精华内容
下载资源
问答
  • 2022-01-21 12:24:53

    计算机系统日志作用

    系统日志是记录系统中硬件、软件中的系统问题信息,同时还可以监视系统中发生的事件

    用户可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹

    Windows日志分类

    Windows系统日志(包括应用程序、安全、安装程序和转发的事件)

    服务器角色日志

    应用程序日志

    服务日志

    事件日志基本信息

    该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息

    事件类型及描述

    事件类型
    错误出现问题可能会影响触发事件的应用程序或组件外部的功能
    警告出现问题可能会影响服务器或导致更严重的问题
    信息应用程序或组件发送了改变
    关键出现故障导致触发事件的应用程序或组件无法自动恢复
    审核成功用户权限成功
    审核失败用户权限失败

    安全性日志

    通过日志审核功能,可以快速检测黑客的渗透和攻击,防止非法用户的再次入侵

    主要通过以下事件策略审核:

    1. 对策略的审核
    2. 对登陆成功或失败的审核
    3. 对访问对象的审核
    4. 对进程跟踪的审核
    5. 对账户管理的审核
    6. 对特权使用的审核
    7. 对目录服务访问的审核

    常规日志分析

    查看系统日志方法

    【开始】-【运行】-输入eventvwr.msc

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pOdz5uIo-1642739079996)(images/image-20220118111644755.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lbvHIkhw-1642739079999)(images/image-20220118111800290.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PUYh6VqV-1642739080001)(images/image-20220118111917893.png)]

    事件类型分类

    Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种

    1、信息(Information)

    信息事件指应用程序、驱动程序或服务的成功操作的事件

    2、警告(Warning)

    警告事件指不是直接的、主要的,但是会导致将来问题发送的问题

    例如:当磁盘空间不足或未找到打印机时,都会记录一个“告警”事件

    3、错误(Error)

    错误事件指用户应该知道的重要的问题

    错误事件通常指功能和数据的丢失

    例如:如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件

    4、成功审核(Success audit)

    成功的审核安全访问尝试

    主要是指安全性日志,这里记录着用户登陆/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登陆等事件,例如所有的成功登陆系统都会被记录为“成功审核”事件

    5、失败审核(Failure audit)

    失败的审核安全登陆尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为“失败审核”事件记录下来

    常用事件ID

    事件ID说明
    1102清理审计日志
    4624账号登录成功
    4625账号登录失败
    4768Kerberos身份验证(TGT请求)
    4769Kerberos服务票证请求
    4776NTLM身份验证
    4672授予特殊权限
    4720创建用户
    4726删除用户
    4728将成员添加到启用安全的全局组中
    4729将成员从安全的全局组中移除
    4732将成员添加到启用安全的本地组中
    4733将成员从启用安全的本地组中移除
    4756将成员添加到启用安全的通用组中
    4757将成员从启用安全的通用组中移除
    4719系统审计策略修改

    登陆类型以及描述

    登陆类型描述
    2交互式登陆(用户从控制台登陆)
    3网络(例如:通过net use,访问共享网络)
    4批处理(为批处理程序保留)
    5服务启动(服务登录)
    6不支持
    7解锁(带密码保护的屏幕保护程序的无人值班工作站)
    8网络明文(IIS服务器登陆验证)
    10远程交互(终端服务、远程桌面、远程辅助)
    11缓存域证书登录
    更多相关内容
  • Windows日志分类: 应用程序日志、系统日志、安全日志 系统日志 记录着操作系统组件发生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作...

    Windows系统日志记录系统中硬件、软件和系统问题的信息,同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造)

    Windows日志分类:
    应用程序日志、系统日志、安全日志

    系统日志

    记录着操作系统组件发生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

    默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx

    应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx

    安全日志

    记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

    默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

    系统和应用程序日志储存着系统故障信息,如,蓝屏、重启等故障信息,对系统管理员和运维人员有用
    安全人员主要查看的是安全日志,其中包括 事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么

    设置系统日志

    Windows Server 2008 R2默认未开启系统审核功能
    开启方法

    ##WIN+R输入运行
    secpol.msc
    

    在这里插入图片描述

    安全设置——本地策略——审核策略——设置如下配置
    在这里插入图片描述

    设置日志属性

    ##WIN+R运行
    eventvwr.msc
    

    安全日志大小为2M,按需要覆盖事件
    在这里插入图片描述

    安全事件说明

    ##用户事件管理
    4720————新建用户————net user test /add
    4722————启用新账户
    4724————更改账户密码
    4725————禁用用户账户————net user test /active:no
    4726————删除用户————net user test /delete
    4731————创建一个新组
    4732————将用户添加到本地组————net localgroup 组名 test /add
    4733————从组中删除用户
    4734————删除启用的组————net localgroup 组名 /delete
    4735————安全组更改
    4738————更改用户账户
    4798————枚举本地用户组
    4727————启用安全性的组
    4728————向安全的全局组中添加新成员
    4729————从组中删除用户
    4737————任何更改安全组的操作
    4741————创建一个新的计算机账户
    4742————任何更改计算机账户
    4754————删除计算机账户
    4755————在安全组中做任何修改时
    4756————将用户添加到安全性的通用组
    4799————枚举组中成员时
    
    
    
    
    ##用户登录事件
    4624————登录成功
    4625————登录失败
    4634——从系统注销用户
    4647——用户启动的注销,当用户远程登陆,并注销时,会发生此事件
    4648——使用其他用户凭证登录或绕过登录凭证打开管理员权限进程时发生
    4672——使用被分配管理员权限的账户进行登录
    

    登录成功时(4624),登录类型说明
    5表示 每种服务都被配置在某个特定的用户账号下运行。
    在这里插入图片描述
    在这里插入图片描述

    安全日志分析举例

    通过筛选某一具体事件ID来分辨,服务器收到了什么样的攻击

    • 如,筛选4625事件,发现事件数共有一万多条,且这些登录失败事件相对集中在某一段时间内,说明服务器账号可能收到了暴力破解

    • 又如,我们筛选4647,发现了一条4647事件,说明服务器可能已经被远程登录提权,且攻击者临走时注销了提权账号

    • 再如,我们再日志中发现了一条4724事件,表示某个账户的密码被修改了,我们询问管理员得知没有人修改账户密码,那此事件发生的原因可能是攻击者修改了某一不常用账号企图获得权限维持

    日志分析工具

    Log Parser

    https://www.microsoft.com/en-us/download/details.aspx?id=24659

    Log Parser的图形化界面工具:
    LogParser Lizard

    http://www.lizard-labs.com/log_parser_lizard.aspx

    安装依赖
    Microsoft .NET Framework 4 .5,下载地址:

    https://www.microsoft.com/en-us/download/details.aspx?id=42642

    Event Log Explorer
    Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息

    https://event-log-explorer.en.softonic.com/

    展开全文
  • Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃...

    Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志

    系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。
    
    应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
    包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。
    
    安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
    记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
    

    1.手工日志分析

    1.日志文件位置
    控制面板→ 管理工具 → 事件查看器
    或者win + R:eventvwr.msc

    在这里插入图片描述
    2.EVENT ID含义
    对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,常见如下
    在这里插入图片描述

    4624 登录成功
    4625 登录失败
    4634 注销成功
    4647 用户启动的注销
    4672 使用超级用户登录(管理员)进行登录
    4720 创建用户
    4776 成功/失败的账户认证
    

    https://blog.csdn.net/weixin_33695450/article/details/92324221
    https://www.csdn.net/tags/NtDaYg0sMjM4OS1ibG9n.html

    3.eventlog事件快速筛选
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    成功完成筛选

    筛选系统日志

    6006,6005,6009就表示不同状态的机器的情况
    6005 信息 EventLog 事件日志服务已启动
    6006 信息 EventLog 事件日志服务已停止
    6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机
    

    查看下6009
    在这里插入图片描述
    在这里插入图片描述
    当然也可以一直查看6005-6009
    在这里插入图片描述

    2.Log Parser等工具使用日志分析

    Log Parser下载
    使用教程:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

    LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示。

    1.Log Parser的使用
    安装的目录再C:\Program Files (x86)\Log Parser 2.2

    LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”
    

    我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的格式。
    输入源是某一种固定的格式,比如EVT(事件),Registry(注册表)等,对于每一种输入源,它所涵盖的字段值是固定的,可以使用logparser –h –i:EVT查出(这里以EVT为例)
    在这里插入图片描述

    登录成功的所有事件
    LogParser.exe -i:EVT –o:DATAGRID  “SELECT *  FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624

    待定…

    2.Event Log Explorer
    下载地址:https://event-log-explorer.en.softonic.com/
    Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
    在这里插入图片描述
    参考:https://blog.csdn.net/lza20001103/article/details/124637558?spm=1001.2014.3001.5502

    展开全文
  • Windows 日志分析

    千次阅读 2017-09-14 20:59:14
    Windows 2000 的日志文件通常包括以下日志,当然以下不完全: 应用程序日志安全日志系统日志DNS服务器日志FTP日志WWW日志 日志文件的默认位置 应用程序日志、安全日志、系统日志、DNS日志默认位置: %...

    使用方式

    开始-程序-管理工具-计算机管理-系统工具-事件查看器。
    然后开始清理日志。

    各项日志说明

    Windows 2000 的日志文件通常包括以下日志,当然以下不完全:

    1. 应用程序日志
    2. 安全日志
    3. 系统日志
    4. DNS服务器日志
    5. FTP日志
    6. WWW日志

    日志文件的默认位置

    应用程序日志、安全日志、系统日志、DNS日志默认位置: %systemroot%system32config,默认文件大小为512KB,管理员一般都会改变这个默认大小。

    安全日志文件:%systemroot%system32configSecEvent.EVT

    系统日志文件:%systemroot%system32configSysEvent.EVT

    应用程序日志文件:%systemroot%system32configAppEvent.EVT

    Internet信息服务FTP日志文件:%systemroot%system32logfilesmsftpsvc1,默认每天一个日志

    Internet信息服务WWW日志文件:%systemroot%system32logfilesw3svc1,默认每天一个日志

    Scheduler服务日志:%systemroot%schedlgu.txt

    以上日志在注册表中的键

    应用程序日志、安全日志、系统日志、DNS服务器日志,他们这些LOG在注册表中的:

    HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

    有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多子表,里面可以查到以上日志的定位目录。

    Schedluler服务日志在注册表中的:

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

    FTP与WWW日志详解

    FTP日志

    FTP与WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可以打开,假设如下所示。

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    
    #Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0)
    #Version: 1.0 (版本1.0)
    #Date: 20001023 0315 (服务启动时间日期)
    #Fields: time cip csmethod csuristem scstatus
    
    0315 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录)
    
    0318 127.0.0.1 [1]PASS -530 (登录失败)
    
    032:04 127.0.0.1 [1]USER nt 331 (ip地址为127.0.0.1用户名为 nt 的用户试图登录)
    
    032:06 127.0.0.1 [1]PASS -530 (登录失败)
    
    032:09 127.0.0.1 [1]USER cyz 331 (ip地址为127.0.0.1用户名为 cyz 的用户试图登录)
    
    0322 127.0.0.1 [1]PASS -530 (登录失败)
    
    0322 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录)
    
    0324 127.0.0.1 [1]PASS -230 (登录成功)
    
    0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)
    
    0325 127.0.0.1 [1]QUIT -550 (推出FTP)
    

    从日志可以看到IP地址为127.0.0.1的用户一直在试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知攻击者的入侵时间IP地址以及探测的用户名,如上例入侵者最终是使用administrator登录的,那么就要考虑更换此用户的密码,或更改用户名。

    WWW日志

    WWW服务同FTP服务一样,产生的日志也是在%systemroot%system32LogFilesW3SVC1目录下,默认是每天一个日志文件,下面例举一个典型的WWW日志文件。

    1
    2
    3
    4
    5
    6
    7
    8
    
    #Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0)
    #Version: 1.0 (版本1.0)
    #Date: 20001023 0315 (服务启动时间日期)
    #Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent)
    
    20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)
    
    20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)
    

    第一条记录是,2000年10月23日,IP地址为192.168.1.26的客户通过访问192.168.1.37服务器的80端口,查看了一个iisstart.asp的页面,这个用户的浏览器为Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt),有经验的管理员可以通过安全日志、FTP日志和WWW日志来确定攻击者的IP。

    即使删除了FTP日志和WWW日志,但是还是会在系统日志和安全日志中记录下来,较好的是只显示了你的机器名,并没有IP地址。

    属性里记录了出现警告的原因,是因为有人试图用administrator用户名登录,出现了一个错误,来源是FTP服务。

    这里有两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录注销失败。

    双击第一个失败审核事件,可以获得这个事件的详细描述。

    经过分析我们可以得知有一个名为CYZ的工作站,用administrator的用户名登录本机,但是因为用户名未知或密码错误(实际上是密码错误)未能成功。另外还有DNS服务器日志,这里暂略。

    日志清理

    通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志、WWW日志和Scedlgu日志都可以轻易删除。

    首先要获取Administrator密码或Administrator用户组成员之一,然后Telnet远程连接

    1
    2
    3
    
    del schedlgu.txt
    # 如果无法删除,先停止正在 使用此文件的进程
    net stop  "task scheduler"
    

    分别进入FTP和WWW的目录

    1
    
    del ex*.log
    

    停止系统日志的守护进程

    1
    
    net stop eventlog
    

    其他常见工具

    clearlog.exe

    这里我们介绍一个工具 clearlog.exe
    使用方法:
    Usage: clearlogs [\computername] <-app / -sec / -sys>
    -app = 应用程序日志
    -sec = 安全日志
    -sys = 系统日志
    a. 可以清除远程计算机的日志
    先用ipc连接上去: net use \ipipc$ 密码/user:用户名 然后开始清除: 方法
    clearlogs \ip -app 这个是清除远程计算机的应用程序日志
    clearlogs \ip -sec 这个是清除远程计算机的安全日志
    clearlogs \ip -sys 这个是清除远程计算机的系统日志
    b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面
    然后清除. 方法:
     
    clearlogs -app 这个是清除远程计算机的应用程序日志
    clearlogs -sec 这个是清除远程计算机的安全日志
    clearlogs -sys 这个是清除远程计算机的系统日志

    c.bat

    1
    2
    3
    4
    5
    6
    7
    8
    9
    
    rem ============================== 开始
    @echo off
    clearlogs -app
    clearlogs -sec
    clearlogs -sys
    del clearlogs.exe
    del c.bat
    exit
    rem ============================== 结束
    

    在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果
    第一行表示: 运行时不显示窗口
    第二行表示: 清除应用程序日志
    第三行表示: 清除安全日志
    第四行表示: 清除系统日志
    第五行表示: 删除 clearlogs.exe 这个工具
    第六行表示: 删除 c.bat 这个批处理文件
    第七行表示: 退出

    用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法
    AT 时间 c:c.bat

    cleaniis.exe

    工具:cleaniis.exe

    使用方法:

    1
    2
    3
    
    iisantidote <logfile dir> <ip or string to hide>
    iisantidote <logfile dir><ip or string to hide> stop
    stop opiton will stop iis before clearing the files and restart it after
    

    < logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
    使用方法解释:
    cleaniis.exe iis日志存放的路径 清除参数
    什么意思呢??我来给大家举个例子吧:
    cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
    这个表示清除log中所有此IP(192.168.0.1)地址的访问记录. —–推荐使用这种方法
    cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
    这个表示清除这个目录里面的所以的日志
    c:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变
    c:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变
    这个测试表示 在日志里面没有这个ip地址.
    我们看一下日志的路径 再来看一下
    我们的ip(192.168.0.1)已经没有了.
    已经全部清空. 同样这个也可以建立批处理. 方法同上面的那个

    清除历史记录及运行的日志

    cleaner.exe
    直接运行就可以了

    参考资料

    [1] 日志分析-1
    [2] 日志分析-2
    [3] 日志分析-3 对抗

    展开全文
  • windows系统安装ELK日志分析系统,主要包括elasticsearch,logstash,kibana,nssm,nxlog
  • Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到...
  • 系统基础知识:筛选Windows日志与借助Windows日志分析故障 我们最关心的事情,一定是我们Windows 7系统的安全,我们学习Windows事件查看器的最终目的,也是希望通过WIndows事件查看器更加了解我们的系统,保证系统...
  • windows系统日志分析

    千次阅读 2021-07-29 00:12:21
    一、Windows日志文件的保护日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。1. 修改日志文件存放目录Windows日志文件默认路径是“%systemroot%system32config...
  • Windows系统日志分析

    万次阅读 2021-07-30 22:37:28
    Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 Windows系统的日志分为三种 系统日志:System.evtx (系统组件等日志) 应用程序日志: Application.evtx (应用程序等日志) 安全日志:Security...
  • windows日志分析工具–WebLog Expert

    千次阅读 2019-09-18 08:45:47
    Weblogexpert是一个快速和强大的访问日志分析器。这会让你了解你的网站的访客:活动统计,访问的文件的路径,通过该网站,信息指页面,搜索引擎,浏览器,操作系统,和更多。该计划所产生的易于阅读的报告,包括文本...
  • 提供在windows系统下搭建ELK日志分析平台教程。资源来源于CSDN博客
  • Windows系统日志分析工具-- Log Parser

    千次阅读 2022-01-12 15:21:43
    对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)...
  • (转)日志对于操作系统来说其重要性时不言而喻的,一个优秀的nt网络的管理员,往往会定期的备份系统日志,以备查询服务器运行状况及系统安全状况。 如果利用系统日志的“另存为”功能手工备份,则比较麻烦,而且输出...
  • windows版Nginx日志分析工具2.1.0
  • windows日志审计

    2022-05-17 16:05:12
    分析windows日志,查看rdp、ipc等各种登录验证情况时主要分析的内容之一,下面图标中的内容是windows 日志中登录类型以及事件ID的代表含义代表的含义。 登录类型中较为重要的是网络、网络明文、以及远程交互三种类型...
  • 包括“Windows事件日志、服务器角色日志、FTP日志(21)、邮件日志服务等” 打开方式 文件打开 在C:\Windows\System32\winevt\Logs目录下存在诸多日志文件,安全日志为Security.evtx Windows 2000 / Server2003 /...
  • logparser使用介绍首先,让我们来看一下Logparser架构图,熟悉这张图,对于我们理解和使用Logparser是大有裨益的简而言之就是我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的...
  • Windows的事件日志都存放在 C:WindowsSystem32winevtLogs目录下。以evtx后缀结尾。事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件...
  • windows日志总结

    2022-06-09 18:22:27
    运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。...Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的
  •  Windows 中提供了 2 个分析事件日志的 PowerShell cmdlet:一个是Get-WinEvent,超级强大,但使用起来比较麻烦;另一个是Get-EventLog,使得起来相当简单,可以实时筛选,接下来,我们利用PowerShell 来自动筛选 ...
  • 基于windows环境搭建elk日志分析平台
  • Window日志分析
  • 为解决Windows日志的实时获取问题,针对2种日志文件格式,分别提出了相应的日志实时获取方法。在实时获取日志的基础上,提出了将日志文件与原子攻击功能关联的方法,将对日志文件的分析转换成对原子攻击功能的分析,...
  • Windows系统安全登录日志分析工具logonTracer汉化修正版 安装neo4j cd neo4j ./bin/neo4j start 下载logonTracer ##下载logontracer git clone https://github.com/TheKingOfDuck/logonTracer.git cd ...
  • 通过查看和分析Windows活动目录事件日志来调查恶意登录。LogonTracer使用PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。
  • 日志分析篇—Window日志分析 文章目录日志分析篇---Window日志分析一、Window事件日志简介1.系统日志2.应用程序日志3.安全日志二、 审核策略与事件查看器三、0x03 事件日志分析四、日志分析工具**1.Log Parser**2....
  • 1 Linux日志分析 日志是Linux 安全结构中的一个重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间...
  • Windows日志

    万次阅读 多人点赞 2019-05-29 16:29:26
    文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 144,054
精华内容 57,621
关键字:

windows日志怎么分析