(沉积笔记整理发布)
2018.7.20Windows日志与审核
Windows事件日志简介
位置:管理工具-事件查看器
本质上是数据库:发生什么--什么时间-与谁有关-是否系统相关-访问什么资源
共有五种事件级别:所有的事件必须只能拥有其中的一种事件级别
成功的审核安全访问尝试,主要指安全性日志,所有的成功登录系统都会被记录为成功审核事件
Windows日志文件
文件名、结构、存储位置
扩展名evtx 位置“%systemroot%”\system32\winevt\logs
位置
位置
Windows事件日志分析
Win7和winser2008r2