如何找出谁删除了事件查看器日志
如何找出谁删除了事件查看器日志
提问于 2015-12-07 14:43:39
在Windows 2003上,有人删除了安全性和应用程序日志。
我想知道日志什么时候被删除了,如果可能的话,这个罪犯是谁。:)
回答 2
Server Fault用户
回答已采纳
发布于 2015-12-07 14:56:44
在Windows 2003中,当安全日志被清除时,将自动向其写入包含您要查找的信息的新事件。
示例:
Event ID: 517
Source: Security
The audit log was cleared
Primary User Name: SYSTEM
Primary Domain: NT AUTHORITY
Primary Logon ID: (0x0,0x3E7)
Client User Name: User's Name
Client Domain: CompanyDomain
Client Logon ID: (0x0,0x493DDA90)此事件记录表示已清除审核日志。无论审计策略如何,都会记录此事件。即使关闭了审核,也会记录下来。
除此之外,您还必须让object 审计政策已经就位,并配置为有机会让系统用户执行更多的操作日志。
Server Fault用户
发布于 2015-12-07 14:53:58
清除日志将在日志文件中输入一个条目。下面是我的测试服务器的一个例子,它记录用户名、时间和日期。
Log Name: System
Source: Microsoft-Windows-Eventlog
Date: 07/12/2015 14:52:05
Event ID: 104
Task Category: Log clear
Level: Information
Keywords:
User: CONTOSO\admin
Computer: ad.contoso.local
Description:
The System log file was cleared.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
<EventID>104</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>104</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2015-12-07T14:52:05.515696000Z" />
<EventRecordID>4270</EventRecordID>
<Correlation />
<Execution ProcessID="812" ThreadID="3612" />
<Channel>System</Channel>
<Computer>ad.contoso.local</Computer>
<Security UserID="S-1-5-21-3235254930-1055063838-1000765035-500" />
</System>
<UserData>
<LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
<SubjectUserName>admin</SubjectUserName>
<SubjectDomainName>CONTOSO</SubjectDomainName>
<Channel>System</Channel>
<BackupPath>
</BackupPath>
</LogFileCleared>
</UserData>
</Event>页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/743575
复制相关文章
相似问题
腾讯云开发者
