#yyds干货盘点#安全应急响应之windows系统日志分析

#yyds干货盘点#安全应急响应之windows系统日志分析

1.windows系统日志分析

1.1windows日志分类​

计算机系统日志作用

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检测错误发生的原因，或者寻找受到入侵者留下的痕迹。

Windows系统日志（包括应用程序、安全、安装程序、系统和转发的事件）

1.服务器角色日志

2.应用程序日志

3.服务日志

4.事件日志基本信息

日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息。

常见事件类型及描述

我们可以在服务器管理中查看，如图所示：

​

安全性日志

通过日志审核功能，可以快速检测入侵者的攻击，防止非法用户的再次入侵。

主要是通过以下事件策略审核：

1.对策略的审核

2.对登录成功或失败的审核

3.对访问对象的审核

4.对进程跟踪的审核

5.对账户管理的审核

6.对特权使用的审核

7.对目录服务访问的审核

我们可以在服务器管理器中查看安全日志，如图：

1.2常规日志分析

查看系统日志方法

以下三种方式可以进行查看：

​a.开始-设置-控制面板-管理工具-事件查看器

b.右击计算机-管理-工具-事件查看器

c.开始-运行-eventvwr.msc

​

事件类型分类

Windows事件日志中共有五种事件类型，所有的事件必须拥有五种类型中的一种，且只可以有一种。五种事件类型分为：

1.信息（information）

信息事件指应用程序、驱动程序或服务的成功操作的事件。

2.警告（warning）

警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。例如，当磁盘空间不足或未找到打印机时，都是记录一个“警告”事件。

3.错误（error）

错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如，如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。

4.成功审核（success audit）

成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录成“成功审核”事件。

5.失败审核（failure audit）

失败的审计安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。

常见事件ID如下：

事件查看器：

常见登录类型：

如图：

关于Windows系统日志的初步学习，暂时到这里～～

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。