知识。同时,书中还包含了一些专题和实践案例,以帮助读者更好地应对实际问题和挑战。 总而言之,《深入解析Windows操作系统第六版》是一本内容详实、专业全面的操作系统学习指南。通过阅读本书,读者可以深入了解Windows操作系统的各个方面,提升对操作系统的理解和应用能力。无论是计算机专业人士还是普通用户,都能从中获得丰富的知识和实用的技能。 ### 回答3: 《深入解析Windows操作系统第六版》是一本关于Windows操作系统的权威性著作。这本书通过对Windows操作系统的各个方面进行深入剖析,帮助读者全面理解和掌握这一重要的操作系统。 首先,书中详细介绍了Windows操作系统的起源和发展历程,包括Windows的版本演进、关键技术的引入以及与其他操作系统比较等内容。这为读者提供了一个全面了解Windows操作系统的背景知识。 其次,书中通过系统的组织结构和内核分析,深入剖析了Windows操作系统的核心功能和运行机制。涵盖了处理器管理、内存管理、文件系统、设备管理等关键模块,详细解释了它们的工作原理和实现技术。同时,还介绍了Windows操作系统的网络功能和安全机制,使读者能够深入了解操作系统的高级特性。 此外,该书还从应用开发和系统性能优化的角度来讨论Windows操作系统。它详细介绍了Windows编程模型、应用程序开发接口和常用开发工具,帮助读者掌握Windows平台上的应用开发技能。同时,通过分析Windows系统的性能计数器和性能优化策略,读者可以学习到如何有效地管理和优化系统性能。 总之,《深入解析Windows操作系统第六版》作为一本权威性著作,通过深入剖析Windows操作系统的各个方面,为读者提供了全面理解和掌握Windows操作系统的机会。无论是对于初学者还是有一定经验的操作系统开发者来说,这本书都是一本不可或缺的参考资料。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

皇仔在摸鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值