首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Windows系统日志分析_windows系统事件日志

Windows操作系统的日志分析 Windows日志简介 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP...Windows日志事件类型 Windows操作系统日志分析 Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等...Windows系统日志分为两大类:Windows日志、应用程序和服务日志。Windows日志记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。...Windows系统使用自带的事件查看器来查看分析所有的Windows系统日志。...一、打开事件查看器:控制面板→管理工具 中找到事件查看器,或者在【开始】→【运行】→输 入 eventvwr.msc 打开。

5K10
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Windows WMI 详解之WMI事件

    WMI的查询语言来过滤审核特定的事件,一个事件过滤器接受一个WMI事件查询参数,同时EventFilter事件过滤器可以对Intrinsic Events (内部事件)和Extrinsic Events...(外部事件)进行事件查询。...2)Extrinsic Events外部事件是非系统类预定义事件,WMI使外部事件提供程序直接定义描述事件事件类(例如:当计算机切换到待机模式的事件为外部事件时),与内部事件相比较而言,外部事件能够及时响应触发...事件的消费者大体可分为“临时事件消费者”和“永久事件消费者”两类1)临时事件消费者只在运行期间关心处理特定的事件(本地事件生命周期即为宿主进程的运行时间)临时事件使用者必须手动启动,并且不能在 WMI...临时事件使用者只能在其运行时处理事件

    48510

    巧用Windows事件日志“隐藏”载荷

    背景 根据卡巴斯基发布的研究报告发现一项恶意活动,其中的技术涉及将shellcode直接放入Windows事件日志,Windows事件日志可以被攻击者用来掩盖特洛伊木马病毒的恶意使用。...前置知识 Windows事件日志 Windows默认事件日志查看器为eventvwr.msc,能实现简单的使用,Win+R键后输入eventvwr回车即能打开。...应用程序 安全 Setup 系统 Forwarded Events 图片 事件查看器的另一个“应用程序和服务日志”文件夹里,包含Windows系统中其它各类重要服务组件的事件日志。...Windows事件日志文件实际上是以特定的数据结构的方式存储内容,每条记录事件的数据结构由9个字段组成,包括日志名称、来源、记录时间、事件ID、任务类别、级别、计算机、事件数据(EventData)等信息...写入事件日志 我们可以使用PowerShell操作Windows事件日志,其中Write-EventLog命令可以将事件写入事件日志,参考微软官方文档,其中参数对应上面介绍的字段: 图片 执行命令 Write-EventLog

    82230

    使用ELK分析Windows事件日志

    这是ELK入门到实践系列的第三篇文章,分享如何使用ELK分析Windows事件日志。 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。...本系列文章前文欣赏: (1):通过rsyslog搭建集中日志服务器 (2):使用ELK实时分析SSH暴力破解 Winlogbeat 使用Winlogbeat将Windows事件日志流传输到Elasticsearch...创建索引,在SIEM界面,可以查到通过Winlogbeat从Windows事件日志提取主机事件。 ? 点击查看主机,在主机界面,可以查看安全分析得到的结果,共包含五部分信息。...结语 在本文,基于Elastic Stack的SIEM,展现了强大的安全事件分析的能力,通过Winlogbeat收集Windows事件日志,以Elasticsearch的速度进行安全分析,使用Kibana...当然,不只是Windows事件日志,借助Beats可以从任何你想要的地方提取数据,如审核事件、认证日志、DNS流量、网络流等。

    2.9K11

    Window日志分析

    各项策略可按如下设置: B、查看Windows的系统操作记录日志的方法: 1、开始 → 管理工具 → 事件查看器 2、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”...C、如何筛选 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败 D、事件ID及常见场景 对于Windows事件日志分析,不同的...4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 例如: 1、管理员登录 使用mstsc远程登录某个主机时...,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672事件产生。...常见登录类型日志分析 https://blog.csdn.net/zhulinu/article/details/52747984 Windows 7和Windows Server 2008 R2 安全事件的说明

    61330

    SSE 服务器发送事件

    先放一张 gif 图展示下效果 实现上面这个效果之前,先补充点前置知识 众所周知,在 HTTP 协议中,服务器无法向浏览器推送信息,可以使用 WebSocket 来实现两者双向通信。...而在这里所要介绍的是 SSE(Server-Sent Events),在浏览器向服务器请求后,服务器每隔一段时间向客户端发送流数据(是单向的),来实现接收服务器的数据,例如在线视频播放,和像上面所演示的效果...关于 SSE 标准文档 MDN 文档 优点​ SSE 使用 HTTP 协议,现有的服务器软件都支持。WebSocket 是一个独立协议。...服务器实现​ 数据格式​ 服务器向浏览器发送的 SSE 数据,必须是 UTF-8 编码的文本,具有如下的 HTTP 头信息。...} 并且由于是调用浏览器 API,在开发者工具的网络面板上还能看到对应的 EventStream,像下面这样 参考链接​ 使用服务器发送事件

    1.5K10

    Windows系统日志分析工具– Log Parser「建议收藏」

    吐了 0x01 基本设置 事件ID及常见场景 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。...4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 系统: 1074,通过这个事件...例如: 1、管理员登录 使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672事件产生。...2、执行系统命令 Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子: 进程创建 C:\Windows\System32\cmd.exe 进程创建 C:\Windows...TimeWritten:事件记录时间 EventID:事件ID EventType:事件类型 参考:Windows Logon Type的含义_flyhaze的专栏-CSDN博客 EventCategory

    3.8K20

    Window日志分析

    0x01 Window事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。...0x03 事件日志分析 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明: 事件ID 说明 4624 登录成功 4625 登录失败 4634 注销成功...4647 用户启动的注销 4672 使用超级用户(如管理员)进行登录 4720 创建用户 每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式: 登录类型 描述 说明 2 交互式登录(...4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 我们输入事件ID:4625进行日志筛选...,发现事件ID:4625,事件数175904,即用户登录失败了175904次,那么这台服务器管理员账号可能遭遇了暴力猜解。

    2K20

    02Windows日志分析

    计算机系统日志作用 系统日志是记录系统中硬件、软件中的系统问题信息,同时还可以监视系统中发生的事件 用户可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹 Windows日志分类 Windows...系统日志(包括应用程序、安全、安装程序和转发的事件服务器角色日志 应用程序日志 服务日志 事件日志基本信息 该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息 事件类型及描述...事件类型 错误 出现问题可能会影响触发事件的应用程序或组件外部的功能 警告 出现问题可能会影响服务器或导致更严重的问题 信息 应用程序或组件发送了改变 关键 出现故障导致触发事件的应用程序或组件无法自动恢复...Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种 1、信息(Information) 信息事件指应用程序、驱动程序或服务的成功操作的事件 2、警告(Warning...Kerberos服务票证请求 4776 NTLM身份验证 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启用安全的全局组中 4729 将成员从安全的全局组中移除

    1.8K20

    并发服务器(三):事件驱动

    使用 select 的并发服务器 使用 I/O 的多发 API 诸如 会给我们服务器的设计带来一些限制;这不会马上显现出来,但这值得探讨,因为它们是理解事件驱动编程到底是什么的关键。...同步、异步、事件驱动、回调 示例代码为讨论什么是异步编程、它和事件驱动及基于回调的编程有何联系,提供了一个良好的背景。因为这些词汇在并发服务器的(非常矛盾的)讨论中很常见。...和第 1、2 节中讲到的顺序的、多线程的服务器中对 和 是一样的。因此说 是同步的API 是有道理的。可是,服务器的设计却可以是异步的,或是基于回调的,或是事件驱动的,尽管其中有对 的使用。...实际上,“epoll 服务器” 中的所有“业务逻辑”和 “select 服务器” 是一样的,回调构成相同的代码。 这种相似是通过将事件循环抽象分离到一个库/框架中。...因此服务器上打开的所有套接字都被设置成非阻塞模式,如果对 或 的调用返回了 或者 ,回调函数就装作没有事件发生。阅读示例代码的注释可以了解更多细节。

    1.6K50
    领券