Windows日志与审核
2018.7.20
Windows事件日志简介
位置 管理工具-事件查看器
本质上是数据库:发生什么--什么时间-与谁有关-是否系统相关-访问什么资源
共有五种事件级别:所有的事件必须只能拥有其中的一种事件级别
成功的审核安全访问尝试,主要指安全性日志,所有的成功登录系统都会被记录为成功审核事件
Windows日志文件
文件名、结构、存储位置
新;扩展名evtx 位置“%systemroot%”\system32\winevt\logs
位置
位置
Windows事件日志分析
Win7和winser2008r2
用户登录与注销
场景
判断哪个用户登录
分析被控制的用户的使用情况
事件id
4624 -登录成功
4625 -登录失败
4634/4647-注销成功
4672-使用超级用户进行登录
追踪硬件变动
场景
分析那些硬件设备什么时间安装到系统中
事件id
20001 即插即用驱动安装-系统日志
20003 即插即用驱动安装-系统日志
4663 移动设备访问成功
4656 移动设备访问失败 安全日志
无线网络位置
事件id
10000-网络连接成功
10001-连接失败
筛选日志
*其他日志分析工具
Windows安全审计实战
配置审计策略
- 安全日志
- 记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更
- 应用程序日志
- 系统日志
- 失败审核failure audit
- 信息information
- 警告warning
- 错误error
- 成功审核success audit