windows NT事件日志说明

最新推荐文章于 2021-08-05 07:17:44 发布
VIP文章 最新推荐文章于 2021-08-05 07:17:44 发布 3346 收藏 1
文章标签: windows microsoft authentication 工具 domain user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yagami/article/details/3974
版权
windows NT事件日志说明
原作者:NtWak0
翻译整理:补天-苏樱

概要

以下内容是关于WINDOWS NT事件日志的非常好的、深入的文章。 日志通常用审计机或某种工具来管理。
这篇文章也包含:当一个用户被Locked out时,在事件日志里报告的SID有点小问题。


详细资料

日志类型:
这里有三种类型的NT事件日志:

系统日志
跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。

应用程序日志
跟踪应用程序关联的事件,比如应用程序产生的象装载DLL(动态链接库)失败的信息将出现在日志中。

安全日志
跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意:安全日志的默认状态是关闭的。


日志位置以及启动方法
NT日志的位置是:
%SYSTEMROOT%/system32/config/SysEvent.Evt
%SYSTEMROOT%/system32/config/SecEvent.Evt
%SYSTEMROOT%/system32/config/AppEvent.Evt

通常,NT不是将所有的事件都记录日志,你不得不手动启动审计,照下面的步骤做:

1-从开始菜单中选择程序,然后再选择管理工具。 从管理工具子菜单选择用户管理器,显示出用户管理器窗口。
2-从用户管理器的菜单中单击POLICIES(策略),然后单击AUDIT(审计),审计策略窗口就出现了。
3-选择单选框“AUDIT THEST EVENTS”(审计这些事件)
4-选择你需要启动的按OK,然后关闭用户管理器。

特殊权限的审计:
系统中某些特殊权限是不能被默认的事件来审计的,甚至是特权的审计已经被启动。这是妥当的控制审计日志的增长。
特殊权限有以下这些:

1-绕过验证限制----(对每个人)是同意每个人的,所以从审计的观点来看对它进行审计是无意义的。

2-DEBUG程序(对管理员)。 它在工作系统不使用,并能从管理员组中移掉(或者说取消)。

3-创建一个象征意义的对象(没有人), 它对谁也不准许。

4-替换过程级别标记(没有人࿰
最低0.47元/天 解锁文章
阅读终点,创作起航,您可以撰写心得或摘录文章要点写篇博文。去创作
yagami
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
windowsnt 技术内幕
04-09
Windows NT中的审核(Audit)事件简介 规划并实现审核策略 打开文件、文件夹及打印机的审核功能 使用事件查看器检查审核事件 安全性日志(Securty Log)的归档 使用服务器管理器查看正在使用的资源 断开用户与服务器的...
Windows登录日志详解
weixin_33901641的博客
10-07 4146
2019独角兽企业重金招聘Python工程师标准>>> ...
domain user 修改域内计算机管理员密码,域管理员密码突然被修改
weixin_29484843的博客
07-20 264
今天早上发现域管理员(Administrator)密码错误,换了个Domain Admin组的用户将密码重置回来后,登陆事件查看器看审核日志,发现竟然是SYSTEM修改了密码,太奇怪了,下面是事件查看器复制的:日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2014/6/...
服务器日志显示system特殊登陆,win2008服务器安全问题,日志里怎么这么多登录事件?...
weixin_42502165的博客
08-05 2857
安装了一台windows2008 R2 64位的服务器,之前没在意,最近在访问高峰期间会卡,而且日志里出现了很多登陆事件,每隔10分钟会登陆一次,这个图是登录记录,诡异的是貌似都是本机上的登陆,找不到来源IP,下面有每次登陆的详细信息,请大牛们给看看到底是怎么回事?跪谢!每次登陆的三个事件详细信息:事件一:试图使用显式凭据登录。主题:安全 ID: SYSTEM帐户名: ...
IIS攻击与日志
天奇居
11-26 3671
 IIS攻击与日志不管在操作系统上进行了多么精心的配置,不管网络的安全根基打的多么的好,运行其上的脆弱的应用程序总是能轻松的将它们化为乌有。INTERNET信息服务(IIS)是WINDOWS 2000服务器上应用最广泛的服务,作为微软的主流WEB服务器,IIS
windows2008 安全日志出现大量帐号登录失败的解决办法
热门推荐
未央帝的专栏
08-07 4万+
最近几天,通过事件查看器发现了大量的帐号登录失败的日志,搞得焦头烂额的。 信息内容 `帐户登录失败。主题: 安全 ID: SYSTEM 帐户名: XXX-XXXXX$ 帐户域: WORKGROUP 登录 ID: 0x3e7登录类型: 3登录失败的帐户: 安全 ID: N
有用户访问我的计算机,事件查看器有个奇怪用户账号登录HOME-W81$,我的电脑没有这个用户账号,本机是win8.1ʌ - Microsoft Community...
weixin_32240065的博客
06-21 532
已成功登录帐户。使用者:安全 ID:SYSTEM帐户名:HOME-W81$帐户域:WORKGROUP登录 ID:0x3E7登录类型:5模拟级别:模拟新登录:安全 ID:SYSTEM帐户名:SYSTEM帐户域:NT AUTHORITY登录 ID:0x3E7登录 GUID:{00000000-0000-0000-0000-000000000000}进程信息...
服务器安全日志显示审核失败,服务器上大量的ID为4625的审核失败日志
weixin_35286137的博客
08-03 3945
复制内容到剪贴板代码:日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2020/12/9 9:09:01事件 ID: 4625任务类别: 登录级别: 信息关键字: 审核失败用户: 暂缺计算机: hx2017描述:帐户登录失败。主题:安全 ID: SYSTEM帐户名: HX2017$帐户域: ...
Web应用安全:IIS日志配置.docx
06-19
最初是WindowsNT版本的可选包,随后自带在Windows2000、Windows XP Professional和Windows Server 2003一起发布,但在普遍使用的Windows XP Home版本上并没有IIS。IIS是在Windows操作系统平台下开发的,这也限制了它...
Oracle中用LogMiner分析重做及归档日志
03-04
LogMiner是集成在Oracle8i/Oracle9i数据库产品中的日志分析工具,通过该工具可以分析重做日志和归档日志中的所有...本文以Oracle8i(8.1.5)for Windows 2000/NT为例说明如何使用LogMiner对重做日志和归档日志进行分析。
windows实用dos命令大全
12-10
4.使用说明:  (1)“盘符”:指定要建立子目录的磁盘驱动器字母,若省略,则为当前驱动器;  (2)“路径名”:要建立的子目录的上级目录名,若缺省则建在当前目录下。  例:(1)在C盘的根目录下创建名为FOX...
分析Oracle8i/9i的重做日志和归档日志
07-07
LogMiner是集成在Oracle8i/Oracle9i数据库产品中的日志分析工具,通过该工具可以分析重做日志和归档日志中的所有...文中以Oracle8i(8.1.5)for Windows 2000/NT为例说明如何使用LogMiner对重做日志和归档日志进行分析。
日志中的秘密:Windows登录类型知多少?
Vincent.woo(文子)
06-06 1260
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻
计算机设id地址安全性,Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效...
weixin_42191359的博客
07-22 1878
Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效09/14/2020本文内容本文解决了当客户端计算机尝试访问运行 RDP 8.0 的主机时生成事件 4624 和无效客户端 IP 地址和端口号的问题。适用于: WindowsServer 2008 R2 Service Pack 1、Windows 7 Service Pa...
服务器被植入广告文件,[求助]服务器后台被植入webshell,看不懂什么意思
weixin_36095974的博客
08-03 912
本帖最后由 洛枫 于 2021-2-4 18:56 编辑已枚举启用了安全机制的本地组成员身份。使用者:安全 ID: SYSTEM帐户名称: iZqo帐户域: WORKGROUP登录 ID: 0x3E7组:安全 ID: BUILTIN\Administ...
计算机的用户账号,事件查看器有个奇怪用户账号登录HOME-W81$,我的电脑没有这个用户账号,本机是win8.1ʌ - Microsoft Community...
weixin_35793308的博客
06-16 405
已成功登录帐户。使用者:安全 ID:SYSTEM帐户名:HOME-W81$帐户域:WORKGROUP登录 ID:0x3E7登录类型:5模拟级别:模拟新登录:安全 ID:SYSTEM帐户名:SYSTEM帐户域:NT AUTHORITY登录 ID:0x3E7登录 GUID:{00000000-0000-0000-0000-000000000000}进程信息...
域用户和计算机上解锁用户的账户,域账户频繁被锁定
weixin_39969143的博客
06-26 702
我现在用的是windows server 2008 R2,域功能级别为windows server 2008 R2有一些账号总是被莫名其妙的锁掉。我们的安全策略主要涉及是密码复杂度、历史记录、使用期限,并无锁定策略。以下是某一用户被锁的日志: (域名用test代替)日志名称: Security来源: Microsoft-Windows-Se...
windows无法检索有关这台计算机上的磁盘信息_安全蓝队系列 : windows日志检索和分析...
weixin_39552204的博客
12-12 1240
前言在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。本文将介绍windows日志类型、存放位置、检索方案以及方便检索的工具使用方法。Windows日志windows系统的运行过程中会不断记录日志信息,根...
windows nt
最新发布
07-29
Windows NT(New Technology)是微软公司开发的一种操作系统。它首次发布于1993年,作为Windows操作系统家族的一部分。与早期的Windows版本相比,Windows NT具有更强大的功能和更高级的设计。它是一个面向企业用户的操作系统,具有稳定性、可靠性和安全性等优点。 Windows NT被设计为多用户、多任务和网络操作系统。它支持多种处理器架构,包括x86、Alpha、MIPS和PowerPC等。Windows NT提供了许多先进的功能,如多线程处理、虚拟内存管理、分布式文件系统、安全性和权限控制等。 Windows NT的后续版本包括Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows 8和Windows 10等。每个版本都有不同的特点和改进,以适应不同的用户需求和技术发展。 总之,Windows NT是微软公司推出的一款功能强大、稳定可靠的操作系统,适用于企业用户和专业用户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yagami

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值