精华内容
下载资源
问答
  • 2019-02-19 12:14:05

    在 MySQL的安装目录下的 my.ini 配置文件的 [mysqld] 下增加以下信息,日志路径可修改。 

    [mysqld]
    #开启日志
    log_bin=D:/Program Files/mysql-5.7.23/logs/mysql-bin.log
    log_error=D:/Program Files/mysql-5.7.23/logs/mysql.err
    long_query_time=0.1
    slow_query_log=ON
    slow_query_log_file=D:/Program Files/mysql-5.7.23/logs/mysql-slow.log
    general_log=ON
    general_log_file=D:/Program Files/mysql-5.7.23/logs/logmysql.log
    server-id=1

     

    更多相关内容
  • 闲聊Windows系统日志

    千次阅读 2021-03-18 08:29:14
    title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:...

    title: "闲聊Windows系统日志"

    date: 2021-02-22T18:59:49+08:00

    draft: true

    tags: ['windows']

    author: "dadigang"

    author_cn: "大地缸"

    personal: "http://www.real007.cn"

    闲聊Windows系统日志

    2018-07-302018-07-30 17:38:54阅读 4.2K0

    \ 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止转载*

    前言

    最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了解,在解读时经常摸不着头脑,所以就认真的分析了evtx格式的系统日志。这篇文章可能记录的不是很全面,师傅们多多指教。

    Windows系统日志简介

    Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。处理应急事件时,客户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。

    Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证,了解计算机上上发生的具体行为。

    查看系统日志方法,Windows系统中自带了一个叫做事件查看器的工具,它可以用来查看分析所有的Windows系统日志。打开事件查看器方法:开始->运行->输入eventvwr->回车的方式快速打开该工具。使用该工具可以看到系统日志被分为了两大类:Windows日志和应用程序和服务日志。早期版本中Windows日志只有,应用程序,安全,系统和Setup,新的版本中增加了设置及转发事件日志(默认禁用)。

    系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

    Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种。五种事件类型分为:

    信息(Information)

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    警告(Warning)

    警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    错误(Error)

    错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

    成功审核(Success audit)

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

    失败审核(Failure audit)

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    事件日志文件存储位置(Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本)

    类型

    事件类型

    描述

    文件名

    Windows日志

    系统

    包含系统进程,设备磁盘活动等。事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。

    System.evtx

    安全

    包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。

    Security.evtx

    应用程序

    包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。

    Application.evtx

    应用程序及服务日志

    Microsoft

    Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。

    详见日志存储目录对应文件

    Microsoft Office Alerts

    微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。

    OAerts.evtx

    Windows PowerShell

    Windows自带的PowerShell应用的日志信息。

    Windows PowerShell.evtx

    Internet Explorer

    IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。

    Internet Explorer.evtx

    表1 事件日志存储位置

    提示:%SystemRoot%为系统环境变量,默认值为C:\WINDOWS。

    图 EVTX事件日志文件

    使用事件查看器工具可以将这些EVTX事件日志文件导出为evtx,xml,txt和csv格式的文件。

    常见的Windows事件的分析方法

    Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下列举出的事件ID的操纵系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本:

    事件ID

    说明

    1102

    清理审计日志

    4624

    账号成功登录

    4625

    账号登录失败

    4768

    Kerberos身份验证(TGT请求)

    4769

    Kerberos服务票证请求

    4776

    NTLM身份验证

    4672

    授予特殊权限

    4720

    创建用户

    4726

    删除用户

    4728

    将成员添加到启用安全的全局组中

    4729

    将成员从安全的全局组中移除

    4732

    将成员添加到启用安全的本地组中

    4733

    将成员从启用安全的本地组中移除

    4756

    将成员添加到启用安全的通用组中

    4757

    将成员从启用安全的通用组中移除

    4719

    系统审计策略修改

    表 常见Windows账户及相关shijain 对照表

    五种事件类型中,最为重要的是成功审核(Success Audit),所有系统登录成功都会被标记成为成功审核。每个成功登录的事件都会标记一个登录类型:

    登录类型

    描述

    2

    交互式登录(用户从控制台登录)

    3

    网络(例如:通过net use,访问共享网络)

    4

    批处理(为批处理程序保留)

    5

    服务启动(服务登录)

    6

    不支持

    7

    解锁(带密码保护的屏幕保护程序的无人值班工作站)

    8

    网络明文(IIS服务器登录验证)

    10

    远程交互(终端服务,远程桌面,远程辅助)

    11

    缓存域证书登录

    表 登录类型

    Windows XML 事件日志格式

    系统事件日志主要保存的类型为: .evtx,.xml, .txt,.csv。对于后三种文件格式已经比较了解,现在分析下evtx后缀额格式。事件日志(evtx)文件是一种二进制格式的文件。

    图 evtx文件类型

    文件头部签名为十六进制45 6C 66 46 69 6C 65 00(ElfFile\x00)。Evtx文件结构包含三部分:文件头,数据块,结尾空值。文件头由4096字节大小组成,具体的结构如下表:

    偏移

    长度

    描述

    0

    8

    “ElFile\x00”

    签名

    8

    8

    第一个数据块

    16

    8

    最后一个数据块

    24

    8

    下一个记录标识符

    32

    4

    128

    头的大小

    36

    2

    1

    次版本号

    38

    2

    3

    主版本号

    40

    2

    4096

    数据块偏移量

    42

    2

    数据块的数量

    44

    76

    空值

    120

    4

    文件标志

    124

    4

    校验和

    128

    3968

    空值

    表 File Header内容

    Windows XML 事件日志大小

    事件日志文件大小 = (数据块的数量*65536)+4096。

    文件头偏移量为120的数据值为文件标志,该部分的组成如下表:

    标识符

    描述

    0x0001

    已更新

    0x0002

    已填充

    图 File Header文件格式

    每个数据块大小为65536字节,数据块的头部标签名为45 6C 66 43 68 6E 6B 00(ElfChnk\x00),数据块由数据块头部,事件记录,闲置空间,数据块文件头由512字节大小组成,具体结构如下表:

    偏移

    长度

    描述

    0

    8

    “ElfChnk\x00”

    签名

    8

    8

    第一个事件记录编号

    16

    8

    最后一个事件记录编号

    24

    8

    第一个事件记录标识符

    32

    8

    最后一个事件记录标识符

    40

    4

    128

    指针数据偏移量

    44

    4

    最后一个事件记录数据偏移量

    48

    4

    自由空间偏移

    52

    4

    事件记录校验和

    56

    64

    空值

    120

    4

    未知

    124

    4

    校验和

    表 Chunk header

    图 Chunk Header文件格式

    数据块包含多个事件记录,一个事件记录对应一条日志信息。事件记录的的大小及组成如下表:

    偏移量

    长度

    描述

    0

    4

    “**\x00\x00”

    签名

    4

    4

    事件记录块的大小

    8

    8

    事件记录标识符

    16

    8

    事件记录写入时间

    24

    事件记录内容

    4

    尺寸拷贝

    表 Event Record

    Windows事件日志取证分析注意要点

    Windwos操作系统默认没有提供删除特定日志记录的功能,仅提供了删除所有日志的操作功能。也就意味着日志记录ID(Event Record ID)应该是连续的,默认的排序方式应该是从大到小往下排列。

    通过对Windows事件日志的取证分析,取证人员可以对操纵系统、应用程序、服务、设备等操作行为记录,通过关键的时间点进行回溯。

    事件查看器单条日志记录删除思路

    分析事件记录格式后,了解到Windows系统在解析事件记录日志时,按照Event Record的大小逐条读取日志的内容。假设修改某条日志的长度,使长度覆盖下一条日志,理论上Windows系统解析日志时,就会跳过下一条日志,相当于下一条日志被”删除”。 DanderSpritz中的eventlogedit 就是这个思路,仅仅时修改了程度,实际上并没有删除日志内容。实现思路如下图:

    图 删除事件记录思路

    为了确保修改后的日志文件能够被正确识别,还需要修改多个标志位和重新计算校验和。

    图 不正确修改事件日志

    为了确保不出现如上图所示的错误,总结一下删除单条日志内容的方法:

    File Header中的Next recordidentifier的值减一(偏移量为24字节)

    重新计算File Header中CheckSum(偏移量为124字节)

    修改Event Record,找到需删除的记录和需删除前一条记录并计算日志的长度,更新Event Record的Event record identifier

    更新ElfChnk,需要修改的内容为:Last event record number,Last event recordidentifier,Last event record data offset,Event recordschecksum,Checksum

    根据以上的方式进行删除单条日志是NAS方程式组织的DanderSpritz中的eventlogedit实现方式。实际上只是将信息进行了隐藏,在此基础上,将指定日志的内容清空,就能够实现真正的日志删除。

    单条日志删除

    准备:测试文件(test.evtx—系统中的Setup.evtx),Winhex,python

    该文件中包含了8条日志,下面演示删除第8条记录的实践过程。使用事件查看器打开确认最后一条事件的EventRecordID,该实验中的值为8。

    图 test.evtx文件

    File Header中的Next recordidentifier的值减一

    File Header是整个文件最开始的部分,Nextrecord identifier的偏移量为24(0x18),其长度为8字节。实验文件test.evtx内容如下:

    图 test.evtx文件内容

    Next record identifier的值为0x09。将该值减一0x08 写入。这儿需要提一下的是,该文件的字节序为小端,因此低位会在前面。

    重新计算File Header中CheckSum

    计算方法:前120字节做CRC32运算,偏移量为124(0x7c),长度为4。修改后的文件内容如下图:

    图 修改后的test.evtx

    现在提取前120字节的内容:

    456C6646696C650000000000000000000000000000000000080000000000000080000000010003000010010000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

    使用python中binascii模块计算CRC32。代码如下:

    图 计算CRC32代码

    输出的结果为:0xfb027480,修改文件内容,修改后如下图:

    图 修改checksum

    修改Event Record

    通过find hex values查找2A2A0000,定位到第8条Event Record。该条Event Record的长度为 0x180。如下图:

    图 第8条EventRecord

    第7条Event Record的长度为0x170。如下图:

    图 第7条EventRecord

    计算需要修改的内容长度。新长度为0x170+0x180=0x2f0。由于是删除最后一条记录,所以不需要更新Event record identifier。修改长度的位置有两个,分别为第7条日志的长度和第 8条日志的最尾部。

    图 第7条日志

    图 第8条日志

    更新ElfChnk

    搜索ElfChuk关键字,找到对应ElfChuk位置。如下图:

    图 Elfchnk

    修改如下内容:

    Last event record number减1,为0x07

    Last event record identifier减1,为0x07

    Last event record data offset,为0x13c8

    Event records checksum,为0xf403d736

    Checksum,为0x7563439c

    Event records checksum的数据计算范围:chunk中的事件记录的偏移量是固定的,是从文件头偏移0x1200个字节,意思就是checksum的数据起始位置为0x1200。事件记录的结束位置的计算方式:chunk的起始块地址+ Free space offset= events records data。

    Checksum的数据计算范围:是固定地址0x1000-0x1078,0x1080-0x1200 。

    修改后的ElfChnk如下图:

    图 修改后的ElfChnk

    经过修改后,使用系统自带的事件查看器打开,此时日志文件中最后一条记录被成功删除。

    图 成功删除单条日志记录

    此处讲的是删除最后一条记录的详细过曾,删除第一条和中间的记录在实际操作中会有一些不一样的部分,只要对了解evtx文件的格式,删除evtx格式内容中的记录方法并不唯一。只需要删除对应的数据块,并最终使该文件的校验通过即可。

    恢复被删除的记录

    使用以上的方式删除单挑记录,其实被删除的数据并没有真正的被删掉,严格意义上讲就是将部分数据进行了隐藏。恢复原本的数据可以使用fox-it的danderspritz-evtx工具,原因就是用删除数据的思路反向恢复就行。使用该工具,确实可以将被删除的数据提取出来,不过恢复的evtx格式的文件并不能被打开。暂时没有研究该代码的实现过程,所以不能下分析具体原因。

    工具使用如下图:

    图 danderspritz-evtx使用

    恢复数据被导出为xml格式文件,如下图:

    图 该条为被删除的第8条记录

    恢复的evtx格式文件打开出错,如下图:

    如果需要将日志真正的删除,可以使用\x00填充被隐藏的数据部分填充。并重新计算相应的checksum。

    参考链接

    展开全文
  • 查看windows系统日志方法

    千次阅读 2021-05-25 08:01:07
    Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有:4634 - 帐户被注销4647 - 用户发起注销4624 - 帐户已成功登录(可以查看4625 - 帐户登录失败4648 - 试图使用明确的凭证...

    在Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有:

    4634 - 帐户被注销

    4647 - 用户发起注销

    4624 - 帐户已成功登录(可以查看

    4625 - 帐户登录失败

    4648 - 试图使用明确的凭证登录(可以用以查看远程登陆的相关信息,比如远程登陆的IP地址等)

    一、使用事件查看器查看日志信息

    下面以查看远程连接的日志为例展示事件查看器的使用。

    1.1 在搜索框中搜索 “事件查看器”,双击打开。(事件查看器的位置在C:\WINDOWS\system32,名字为eventvwr.msc)

    1.2 展开左侧的 “Windows 日志” 然后双击 “安全”。(其他的日志可能需要选择其他选项)

    1.3 点击最右边”操作” 栏中的 “删选当前日志…”

    1.4 在弹出的窗口选择记录时间 (Logged), 和输入事件ID : 4648, 我这里是想查看过去七天的远程到本机的记录

    1.5 选中一条过滤出来的记录, 然后 点击 下方的 “详细信息”, 其中 “EventData” 下的 “IpAddress” 即为远程过来的IP地址,127.0.0.1表示是本地登陆,‘TargetUserName’是本电脑的名字。

    二、常用的日志ID

    审计目录服务访问

    4934 - Active Directory 对象的属性被复制

    4935 -复制失败开始

    4936 -复制失败结束

    5136 -目录服务对象已修改

    5137 -目录服务对象已创建

    5138 -目录服务对象已删除

    5139 -目录服务对象已经移动

    5141 -目录服务对象已删除

    4932 -命名上下文的AD的副本同步已经开始

    4933 -命名上下文的AD的副本同步已经结束

    审计登录事件

    4634 - 帐户被注销

    4647 - 用户发起注销

    4624 - 帐户已成功登录

    4625 - 帐户登录失败

    4648 - 试图使用明确的凭证登录

    4675 - SID被过滤

    4649 - 发现重放攻击

    4778 -会话被重新连接到Window Station

    4779 -会话断开连接到Window Station

    4800 – 工作站被锁定

    4801 - 工作站被解锁

    4802 - 屏幕保护程序启用

    4803 -屏幕保护程序被禁用

    5378 所要求的凭证代表是政策所不允许的

    5632 要求对无线网络进行验证

    5633 要求对有线网络进行验证

    审计对象访问

    5140 - 网络共享对象被访问

    4664 - 试图创建一个硬链接

    4985 - 交易状态已经改变

    5051 - 文件已被虚拟化

    5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接

    4698 -计划任务已创建

    4699 -计划任务已删除

    4700 -计划任务已启用

    4701 -计划任务已停用

    4702 -计划任务已更新

    4657 -注册表值被修改

    5039 -注册表项被虚拟化

    4660 -对象已删除

    4663 -试图访问一个对象

    审计政策变化

    4715 - 对象上的审计政策(SACL)已经更改

    4719 - 系统审计政策已经更改

    4902 - Per-user审核政策表已经创建

    4906 - CrashOnAuditFail值已经变化

    4907 - 对象的审计设置已经更改

    4706 - 创建到域的新信任

    4707 - 到域的信任已经删除

    4713 - Kerberos政策已更改

    4716 - 信任域信息已经修改

    4717 - 系统安全访问授予帐户

    4718 - 系统安全访问从帐户移除

    4864 - 名字空间碰撞被删除

    4865 - 信任森林信息条目已添加

    4866 - 信任森林信息条目已删除

    4867 - 信任森林信息条目已取消

    4704 - 用户权限已分配

    4705 - 用户权限已移除

    4714 - 加密数据复原政策已取消

    4944 - 当开启Windows Firewall时下列政策启用

    4945 - 当开启Windows Firewall时列入一个规则

    4946 - 对Windows防火墙例外列表进行了修改,添加规则

    4947 - 对Windows防火墙例外列表进行了修改,规则已修改

    4948 - 对Windows防火墙例外列表进行了修改,规则已删除

    4949 - Windows防火墙设置已恢复到默认值

    4950 - Windows防火墙设置已更改

    4951 - 因为主要版本号码不被Windows防火墙承认,规则已被忽视

    4952 - 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分

    4953 - 因为Windows防火墙不能解析规则,规则被忽略

    4954 - Windows防火墙组政策设置已经更改,将使用新设置

    4956 - Windows防火墙已经更改主动资料

    4957 - Windows防火墙不适用于以下规则

    4958 - 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则:

    6144 - 组策略对象中的安全政策已经成功运用

    6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误

    4670 - 对象的权限已更改

    审计特权使用

    4672 - 给新登录分配特权

    4673 - 要求特权服务

    4674 - 试图对特权对象尝试操作

    审计系统事件

    5024 - Windows防火墙服务已成功启动

    5025 - Windows防火墙服务已经被停止

    5027 - Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策

    5028 - Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策

    5029 - Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策

    5030 - Windows防火墙服务无法启动

    5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序

    5033 - Windows防火墙驱动程序已成功启动

    5034 - Windows防火墙驱动程序已经停止

    5035 - Windows防火墙驱动程序未能启动

    5037 - Windows防火墙驱动程序检测到关键运行错误,终止。

    4608 -Windows正在启动

    4609 - Windows正在关机

    4616 - 系统时间被改变

    4621 - 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录

    4697 - 系统中安装服务器

    4618 - 监测安全事件样式已经发生

    展开全文
  • windows服务器审计日志存放位置

    千次阅读 2021-08-08 01:05:47
    windows服务器审计日志存放位置 内容精选换一换备份控制函数可帮助进行在线备份。pg_create_restore_point(name text)描述:为执行恢复创建一个命名点。(需要管理员角色)返回值类型:text备注:pg_create_restore_...

    windows服务器审计日志存放位置 内容精选

    换一换

    c8a5a5028d2cabfeeee0907ef5119e7e.png

    备份控制函数可帮助进行在线备份。pg_create_restore_point(name text)描述:为执行恢复创建一个命名点。(需要管理员角色)返回值类型:text备注:pg_create_restore_point创建了一个可以用作恢复目的、有命名的事务日志记录,并返回相应的事务日志位置。在恢复过程中,recovery_targe

    cd /opt/dis-agent-X.X.X/logstail -100f dis-agent.log显示如下信息,表示Agent正常运行。Agent: Startup completed in xx msAgent运行异常,常见问题原因和处理方法如下:HttpClientErrorException: 400 Bad Request可

    windows服务器审计日志存放位置 相关内容

    cd /opt/dis-agent-X.X.X/logstail -100f dis-agent.log显示如下信息,表示Agent正常运行。Agent: Startup completed in xx msAgent运行异常,常见问题原因和处理方法如下:HttpClientErrorException: 400 Bad Request可

    服务器上的ICAgent被卸载后,会影响该服务器的日志采集能力,请谨慎操作!云日志服务主机管理界面,仅支持卸载安装在Linux环境中的ICAgent,如果需要卸载安装Windows环境中的ICAgent,请在ICAgent安装包解压目录下,双击执行“ICAgent安装包解压目录\ICProbeAgent\bin\manual\win\un

    windows服务器审计日志存放位置 更多内容

    1a97c4f052299ae736e0af6fa2667c80.png

    本文介绍了主机迁移服务SMS各特性版本的功能发布和对应的文档动态,新特性将在各个区域(Region)陆续发布,欢迎体验。

    293f5c3a9815ee95e4ed79a7f04b8f18.png

    Windows操作系统云服务器蓝屏,如图1所示。使用了来源不明的第三方软件。CPU占用过高导致。因为误操作或者病毒引起的系统文件、注册表损坏。操作系统在蓝屏的情况下,会显示对应的bugcheck code以及可能的导致蓝屏的模块来大概说明问题发生的原因。单击Bug Check Code Reference ,了解微软官方列举的bugche

    399bb9e39ad395cd7fb119c5287fddf8.png

    云审计服务管理控制台支持创建数据事件追踪器,用于记录数据操作日志。追踪器分两类,包括管理事件追踪器和数据事件追踪器。管理事件追踪器用于记录管理事件,即针对所有云资源的操作日志,例如创建、登录、删除等。数据事件追踪器用于记录数据事件,即针对数据的操作日志,例如上传、下载等。由于您在开通云审计服务时,系统已为您自动创建了一个管理事件追踪器,管

    a4c4c5b28481f97f2139da8bb7c47c58.png

    FunctionGraph服务与以下云服务的对接,实现相关功能,如表1所示。

    f2c4fc7c94b8a6968e9bfbe258188211.png

    弹性云服务器(Elastic Cloud Server)是一种可随时自动获取、计算能力可弹性伸缩的云服务器,可帮助您打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。

    5a6f55482f6b3f19420161bd3dfbba6a.png

    执行PowerShell命令docker version(若该主机没有安装Docker服务),部署任务执行结果成功,但日志提示未安装docker,如下图所示。由于Windows机器在执行PowerShell命令时有纠错机制,不会执行失败,但在日志中可分析出执行结果为没有Docker服务。在机器上安装对应的服务再次运行即可。

    8eb70d4a37fe864f82daefa0aeaaa61c.png

    用户无法查询到弹性云服务器私网IP地址信息。本问题请按照以下思路进行排查处理。查看DHCP是否为启用状态检查是否存在dhclient进程检查弹性云服务器日志检查子网的DHCP是否为启用状态(默认“启用”状态)。进入子网详情页面,查看DHCP是否为“启用”状态,若DHCP开关为关闭状态请参考3手动配置静态IP。执行如下命令,检查是否存在dh

    c8670e33c445c10cd2a0fcb5ca15332b.png

    AOM可与消息通知服务、分布式消息服务、云审计等服务配合使用。例如,通过消息通知服务您可将AOM的阈值规则状态变更信息通过短信或电子邮件的方式发送给相关人员。同时AOM对接了虚拟私有云、弹性负载均衡等中间件服务,通过AOM您可对这些中间件服务进行监控。AOM还对接了云容器引擎、云容器实例等服务,通过AOM您可对这些服务的基础资源和应用进行

    631651361fa2e5698f6a9d681fb5668c.png

    华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。

    402994aa3acda5ebf01ee1c6ade658d0.png

    当您购买的云服务器规格无法满足业务需要时,可参考本章节变更规格,升级vCPU、内存。对于部分类型的云服务器,您还可以在变更规格时,更换云服务器的类型。变更云服务器规格时,用户不能选择已售罄的CPU和内存资源。云服务器规格(CPU或内存)变小,会影响云服务器的性能。当云硬盘状态为“正在扩容”时,不支持变更所挂载的云服务器规格。Windows

    f3b054c7f0f3a487e0ff47ff2b7b5851.png

    Windows操作系统镜像执行Sysprep之后,使用该镜像创建的弹性云服务器启动时出现如下图的提示信息:提示信息且弹出如下提示信息:Windows无法分析或处理 pass [ specialize ] 的无人参与应答文件。应答文件中指定的设置无法应用。处理组件设置时检测到错误 [ Microsoft-Windows-Shell-Setu

    展开全文
  • windows 下查看tomcat的启动日志

    千次阅读 2012-06-18 16:11:28
    windows 下查看tomcat的启动日志 catalina.bat run
  • 达梦数据库启用日志方法,达梦数据库查看日志是否启用,达梦数据库日志文件位置查找。 注: 日志启用时会非常占用硬盘的读写资源,使正常读写数据库的效率大大降低,因为日志文件很大,之前我们有个服务器一直起着...
  • Windows日志

    万次阅读 多人点赞 2019-05-29 16:29:26
    文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和...
  • 如果在连接无线网络时连接不上,而系统提示了“Windows无法启动Wireless PAN DHCP Server服务(位于本地计算机上)。错误1067:进程意外终止。”,遇到这个错误提示让这不少用户烦恼不已。那么遇到这个问题该怎么解决...
  • MYSQL启用日志,和查看日志

    千次阅读 2019-07-20 21:34:12
    mysql有以下几种日志: 错误日志: -log-err 查询日志: -log 慢查询日志: -log-slow-queries 更新日志: -log-update ...是否启用日志 mysql>show variables like 'log_%'; log_bin | ...
  • 02Windows日志分析

    千次阅读 2022-01-21 12:24:53
    Windows日志分类 Windows系统日志(包括应用程序、安全、安装程序和转发的事件) 服务器角色日志 应用程序日志 服务日志 事件日志基本信息 该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、...
  • Windows Server 2016-Windows安全日志ID汇总

    千次阅读 2019-03-04 21:39:10
    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 ... 审核日志已清除 ... Windows正在启动 4609 ...
  • 服务器是否被黑,可以通过 查看 系统事件查看器 分析。应朋友 JieYang 的要求,特别编写本篇教程。查看系统的运行日志,地球人都知道可以通过事件查看器检查。可能很多新手 看到几万条记录会慌掉,...Windows日志-&...
  • windows终端事件日志监控指南

    千次阅读 2019-08-22 17:30:29
    windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,...
  • Windows10 下启动 postgresql 服务

    千次阅读 2021-07-17 19:03:25
    管理员身份运行 cmd 依次执行以下命令,报错就跳过: 这里我的安装目录是 D:\Programe Files\postgresql\10 : initdb.exe -D "D:\Programe Files\postgresql\10\data" -E UTF-8 --locale=chs -U postgres -W ...
  • windows 启用mysql二进制日志

    千次阅读 2012-08-09 15:02:54
    windows 启用mysql二进制日志 1。启用二进制日志 更改my.ini 找到[mysqld]部分,输入以下命令   #启用二进制日志 server-id = 1 log-bin = e:/mysqlbin/binlog.log  log-bin-index = e:/mysqlbin/...
  • 遇到这个问题,首先以管理员身份打开命令提示符,输入reagentc /info查看Windows恢复环境配置信息,其中会有Windows RE状态、位置等信息,如果Windows RE状态为Disabled,就说明恢复环境没有启用;如...
  • 翻到一个其它报错的思路,是先去看windows的错误日志,幡然醒悟,马上找到错误日志,然后找到错误根源: 再搜索错误事件,找到解决思路: 1、在配置文件my.ini添加: innodb_force_recovery = 1; 2、重启mysql...
  • windows】查看windows事件日志

    千次阅读 2019-03-27 14:53:07
    事件日志服务已启动。(开机) 6006 信息 EventLog 事件日志服务已停止。(关机) 6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机 6011 信息 EventLog ...
  • Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有: 4634 - 帐户被注销  4647 - 用户发起注销  4624 - 帐户已成功登录(可以查看  4625 - 帐户登...
  • 如何启用 Windows Installer 日志记录

    千次阅读 2011-09-21 17:08:36
    Windows Installer 可以使用日志记录来帮助解决安装软件包时出现的问题。通过向注册表添加项和值启用日志记录。在添加并启用项之后,您可以重试有问题的安装,Windows 安装程序会跟踪安装进度并将进度发送到 Temp ...
  • 日志的配置文件一般不需要修改。暂不作了解。 bin文件夹下的文件,我做了个简单的测试,可能有点蠢啊。就看看吧。 上面配置完之后,就可以直接在浏览器里面打开 localhost:...
  • windows自动启动时总是启动不了,windows日志中有两个错误,描述是: 1:等待 MyService 服务的连接超时(30000 毫秒)。 2:由于下列错误,MyService 服务启动失败: 服务没有及时响应启动或控制请求。 等windows启动...
  • Windows下Nginx的启动、停止等命令

    千次阅读 2021-12-11 22:38:17
    1、启动: C:\server\nginx-1.0.2>start nginx或 C:\server\nginx-1.0.2>nginx.exe 2、停止: C:\server\nginx-1.0.2>nginx.exe -s stop或 C:\server\nginx-1.0.2>nginx.exe -s quit 注:stop是快速停止...
  • 通过阻止未授权用户通过 Internet 或网络访问计算机来帮助保护计算机,而且win7系统中很多功能都是要依赖防火墙服务启动才可以正常使用的,但是有用户遇到windows firewall服务无法启动的问题,该如何处理呢?...
  • mysql 查看日志和启动日志

    万次阅读 2018-09-15 15:41:02
    mysql有以下几种日志:   错误日志: -log-err   查询日志: -log   慢查询日志: -log-slow-queries   更新日志: -log-update   二进制日志: -log-bin  ...启用日志 SET GLOBA...
  • 而近期有Win7用户称自己电脑中的windows firewall服务无法启动,不知道怎么解决这个问题,下面装机之家分享一下Win7系统下windows firewall服务无法启动的解决方法。报错类型:1. 点击windows 7控制面板中防火墙的...
  • 基础知识 打开方式:eventview或命令行工具wevtutil 事件查看器是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于浏览和管理事件日志。...事件日志分两个类型:windows日志、应用程序和服务日志
  • windows服务启动失败解决流程

    万次阅读 2019-10-27 17:56:27
    最近遇到windows服务启动失败的情况,网上查阅了一下相关的解决方式,顺便记录一下解决的一般流程和方式: (一般是软件的配置文件出现问题,先检查配置文件是否有问题,例如没有符合yml格式(不可使用tab键而是...
  • jar包在windows使用启动方式以及假死解决方案参考windows jar包启动的几种方式介绍jar包的停止jar包在windows启动的假死状态假死状态解决办法总结原因 windows jar包启动的几种方式介绍 java -jar xxx.jar(jar包的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 69,355
精华内容 27,742
关键字:

windows启用启动日志