引言
初步了解对于这个名为OS的版块还是有些迷茫,主要了解关于windows和linux的相关内容,有助于我们对系统有更深的理解
Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。
我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。
windows日志审计
-
概念
文章参考资料来自:i春秋社区,作者wolaikankan
在应急响应过程中,日志是我们首要调取的重要材料信息之一,通过日志我们可以大概还原出攻击者的攻击手法,通过日志文件找出攻击的入口点,从而及时堵住攻击入口并且修复安全缺陷保障公司业务及产品安全。
-
如何查看windows日志
此处以win10为例,从运行打开“事件查看器”,点开windows日志
-
win日志
从上图可以看到,主要是分为
-
应用程序application
此项中保存应用程序在系统中产生的事件信息
-
系统system
主要记录windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误信息等等
-
安全security
主要是记录系统的安全信息,包括成功的登录、退出,不成功的登陆,系统文件的创建、删除、修改
双击某个事件可以查看事件的详细信息,例如登陆设备登录域登录ID等等。
还可以通过筛选功能从大量的日志中查找想要的日志信息
-
-
更详尽
-
1.信息( Information)
信息事件指应用程序、驱动程序或服务的成功操作的事件。
-
2.警告( Warning)
警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或末找到打印机时,都会记录一个“警告”事件。
-
3.错误(Error)
错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
-
4.成功审核( Success audit)
成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件。
-
5.失败审核( Failure audit)
失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
-
-
日志分析
