回覆列表
  • 1 # 失望且珍惜

    一、Windows作業系統日誌介紹:

      1.Windows作業系統日誌介紹:

        <1>.Windows作業系統在執行生命週期,以特定資料結構方式儲存、記錄OS大量執行的日誌資訊,例如:System、Security、Application... ...,主要包括:Windows事件日誌(Event Log)、Windows Web Server IIS日

    志、Windows FTP日誌、Exchange Server郵件服務、MS SQL Server資料庫日誌等。

        <3>.系統內建3個核心日誌檔案(System、Security、Application);

          預設大小均為20480KB(20MB),資料超過20MB,預設系統將優先覆蓋過期日誌記錄。

        <5>.應用程式、服務日誌預設最大1024KB,超過最大限制也優先覆蓋過期的日誌記錄。

      2.Windows事件日誌,共有五種事件型別:

        注:所有事件必須擁有五種事件型別中的一種,且只可以有一種。

        <1>.資訊(Information)

          指應用程式、驅動程式、服務的成功操作的事件。

        <2>.警告(Warning)

        <3>.錯誤(Error)

          通常指功能和資料的丟失。e.g.如果一個服務不能作為系統引導被載入,即會產生一個錯誤事件。

        <4>.成功稽核(Success audit)

          成功稽核的安全訪問嘗試,主要是指安全性日誌,這裡記錄著使用者登入/登出、物件訪問、特權使用、賬戶管理、策略更改、目錄服務訪問、賬戶登入等事件。

          注:所有成功登入系統的事件,都被記錄“ 成功稽核”事件。ID號4624。

        <5>.失敗稽核(Failure audit)

          失敗稽核的安全登入嘗試。

          注:使用者試圖透過RDP 3389嘗試的失敗登入,都以失敗稽核事件記錄下來。ID號4625。

      3.幾種型別Windows日誌:

        <1>.System系統日誌:

          系統程序、裝置、磁碟活動等。記錄了裝置驅動無法正常啟動或停止,硬體失敗,重複IP地址,系統程序的啟動,停止及暫停等行為。

        <2>.Security安全日誌:

          包含安全性相關的事件。e.g.使用者許可權變更,登入及登出,檔案/資料夾訪問等資訊。

        <3>.Application應用程式日誌:

          包含作業系統安裝的應用程式軟體相關的事件。事件包括了錯誤、警告及任何應用程式需要報告的資訊,應用程式開發人員可以決定記錄哪些資訊。

        <4>.應用程式及服務日誌:

          如遠端桌面客戶端連線、無線網路、有線網路、裝置安裝等相關日誌。

      注:可在windows作業系統中開啟cmd指令,輸入"eventvwr.msc"開啟日誌,"windows日誌"檔案裡面找到系統日誌。

      5.匯出windows日誌檔案:

        右擊所需要儲存的日誌,選擇"將所有日誌另存為",可選格式如圖:.evtx、.xml、.txt、.csv,

      6.windows日誌事件ID和登陸型別:

        <1>.windows日誌事件ID:

          4624,成功的登入;

          4625,失敗的嘗試;

          4672,授予特殊許可權;

          4720,新增使用者;

          4634,成功的登出;

          4672,超級使用者登入;

        <2>.Windows日誌事件的登入型別:

          每個成功登入的事件都會標記一個登入型別,不同登入型別,代表不同的方式。

  • 中秋節和大豐收的關聯?
  • 佳光加熱發生器使用說明書?