Windows2008系统安全日志分析

最新推荐文章于 2024-08-22 16:39:41 发布
最新推荐文章于 2024-08-22 16:39:41 发布
阅读量9.1k 收藏 3
点赞数
分类专栏: 攻防篇 文章标签: Security Event
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013814153/article/details/26973297
版权
本文介绍了Windows 2008系统中安全日志的分析,包括IPC连接成功(事件ID4624)、失败(事件ID4625),以及远程桌面3389登录成功和失败的相关信息,如登录账户、源IP地址、失败原因等。
摘要由CSDN通过智能技术生成
Windows2008系统安全日志分析
1、IPC连接成功后会生成一个事件ID为4624的安全事件,示例如下:
已成功登录帐户。
主题:
    安全 ID:        NULL SID
    帐户名:        -
    帐户域:        -
    登录 ID:        0x0
登录类型:            3
新登录:
    安全 ID:        WIN-XXX\Administrator
    帐户名:        Administrator
    帐户域:        WIN-XXX
    登录 ID:        0x1012a1
    登录 GUID:        {00000000-0000-0000-0000-000000000000}
进程信息:
    进程 ID:        0x0
    进程名:        -
网络信息:
    工作站名:    CORP-XXX                                 \\这
最低0.47元/天 解锁文章
安_了
关注
专栏目录
Windows安全日志分析
11-19 901
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
《网络安全自学教程》- Windows系统日志详解
wangyuxiang946的博客
04-29 1万+
讲解Windows日志有哪些,解析常见的Windows事件ID,并教大家如何搜索Windows日志。
2008 r2服务器日志文件,Windows Server 2008 R2配置日志收集服务器实战
weixin_32535637的博客
08-05 887
一、前期准备(1)WinRM3.0以下版本占用80(HTTP)和443(HTTPS)端口,建议升级到WMF3.0版本以上;(2)WinRM3.0以上版本占用5985(HTTP)和5986(HTTPS)端口;(3)WinRM3.0系统需求:A.Framework 4.0B.Windows Server 2008 SP2或者Windows Server 2008 R2 SP1(4)官方下载地址:(5)...
windows查看服务器启动日志文件,windows server 2008 如何查看异常重启日志
weixin_30093159的博客
08-13 2300
windows7系统下一些常用工具的总结1.查看计算机的基本信息:计算机--右键--属性(快捷键:Win+Pause) 2.查看计算机的详细信息:开始菜单--所有程序--附件--系统工具--系统信息(运行命令:msinfo32) 3.定制计 ...HDU 4045 Machine scheduling (组合数学-斯特林数,组合数学-排列组合)Machine schedulin...
事件查看器里有大量审核失败,遭受NTLM攻击的处理方案
最新发布
hironpan的专栏
08-22 462
NTLM
2008 r2服务器日志文件,Windows2008R2共享文件访问日志查询的设置方法
weixin_33021323的博客
08-05 1368
在单位里面,我们经常共享文件让局域网用户访问使用,虽然可以设置共享文件访问权限,但是经常还是有一些不安分的人,在访问共享文件时不小心或恶意删除共享文件的行为,或者复制共享文件的内容等。但有时候为了工作需要,又不能随意缩小共享文件访问权限。这种情况下比较折中的方法是:记录共享文件访问日志,这样至少网管可以事后追溯访问者的共享文件访问行为,相对来说可以有了一份保证。Windows2008R2共享文件访...
windows安全事件查看及安全事件id汇总
xuexihao1234的博客
05-25 7559
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。
windows入侵痕迹排除
weixin_46164380的博客
12-09 605
一、 1.取消勾选后缀名隐藏、文件夹隐藏、保护操作系统文件隐藏。 2.查看网络连接 netstat -ano 只有80和443端口,一般都是正常业务开放端口,这种情况一般都比较正常。 主机存在对内网网段大量主机的某些端口(常见如22,445,3389,6379等端口)或者全端口发起网络连接尝试,这种情况一般是当前主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击。 注:对这种外网ip进行威胁情报查询 3.如果无法从网络连接进行查询,可以通过进程PID查找对应的程序。 二、查看铭感目录
rizhi.zip_ReadEVTDlg_windows日志_日志分析_系统日志
09-24
本主题主要关注的是Windows系统的日志分析,特别是如何使用ReadEVTDlg工具进行操作。ReadEVTDlg是一款用于读取和分析Windows事件查看器(Event Viewer)中的事件日志的小型实用程序,它能够帮助管理员深入理解系统的...
操作系统安全:安全审计,Windows系统日志详解,Windows事件ID汇总.txt
04-30
通过对系统日志的细致分析,可以帮助系统管理员发现异常行为、攻击尝试或其他可能影响系统安全性的事件。 ### Windows系统日志详解 Windows系统日志是Windows操作系统内置的一种日志记录工具,用于记录系统运行...
计算机设id地址安全性,Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效...
weixin_42191359的博客
07-22 2146
Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效09/14/2020本文内容本文解决了当客户端计算机尝试访问运行 RDP 8.0 的主机时生成事件 4624 和无效客户端 IP 地址和端口号的问题。适用于: WindowsServer 2008 R2 Service Pack 1、Windows 7 Service Pa...
事件4624是登录成功!?!真的如此吗?
Sumarua的博客
07-08 7175
当我们看到事件id为4624时,第一时间就会想到是攻击者登录成功了,但事实真的如此吗?让我们深入探究
windows终端事件日志监控指南
12306小哥
08-22 1万+
windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员...
IPC$连接常见问答
十年磨一剑,霜刃未曾试!
07-25 2258
IPC$连接常见问答 十五 ipc$入侵问答精选 1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗? 答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵。 2.你看下面的情况是为什么,可以连接但不能复制 net use \\***.***.***.***\ipc$ "密码" /user:"用户名" 命令成功 copy icmd.
日志事件ID
m0_62207482的博客
04-19 778
日志排查时,通常会根据事件ID搜索日志。4672:新登录的用户被分配管理员权限。4648:使用显式凭证尝试登录。4647:注销远程登录的用户。4634:注销本地登录用户。4732:添加用户到用户组。4733:从组中删除用户。4798:枚举本地用户组。4724:修改用户密码。4734:删除用户组。4738:修改用户账户。4722:启用新用户。4731:创建用户组。4735:安全组更改。
安全服务工程师-日志分析
remake0709的博客
07-22 1088
Windows日志分析基础技能
window入侵排查
u012207466的博客
06-12 2438
## 第1篇:window入侵排查 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell、后台弱口令 系统入侵:病毒木马、勒索软件、远控后门、系统命令执行、反序列化漏洞 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 ### 0x01 入侵排查思路 ####...
服务器出现很多非法尝试登陆时间
kitt15的博客
04-17 5205
最近服务器经常被挂马,删除了又重新新建了,设置了一些权限都没法阻止,即使安装了安全狗的无法阻止。至今仍未发现问题根源。在解决问题的过程中黯然发现出现了很多非法尝试登陆,即使设置了“账户锁定策略”以及安全狗防止暴力破解一样无法解决,非法尝试登陆依然根据每分钟6次的规律一直尝试,我立马改了用户名跟密码,但并不阻止这问题。问题如图:
Windows应急响应
热门推荐
土豆的博客
01-28 7万+
临近冬奥、残奥,发一篇Windows的应急响应,希望对大家有所帮助,下一篇会发Linux的应急响应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值