精华内容
下载资源
问答
  • 查看windows server 2008服务器时间修改日志,打开事件查看器--》安全--》筛选事件ID为"4616"的事件 14 4616 系统时间被改变 系统事件

    查看windows server 2008服务器时间修改日志,打开事件查看器--》安全--》筛选事件ID为"4616"的事件

    14

    4616

    系统时间被改变

    系统事件

    展开全文
  • Windows日志

    千次阅读 多人点赞 2019-05-29 16:29:26
    文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和...

    学习目标

    1. Windows事件日志简介:存储位置、内容、查看方法。
    2. Windows事件日志分析:开关机、登录、注销、连接网络、插U盘。
    3. 安全审核:TCP、UDP。

    一,Windows事件日志简介

    Windows事件日志记录着Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。

    二,打开事件查看器命令:eventvwr

    在这里插入图片描述
    Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录

    记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件ID、来源、任务类别、描述、数据等信息。

    在这里插入图片描述

    三,Windows事件日志共有五种事件级别

    所有的事件必须只能拥有其中的一种事件级别

    1.信息(Information)
    信息事件指应用程序、驱动程序或服务的成功操作的事件。
    2.警告(Warning)
    警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
    3.错误(Error)
    错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
    4. 成功审核(Success audit)
    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件。
    5.失败审核(Failure audit)
    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    四,Windows日志文件

    从1993年的Windows NT3.1起,微软就开始使用事件日志来记录各种事件的信息。在NT的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/Win2000/XP/Server 2003中, 日志文件的扩展名一直是evt,存储位置为“%systemroot%\System32\config”。

    从Windows Vista和Server 2008开始,日志文件的文件名、结构和存储位置发生了巨大改变, 文件扩展名改为evtx (XML格式),存储位置改为“%systemroot%\System32\WinEvt\logs”

    ri在这里插入图片描述
    1、系统日志
    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:WINDOWS\system32\winevt\Logs\System.evtx

    2.应用程序日志
    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:\WINDOWS\system32\winevt\Logs\Application.evtx

    3.安全日志
    记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:\WINDOWS\system32\winevt\Logs\Security.evtx。

    1.安全日志:是渗透测试工作人员关注的重点
    虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。
    2.系统和应用程序日志存:储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
    

    五,对常用安全事件的分析

    1.用户登录与注销

    场景
    .判断哪个用户尝试进行登录
    .分析被控制的用户的使用情况
    事件ID
    .4624登录成功
    .4625登录失败
    .4634/4647 一注销成功
    .4672使用超级用户(如管理员)进行登录

    2.追踪硬件变动

    场景
    .分析哪些硬件设备什么时间安装到系统中
    事件ID
    .20001 -即插即用驱动安装(System日志)
    .20003-即插即用驱动安装(System日志)
    .46636-移动设备访问成功(Securiy日志)
    .4656 -移动设备访问失败(Security日志)

    3.追踪WiFi信息

    场景
    .分析连接到的WiFi属性
    事件ID
    .10000-连接WiFi(networkprofile日志)
    .10001-断开WiFi(networkprofile日志)

    事件id10000

    六,日志获取和分析工具

    除了使用“事件日志查看器”外,我们也可以使用其他日志上具宣
    询事件日志。以下列举了一些我们经常用到的日志获取和分析工具

    .事件日志查看器
    . Microsoft LogParser
    . Log Parser Lizard

    七,分析事件的方法—筛查

    手动/脚本筛查

    1.利用PowerShell 来自动筛选 Windows 事件日志

    ①Get-WinEvent强大但发杂

     Get-WinEvent 超级强大,但使用起来比较麻烦

    Get-WinEvent -FilterHashtable @{Logname='system';Id='6006','6005'}
    

    在这里插入图片描述

    ②Get- EventLog简单但一般

     Get- EventLog 使得起来相当简单,

    Get-EventLog Security  -InstanceId  4624,4625
    

    在这里插入图片描述

    2.在powershell中对筛选出的Windows事件进一步处理

    ①用变量储存方便查看

    $events=Get-EventLog Security  -InstanceId  4624,4625
    

    例如
    在这里插入图片描述
    会发现有…显示不全–>用列表的形式
    ②用列表的形式查看全部信息

    $events[2]|fl *
    

    在这里插入图片描述

    七,分析日志的思路

    1.分析Windows登录类型

    ①登录类型

    登录类型2交互式登录(Interactive): 就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
    登录类型3:网络(Network): 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。
    登录类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
    登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。
    登录类型7:解锁(Unlock) :很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。
    登录类型8:网络明文(NetworkCleartext) :通常发生在IIS 的 ASP登录。不推荐。
    登录类型9:新凭证(NewCredentials) :通常发生在RunAS方式运行某程序时的登录验证。
    登录类型10:远程交互(RemoteInteractive) :通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
    登录类型11:缓存交互(CachedInteractive) :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。

    ②常见登录类型日志分析

    1、本地交互式登录,也就是我们每天最常使用的登录方式。
    首先是成功的登录,从日志分析来看至少会有2个事件发生,分别为ID4648、 4624。
    审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登录

    失败登录会产生ID为4625的事件日志。
    审核失败 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登录

    2、使用RDP协议进行远程登录,这也是日常经常遇到的情况。
    使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录, ID为4624,审核成功,登录类型为10(远程交互)。并且描述信息中的主机名(源工作站)仍为被尝试登录主机的主机名,而不是源主机名。
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登录
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登录

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为10(远程交互)。审核失败,列出了登录失败的账户名和失败原因。

    3、远程访问某台主机的共享资源,如某个共享文件夹。
    首先是使用正确的用户名和密码访问远程共享主机,登录事件ID为4624, 登录类型为3(Network),审核成功。列出了源网络地址和端口。
    审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登录

    如果访问共享资源使用的帐户名、密码正确,但是该用户对指定的共享文件夹没有访问权限时仍然会有ID为4624的认证成功事件产生。
    接下来的是事件ID为5140的文件共享日志,显示了访问的共享文件夹名称。
    审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为3(网络)。审核失败,列出了登录失败的账户名和失败原因。

    4、解锁登录
    解锁登录和远程登录一样,成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录, ID为4624,审核成功,登录类型为7(Unlock)。
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登录
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登录

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为7(unlock)。审核失败,列出了登录失败的账户名和失败原因。。

    最后我们总结一下“审计登录”事件:
    · 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成4648事件。
    · 成功的登录通常会有4624事件产生,在创建登录会话后在被访问的计算机上生成此事件。
    · 如果用户有特权会有4672事件产生。
    · 通常情况下只需关注登录类型为2、3、7、10类型的4625登录失败事件。
    

    2.安全审核

    操作系统带有日志功能,系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后,可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看与安全相关的日志文件的内容,来分析、查找系统和应用程序故障以及各类安全事件,发现黑客的入侵和入侵后的行为。

     审核事件ID
    审计目录服务访问
      4934 - Active Directory 对象的属性被复制
      4935 -复制失败开始
      4936 -复制失败结束
      5136 -目录服务对象已修改
      5137 -目录服务对象已创建
      5138 -目录服务对象已删除
      5139 -目录服务对象已经移动
      5141 -目录服务对象已删除
      4932 -命名上下文的AD的副本同步已经开始
      4933 -命名上下文的AD的副本同步已经结束
      审计登录事件
      4634 - 帐户被注销
      4647 - 用户发起注销
      4624 - 帐户已成功登录
      4625 - 帐户登录失败
      4648 - 试图使用明确的凭证登录
      4675 - SID被过滤
      4649 - 发现重放攻击
      4778 -会话被重新连接到Window Station
      4779 -会话断开连接到Window Station
      4800 – 工作站被锁定
      4801 - 工作站被解锁
      4802 - 屏幕保护程序启用
      4803 -屏幕保护程序被禁用
      5378 所要求的凭证代表是政策所不允许的
      5632 要求对无线网络进行验证
      5633 要求对有线网络进行验证
      审计对象访问
      5140 - 网络共享对象被访问
      4664 - 试图创建一个硬链接
      4985 - 交易状态已经改变
      5051 - 文件已被虚拟化
      5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接
      4698 -计划任务已创建
      4699 -计划任务已删除
      4700 -计划任务已启用
      4701 -计划任务已停用
      4702 -计划任务已更新
      4657 -注册表值被修改
      5039 -注册表项被虚拟化
      4660 -对象已删除
      4663 -试图访问一个对象
      审计政策变化
      4715 - 对象上的审计政策(SACL)已经更改
      4719 - 系统审计政策已经更改
      4902 - Per-user审核政策表已经创建
      4906 - CrashOnAuditFail值已经变化
      4907 - 对象的审计设置已经更改
      4706 - 创建到域的新信任
      4707 - 到域的信任已经删除
      4713 - Kerberos政策已更改
      4716 - 信任域信息已经修改
      4717 - 系统安全访问授予帐户
      4718 - 系统安全访问从帐户移除
      4864 - 名字空间碰撞被删除
      4865 - 信任森林信息条目已添加
      4866 - 信任森林信息条目已删除
      4867 - 信任森林信息条目已取消
      4704 - 用户权限已分配
      4705 - 用户权限已移除
      4714 - 加密数据复原政策已取消
      4944 - 当开启Windows Firewall时下列政策启用
      4945 - 当开启Windows Firewall时列入一个规则
      4946 - 对Windows防火墙例外列表进行了修改,添加规则
      4947 - 对Windows防火墙例外列表进行了修改,规则已修改
      4948 - 对Windows防火墙例外列表进行了修改,规则已删除
      4949 - Windows防火墙设置已恢复到默认值
      4950 - Windows防火墙设置已更改
      4951 - 因为主要版本号码不被Windows防火墙承认,规则已被忽视
      4952 - 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分
      4953 - 因为Windows防火墙不能解析规则,规则被忽略
      4954 - Windows防火墙组政策设置已经更改,将使用新设置
      4956 - Windows防火墙已经更改主动资料
      4957 - Windows防火墙不适用于以下规则
      4958 - 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则:
      6144 - 组策略对象中的安全政策已经成功运用
      6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误
      4670 - 对象的权限已更改
      审计特权使用
      4672 - 给新登录分配特权
      4673 - 要求特权服务
      4674 - 试图对特权对象尝试操作
      审计系统事件
      5024 - Windows防火墙服务已成功启动
      5025 - Windows防火墙服务已经被停止
      5027 - Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策
      5028 - Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策
      5029 - Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策
      5030 - Windows防火墙服务无法启动
      5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
      5033 - Windows防火墙驱动程序已成功启动
      5034 - Windows防火墙驱动程序已经停止
      5035 - Windows防火墙驱动程序未能启动
      5037 - Windows防火墙驱动程序检测到关键运行错误,终止。
      4608 -Windows正在启动
      4609 - Windows正在关机
      4616 - 系统时间被改变
      4621 - 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录
      4697 - 系统中安装服务器
      4618 - 监测安全事件样式已经发生

    展开全文
  • windows日志和审核

    千次阅读 2019-12-05 23:43:40
    windows事件日志简介 Windows事件日志记录着 Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查...

    windows事件日志简介

    Windows事件日志记录着 Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。

    Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件1D、来源、任务类别、描述、数据等信息。

    Windows事件日志共有五种事件级别,所有的事件必须只能拥有其中的一种事件级别。

    1.信息( Information)

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    2.警告( Warning)

    警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或末找到打印机时,都会记录一个“警告”事件。

    3.错误(Error)

    错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

    4.成功审核( Success audit)

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件。

    5.失败审核( Failure audit)

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。


    Windows日志文件

    从1993年的 Windows N3.1起,微软就开始使用事件日志来记录各种事件的信息。在N的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/win2000/XP/Server2003中,日志文件的扩展名一直是evt,存储位置为“% systemroot% \System32 config”。从Windows Vista和 Server2008开始,日志文件的文件名、结构和存储位置发生了巨大改变,文件扩展名改为evx(XML格式),存储位置改为“% systemroot% \System32\ WinEt\logs”。

    1.系统日志

    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件崩溃以及数据。

    默认位置

    NT/Win2000/XP/Server 2003

    C: WINDOWS\system32\config\SysEvent Evt

    Vista/Win7/Win8//Win10/Server 2008/Server 2012

    C: WINDOWS\system32\winet \Logs\ System. evtx

    2.应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。

    默认位置

    NT/Win2000/XP/Server 2003

    C:\WINDOWS\system32\config \AppEvent Evt

    Vista/Win7/Win8//Win10/Server 2008/Server 2012

    C:\WINDOWS\system32 winet \Logs \ Application. evtx

    3.安全日志

    记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

    默认位置

    NT/Win2000/XP/Server 2003

    C:\ WINDOWS\system32\ config SecEvent Evt

    Vista/Win7/Win8//Win10/Server 2008/Server 2012

    C: WINDOWS\system32\ winet \Logs\ Security. evtx

    虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。

    系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。


    windows事件日志分析

    在 Windows7和 Windows Server2008R2中各种与安全和审核有关事件—用户登录与注销

    ■场景

    判断哪个用户尝试进行登录

    分析被控制的用户的使用情况

    ■事件ID

    4624-登录成功

    4625登录失败

    4634/4647-注销成功

    4672使用超级用户(如管理员)进行登录

    在 Windows7和 Windows Server2008R中的各种与安全和审核有关事件——追踪硬件变动

    ■场景

    分析哪些硬件设备什么时间安装到系统中

    ■事件ID

    20001-即插即用驱动安装( System日志)

    20003-即插即用驱动安装( System日志)

    4663-移动设备访问成功( Security日志)

    4656-移动设备访问失败( Security日志)

    在 Windows7和 Windows Server2008R2中的各种与安全和审核有关事件—无线网络位置

    ■场景

    分析系统访问过哪些关联的无线网络、VPN等

    ■事件ID

    10000-网络已连接

    10001-网络已断开连接

    筛选日志是分析事件日志最常用的功能,可以根据事件1D、事件级别、事件来源、用户、计算机等属性进行搜索和过滤。


    windows安全审计实战

    操作系统带有日志功能,系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后,可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看与安全相关的日志文件的内容,来分析、查找系统和应用程序故障以及各类安全事件,发现黑客的入侵和入侵后的行为。

    配置审计策略

    1.选择【开始】=>【管理工具】→【本地安全策略】菜单,打开“本地安全设置”窗口。

    2.选择【安全设置】-【本地策略】=>【审核策略】,双击右侧的“审核对象访问”,在打对话框中选中“成功”和“失败”。

    3.单击确定按钮关闭窗口,配置结果如所示。

    配置访问文件夹的权限

    1.新建文件夹“C:\test”。

    2.右击文件夹“C:\test”,选择【属性】菜单,在打开的“审计属性”对话框中选择“安全”标签

    注销后,用lisi身份登录,在新建的test文件夹下,创建两个txt文件,并删除其中一个。

    然后注销,以管理员身份登录,在事件查看器,查找lisi,可以看到。

    展开全文
  • Windows事件日志消息 Windows事件日志消息(WELM)工具检索嵌入在二进制文件中的Windows事件日志消息的定义。 该工具的输出可用于为操作系统创建事件信息的详尽列表。 该工具最初是为了帮助编写“ 论文而开发的,但...
  • 修改bin/startup.bat 注释掉call “%EXECUTABLE%” start %CMD_LINE_ARGS% 添加 call “%EXECUTABLE%” run %CMD_LINE_ARGS% 2.bin/catalina.bat ...3.重启tomcat,可以修改下系统时间,测试日志分割成功 .
    1. 修改bin/startup.bat
      注释掉call “%EXECUTABLE%” start %CMD_LINE_ARGS%

    添加 call “%EXECUTABLE%” run %CMD_LINE_ARGS%
    在这里插入图片描述

    2.bin/catalina.bat
    四个 %ACTION% 后边都加上 >> %CATALINA_HOME%\logs\catalina.%date:0,4%-%date:5,2%-%date:~8,2%.out
    在这里插入图片描述
    3.重启tomcat,可以修改下系统时间,测试日志分割成功
    在这里插入图片描述
    原文档:https://blog.csdn.net/qq_36291682/article/details/81742001

    展开全文
  • windows终端事件日志监控指南

    千次阅读 2019-08-22 17:30:29
    windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,...
  • Windows Server 2016-Windows安全日志ID汇总

    千次阅读 2019-03-04 21:39:10
    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1104 安全日志现已满 1105...
  • windows】查看windows事件日志

    千次阅读 2019-03-27 14:53:07
    此机器的 NetBIOS 名称和 DNS 主机名从 MACHINENAME 更改为 AA。 7000 错误 Service Control Manager 由于下列错误,npkcrypt 服务启动失败: 7031 错误 Service Control Manager ...
  • 基础软件和服务都会产生日志,当日志太多就会占用磁盘空间,因此需要定期清除,windows通常使用bat脚本处理 一:日志切割: 1.windows脚本,以nginx 为例 @echo off c: set nginx=%C:\Users\Lenovo\Desktop% set ...
  • 闲聊Windows系统日志

    万次阅读 2018-07-04 00:26:39
    这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不...
  • Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有: 4634 - 帐户被注销  4647 - 用户发起注销  4624 - 帐户已成功登录(可以查看  4625 - 帐户登...
  • windows 防火墙日志In the process of filtering Internet traffic, all firewalls have some type of logging feature that documents how the firewall handled various types of traffic. These logs can provide...
  • Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到...
  • windows系统日志查看

    万次阅读 2019-05-29 09:06:16
    或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。 2、接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。 3、事件id...
  • 博主找了网上一推的素材,什么修改pre-revprop-change为pre-revprop-change.bat 然后填写命令,最后还是提示权限不足等一堆乱七八糟的问题,于是自己成功后重新整理 环境:win7 svn服务器:VisualSVN Server svn客户端...
  • Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作。 0x02 查看日志 传统的查看Windows安全日志方法是...
  • 系统日志时间同步

    千次阅读 2018-04-18 17:05:41
    hostnamectl set-hostname 主机名 ##更改主机名 1.程序生成日志 rsyslog采集日志,关闭后开启会采集没有采集的日志,采集规则配置文件 cat /var/log/messages > /var/log/messages #清空 vim /etc/...
  • 使用ELK分析Windows事件日志

    千次阅读 2019-11-14 08:10:41
    这是ELK入门到实践系列的第三篇文章,分享如何使用ELK分析Windows事件日志Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生...
  • Windows安全加固系列---日志配置操作

    千次阅读 2019-06-24 16:45:26
    此文章是关于Windows安全加固中对日志加固的配置与操作 1 审核登录 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 检测...
  • 任何一个系统在运行的时候都会产生大量的日志信息,我们需要对这些日志进行分析,在分析日志之前,我们需要将分散在生产系统中的日志收集起来。Flume就是这样的日志采集系统。 1.主要有三个组件: Source:...
  • 根据实际需要替换指定目录和时间,这里只保留F:\testbat目录最近七天的所有文件。 forfiles /p "F:\testbat" /s /m *.* /d -7 /c "cmd /c del @path" 保存退出 2、加入...
  • 效果图 右击新建 ping.bat 文件(ping...127.0.0.1 修改为你自己的ip地址,log 为记录日志的文件名 右击新建 ping.vbs 文件(ping为文件名称,随便起,但是需要与上方 csript xxx.vbs 对应),内容如下: Dimar...
  • windows日志查看与清理

    千次阅读 2019-10-15 13:55:58
    当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 前置知识点: 一、日志查看 二、日志清除 ...掌握系统日志、服务日志和计划任务日志的清理方法,在这之前我们先了解一些一些前置知识点,方便...
  • Windows 日志分析

    千次阅读 2017-09-14 20:59:14
    Windows 2000 的日志文件通常包括以下日志,当然以下不完全: 应用程序日志安全日志系统日志DNS服务器日志FTP日志WWW日志 日志文件的默认位置 应用程序日志、安全日志、系统日志、DNS日志默认位置: %...
  • Windows登录日志详解

    万次阅读 2016-10-07 09:21:26
    日志在很多时候是非常重要的,尤其是登录日志。从登录日志中可以发现很多有价值的信息,window2008及以后的日志基本一致,2003由于时间太长,微软都停止更新了,所以重点介绍2008的登录日志
  • Windows7操作记录_操作时间记录_启动时间记录_日志查看    桌面》》计算机》》(鼠标右键)管理》》系统工具》》事件查看器》》Windows日志》》系统》》 操作系统已在系统时间 ‎2012‎-‎02‎-‎15T01:11:...
  • 看到有人问,windows主机日志怎么做分析,今天就分享一篇文章专门来说说windows主机日志分析。以下所有内容皆属于个人以往工作经验总结出来的,不是什么权威的行业标准,纯属个人理解,仅供参考使用。 在做日志分析...
  • windows 服务器系统日志分析及安全

    千次阅读 2019-10-01 14:01:50
    一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close...
  • 有装过Linux系统的人,可能都会有这样的经历,就是该机器安装windows系统时,时间正确,但是安装了linux系统后,尽管时区选择正确,也会发现系统时间不对。这是由于安装系统时采用了UTC,那么什么是UTC呢,简单的说...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 169,313
精华内容 67,725
关键字:

windows时间修改的日志