Windows日志使用电脑日志怎么看 _小知识

如何看待电脑日志(使用Windows日志)？
简介
到目前为止，在Windows网络操作系统中，除了应用日志、安全日志、系统日志和Scheduler服务日志之外，还有与网络应用相关的FTP日志、WWW日志和DNS服务器日志。
事件日志可以记录系统中硬件、软件和系统问题的信息，监控系统中发生的事件，记录敏感操作的关键信息，有助于提高系统的网络安全性，帮助系统安全人员找到安全事件的根源。
事件查看器
事件查看器(eventvwr.msc)由微软开发，内置于微软Windows NT操作系统的组件中。它允许用户查看他们使用的计算机的所有事件，或者作为系统管理员远程查看。Windows Vista中的事件查看器已经过重新设计。
Windows主要有以下三种记录系统事件的日志:应用程序日志、系统日志和安全日志。
前两个存储故障排除信息，对系统管理员更有用。后者记录事件审核信息，包括用户身份验证(登录、远程访问等) 。)以及认证后特定用户对系统做了什么，对调查人员更有帮助。
1.系统日志。
系统日志记录由操作系统组件生成的事件，包括驱动程序、系统组件和应用程序软件的崩溃以及数据丢失错误。系统日志中记录的时间类型是由Windows NT/2000操作系统预定义的。
默认位置:% systemroot % \ system32 \ win vt \ logs \ system . evtx 。
2.应用日志。
应用日志包含应用程序或系统程序记录的事件，主要记录程序运行的事件。例如，数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果应用程序崩溃，我们可以在程序事件日志中找到相应的记录，这可能会帮助您解决问题。
默认位置:% systemroot % \ system32 \ win vt \ logs \ application . evtx 。
3.安全日志。
安全日志记录系统的安全审计事件，包括各种类型的登录日志、对象访问日志、进程跟踪日志、权限使用、帐户管理、策略更改和系统事件。安全日志也是调查取证中最常用的日志。默认情况下，安全日志是关闭的。管理员可以使用组策略启动安全日志，或者在注册表中设置审核策略，以在安全日志已满时阻止系统响应。默认位置:% systemroot % \ system32 \ win vt \ logs \ security . evtx 。
4.查看设置建议。
从Windows 10版本1809开始，默认情况下启用审核登录。在以前版本的Windows中，默认情况下仅启用成功。
Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2默认不启用，只记录部分简单日志，默认日志大小为20M 。建议启动审计策略。如果将来出现系统故障或安全事故，可以查看系统的日志文件，排除故障，追踪入侵者信息。

文章插图

有关更多详细信息，请参见https://docs . Microsoft . com/zh-cn/windows-server/identity/ad-ds/plan/security-最佳实践/audit-policy-建议。
5.启用审核配置。
默认情况下，不启用Windows Server 2008系统的审核功能。
系统默认审计策略如下图所示:

文章插图

6.合理的日志属性。
在一些基线检查中，要求保存系统日志90天以上，可以为日后排除系统故障、追踪入侵者进行安全事故提供依据。
系统默认日志属性如下图所示:

文章插图

日志分析
通过分析日志发现入侵痕迹是一项繁重的工作，因此掌握必要的技巧至关重要。过滤掉许多没有价值的数据泥潭，有助于快速定位入侵事件。主要的过滤基础是事件标识。例如，当黑客用RDP引爆系统时，系统会在安全日志中记录探测器使用的IP、时间和用户名，并在事件ID=4625的安全日志中检查事件属性。
检查事件属性，效果如下图所示:

文章插图

快速定位常用的事件id有很多，下表是常见的事件描述:

文章插图

每个成功的登录事件都将标记一个登录类型，不同的登录类型代表不同的方式:

文章插图

有关更多详细信息，请参见https://support . Microsoft . com/zh-cn/help/977519/windows 7和windows server-2008中的安全事件描述。
用于快速提取关键事件(时间闪回)的可用powershell命令:get-wine vent-filterhashtable @ { logname = & # 39；安全& # 39；；ID = & # 394624'}资源网络和get-wine vent-filter hashtable @ { log name = & # 39；安全& # 39；}