Window事件日志分析

最新推荐文章于 2024-04-11 23:22:07 发布
最新推荐文章于 2024-04-11 23:22:07 发布
阅读量2.9k 收藏 4
点赞数 1
分类专栏: 应急响应 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45889204/article/details/126924699
版权

Window事件日志简介

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用
户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。

  1. 在“开始”菜单上,依次指向“所有程序”、“管理工具”,然后单击“事件查看器”
  2. 按 “Window+R”,输入 ”eventvwr.msc“ 也可以直接进入“事件查看器”

系统日志

记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日
志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志
中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以
从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、
策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员
可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。 安全日志记录着事件审计信
息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更
有帮助。

审核策略与事件查看器

开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略

事件日志分析

事件id说明
4624登陆成功
4625登陆失败
4634注销成功
4647用户启动的注销
4672使用超级用户(如管理员)进行登录
4720创建用户
4725删除用户账户
4729已从启用了安全性的全局组中删除某个成员
4733已从启用了安全性的本地组中删除某个成员

创建用户

创建
请添加图片描述

查找

请添加图片描述

结果
请添加图片描述

每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式

登录类型描述说明
2交互式登录(Interactive)用户在本地进行登录。
3网络(Network)最常见的情况就是连接到共享文件夹或共享打印机时
4批处理(Batch)通常表明某计划任务启动
5服务(Service)每种服务都被配置在某个特定的用户账号下运行
7解锁(Unlock)屏保解锁
8网络明文(NetworkCleartext)登录的密码在网络上是通过明文传输的,如FTP
9新凭证(NewCredentials)使用带/Netonly参数的RUNAS命令运行一个程序
10远程交互,(RemoteInteractive)通过终端服务、远程桌面或远程协助访问计算机
11缓存交互(CachedInteractive)以一个域用户登录而又没有域控制器可用
羔羊~
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站日志分析工具
05-24
网站日志目前只支持window系统下的网站日志分析,是网上找到的
catalina.out日志查看工具
09-26
catalina.out日志查看工具,不过查找不太好用,有时间会有便宜,可以定位到大概的位置。大多数情况是可以查到的
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
WeiyiGeek 唯一极客IT知识分享
04-11 497
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
不错的日志监控分析工具Baretail
01-08
一直在使用,window下很好用,用来监控分析log,免费版的也足够用了
日志集群分析器hblog.zip
07-19
hblog 是一个日志集群分析器。支持的体制格式有:Syslog、 Log4j、Java GC log。具有以下功能:Remote access to logs via a single CLIMulti-host summaries of log line frequenciesMulti-host realtime tailing (like tail -f) 标签:hblog 分享 window._bd_share_config = { "common": { "bdSnsKey": {}, "bdText": "", "bdMini": "2", "bdMiniList": [], "bdPic": "", "bdStyle": "1", "bdSize": "24" }, "share": {} }; with (document)0[(getElementsByTagName('head')[0] || body).appendChild(createElement('script')).src = 'http://bdimg.share.baidu.com/static/api/js/share.js?v=89860593.js?cdnversion=' ~(-new Date() / 36e5)];\r\n \r\n \r\n \r\n \r\n \u8f6f\u4ef6\u9996\u9875\r\n \u8f6f\u4ef6\u4e0b\u8f7d\r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\nwindow.changyan.api.config({\r\nappid: 'cysXjLKDf', conf: 'prod_33c27aefa42004c9b2c12a759c851039' });
centos日志分析软件,window运行软件
06-15
如果你希望在 Windows 上直接运行可以分析 CentOS 日志的软件,你可以考虑使用以下工具: LogMX:LogMX 是一款跨平台的日志文件查看和分析工具,支持多种日志格式和远程日志查看。它具有友好的界面和强大的搜索、过滤功能,可以帮助你方便地浏览和分析 CentOS 日志文件。 这些工具可以直接在 Windows 操作系统上安装和运行,通过导入拷贝过来的 CentOS 日志文件,你可以使用它们来进行日志分析和检索。请注意,每个工具的功能和用户界面可能会有所不同,建议根据你的需求选择合适的工具进行尝试和使用。
Windows日志】记录系统事件日志
第一天
10-14 1万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
Windows系统日志
weixin_53696027的博客
01-11 6791
关于Windows日志简单解释和分析,以及日志分析工具的简单使用
Windows取证篇】Window日志分析基础知识(一)
蘇小沐的电子数据取证博客
01-17 2422
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
wangyuxiang946的博客
04-07 1万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
Windows日志分析
Stestack的博客
05-16 1135
windows日志排查体系
第1篇:Window日志分析.pdf
最新发布
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
Windows事件日志监控
运维有小邓
02-27 976
EventLog Analyzer可针对事件日志生成实时告警,这样在生成满足特定条件的事件时,管理员会收到通知。告警可帮助管理员实时监控Windows网络上的关键服务器和流程。
Windows系统日志常用事件ID一览表(佛系更新)
热门推荐
百里飞猴的博客
08-28 6万+
Windows系统日志常用事件ID一览表(佛系更新) 前言 网上搜索的大部分ID没有太大作用,以下主要是本人常用的一些事件ID,应急时候或许会起到作用,欢迎各位网友提供建议。 ----> 打开方式,按下快捷键"win+R",在弹出的运行对话框中输入 “eventvwr.msc”,打开自带的事件查看器 注意:当前环境为"window 10 1903" 系统system: 1074,查看计算机的开机、关机、重启的时间以及原因和注释。 6005,表示日志服务已启动,用来判断正常开机进入系统。 6006,
Windows安全日志分析
安全狐
11-16 1万+
Windows日志文件主要有系统日志、应用程序日志安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
windows安全事件查看及安全事件id汇总
xuexihao1234的博客
05-25 7059
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。
【每天学习一点新知识】Windows日志分析
RexHa的博客
03-24 7240
日志日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
Windows操作系统----事件日志----事件查看器
一个热爱逆向,喜爱学习、分享的猿。
12-09 8016
基础知识 打开方式:eventview或命令行工具wevtutil 事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。 使用事件查看器可以执行以下任务: 查看来自多个事件日志事件 将有用的事件筛选器另存为可以重新使用的自定义视图 计划要运行以响应事件的任务 创建和管理事件订阅,通过指定事件订阅,可以从远程计算机收集事件并将其保存在本地。 事件日志 事件日志分两个类型:windows日志、应用程序和服务日志
等保2.0 Windows主机测评过程
qq_43590351的博客
10-10 5875
Windows主机等保测评
window flume 监控文件追加
09-19
Window Flume 是 Apache Flume 项目的一个组件,用于实时监控文件的追加操作。它能够将文件追加的内容实时传输到指定目的地,可以灵活地用于日志收集等实时数据流处理场景。 Window Flume 的工作原理如下:首先,它会监控指定的文件夹,当有文件被追加内容时,Window Flume 将获取到新追加的内容。接下来,Window Flume 使用 TailDir Source 将文件追加的内容传递给 Flume Agent,Flume Agent 是 Flume 架构的一部分,负责接收、处理和传输数据。Flume Agent 接收到数据后,会通过 Channel(通道)将其暂存起来,再通过 Sink(汇聚器)将数据传输到指定的目的地。 Window Flume 的配置可以根据具体需求进行调整。可以设置监控的文件夹、文件名模式、字符集等;同时,可以指定 Flume Agent 的拓扑结构,如选择合适的 Channel 类型和 Sink 类型,以及设置对应的参数。通过调整配置,Window Flume 可以适应不同的文件监控和数据传输场景。 总之,Window Flume 是一个用于实时监控文件追加的工具,可灵活应用于日志收集等实时数据流处理中。它能够将追加的内容实时传输到指定目的地,方便用户对实时数据进行处理和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值