windows事件日志概述windows事件日志记录windows系统上发生的各种事件。 通过事件日志,可以监视用户的系统使用情况,了解计算机在特定时间发生了什么事件,还可以了解用户的各种操作行为。 因此,可以为调查提供许多重要信息。
Windows事件日志文件本质上是数据库,包含有关系统、安全、APP的记录。 记录的事件包括九个元素:的日期/时间、事件级别、用户、计算机、事件1D、源、任务类别、说明和数据等信息。
http://www.Sina.com/http://www.Sina.com /
Windows事件日志共有五种事件级别,所有的事件必须只能拥有其
信息事件是指APP应用程序、驱动程序或服务成功运行的事件。
中的一种事件级别。
警告事件是指虽然不是直接的,也不是主要的,但会引起未来问题的问题。 例如,如果磁盘空间不足或找不到打印机,则会记录“警告”事件。
1.信息(Information)
错误事件是指用户应该知道的重要问题。 错误事件通常是指功能和数据的丢失。 例如,如果服务无法作为系统引导加载,则会发生错误事件。
2.警告(Warning)
成功的审计安全访问尝试主要是指安全日志。 它记录用户登录/注销、访问对象、权限使用、帐户管理、策略更改、详细跟踪、目录服务访问和帐户登录等事件。 例如,所有成功的登录系统都将被记录为“成功审计”事件。
3.错误(Error)
的审计安全登录尝试失败。 例如,如果用户尝试访问网络驱动器失败,则该尝试将被记录为失败的审计事件。
Windows日志文件从1993年的Windows N3.1开始,微软开始使用事件日志记录各种事件的信息。 在n的进化过程中,事件日志的文件名和文件位置一直保持不变。 在windows nt/win 2000/XP/server 2003中,日志文件扩展名一直为evt,存储位置为“% systemroot% System32 config”。 从Windows Vista和Server2008开始,日志文件的文件名、结构和存储位置发生了重大更改,文件扩展名更改为evx(XML格式),存储位置为“% systemroot %system32”winems
4.成功审核(Success audit)
记录由操作系统组件生成的事件,包括驱动程序、系统组件、APP应用程序软件崩溃和数据。
默认位置
NT/Win2000/XP/Server 2003
c : windowssystem32configsysevent evt
vista/win7/win8//win 10/server 2008/server 2012
c : windowssystem32winetlogssystem.evtx
5.失败审核(Failure audit)
它包含由APP应用程序或系统程序记录的事件,主要用于记录与程序执行相关的事件。
默认位置
ent:33px;">NT/Win2000/XP/Server 2003C:WINDOWSsystem32config AppEvent Evt
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:WINDOWSsystem32 winet Logs Application. evtx
3.安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置
NT/Win2000/XP/Server 2003
C: WINDOWSsystem32 config SecEvent Evt
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C: WINDOWSsystem32 winet Logs Security. evtx
虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
windows事件日志分析在 Windows7和 Windows Server2008R2中各种与安全和审核有关事件—用户登录与注销
■场景
判断哪个用户尝试进行登录
分析被控制的用户的使用情况
■事件ID
4624-登录成功
4625登录失败
4634/4647-注销成功
4672使用超级用户(如管理员)进行登录
在 Windows7和 Windows Server2008R中的各种与安全和审核有关事件——追踪硬件变动
■场景
分析哪些硬件设备什么时间安装到系统中
■事件ID
20001-即插即用驱动安装( System日志)
20003-即插即用驱动安装( System日志)
4663-移动设备访问成功( Security日志)
4656-移动设备访问失败( Security日志)
在 Windows7和 Windows Server2008R2中的各种与安全和审核有关事件—无线网络位置
■场景
分析系统访问过哪些关联的无线网络、VPN等
■事件ID
10000-网络已连接
10001-网络已断开连接
筛选日志是分析事件日志最常用的功能,可以根据事件1D、事件级别、事件来源、用户、计算机等属性进行搜索和过滤。
windows安全审计实战操作系统带有日志功能,系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后,可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看与安全相关的日志文件的内容,来分析、查找系统和应用程序故障以及各类安全事件,发现黑客的入侵和入侵后的行为。
配置审计策略
1.选择【开始】=>【管理工具】→【本地安全策略】菜单,打开“本地安全设置”窗口。
2.选择【安全设置】-【本地策略】=>【审核策略】,双击右侧的“审核对象访问”,在打对话框中选中“成功”和“失败”。
3.单击确定按钮关闭窗口,配置结果如所示。
配置访问文件夹的权限
1.新建文件夹“C:test”。
2.右击文件夹“C:test”,选择【属性】菜单,在打开的“审计属性”对话框中选择“安全”标签
注销后,用lisi身份登录,在新建的test文件夹下,创建两个txt文件,并删除其中一个。
然后注销,以管理员身份登录,在事件查看器,查找lisi,可以看到。