一、Windows作業系統日誌介紹:
1.Windows作業系統日誌介紹:
<1>.Windows作業系統在執行生命週期,以特定資料結構方式儲存、記錄OS大量執行的日誌資訊,例如:System、Security、Application... ...,主要包括:Windows事件日誌(Event Log)、Windows Web Server IIS日
志、Windows FTP日誌、Exchange Server郵件服務、MS SQL Server資料庫日誌等。
<3>.系統內建3個核心日誌檔案(System、Security、Application);
預設大小均為20480KB(20MB),資料超過20MB,預設系統將優先覆蓋過期日誌記錄。
<5>.應用程式、服務日誌預設最大1024KB,超過最大限制也優先覆蓋過期的日誌記錄。
2.Windows事件日誌,共有五種事件型別:
注:所有事件必須擁有五種事件型別中的一種,且只可以有一種。
<1>.資訊(Information)
指應用程式、驅動程式、服務的成功操作的事件。
<2>.警告(Warning)
<3>.錯誤(Error)
通常指功能和資料的丟失。e.g.如果一個服務不能作為系統引導被載入,即會產生一個錯誤事件。
<4>.成功稽核(Success audit)
成功稽核的安全訪問嘗試,主要是指安全性日誌,這裡記錄著使用者登入/登出、物件訪問、特權使用、賬戶管理、策略更改、目錄服務訪問、賬戶登入等事件。
注:所有成功登入系統的事件,都被記錄“ 成功稽核”事件。ID號4624。
<5>.失敗稽核(Failure audit)
失敗稽核的安全登入嘗試。
注:使用者試圖透過RDP 3389嘗試的失敗登入,都以失敗稽核事件記錄下來。ID號4625。
3.幾種型別Windows日誌:
<1>.System系統日誌:
系統程序、裝置、磁碟活動等。記錄了裝置驅動無法正常啟動或停止,硬體失敗,重複IP地址,系統程序的啟動,停止及暫停等行為。
<2>.Security安全日誌:
包含安全性相關的事件。e.g.使用者許可權變更,登入及登出,檔案/資料夾訪問等資訊。
<3>.Application應用程式日誌:
包含作業系統安裝的應用程式軟體相關的事件。事件包括了錯誤、警告及任何應用程式需要報告的資訊,應用程式開發人員可以決定記錄哪些資訊。
<4>.應用程式及服務日誌:
如遠端桌面客戶端連線、無線網路、有線網路、裝置安裝等相關日誌。
注:可在windows作業系統中開啟cmd指令,輸入"eventvwr.msc"開啟日誌,"windows日誌"檔案裡面找到系統日誌。
5.匯出windows日誌檔案:
右擊所需要儲存的日誌,選擇"將所有日誌另存為",可選格式如圖:.evtx、.xml、.txt、.csv,
6.windows日誌事件ID和登陸型別:
<1>.windows日誌事件ID:
4624,成功的登入;
4625,失敗的嘗試;
4672,授予特殊許可權;
4720,新增使用者;
4634,成功的登出;
4672,超級使用者登入;
<2>.Windows日誌事件的登入型別:
每個成功登入的事件都會標記一個登入型別,不同登入型別,代表不同的方式。
一、Windows作業系統日誌介紹:
1.Windows作業系統日誌介紹:
<1>.Windows作業系統在執行生命週期,以特定資料結構方式儲存、記錄OS大量執行的日誌資訊,例如:System、Security、Application... ...,主要包括:Windows事件日誌(Event Log)、Windows Web Server IIS日
志、Windows FTP日誌、Exchange Server郵件服務、MS SQL Server資料庫日誌等。
<3>.系統內建3個核心日誌檔案(System、Security、Application);
預設大小均為20480KB(20MB),資料超過20MB,預設系統將優先覆蓋過期日誌記錄。
<5>.應用程式、服務日誌預設最大1024KB,超過最大限制也優先覆蓋過期的日誌記錄。
2.Windows事件日誌,共有五種事件型別:
注:所有事件必須擁有五種事件型別中的一種,且只可以有一種。
<1>.資訊(Information)
指應用程式、驅動程式、服務的成功操作的事件。
<2>.警告(Warning)
<3>.錯誤(Error)
通常指功能和資料的丟失。e.g.如果一個服務不能作為系統引導被載入,即會產生一個錯誤事件。
<4>.成功稽核(Success audit)
成功稽核的安全訪問嘗試,主要是指安全性日誌,這裡記錄著使用者登入/登出、物件訪問、特權使用、賬戶管理、策略更改、目錄服務訪問、賬戶登入等事件。
注:所有成功登入系統的事件,都被記錄“ 成功稽核”事件。ID號4624。
<5>.失敗稽核(Failure audit)
失敗稽核的安全登入嘗試。
注:使用者試圖透過RDP 3389嘗試的失敗登入,都以失敗稽核事件記錄下來。ID號4625。
3.幾種型別Windows日誌:
<1>.System系統日誌:
系統程序、裝置、磁碟活動等。記錄了裝置驅動無法正常啟動或停止,硬體失敗,重複IP地址,系統程序的啟動,停止及暫停等行為。
<2>.Security安全日誌:
包含安全性相關的事件。e.g.使用者許可權變更,登入及登出,檔案/資料夾訪問等資訊。
<3>.Application應用程式日誌:
包含作業系統安裝的應用程式軟體相關的事件。事件包括了錯誤、警告及任何應用程式需要報告的資訊,應用程式開發人員可以決定記錄哪些資訊。
<4>.應用程式及服務日誌:
如遠端桌面客戶端連線、無線網路、有線網路、裝置安裝等相關日誌。
注:可在windows作業系統中開啟cmd指令,輸入"eventvwr.msc"開啟日誌,"windows日誌"檔案裡面找到系統日誌。
5.匯出windows日誌檔案:
右擊所需要儲存的日誌,選擇"將所有日誌另存為",可選格式如圖:.evtx、.xml、.txt、.csv,
6.windows日誌事件ID和登陸型別:
<1>.windows日誌事件ID:
4624,成功的登入;
4625,失敗的嘗試;
4672,授予特殊許可權;
4720,新增使用者;
4634,成功的登出;
4672,超級使用者登入;
<2>.Windows日誌事件的登入型別:
每個成功登入的事件都會標記一個登入型別,不同登入型別,代表不同的方式。