《网络安全自学教程》- Windows系统日志详解

已于 2024-11-19 14:50:03 修改
阅读量1.1w 收藏 61
点赞数 76
分类专栏: 《网络安全自学教程》 文章标签: 安全 windows 网络安全 web安全
于 2024-04-29 11:08:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/137889330
版权
本文详细介绍了Windows系统日志,包括系统、安全和应用程序日志的审计,强调了日志在安全分析中的作用。重点讨论了用户登录、用户管理等关键事件ID,如4624、4625等,并提到了 Sysmon 日志,它是进程、文件、网络操作的重要监控工具,列举了其常见事件ID,如1、2、3等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

《网络安全自学教程》

在这里插入图片描述

操作系统有4个安全目标,也就是说想要保证操作系统的安全,就必须实现这4个需求:

  1. 标识系统中的用户和进行身份鉴别。
  2. 依据系统安全策略对用户的操作进行访问控制,防止用户和外来入侵者对计算机资源的非法访问。
  3. 审计系统运行的安全性。
  4. 保证系统自身的安全性和完整性。

Windows使用「事件查看器」「系统监视器」这两个安全机制实现第三个需求。

在这里插入图片描述

Windows日志

1、Windows日志

Windows使用「事件查看器」记录系统和应用程序

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全自学教程- Linux日志详解
wangyuxiang946的博客
04-26 1万+
这篇文章给大家介绍Linux用来做安全审计的日志有哪些,解析日志字段含义。
网络安全自学教程- 文件包含漏洞详解
wangyuxiang946的博客
02-06 1万+
文件包含函数,文件包含漏洞配置文件,文件包含方式,PHP伪协议,日志包含
windows事件ID及解释大全(非常完整).doc
05-31
windows事件ID及解释大全 不同版本windows操作系统的事件ID
Windows安全事件ID汇总
钻石
04-12 7774
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。这可能是由于使用共享部分或其他问题。
Windows Server开启审计功能
人人可学,人人可用,IT与AI不是高不可攀!
03-08 2449
Windows Server 提供了强大的审计功能,可以通过组策略、本地安全策略或 auditpol.exe 等工具开启和配置。 建议使用 高级审核策略配置,它提供了更精细的审计控制。 要审计用户执行的命令,可以启用 详细跟踪 (Detailed Tracking) 类别下的 进程创建 事件。 开启审计功能后,务必保护好安全日志,并注意性能影响、日志空间管理和用户隐私等问题。 根据您的安全需求和合规性要求,选择合适的审计策略,并进行充分的测试和验证。
iframe src更改事件检测?_windows安全事件id汇总
weixin_39842955的博客
11-06 571
EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 ----- 事件日志记录服务遇到错误 4608 ----- W...
windows事件查看器-事件id大全
qq_56313338的博客
08-25 1万+
windows事件查看器,事件id(1-10112)对应的含义
Windows安全日志分析(事件ID详解
墨痕诉清风的博客
09-19 1万+
如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。留意异常的访问模式,可能暗示未经授权的活动。
windows日志事件ID列表(604个)
飞雪 SecurityBlog
06-08 5644
windows日志事件ID列表(604个)
【Linux系统管理】第三章进阶应用详解:Shell编程、软件包管理、网络服务配置与系统安全强化教程
最新发布
04-28
最后,在系统安全章节,讲解了用户认证与授权机制,文件系统安全措施,日志管理方法,以及系统安全加固的具体措施。附录部分提供了常用命令速查表、常见问题解决方案、学习资源推荐和进阶学习路线图。; 适合人群:...
实验一-Windows操作系统进行安全配置.docx
10-10
- 操作步骤:在“控制面板”中的“管理工具”打开“事件查看器”,可以看到“安全日志”、“应用程序日志”和“系统日志”。 ##### 内容4:启用安全模板 - **启用预定义的安全模板**:使用预定义的安全模板可以...
windows事件ID
06-25
windows系统出现的一些事件ID说明,能给让你一目了然的知道问题出在那里
windows事件id大全_windows系统安全日志取证
weixin_39602615的博客
11-24 1万+
0x01 关于日志Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作。0x02 查看日志传统的查看Windows安全日志方法是通过系统自带的“事件查看器”。操作方法如下:1、右键“我的电脑”,选择管理,打开“事件查看器”;或者按下Windows键+R的组合键,在运行窗口中输入“event...
应急响应-----Windows系统排查(学习笔记)
weixin_44591106的博客
08-06 5110
** 1.windows应急响应事件分类 ** Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒、木马、蠕虫事件 Web 服务器入侵事件或第三方服务入侵事件 系统入侵事件,如利用 Windows 的漏洞攻击入侵系统、利用弱口令入侵、利用其他服务的漏洞入侵,跟 Web 入侵有所区别,Web 入侵需要对 Web 日志进行分析,系统入侵只能查看 Windows 的事件日志。 网...
Windows Server 2016-Windows安全日志ID汇总
awmqc66006的博客
03-04 1486
Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4608 ...
Windows安全事件查看及安全事件id汇总
大熊猫的博客
05-18 3893
在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
windows安全事件ID编号解释大全
hanzhen668的博客
09-14 2万+
windows安全事件ID编号解释大全
Windows系统日志常用事件ID一览表(佛系更新)
热门推荐
百里飞猴的博客
08-28 7万+
Windows系统日志常用事件ID一览表(佛系更新) 前言 网上搜索的大部分ID没有太大作用,以下主要是本人常用的一些事件ID,应急时候或许会起到作用,欢迎各位网友提供建议。 ----> 打开方式,按下快捷键"win+R",在弹出的运行对话框中输入 “eventvwr.msc”,打开自带的事件查看器 注意:当前环境为"window 10 1903" 系统system: 1074,查看计算机的开机、关机、重启的时间以及原因和注释。 6005,表示日志服务已启动,用来判断正常开机进入系统。 6006,
windows安全事件id汇总_电脑事件id大全,2024最新网络安全面经分享
2401_84434301的博客
04-17 2524
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。与此攻击相关的数据包将被丢弃。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。
HP-UX系统网络管理详解与实践
此外,HP-UX系统管理还包括诸如系统资源控制(SRC)、作业调度(cron、at)、系统日志管理(syslog、sadc、syslogd)等高级技术。 掌握上述知识点,能够帮助IT专业人员有效地管理和维护HP-UX环境下的系统和网络。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值