精华内容
下载资源
问答
  • Windows安全日志

    2019-10-03 19:02:26
    在运行中输入:eventvwr.msc,即可打开事件日志。 登录类型 描述 2 互动(键盘和屏幕的登录系统) 3 网络(即连接到共享文件夹从其他地方在这台电脑上网络) 4 批处理(即计划任务) ...

    在运行中输入:eventvwr.msc,即可打开事件日志。

    登录类型 描述
    2 互动(键盘和屏幕的登录系统)
    3 网络(即连接到共享文件夹从其他地方在这台电脑上网络)
    4 批处理(即计划任务)
    5 服务(服务启动 )
    7 解锁密码保护屏幕保护程序(即unnattended工作站)
    8 NetworkCleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到IIS)
    9 NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件
    10   终端服务,远程桌面或远程协助
    11 Cachedinteractive(与缓存域登录凭证时登录一台笔记本电脑等远程网络

     

     

     

     

     

     

     

     

     

    常见的Windows事件ID说明

    Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下举出的事件ID的操纵系统为Vista/win7/win8/win10/server2008/server2012之后的版本

    事件ID 说明
    1102 清理审计日志
    4624 账号成功登陆
    4625 账号登录失败
    4768 kerberos身份验证(TGT请求)
    4769 kerberos服务票证请求
    4776 NTLM身份验证
    4720 创建用户
    4726 删除用户
    4728 将成员添加到启用安全的全局组中
    4729 将成员从安全的全剧组中移除
    4732 将成员添加到启用安全的本地组中
    4733 将成员从启用安全的本地组中移除
    4756 将成员添加到启用安全的通用组中
    4757 将成员从启用安全的通用组中移除
    4719 系统审计策略修改

    转载于:https://www.cnblogs.com/leeqizhi/p/11469508.html

    展开全文
  • windows安全日志查询器功能:读取远程(或本地)日志里的安全事件,并储存在MYSQL数据库中。 windows安全日志查询器说明:包括服务端与客户端,服务端进行日志读取储存并清除日志;客户端查询日志内容 ; 在添加日志...
  • @Sqlserver 服务器审核日志写入windows安全日志 本次仅以SSMS演示 1.打开ssms,连接上sqlserver,在安全-审核,右键新增审核 2.自动会生成审核名称,选择审核日志失败类型-continue,审核日志目的地选择-安全日志,...

    @Sqlserver 服务器审核日志写入windows安全日志
    本次仅以SSMS演示

    1.打开ssms,连接上sqlserver,在安全-审核,右键新增审核
    在这里插入图片描述

    2.自动会生成审核名称,选择审核日志失败类型-continue,审核日志目的地选择-安全日志,点击ok,生成审核
    在这里插入图片描述

    3.在安全-服务审核规范,右键新增审核规范
    在这里插入图片描述

    4.审核规范会自动生成,下拉框选择对应审核,审核类型中选择需要审核的操作
    在这里插入图片描述

    5.审核规范默认关闭的,在生成的审核规范右键开启规范。
    在这里插入图片描述

    6.开启审核报如下错误
    在这里插入图片描述

    在ssms管理-server log中可见如下报错,当前登录当户没有权限访问windows安全日志
    在这里插入图片描述

    7.开启域账户访问windows安全日志权限,执行以下操作
    Sqlserver 配置管理中查看当前sqlsever的域账户名称
    在这里插入图片描述

    将域账户加入安全审核组
    在这里插入图片描述

    设置审核对象访问
    在这里插入图片描述

    最后重启sqlsever服务,就可以右键启动sqlsever审核。
    在这里插入图片描述

    8在windows安全日志就可以查看审核日志 ,在事件查看-windows logs - sercurity
    在这里插入图片描述

    参考文档:
    https://docs.microsoft.com/en-us/sql/relational-databases/security/auditing/create-a-server-audit-and-server-audit-specification?view=sql-server-ver15

    展开全文
  • window 安全日志分析 今日服务器遭受入侵入侵路径回溯被入侵服务器->跳板机->办公网某主机因此整理 记录 windows 被入侵相关信息本文只研究 windows 安全登录相关日志介绍三种事件类 型登录注销尝试登陆通过此日志可...
  • 封停 · 2015/07/29 10:270x01 前言工作过程中,尤其是应急的时候,碰到客户windows域控被入侵的相关安全事件时,往往会需要分析windows安全日志,此类日志往往非常的大;此时,高效分析windows安全日志,提取出我们...

    封停 · 2015/07/29 10:27

    0x01 前言


    工作过程中,尤其是应急的时候,碰到客户windows域控被入侵的相关安全事件时,往往会需要分析windows安全日志,此类日志往往非常的大;此时,高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键,这里给大家推荐一款我常用的windows日志分析工具,logparser,目前版本是2.2。

    0x02 logparser使用介绍


    首先,让我们来看一下Logparser架构图,熟悉这张图,对于我们理解和使用Logparser是大有裨益的

    简而言之就是我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的格式。

    1、输入源

    从这里可以看出它的基本处理逻辑,首先是输入源是某一种固定的格式,比如EVT(事件),Registry(注册表)等,对于每一种输入源,它所涵盖的字段值是固定的,可以使用logparser –h –i:EVT查出(这里以EVT为例):

    这里是一些可选参数,在进行查询的时候,可对查询结果进行控制,不过我们需要重点关注的是某一类日志结构里含有的字段值(在SQL查询中匹配特定的段):

    对于每一类字段值的详细意义,我们可以参照logparser的自带文档的参考部分,这里以EVT(事件)为例:

    2、输出源 输出可以是多种格式,比如文本(CSV等)或者写入数据库,形成图表,根据自己的需求,形成自定的文件(使用TPL)等,比较自由

    0x03 基本查询结构


    了解了输入和输出源,我们来看一则基本的查询结构

    Logparser.exe –i:EVT –o:DATAGRID “SELECT * FROM E:\logparser\xx.evtx”
    复制代码

    这是一则基本的查询,输入格式是EVT(事件),输出格式是DATAGRID(网格),然后是SQL语句,查询E:\logparser\xx.evtx的所有字段,结果呈现为网格的形式:

    看到这里,想必你已经明白了,对于windows的安全日志分析,我们只需要取出关键进行判断或者比对,就可以从庞大的windows安全日志中提取出我们想要的信息。

    0x04 windows安全日志分析


    对于windows安全日志分析,我们可以根据自己的分析需要,取出自己关心的值,然后进行统计、匹配、比对,以此有效获取信息,这里通过windows安全日志的EVENT ID迅速取出我们关心的信息,不同的EVENT ID代表了不同的意义,这些我们可以在网上很容易查到,这里列举一些我们平常会用到的

    Event任务类别解释
    ID
    540登陆/注销Event 540 gets logged when a user elsewhere on the network connects to a resource (e.g. shared folder) provided by the Server service on this computer. The Logon Type will always be 3 or 8, both of which indicate a network logon.
    538登陆/注销Ostensibly, event 538 is logged whenever a user logs off, whether from a network connection, interactive logon, or other logon type
    For network connections (such as to a file server), it will appear that users log on and off many times a day. This phenomenon is caused by the way the Server service terminates idle connections.
    528![enter image description here][6]
    675账户登陆When a user attempts to log on at a workstation and uses a valid domain account name but enters a bad password, the DC records event ID 675 (pre-authentication failed) with Failure Code 24. By reviewing each of your DC Security logs for this event and failure code, you can track every domain logon attempt that failed as a result of a bad password. In addition to providing the username and domain name, the event provides the IP address of the system from which the logon attempt originated.

    有了这些我们就可以对windows日志进行分析了 比如我们分析域控日志的时候,想要查询账户登陆过程中,用户正确,密码错误的情况,我们需要统计出源IP,时间,用户名时,我们可以这么写(当然也可以结合一些统计函数,分组统计等等):

    LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"
    复制代码

    查询结果如下:

    如果需要对于特定IP进行统计,我们可以这么写(默认是NAT输出):

    LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client\_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675 AND EXTRACT\_TOKEN(Strings,5,'|')='x.x.x.x'"
    复制代码

    或者将查询保存为sql的格式:

    SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS UserName,EXTRACT\_TOKEN(Strings,1,'|') AS Domain ,EXTRACT\_TOKEN(Strings,13,'|') AS SouceIP,EXTRACT\_TOKEN(Strings,14,'|') AS SourcePort FROM 'E:\logparser\xx.evtx' WHERE EXTRACT_TOKEN(Strings,13,'|') ='%ip%'
    复制代码

    然后在使用的时候进行调用

    logparser.exe file:e:\logparser\ipCheck.sql?ip=x.x.x.x –i:EVT –o:NAT
    复制代码

    查询结果为:

    怎么样?是不是一目了然呢?根据特定登陆事件,直接定位到异常IP,异常时间段内的连接情况。

    同样我们也可以选择其他输出格式,对日志分析和统计。上述所有操作都是在命令行下完成的,对于喜欢图形界面的朋友,We also have choices!这里我们可以选择使用LogParser Lizard。 对于GUI环境的Log Parser Lizard,其特点是比较易于使用,甚至不需要记忆繁琐的命令,只需要做好设置,写好基本的SQL语句,就可以直观的得到结果,这里给大家简单展示一下 首先选取查询类型

    这里我们选择windows event log,然后输入刚才的查询语句: 比如:

    SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client\_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675 AND EXTRACT\_TOKEN(Strings,5,'|')='x.x.x.x'
    复制代码

    得到的查询结果为(并且这里我们可以有多种查询格式):

    具体其他功能,大家可以去尝试一下~

    0x05 总结


    这里简单和大家介绍了在windows安全日志分析方面logparser的一些使用样例,logparser的功能很强大,可进行多种日志的分析,结合商业版的Logparser Lizard,你可以定制出很多漂亮的报表展现,图形统计等,至于其他的功能,留给大家去探索吧~

    展开全文
  • windows安全日志idThere is no doubt that valid Product Keys are a valuable commodity and need to be carefully guarded from theft. With that in mind, why is the Product ID so visible to one and all? ...
    windows安全日志id

    windows安全日志id

    is-it-safe-for-everyone-to-be-able-to-see-my-windows-product-id-00

    There is no doubt that valid Product Keys are a valuable commodity and need to be carefully guarded from theft. With that in mind, why is the Product ID so visible to one and all? Does this put your Product Key at risk? Today’s SuperUser Q&A post has the answers to a worried reader’s questions.

    毫无疑问,有效的产品密钥是有价值的商品,需要小心防止盗窃。 考虑到这一点,为什么产品ID对所有人如此可见? 这会使您的产品密钥面临风险吗? 今天的“超级用户问答”帖子为读者提供了一个令人担忧的问题的答案。

    Today’s Question & Answer session comes to us courtesy of SuperUser—a subdivision of Stack Exchange, a community-driven grouping of Q&A web sites.

    今天的“问答”环节由SuperUser提供,它是Stack Exchange的一个分支,该社区是由社区驱动的Q&A网站分组。

    问题 (The Question)

    SuperUser reader user3486470 wants to know if the ability for everyone to see the Windows Product ID on his computer is a cause for concern or not:

    SuperUser阅读器user3486470想知道是否每个人都可以在其计算机上查看Windows产品ID:

    Is it a cause for concern that everyone can see the Windows Product ID on my computer? What is my Product Key given the Product ID shown on my computer?

    每个人都可以在我的计算机上看到Windows产品ID吗? 给定计算机上显示的产品ID,我的产品密钥是什么?

    is-it-safe-for-everyone-to-be-able-to-see-my-windows-product-id-01

    Should user3486470 be concerned that everyone can see the Windows Product ID on his computer?

    用户3486470是否应该担心每个人都可以在他的计算机上看到Windows产品ID?

    答案 (The Answer)

    SuperUser contributors Mike and Raystafarian have the answer for us. First up, Mike:

    超级用户贡献者Mike和Raystafarian为我们找到了答案。 首先,迈克:

    Product IDs and Product Keys are two different things and they have nothing to do with each other. Product IDs are created upon Windows installation and are used for technical support purposes only. The Product ID has absolutely no similarity with the Product Key used for activation.

    产品ID和产品密钥是两个不同的事物,它们彼此无关。 产品ID是在Windows安装时创建的,仅用于技术支持目的。 产品ID与用于激活的产品密钥绝对没有相似之处。

    You cannot determine the Product Key if you know Product ID, and yes, it is safe for other people to see it.

    如果您知道产品ID,就无法确定产品密钥,是的,其他人可以安全地看到它。

    Followed by the answer from Raystafarian:

    随后是Raystafarian的回答:

    The simple answer is that these are two distinctly different things. This Microsoft KB article describes what is happening:

    简单的答案是,这是两个截然不同的事物。 此Microsoft KB文章描述了正在发生的事情:

    • A PID (Product ID) is created after a product is successfully installed. PIDs are used by Microsoft Customer Service to help identify the product when customers engage Microsoft for support. A Product Key is a unique combination of numbers and letters that is used during Microsoft software installation to unlock or open the product. If you do not enter the Product Key when you are prompted during the installation, the product may not open until you enter the product key.

      成功安装产品后,将创建一个PID(产品ID)。 客户邀请Microsoft寻求支持时,Microsoft客户服务部门使用PID来帮助识别产品。 产品密钥是数字和字母的唯一组合,用于在Microsoft软件安装过程中解锁或打开产品。 如果在安装过程中出现提示时未输入产品密钥,则在您输入产品密钥之前,产品可能不会打开。

    Essentially, the Product ID can be tied to hardware, whereas a Product Key is tied to software. It is important to note that Product IDs are not only used for PCs with Windows installed on them but also for mobile devices, gaming consoles, peripherals, etc.

    本质上,产品ID可以绑定到硬件,而产品密钥可以绑定到软件。 重要的是要注意,产品ID不仅用于安装了Windows的PC,而且还用于移动设备,游戏机,外围设备等。



    Have something to add to the explanation? Sound off in the comments. Want to read more answers from other tech-savvy Stack Exchange users? Check out the full discussion thread here.

    有什么补充说明吗? 在评论中听起来不错。 是否想从其他精通Stack Exchange的用户那里获得更多答案? 在此处查看完整的讨论线程

    翻译自: https://www.howtogeek.com/211664/is-it-safe-for-everyone-to-be-able-to-see-my-windows-product-id/

    windows安全日志id

    展开全文
  • Windows Server 2016-Windows安全日志ID汇总

    千次阅读 2019-03-04 21:39:10
    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ... 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4608 Windows正在启动 4609 ...
  • 最近偶然发现Windows安全日志(Win10_64位)中有大量的网络登录失败记录(事件ID为4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络已经不安全了,只能自己想办法尽量保护好自己电脑。 尝试操作1:禁用...
  • Windows安全日志事件

    千次阅读 2018-07-04 19:14:16
    每一个失败的尝试登录本地计算机无论登录类型 ...Windows 和不是一个风险 0 xc000015b 没有被授予该用户请求登录类型 ( 又名登录正确的 ) 在这台机器 0 xc000006d 似乎是由于系统问题和不安全
  • 一、域控windows安全日志基本操作 1、打开powershell或者cmd 1 #gpedit.msc 打开配置: 关于账户安全性的策略配置在账户配置哪里 2、打开控制面板->系统与安全->事件查看器->windows日志->...
  • AD server的安全日志增长很快,于是写了段vbs脚本做备份strComputer = "."targetLogs="security" '可用值为 application,system,securityBackupDest...
  • windows安全日志-登陆类型

    千次阅读 2013-06-09 10:27:48
    Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑...
  • 把系统的安全日志导出来了,其他的都知道,就是这一项,不知道指的什么意思 筛选器信息: 筛选器运行时ID: 层名称: 曾运行时ID:
  • blog又被script挂马了,郁闷 查看系统日志,IUSER-账户有登陆记录,并且登录类型为8 登录过程为Advapi ,身份验证数据包:... 特意搜索windows登录类型总结: 登录类型2:交互式登录(Interactive)  这应...
  •  Android, Windows Phone, Surface) or Apple OS application using ActiveSync to connect to Exchange but having wrong credentials. It could also be an Outlook Web App session ...
  • 原文地址: ...depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearn
  • windows系统安全日志取证工具

    千次阅读 2019-04-11 21:54:00
    windows系统安全日志取证工具 0x01 关于日志 ...传统的查看Windows安全日志方法是通过系统自带的“事件查看器” 操作方法如下: 1、右键“我的电脑”,选择管理,打开“事件查看器”; 或者按下Win...
  • 0x02 查看日志传统的查看Windows安全日志方法是通过系统自带的“事件查看器”。操作方法如下:1、右键“我的电脑”,选择管理,打开“事件查看器”;或者按下Windows键+R的组合键,在运行窗口中输入“event...
  • 除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。本文将介绍windows的日志类型、存放位置、检索方案以及方便检索...
  • 如何安全管理windows系统日志windows系统日志的报表和告警  无论大小,每个拥有IT基础设施的组织都容易发生内部安全攻击。您的损失等同于黑客的收益:访问机密数据、滥用检索到的信息、系统崩溃,以及其他等等。...
  • 除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。本文将介绍windows的日志类型、存放位置、检索方案以及方便检索...
  • 详解Windows Server 2008安全日志

    千次阅读 2014-04-29 22:52:22
    大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。这样的设置有利也有弊,弊的方面在于,除非用户强迫计算机开始日志记录安全事件,否则根本无法进行任何...
  • Windows清除安全日志

    2012-09-20 11:26:00
    非常简单,在开始菜单,点击“运行”,在运行窗口中输入“eventvwr”,在弹出的窗口中对左边菜单里的所有项目右键清除即可。 转载于:https://www.cnblogs.com/zzkun/archive/2012/09/20/4481802.html...
  • 除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。本文将介绍windows的日志类型、存放位置、检索方案以及方便检索...
  • 写在前面的话事件日志搭配Windows事件转发和Sysmon,将会成为一个非常强大的安全防御方案,可以帮助研究人员检测攻击者在目标设备上的每一步非法操作。很明显,这是攻击者需要解决的问题。如果不能实现提权的话,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,648
精华内容 659
关键字:

windows安全日志