日志分析
Windows三类日志记录系统事件
应用程序日志
系统日志
安全日志
系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 默认位置:
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 默认位置:
安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。 默认位置:
审核策略
审核策略开启后可以查看系统出现故障、安全事故等系统日志文件,帮助排除故障,追查入侵者的信息等。
打开
开始 --> 管理工具 --> 本地安全策略 --> 本地策略 --> 审核策略 配置:
配置日志属性
开始 --> 所有程序 --> 管理工具 --> 事件查看器 --> Windows日志 --> 应用程序 --> 右键属性 --> 启用日志最大大小
系统日志
查看
方法一
开始 --> 所有程序 --> 管理工具 --> 事件查看器
方法二
运行 --> eventvwr.msc
分析
Windows
事件日志分析,不同的EVENT ID
代表了不同的意义。
事件ID | 说明 |
4624 | 登录成功 |
4625 | 登录失败 |
4634 | 注销成功 |
4647 | 用户启动的注销 |
4672 | 使用超级用户(如管理员)进行登录 |
4720 | 创建用户 |
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:
登录类型 | 描述 | 说明 |
2 | 交互式登录(Interactive) | 用户在本地进行登录。 |
3 | 网络(Network) | 最常见的情况就是连接到共享文件夹或共享打印机时。 |
4 | 批处理(Batch) | 通常表明某计划任务启动。 |
5 | 服务(Service) | 每种服务都被配置在某个特定的用户账号下运行。 |
7 | 解锁(Unlock) | 屏保解锁。 |
8 | 网络明文(NetworkCleartext) | 登录的密码在网络上是通过明文传输的,如FTP。 |
9 | 新凭证(NewCredentials) | 使用带/Netonly参数的RUNAS命令运行一个程序。 |
10 | 远程交互,(RemoteInteractive) | 通过终端服务、远程桌面或远程协助访问计算机。 |
11 | 缓存交互(CachedInteractive) | 以一个域用户登录而又没有域控制器可用 |
日志分析工具
Log Parser
分析
查询登录成功的事件
查询登录失败的事件
系统历史开关机记录
LogParser Lizard
Event Log Explorer
Last updated