欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

0x01 Window事件日志簡(jiǎn)介

Windows系統日志是記錄系統中硬件、軟件和系統問(wèn)題的信息，同時(shí)還可以監視系統中發(fā)生的事件。用戶(hù)可以通過(guò)它來(lái)檢查錯誤發(fā)生的原因，或者尋找受到攻擊時(shí)攻擊者留下的痕跡。

Windows主要有以下三類(lèi)日志記錄系統事件：應用程序日志、系統日志和安全日志。

系統日志

應用程序日志

包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件，例如數據庫程序可以在應用程序日志中記錄文件錯誤，程序開(kāi)發(fā)人員可以自行決定監視哪些事件。如果某個(gè)應用程序出現崩潰情況，那么我們可以從程序事件日志中找到相應的記錄，也許會(huì )有助于你解決問(wèn)題。 ?默認位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

系統和應用程序日志存儲著(zhù)故障排除信息，對于系統管理員更為有用。 安全日志記錄著(zhù)事件審計信息，包括用戶(hù)驗證（登錄、遠程訪(fǎng)問(wèn)等）和特定用戶(hù)在認證后對系統做了什么，對于調查人員而言，更有幫助。

0X02 審核策略與事件查看器

Windows Server 2008 R2 系統的審核功能在默認狀態(tài)下并沒(méi)有啟用 ，建議開(kāi)啟審核策略，若日后系統出現故障、安全事故則可以查看系統的日志文件，排除故障，追查入侵者的信息等。

PS：默認狀態(tài)下，也會(huì )記錄一些簡(jiǎn)單的日志，日志默認大小20M

設置1：開(kāi)始 → 管理工具 → 本地安全策略 → 本地策略 → 審核策略，參考配置操作：

設置2：設置合理的日志屬性，即日志最大大小、事件覆蓋閥值等：

查看系統日志方法：

1. 在“開(kāi)始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”
2. 按 'Window+R'，輸入 ”eventvwr.msc“ 也可以直接進(jìn)入“事件查看器”

0x03 事件日志分析

對于Windows事件日志分析，不同的EVENT ID代表了不同的意義，摘錄一些常見(jiàn)的安全事件的說(shuō)明：

每個(gè)成功登錄的事件都會(huì )標記一個(gè)登錄類(lèi)型，不同登錄類(lèi)型代表不同的方式：

關(guān)于更多EVENT ID，詳見(jiàn)微軟官方網(wǎng)站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的說(shuō)明”。

原文鏈接 ：https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

案例1：可以利用eventlog事件來(lái)查看系統賬號登錄情況：

1. 在“開(kāi)始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”；
2. 在事件查看器中，單擊“安全”，查看安全日志；
3. 在安全日志右側操作中，點(diǎn)擊“篩選當前日志”，輸入事件ID進(jìn)行篩選。
4. 4624 --登錄成功
5. 4625 --登錄失敗
6. 4634 -- 注銷(xiāo)成功
7. 4647 -- 用戶(hù)啟動(dòng)的注銷(xiāo)
8. 4672 -- 使用超級用戶(hù)（如管理員）進(jìn)行登錄

我們輸入事件ID：4625進(jìn)行日志篩選，發(fā)現事件ID：4625，事件數175904，即用戶(hù)登錄失敗了175904次，那么這臺服務(wù)器管理員賬號可能遭遇了暴力猜解。

案例2：可以利用eventlog事件來(lái)查看計算機開(kāi)關(guān)機的記錄：

1、在“開(kāi)始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”；

2、在事件查看器中，單擊“系統”，查看系統日志；

3、在系統日志右側操作中，點(diǎn)擊“篩選當前日志”，輸入事件ID進(jìn)行篩選。

其中事件ID 6006 ID6005、 ID 6009就表示不同狀態(tài)的機器的情況（開(kāi)關(guān)機）。

6005 信息 EventLog 事件日志服務(wù)已啟動(dòng)。(開(kāi)機)

6006 信息 EventLog 事件日志服務(wù)已停止。(關(guān)機)

6009 信息 EventLog 按ctrl、alt、delete鍵(非正常)關(guān)機

我們輸入事件ID：6005-6006進(jìn)行日志篩選，發(fā)現了兩條在2018/7/6 17:53:51左右的記錄，也就是我剛才對系統進(jìn)行重啟的時(shí)間。

0x04 日志分析工具

Log Parser

Log Parser（是微軟公司出品的日志分析工具，它功能強大，使用簡(jiǎn)單，可以分析基于文本的日志文件、XML 文件、CSV（逗號分隔符）文件，以及操作系統的事件日志、注冊表、文件系統、Active Directory。它可以像使用 SQL 語(yǔ)句一樣查詢(xún)分析這些數據，甚至可以把分析結果以各種圖表的形式展現出來(lái)。

Log Parser 2.2下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser 使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

基本查詢(xún)結構

Logparser.exe –i:EVT –o:DATAGRID 'SELECT * FROM c:\xx.evtx'

使用Log Parser分析日志

1、查詢(xún)登錄成功的事件

2、查詢(xún)登錄失敗的事件

登錄失敗的所有事件：LogParser.exe -i:EVT –o:DATAGRID 'SELECT * FROM c:\Security.evtx where EventID=4625'?提取登錄失敗用戶(hù)名進(jìn)行聚合統計：LogParser.exe -i:EVT 'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message' ?

3、系統歷史開(kāi)關(guān)機記錄：

LogParser Lizard

對于GUI環(huán)境的Log Parser Lizard，其特點(diǎn)是比較易于使用，甚至不需要記憶繁瑣的命令，只需要做好設置，寫(xiě)好基本的SQL語(yǔ)句，就可以直觀(guān)的得到結果。

下載地址：http://www.lizard-labs.com/log_parser_lizard.aspx

依賴(lài)包：Microsoft .NET Framework 4 .5，下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=42642

查詢(xún)最近用戶(hù)登錄情況：

Event Log Explorer

Event Log Explorer是一款非常好用的Windows日志分析工具?？捎糜诓榭?，監視和分析跟事件記錄，包括安全，系統，應用程序和其他微軟Windows 的記錄被記載的事件，其強大的過(guò)濾功能可以快速的過(guò)濾出有價(jià)值的信息。

下載地址：https://event-log-explorer.en.softonic.com/