精华内容
下载资源
问答
  • windows安全日志分析
    千次阅读
    2022-01-21 12:24:53

    计算机系统日志作用

    系统日志是记录系统中硬件、软件中的系统问题信息,同时还可以监视系统中发生的事件

    用户可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹

    Windows日志分类

    Windows系统日志(包括应用程序、安全、安装程序和转发的事件)

    服务器角色日志

    应用程序日志

    服务日志

    事件日志基本信息

    该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息

    事件类型及描述

    事件类型
    错误出现问题可能会影响触发事件的应用程序或组件外部的功能
    警告出现问题可能会影响服务器或导致更严重的问题
    信息应用程序或组件发送了改变
    关键出现故障导致触发事件的应用程序或组件无法自动恢复
    审核成功用户权限成功
    审核失败用户权限失败

    安全性日志

    通过日志审核功能,可以快速检测黑客的渗透和攻击,防止非法用户的再次入侵

    主要通过以下事件策略审核:

    1. 对策略的审核
    2. 对登陆成功或失败的审核
    3. 对访问对象的审核
    4. 对进程跟踪的审核
    5. 对账户管理的审核
    6. 对特权使用的审核
    7. 对目录服务访问的审核

    常规日志分析

    查看系统日志方法

    【开始】-【运行】-输入eventvwr.msc

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pOdz5uIo-1642739079996)(images/image-20220118111644755.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lbvHIkhw-1642739079999)(images/image-20220118111800290.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PUYh6VqV-1642739080001)(images/image-20220118111917893.png)]

    事件类型分类

    Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种

    1、信息(Information)

    信息事件指应用程序、驱动程序或服务的成功操作的事件

    2、警告(Warning)

    警告事件指不是直接的、主要的,但是会导致将来问题发送的问题

    例如:当磁盘空间不足或未找到打印机时,都会记录一个“告警”事件

    3、错误(Error)

    错误事件指用户应该知道的重要的问题

    错误事件通常指功能和数据的丢失

    例如:如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件

    4、成功审核(Success audit)

    成功的审核安全访问尝试

    主要是指安全性日志,这里记录着用户登陆/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登陆等事件,例如所有的成功登陆系统都会被记录为“成功审核”事件

    5、失败审核(Failure audit)

    失败的审核安全登陆尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为“失败审核”事件记录下来

    常用事件ID

    事件ID说明
    1102清理审计日志
    4624账号登录成功
    4625账号登录失败
    4768Kerberos身份验证(TGT请求)
    4769Kerberos服务票证请求
    4776NTLM身份验证
    4672授予特殊权限
    4720创建用户
    4726删除用户
    4728将成员添加到启用安全的全局组中
    4729将成员从安全的全局组中移除
    4732将成员添加到启用安全的本地组中
    4733将成员从启用安全的本地组中移除
    4756将成员添加到启用安全的通用组中
    4757将成员从启用安全的通用组中移除
    4719系统审计策略修改

    登陆类型以及描述

    登陆类型描述
    2交互式登陆(用户从控制台登陆)
    3网络(例如:通过net use,访问共享网络)
    4批处理(为批处理程序保留)
    5服务启动(服务登录)
    6不支持
    7解锁(带密码保护的屏幕保护程序的无人值班工作站)
    8网络明文(IIS服务器登陆验证)
    10远程交互(终端服务、远程桌面、远程辅助)
    11缓存域证书登录
    更多相关内容
  • window 安全日志分析 今日服务器遭受入侵入侵路径回溯被入侵服务器->跳板机->办公网某主机因此整理 记录 windows 被入侵相关信息本文只研究 windows 安全登录相关日志介绍三种事件类 型登录注销尝试登陆通过此日志可...
  • logparser使用介绍首先,让我们来看一下Logparser架构图,熟悉这张图,对于我们理解和使用Logparser是大有裨益的简而言之就是我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的...

    logparser使用介绍

    首先,让我们来看一下Logparser架构图,熟悉这张图,对于我们理解和使用Logparser是大有裨益的

    46b7a0d8080aeead3d2e3013dd97e8a0.png

    简而言之就是我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的格式。

    1、输入源

    从这里可以看出它的基本处理逻辑,首先是输入源是某一种固定的格式,比如EVT(事件),Registry(注册表)等,对于每一种输入源,它所涵盖的字段值是固定的,可以使用logparser –h –i:EVT查出(这里以EVT为例):

    5d9820252b30be3fc73f6528481e1749.png

    这里是一些可选参数,在进行查询的时候,可对查询结果进行控制,不过我们需要重点关注的是某一类日志结构里含有的字段值(在SQL查询中匹配特定的段):

    f72ffb66a45b8eeadeca6babdf5ec65a.png

    对于每一类字段值的详细意义,我们可以参照logparser的自带文档的参考部分,这里以EVT(事件)为例:

    ab3438e3b349ebd0a3da6786bdc266d1.png

    2、输出源

    输出可以是多种格式,比如文本(CSV等)或者写入数据库,形成图表,根据自己的需求,形成自定的文件(使用TPL)等,比较自由

    基本查询结构

    了解了输入和输出源,我们来看一则基本的查询结构

    Logparser.exe –i:EVT –o:DATAGRID “SELECT * FROM E:\logparser\xx.evtx”

    这是一则基本的查询,输入格式是EVT(事件),输出格式是DATAGRID(网格),然后是SQL语句,查询E:\logparser\xx.evtx的所有字段,结果呈现为网格的形式:

    4c78197dbd7c44d255d6b9cc28b9cb68.png

    看到这里,想必你已经明白了,对于windows的安全日志分析,我们只需要取出关键进行判断或者比对,就可以从庞大的windows安全日志中提取出我们想要的信息。

    windows安全日志分析

    对于windows安全日志分析,我们可以根据自己的分析需要,取出自己关心的值,然后进行统计、匹配、比对,以此有效获取信息,这里通过windows安全日志的EVENT ID迅速取出我们关心的信息,不同的EVENT ID代表了不同的意义,这些我们可以在网上很容易查到,这里列举一些我们平常会用到的。

    e9cbdfd55485b09c2c6e7d9556567827.png

    有了这些我们就可以对windows日志进行分析了 比如我们分析域控日志的时候,想要查询账户登陆过程中,用户正确,密码错误的情况,我们需要统计出源IP,时间,用户名时,我们可以这么写(当然也可以结合一些统计函数,分组统计等等):

    LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"

    查询结果如下:

    f8e870afd6dc218d5e931edf9fd0bebb.png

    如果需要对于特定IP进行统计,我们可以这么写(默认是NAT输出):

    LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client\_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675 AND EXTRACT\_TOKEN(Strings,5,'|')='x.x.x.x'"

    或者将查询保存为sql的格式:

    SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS UserName,EXTRACT\_TOKEN(Strings,1,'|') AS Domain ,EXTRACT\_TOKEN(Strings,13,'|') AS SouceIP,EXTRACT\_TOKEN(Strings,14,'|') AS SourcePort FROM 'E:\logparser\xx.evtx' WHERE EXTRACT_TOKEN(Strings,13,'|') ='%ip%'

    然后在使用的时候进行调用

    logparser.exe file:e:\logparser\ipCheck.sql?ip=x.x.x.x –i:EVT –o:NAT

    查询结果为:

    eb68635297b0193d5db3c20f19bde808.png

    怎么样?是不是一目了然呢?根据特定登陆事件,直接定位到异常IP,异常时间段内的连接情况。

    同样我们也可以选择其他输出格式,对日志分析和统计。上述所有操作都是在命令行下完成的,对于喜欢图形界面的朋友,We also have choices!这里我们可以选择使用LogParser Lizard。 对于GUI环境的Log Parser Lizard,其特点是比较易于使用,甚至不需要记忆繁琐的命令,只需要做好设置,写好基本的SQL语句,就可以直观的得到结果,这里给大家简单展示一下 首先选取查询类型

    bacec403c65db7056db05843f4d20c16.png

    这里我们选择windows event log,然后输入刚才的查询语句: 比

    如:

    SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client\_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675 AND EXTRACT\_TOKEN(Strings,5,'|')='x.x.x.x'

    得到的查询结果为(并且这里我们可以有多种查询格式):

    7ecc36de8945a01a36b7911bcd1ceaa1.png

    具体其他功能,大家可以去尝试一下~

    总结

    这里简单和大家介绍了在windows安全日志分析方面logparser的一些使用样例,logparser的功能很强大,可进行多种日志的分析,结合商业版的Logparser Lizard,你可以定制出很多漂亮的报表展现,图形统计等,至于其他的功能,留给大家去探索吧~

    展开全文
  • windows主机日志分析(持续更新)

    万次阅读 2022-07-20 16:12:51
    这篇文章记录windows事件和日志的对应关系。

    本文使用的环境为我前面博客中介绍的搭建方法。具体链接请参考windows日志转发_leeezp的博客-CSDN博客_windows日志转发 安装 ewk (es+winlogbeat+kibana) 转发主机日志_leeezp的博客-CSDN博客

    这篇文章记录windows事件和日志的对应关系。

    0x00  远程桌面连接登录(mstsc)

    kibana 中添加过滤 host.name、event.action、winlog.event_data.LogonProcessName、winlog.event_data.LogonType、process.name、winlog.event_id。

    登录成功有三条事件:

    登录类型为 10,RemoteInteractive

    意思是“通过rdp协议远程登录”。

    Fantastic Windows Logon types and Where to Find Credentials in Them

    事件id 为 4648,意思是“

    当进程通过显式指定帐户的凭据尝试登录帐户时,将生成此事件。

    这最常发生在批处理类型配置(如计划任务)中,或者使用"RUNAS"命令时

    4648 (S) 尝试使用显式凭据登录。 (Windows 10) - Windows security | Microsoft Docs

    登录失败如果在windows事件查看器 -- Windows日志 -- 安全 查看不到日志,可能是因为没有开启windows本地安全策略审核。(可能与windows版本或本地配置有关)

    打开本地安全策略,cmd 输入 secpol.msc,如果报错“试图引用不存在的令牌”,

     将  C:\Windows\System32\secpol.msc  复制到其他目录,比如 桌面,双击打开即可。

    在 “审核策略” -- “审核登录事件” 开启 “成功” 和 “失败”的日志:

    设置完再次mstsc登录失败,在安全日志可以查看到登录失败 事件ID 4625 的告警:

     

    如果没有配置本地安全策略开启登录审计,还有一个地方的日志可以发现一些端倪:

    Hi,
    
    You may view the Remote Desktop connection client ip address information in the following logs:
    
    Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManager
    
    Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
    
    Event Viewer\Windows Logs\Security  (Event ID: 4624, Logon Type: 10)
    
    -TP

    Logging IP adderess during remote desktop connection

    我是在 Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

     刚好符合我密码字典里尝试的15次登录失败。

     

    登录失败不清楚为什么会有1149 认证成功的日志。

    这个日志可以用于远程登录失败的审计,无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。

    爆破成功的日志为很多 4625 中出现 4624,logintype 都是10。

     如果看到 4778,4779 则表示 可能爆破时将正在登录的用户顶掉了。

    0x01 UAC管理员账号登录

    产生三条事件:

    consent.exe 意思是“当用户开启用户账户控制(UAC)功能时,一个程序要更改或者使用一些比较高权限才能做的事情的功能的时候、还有当你使用管理员账户运行程序的时候,会弹出一个对话框,询问您是否允许程序修改计算机设置,这个对话框的进程就是consent.exe”。

    consent.exe_百度百科

    4672 (S) 分配给新登录的特殊权限。 (Windows 10) - Windows security | Microsoft Docs

    4672 常常是管理员及以上权限的用户登录触发。

    0x02 mimikatz sekurlsa::ekeys  显示Kerberos加密密钥

    此操作默认windows是不会留下安全日志的。(多个win7环境测试)

    打开本地安全的略--审核特权使用

    执行 mimikatz privilege::debug sekurlsa::ekeys

    SeTcbPrivilege

     该特权标志着其拥有者是操作系统的一部分,拥有该特权的进程可利用LsaLogonUser()执行创建登录令牌等操作,因此可以充当任意用户

    经多次测试,2个文件系统的告警几乎和此告警同时出现,可视为这个操作同时产生的事件。

    展开全文
  • windows日志分析-Log Parser等工具使用

    千次阅读 2022-05-24 12:08:09
    Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃...

    Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志

    系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。
    
    应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
    包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。
    
    安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
    记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
    

    1.手工日志分析

    1.日志文件位置
    控制面板→ 管理工具 → 事件查看器
    或者win + R:eventvwr.msc

    在这里插入图片描述
    2.EVENT ID含义
    对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,常见如下
    在这里插入图片描述

    4624 登录成功
    4625 登录失败
    4634 注销成功
    4647 用户启动的注销
    4672 使用超级用户登录(管理员)进行登录
    4720 创建用户
    4776 成功/失败的账户认证
    

    https://blog.csdn.net/weixin_33695450/article/details/92324221
    https://www.csdn.net/tags/NtDaYg0sMjM4OS1ibG9n.html

    3.eventlog事件快速筛选
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    成功完成筛选

    筛选系统日志

    6006,6005,6009就表示不同状态的机器的情况
    6005 信息 EventLog 事件日志服务已启动
    6006 信息 EventLog 事件日志服务已停止
    6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机
    

    查看下6009
    在这里插入图片描述
    在这里插入图片描述
    当然也可以一直查看6005-6009
    在这里插入图片描述

    2.Log Parser等工具使用日志分析

    Log Parser下载
    使用教程:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

    LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示。

    1.Log Parser的使用
    安装的目录再C:\Program Files (x86)\Log Parser 2.2

    LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”
    

    我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的格式。
    输入源是某一种固定的格式,比如EVT(事件),Registry(注册表)等,对于每一种输入源,它所涵盖的字段值是固定的,可以使用logparser –h –i:EVT查出(这里以EVT为例)
    在这里插入图片描述

    登录成功的所有事件
    LogParser.exe -i:EVT –o:DATAGRID  “SELECT *  FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624

    待定…

    2.Event Log Explorer
    下载地址:https://event-log-explorer.en.softonic.com/
    Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
    在这里插入图片描述
    参考:https://blog.csdn.net/lza20001103/article/details/124637558?spm=1001.2014.3001.5502

    展开全文
  • Windows系统日志分析工具-- Log Parser

    千次阅读 2022-01-12 15:21:43
    对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)...
  • Window日志分析
  • windows安全日志分析之logparser篇

    千次阅读 2018-03-08 10:58:34
    封停 · 2015/07/29 10:270x01 前言...此时,高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键,这里给大家推荐一款我常用的windows日志分析工具,logparser,目前版本是2.2。0x02 logparser使用...
  • Windows系统日志分析

    万次阅读 2021-07-30 22:37:28
    Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 ... 安全日志:Security.evtx(系统登录等日志) win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr.msc ...
  • windows系统日志分析

    千次阅读 2021-07-29 00:12:21
    一、Windows日志文件的保护日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。1. 修改日志文件存放目录Windows日志文件默认路径是“%systemroot%system32config...
  • 应急响应——Windows日志分析

    千次阅读 2021-09-16 19:01:56
    应用程序日志、系统日志、安全日志 系统日志 记录着操作系统组件发生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 默认...
  • 系统基础知识:筛选Windows日志与借助Windows日志分析故障 我们最关心的事情,一定是我们Windows 7系统的安全,我们学习Windows事件查看器的最终目的,也是希望通过WIndows事件查看器更加了解我们的系统,保证系统...
  • 网络安全应急响应----11、日志分析

    千次阅读 2022-03-16 07:01:45
    Windows日志记录着Windows系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,掌握计算机在特定时间的状态,以及了解用户的各种操作行为,并且包括有关系统、安全、应用程序的记录。 Windows系统...
  • 应急响应基础(三)——Windows日志分析

    千次阅读 多人点赞 2019-11-23 20:57:59
    Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到...
  • Windows系统安全登录日志分析工具logonTracer汉化修正版 安装neo4j cd neo4j ./bin/neo4j start 下载logonTracer ##下载logontracer git clone https://github.com/TheKingOfDuck/logonTracer.git cd ...
  • 通过查看和分析Windows活动目录事件日志来调查恶意登录。LogonTracer使用PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。
  • 2、查看服务器是否存在可疑账号、新增账号 3、查看服务器是否存在隐藏账号、克隆账号 4、结合日志,查看管理员登录时间、用户名是否存在异常 2、webshell查
  • 原文地址: ...depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearn
  • 网络安全应急响应-日志分析技术

    千次阅读 2022-03-24 12:54:04
    Web日志分析 一 、HTTP基础 1. HTTP报文格式解析 HTTP请求报文 HTTP请求包括3部分,分别是请求行、请求头和请求正文。 Windows NT 10.0表示操作系统内核版本号,Windows XP内核号是NT 5.1或NT 5.2(64位操作系统)...
  • Web日志安全分析

    千次阅读 2020-07-10 09:03:18
    当企业发生web应用发生网络异常、可能存在web攻击的时候,需要排查分析web服务器和相关web日志,确认web应用是否被黑客攻击了,攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列...
  • windows日志审计

    千次阅读 2022-05-17 16:05:12
    运行 eventvwr 命令,打开事件查看器,查windows 日志,分析windows 日志时,主要是查看安全日志分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。 Windows日志 分析windows日志,...
  • 使用ELK分析Windows事件日志

    千次阅读 2019-11-14 08:10:41
    这是ELK入门到实践系列的第三篇文章,分享如何使用ELK分析Windows事件日志Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生...
  • Windows主机日志分析办法与思路

    千次阅读 2021-01-15 11:33:53
    看到有人问,windows主机日志怎么做分析,今天就分享一篇文章专门来说说windows主机日志分析。以下所有内容皆属于个人以往工作经验总结出来的,不是什么权威的行业标准,纯属个人理解,仅供参考使用。 在做日志分析...
  • Windows的事件日志都存放在 C:WindowsSystem32winevtLogs目录下。以evtx后缀结尾。事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件...
  • 1 Linux日志分析 日志是Linux 安全结构中的一个重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间...
  • windows日志安全 实验目的: (1)了解windows日志的重要性。 (2)进行基本的windows日志设置,管理删除windows日志
  • Windows 日志分析

    千次阅读 2017-09-14 20:59:14
    使用方式 开始-程序-管理工具-计算机管理-系统工具-事件查看器。 然后开始清理日志。 ...Windows 2000 的日志文件通常包括以下日志...应用程序日志、安全日志、系统日志、DNS日志默认位置: %systemroot%system32con
  • windows日志和审核

    万次阅读 2019-12-05 23:43:40
    windows事件日志简介 Windows事件日志记录着 Windows系统中发生...Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件1D...
  • windows日志文件记录了windows系统发生的各种发生的事件和操作记录(例如系统,安全,应用程序),通过日志文件可以掌握系统的使用情况和各种操作行为记录,特别是对于系统安全来说,日志文件显得尤为重要。
  • 一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 81,463
精华内容 32,585
关键字:

windows安全日志分析