箭在弦上全集下载,艾依欧,麦基q
windows操作系统日志分析
一、windows操作系统日志介绍:
1.windows操作系统日志介绍:
<1>.windows操作系统在运行生命周期,以特定数据结构方式存储、记录os大量运行的日志信息,例如:system、security、application... ...,主要包括:windows事件日志(event log)、windows web server iis日
志、windows ftp日志、exchange server邮件服务、ms sql server数据库日志等。
<2>.windows日志包含9个元素:日期/时间、事件类型、用户、计算机、事件id、来源、类别、描述、数据... ... ...。
<3>.系统内置3个核心日志文件(system、security、application);
默认大小均为20480kb(20mb),数据超过20mb,默认系统将优先覆盖过期日志记录。
<5>.应用程序、服务日志默认最大1024kb,超过最大限制也优先覆盖过期的日志记录。
2.windows事件日志,共有五种事件类型:
注:所有事件必须拥有五种事件类型中的一种,且只可以有一种。
<1>.信息(information)
指应用程序、驱动程序、服务的成功操作的事件。
<2>.警告(warning)
运行故障和警告信息。例如,删除硬盘操作。
<3>.错误(error)
通常指功能和数据的丢失。e.g.如果一个服务不能作为系统引导被加载,即会产生一个错误事件。
<4>.成功审核(success audit)
成功审核的安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、目录服务访问、账户登录等事件。
注:所有成功登录系统的事件,都被记录“ 成功审核”事件。id号4624。
<5>.失败审核(failure audit)
失败审核的安全登录尝试。
注:用户试图通过rdp 3389尝试的失败登录,都以失败审核事件记录下来。id号4625。
3.几种类型windows日志:
<1>.system系统日志:
系统进程、设备、磁盘活动等。记录了设备驱动无法正常启动或停止,硬件失败,重复ip地址,系统进程的启动,停止及暂停等行为。
<2>.security安全日志:
包含安全性相关的事件。e.g.用户权限变更,登录及注销,文件/文件夹访问等信息。
<3>.application应用程序日志:
包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。
<4>.应用程序及服务日志:
如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。
注:可在windows操作系统中打开cmd指令,输入"eventvwr.msc"打开日志,"windows日志"文件里面找到系统日志。
4.关于windows操作系统日志的删除:
windows操作系统默认没有提供删除特定日志记录的功能,仅提供删除所有日志的操作功能,因此,日志记录id(event record id)应该是连续的(默认的排序方式应是从大到小往下排列),当发现日志为不连续的时候,要警惕是
否日志被删除了。
早期版本windows日志只有应用程序、安全、系统、setup安装,新版本os增加了设置及转发事件日志(默认禁用),如需要的话可以打开。
5.导出windows日志文件:
右击所需要保存的日志,选择"将所有日志另存为",可选格式如图:.evtx、.xml、.txt、.csv,
6.windows日志事件id和登陆类型:
<1>.windows日志事件id:
4624,成功的登录;
4625,失败的尝试;
4672,授予特殊权限;
4720,添加用户;
4726,删除用户;
4634,成功的注销;
4672,超级用户登录;
<2>.windows日志事件的登录类型:
每个成功登录的事件都会标记一个登录类型,不同登录类型,代表不同的方式。
详细的安全事件的说明:
二、windows操作系统日志分析:
1.log parser:
<1>.介绍:
微软出品日志分析工具,具备通用日志分析能力;
可实现分析windows系统日志、iis、apache、tomcat、nginx等日志;
功能强大,可分析基于文本的日志文件、xml 文件、csv逗号分隔符文件,以及操作系统事件日志、注册表、文件系统、active directory。
可使用sql语句查询分析日志数据,甚至可以将分析结果以各种图表的形式展现。
<2>.下载地址:
<3>.log parser的辅助、加强工具,图形化界面操作--log parser lizard gui。
下载地址:
2.splunk日志数据分析平台 :
<1>.介绍:
splunk是强大的日志数据收集、索引、分析和处理、搜索引擎。
<2>.下载地址:
3.logontracer :
<1>.介绍:
windows系统,安全登录日志分析工具logontracer
<2>.下载地址:
https://github.com/thekingofduck/logontracer
如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复
新补丁让Windows 10出现死机、卡顿等 微软坐不住称正解决
Ubuntu 20.04 LTS进驻Windows子系统:只能用3年
ThinkPad正式加入:预装Linux发行版而非Win10的PC越来越多了
最新版Android 11推送!谷歌Pixel 5被曝光:支持反向充电
高度致敬Windows!开源优麒麟20.04 LTS发布:支持5年
电脑小知识:Windows 10是用什么语言写的?到底有多少行代码?
Win10 5月更新准正式版:微软引入大量新功能 系统响应速度快
Windows 10新预览版19613推送:修复任务栏图标显示异常BUG
Windows AD 报错解决:UAC File Virtualization服务启动失败 此驱动程序被阻止加载
网友评论