目录
实验目的及要求
了解日志取证的内容
实验原理
1)Windows系统在跟踪记录各种系统活动和软件功能时,会产生大量的数据文件,这种实时记录系统运行状态的文件被称为日志。日志文件的取证在 Windows 取证方面起着重要的作用
2)事件日志是Windows 系统中最基本的日志。它记录了操作系统、计算机软硬件甚至是安全方面的大量信息,事件日志主要包含系统日志、应用程序日志和安全日志三种
3)系统日志主要跟踪各种各样的系统事件,包括 Windows 系统组件出现的问题,比如跟踪系统启动过程中的事件、硬件和控制器的故障、启动时某个驱动程序加载失败等
4)应用程序日志主要跟踪应用程序关联的事件,比如应用程序产生的装载 DLL(动态链接库)失败的信息将出现在日志中
5)安全日志主要记录系统中与安全相关的事件信息,如登录上网、改变访问权限以及系统的启动与关闭
6)Windows系统中还有一类日志是专为跟踪某项服务而记录的,如 Web 日志、FTP 日志、vpn日志等,其所产生的日志文件往往是纯文本文件且是格式化的
实验环境
Windows Server 2008