精华内容
下载资源
问答
  • windows安全日志查询器功能:读取远程(或本地)日志里的安全事件,并储存在MYSQL数据库中。 windows安全日志查询器说明:包括服务端与客户端,服务端进行日志读取储存并清除日志;客户端查询日志内容 ; 在添加日志...
  • WINDOWS安全日志说明

    2010-04-30 11:05:37
    说明文档: WINDOWS安全日志说明,审核时经常用到。
  • Windows Server 2016-Windows安全日志ID汇总

    千次阅读 2019-03-04 21:39:10
    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ... 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4608 Windows正在启动 4609 ...

    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。

    ID安全事件信息
    1100事件记录服务已关闭
    1101审计事件已被运输中断。
    1102审核日志已清除
    1104安全日志现已满
    1105事件日志自动备份
    1108事件日志记录服务遇到错误
    4608Windows正在启动
    4609Windows正在关闭
    4610本地安全机构已加载身份验证包
    4611已向本地安全机构注册了受信任的登录进程
    4612为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
    4614安全帐户管理器已加载通知包。
    4615LPC端口使用无效
    4616系统时间已更改。
    4618已发生受监视的安全事件模式
    4621管理员从CrashOnAuditFail恢复了系统
    4622本地安全机构已加载安全包。
    4624帐户已成功登录
    4625帐户无法登录
    4626用户/设备声明信息
    4627集团会员信息。
    4634帐户已注销
    4646IKE
    DoS防护模式已启动
    4647用户启动了注销
    4648使用显式凭据尝试登录
    4649检测到重播攻击
    4650建立了IPsec主模式安全关联
    4651建立了IPsec主模式安全关联
    4652IPsec主模式协商失败
    4653IPsec主模式协商失败
    4654IPsec快速模式协商失败
    4655IPsec主模式安全关联已结束
    4656请求了对象的句柄
    4657注册表值已修改
    4658对象的句柄已关闭
    4659请求删除对象的句柄
    4660对象已删除
    4661请求了对象的句柄
    4662对对象执行了操作
    4663尝试访问对象
    4664试图创建一个硬链接
    4665尝试创建应用程序客户端上下文。
    4666应用程序尝试了一个操作
    4667应用程序客户端上下文已删除
    4668应用程序已初始化
    4670对象的权限已更改
    4671应用程序试图通过TBS访问被阻止的序号
    4672分配给新登录的特权
    4673特权服务被召唤
    4674尝试对特权对象执行操作
    4675SID被过滤掉了
    4688已经创建了一个新流程
    4689一个过程已经退出
    4690尝试复制对象的句柄
    4691请求间接访问对象
    4692尝试备份数据保护主密钥
    4693尝试恢复数据保护主密钥
    4694试图保护可审计的受保护数据
    4695尝试不受保护的可审计受保护数据
    4696主要令牌已分配给进程
    4697系统中安装了一项服务
    4698已创建计划任务
    4699计划任务已删除
    4700已启用计划任务
    4701计划任务已禁用
    4702计划任务已更新
    4703令牌权已经调整
    4704已分配用户权限
    4705用户权限已被删除
    4706为域创建了新的信任
    4707已删除对域的信任
    4709IPsec服务已启动
    4710IPsec服务已禁用
    4711PAStore引擎(1%)
    4712IPsec服务遇到了潜在的严重故障
    4713Kerberos策略已更改
    4714加密数据恢复策略已更改
    4715对象的审核策略(SACL)已更改
    4716可信域信息已被修改
    4717系统安全访问权限已授予帐户
    4718系统安全访问已从帐户中删除
    4719系统审核策略已更改
    4720已创建用户帐户
    4722用户帐户已启用
    4723尝试更改帐户的密码
    4724尝试重置帐户密码
    4725用户帐户已被禁用
    4726用户帐户已删除
    4727已创建启用安全性的全局组
    4728已将成员添加到启用安全性的全局组中
    4729成员已从启用安全性的全局组中删除
    4730已删除启用安全性的全局组
    4731已创建启用安全性的本地组
    4732已将成员添加到启用安全性的本地组
    4733成员已从启用安全性的本地组中删除
    4734已删除已启用安全性的本地组
    4735已启用安全性的本地组已更改
    4737启用安全性的全局组已更改
    4738用户帐户已更改
    4739域策略已更改
    4740用户帐户已被锁定
    4741已创建计算机帐户
    4742计算机帐户已更改
    4743计算机帐户已删除
    4744已创建禁用安全性的本地组
    4745已禁用安全性的本地组已更改
    4746已将成员添加到已禁用安全性的本地组
    4747已从安全性已禁用的本地组中删除成员
    4748已删除安全性已禁用的本地组
    4749已创建一个禁用安全性的全局组
    4750已禁用安全性的全局组已更改
    4751已将成员添加到已禁用安全性的全局组中
    4752成员已从禁用安全性的全局组中删除
    4753已删除安全性已禁用的全局组
    4754已创建启用安全性的通用组
    4755启用安全性的通用组已更改
    4756已将成员添加到启用安全性的通用组中
    4757成员已从启用安全性的通用组中删除
    4758已删除启用安全性的通用组
    4759创建了一个安全禁用的通用组
    4760安全性已禁用的通用组已更改
    4761已将成员添加到已禁用安全性的通用组中
    4762成员已从禁用安全性的通用组中删除
    4763已删除安全性已禁用的通用组
    4764组类型已更改
    4765SID历史记录已添加到帐户中
    4766尝试将SID历史记录添加到帐户失败
    4767用户帐户已解锁
    4768请求了Kerberos身份验证票证(TGT)
    4769请求了Kerberos服务票证
    4770更新了Kerberos服务票证
    4771Kerberos预身份验证失败
    4772Kerberos身份验证票证请求失败
    4773Kerberos服务票证请求失败
    4774已映射帐户以进行登录
    4775无法映射帐户以进行登录
    4776域控制器尝试验证帐户的凭据
    4777域控制器无法验证帐户的凭据
    4778会话重新连接到Window
    Station
    4779会话已与Window
    Station断开连接
    4780ACL是在作为管理员组成员的帐户上设置的
    4781帐户名称已更改
    4782密码哈希帐户被访问
    4783创建了一个基本应用程序组
    4784基本应用程序组已更改
    4785成员已添加到基本应用程序组
    4786成员已从基本应用程序组中删除
    4787非成员已添加到基本应用程序组
    4788从基本应用程序组中删除了非成员。
    4789基本应用程序组已删除
    4790已创建LDAP查询组
    4791基本应用程序组已更改
    4792LDAP查询组已删除
    4793密码策略检查API已被调用
    4794尝试设置目录服务还原模式管理员密码
    4797试图查询帐户是否存在空白密码
    4798枚举了用户的本地组成员身份。
    4799已枚举启用安全性的本地组成员身份
    4800工作站已锁定
    4801工作站已解锁
    4802屏幕保护程序被调用
    4803屏幕保护程序被解雇了
    4816RPC在解密传入消息时检测到完整性违规
    4817对象的审核设置已更改。
    4818建议的中央访问策略不授予与当前中央访问策略相同的访问权限
    4819计算机上的中央访问策略已更改
    4820Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
    4821Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
    4822NTLM身份验证失败,因为该帐户是受保护用户组的成员
    4823NTLM身份验证失败,因为需要访问控制限制
    4824使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员
    4825用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote
    Desktop Users组或Administrators组的成员时才允许用户进行连接
    4826加载引导配置数据
    4830SID历史记录已从帐户中删除
    4864检测到名称空间冲突
    4865添加了受信任的林信息条目
    4866已删除受信任的林信息条目
    4867已修改受信任的林信息条目
    4868证书管理器拒绝了挂起的证书请求
    4869证书服务收到重新提交的证书请求
    4870证书服务撤销了证书
    4871证书服务收到发布证书吊销列表(CRL)的请求
    4872证书服务发布证书吊销列表(CRL)
    4873证书申请延期已更改
    4874一个或多个证书请求属性已更改。
    4875证书服务收到关闭请求
    4876证书服务备份已启动
    4877证书服务备份已完成
    4878证书服务还原已开始
    4879证书服务恢复已完成
    4880证书服务已启动
    4881证书服务已停止
    4882证书服务的安全权限已更改
    4883证书服务检索到存档密钥
    4884证书服务将证书导入其数据库
    4885证书服务的审核筛选器已更改
    4886证书服务收到证书请求
    4887证书服务批准了证书请求并颁发了证书
    4888证书服务拒绝了证书请求
    4889证书服务将证书请求的状态设置为挂起
    4890证书服务的证书管理器设置已更改。
    4891证书服务中的配置条目已更改
    4892证书服务的属性已更改
    4893证书服务存档密钥
    4894证书服务导入并存档了一个密钥
    4895证书服务将CA证书发布到Active
    Directory域服务
    4896已从证书数据库中删除一行或多行
    4897启用角色分离
    4898证书服务加载了一个模板
    4899证书服务模板已更新
    4900证书服务模板安全性已更新
    4902已创建每用户审核策略表
    4904尝试注册安全事件源
    4905尝试取消注册安全事件源
    4906CrashOnAuditFail值已更改
    4907对象的审核设置已更改
    4908特殊组登录表已修改
    4909TBS的本地策略设置已更改
    4910TBS的组策略设置已更改
    4911对象的资源属性已更改
    4912每用户审核策略已更改
    4913对象的中央访问策略已更改
    4928建立了Active
    Directory副本源命名上下文
    4929已删除Active
    Directory副本源命名上下文
    4930已修改Active
    Directory副本源命名上下文
    4931已修改Active
    Directory副本目标命名上下文
    4932已开始同步Active
    Directory命名上下文的副本
    4933Active
    Directory命名上下文的副本的同步已结束
    4934已复制Active
    Directory对象的属性
    4935复制失败开始
    4936复制失败结束
    4937从副本中删除了一个延迟对象
    4944Windows防火墙启动时,以下策略处于活动状态
    4945Windows防火墙启动时列出了规则
    4946已对Windows防火墙例外列表进行了更改。增加了一条规则
    4947已对Windows防火墙例外列表进行了更改。规则被修改了
    4948已对Windows防火墙例外列表进行了更改。规则已删除
    4949Windows防火墙设置已恢复为默认值
    4950Windows防火墙设置已更改
    4951规则已被忽略,因为Windows防火墙无法识别其主要版本号
    4952已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号
    4953Windows防火墙已忽略规则,因为它无法解析规则
    4954Windows防火墙组策略设置已更改。已应用新设置
    4956Windows防火墙已更改活动配置文件
    4957Windows防火墙未应用以下规则
    4958Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目
    4960IPsec丢弃了未通过完整性检查的入站数据包
    4961IPsec丢弃了重放检查失败的入站数据包
    4962IPsec丢弃了重放检查失败的入站数据包
    4963IPsec丢弃了应该受到保护的入站明文数据包
    4964特殊组已分配给新登录
    4965IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。
    4976在主模式协商期间,IPsec收到无效的协商数据包。
    4977在快速模式协商期间,IPsec收到无效的协商数据包。
    4978在扩展模式协商期间,IPsec收到无效的协商数据包。
    4979建立了IPsec主模式和扩展模式安全关联。
    4980建立了IPsec主模式和扩展模式安全关联
    4981建立了IPsec主模式和扩展模式安全关联
    4982建立了IPsec主模式和扩展模式安全关联
    4983IPsec扩展模式协商失败
    4984IPsec扩展模式协商失败
    4985交易状态已发生变化
    5024Windows防火墙服务已成功启动
    5025Windows防火墙服务已停止
    5027Windows防火墙服务无法从本地存储中检索安全策略
    5028Windows防火墙服务无法解析新的安全策略。
    5029Windows防火墙服务无法初始化驱动程序
    5030Windows防火墙服务无法启动
    5031Windows防火墙服务阻止应用程序接受网络上的传入连接。
    5032Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
    5033Windows防火墙驱动程序已成功启动
    5034Windows防火墙驱动程序已停止
    5035Windows防火墙驱动程序无法启动
    5037Windows防火墙驱动程序检测到严重的运行时错 终止
    5038代码完整性确定文件的图像哈希无效
    5039注册表项已虚拟化。
    5040已对IPsec设置进行了更改。添加了身份验证集。
    5041已对IPsec设置进行了更改。身份验证集已修改
    5042已对IPsec设置进行了更改。身份验证集已删除
    5043已对IPsec设置进行了更改。添加了连接安全规则
    5044已对IPsec设置进行了更改。连接安全规则已修改
    5045已对IPsec设置进行了更改。连接安全规则已删除
    5046已对IPsec设置进行了更改。添加了加密集
    5047已对IPsec设置进行了更改。加密集已被修改
    5048已对IPsec设置进行了更改。加密集已删除
    5049IPsec安全关联已删除
    5050尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE
    5051文件已虚拟化
    5056进行了密码自检
    5057加密原语操作失败
    5058密钥文件操作
    5059密钥迁移操作
    5060验证操作失败
    5061加密操作
    5062进行了内核模式加密自检
    5063尝试了加密提供程序操作
    5064尝试了加密上下文操作
    5065尝试了加密上下文修改
    5066尝试了加密功能操作
    5067尝试了加密功能修改
    5068尝试了加密函数提供程序操作
    5069尝试了加密函数属性操作
    5070尝试了加密函数属性操作
    5071Microsoft密钥分发服务拒绝密钥访问
    5120OCSP响应程序服务已启动
    5121OCSP响应程序服务已停止
    5122OCSP响应程序服务中的配置条目已更改
    5123OCSP响应程序服务中的配置条目已更改
    5124在OCSP
    Responder Service上更新了安全设置
    5125请求已提交给OCSP
    Responder Service
    5126签名证书由OCSP
    Responder Service自动更新
    5127OCSP吊销提供商成功更新了吊销信息
    5136目录服务对象已修改
    5137已创建目录服务对象
    5138目录服务对象已取消删除
    5139已移动目录服务对象
    5140访问了网络共享对象
    5141目录服务对象已删除
    5142添加了网络共享对象。
    5143网络共享对象已被修改
    5144网络共享对象已删除。
    5145检查网络共享对象以查看是否可以向客户端授予所需的访问权限
    5146Windows筛选平台已阻止数据包
    5147限制性更强的Windows筛选平台筛选器阻止了数据包
    5148Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
    5149DoS攻击已经消退,正常处理正在恢复。
    5150Windows筛选平台已阻止数据包。
    5151限制性更强的Windows筛选平台筛选器阻止了数据包。
    5152Windows筛选平台阻止了数据包
    5153限制性更强的Windows筛选平台筛选器阻止了数据包
    5154Windows过滤平台允许应用程序或服务在端口上侦听传入连接
    5155Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
    5156Windows筛选平台允许连接
    5157Windows筛选平台已阻止连接
    5158Windows筛选平台允许绑定到本地端口
    5159Windows筛选平台已阻止绑定到本地端口
    5168SMB
    / SMB2的Spn检查失败。
    5169目录服务对象已修改
    5170在后台清理任务期间修改了目录服务对象
    5376已备份凭据管理器凭据
    5377Credential
    Manager凭据已从备份还原
    5378策略不允许请求的凭据委派
    5440Windows筛选平台基本筛选引擎启动时出现以下callout
    5441Windows筛选平台基本筛选引擎启动时存在以下筛选器
    5442Windows筛选平台基本筛选引擎启动时,存在以下提供程序
    5443Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文
    5444Windows筛选平台基本筛选引擎启动时,存在以下子层
    5446Windows筛选平台标注已更改
    5447Windows筛选平台筛选器已更改
    5448Windows筛选平台提供程序已更改
    5449Windows筛选平台提供程序上下文已更改
    5450Windows筛选平台子层已更改
    5451建立了IPsec快速模式安全关联
    5452IPsec快速模式安全关联已结束
    5453与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP
    IPsec密钥模块(IKEEXT)服务
    5456PAStore引擎在计算机上应用了Active
    Directory存储IPsec策略
    5457PAStore引擎无法在计算机上应用Active
    Directory存储IPsec策略
    5458PAStore引擎在计算机上应用了Active
    Directory存储IPsec策略的本地缓存副本
    5459PAStore引擎无法在计算机上应用Active
    Directory存储IPsec策略的本地缓存副本
    5460PAStore引擎在计算机上应用了本地注册表存储IPsec策略
    5461PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
    5462PAStore引擎无法在计算机上应用某些活动IPsec策略规则
    5463PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
    5464PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
    5465PAStore
    Engine收到强制重新加载IPsec策略的控件并成功处理控件
    5466PAStore引擎轮询Active
    Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory
    IPsec策略的缓存副本
    5467PAStore引擎轮询Active
    Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改
    5468PAStore引擎轮询Active
    Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改
    5471PAStore引擎在计算机上加载了本地存储IPsec策略
    5472PAStore引擎无法在计算机上加载本地存储IPsec策略
    5473PAStore引擎在计算机上加载了目录存储IPsec策略
    5474PAStore引擎无法在计算机上加载目录存储IPsec策略
    5477PAStore引擎无法添加快速模式过滤器
    5478IPsec服务已成功启动
    5479IPsec服务已成功关闭
    5480IPsec服务无法获取计算机上的完整网络接口列表
    5483IPsec服务无法初始化RPC服务器。无法启动IPsec服务
    5484IPsec服务遇到严重故障并已关闭
    5485IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
    5632已请求对无线网络进行身份验证
    5633已请求对有线网络进行身份验证
    5712尝试了远程过程调用(RPC)
    5888COM
    +目录中的对象已被修改
    5889从COM
    +目录中删除了一个对象
    5890一个对象已添加到COM
    +目录中
    6144组策略对象中的安全策略已成功应用
    6145处理组策略对象中的安全策略时发生一个或多个错误
    6272网络策略服务器授予用户访问权限
    6273网络策略服务器拒绝访问用户
    6274网络策略服务器放弃了对用户的请求
    6275网络策略服务器放弃了用户的记帐请求
    6276网络策略服务器隔离了用户
    6277网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期
    6278网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
    6279由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户
    6280网络策略服务器解锁了用户帐户
    6281代码完整性确定图像文件的页面哈希值无效...
    6400BranchCache:在发现内容可用性时收到格式错误的响应。
    6401BranchCache:从对等方收到无效数据。数据被丢弃。
    6402BranchCache:提供数据的托管缓存的消息格式不正确。
    6403BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。
    6404BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。
    6405BranchCache:发生了事件ID%1的%2个实例。
    6406%1注册到Windows防火墙以控制以下过滤:
    64071%
    6408已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
    6409BranchCache:无法解析服务连接点对象
    6410代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
    6416系统识别出新的外部设备。
    6417FIPS模式加密自检成功
    6418FIPS模式加密自检失败
    6419发出了禁用设备的请求
    6420设备已禁用
    6421已发出请求以启用设备
    6422设备已启用
    6423系统策略禁止安装此设备
    6424在事先被政策禁止之后,允许安装此设备
    8191最高系统定义的审计消息值
    展开全文
  • Windows安全日志事件

    千次阅读 2018-07-04 19:14:16
    每一个失败的尝试登录本地计算机无论登录类型 ...Windows 和不是一个风险 0 xc000015b 没有被授予该用户请求登录类型 ( 又名登录正确的 ) 在这台机器 0 xc000006d 似乎是由于系统问题和不安全

    每一个失败的尝试登录本地计算机无论登录类型,用户的位置或类型的帐户。

    主题:

    标识要求的账户登录的用户,而不是只是尝试登录。主题通常是Null或服务主体之一,通常不会有用的信息。看到刚刚loffed新登录到系统中。

    登录类型:

    这是一个有价值的信息,因为它告诉你用户登录:

    登录类型

    描述

    2

    互动(键盘和屏幕的登录系统)

    3

    网络(即连接到共享文件夹从其他地方在这台电脑上网络)

    4

    批处理(即计划任务)

    5

    服务(服务启动)

    7

    解锁密码保护屏幕保护程序(unnattended工作站)

    8

    NetworkCleartext(登录凭据发送明文。通常表示与基本身份验证登录到IIS)

    9

    NewCredentialsRunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件。

    10

    RemoteInteractive(终端服务,远程桌面或远程协助)

    11

    CachedInteractive(与缓存域登录凭证时登录一台笔记本电脑等远离网络)

    登录失败:

    这个标识的用户试图登录,但都以失败告终。

    ·        安全ID:SID试图登录的帐户。这个空白或NULL SID如果没有确定一个有效的账户——例如,指定的用户名不对应一个有效帐号登录名称。

    ·        帐户名称:中指定的账户登录名登录尝试。

    ·        帐户域:域或——本地账户的情况——计算机名称。

    故障信息:
    部分解释了为什么登录失败。

    ·        失败原因:文本的解释登录失败。

    ·        地位和子状态:十六进制代码解释登录失败的原因。有时子状态是,有时不是。下面是我们发现的代码。

    地位和子状态码

    描述(不针对失败的原因:“检查)

    0 xc0000064

    用户名不存在

    0 xc000006a

    用户名是正确的,但密码是错误的

    0 xc0000234

    用户当前锁定

    0 xc0000072

    帐户目前禁用

    0 xc000006f

    用户试图登录天的外周或时间限制

    0 xc0000070

    工作站的限制

    0 xc0000193

    帐号过期

    0 xc0000071

    过期的密码

    0 xc0000133

    时钟之间的直流和其他电脑太不同步

    0 xc0000224

    在下次登录用户需要更改密码

    0 xc0000225

    显然一个缺陷在Windows和不是一个风险

    0 xc000015b

    没有被授予该用户请求登录类型(又名登录正确的)在这台机器

    0 xc000006d

    似乎是由于系统问题和不安全。

    展开全文
  • 最近偶然发现Windows安全日志(Win10_64位)中有大量的网络登录失败记录(事件ID为4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络已经不安全了,只能自己想办法尽量保护好自己电脑。 尝试操作1:禁用...

    最近偶然发现Windows安全日志(Win10_64位)中有大量的网络登录失败记录(事件ID为4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络已经不安全了,只能自己想办法尽量保护好自己电脑。

    尝试操作1:禁用Server服务,在“网络和共享中心”中,关闭所有共享----->无效。

    尝试操作2:编写一个powershell脚本,用来阻止外网IP----->这个不治本。

    $arrayT1=New-Object 'string[,]' 1,1;
    $arrayList=New-Object System.Collections.ArrayList;
    $arrayList.Clear();
    $stream=Get-EventLog -LogName Security -InstanceID 4625 | Select-Object -Property * | Out-String -Stream
    [regex]::matches($stream, '(\d+\.){3}\d+') | %{
        $count=$arrayList.Count;
        if ($count -ge 1) {
            $b=0;
            for ($i=0;$i -lt $count;$i++) {
                if ($arrayList[$i][0] -eq [string]$_.Value) {
                    $arrayList[$i][1]+=1;
                    break;
                }
                else {
                      $b=$i+1;
                }
            }
            if ($b -eq $count) {
                $arrayT1=($_.Value,1); 
                $arrayList.add($arrayT1);
            }
        }
        else {
            $arrayT1=($_.Value,1);
            $arrayList.add($arrayT1);
        }
    } | Out-Null;
    $count1=$arrayList.Count;
    $array1=New-Object 'string[]' $count1;
    for ($i=0;$i -lt $count1;$i++) {
        $int1=0;
        $int2=1;
        for ($j=0;$j -lt $arrayList.Count;$j++){
            if ($arrayList[$j][1] -gt $int2) {
                $int2=$arrayList[$j][1];
                $int1=$j;
            }
        }
        $str1="";
        $c=16 - [string]$arrayList[$int1][0].length;
        for ($k=0;$k -lt $c;$k++) {
            $str1=$str1 + " ";
        }
        $array1[$i]=$arrayList[$int1][0] + $str1 + "---> " + $arrayList[$int1][1];
        $str2="ForbiddenIP:" + $arrayList[$int1][0];
        New-NetFirewallRule -DisplayName $str2 -Direction Inbound -Action Block -RemoteAddress $arrayList[$int1][0] | Out-Null;
        $arrayList.Remove($arrayList[$int1]);
    }
    "Total:" + $count1;
    $array1;

    尝试操作3:禁用3389,445,23号端口---->亲测有效!

    (不过电脑仍然还有很多事件ID4624,4627,4672,4688,4720,4724,4726,4728,4729,4797,4799,5379生成;这个怀疑是域环境下的网络异常问题,又不能脱域,先不管了.......)

     

    转载于:https://www.cnblogs.com/Mst5u/p/11163304.html

    展开全文
  • AD server的安全日志增长很快,于是写了段vbs脚本做备份strComputer = "."targetLogs="security" '可用值为 application,system,securityBackupDest...

    AD server的安全日志增长很快,于是写了段vbs脚本做备份

    strComputer = "."
    targetLogs="security" '可用值为 application,system,security
    BackupDest="d:event_log"&date&""
    filename=BackupDest&targetLogs&CStr(date)&" "&replace(time,":","")&".evt"

    Set ofso = wscript.CreateObject("Scripting.FileSystemObject")
    if not ofso.FolderExists(BackupDest) then
    Set f = ofso.CreateFolder(date) '创建文件夹
    end if

    Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate,(Backup)}!" & _
    strComputer & "rootcimv2") '获得 VMI对象
    Set colLogFiles = objWMIService.ExecQuery _
    ("Select * from Win32_NTEventLogFile where LogFileName='"&targetLogs&"'")
    For Each objLogfile in colLogFiles
    errBackupLog = objLogFile.BackupEventLog(filename) '将日志备份
    objLogFile.ClearEventLog() '将日志清空
    If errBackupLog <> 0 Then
    'Wscript.Echo "The event log could not be backed up."
    else 'Wscript.Echo "success backup log"
    End If
    Next


    来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/1698901/viewspace-103235/,如需转载,请注明出处,否则将追究法律责任。

    转载于:http://blog.itpub.net/1698901/viewspace-103235/

    展开全文
  • windows安全日志分析之logparser篇

    千次阅读 2018-03-08 10:58:34
    封停 · 2015/07/29 10:270x01 前言工作过程中,尤其是应急的时候,碰到客户windows域控被入侵的相关安全事件时,往往会需要分析windows安全日志,此类日志往往非常的大;此时,高效分析windows安全日志,提取出我们...
  • window 安全日志分析 今日服务器遭受入侵入侵路径回溯被入侵服务器->跳板机->办公网某主机因此整理 记录 windows 被入侵相关信息本文只研究 windows 安全登录相关日志介绍三种事件类 型登录注销尝试登陆通过此日志可...
  • 详细讲解windows安全日志事件ID4625错误
  • 原文地址: ...depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearn
  • windows系统日志自动备份工具加文档
  • 一、域控windows安全日志基本操作 1、打开powershell或者cmd 1 #gpedit.msc 打开配置: 关于账户安全性的策略配置在账户配置哪里 2、打开控制面板->系统与安全->事件查看器->windows日志->...
  • 本文件描述 N-Reporter使用者如何Open Source工具 NXLOG管理配置 Windows Server2003/2008/2012的日志 (Eventlog),将事件 (Event)转成 syslog
  • 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗
  • windows安全日志-登陆类型

    千次阅读 2013-06-09 10:27:48
    Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑...
  • windows日志安全 实验目的: (1)了解windows日志的重要性。 (2)进行基本的windows日志设置,管理删除windows日志
  • windows日志和审核

    千次阅读 2019-12-05 23:43:40
    windows事件日志简介 Windows事件日志记录着 Windows系统中发生...Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件1D...
  • Windows安全加固系列---日志配置操作

    千次阅读 2019-06-24 16:45:26
    此文章是关于Windows安全加固中对日志加固的配置与操作 1 审核登录 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 检测...
  • Windows日志

    千次阅读 多人点赞 2019-05-29 16:29:26
    文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和...
  • Windows登录类型及安全日志解析

    千次阅读 2019-11-14 19:19:57
    Windows登录类型及安全日志解析 一、Windows登录类型 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型...
  • 一.前言 LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的...(用于可视化分析恶意登录Windows系统的安全日志取证工具,以加强Windows系统服务器的安全。) 相关事件ID: 4624:成功登...
  • 通过批处理查询当前3389端口筛选内容到文本,再通过任务计划通过事件触发马上执行,每台服务器都会产生一个ip独立的文件,代码包含登录和退出的登记,贼好用
  • (转)日志对于操作系统来说其重要性时不言而喻的,一个优秀的nt网络的管理员,往往会定期的备份系统日志,以备查询服务器运行状况及系统安全状况。 如果利用系统日志的“另存为”功能手工备份,则比较麻烦,而且输出...
  • Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 ...Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 Windows系统组件产生的事件,主要包括...
  • windows系统日志备份脚本

    热门讨论 2011-03-30 13:58:30
    用来将系统日志剪切至其他位置保存,可以在每天产生大量日志的服务器上应用,因为windows本身的日志是有上限的,好像是几百兆吧,用这个备份就不怕日志满了
  • 一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close...
  • Windows系统日志收集

    千次阅读 2019-08-29 15:24:46
    方案 采用nxlog+fluentd+elasticsearch组件。nxlog 是用 C 语言写的一...nxlog负责收集Windows系统日志,并将日志传给fluentd,fluentd将这些日志信息抛给elasticsearch。fluentd官方文档Collecting Log Data from ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 153,053
精华内容 61,221
关键字:

windows安全日志