计算机系统日志作用
系统日志是记录系统中硬件、软件中的系统问题信息,同时还可以监视系统中发生的事件
用户可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹
Windows日志分类
Windows系统日志(包括应用程序、安全、安装程序和转发的事件)
服务器角色日志
应用程序日志
服务日志
事件日志基本信息
该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息
事件类型及描述
| 事件类型 | |
|---|---|
| 错误 | 出现问题可能会影响触发事件的应用程序或组件外部的功能 |
| 警告 | 出现问题可能会影响服务器或导致更严重的问题 |
| 信息 | 应用程序或组件发送了改变 |
| 关键 | 出现故障导致触发事件的应用程序或组件无法自动恢复 |
| 审核成功 | 用户权限成功 |
| 审核失败 | 用户权限失败 |
安全性日志
通过日志审核功能,可以快速检测黑客的渗透和攻击,防止非法用户的再次入侵
主要通过以下事件策略审核:
- 对策略的审核
- 对登陆成功或失败的审核
- 对访问对象的审核
- 对进程跟踪的审核
- 对账户管理的审核
- 对特权使用的审核
- 对目录服务访问的审核
常规日志分析
查看系统日志方法
【开始】-【运行】-输入eventvwr.msc
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pOdz5uIo-1642739079996)(images/image-20220118111644755.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lbvHIkhw-1642739079999)(images/image-20220118111800290.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PUYh6VqV-1642739080001)(images/image-20220118111917893.png)]
事件类型分类
Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种
1、信息(Information)
信息事件指应用程序、驱动程序或服务的成功操作的事件
2、警告(Warning)
警告事件指不是直接的、主要的,但是会导致将来问题发送的问题
例如:当磁盘空间不足或未找到打印机时,都会记录一个“告警”事件
3、错误(Error)
错误事件指用户应该知道的重要的问题
错误事件通常指功能和数据的丢失
例如:如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件
4、成功审核(Success audit)
成功的审核安全访问尝试
主要是指安全性日志,这里记录着用户登陆/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登陆等事件,例如所有的成功登陆系统都会被记录为“成功审核”事件
5、失败审核(Failure audit)
失败的审核安全登陆尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为“失败审核”事件记录下来
常用事件ID
| 事件ID | 说明 |
|---|---|
| 1102 | 清理审计日志 |
| 4624 | 账号登录成功 |
| 4625 | 账号登录失败 |
| 4768 | Kerberos身份验证(TGT请求) |
| 4769 | Kerberos服务票证请求 |
| 4776 | NTLM身份验证 |
| 4672 | 授予特殊权限 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 将成员添加到启用安全的全局组中 |
| 4729 | 将成员从安全的全局组中移除 |
| 4732 | 将成员添加到启用安全的本地组中 |
| 4733 | 将成员从启用安全的本地组中移除 |
| 4756 | 将成员添加到启用安全的通用组中 |
| 4757 | 将成员从启用安全的通用组中移除 |
| 4719 | 系统审计策略修改 |
登陆类型以及描述
| 登陆类型 | 描述 |
|---|---|
| 2 | 交互式登陆(用户从控制台登陆) |
| 3 | 网络(例如:通过net use,访问共享网络) |
| 4 | 批处理(为批处理程序保留) |
| 5 | 服务启动(服务登录) |
| 6 | 不支持 |
| 7 | 解锁(带密码保护的屏幕保护程序的无人值班工作站) |
| 8 | 网络明文(IIS服务器登陆验证) |
| 10 | 远程交互(终端服务、远程桌面、远程辅助) |
| 11 | 缓存域证书登录 |
1835
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
