02Windows日志分析[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。

计算机系统日志作用

系统日志是记录系统中硬件、软件中的系统问题信息，同时还可以监视系统中发生的事件

用户可以通过日志来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹

Windows日志分类

Windows系统日志（包括应用程序、安全、安装程序和转发的事件）

服务器角色日志

应用程序日志

服务日志

事件日志基本信息

该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息

事件类型及描述

安全性日志

通过日志审核功能，可以快速检测黑客的渗透和攻击，防止非法用户的再次入侵

主要通过以下事件策略审核：

1. 对策略的审核
2. 对登陆成功或失败的审核
3. 对访问对象的审核
4. 对进程跟踪的审核
5. 对账户管理的审核
6. 对特权使用的审核
7. 对目录服务访问的审核

常规日志分析

查看系统日志方法

【开始】-【运行】-输入eventvwr.msc

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pOdz5uIo-1642739079996)(images/image-20220118111644755.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lbvHIkhw-1642739079999)(images/image-20220118111800290.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PUYh6VqV-1642739080001)(images/image-20220118111917893.png)]

事件类型分类

Windows事件日志中共有五种事件类型，所有的事件必须拥有五种事件类型中的一种，且只可以有一种

1、信息（Information）

信息事件指应用程序、驱动程序或服务的成功操作的事件

2、警告（Warning）

警告事件指不是直接的、主要的，但是会导致将来问题发送的问题

例如：当磁盘空间不足或未找到打印机时，都会记录一个“告警”事件

3、错误（Error）

错误事件指用户应该知道的重要的问题

错误事件通常指功能和数据的丢失

例如：如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件

4、成功审核（Success audit）

成功的审核安全访问尝试

主要是指安全性日志，这里记录着用户登陆/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登陆等事件，例如所有的成功登陆系统都会被记录为“成功审核”事件

5、失败审核（Failure audit）

失败的审核安全登陆尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为“失败审核”事件记录下来

常用事件ID

登陆类型以及描述

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/196223.html原文链接：https://javaforall.cn