前言 在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。...失败审核 失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。...i=j 事件ID 说明 1102 清理审计日志 4624 账号成功登录 4625 账号登录失败 4720 创建用户 4726 删除用户...输入事件 ID:4625 进行日志筛选,发现事件 ID:4625,事件数 229,即用户登录失败了 229 次,那么这台服务器管理员账号可能遭遇了暴力猜解。...LogParser.exe -i:EVT o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625" 提取登录失败用户名进行聚合统计
0X02 审核策略与事件查看器 Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 ,建议开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等...0x03 事件日志分析 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明: 事件ID 说明 4624 登录成功 4625 登录失败 4634 注销成功...4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 我们输入事件ID:4625进行日志筛选...,发现事件ID:4625,事件数175904,即用户登录失败了175904次,那么这台服务器管理员账号可能遭遇了暴力猜解。...登录失败的所有事件: LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625" 提取登录失败用户名进行聚合统计
目的 zabbix监控windows本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。...查看登录失败的事件 ? ?...参数三 "Success Audit":事件的severity,就是中文审核成功的意思。 参数五 ^4624$:这是一个正则表达式,匹配事件ID等于4624的日志。...信息类型:日志 监控间隔:60s 历史保留时长7天 创建账户登陆失败监控项 eventlog[Security,,"FailureAudit",,^4625$,,skip] ?...songhongpeng账户登陆失败触发器 ? administrator账户登陆失败触发器 ?
0x01 基本设置 A、Windows审核策略设置 前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。...打开设置窗口 Windows Server 2008 R2:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,如图1所示; Windows Server 2003:开始 → 运行...→ 输入 gpedit.msc 回车 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。...C、如何筛选 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败 D、事件ID及常见场景 对于Windows事件日志分析,不同的...4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 例如: 1、管理员登录 使用mstsc远程登录某个主机时
Windows事件日志查看命令通常有2种:Get-WinEvent和Get-EventLog,那么二者之间的区别是什么?应用场景又是什么呢?...一、区别与联系 联系就是二者都可以处理Windows事件日志,并且在本地执行时随便使用哪个命令都不影响输出结果内容,这里主要讨论区别: 1....、近1天、关键词审核失败)" #Using the FilterXML parameter: $XMLFilter = @' <Query Id="0" Path="Security...测试Get-WinEvent,使用XML过滤(条件:最近1天内产生的关键词为“<em>审核</em><em>失败</em>”且Eventid=<em>4625</em>事件日志),耗时:263.30秒。...Get-WinEvent中XPath过滤效率会比XML和HashTable效率高;但实际应用中,Xpath案例和资料较少,反而HashTable资料较多,但庆幸的是可以通过<em>Windows</em>图形界面简单勾选
4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 系统: 1074,通过这个事件...4625,这个事件ID表示登陆失败的用户。 4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。...23 24 虚拟账户 25 26 提升的令牌 EventLog: 各个位置含义: 0 文件绝对路径 EventTypeName 各个位置含义: 0 审核成功.../审核失败 SourceName:来源 各个位置含义: 0:来源位置 eg:Microsoft-Windows-Security-Auditing SID:查看结果为全空 Message:消息 各个位置含义...: 0 The description for Event ID 4625 in Source "Microsoft-Windows-Security-Auditing" cannot be found
(Windows 10) – Windows security | Microsoft Docs 登录失败如果在windows事件查看器 — Windows日志 — 安全 查看不到日志,可能是因为没有开启...windows本地安全策略审核。...在 “审核策略” — “审核登录事件” 开启 “成功” 和 “失败”的日志: 设置完再次mstsc登录失败,在安全日志可以查看到登录失败 事件ID 4625 的告警: 如果没有配置本地安全策略开启登录审计...登录失败不清楚为什么会有1149 认证成功的日志。 这个日志可以用于远程登录失败的审计,无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。...爆破成功的日志为很多 4625 中出现 4624,logintype 都是10。 如果看到 4778,4779 则表示 可能爆破时将正在登录的用户顶掉了。
计算机系统日志作用 系统日志是记录系统中硬件、软件中的系统问题信息,同时还可以监视系统中发生的事件 用户可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹 Windows日志分类 Windows...审核成功 用户权限成功 审核失败 用户权限失败 安全性日志 通过日志审核功能,可以快速检测黑客的渗透和攻击,防止非法用户的再次入侵 主要通过以下事件策略审核: 对策略的审核 对登陆成功或失败的审核...对访问对象的审核 对进程跟踪的审核 对账户管理的审核 对特权使用的审核 对目录服务访问的审核 常规日志分析 查看系统日志方法 【开始】-【运行】-输入eventvwr.msc [外链图片转存失败,源站可能有防盗链机制...“成功审核”事件 5、失败审核(Failure audit) 失败的审核安全登陆尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为“失败审核”事件记录下来 常用事件ID 事件ID 说明 1102...清理审计日志 4624 账号登录成功 4625 账号登录失败 4768 Kerberos身份验证(TGT请求) 4769 Kerberos服务票证请求 4776 NTLM身份验证 4672 授予特殊权限
下面我们可以从以下几个方面进行排查windows主机。...再结合日志分析出攻击者前期做了密码破解的攻击,我这个是2003的服务器,无法统计登陆失败的事件的次数。如果是这样的话我们需要与客户沟通在不影响业务的前提下封掉3389端口、修改口令强度。...日志分析 日志分析的前提是服务器开了日志审核策略,记录用户失败、成功的事件,这个在做安全基线检查的时候就会有这个。...我们可以根据事件ID进行来筛选我们需要的事件: 我们输入事件ID:4625进行日志筛选,发现事件ID:4625,事件数175904,即用户登录失败了175904次,那么这台服务器管理员账号可能遭遇了暴力猜解...登录失败的所有事件: LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625" 提取登录失败用户名进行聚合统计
域用户暴力破解(Brute Force)攻击示例: Windows安全日志: 开启审核策略,Windows安全日志会产生相应的审核日志,帐户登录失败,事件ID为2625,账户登录成功,事件ID为4624...事件ID:4625 登录失败,日志里包含尝试登录的账号名称和域、登录类型和登录进程、登录的计算机名和登录IP地址。...域用户密码喷洒(Password Spraying)攻击示例: Windows安全日志: 开启审核策略,Windows安全日志会产生Kerberos身份验证服务的日志, 域用户不存在,会产生一条事件ID...为4768(审核失败)的日志记录。...域用户存在,密码错误,会产生一条事件ID为4771(审核失败)的日志记录。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...
2、采集日志样本 先补充几个前提条件: ①Windows 服务器系统的审核功能必须是启用的,并且配置好审计策略的,一旦系统出现故障、安全事故才可以查看得到系统的日志文件,有助于排除故障,追查入侵者的信息等...本次选取的主机服务器版本是windows server 2008 R2 打开日志:开始—→管理工具—→事件查看器 ? ?...4624— 成功登录 4625 —失败的登录 4634/4647 — 成功注销 4648— 使用显式(explicit)凭证登录(RunAs) 4672 — 用户使用超级用户权限的登录 (Administrator...攻击者通过暴力破解的方式入侵系统,不论是否成功,在日志中会留下入侵痕迹,所以事件id为4624和4625的事件是首当其冲的关注点。需要留意日志中的SubjectUserNameIpAddress。...据此时间点可确定在这之前使用某手段或利用某漏洞获取了服务器权限,可进一步在其他安全设备上查找该时间点前针对失陷服务器的攻击告警事件确定攻击方式。
腾讯云windows服务器切换vpc失败,此法最为简单有效:1.先关机做自定义镜像2.用公共镜像重装系统3.切换vpc4.用第1步做的自定义镜像重装系统需要注意的时候,2018年6月后创建的vpc里的机器是...关于迁移/切换vpc场景中的Windows网不通问题,可参考:https://cloud.tencent.com/developer/article/2180455如果非得直接切换而不走上面说的4个步骤
有个小伙伴说,Haploview软件在windows系统中安装报错,说是配置了java和javac环境,还是不错,我是不信的。...想到一个方法,既然Linux和Mac可以运行Haploview.jar文件,那么windows系统也可以,测试一下: java -jar Haploview.jar 然后就可以运行了。
2016-11-09 今天在App提交审核的时候遇到了一个问题,打包上传到itunes Connect的过程都没有问题,但是之后在itunes Connect的活动中却看不到自己上传的新版本二进制文件。
使用命令compmgmt.msc打开计算机管理,在系统工具->事件查看器->Windows日志->安全中,点击筛选当前日志,筛选事件ID是4624的登录成功日志,发现192.168.126.129曾经登录过...点击筛选当前日志,筛选事件ID是4625的登录失败日志,未发现日志,无法证明192.168.126.129有过爆破行为,无法证明是攻击者的IP地址。...打开文件资源管理器,在“快速访问”处发现“frp_0.54.0_windows_amd64”文件夹。...四、攻击者的伪服务器IP地址? 打开frp的配置文件“frpc.ini”获得攻击者服务器的IP地址:256.256.66.88。 五、攻击者的服务器端口?...在问题一时,筛选事件ID是4625的登录失败日志,未发现日志,说明不存在rdp爆破行为(或者攻击者删除了4625日志),攻击者不是通过攻击rdp拿下入口。 七、攻击者的隐藏用户名?
Windows操作系统的日志分析 Windows日志简介 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP...Windows日志事件类型 Windows操作系统日志分析 Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等...Windows系统日志分为两大类:Windows日志、应用程序和服务日志。Windows日志记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。...Windows系统使用自带的事件查看器来查看分析所有的Windows系统日志。...二、筛选日志进行分析 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败。
我们通过一个攻击案例来进行windows日志分析,从日志里识别出攻击场景,发现恶意程序执行痕迹,甚至还原攻击者的行为轨迹。...whoami systeminfo Windows日志分析: 在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。.../add" ms16-032.exe "net localgroup Administrators test1 /add" Windows日志分析: 在本地安全策略中,需开启审核账户管理,关键账户管理事件和说明...mstsc /v 10.1.1.188 Windows日志分析: 在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如: 4624 登录成功 4625 登录失败 ?...日志分析: 在本地安全策略中,需开启审核对象访问,关键对象访问事件,如: 4698 创建计划任务 4699 删除计划任务 ?
其实第一眼,看到日志,我本以为是SMB(445),NETBIOS(135,139)这些服务的锅,因为安全日志的事件ID为4625和4776。...例如: 网络安全: 限制 NTLM: 审核传入 NTLM 流量 设置为 为所有帐户启用审核 网络访问: 不允许匿名枚举 SAM 帐户 设置为启用 上述设置,我也不是非常清楚。...具体可看这篇文章保护内网安全之提高Windows AD安全性 爆破依旧 进行上述的修改后,安全事件日志还是哗啦啦的警告,然后我一查看云服务器的安全组,我根本都没有开放445,139这类的端口。...Windows Server Wail2ban and Folder Sharing not working together - Error 4625 no IP 使用还是很简单的。...2016 服务器安全配置和加固 windows 系统简单加固
0X02 审核策略与事件查看器 Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 ,建议开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等...4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 我们输入事件 ID:4625...进行日志筛选,发现事件 ID:4625,事件数 175904,即用户登录失败了 175904次,那么这台服务器管理员账号可能遭遇了暴力猜解。...登录失败的所有事件: LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625" 提取登录失败用户名进行聚合统计...0x01 MSSQL 日志分析 首先,MSSQL 数据库应启用日志记录功能,默认配置仅限失败的登录,需修改为失败和成功的登录,这样就可以对用户登录进行审核。 ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
