《网络安全自学教程》- Windows系统日志详解

已于 2024-11-19 14:50:03 修改
阅读量1.1w 收藏 57
点赞数 75
分类专栏: 《网络安全自学教程》 文章标签: 安全 windows 网络安全 web安全
于 2024-04-29 11:08:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/137889330
版权
本文详细介绍了Windows系统日志,包括系统、安全和应用程序日志的审计,强调了日志在安全分析中的作用。重点讨论了用户登录、用户管理等关键事件ID,如4624、4625等,并提到了 Sysmon 日志,它是进程、文件、网络操作的重要监控工具,列举了其常见事件ID,如1、2、3等。
摘要由CSDN通过智能技术生成
《网络安全自学教程》

在这里插入图片描述

操作系统有4个安全目标,也就是说想要保证操作系统的安全,就必须实现这4个需求:

  1. 标识系统中的用户和进行身份鉴别。
  2. 依据系统安全策略对用户的操作进行访问控制,防止用户和外来入侵者对计算机资源的非法访问。
  3. 审计系统运行的安全性。
  4. 保证系统自身的安全性和完整性。

Windows使用「事件查看器」「系统监视器」这两个安全机制实现第三个需求。

在这里插入图片描述

Windows日志

1、Windows日志

Windows使用「事件查看器」记录系统和应用程序

了解本专栏 订阅专栏 解锁全文 超级会员免费看
士别三日wyx
关注
专栏目录
订阅专栏
网络安全自学教程》- Linux日志详解
wangyuxiang946的博客
04-26 1万+
这篇文章给大家介绍Linux用来做安全审计日志有哪些,解析日志字段含义。
网络安全自学教程》- 802.1x协议
wangyuxiang946的博客
10-16 2万+
802.1x协议架构,工作原理/认证流程,认证方式,MAB认证,触发认证的三种方式,EAP报文格式,EAPOL报文格式
windows事件ID及解释大全(非常完整).doc
05-31
windows事件ID及解释大全 不同版本windows操作系统的事件ID
windows 服务器系统日志分析及安全
a18770840362的博客
05-30 3311
一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close表示关闭连接 TCP:表示使用的协议是Tcp 61.145.129.133:表示本地的IP 6...
windows系统操作日志
神经网络爱好者
10-18 1428
了解不同类型的日志Windows中存在多种类型的操作日志,主要包括应用日志(Application)、安全日志(Security)、设置日志(Setup)以及系统日志(System)。每种日志都有其特定用途,例如安全日志专门用来追踪登录尝试、权限更改等安全相关活动。掌握查看方法:可以通过事件查看器(Event Viewer)来访问这些日志。打开方式为点击“开始”按钮 -> 输入“事件查看器”-> 选择出现的应用程序图标即可进入界面。学习如何解析内容。
iframe src更改事件检测?_windows安全事件id汇总
weixin_39842955的博客
11-06 502
EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 ----- 事件日志记录服务遇到错误 4608 ----- W...
Windows安全事件ID汇总
钻石
04-12 5947
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。这可能是由于使用共享部分或其他问题。
windows日志事件ID列表(604个)
飞雪 SecurityBlog
06-08 3999
windows日志事件ID列表(604个)
windows事件查看器-事件id大全
qq_56313338的博客
08-25 8487
windows事件查看器,事件id(1-10112)对应的含义
实验一-Windows操作系统进行安全配置.docx
10-10
- 操作步骤:在“控制面板”中的“管理工具”打开“事件查看器”,可以看到“安全日志”、“应用程序日志”和“系统日志”。 ##### 内容4:启用安全模板 - **启用预定义的安全模板**:使用预定义的安全模板可以...
windows事件ID
06-25
windows系统出现的一些事件ID说明,能给让你一目了然的知道问题出在那里
互联网时代的网络安全攻防实战项目详解
最新发布
11-08
本文详细介绍了电商公司在面对频繁网络攻击背景下开展的一个网络安全实战项目的全过程,涵盖常见黑客攻击手段(钓鱼、恶意软件、拒绝服务)、系统的安全配置策略、员工的安全意识培训及企业内部网络安全监控制度的...
Windows Server 2016-Windows安全日志ID汇总
awmqc66006的博客
03-04 1406
Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4608 ...
Windows安全日志分析(事件ID详解
墨痕诉清风的博客
09-19 6285
如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。留意异常的访问模式,可能暗示未经授权的活动。
windows事件id大全_windows系统安全日志取证
weixin_39602615的博客
11-24 1万+
0x01 关于日志Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作。0x02 查看日志传统的查看Windows安全日志方法是通过系统自带的“事件查看器”。操作方法如下:1、右键“我的电脑”,选择管理,打开“事件查看器”;或者按下Windows键+R的组合键,在运行窗口中输入“event...
应急响应-----Windows系统排查(学习笔记)
weixin_44591106的博客
08-06 4932
** 1.windows应急响应事件分类 ** Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒、木马、蠕虫事件 Web 服务器入侵事件或第三方服务入侵事件 系统入侵事件,如利用 Windows 的漏洞攻击入侵系统、利用弱口令入侵、利用其他服务的漏洞入侵,跟 Web 入侵有所区别,Web 入侵需要对 Web 日志进行分析,系统入侵只能查看 Windows 的事件日志。 网...
Windows安全事件查看及安全事件id汇总
大熊猫的博客
05-18 3517
在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
Windows系统日志常用事件ID一览表(佛系更新)
热门推荐
百里飞猴的博客
08-28 7万+
Windows系统日志常用事件ID一览表(佛系更新) 前言 网上搜索的大部分ID没有太大作用,以下主要是本人常用的一些事件ID,应急时候或许会起到作用,欢迎各位网友提供建议。 ----> 打开方式,按下快捷键"win+R",在弹出的运行对话框中输入 “eventvwr.msc”,打开自带的事件查看器 注意:当前环境为"window 10 1903" 系统system: 1074,查看计算机的开机、关机、重启的时间以及原因和注释。 6005,表示日志服务已启动,用来判断正常开机进入系统。 6006,
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值