精华内容
下载资源
问答
  • 2021-11-24 17:21:33

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档


    审核策略:

    审核登录事件:审核账户的登录或注销操作。
    审核对象访问:审核对文件或文件夹等对象的操作。
    审核过程跟踪:审核应用程序的启动和关闭。
    审核目录服务访问:审核对活动目录的各种访问。
    审核特权使用:审核用户执行用户权限的操作,如更改系统时间等。
    审核系统事件:审核与系统相关的事件,如重新启动或关闭计算机等。
    审核账户登录事件:审核账户的登录或注销另一台计算机(用于验证账户)的操作。
    审核账户管理:审核与账户管理有关的操作。

    审核策略

    审核策略更改

    原因:启动本地安全策略中对Windows系统的审核策略更改,可以使得无论操作成功或者失败都需要审核,当有非法入侵时,都会被安全审核记录下来,例如:用户登录使用的账号,时间,是否成功,远程登录时用户使用的ip地址;
    配置:
    打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核策略更改,这些 审核策略在默认情况下都是未开启的。
    选择窗格中的”审核策略更改”策略选项,打开“审核策略更改”的“属性”对话框,在“本地安全设置”选项卡中,选中“成功”和"失败”复选框,单击“确定”按钮。

    日志记录

    设置防火墙日志文件路径

    原因:使用这个选项可以指定Windows防火墙将在其中写入其日志信息的文件的路径和名称。(也就是防火墙的日志写在哪)
    配置:
    打开控制面板>管理工具>本地安全策略,打开高级安全Windows防火墙- >高级安全Windows防火墙> Windows防火墙属性>域配置文件->日志->自定义,配置防火墙日志文件路径。

    日志文件大小

    配置:
    打开控制面板>管理工具>事件查看器,配置应用日志、系统日志、安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应
    策略。

    更多相关内容
  • Windows日志

    万次阅读 多人点赞 2019-05-29 16:29:26
    文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和...

    学习目标

    1. Windows事件日志简介:存储位置、内容、查看方法。
    2. Windows事件日志分析:开关机、登录、注销、连接网络、插U盘。
    3. 安全审核:TCP、UDP。

    一,Windows事件日志简介

    Windows事件日志记录着Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。

    二,打开事件查看器命令:eventvwr

    在这里插入图片描述
    Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录

    记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件ID、来源、任务类别、描述、数据等信息。

    在这里插入图片描述

    三,Windows事件日志共有五种事件级别

    所有的事件必须只能拥有其中的一种事件级别

    1.信息(Information)
    信息事件指应用程序、驱动程序或服务的成功操作的事件。
    2.警告(Warning)
    警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
    3.错误(Error)
    错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
    4. 成功审核(Success audit)
    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件。
    5.失败审核(Failure audit)
    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    四,Windows日志文件

    从1993年的Windows NT3.1起,微软就开始使用事件日志来记录各种事件的信息。在NT的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/Win2000/XP/Server 2003中, 日志文件的扩展名一直是evt,存储位置为“%systemroot%\System32\config”。

    从Windows Vista和Server 2008开始,日志文件的文件名、结构和存储位置发生了巨大改变, 文件扩展名改为evtx (XML格式),存储位置改为“%systemroot%\System32\WinEvt\logs”

    ri在这里插入图片描述
    1、系统日志
    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:WINDOWS\system32\winevt\Logs\System.evtx

    2.应用程序日志
    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:\WINDOWS\system32\winevt\Logs\Application.evtx

    3.安全日志
    记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:\WINDOWS\system32\winevt\Logs\Security.evtx。

    1.安全日志:是渗透测试工作人员关注的重点
    虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。
    2.系统和应用程序日志存:储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
    

    五,对常用安全事件的分析

    1.用户登录与注销

    场景
    .判断哪个用户尝试进行登录
    .分析被控制的用户的使用情况
    事件ID
    .4624登录成功
    .4625登录失败
    .4634/4647 一注销成功
    .4672使用超级用户(如管理员)进行登录

    2.追踪硬件变动

    场景
    .分析哪些硬件设备什么时间安装到系统中
    事件ID
    .20001 -即插即用驱动安装(System日志)
    .20003-即插即用驱动安装(System日志)
    .46636-移动设备访问成功(Securiy日志)
    .4656 -移动设备访问失败(Security日志)

    3.追踪WiFi信息

    场景
    .分析连接到的WiFi属性
    事件ID
    .10000-连接WiFi(networkprofile日志)
    .10001-断开WiFi(networkprofile日志)

    事件id10000

    六,日志获取和分析工具

    除了使用“事件日志查看器”外,我们也可以使用其他日志上具宣
    询事件日志。以下列举了一些我们经常用到的日志获取和分析工具

    .事件日志查看器
    . Microsoft LogParser
    . Log Parser Lizard

    七,分析事件的方法—筛查

    手动/脚本筛查

    1.利用PowerShell 来自动筛选 Windows 事件日志

    ①Get-WinEvent强大但发杂

     Get-WinEvent 超级强大,但使用起来比较麻烦

    Get-WinEvent -FilterHashtable @{Logname='system';Id='6006','6005'}
    

    在这里插入图片描述

    ②Get- EventLog简单但一般

     Get- EventLog 使得起来相当简单,

    Get-EventLog Security  -InstanceId  4624,4625
    

    在这里插入图片描述

    2.在powershell中对筛选出的Windows事件进一步处理

    ①用变量储存方便查看

    $events=Get-EventLog Security  -InstanceId  4624,4625
    

    例如
    在这里插入图片描述
    会发现有…显示不全–>用列表的形式
    ②用列表的形式查看全部信息

    $events[2]|fl *
    

    在这里插入图片描述

    七,分析日志的思路

    1.分析Windows登录类型

    ①登录类型

    登录类型2交互式登录(Interactive): 就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
    登录类型3:网络(Network): 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。
    登录类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
    登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。
    登录类型7:解锁(Unlock) :很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。
    登录类型8:网络明文(NetworkCleartext) :通常发生在IIS 的 ASP登录。不推荐。
    登录类型9:新凭证(NewCredentials) :通常发生在RunAS方式运行某程序时的登录验证。
    登录类型10:远程交互(RemoteInteractive) :通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
    登录类型11:缓存交互(CachedInteractive) :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。

    ②常见登录类型日志分析

    1、本地交互式登录,也就是我们每天最常使用的登录方式。
    首先是成功的登录,从日志分析来看至少会有2个事件发生,分别为ID4648、 4624。
    审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登录

    失败登录会产生ID为4625的事件日志。
    审核失败 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登录

    2、使用RDP协议进行远程登录,这也是日常经常遇到的情况。
    使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录, ID为4624,审核成功,登录类型为10(远程交互)。并且描述信息中的主机名(源工作站)仍为被尝试登录主机的主机名,而不是源主机名。
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登录
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登录

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为10(远程交互)。审核失败,列出了登录失败的账户名和失败原因。

    3、远程访问某台主机的共享资源,如某个共享文件夹。
    首先是使用正确的用户名和密码访问远程共享主机,登录事件ID为4624, 登录类型为3(Network),审核成功。列出了源网络地址和端口。
    审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登录

    如果访问共享资源使用的帐户名、密码正确,但是该用户对指定的共享文件夹没有访问权限时仍然会有ID为4624的认证成功事件产生。
    接下来的是事件ID为5140的文件共享日志,显示了访问的共享文件夹名称。
    审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为3(网络)。审核失败,列出了登录失败的账户名和失败原因。

    4、解锁登录
    解锁登录和远程登录一样,成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录, ID为4624,审核成功,登录类型为7(Unlock)。
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登录
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登录

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为7(unlock)。审核失败,列出了登录失败的账户名和失败原因。。

    最后我们总结一下“审计登录”事件:
    · 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成4648事件。
    · 成功的登录通常会有4624事件产生,在创建登录会话后在被访问的计算机上生成此事件。
    · 如果用户有特权会有4672事件产生。
    · 通常情况下只需关注登录类型为2、3、7、10类型的4625登录失败事件。
    

    2.安全审核

    操作系统带有日志功能,系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后,可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看与安全相关的日志文件的内容,来分析、查找系统和应用程序故障以及各类安全事件,发现黑客的入侵和入侵后的行为。

     审核事件ID
    审计目录服务访问
      4934 - Active Directory 对象的属性被复制
      4935 -复制失败开始
      4936 -复制失败结束
      5136 -目录服务对象已修改
      5137 -目录服务对象已创建
      5138 -目录服务对象已删除
      5139 -目录服务对象已经移动
      5141 -目录服务对象已删除
      4932 -命名上下文的AD的副本同步已经开始
      4933 -命名上下文的AD的副本同步已经结束
      审计登录事件
      4634 - 帐户被注销
      4647 - 用户发起注销
      4624 - 帐户已成功登录
      4625 - 帐户登录失败
      4648 - 试图使用明确的凭证登录
      4675 - SID被过滤
      4649 - 发现重放攻击
      4778 -会话被重新连接到Window Station
      4779 -会话断开连接到Window Station
      4800 – 工作站被锁定
      4801 - 工作站被解锁
      4802 - 屏幕保护程序启用
      4803 -屏幕保护程序被禁用
      5378 所要求的凭证代表是政策所不允许的
      5632 要求对无线网络进行验证
      5633 要求对有线网络进行验证
      审计对象访问
      5140 - 网络共享对象被访问
      4664 - 试图创建一个硬链接
      4985 - 交易状态已经改变
      5051 - 文件已被虚拟化
      5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接
      4698 -计划任务已创建
      4699 -计划任务已删除
      4700 -计划任务已启用
      4701 -计划任务已停用
      4702 -计划任务已更新
      4657 -注册表值被修改
      5039 -注册表项被虚拟化
      4660 -对象已删除
      4663 -试图访问一个对象
      审计政策变化
      4715 - 对象上的审计政策(SACL)已经更改
      4719 - 系统审计政策已经更改
      4902 - Per-user审核政策表已经创建
      4906 - CrashOnAuditFail值已经变化
      4907 - 对象的审计设置已经更改
      4706 - 创建到域的新信任
      4707 - 到域的信任已经删除
      4713 - Kerberos政策已更改
      4716 - 信任域信息已经修改
      4717 - 系统安全访问授予帐户
      4718 - 系统安全访问从帐户移除
      4864 - 名字空间碰撞被删除
      4865 - 信任森林信息条目已添加
      4866 - 信任森林信息条目已删除
      4867 - 信任森林信息条目已取消
      4704 - 用户权限已分配
      4705 - 用户权限已移除
      4714 - 加密数据复原政策已取消
      4944 - 当开启Windows Firewall时下列政策启用
      4945 - 当开启Windows Firewall时列入一个规则
      4946 - 对Windows防火墙例外列表进行了修改,添加规则
      4947 - 对Windows防火墙例外列表进行了修改,规则已修改
      4948 - 对Windows防火墙例外列表进行了修改,规则已删除
      4949 - Windows防火墙设置已恢复到默认值
      4950 - Windows防火墙设置已更改
      4951 - 因为主要版本号码不被Windows防火墙承认,规则已被忽视
      4952 - 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分
      4953 - 因为Windows防火墙不能解析规则,规则被忽略
      4954 - Windows防火墙组政策设置已经更改,将使用新设置
      4956 - Windows防火墙已经更改主动资料
      4957 - Windows防火墙不适用于以下规则
      4958 - 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则:
      6144 - 组策略对象中的安全政策已经成功运用
      6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误
      4670 - 对象的权限已更改
      审计特权使用
      4672 - 给新登录分配特权
      4673 - 要求特权服务
      4674 - 试图对特权对象尝试操作
      审计系统事件
      5024 - Windows防火墙服务已成功启动
      5025 - Windows防火墙服务已经被停止
      5027 - Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策
      5028 - Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策
      5029 - Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策
      5030 - Windows防火墙服务无法启动
      5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
      5033 - Windows防火墙驱动程序已成功启动
      5034 - Windows防火墙驱动程序已经停止
      5035 - Windows防火墙驱动程序未能启动
      5037 - Windows防火墙驱动程序检测到关键运行错误,终止。
      4608 -Windows正在启动
      4609 - Windows正在关机
      4616 - 系统时间被改变
      4621 - 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录
      4697 - 系统中安装服务器
      4618 - 监测安全事件样式已经发生

    展开全文
  • windows 配置日志服务器

    千次阅读 2021-08-13 04:07:50
    windows 配置日志服务器 内容精选换一换在使用LTS时,您需注意以下使用限制。使用限制中部分内容属于配额,关于什么是配额以及怎样查看与修改配额,详见关于配额。LTS日志采集支持多个操作系统,在购买主机时您需...

    windows 配置日志服务器 内容精选

    换一换

    c8a5a5028d2cabfeeee0907ef5119e7e.png

    在使用LTS时,您需注意以下使用限制。使用限制中部分内容属于配额,关于什么是配额以及怎样查看与修改配额,详见关于配额。LTS日志采集支持多个操作系统,在购买主机时您需选择LTS支持的操作系统,否则无法使用LTS对主机日志进行采集。对于Linux x86_64服务器,LTS支持上表中所有的操作系统及版本。对于Linux ARM服务器,Cen

    您可以通过云日志服务,查看访问七层共享型负载均衡请求的详细日志记录,分析负载均衡的响应状态码,快速定位异常的后端服务器。您已经创建了七层负载均衡。您已经开通了云日志服务。登录管理控制台。在管理控制台左上角单击图标,选择区域和项目。区域和项目选择“华北-北京一”。区域和项目选择“华北-北京一”。选择“服务列表 > 管理与监管 > 云日志服务

    windows 配置日志服务器 相关内容

    负载均衡的访问日志功能支持查看和分析对七层负载均衡HTTP和HTTPS进行请求的详细访问日志记录,包括请求时间、客户端IP地址、请求路径和服务器响应等。配置访问日志时需要您对接云日志服务,并且已经创建需要关联的云日志组和日志流。目前只有七层共享型负载均衡支持此功能,四层共享型负载均衡不支持。当前支持的区域:华北-北京四、华北-北京一、华东

    为加强对系统数据的容灾管理,云堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。本小节主要介绍如何在系统配置Syslog服务器参数,将日志远程备份至Syslog服务器。开启远程备份后,系统默认在每天零点备份前一天的系统数据。以天为单位自动备份,生成日志文件,并上传到Syslog服务器相应路径。支持备份至Syslog服务器的日志包括

    windows 配置日志服务器 更多内容

    f3b054c7f0f3a487e0ff47ff2b7b5851.png

    cd /opt/dis-agent-X.X.X/logstail -100f dis-agent.log显示如下信息,表示Agent正常运行。Agent: Startup completed in xx msAgent运行异常,常见问题原因和处理方法如下:HttpClientErrorException: 400 Bad Request可

    a4c4c5b28481f97f2139da8bb7c47c58.png

    cd /opt/dis-agent-X.X.X/logstail -100f dis-agent.log显示如下信息,表示Agent正常运行。Agent: Startup completed in xx msAgent运行异常,常见问题原因和处理方法如下:HttpClientErrorException: 400 Bad Request可

    c98716077afa118c4722d3df701d5c06.png

    提供多个业务节点提供共享的日志输出目录,方便分布式应用的日志收集和管理。业务特点:多个业务主机挂载同一个共享文件系统,并发打印日志。大文件小I/O:单个日志文件比较大,但是每次日志的写入I/O比较小。写I/O密集型:业务以小块的写I/O为主。多个业务主机挂载同一个共享文件系统,并发打印日志。大文件小I/O:单个日志文件比较大,但是每次日志

    d57a9c4df2ad6d5977a2dea882116132.png

    主机日志,通过ICAgent采集器进行采集。当主机选择“Windows主机”时,如需采集系统日志,需要在“配置采集路径”环节,开启“采集Windows事件日志”。云服务日志,如ELB/VPC,需要到对应的云服务上启用日志上报。通过API上报日志。采集路径如果配置的是目录,示例:/var/logs/,则只采集目录下后缀为“.log”、“.t

    293f5c3a9815ee95e4ed79a7f04b8f18.png

    VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。当您想要了解虚拟私有云网卡的流量详情时,您可以通过云日志服务实时查看虚拟私有云的网卡日志数据。目前支持S2、M2、Hc2、H2、D2、P1、G3、Pi1、fp1、S3、C3、M3、H3、D3、Ir3、I3、Sn3、S6、E3

    91fba63c5e17e5f0e99d0f8174c4b31b.png

    创建VPC流日志,记录虚拟私有云中的流量信息。VPC流日志功能目前仅在“亚太-新加坡”、“华南-广州”、“亚太-曼谷”开放,且还在公测期间,请申请公测权限后使用。在创建VPC流日志前,请确保您在云日志服务完成了如下配置:创建日志组。创建日志流。云日志服务更多内容请参见《云日志服务用户指南》。登录管理控制台。在管理控制台左上角单击,选择区域

    eb51cd3fd20e03ccff8238b899621069.png

    弹性负载均衡服务与其它服务的依赖关系如图1所示:

    c2f51807c80a3c0a9fb1f931f2bad396.png

    服务器上的ICAgent被卸载后,会影响该服务器的日志采集能力,请谨慎操作!云日志服务主机管理界面,仅支持卸载安装在Linux环境中的ICAgent,如果需要卸载安装Windows环境中的ICAgent,请在ICAgent安装包解压目录下,双击执行“ICAgent安装包解压目录\ICProbeAgent\bin\manual\win\un

    118fcc6f8f8a59b8317188ff10d93c94.png

    为加强对系统数据的容灾管理,云堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。本小节主要介绍如何在系统配置FTP/SFTP服务器参数,将日志远程备份至FTP/SFTP服务器。开启远程备份后,系统默认在每天零点备份前一天的系统数据。以天为单位自动备份,生成日志文件,并上传到FTP/SFTP服务器相应路径。服务器同一路径下,不能重复

    b7d83a2380c86c6f5139c7b0f3df6b7a.png

    华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。

    8eb70d4a37fe864f82daefa0aeaaa61c.png

    VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。VPC流日志功能需要与云日志服务LTS结合使用,先在云日志服务中创建日志组和日志流,然后再创建VPC流日志。配置流程如图1所示。VPC流日志本身是免费的,您只需要为使用过程中用到的其他云资源付费。 例如,数据存储在

    展开全文
  • windows 防火墙日志In the process of filtering Internet traffic, all firewalls have some type of logging feature that documents how the firewall handled various types of traffic. These logs can provide...
    windows 防火墙日志

    windows 防火墙日志

    In the process of filtering Internet traffic, all firewalls have some type of logging feature that documents how the firewall handled various types of traffic. These logs can provide valuable information like source and destination IP addresses, port numbers, and protocols. You can also use the Windows Firewall log file to monitor TCP and UDP connections and packets that are blocked by the firewall.

    在过滤Internet流量的过程中,所有防火墙都具有某种类型的日志记录功能,该功能记录了防火墙如何处理各种类型的流量。 这些日志可以提供有价值的信息,例如源和目标IP地址,端口号和协议。 您还可以使用Windows防火墙日志文件来监视TCP和UDP连接以及被防火墙阻止的数据包。

    为什么和何时使用防火墙日志记录
    1. 验证新添加的防火墙规则是否正常运行,或者如果它们未能按预期运行,则对其进行调试。
    2. 确定Windows防火墙是否是应用程序失败的原因-使用防火墙日志记录功能,您可以检查禁用的端口开放,动态端口开放,使用推送和紧急标志分析丢弃的数据包以及分析发送路径上的丢弃的数据包。
    3. 帮助和识别恶意活动-使用防火墙日志记录功能,您可以检查网络内是否发生了任何恶意活动,尽管您必须记住它没有提供跟踪活动来源所需的信息。
    4. 如果您发现反复尝试从一个IP地址(或一组IP地址)访问防火墙和/或其他高配置系统失败,那么您可能需要编写一条规则来删除该IP空间中的所有连接(请确保IP地址没有被欺骗)。
    5. 来自内部服务器(例如Web服务器)的传出连接可能表明某人正在使用您的系统对其他网络上的计算机发起攻击。

    如何生成日志文件

    (Why and When Firewall Logging is Useful
    1. To verify if newly added firewall rules work properly or to debug them if they do not work as expected.
    2. To determine if Windows Firewall is the cause of application failures — With the Firewall logging feature you can check for disabled port openings, dynamic port openings, analyze dropped packets with push and urgent flags and analyze dropped packets on the send path.
    3. To help and identify malicious activity — With the Firewall logging feature you can check if any malicious activity is occurring within your network or not, although you must remember it does not provide the information needed to track down the source of the activity.
    4. If you notice repeated unsuccessful attempts to access your firewall and/or other high profile systems from one IP address (or group of IP addresses), then you might want to write a rule to drop all connections from that IP space (making sure that the IP address isn’t being spoofed).
    5. Outgoing connections coming from internal servers such as Web servers could be an indication that someone is using your system to launch attacks against computers located on other networks.

    How to Generate the Log File

    )

    By default, the log file is disabled, which means that no information is written to the log file. To create a log file press “Win key + R” to open the Run box. Type “wf.msc” and press Enter. The “Windows Firewall with Advanced Security” screen appears. On the right side of the screen, click “Properties.”

    默认情况下,日志文件是禁用的,这意味着没有信息写入日志文件。 要创建日志文件,请按“ Win键+ R”打开“运行”框。 输入“ wf.msc”,然后按Enter。 出现“具有高级安全性的Windows防火墙”屏幕。 在屏幕右侧,点击“属性”。

    A new dialog box appears. Now click the “Private Profile” tab and select “Customize” in the “Logging Section.”

    出现一个新对话框。 现在,单击“私人配置文件”选项卡,然后在“日志记录”部分中选择“自定义”。

    A new window opens and from that screen choose your maximum log size, location, and whether to log only dropped packets, successful connection or both. A dropped packet is a packet that Windows Firewall has blocked. A successful connection refers both to incoming connections as well as any connection you have made over the Internet, but it doesn’t always mean that an intruder has successfully connected to your computer.

    将打开一个新窗口,并从该屏幕中选择最大日志大小,位置以及是否仅记录丢弃的数据包,成功连接还是同时记录两者。 丢弃的数据包是Windows防火墙已阻止的数据包。 成功的连接既指传入连接,也指您通过Internet进行的任何连接,但这并不总是意味着入侵者已成功连接到您的计算机。

    By default, Windows Firewall writes log entries to %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log and stores only the last 4 MB of data. In most production environments, this log will constantly write to your hard disk, and if you change the size limit of the log file (to log activity over a long period of time) then it may cause a performance impact. For this reason, you should enable logging only when actively troubleshooting a problem and then immediately disable logging when you’re finished.

    默认情况下,Windows防火墙将日志条目写入%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log ,仅存储最后4 MB的数据。 在大多数生产环境中,此日志将不断写入硬盘,如果您更改日志文件的大小限制(以长时间记录活动),则可能会对性能造成影响。 因此,仅应在主动对问题进行故障排除时启用日志记录,然后在完成后立即禁用日志记录。

    Next, click the “Public Profile” tab and repeat the same steps you did for “Private Profile” tab. You’ve now turned on the log for both private and public network connections. The log file will be created in a W3C extended log format (.log) that you can examine with a text editor of your choice or import them into a spreadsheet. A single log file can contain thousands of text entries, so if you are reading them through Notepad then disable word wrapping to preserve the column formatting. If you are viewing the log file in a spreadsheet then all the fields will be logically displayed in columns for easier analysis.

    接下来,单击“公共配置文件”选项卡,然后重复执行与“私人配置文件”选项卡相同的步骤。 现在,您已经打开了专用和公用网络连接的日志。 日志文件将以W3C扩展日志格式(.log)创建,您可以使用所选的文本编辑器进行检查,也可以将其导入电子表格中。 一个日志文件可以包含数千个文本条目,因此,如果您通过记事本读取它们,则禁用自动换行以保留列格式。 如果您正在电子表格中查看日志文件,则所有字段将在逻辑上显示在列中,以便于分析。

    On the main “Windows Firewall with Advanced Security” screen, scroll down until you see the “Monitoring” link. In the Details pane, under “Logging Settings”, click the file path next to “File Name.” The log opens in Notepad.

    在“具有高级安全性的Windows防火墙”主屏幕上,向下滚动,直到看到“监视”链接。 在“详细信息”窗格中的“日志记录设置”下,单击“文件名”旁边的文件路径。 日志在记事本中打开。

    解释Windows防火墙日志 (Interpreting the Windows Firewall log )

    The Windows Firewall security log contains two sections. The header provides static, descriptive information about the version of the log, and the fields available. The body of the log is the compiled data that is entered as a result of traffic that tries to cross the firewall. It is a dynamic list, and new entries keep appearing at the bottom of the log. The fields are written from left to right across the page. The (-) is used when there is no entry available for the field.

    Windows防火墙安全日志包含两个部分。 标头提供有关日志版本以及可用字段的静态描述性信息。 日志的主体是由于试图通过防火墙的通信而输入的已编译数据。 这是一个动态列表,新条目始终出现在日志的底部。 这些字段在页面上从左到右书写。 没有该字段的可用条目时使用(-)。

    According to the Microsoft Technet documentation the header of the log file contains:

    根据Microsoft Technet文档,日志文件的标题包含:

    Version — Displays which version of the Windows Firewall security log is installed. Software — Displays the name of the software creating the log. Time — Indicates that all the timestamp information in the log are in local time. Fields — Displays a list of fields that are available for security log entries, if data is available.

    版本—显示安装的Windows防火墙安全日志的版本。 软件—显示创建日志的软件的名称。 时间-表示日志中的所有时间戳信息均以本地时间表示。 字段-如果数据可用,则显示可用于安全日志条目的字段列表。

    While the body of the log file contains:

    虽然日志文件的正文包含:

    date — The date field identifies the date in the format YYYY-MM-DD. time — The local time is displayed in the log file using the format HH:MM:SS. The hours are referenced in 24-hour format. action — As the firewall processes traffic, certain actions are recorded. The logged actions are DROP for dropping a connection, OPEN for opening a connection, CLOSE for closing a connection, OPEN-INBOUND for an inbound session opened to the local computer, and INFO-EVENTS-LOST for events processed by the Windows Firewall, but were not recorded in the security log. protocol — The protocol used such as TCP, UDP, or ICMP. src-ip — Displays the source IP address (the IP address of the computer attempting to establish communication). dst-ip — Displays the destination IP address of a connection attempt. src-port — The port number on the sending computer from which the connection was attempted. dst-port — The port to which the sending computer was trying to make a connection. size — Displays the packet size in bytes. tcpflags — Information about TCP control flags in TCP headers. tcpsyn — Displays the TCP sequence number in the packet. tcpack — Displays the TCP acknowledgement number in the packet. tcpwin — Displays the TCP window size, in bytes, in the packet. icmptype — Information about the ICMP messages. icmpcode — Information about the ICMP messages. info — Displays an entry that depends on the type of action that occurred. path — Displays the direction of the communication. The options available are SEND, RECEIVE, FORWARD, and UNKNOWN.

    date —日期字段以YYYY-MM-DD格式标识日期。 time —当地时间以格式HH:MM:SS显示在日志文件中。 这些小时以24小时格式引用。 操作—当防火墙处理流量时,会记录某些操作。 记录的操作包括:DROP(用于断开连接),OPEN(用于断开连接),CLOSE(用于断开连接),OPEN-INBOUND(对于向本地计算机打开的入站会话)和INFO-EVENTS-LOST(对于由Windows防火墙处理的事件),但是没有记录在安全日志中。 协议—使用的协议,例如TCP,UDP或ICMP。 src-ip —显示源IP地址(尝试建立通信的计算机的IP地址)。 dst-ip —显示连接尝试的目标IP地址。 src-port —尝试从中进行连接的发送计算机上的端口号。 dst-port —发送计算机尝试建立连接的端口。 size —显示数据包大小(以字节为单位)。 tcpflags —有关TCP标头中的TCP控制标志的信息。 tcpsyn —显示数据包中的TCP序列号。 tcpack —显示数据包中的TCP确认号。 tcpwin —显示数据包中的TCP窗口大小(以字节为单位)。 icmptype —有关ICMP消息的信息。 icmpcode —有关ICMP消息的信息。 info —显示一个条目,该条目取决于发生的操作的类型。 路径—显示通信方向。 可用的选项为SEND,RECEIVE,FORWARD和UNKNOWN。

    As you notice, the log entry is indeed big and may have up to 17 pieces of information associated with each event. However, only the first eight pieces of information are important for general analysis. With the details in your hand now you can analyze the information for malicious activity or debug application failures.

    如您所见,日志条目确实很大,并且每个事件可能包含多达17条信息。 但是,只有前八条信息对一般分析很重要。 现在,有了您的详细信息,您就可以分析信息以进行恶意活动或调试应用程序故障。

    If you suspect any malicious activity, then open the log file in Notepad and filter all the log entries with DROP in the action field and note whether the destination IP address ends with a number other than 255. If you find many such entries, then take a note of the destination IP addresses of the packets. Once you have finished troubleshooting the problem, you can disable the firewall logging.

    如果您怀疑有任何恶意活动,请在记事本中打开日志文件,并在操作字段中使用DROP过滤所有日志条目,并注意目标IP地址是否以255以外的数字结尾。如果找到许多此类条目,则采用数据包的目标IP地址的注释。 对问题进行故障排除后,可以禁用防火墙日志记录。

    Troubleshooting network problems can be quite daunting at times and a recommended good practice when troubleshooting Windows Firewall is to enable the native logs. Although the Windows Firewall log file is not useful for analyzing the overall security of your network, it still remains a good practice if you want to monitor what is happening behind the scenes.

    对网络问题进行故障排除有时会令人生畏,在对Windows防火墙进行故障排除时,建议的良好做法是启用本机日志。 尽管Windows防火墙日志文件对于分析网络的整体安全性没有用,但是如果您要监视幕后发生的情况,它仍然是一个好习惯。

    翻译自: https://www.howtogeek.com/220204/how-to-track-firewall-activity-with-the-windows-firewall-log/

    windows 防火墙日志

    展开全文
  • Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有: 4634 - 帐户被注销  4647 - 用户发起注销  4624 - 帐户已成功登录(可以查看  4625 - 帐户登...
  • 查看windows系统日志方法

    千次阅读 2021-05-25 08:01:07
    Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有:4634 - 帐户被注销4647 - 用户发起注销4624 - 帐户已成功登录(可以查看4625 - 帐户登录失败4648 - 试图使用明确的凭证...
  • 第14章 管理并监视网络访问;管理网络访问服务;管理网络访问服务的指导方针;管理远程访问客户端的方法;第14章 管理并监视网络访问;配置网络访问服务器上的日志记录;路由和远程访问日志记录;路由和远程访问日志记录;...
  • Windows SMB/RDP日志溯源总结

    千次阅读 2022-02-10 10:06:23
    Windows SMB/RDP日志溯源总结 在以往涉及到Windows安全事件处理的时候,经常需要分析windows日志。对日志进行分析溯源的时候SMB/...直接访问日志文件路径也可提取 C:\Windows\System32\winevt\Logs 一般重点关注securi
  • windows系统日志分析

    千次阅读 2021-07-29 00:12:21
    一、Windows日志文件的保护日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。1. 修改日志文件存放目录Windows日志文件默认路径是“%systemroot%system32config...
  • 02Windows日志分析

    千次阅读 2022-01-21 12:24:53
    Windows日志分类 Windows系统日志(包括应用程序、安全、安装程序和转发的事件) 服务器角色日志 应用程序日志 服务日志 事件日志基本信息 该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、...
  • windows日志和审核

    万次阅读 2019-12-05 23:43:40
    windows事件日志简介 Windows事件日志记录着 Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查...
  • windows日志文件查看与清理

    千次阅读 2021-09-12 19:12:50
    日志查看 (1) 启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。 (2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,...
  • 网络安全应急响应----11、日志分析

    千次阅读 2022-03-16 07:01:45
    文章目录一、Windows日志二、Linux日志三、Web日志3.1、IIS中间件日志3.2、Apache中间件日志3.3、Tomcat中间件日志3.4、Weblogic3.5、Nginx中间件...Windows系统之后,日志文件通常分为系统日志(SysEvent) 、应用程序
  • Windows Server 2016-Windows安全日志ID汇总

    千次阅读 2019-03-04 21:39:10
    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1104 安全日志现已满 1105...
  • windows终端事件日志监控指南

    千次阅读 2019-08-22 17:30:29
    windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,...
  • Tomcat配置访问日志和线程数

    千次阅读 2022-03-22 22:54:22
    配置Tomcat的访问日志和核心线程数
  • Windows日志识别入侵痕迹

    万次阅读 2021-01-11 20:04:00
    有小伙伴问:网络上大...所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。不同的攻击场景会产生不一样的系统日志,不同的Event ID代表了不同的意义,需要重点关注一些事件I...
  • 服务器是否被黑,可以通过 查看 系统事件查看器 分析。应朋友 JieYang 的要求,特别编写本篇教程。查看系统的运行日志,地球人都知道可以通过事件查看器检查。可能很多新手 看到几万条记录会慌掉,...Windows日志-&...
  • 现在很多上班族都是在电脑面前工作的,比如说网站编辑行业,有时候我们需要查看电脑的系统日志,怎么查看呢?应该由很大一部分人不知道怎么查看吧,下面小编为大家带来电脑查看系统日志教程,有需要的朋友可以学习下...
  • 教你完全读懂Windows日志文件

    千次阅读 2021-07-15 02:07:48
    日志文件,它记录着Windows 及其各种服务运行的每个细节,对加强 Windows的稳定和安全性,起着十分 重要的作用。但许多用户不注意对它保护,一些“不速之客”很随便 就将日志文件清空,给系统带来严重的安全隐患。一...
  • 电脑日志的级别有3种,第1种信息:这类信息我们可以不用理会,一般都是程序正常运行的痕迹;每2种错误:这类信息我们要侧重关注,因为这类信息代表着程序或都系统出现了错误,我们要修复的错误都出现在这里;第3种是...
  • LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的工具。此工具将在登录相关事件中找到的主机名(或IP地址)和帐户名相关联,并将其显示为图形。这样,可以查看在哪个帐户中尝试登录...
  • windows系统日志查看

    万次阅读 多人点赞 2019-05-29 09:06:16
    或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。 2、接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。 3、事件id...
  • windows】查看windows事件日志

    千次阅读 2019-03-27 14:53:07
    时间服务提供程序 NtpClient 配置为从一个或多个时间源 获得时间,但是,没有一个源可以访问。在 14 分钟内不 会进行联系时间源的尝试。 NtpClient 没有准确时间的时间源。 35 信息 W32Time 时间...
  • Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到...
  • 系统日志查看位置(Windows+Linux)

    千次阅读 2021-08-06 05:50:04
    一、Windows系统日志:事件查看器Windows系统日志都是在“事件查看器”下面的。具体步骤如下:我的电脑 - 右键单击 - 管理 - 计算机管理 - 系统工具 - 事件查看器 - Windows日志;注意:如果你认为直接这样看Windows...
  • 闲聊Windows系统日志

    万次阅读 2018-07-04 00:26:39
    * 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止转载前言最近遇到不少应急都提出一个需求,能不能...不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了...
  • Windows的权限(用户、组和访问控制)

    万次阅读 多人点赞 2022-02-04 11:05:53
    SAM数据库则是位于注册表的【计算机\HKEY_LOCAL_MACHINE\SAM\SAM】下,受到ACL保护),SAM文件在【C:\Windows\System32\config】路径下。SAM对应的进程:lsass.exe 。通过本地用户和组,可以为用户和组..
  • 1 Linux日志分析 日志是Linux 安全结构中的一个重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 135,161
精华内容 54,064
关键字:

windows网络访问日日志