精华内容
下载资源
问答
  • kdd99等的描述,国内外各大资源。
  • C++线程安全日志

    2015-06-05 12:47:07
    可以设置日志级别,设置日志最大大小,最多个数,超过最多个数则循环打印。
  • 结合工作中的实际经验,多方面讲解了网络出口安全日志的类型、日志数据挖掘的必要性、相关工作的着眼点、遇到的问题等,让某些平时只把安全日志作为用于做报表向上级汇报的小伙伴大开眼界。 安全基础原则 我们面对的...
  • 详细讲解windows安全日志事件ID4625错误
  • Windows Server 2016-Windows安全日志ID汇总

    千次阅读 2019-03-04 21:39:10
    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ... 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4608 Windows正在启动 4609 ...

    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。

    ID安全事件信息
    1100事件记录服务已关闭
    1101审计事件已被运输中断。
    1102审核日志已清除
    1104安全日志现已满
    1105事件日志自动备份
    1108事件日志记录服务遇到错误
    4608Windows正在启动
    4609Windows正在关闭
    4610本地安全机构已加载身份验证包
    4611已向本地安全机构注册了受信任的登录进程
    4612为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
    4614安全帐户管理器已加载通知包。
    4615LPC端口使用无效
    4616系统时间已更改。
    4618已发生受监视的安全事件模式
    4621管理员从CrashOnAuditFail恢复了系统
    4622本地安全机构已加载安全包。
    4624帐户已成功登录
    4625帐户无法登录
    4626用户/设备声明信息
    4627集团会员信息。
    4634帐户已注销
    4646IKE
    DoS防护模式已启动
    4647用户启动了注销
    4648使用显式凭据尝试登录
    4649检测到重播攻击
    4650建立了IPsec主模式安全关联
    4651建立了IPsec主模式安全关联
    4652IPsec主模式协商失败
    4653IPsec主模式协商失败
    4654IPsec快速模式协商失败
    4655IPsec主模式安全关联已结束
    4656请求了对象的句柄
    4657注册表值已修改
    4658对象的句柄已关闭
    4659请求删除对象的句柄
    4660对象已删除
    4661请求了对象的句柄
    4662对对象执行了操作
    4663尝试访问对象
    4664试图创建一个硬链接
    4665尝试创建应用程序客户端上下文。
    4666应用程序尝试了一个操作
    4667应用程序客户端上下文已删除
    4668应用程序已初始化
    4670对象的权限已更改
    4671应用程序试图通过TBS访问被阻止的序号
    4672分配给新登录的特权
    4673特权服务被召唤
    4674尝试对特权对象执行操作
    4675SID被过滤掉了
    4688已经创建了一个新流程
    4689一个过程已经退出
    4690尝试复制对象的句柄
    4691请求间接访问对象
    4692尝试备份数据保护主密钥
    4693尝试恢复数据保护主密钥
    4694试图保护可审计的受保护数据
    4695尝试不受保护的可审计受保护数据
    4696主要令牌已分配给进程
    4697系统中安装了一项服务
    4698已创建计划任务
    4699计划任务已删除
    4700已启用计划任务
    4701计划任务已禁用
    4702计划任务已更新
    4703令牌权已经调整
    4704已分配用户权限
    4705用户权限已被删除
    4706为域创建了新的信任
    4707已删除对域的信任
    4709IPsec服务已启动
    4710IPsec服务已禁用
    4711PAStore引擎(1%)
    4712IPsec服务遇到了潜在的严重故障
    4713Kerberos策略已更改
    4714加密数据恢复策略已更改
    4715对象的审核策略(SACL)已更改
    4716可信域信息已被修改
    4717系统安全访问权限已授予帐户
    4718系统安全访问已从帐户中删除
    4719系统审核策略已更改
    4720已创建用户帐户
    4722用户帐户已启用
    4723尝试更改帐户的密码
    4724尝试重置帐户密码
    4725用户帐户已被禁用
    4726用户帐户已删除
    4727已创建启用安全性的全局组
    4728已将成员添加到启用安全性的全局组中
    4729成员已从启用安全性的全局组中删除
    4730已删除启用安全性的全局组
    4731已创建启用安全性的本地组
    4732已将成员添加到启用安全性的本地组
    4733成员已从启用安全性的本地组中删除
    4734已删除已启用安全性的本地组
    4735已启用安全性的本地组已更改
    4737启用安全性的全局组已更改
    4738用户帐户已更改
    4739域策略已更改
    4740用户帐户已被锁定
    4741已创建计算机帐户
    4742计算机帐户已更改
    4743计算机帐户已删除
    4744已创建禁用安全性的本地组
    4745已禁用安全性的本地组已更改
    4746已将成员添加到已禁用安全性的本地组
    4747已从安全性已禁用的本地组中删除成员
    4748已删除安全性已禁用的本地组
    4749已创建一个禁用安全性的全局组
    4750已禁用安全性的全局组已更改
    4751已将成员添加到已禁用安全性的全局组中
    4752成员已从禁用安全性的全局组中删除
    4753已删除安全性已禁用的全局组
    4754已创建启用安全性的通用组
    4755启用安全性的通用组已更改
    4756已将成员添加到启用安全性的通用组中
    4757成员已从启用安全性的通用组中删除
    4758已删除启用安全性的通用组
    4759创建了一个安全禁用的通用组
    4760安全性已禁用的通用组已更改
    4761已将成员添加到已禁用安全性的通用组中
    4762成员已从禁用安全性的通用组中删除
    4763已删除安全性已禁用的通用组
    4764组类型已更改
    4765SID历史记录已添加到帐户中
    4766尝试将SID历史记录添加到帐户失败
    4767用户帐户已解锁
    4768请求了Kerberos身份验证票证(TGT)
    4769请求了Kerberos服务票证
    4770更新了Kerberos服务票证
    4771Kerberos预身份验证失败
    4772Kerberos身份验证票证请求失败
    4773Kerberos服务票证请求失败
    4774已映射帐户以进行登录
    4775无法映射帐户以进行登录
    4776域控制器尝试验证帐户的凭据
    4777域控制器无法验证帐户的凭据
    4778会话重新连接到Window
    Station
    4779会话已与Window
    Station断开连接
    4780ACL是在作为管理员组成员的帐户上设置的
    4781帐户名称已更改
    4782密码哈希帐户被访问
    4783创建了一个基本应用程序组
    4784基本应用程序组已更改
    4785成员已添加到基本应用程序组
    4786成员已从基本应用程序组中删除
    4787非成员已添加到基本应用程序组
    4788从基本应用程序组中删除了非成员。
    4789基本应用程序组已删除
    4790已创建LDAP查询组
    4791基本应用程序组已更改
    4792LDAP查询组已删除
    4793密码策略检查API已被调用
    4794尝试设置目录服务还原模式管理员密码
    4797试图查询帐户是否存在空白密码
    4798枚举了用户的本地组成员身份。
    4799已枚举启用安全性的本地组成员身份
    4800工作站已锁定
    4801工作站已解锁
    4802屏幕保护程序被调用
    4803屏幕保护程序被解雇了
    4816RPC在解密传入消息时检测到完整性违规
    4817对象的审核设置已更改。
    4818建议的中央访问策略不授予与当前中央访问策略相同的访问权限
    4819计算机上的中央访问策略已更改
    4820Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
    4821Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
    4822NTLM身份验证失败,因为该帐户是受保护用户组的成员
    4823NTLM身份验证失败,因为需要访问控制限制
    4824使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员
    4825用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote
    Desktop Users组或Administrators组的成员时才允许用户进行连接
    4826加载引导配置数据
    4830SID历史记录已从帐户中删除
    4864检测到名称空间冲突
    4865添加了受信任的林信息条目
    4866已删除受信任的林信息条目
    4867已修改受信任的林信息条目
    4868证书管理器拒绝了挂起的证书请求
    4869证书服务收到重新提交的证书请求
    4870证书服务撤销了证书
    4871证书服务收到发布证书吊销列表(CRL)的请求
    4872证书服务发布证书吊销列表(CRL)
    4873证书申请延期已更改
    4874一个或多个证书请求属性已更改。
    4875证书服务收到关闭请求
    4876证书服务备份已启动
    4877证书服务备份已完成
    4878证书服务还原已开始
    4879证书服务恢复已完成
    4880证书服务已启动
    4881证书服务已停止
    4882证书服务的安全权限已更改
    4883证书服务检索到存档密钥
    4884证书服务将证书导入其数据库
    4885证书服务的审核筛选器已更改
    4886证书服务收到证书请求
    4887证书服务批准了证书请求并颁发了证书
    4888证书服务拒绝了证书请求
    4889证书服务将证书请求的状态设置为挂起
    4890证书服务的证书管理器设置已更改。
    4891证书服务中的配置条目已更改
    4892证书服务的属性已更改
    4893证书服务存档密钥
    4894证书服务导入并存档了一个密钥
    4895证书服务将CA证书发布到Active
    Directory域服务
    4896已从证书数据库中删除一行或多行
    4897启用角色分离
    4898证书服务加载了一个模板
    4899证书服务模板已更新
    4900证书服务模板安全性已更新
    4902已创建每用户审核策略表
    4904尝试注册安全事件源
    4905尝试取消注册安全事件源
    4906CrashOnAuditFail值已更改
    4907对象的审核设置已更改
    4908特殊组登录表已修改
    4909TBS的本地策略设置已更改
    4910TBS的组策略设置已更改
    4911对象的资源属性已更改
    4912每用户审核策略已更改
    4913对象的中央访问策略已更改
    4928建立了Active
    Directory副本源命名上下文
    4929已删除Active
    Directory副本源命名上下文
    4930已修改Active
    Directory副本源命名上下文
    4931已修改Active
    Directory副本目标命名上下文
    4932已开始同步Active
    Directory命名上下文的副本
    4933Active
    Directory命名上下文的副本的同步已结束
    4934已复制Active
    Directory对象的属性
    4935复制失败开始
    4936复制失败结束
    4937从副本中删除了一个延迟对象
    4944Windows防火墙启动时,以下策略处于活动状态
    4945Windows防火墙启动时列出了规则
    4946已对Windows防火墙例外列表进行了更改。增加了一条规则
    4947已对Windows防火墙例外列表进行了更改。规则被修改了
    4948已对Windows防火墙例外列表进行了更改。规则已删除
    4949Windows防火墙设置已恢复为默认值
    4950Windows防火墙设置已更改
    4951规则已被忽略,因为Windows防火墙无法识别其主要版本号
    4952已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号
    4953Windows防火墙已忽略规则,因为它无法解析规则
    4954Windows防火墙组策略设置已更改。已应用新设置
    4956Windows防火墙已更改活动配置文件
    4957Windows防火墙未应用以下规则
    4958Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目
    4960IPsec丢弃了未通过完整性检查的入站数据包
    4961IPsec丢弃了重放检查失败的入站数据包
    4962IPsec丢弃了重放检查失败的入站数据包
    4963IPsec丢弃了应该受到保护的入站明文数据包
    4964特殊组已分配给新登录
    4965IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。
    4976在主模式协商期间,IPsec收到无效的协商数据包。
    4977在快速模式协商期间,IPsec收到无效的协商数据包。
    4978在扩展模式协商期间,IPsec收到无效的协商数据包。
    4979建立了IPsec主模式和扩展模式安全关联。
    4980建立了IPsec主模式和扩展模式安全关联
    4981建立了IPsec主模式和扩展模式安全关联
    4982建立了IPsec主模式和扩展模式安全关联
    4983IPsec扩展模式协商失败
    4984IPsec扩展模式协商失败
    4985交易状态已发生变化
    5024Windows防火墙服务已成功启动
    5025Windows防火墙服务已停止
    5027Windows防火墙服务无法从本地存储中检索安全策略
    5028Windows防火墙服务无法解析新的安全策略。
    5029Windows防火墙服务无法初始化驱动程序
    5030Windows防火墙服务无法启动
    5031Windows防火墙服务阻止应用程序接受网络上的传入连接。
    5032Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
    5033Windows防火墙驱动程序已成功启动
    5034Windows防火墙驱动程序已停止
    5035Windows防火墙驱动程序无法启动
    5037Windows防火墙驱动程序检测到严重的运行时错 终止
    5038代码完整性确定文件的图像哈希无效
    5039注册表项已虚拟化。
    5040已对IPsec设置进行了更改。添加了身份验证集。
    5041已对IPsec设置进行了更改。身份验证集已修改
    5042已对IPsec设置进行了更改。身份验证集已删除
    5043已对IPsec设置进行了更改。添加了连接安全规则
    5044已对IPsec设置进行了更改。连接安全规则已修改
    5045已对IPsec设置进行了更改。连接安全规则已删除
    5046已对IPsec设置进行了更改。添加了加密集
    5047已对IPsec设置进行了更改。加密集已被修改
    5048已对IPsec设置进行了更改。加密集已删除
    5049IPsec安全关联已删除
    5050尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE
    5051文件已虚拟化
    5056进行了密码自检
    5057加密原语操作失败
    5058密钥文件操作
    5059密钥迁移操作
    5060验证操作失败
    5061加密操作
    5062进行了内核模式加密自检
    5063尝试了加密提供程序操作
    5064尝试了加密上下文操作
    5065尝试了加密上下文修改
    5066尝试了加密功能操作
    5067尝试了加密功能修改
    5068尝试了加密函数提供程序操作
    5069尝试了加密函数属性操作
    5070尝试了加密函数属性操作
    5071Microsoft密钥分发服务拒绝密钥访问
    5120OCSP响应程序服务已启动
    5121OCSP响应程序服务已停止
    5122OCSP响应程序服务中的配置条目已更改
    5123OCSP响应程序服务中的配置条目已更改
    5124在OCSP
    Responder Service上更新了安全设置
    5125请求已提交给OCSP
    Responder Service
    5126签名证书由OCSP
    Responder Service自动更新
    5127OCSP吊销提供商成功更新了吊销信息
    5136目录服务对象已修改
    5137已创建目录服务对象
    5138目录服务对象已取消删除
    5139已移动目录服务对象
    5140访问了网络共享对象
    5141目录服务对象已删除
    5142添加了网络共享对象。
    5143网络共享对象已被修改
    5144网络共享对象已删除。
    5145检查网络共享对象以查看是否可以向客户端授予所需的访问权限
    5146Windows筛选平台已阻止数据包
    5147限制性更强的Windows筛选平台筛选器阻止了数据包
    5148Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
    5149DoS攻击已经消退,正常处理正在恢复。
    5150Windows筛选平台已阻止数据包。
    5151限制性更强的Windows筛选平台筛选器阻止了数据包。
    5152Windows筛选平台阻止了数据包
    5153限制性更强的Windows筛选平台筛选器阻止了数据包
    5154Windows过滤平台允许应用程序或服务在端口上侦听传入连接
    5155Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
    5156Windows筛选平台允许连接
    5157Windows筛选平台已阻止连接
    5158Windows筛选平台允许绑定到本地端口
    5159Windows筛选平台已阻止绑定到本地端口
    5168SMB
    / SMB2的Spn检查失败。
    5169目录服务对象已修改
    5170在后台清理任务期间修改了目录服务对象
    5376已备份凭据管理器凭据
    5377Credential
    Manager凭据已从备份还原
    5378策略不允许请求的凭据委派
    5440Windows筛选平台基本筛选引擎启动时出现以下callout
    5441Windows筛选平台基本筛选引擎启动时存在以下筛选器
    5442Windows筛选平台基本筛选引擎启动时,存在以下提供程序
    5443Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文
    5444Windows筛选平台基本筛选引擎启动时,存在以下子层
    5446Windows筛选平台标注已更改
    5447Windows筛选平台筛选器已更改
    5448Windows筛选平台提供程序已更改
    5449Windows筛选平台提供程序上下文已更改
    5450Windows筛选平台子层已更改
    5451建立了IPsec快速模式安全关联
    5452IPsec快速模式安全关联已结束
    5453与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP
    IPsec密钥模块(IKEEXT)服务
    5456PAStore引擎在计算机上应用了Active
    Directory存储IPsec策略
    5457PAStore引擎无法在计算机上应用Active
    Directory存储IPsec策略
    5458PAStore引擎在计算机上应用了Active
    Directory存储IPsec策略的本地缓存副本
    5459PAStore引擎无法在计算机上应用Active
    Directory存储IPsec策略的本地缓存副本
    5460PAStore引擎在计算机上应用了本地注册表存储IPsec策略
    5461PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
    5462PAStore引擎无法在计算机上应用某些活动IPsec策略规则
    5463PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
    5464PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
    5465PAStore
    Engine收到强制重新加载IPsec策略的控件并成功处理控件
    5466PAStore引擎轮询Active
    Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory
    IPsec策略的缓存副本
    5467PAStore引擎轮询Active
    Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改
    5468PAStore引擎轮询Active
    Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改
    5471PAStore引擎在计算机上加载了本地存储IPsec策略
    5472PAStore引擎无法在计算机上加载本地存储IPsec策略
    5473PAStore引擎在计算机上加载了目录存储IPsec策略
    5474PAStore引擎无法在计算机上加载目录存储IPsec策略
    5477PAStore引擎无法添加快速模式过滤器
    5478IPsec服务已成功启动
    5479IPsec服务已成功关闭
    5480IPsec服务无法获取计算机上的完整网络接口列表
    5483IPsec服务无法初始化RPC服务器。无法启动IPsec服务
    5484IPsec服务遇到严重故障并已关闭
    5485IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
    5632已请求对无线网络进行身份验证
    5633已请求对有线网络进行身份验证
    5712尝试了远程过程调用(RPC)
    5888COM
    +目录中的对象已被修改
    5889从COM
    +目录中删除了一个对象
    5890一个对象已添加到COM
    +目录中
    6144组策略对象中的安全策略已成功应用
    6145处理组策略对象中的安全策略时发生一个或多个错误
    6272网络策略服务器授予用户访问权限
    6273网络策略服务器拒绝访问用户
    6274网络策略服务器放弃了对用户的请求
    6275网络策略服务器放弃了用户的记帐请求
    6276网络策略服务器隔离了用户
    6277网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期
    6278网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
    6279由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户
    6280网络策略服务器解锁了用户帐户
    6281代码完整性确定图像文件的页面哈希值无效...
    6400BranchCache:在发现内容可用性时收到格式错误的响应。
    6401BranchCache:从对等方收到无效数据。数据被丢弃。
    6402BranchCache:提供数据的托管缓存的消息格式不正确。
    6403BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。
    6404BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。
    6405BranchCache:发生了事件ID%1的%2个实例。
    6406%1注册到Windows防火墙以控制以下过滤:
    64071%
    6408已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
    6409BranchCache:无法解析服务连接点对象
    6410代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
    6416系统识别出新的外部设备。
    6417FIPS模式加密自检成功
    6418FIPS模式加密自检失败
    6419发出了禁用设备的请求
    6420设备已禁用
    6421已发出请求以启用设备
    6422设备已启用
    6423系统策略禁止安装此设备
    6424在事先被政策禁止之后,允许安装此设备
    8191最高系统定义的审计消息值
    展开全文
  • Linux系统安全日志详解

    千次阅读 2020-01-05 07:48:24
    日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪...

      日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。

    1. 日志简介

      日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。

      在Linux系统中,有三个主要的日志子系统:

      连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。

      进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

      错误日志--由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

      常用的日志文件如下:

      access-log 纪录HTTP/web的传输

      acct/pacct 纪录用户命令

      aculog 纪录MODEM的活动

      btmp 纪录失败的纪录

      lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录

      messages 从syslog中记录信息(有的链接到syslog文件)

      sudolog 纪录使用sudo发出的命令

      sulog 纪录使用su命令的使用

      syslog 从syslog中记录信息(通常链接到messages文件)

      utmp 纪录当前登录的每个用户

      wtmp 一个用户每次登录进入和退出时间的永久纪录

      xferlog 纪录FTP会话

      utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp中;最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件(lastlog通常不大)在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长,除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常,wtmp在第一天结束后命名为wtmp.1;第二天后wtmp.1变为wtmp.2等等,直到wtmp.7。

      每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who、w、users和finger。

      下一步,login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

      2. 具体命令

      wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

      who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如:who(回车)显示

    chyang pts/0 Aug 18 15:06 
    ynguo pts/2 Aug 18 15:32 
    ynguo pts/3 Aug 18 13:55 
    lewis pts/4 Aug 18 13:35 
    ynguo pts/7 Aug 18 14:12 
    ylou pts/8 Aug 18 14:15

      如果指明了wtmp文件名,则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

      w:w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如:w(回车)显示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

    USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 
    chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash 
    ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05s w 
    lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash 
    lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/ 
    ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail 
    ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

      users:users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。例如:users(回车)显示:chyang lewis lewis ylou ynguo ynguo

      last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:

    chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49) 
    cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14) 
    chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40) 
    lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03) 
    lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)

      如果指明了用户,那么last只报告该用户的近期活动,例如:last ynguo(回车)显示:

    ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30) 
    ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44) 
    ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16) 
    ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25) 
    ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12) 
    ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11) 
    ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)

      ac:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时),如果不使用标志,则报告总的时间。例如:ac(回车)显示:total 5177.47

      ac -d(回车)显示每天的总的连结时间

    Aug 12 total 261.87 
    Aug 13 total 351.39 
    Aug 14 total 396.09 
    Aug 15 total 462.63 
    Aug 16 total 270.45 
    Aug 17 total 104.29 
    Today total 179.02

      ac -p (回车)显示每个用户的总的连接时间

    ynguo 193.23 
    yucao 3.35 
    rong 133.40 
    hdai 10.52 
    zjzhu 52.87 
    zqzhou 13.14 
    liangliu 24.34 
    total 5178.24

      lastlog:lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示"**Never logged**。注意需要以root运行该命令,例如:

    rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000 
    dbb **Never logged in** 
    xinchen **Never logged in** 
    pb9511 **Never logged in** 
    xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

      另外,可一加一些参数,例如,last -u 102将报告UID为102的用户;last -t 7表示限制上一周的报告。

      3. 进程统计

      UNIX可以跟踪每个用户运行的每条命令,如果想知道昨晚弄乱了哪些重要的文件,进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同,进程统计子系统缺省不激活,它必须启动。在Linux系统中启动进程统计使用accton命令,必须用root身份来运行。Accton命令的形式accton file,file必须先存在。先使用touch命令来创建pacct文件:touch /var/log/pacct,然后运行accton: accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何参数的accton命令。

      lastcomm命令报告以前执行的文件。不带参数时,lastcomm命令显示当前统计文件生命周期内纪录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户,输入则可能很长。下面的例子:

    crond F root ?? 0.00 secs Sun Aug 20 00:16 
    promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16 
    promisc_check root ?? 0.01 secs Sun Aug 20 00:16 
    grep root ?? 0.02 secs Sun Aug 20 00:16 
    tail root ?? 0.01 secs Sun Aug 20 00:16 
    sh root ?? 0.01 secs Sun Aug 20 00:15 
    ping S root ?? 0.01 secs Sun Aug 20 00:15 
    ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 
    sh root ?? 0.01 secs Sun Aug 20 00:15 
    ping S root ?? 0.02 secs Sun Aug 20 00:15 
    ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15 
    sh root ?? 0.02 secs Sun Aug 20 00:15 
    ping S root ?? 0.00 secs Sun Aug 20 00:15 
    ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 
    sh root ?? 0.01 secs Sun Aug 20 00:15 
    ping S root ?? 0.01 secs Sun Aug 20 00:15 
    sh root ?? 0.02 secs Sun Aug 20 00:15 
    ping S root ?? 1.34 secs Sun Aug 20 00:15 
    locate root ttyp0 1.34 secs Sun Aug 20 00:15 
    accton S root ttyp0 0.00 secs Sun Aug 20 00:15

      进程统计的一个问题是pacct文件可能增长的十分迅速。这时需要交互式的或经过cron机制运行sa命令来保持日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。sa缺省情况下先读它们,然后读pacct文件,使报告能包含所有的可用信息。sa的输出有下面一些标记项:

      avio--每次执行的平均I/O操作次数

      cp--用户和系统时间总和,以分钟计

      cpu--和cp一样

      k--内核使用的平均CPU时间,以1k为单位

      k*sec--CPU存储完整性,以1k-core秒

      re--实时时间,以分钟计

      s--系统时间,以分钟计

      tio--I/O操作的总数

      u--用户时间,以分钟计

      例如:

    842 173.26re 4.30cp 0avio 358k 
    2 10.98re 4.06cp 0avio 299k find 
    9 24.80re 0.05cp 0avio 291k ***other 
    105 30.44re 0.03cp 0avio 302k ping 
    104 30.55re 0.03cp 0avio 394k sh 
    162 0.11re 0.03cp 0avio 413k security.sh* 
    154 0.03re 0.02cp 0avio 273k ls 
    56 31.61re 0.02cp 0avio 823k ping6.pl* 
    2 3.23re 0.02cp 0avio 822k ping6.pl 
    35 0.02re 0.01cp 0avio 257k md5sum 
    97 0.02re 0.01cp 0avio 263k initlog 
    12 0.19re 0.01cp 0avio 399k promisc_check.s 
    15 0.09re 0.00cp 0avio 288k grep 
    11 0.08re 0.00cp 0avio 332k awk

      用户还可以根据用户而不是命令来提供一个摘要报告。例如sa -m显示如下:

    885 173.28re 4.31cp 0avk 
    root 879 173.23re 4.31cp 0avk 
    alias 3 0.05re 0.00cp 0avk 
    qmailp 3 0.01re 0.00cp 0avk

      4. Syslog设备

      Syslog已被许多日志函数采纳,它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。

      Syslog设备依据两个重要的文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件,习惯上,多数syslog信息被写到/var/adm或/var/log目录下的信息文件中(messages.*)。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围(但不在日之中出现)。

      每个syslog消息被赋予下面的主要设备之一:

      LOG_AUTH--认证系统:login、su、getty等

      LOG_AUTHPRIV--同LOG_AUTH,但只登录到所选择的单个用户可读的文件中

      LOG_CRON--cron守护进程

      LOG_DAEMON--其他系统守护进程,如routed

      LOG_FTP--文件传输协议:ftpd、tftpd

      LOG_KERN--内核产生的消息

      LOG_LPR--系统打印机缓冲池:lpr、lpd

      LOG_MAIL--电子邮件系统

      LOG_NEWS--网络新闻系统

      LOG_SYSLOG--由syslogd(8)产生的内部消息

      LOG_USER--随机用户进程产生的消息

      LOG_UUCP--UUCP子系统

      LOG_LOCAL0~LOG_LOCAL7--为本地使用保留

      Syslog为每个事件赋予几个不同的优先级:

      LOG_EMERG--紧急情况

      LOG_ALERT--应该被立即改正的问题,如系统数据库破坏

      LOG_CRIT--重要情况,如硬盘错误

      LOG_ERR--错误

      LOG_WARNING--警告信息

      LOG_NOTICE--不是错误情况,但是可能需要处理

      LOG_INFO--情报信息

      LOG_DEBUG--包含情报的信息,通常旨在调试一个程序时使用

      syslog.conf文件指明syslogd程序纪录日志的行为,该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成,每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开:选择域指明消息的类型和优先级;动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时,syslogd将纪录一个拥有相同或更高优先级的消息。所以如果指明"crit",那所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。例如,如果想把所有邮件消息纪录到一个文件中,如下:

    #Log all the mail messages in one place
    mail.* /var/log/maillog

      其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志(/var/log/spooler)中并把级别限为"err"或更高。例如:

    # Save mail and news errors of level err and higher in aspecial file.
    uucp,news.crit /var/log/spooler

      当一个紧急消息到来时,可能想让所有的用户都得到。也可能想让自己的日志接收并保存。

    #Everybody gets emergency messages, plus log them on anther machine
    *.emerg *
    *.emerg @Linuxaid.com.cn

      alert消息应该写到root和tiger的个人账号中:

    #Root and Tiger get alert and higher messages
    *.alert root,tiger

      有时syslogd将产生大量的消息。例如内核("kern"设备)可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了:

    #Log all kernel messages to the console
    #Logging much else clutters up the screen
    #kern.* /dev/console

      用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages,除了mail以外。级别"none"禁止一个设备:

    #Log anything(except mail)of level info or higher
    #Don"t log private authentication messages!
    *.info:mail.none;authpriv.none /var/log/messages

      在有些情况下,可以把日志送到打印机,这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱,因此要特别注意。

      有个小命令logger为syslog(3)系统日志文件提供一个shell命令接口,使用户能创建日志文件中的条目。用法:logger 例如:logger This is a test!

      它将产生一个如下的syslog纪录:Aug 19 22:22:34 tiger: This is a test!

      注意不要完全相信日志,因为攻击者很容易修改它的。

      5. 程序日志

      许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限,所以它的安全很重要,它的文件为sulog。同样的还有sudolog。另外,想Apache有两个日志:access_log和error_log。

    展开全文
  • 1:默认防毒软件版本windows defender 2:防病毒软件自动更新病毒...3:防病毒系统日志检查记录 打开window server事件 4:查看window deferner 日志事件 5:筛选要导出的时间段 6:进行导出 ...

    1:默认防毒软件版本windows defender

      

     

    2:防病毒软件自动更新病毒库/补丁文件的设置截屏

     

    3:防病毒系统日志检查记录

    打开window server事件

     

    4:查看window deferner 日志事件

     

    5:筛选要导出的时间段

     

    6:进行导出

     

    展开全文
  • Windows安全日志事件

    千次阅读 2018-07-04 19:14:16
    每一个失败的尝试登录本地计算机无论登录类型 , 用户的位置或类型的帐户。 主题 : 标识要求的账户登录的用户 , 而不是只是尝试登录。主题通常是 Null 或服务主体之一 ...安全 ...似乎是由于系统问题和不安全

    每一个失败的尝试登录本地计算机无论登录类型,用户的位置或类型的帐户。

    主题:

    标识要求的账户登录的用户,而不是只是尝试登录。主题通常是Null或服务主体之一,通常不会有用的信息。看到刚刚loffed新登录到系统中。

    登录类型:

    这是一个有价值的信息,因为它告诉你用户登录:

    登录类型

    描述

    2

    互动(键盘和屏幕的登录系统)

    3

    网络(即连接到共享文件夹从其他地方在这台电脑上网络)

    4

    批处理(即计划任务)

    5

    服务(服务启动)

    7

    解锁密码保护屏幕保护程序(unnattended工作站)

    8

    NetworkCleartext(登录凭据发送明文。通常表示与基本身份验证登录到IIS)

    9

    NewCredentialsRunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件。

    10

    RemoteInteractive(终端服务,远程桌面或远程协助)

    11

    CachedInteractive(与缓存域登录凭证时登录一台笔记本电脑等远离网络)

    登录失败:

    这个标识的用户试图登录,但都以失败告终。

    ·        安全ID:SID试图登录的帐户。这个空白或NULL SID如果没有确定一个有效的账户——例如,指定的用户名不对应一个有效帐号登录名称。

    ·        帐户名称:中指定的账户登录名登录尝试。

    ·        帐户域:域或——本地账户的情况——计算机名称。

    故障信息:
    部分解释了为什么登录失败。

    ·        失败原因:文本的解释登录失败。

    ·        地位和子状态:十六进制代码解释登录失败的原因。有时子状态是,有时不是。下面是我们发现的代码。

    地位和子状态码

    描述(不针对失败的原因:“检查)

    0 xc0000064

    用户名不存在

    0 xc000006a

    用户名是正确的,但密码是错误的

    0 xc0000234

    用户当前锁定

    0 xc0000072

    帐户目前禁用

    0 xc000006f

    用户试图登录天的外周或时间限制

    0 xc0000070

    工作站的限制

    0 xc0000193

    帐号过期

    0 xc0000071

    过期的密码

    0 xc0000133

    时钟之间的直流和其他电脑太不同步

    0 xc0000224

    在下次登录用户需要更改密码

    0 xc0000225

    显然一个缺陷在Windows和不是一个风险

    0 xc000015b

    没有被授予该用户请求登录类型(又名登录正确的)在这台机器

    0 xc000006d

    似乎是由于系统问题和不安全。

    展开全文
  • 最近偶然发现Windows安全日志(Win10_64位)中有大量的网络登录失败记录(事件ID为4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络已经不安全了,只能自己想办法尽量保护好自己电脑。 尝试操作1:禁用...
  • linux 安全日志 /var/log/secure

    千次阅读 2020-01-29 21:08:54
    /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码 [root@localhost ~]$ tail /var/log/secure Dec 27 14:04:51 139 sshd...
  • c++线程安全日志

    2011-10-28 09:51:28
    c++实现的日志类,能够按天写日志,并且超过一定大小进行备份,线程安全
  • 二、如何查看电脑安全日志 三、如何进入系统配置并且关闭多余的程序 四、查看电脑虚拟化功能是否开启 五、如何调整任务栏位置 六、查看电脑系统可用时间 七、获取 WIFI 密码 八、激活 Windows 10
  • linux /var/log/secure 安全日志

    千次阅读 2020-01-03 12:22:21
    /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码 很多linux的新发行版已经不再使用,改为使用rsyslog。 查看rsyslog的...
  • 对于系统产生的安全日志,系统日志,程序日志的提取,非常有用,谢谢支持
  • 登录系统提示“该系统的安全日志已满,只允许管理员登录以解决问题”,查看c盘还剩42m,经过排查,发现容量基本都给“C:\Windows\System32\winevt\Logs”文件夹占掉了。  原来是安全日志设置为“日志满时将其存档...
  • 一、域控windows安全日志基本操作 1、打开powershell或者cmd 1 #gpedit.msc 打开配置: 关于账户安全性的策略配置在账户配置哪里 2、打开控制面板->系统与安全->事件查看器->windows日志->...
  • CentOS查看登录日志及其它安全日志

    千次阅读 2014-10-22 16:25:03
    总结下CentOS下查看登录日志及其它相关安全日志
  • 系统安全日志的注意事项

    千次阅读 2015-03-12 13:51:20
    最近系统出现了一些异常操作,但至今只核查出了大概,仍未完全清晰。对于系统的安全日志有了一些总结。 1、系统登录必须记录日志 日志的内容必须包括:登录时间、登出时间、登录ip、主机名、MAC地址
  • 详解Windows Server 2008安全日志

    千次阅读 2014-04-29 22:52:22
    建立安全日志记录为了让大家了解如何追踪计算机安全日志功能的具体方面,首先需要了解如何启动安全日志。大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。...
  • c++ 线程安全 日志模块,可以直接应用到项目中,详细介绍可以阅读我的博客文章http://blog.csdn.net/ltm5180/article/details/20287045或者发邮件给我讨论(ltm5180@126.com)
  • Windows2008系统安全日志分析

    千次阅读 2014-05-25 19:07:17
    Windows2008系统安全日志分析 1、IPC连接成功后会生成一个事件ID为4624的安全事件,示例如下: 已成功登录帐户。 主题:  安全 ID: NULL SID  帐户名: -  帐户域: -  登录 ID: 0x0 登录...
  • 日志是Linux 安全结构中的一个重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间通常会与多个程序的...
  • 今天打算配置一个服务器防止暴力破解的脚本,原理不复杂,搜索登录错误超过一定次数的ip地址,加入防火墙,但是在找登录日志的时候出现了问题。 一般服务器的ssh登录等操作日志都是/var/log/secure,但我使用是比较...
  • Web日志安全分析浅谈

    千次阅读 2018-10-18 14:07:52
    所谓有价值的地方就有江湖,网站被恶意黑客攻击的频率和网站的价值一般成正比趋势,即使网站价值相对较小,也会面对“脚本小子”的恶意测试攻击或者躺枪于各种大范围漏洞扫描器,正如安全行业的一句话:“世界上只有...
  • 每一个失败的尝试登录本地计算机无论登录类型 , 用户的位置或类型的帐户。 主题 : 标识要求的账户登录的用户 , 而不是只是尝试登录。主题通常是 Null 或服务主体之一 ...安全 ...似乎是由于系统问题和不安全
  • 最近几天,通过事件查看器发现了大量的帐号登录失败的日志,搞得焦头烂额的。 信息内容 `帐户登录失败。主题: 安全 ID: SYSTEM 帐户名: XXX-XXXXX$ 帐户域: WORKGROUP 登录 ID: 0x3e7登录类型: 3登录失败...
  • libslog是一个基于linux的高性能开源C/C++多线程安全日志库。EasyNetwork 服务端开源框架使用了libslog作为日志库。 libslog的最新源码可从这里下载:libslog.tar 有任何宝贵的意见和建议请联系作者:xmulyj@gm
  • web日志分析工具,支持IIS,nginx, httpd等,将日志从服务器下载,填入路径,即可进行自动化分析
  • 后台权限管理/安全日志系统

    千次阅读 2013-11-12 10:25:25
    普通用户很难注意到后台用户管理的细节,但为保证系统的安全运行我们认为权限管理/安全日志是网站重要的后台功能,尤其在多用户的后台环境规范权限管理/安全日志可有效的防止恶意行为操作失误对网站的影响。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 546,823
精华内容 218,729
关键字:

安全日志